サンプル ネットワーク用のアイデンティティ プロバイダのセットアップ
目次
sm1252sp1jjp
目次
2
アイデンティティ プロバイダでレガシー フェデレーションを展開するためのタスクの詳細については、以下のセクションで説明します。各セクションのエントリは、ベーシック設定用に提供されているサンプルデータを反映したものです。
注:
これらの手順では、必要なコンポーネントがすでにインストールされているものと仮定しています。IdP ユーザ ストアのセットアップ
アイデンティティ プロバイダでは、ユーザが定義されたユーザ ストアが必要です。アイデンティティ プロバイダは、これらのユーザに関するアサーションを作成できます。この展開では、ユーザ ストアは Sun ONE LDAP ユーザ ディレクトリです。このユーザ ストアにユーザを追加するために、Sun ONE サーバ コンソールが使用されています。
ユーザ ストアを設定する方法
- 以下のユーザを追加します。
- user1
- user2
- user1 および user2 の属性に以下のように入力します。重要:電子メール アドレスは、同じユーザに対してサービス プロバイダ ユーザ ストア内で同じであることが必要です。
- トレース ロギングを有効化します。
ポリシー サーバが IdP LDAP ポリシー ストアを指すための設定
この展開では、LDAP ポリシー ストアが使用されます。ポリシー サーバが LDAP ポリシー ストアを指していることを確認してください。
注:
この手順では、読者がその展開内のユーザ ストアへのユーザの追加方法について既知であるものとしています。以下の手順に従います。
- ポリシー サーバ管理コンソールを開きます。
- [データ]タブを選択します。
- 以下のフィールドに値を入力します。
- データベースポリシー ストア
- ストレージLDAP
- IP アドレス(LDAP ディレクトリ)www.idp.demo: 389
- ルート DNo=idp.demo
- Admin Usernamecn=Directory Manager
- Passwordパスワード
- パスワードの確認入力パスワード
- [OK]をクリックして変更内容を保存し、ダイアログを閉じます。
- 「IdP ユーザ ストアのセットアップ」に進みます。
IdP でのポリシー サーバ トレース ロギングの有効化
アイデンティティ プロバイダで、ポリシー サーバに関するロギングを有効にします。smtracedefault.log ログ ファイルを表示して、シングル サインオンおよびシングル ログアウトに関するトレース メッセージを調べることができます。このログ ファイルは、
policy_server_home/siteminder/log
ディレクトリにあります。以下の手順に従います。
- ポリシー サーバ管理コンソールを開きます。
- [プロファイラ]タブをクリックし、トレース ログの内容をカスタマイズします。注:フェデレーション トレース メッセージを参照するには、ログに Fed_Server コンポーネントを含めます。ポリシー サーバ管理コンソールを使用して、ポリシー サーバでトレース ロギングを設定してください。
- IdP Web エージェントをインストールします。
Web エージェント オプション パックによる Web サーバの設定
サンプル展開用にフェデレーション Web サービス(FWS)アプリケーションを設定します。
FWS をセットアップするには、以下の作業を行います。
- フェデレーション Web サービス用の JDK のインストール
- IdP において FWS と連携するための ServletExec のインストールと設定
- IdP での AffWebServices.properties ファイルの設定
- IdP でのフェデレーション Web サービスのテスト
フェデレーション Web サービス用の JDK のインストール
Web エージェント オプション パックは、フェデレーション Web サービス アプリケーションを起動する JDK を必要とします。
正確な JDK のバージョンについては、テクニカル サポート サイトにログオンし、プラットフォーム サポート マトリックスで該当リリースを検索してください。
IdP において FWS と連携するための ServletExec のインストールと設定
FWS が動作するには、ServletExec をインストールするか、サポートされる任意のアプリケーション サーバをインストールする必要があります。このサンプル ネットワークでは、IIS 6.0 Web サーバ上で ServletExec を使用します。
sm1252sp1jjp
