サンプル ネットワーク用のサービス プロバイダのセットアップ
目次
sm1252sp1jjp
目次
2
サービス プロバイダでレガシー フェデレーションを展開するためのタスクの詳細について、以下のセクションで説明します。各セクションのエントリは、ベーシック設定用に提供されているサンプルデータを反映したものです。
注:
これらの手順では、必要なコンポーネントがすでにインストールされているものと仮定しています。SP ユーザ ストアのセットアップ
SP において、ユーザ ストアを設定し、アサーションを必要とするユーザに関するユーザ レコードを追加します。認証中にアサーションが提示されると、サービス プロバイダは、ユーザ ストアでユーザ レコードを検索します。
この展開の場合、Sun ONE LDAP ユーザ ディレクトリがユーザ ストアです。Sun ONE サーバ コンソールを使用して、ユーザをディレクトリに追加します。
ユーザ ストアを設定する方法
- 以下のユーザを追加します。
- user1
- user2
- user1 および user2 の属性に以下のように入力します。重要:電子メール アドレスは、同じユーザに対してアイデンティティ プロバイダ ユーザ ストア内で同じであることが必要です。
- トレース ロギングを有効化します。
ポリシー サーバが SP LDAP ポリシー ストアを指すための設定
ポリシー サーバと LDAP ポリシー ストアの間の接続を確立します。
以下の手順に従います。
- ポリシー サーバ管理コンソールを開きます。
- [データ]タブを選択します。以下のフィールドに値を入力します。
- データベースポリシー ストア
- ストレージLDAP
- LDAP IP アドレスsp.demo:389
- ルート DNo=sp.demo
- Admin Usernamecn=Directory Manager
- Passwordfederation
- パスワードの確認入力federation
- [OK]をクリックします。
- SP ユーザ ストアをセットアップします。
SP でのフェデレーション コンポーネントのトレース ロギングの有効化
SP ポリシー サーバで、フェデレーション コンポーネントをトレース ログ smtracedefault.log にログ記録するようにプロファイラを設定し、トレース メッセージを確認します。
ログ記録を有効にする方法
- ポリシー サーバ管理コンソールを開きます。
- [プロファイラ]タブをクリックし、トレース ログの内容をカスタマイズします。フェデレーション トレース メッセージを参照するには、ログに Fed_Server コンポーネントを含めます。ポリシー サーバでトレース ロギングを設定するには、ポリシー サーバ管理コンソールを使用します。
- SP Web エージェントをインストールします。
Web エージェント オプション パックによる Web サーバの設定
Web エージェント オプション パックにより、フェデレーション Web サービス(FWS)アプリケーションがインストールされました。サンプル展開用に FWS アプリケーションを設定します。
FWS が動作するには、以下の手順を行います。
- フェデレーション Web サービス用の JDK のインストール
- SP において FWS と連携するための ServletExec のインストールと設定
- AffWebServices.properties ファイルの設定
- Web エージェント オプション パック ロギングの有効化
- フェデレーション Web サービスのテスト
フェデレーション Web サービス用の JDK のインストール
Web エージェント オプション パックは、フェデレーション Web サービス アプリケーションを起動する JDK を必要とします。必要な特定のバージョンについては、テクニカル サポート サイトに移動し、プラットフォーム サポート マトリックスで該当リリースを検索してください。
SP において FWS と連携するための ServletExec のインストールと設定
この展開で FWS が作動するには、ServletExec Sun を ONE 6.1 Web サーバにインストールする必要があります。
sm1252sp1jjp
注: 12.52 には ServletExec_AS_6_license_key.txt という名前の ServletExec ライセンス キー ファイルが付属しています。このライセンス キーがない場合は、CA テクニカル サポートにお問い合わせください。このライセンス ファイルからライセンス キーをコピーし、ServletExec 管理コンソールの ServletExec ライセンスのダイアログ ボックスに入力します。ServletExec のライセンスの詳細については、Web サイトで ServletExec のドキュメントを参照してください。
ServletExec のサポートされているバージョン用の最新のホット フィックスを適用してください。ホット フィックスは、フェデレーション Web サービスが ServletExec と連携するために必要となります。ホット フィックスを取得するには、New Atlanta Communications の Web サイトに移動してください。
ServletExec をセットアップする方法
- ServletExec をインストールします。手順については、「New Atlanta Communications」のドキュメントを参照してください。
- ServletExec 管理コンソールを開きます。
- [Web アプリケーション]の下で、[管理]を選択します。[Web アプリケーションの管理]ダイアログ ボックスが表示されます。
- [Web アプリケーションの追加]をクリックします。
- 以下の情報を入力します。
- アプリケーション名affwebservices
