アサーションを取得するためのサービスへのアクセス許可(SAML 2.0 Artifact SSO)
目次
sm1252sp1jjp
目次
sm1252sp1jjp
HTTP Artifact シングル サインオンの場合、依存パーティは、アサーションを取得するための FWS サービスを保護するポリシーへのアクセスを許可する必要があります。
アクセスを許可するには、以下の手順に従います。
- FederationWebServicesAgentGroup エージェント グループに、FWS アプリケーションを保護する Web エージェントを追加します。
- 特定のサービスへのアクセスを許可されたユーザとして依存パートナーを追加します。ユーザを所定のポリシーに追加する以外、その他すべてのポリシー オブジェクトは自動的にセットアップされます。
フェデレーション エージェント グループへの Web エージェントの追加
sm1252sp1jjp
FederationWebServicesAgentGroup エージェント グループに、FWS アプリケーションを保護する Web エージェントを追加します。
- ServletExec の場合、このエージェントは、Web エージェント オプション パックがインストールされている Web サーバにあります。
- WebLogic や JBOSS などのアプリケーション サーバの場合、この Web エージェントは、アプリケーション サーバ プロキシがインストールされている場所にインストールされています。Web エージェント オプション パックは別のシステムに存在することもあります。
以下の手順に従います。
- 管理 UI にログインします。
- [インフラストラクチャ]-[エージェント]-[エージェント]をクリックします。
- [エージェントの作成]をクリックします。
- 展開内の Web エージェントの名前を指定します。[サブミット]をクリックします。
- [インフラストラクチャ]-[エージェント]-[エージェント グループ]をクリックします。
- FederationWebServicesAgentGroup エントリを選択します。
- [追加/削除]をクリックします。[エージェント グループのメンバ]ダイアログ ボックスが表示されます。
- Web エージェントを[使用可能なメンバ]リストから[選択されたメンバ]リストに移動します。
- [OK]ボタンをクリックして、[エージェント グループ]ダイアログに戻ります。
- [サブミット]クリックした後、[閉じる]クリックしてメイン ページに戻ります。
アサーションを取得するための FWS ポリシーへの依存パートナーの追加
sm1252sp1jjp
シングル サインオンに HTTP-Artifact バインドを使用している場合、パートナーシップ内の依存パーティはアサーション検索サービスへのアクセス許可を必要とします。は、ポリシーを使用して SAML 1.x および 2.0 検索サービスを保護します。
ポリシー サーバをインストールする際に、デフォルトで FederationWebServicesDomain がインストールされます。このドメインには、がアサーションを取得するサービスに対応して以下のポリシーが含まれます。
- SAML 1.xFederationWSAssertionRetrievalServicePolicy
- SAML 2.0SAML2FWSArtifactResolutionServicePolicy
注
: WS フェデレーションは、HTTP-Artifact プロファイルを使用しません。そのため、この手順はリソース プロバイダには適用されません。これらのポリシーが任意の関連依存パートナーにアクセスするための権限を付与します。
以下の手順に従います。
- 管理 UI で、[ポリシー]、[ドメイン]、[ドメイン ポリシー]に移動します。ドメイン ポリシーのリストが表示されます。
- SAML プロファイルのポリシーを選択します。
- SAML 1.xFederationWSAssertionRetrievalServicePolicy
- SAML 2.0SAML2FWSArtifactResolutionServicePolicy
- [変更]をクリックしてポリシーを変更します。
- [ユーザ]タブを選択します。
- 該当するユーザ ディレクトリのダイアログ ボックスで、[メンバーの追加]をクリックします。
- SAML 1.xFederationWSCustomUserStore
- SAML 2.0SAML2FederationCustomUserStore
先に設定したアフィリエイト ドメインが [ユーザ/グループ]ダイアログ ボックスにリスト表示されます。たとえば、アフィリエイト ドメインが fedpartners という名前の場合、エントリはaffiliate:fedpartnersとなります。 - サービスへのアクセスを必要とするパートナーが存在するアフィリエイト ドメインの横のチェック ボックスをオンにします。[OK]をクリックします。ユーザ ディレクトリのリストに戻ります。
- [サブミット]をクリックします。ポリシーのリストに戻ります。