注: 12.52 には ServletExec_AS_6_license_key.txt という名前の ServletExec ライセンス キー ファイルが付属しています。このライセンス キーがない場合は、CA テクニカル サポートにお問い合わせください。このライセンス ファイルからライセンス キーをコピーし、ServletExec 管理コンソールの ServletExec ライセンスのダイアログ ボックスに入力します。ServletExec のライセンスの詳細については、Web サイトで ServletExec のドキュメントを参照してください。
使用する ServletExec のサポートされているバージョン用の最新のホット フィックスを必ず適用してください。ホット フィックスは、フェデレーション Web サービスが ServletExec と連携するために必要となります。ホット フィックスを取得するには、New Atlanta Web サイトに移動し、ServletExec を検索します。
ServletExec をセットアップする方法
- ServletExec をインストールします。詳細については、New Atlanta のドキュメントを参照してください。
- ServletExec 管理コンソールを開きます。
- [Web アプリケーション]の下で、[管理]を選択します。[Web アプリケーションの管理]ダイアログ ボックスが表示されます。
- [Web アプリケーションの追加]をクリックします。
- 以下の情報を入力します。
- アプリケーション名affwebservices
- URL コンテキスト パス/affwebservices/
- 場所C:\program files\ca\webagent\affwebservices
注:セットアップの方法によって affwebservices の場所が異なることがあります。適切な場所を入力してください。 - [サブミット]をクリックします。
- ServletExec コンソールを終了します。
- IIS デフォルト ユーザ アカウントのディレクトリ セキュリティ設定を変更します。
重要:
IIS ユーザ アカウントには、IIS がすべてのプラグインにファイル システムへの書き込みを許可するための適切な権限が必要です。そのため、フェデレーション Web サービスが ServletExec と連携するためには、IIS デフォルト ユーザ アカウントのディレクトリ セキュリティ設定の変更が必要となります。IIS ファイル システムに書き込む ServletExec の有効化
sm1252sp1jjp
IIS サーバ ユーザ アカウントには、IIS がプラグインによるファイル システムへの書き込みを許可するための適切な権限が必要です。ServletExec がフェデレーション ログ ファイルに書き込むためには、ServletExec と関連付けられる匿名ユーザ アカウントがファイル システムに対する書き込み権限を持っている必要があります。
以下の手順に従います。
- ServletExec がインストールされているシステム上の IIS Internet Information Services Manager を開きます。
- [Web サイト]、[デフォルト Web サイト]に移動します。一連のアプリケーションが右ペインに表示されます。
- [ServletExec]を選択し、[プロパティ]を右クリックします。
- [プロパティ]ダイアログ ボックスで[ディレクトリ セキュリティ]タブを選択します。
- [認証およびアクセス制御]セクションで[編集]をクリックします。[認証方法]ダイアログ ボックスが開きます。
- 制御を以下のように設定します。
- [匿名ユーザ アクセスの有効化]を選択します。匿名アクセスについては、Windows ファイル システムの権限の許可を持つユーザ アカウントの名前およびパスワードを入力します。ユーザ アカウントにこの権限を付与するには、Windows のドキュメントを参照してください。たとえば、匿名アクセスに対して IUSR インターネット ゲスト アカウントを使用することができます。
- [基本認証]をクリアします。
- [統合 Windows 認証]をクリアします。
- 入力を指示された場合、セキュリティ変更を Web サーバのすべての子コンポーネントに適用します。
- Web サーバを再起動します。
ServletExec に関連付けられるユーザ アカウントは現在、IIS ファイル システムに書き込むことができます。
以下の手順に従います。
- [コントロール パネル]-[管理ツール]-[ローカル セキュリティ ポリシー]-[ローカル ポリシー]-[ユーザ権限割り当て]を開きます。[ローカル セキュリティ設定]ダイアログ ボックスが表示されます。
- [オペレーティング システムの一部として機能]をダブルクリックします。[オペレーティング システムの一部として機能]プロパティ ダイアログが開きます。
- [ローカル セキュリティ設定]ダイアログ ボックスに匿名のユーザ アカウントを追加します。
- [OK]をクリックします。