- URL コンテキスト パス/affwebservices/
- 場所C:\program files\ca\webagent\affwebservicesネットワーク内の affwebservices の場所は異なることがあります。適切な場所を入力してください。
- [サブミット]をクリックします。
- ServletExec コンソールを終了します。
- AffWebServices.properties ファイルを設定します。
FWS.properties ファイルの設定
AffWebServices.properties ファイルには、フェデレーション Web サービスの初期化パラメータがすべて含まれます。このファイルに WebAgent.conf ファイルの場所を指定します。
以下の手順に従います。
- Web エージェント オプション パックのある SP システムで、C:\Program Files\ca\webagent\affwebservices\WEB-INF\classes ディレクトリに移動します。
- AgentConfigLocation パラメータに WebAgent.conf ファイルの場所を設定します。このパラメータの値の設定は必須です。この展開の場合、サービス プロバイダで FWS アプリケーションをホストする Web サーバは、Sun ONE Web サーバです。したがって、WebAgent.conf ファイルのパスは次のようになります。C:\\Sun\\WebServer6.1\\https-sp.demo\\config\\WebAgent.conf注:フェデレーション Web サービスは Java コンポーネントです。したがって、Windows パスにはダブル バックスラッシュが含まれる必要があります。このエントリは 1 行に指定してください。
- ファイルを保存して閉じます。
- フェデレーション Web サービスをテストします。
フェデレーション Web サービスのテスト
フェデレーション Web サービス アプリケーションをセットアップした後、アプリケーションが正しく作動していることを確認します。
以下の手順に従います。
- Web ブラウザを開き、次の URL を入力します。http://fqhn:port_number/affwebservices/assertionretriever
- fqhn完全修飾ホスト名を定義します。
- port_numberWeb エージェントおよび Web エージェント オプション パックがインストールされているサーバのポート番号を定義します。
この展開の場合、次のように入力します。http://www.sp.demo:81/affwebservices/assertionretrieverフェデレーション Web サービスが正しく作動している場合、次のメッセージが表示されます。Assertion Retrieval Service has been successfully initialized. The requested servlet accepts only HTTP POST requests.このメッセージは、フェデレーション Web サービスがデータ アクティビティをリスニングしていることを示します。フェデレーション Web サービスが正しく作動していない場合、アサーション検索サービスが失敗したというメッセージを受け取ります。アサーション検索サービスが失敗する場合は、フェデレーション Web サービス ログを確認してください。 - Web エージェント オプション パックのロギングを有効にします。
SP での Web エージェント オプション パック ロギングの有効化
SP において、Web エージェント オプション パックのあるシステムのロギングを有効にして、以下のログを表示できるようにします。
- affwebserv.logエラー ロギング メッセージが含まれています。
- FWSTrace.log
エラーおよびトレースのロギングを有効にする方法
- LoggerConfig.properties ファイルを開きます。このファイルは、web_agent_home/affwebservices/WEB-INF/classes ディレクトリにあります。
- LoggingOn パラメータを Y に設定します。
- LogFileName 設定のデフォルトの名前と場所(affwebserv.log ファイルを指しています)はそのままにしておきます。
- TracingOn を Y に設定します。
- TraceFileName 設定の名前と場所(FWSTrace.log ファイルを指しています)はそのままにしておきます。
以上で、ロギングが有効になりました。
SP ポリシー サーバのユーザ ストアの指定
SP ユーザ ディレクトリは、サービス プロバイダが認証に使用するユーザ レコードで構成されます。
管理 UI のユーザ ディレクトリを設定します。SP LDAP という名前のディレクトリは、user1 および user2 というユーザが含まれる Sun ONE LDAP ディレクトリです。
以下の手順に従います。
- 管理 UI にログインします。
- [インフラストラクチャ]-[ディレクトリ]-[ユーザ ディレクトリ]をクリックします。
- [ユーザ ディレクトリの作成]をクリックします。
- 以下のフィールドに値を入力します。
- 名前SP LDAP
- [ディレクトリのセットアップ]セクションで、以下のフィールドに入力します。
- ネームスペースLDAP
- サーバwww.sp.demo:32941
- [LDAP 検索]セクションで、以下のフィールドに入力します。
- ルートdc=sp,dc=demoその他の値はデフォルトのままにします。
- [LDAP ユーザ DN の検索]セクションで、以下のフィールドに入力します。
- 先頭uid=
- 終端,ou=People,dc=sp,dc=demo
