アサーティング パーティ コンポーネントのセットアップ
目次
sm1252sp1jjp
目次
2
以下の図は、SAML 1.x プロデューサ、SAML 2.0 アイデンティティ プロバイダ、または WS-フェデレーション アカウント パートナーのセットアップを示しています。

sm1252sp1jjp
注: Web エージェントおよび Web エージェント オプション パックを に置き換えて、フェデレーション Web サービス アプリケーション機能を提供できます。
以下の手順に従います。
アサーティング パーティ ポリシー サーバのインストール
アサーティング パーティでのセットアップは以下のとおりです。
- ポリシー サーバをインストールします。
- Artifact シングル サインオン専用にセッション ストアおよびそのデータベースをセットアップします。セッション ストアは、Artifact シングル サインオンのみに必要となります。セッション サーバでは、アサーションが取得される前にこれを保存するためです。
- ポリシー サーバによって使用されるポリシー ストアをセットアップします。
- ユーザ ディレクトリをセットアップします。このユーザ ディレクトリには、アサーションが生成される対象のユーザが含まれる必要があります。
- (オプション)ポリシー サーバがアサーティング パーティと依存パーティの間の通信を確認するには、エラーおよびトレース ロギングを有効にします。
アフィリエイト ドメインのセットアップおよびこれらのドメインへのサイトの追加
フェデレーション Web サービスをセットアップする前に、アフィリエイト ドメインを確立し、アサーションを消費するサイトをアフィリエイト ドメインに追加します。アフィリエイト ドメインは、アサーションを生成するサイトのパートナーを識別します。
アサーティング パーティで以下のように操作します。
- 管理 UI にアクセスします。
- アフィリエイト ドメインを作成します。
- アサーティング パーティ(プロデューサ、IdP、AP)がアサーションを生成するユーザ用のユーザ ストアを追加します。
- 依存パーティ(コンシューマ、SP、RP)ごとにオブジェクトをアフィリエイト ドメインに追加します。依存パーティとドメインに追加される各オブジェクトとの間に、一対一の対応関係が存在する必要があります。
- サイトをアフィリエイト ドメインに追加した後、認証 URL が保護されていることを検証します。この検証により、フェデレーション リソースのリクエストを処理する前に、ユーザがアサーティング パーティにセッションを持つことが確認されます。このタスクを実行するには、以下の手順に従います。
- ポリシー ドメインを作成します。
- Web エージェントでポリシー ドメインを保護します。Web エージェント オプション パックのあるサーバを保護している Web エージェントを使用します。
- レルム、ルール、および認証 URL を保護するポリシーをこのポリシー ドメインに追加します。
アサーティング パーティでの Web エージェントまたは SPS フェデレーション ゲートウェイのインストール
Web エージェントは、
Single Sign-On
フェデレーション ネットワークにおける必須コンポーネントです。Web エージェントを Web サーバにインストールするか、CA Access Gateway
(Web エージェントが組み込まれています)をインストールします。アサーティング パーティで、以下のコンポーネントをセットアップします。
- 以下のコンポーネントのいずれかをインストールします。
- Web エージェントが保護するレルムの設定
- CA Access Gateway
- Artifact シングル サインオンを使用するには、Web エージェントがインストールされた Web サーバやCA Access Gatewayがインストールされたシステムが SSL に対応している必要があります。
Web エージェント オプション パック(アサーティング パーティ)用のアプリケーション サーバのインストール
Web エージェントおよび Web エージェント オプション パックと共にレガシー フェデレーションを実装する場合は、Web エージェント オプション パックをインストールします。このコンポーネントは、Web サーバまたはアプリケーション サーバにインストールしてください。
アサーティング パーティで以下の作業を実行します。
- フェデレーション Web サービス(Web エージェント オプション パックと共にインストールされるアプリケーション)を実行するサーバとして以下のいずれかをインストールします。
- ServletExec を実行する Web サーバ
- WebLogic アプリケーション サーバ
- WebSphere アプリケーション サーバ
- JBOSS アプリケーション サーバ
- Tomcat アプリケーション サーバ
- フェデレーション Web サービスをこれらのシステムに展開します。
- Artifact シングル サインオンを使用するには、Web エージェント オプション パックがインストールされた Web サーバで SSL を有効にします。
アサーティング パーティ Web エージェント オプション パックのインストール
Web エージェント オプション パックは、
Single Sign-On
レガシー フェデレーションの必須コンポーネントであるフェデレーション Web サービス アプリケーションを提供します。アサーティング パーティで以下の作業を実行します。
- Web エージェント オプション パックをインストールします。JDK がインストールされていることを確認します。Web エージェント オプション パックでは JDK が必要となります。