- コントロール パネルを終了します。
オプションで、IIS Web サーバを保護する Web エージェントのエージェント設定オブジェクトを確認することを強くお勧めします。このオブジェクトは、匿名のユーザによるファイル システムへの書き込み防止に関して SetRemoteUser パラメータが[yes]に設定されていることを確認します。
IdP での FWS プロパティ ファイルの設定
affwebservices.properties ファイルには、フェデレーション Web サービスの初期化パラメータがすべて含まれます。このファイル内の設定の少なくとも 1 つを変更します。
affwebservices.properties ファイルを変更する方法
- Web エージェント オプション パックのある IdP システムで、C:\Program Files\ca\webagent\affwebservices\WEB-INF\classe ディレクトリに移動します。
- AgentConfigLocation パラメータに WebAgent.conf ファイルの場所を設定します。このパラメータには、値の設定が必要です。この展開の場合、IIS Web サーバが FWS アプリケーションをホストします。したがって、WebAgent.conf ファイルのパスは次のようになります。C:\\Program Files\\ca\\webagent\\bin\\IIS\\WebAgent.conf注:フェデレーション Web サービスは Java コンポーネントです。したがって、Windows パスにはダブル バックスラッシュが含まれる必要があります。この形式に該当するのは、Windows のみです。このパスが 1 行に入力されていることを確認してください。
- ファイルを保存して閉じます。
- IdP でフェデレーション Web サービスをテストします。
IdP でのフェデレーション Web サービスのテスト
フェデレーション Web サービスをセットアップした後、アプリケーションが正しく作動していることを確認します。
以下の手順に従います。
- Web ブラウザを開き、次の URL を入力します。http://<fqhn>:<port_number>/affwebservices/assertionretriever
- fqhn完全修飾ホスト名を定義します。
- port_numberWeb エージェントおよび Web エージェント オプション パックがインストールされているサーバのポート番号を定義します。
この展開の場合、次のように入力します。http://www.idp.demo:80/affwebservices/assertionretrieverフェデレーション Web サービスが正しく作動している場合、次のメッセージが表示されます。Assertion Retrieval Service has been successfully initialized. The requested servlet accepts only HTTP POST requests.このメッセージは、フェデレーション Web サービスがデータ アクティビティをリスニングしていることを示します。フェデレーション Web サービスが正しく作動していない場合、アサーション検索サービスが失敗したというメッセージを受け取ります。アサーション検索サービスが失敗する場合は、フェデレーション Web サービス ログを確認してください。 - IdP で Web エージェント オプション パック ロギングを有効化します。
IdP での Web エージェント オプション パック ロギングの有効化
IdP において、Web エージェント オプション パックのあるシステムのロギングを有効にします。以下のログを表示できます。
- affwebservices.log
- FWSTrace.log
以下の手順に従います。
- LoggerConfig.properties ファイルをセットアップすることにより、affwebservices.log を設定します。
- FWS トレース ロギングを設定します。
- IdP ポリシー サーバのユーザ ストアを指定します。
IdP ポリシー サーバのユーザ ストアの指定
IdP ユーザ ディレクトリは、アイデンティティ プロバイダがアサーションを生成する対象のユーザ レコードから構成されます。
以下の手順では、管理 UI でユーザ ディレクトリを設定する方法を説明します。IdP LDAP ディレクトリ は、user1 および user2 が含まれる Sun ONE LDAP ディレクトリです。
以下の手順に従います。
- 管理 UI にログインします。
- [インフラストラクチャ]-[ディレクトリ]-[ユーザ ディレクトリ]をクリックします。
- [ユーザ ディレクトリの作成]をクリックします。
- 以下のフィールドに値を入力します。
- 名前IdP LDAP