- [内容の表示]をクリックして、ディレクトリの内容を表示できることを確認します。
- [サブミット]をクリックします。
SP での SAML 2.0 認証方式の設定
サービス プロバイダでユーザを認証するには、SAML 2.0 認証方式を設定します。IdP のアサーションにより、認証用の認証情報が提供されます。
以下の手順に従います。
- 管理 UI にログインします。
- [インフラストラクチャ]-[認証]-[認証方式]をクリックします。
- 以下のフィールドに値を入力します。[各方式共通セットアップ]セクション
- 名前Partner IDP.demo 認証方式
- 認証方式タイプSAML 2.0 テンプレート
- 保護レベル5 (デフォルト)
- [SAML 2.0 設定]をクリックします。一般およびユーザの特定を指定するためのダイアログ ボックスが表示されます。
- [一般]セクションで以下の設定を指定します。
- SP IDsp.demo
- IdP IDidp.demo
- SAML バージョン2.0 (デフォルト)
- スキュー時間30 (デフォルト)
注:SP ID および IdP ID の値は、IdP での値に一致する必要があります。 - [ユーザの特定]セクションで、以下の項目を設定します。
- LDAPUsername=%s
- [次へ]をクリックして、シングル サインオン設定に進みます。
SP でのシングル サインオンに関する HTTP-POST の設定
認証方式として、シングル サインオン バインドが使用されることを示し、アイデンティティ プロバイダとの通信方法をサービス プロバイダが認識できるようにします。
以下の手順に従います。
- [SSO]設定で、以下のフィールドに入力します。
- リダイレクト モード302 Cookie データ(デフォルト)セッション Cookie で HTTP 302 リダイレクトを介してユーザをリダイレクトしますが、他のデータは使用しません。
- SSO サービスhttp://www.idp.demo:80/affwebservices/public/saml2sso
- オーディエンスsp.demoこの値は、アイデンティティ プロバイダでの値に一致する必要があります。
- ターゲットhttp://www.sp.demo:81/spsample/protected/target.jspターゲットが http で始まる場合は、リソースまでの完全パスを入力します。SAML 2.0 認証方式を使用する ポリシーは、ターゲットを保護します。
- [バインディング]セクションで[HTTP-POST]を選択します。
- [単一使用ポリシーを強制する]チェック ボックスをオフにします。このオプションを無効にすることにより、サンプル ネットワークは SAML 2.0 準拠でなくなります。使い捨てポリシー機能の使用を有効にするには、サービス プロバイダでセッション ストアをセットアップします。
- [署名と暗号化]の手順に達するまで[次へ]をクリックします。
- [署名の処理を無効にする]を選択します。重要:署名の無効化は、初期的なシングル サインオン設定のデバッグのみを意図したものです。実稼働環境においては、署名処理は必須セキュリティ要件です。SP において、署名の検証を有効にし、署名を検証するように証明書データ ストアをセットアップします。
- 設定手順が終了するまで[次へ]をクリックします。
- [完了]をクリックします。ベーシック認証方式設定が完了しました。
- 管理 UI を開いたまま、「SAML 2.0 認証を使用したターゲット リソースの保護」(Protect the Target Resource Using SAML 2.0 Authentication)に進みます。
SP でのターゲット リソースの保護
SAML 2.0 認証方式を設定した後、サービス プロバイダにおいてターゲット リソースを保護するポリシーでこの方式を使用します。
以下の手順に従います。
- [インフラストラクチャ]-[エージェント]-[エージェント]と順に移動し、sp-webagent という名前の Web エージェントを作成します。このエージェントは、Web エージェント オプション パックがインストールされているサーバを保護します。
- [ポリシー]-[ドメイン]-[ドメイン]と順に移動します。
- 以下の値を持つポリシー ドメインを作成します。
- 名前IdP.demo ビジター用のドメイン
- [ユーザ ディレクトリ]セクションuser1 と user2 を保持するユーザ ディレクトリを追加します。
- [レルム]ページに移動し、以下の値を持つ永続的なレルムを設定します。
- 名前SP ターゲット ページ保護レルム
- エージェントsp-webagent
- リソース フィルタ/spsample/protected.jspサービス プロバイダ Web サーバでターゲット リソースへのパスを定義します。
- デフォルト リソース保護保護
- 認証方式Partner IdP.demo 認証方式
- 以下の値を持つルールをレルムに追加します。
- 名前SP ターゲット ページ保護ルール
- RealmSP ターゲット ページ保護レルム
- Resource*
- アクションWeb エージェント アクションGet
- [ポリシー]ページに移動し、以下の値を持つポリシーを作成します。[一般]ページ
- 名前SP ターゲット ページ保護ポリシー
ユーザ pagexsSP LDAP ディレクトリの場合は、[メンバーの追加]をクリックします。user1 を追加し、このユーザにターゲットへのアクセス権を付与します。 - [ルール]ページSP ターゲット ページ保護ルールを追加します。
- [サブミット]をクリックします。ターゲット リソースの保護ポリシーの作成が完了しました。
- 管理 UI を終了します。
- HTML ページを使用して、フェデレーションのセット アップをテストします。