- サポートされる JDK のバージョンについては、テクニカル サポート サイトにログオンし、Single Sign-Onプラットフォーム サポート マトリックスで該当リリースを検索してください。
sm1252sp1jjp
注: Web エージェントおよび Web エージェント オプション パックを に置き換えて、フェデレーション Web サービス アプリケーション機能を提供できます。
フェデレーション Web サービス(アサーティング パーティ)の設定
フェデレーション Web サービス アプリケーションは、Web エージェント オプション パックまたは
CA Access Gateway
が存在するサーバにインストールされています。アサーティング パーティでフェデレーション Web サービスを設定する方法
- サポートされるアプリケーション サーバのいずれかで Web エージェント オプション パックを使用するように設定します。Web エージェント オプション パックの展開手順を参照してください。CA Access Gatewayには、フェデレーション Web サービスがすでに展開されています。
- AffWebServices.properties ファイル内の AgentConfigLocation パラメータが WebAgent.conf ファイルへの完全パスに設定されることを確認します。構文が正しく、パスがファイル内で 1 行に表示されていることを確認します。AffWebServices.properties ファイルには、フェデレーション Web サービスの初期化パラメータが含まれます。このファイルは、以下のディレクトリのいずれかに配置されています。
- web_agent_home/affwebservices/WEB-INF/classes
- sps_home/secure-proxy/Tomcat/webapps/affwebservices/WEB-INF/classes
- web_agent_homeWeb エージェントのインストール場所を表します。
- sps_homeCA Access Gatewayのインストール場所を表します。
- フェデレーション Web サービス アプリケーションに関するエラーおよびトレース ロギングを有効にします。LoggerConfig.properties ファイルでロギングを有効にします。ログを使用して、アサーティング パーティと依存パーティの間の通信を確認できます。
- エラー ロギングは、affwebserv.log ファイル(デフォルトのエラー ログ ファイル)に記録されます。
- トレース ロギングは、FWSTrace.log ファイル(デフォルト トレース ログ )に記録されます。
- Web ブラウザを開き以下のリンクを入力することにより、フェデレーション Web サービスをテストします。http://fqhn:port_number/affwebservices/assertionretriever
- fqhn完全修飾ホスト名を定義します。
- port_numberフェデレーション Web サービス アプリケーションがインストールされているサーバのポート番号を定義します。
例:http://myhost.ca.com:81/affwebservices/assertionretrieverフェデレーション Web サービスが正しく作動している場合、次のメッセージが表示されます。Assertion Retrieval Service has been successfully initialized. The requested servlet accepts only HTTP POST requests.このメッセージは、フェデレーション Web サービスがデータ アクティビティをリスニングしていることを示します。フェデレーション Web サービスが正しく作動していない場合、アサーション検索サービスが失敗したというメッセージを受信します。テストが失敗する場合は、フェデレーション Web サービス ログを確認してください。
フェデレーション Web サービスへのアクセスの許可(アサーティング パーティ)
sm1252sp1jjp
ポリシー サーバのインストール時、は フェデレーション Web サービス(FWS)アプリケーション用のポリシーを作成します。FWS アプリケーションは Web エージェント オプション パックを使用してインストールされます。一部のフェデレーション機能では、依存パーティが保護された FWS サービスへのアクセス許可を必要とします。依存パートナーをポリシーに追加するタスクは、アサーティング パーティのみで実行します。
たとえば、シングル サインオンの HTTP-Artifact バインドの場合、ポリシーは、がアサーションを取得するサービスを保護します。が特定の依存パートナーのアサーションを取得するには、そのパートナーがサービスを保護するポリシーにユーザとして追加されていることが必要です。
フェデレーション パートナーシップに対して設定された機能に適用される特定の FWS ポリシーへのアクセス権を付与します。
SAML POST レスポンスの署名の有効化
SAML POST レスポンスの署名は、SAML 仕様書要件の 1 つです。SAML POST レスポンスを署名するには、アサーティング パーティの証明書データ ストアに秘密キーと証明書を追加します。
ターゲット リソースへのリンクの作成(オプション)
以下のいずれかに移動します。
プロデューサでの SAML 1.x シングル サインオンの開始
SAML 1.x プロデューサで、ユーザをコンシューマ サイトに導くリンクが含まれるページを作成します。それぞれのリンクは、サイト間転送 URL を表します。ユーザは、サイト間転送 URL にアクセスする必要があります。これにより、プロデューサ側 Web エージェントにリクエストが送信されます。その後、ユーザはコンシューマ サイトにリダイレクトされます。