- ネームスペースLDAP
- サーバwww.idp.demo:42088
- [LDAP 設定]セクションの以下のフィールドに入力します。
- ルートdc=idp,dc=demoその他の値はデフォルトのままにします。
- 先頭uid=
- 終端,ou=People,dc=idp,dc=demo
- [内容の表示]をクリックして、ディレクトリの内容を表示できることを確認します。
- [サブミット]をクリックします。
- IdP でアフィリエイト ドメインをセットアップします。
IdP でのアフィリエイト ドメインのセットアップ
アイデンティティ プロバイダに対応するサービス プロバイダを識別するには、アフィリエイト ドメインを作成し sp.demo 用のサービス プロバイダ オブジェクトを追加します。
以下の手順に従います。
- 管理 UI にログインします。
- [フェデレーション]-[レガシー フェデレーション]-[アフィリエイト ドメイン]をクリックします。
- [アフィリエイト ドメインの作成]をクリックします。
- 以下のフィールドに値を入力します。
- 名前フェデレーション サンプル パートナー
- 説明sp.demo のドメイン
- このダイアログ ボックスを開いたまま、IdP でユーザ ディレクトリをアフィリエイト ドメインに追加します。
IdP のアフィリエイト ドメインへのユーザ ディレクトリの追加
ユーザ ディレクトリをアフィリエイト ドメインに関連付けます。
以下の手順に従います。
- [アフィリエイト ドメイン]ダイアログ ボックスで[ユーザ ディレクトリ]セクションに入力します。
- IdP LDAP ディレクトリを追加します。実際のネットワークの場合は、IdP でセットアップしたユーザ ストアを選択します。
- [OK]をクリックします。
- 「IdP のアフィリエイト ドメインへのサービス プロバイダの追加」に進みます。
IdP のアフィリエイト ドメインへのサービス プロバイダの追加
sp.demo という名前の サービス プロバイダをアフィリエイト ドメインに追加します。
以下の手順に従います。
- 管理 UI で、[フェデレーション]-[レガシー フェデレーション]-[SAML サービス プロバイダ]に移動します。
- [SAML サービス プロバイダの作成]を選択します。
- 設定ウィザードに従います。
- Federation Sample Partners をドメインとして選択した後、[次へ]をクリックします。
- [一般]手順で以下のフィールドに入力します。
- 名前sp.demo
- 説明サービス プロバイダ
- SP IDsp.demo
- IdP IDidp.demo
- スキュー時間(秒)デフォルトを受け入れる
- 認証 URLhttp://www.idp.demo/siteminderagent/redirectjsp/redirect.jspこの redirect.jsp は、アイデンティティ プロバイダサイトでインストールされる Web エージェント オプション パックに付属しています。この展開の場合、そのサーバは www.idp.demo です。ユーザに セッションがない場合、IdP の SSO サービスは、ログインする認証 URL にユーザをリダイレクトします。認証が成功した後、redirect.jsp アプリケーションは、アサーション生成のために SSO サービスにユーザをリダイレクトして戻します。ポリシーがこの URL を保護する必要があります。
- Enabled (有効)このオプションが選択されていることを確認します。デフォルトでは、このオプションが有効になっています。
- UI を開いたまま、IdP がアサーションを生成する対象となる[ユーザの選択]に移動します。
認証 URL の保護(SAML 2.0)
ポリシーで認証 URL を保護する必要があります。認証 URL を保護することで、保護されたフェデレーション リソースをリクエストするユーザが IdP に セッションを持たない場合でも、それらのユーザに対して認証チャレンジが実行されることが保証されます。
以下の手順に従います。
- [ドメイン]から、認証 URL 保護ドメインと呼ばれるポリシー ドメインを作成します。
- [ユーザ ディレクトリ]ページで、IdP LDAP ユーザ ディレクトリを追加します。
- 認証 URL 保護ドメインから、以下のフィールド エントリを持つ永続的なレルムを作成します。
- 名前認証 URL 保護レルム
- エージェントルックアップ ボタンを使用して、FSS Web エージェントを選択しますこれは、Web エージェント オプション パックのあるサーバを保護する Web エージェントです。
- リソース フィルタ/siteminderagent/redirectjsp/redirect.jsp
- [セッション]タブ[永続セッション]を選択します
