IdP でのアイデンティティ プロバイダ ディスカバリの設定

目次
sm1252sp1jjp
目次
2
sm1252sp1jjp
アイデンティティ プロバイダ ディスカバリ(IPD)プロファイルは、共通の検出サービスを提供し、これを使用して、サービス プロバイダが認証用の固有の IdP を選択できます。パートナー間では前もって業務提携契約が確立され、ネットワーク内のすべてのサイトがアイデンティティ プロバイダ ディスカバリ サービスとやり取りできるようになります。
このプロファイルは、複数のパートナーがアサーションを提供するフェデレーション ネットワークで役立ちます。サービス プロバイダは、特定のユーザの認証リクエストを送信する ID プロバイダの決定ができます。
IdP ディスカバリ プロファイルは、2 つのフェデレーション パートナーに共通の Cookie ドメインを使用して実装されます。合意されたドメインの Cookie には、そのユーザがアクセスしたことがある IdP のリストが含まれています。
IDP ディスカバリ プロファイルの場合、SP は、認証リクエストの送信先となる IdP を決定する必要があります。SP が認証するユーザは、以前にアイデンティティ プロバイダにアクセスし、認証している必要があります。
IdP では、アイデンティティ プロバイダ ディスカバリ機能の有効化のみを行います。追加の設定は不要です。この機能を有効にすると、結果的に IDP ディスカバリ サービスの共通のドメインに Cookie が設定されます。この処理は、ユーザには見えません。
アイデンティティ プロバイダ ディスカバリ プロファイルの有効化(オプション)
フェデレーション ネットワークには、アサーションを生成するアイデンティティ プロバイダが複数存在する場合があります。アイデンティティ プロバイダ ディスカバリ プロファイルを使用することにより、ユーザが特定のアイデンティティ プロバイダを認証用に選択することができます。
アイデンティティ プロバイダ ディスカバリ プロファイルを有効にする方法
  1. 管理 UI にログオンします。
  2. 変更する SP の[SAML プロファイル]ページに移動します。
  3. [IPD]セクションで、[有効]チェック ボックスをオンにします。
  4. 必要なフィールドに入力し、必要な設定を選択します。
    : [サービス URL]フィールドに以下のアイデンティティ プロバイダ ディスカバリ プロファイル サーブレットを設定してください。
    https://
    host:port
    /affwebservices/public/saml2ipd
  5. [サブミット]をクリックして、変更を保存します。
IdP ディスカバリ ターゲットの攻撃からの保護
sm1252sp1jjp
アイデンティティ プロバイダ ディスカバリ サービスが共通ドメイン Cookie のリクエストを受け取る場合、リクエストには IPDTarget という名前のクエリ パラメータが含まれています。このクエリ パラメータは、Discovery サービスでリクエストを処理した後にリダイレクトする URL をリスト表示します。
IdP の場合、IPDTarget は SAML 2.0 シングル サインオン サービスです。SP の場合、ターゲットは共通ドメイン Cookie を使用するリクエスト アプリケーションです。
PDTarget クエリ パラメータをセキュリティ攻撃から保護することが推奨されます。不正なユーザは、このクエリ パラメータに任意の URL を配置することができます。この URL により、悪意のあるサイトにリダイレクトされる可能性があります。
クエリ パラメータを攻撃から保護するには、エージェント設定オブジェクトの設定項目である
ValidFedTargetDomain
を設定します。ValidFedTargetDomain パラメータ は、フェデレーション環境の有効なドメインのすべてをリストします。
注:
ValidFedTargetDomain 設定は、Web エージェントが使用する ValidTargetDomain 設定に類似していますが、この設定は特に連携に対して定義されます。
IPD サービスは、IPDTarget クエリ パラメータを検査します。このサービスは、クエリ パラメータによって指定される URL のドメインを取得します。IPD サービスでは、このドメインを、ValidFedTargetDomain パラメータで指定されるドメインのリストと比較します。URL ドメインが ValidFedTargetDomain に設定されたドメインの 1 つと一致する場合、IPD サービスは指定された URL にユーザをリダイレクトします。
ドメインが一致しない場合、IPD サービスはユーザ リクエストを拒否し、ブラウザに 403 Forbidden が返されます。また、FWS トレース ログおよび affwebservices ログにエラーが報告されます。これらのメッセージは、IPDTarget のドメインが有効なフェデレーション ターゲット ドメインとして定義されないことを示します。
ValidFedTargetDomain を設定しない場合、サービスは検証を一切実行せずに、ユーザをターゲット URL にリダイレクトします。