プロデューサでユーザが選択するリンクには、所定のクエリ パラメータが含まれる必要があります。これらのパラメータは、プロデューサ Web エージェントに対する HTTP GET リクエストの一部です。
SAML Artifact プロファイルの場合、サイト間転送 URL の構文は以下のとおりです。
http://producer_site/affwebservices/public/intersitetransfer?SMASSERTIONREF= QUERY&NAME=affiliate_name&TARGET=http://consumer_site/target_url?query_parameter_name%3Dquery_parameter_value%26query_parameter_name%3Dquery_parameter_value&SMCONSUMERURL=http://consumer_site/affwebservices/public/samlcc&AUTHREQUIREMENT=2
- sm1252sp1jjpproducer_siteフェデレーション ネットワークにインストールされているコンポーネントに応じて、Web エージェント オプション パックまたは をホストするシステムのサーバおよびポート番号を指定します。consumer_siteフェデレーション ネットワークにインストールされているコンポーネントに応じて、Web エージェント オプション パックまたは をホストするシステムのサーバおよびポート番号を指定します。
SAML POST プロファイルの場合、サイト間転送 URL の構文は以下のとおりです。
http://producer_site/affwebservices/public/intersitetransfer?SMASSERTIONREF= QUERY&NAME=affiliate_name&TARGET=http://consumer_site/target_url
- sm1252sp1jjpproducer_siteフェデレーション ネットワークにインストールされているコンポーネントに応じて、Web エージェント オプション パックまたは をホストするシステムのサーバおよびポート番号を指定します。consumer_siteフェデレーション ネットワークにインストールされているコンポーネントに応じて、Web エージェント オプション パックまたは をホストするシステムのサーバおよびポート番号を指定します。
注:
SAML POST プロファイルでは SMCONSUMERURL パラメータおよび AUTHREQUIREMENT パラメータは使用されません。ただし、これらのパラメータのいずれかをサイト間転送 URL に含める場合には、もう一方のパラメータも含めてください。アイデンティティ プロバイダでの SAML 2.0 シングル サインオンの開始
ユーザがサービス プロバイダ(POST または Artifact バインド)に移動する前にアイデンティティ プロバイダにアクセスする場合は、アイデンティティ プロバイダで未承認応答を開始します。未承認応答を開始するには、フェデレーション Web サービス アプリケーションおよびアサーション ジェネレータが HTTP Get リクエストおよびクエリ パラメータを受け付ける必要があります。このクエリ パラメータは、IdP がレスポンスを生成する対象のサービス プロバイダ ID を示します。
SAML 2.0 Artifact プロファイルまたは POST プロファイルの場合、リンクの構文は以下のとおりです。
http://
IdP_server:port
/affwebservices/public/saml2sso?SPID=SP_ID
- sm1252sp1jjpidp_server:portWeb エージェント オプション パックまたは をホストしている Web サーバおよびポートを識別します。
- sm1252sp1jjpSP_IDサービス プロバイダ ID の値。 エンティティ ID は大文字と小文字を区別します。管理 UI に表示される通りに正確に入力してください。
どのバインドが有効化されるかに応じて、ProtocolBinding クエリ パラメータをこのリンクに追加します。
注:
クエリ パラメータを HTTP エンコードする必要はありません。サービス プロバイダでシングル サインオンを開始することもできます。
アカウント パートナーでの WS フェデレーション シングル サインオンの開始
WS フェデレーション シングル サインオンを開始するには、ユーザがハードコードされた HTML リンクを持つページをクリックします。この HTML リンクにより、そのユーザのブラウザがアカウント パートナーでのシングル サインオン サービスに導かれます。その後、アカウント パートナーによりユーザがリソース パートナーにリダイレクトされます。
シングル サインオンを開始するリンクは、任意のサイトに含めることができますが、常に最初にアカウント パートナーにユーザを導く必要があります。
このリンクの構文は、次のとおりです。
https://
AP:port
/affwebservices/public/wsfedsso?wa=wsignin1.0&wtrealm=RP_ID
- sm1252sp1jjpap_server:portアカウント パートナーでシステムのサーバおよびポート番号を指定します。システムは、フェデレーション ネットワークにどのコンポーネントがインストールされているかに応じて、Web エージェント オプション パックまたは をホストしています。
注:
クエリ パラメータを HTTP エンコードする必要はありません。