- IDP 認証 URL 保護レルムから、レルムの下に以下のフィールド エントリを持つルールを作成します。
- 名前認証 URL 保護ルール
- Realm認証 URL 保護レルム
- Resource*
- Web エージェント アクションGet
- 認証 URL 保護ドメインから、以下のエントリを持つポリシーを作成します。
- 名前認証 URL 保護ポリシー
- [ユーザ]タブIdP LDAP ユーザ ディレクトリから user1 を追加します
- [ルール]タブ認証 URL 保護ルールを追加します
IdP がアサーションを生成する対象のユーザの選択
アフィリエイト ドメインにサービス プロバイダを指定する際、アサーション ジェネレータが SAML アサーションを生成する対象のユーザおよびグループのリストを含めます。アフィリエイト ドメインにあるディレクトリからのユーザおよびグループのみを追加します。
アサーション生成対象のユーザを選択する方法
- [ユーザ]手順に移動します。
- [ユーザ ディレクトリ]セクションで、以前に設定した LDAP ユーザ ディレクトリの[メンバーの追加]を選択します。[ユーザ/グループ]ダイアログ ボックスが表示されます。
- 以下のフィールドに入力して、user1 および user2 を検索します。
- 検索タイプ属性/値
- 属性uid
- 値*
- [OK]をクリックします。
- ウィザードの次の手順に進み、アサーションの名前 ID を設定します。
アサーションの名前 ID の設定
名前 ID は、アサーション内のユーザを識別するための独自の方法です。管理 UI に入力する NameID は、アサーションに含まれます。
名前 ID を設定する方法
- [名前 ID]手順に移動します。[名前 ID]ダイアログ ボックスが表示されます。
- 以下のフィールドに値を入力します。
- 名前 ID 形式[Email Address]形式の値として電子メール アドレスを指定すると、名前 ID がユーザを識別するためにユーザ ディレクトリの 電子メール アドレスを使用する必要があることを意味します。
- [名前 ID タイプ]セクションユーザ属性
- 名前 ID フィールド -- 属性名mail
- ui を開いたまま、ウィザードの次の手順に進みします。
IdP での POST シングル サインオンの設定
HTTP-POST をシングル サインオンの SAML 2.0 バインドとして指定します。
以下の手順に従います。
- [SAML プロファイル]手順に移動します。
- 以下のフィールドに値を入力します。
- オーディエンスsp.demo
- 認証コンテキスト クラス参照urn:oasis:names:tc:SAML:2.0:ac:classes:Password (default)
- アサーション コンシューマ サービスhttp://www.sp.demo:81/affwebservices/public/ saml2assertionconsumerアサーション コンシューマ サービスの URL を指定します。実際のネットワークの場合、指定するサーバは、Web エージェント オプション パックがインストールされた SP Web サーバです。
- 認証レベル5 (デフォルト)
- 有効期間秒数60 (デフォルト)テスト環境で、以下のメッセージがポリシー サーバ トレース ログに表示される場合、有効期間の値を 60 より大きくしてください。Assertion rejected(_b6717b8c00a5c32838208078738c05ce6237) -current time (Fri Sep 09 17:28:33 EDT 2005) is after SessionNotOnOrAfter time (Fri Sep 09 17:28:20 EDT 2005)
- HTTP-POSTこのチェック ボックスを選択
- 残りのフィールドは無視します。
- ウィザードの次の手順に進みます。
基本サンプル展開での署名処理の無効化
実稼働環境では、アサーションを署名するための署名処理は必須です。ただし、基本サンプル展開の場合、署名処理を無効にします。
重要:
SAML 2.0 実稼働環境で署名処理を無効にしないでください。以下の手順に従います。
- [暗号化 & 署名]手順に移動します。
- ページの[署名]セクションで、[署名の処理を無効にする]を選択します。
- [次へ]をクリックして、ウィザードの[属性]手順に移動します。
サービス プロバイダ オブジェクト設定の完了
属性は、サービス プロバイダ設定の最終手順です。基本設定の場合には、属性を設定しないでください。その代わりに、[終了]をクリックして、サービス プロバイダ設定を完了します。設定がサブミットされます。アイデンティティ プロバイダ用のサービス プロバイダ オブジェクトが識別されました。
サービス プロバイダの設定
アイデンティティ プロバイダでの設定が完了したら、サービス プロバイダの設定が必要です。