SAML 2.0 属性クエリのサポート

目次
sm1252sp1jjp
目次
2
IdP は SAML 2.0 アサーション クエリ/リクエスト プロファイルをサポートしており、属性クエリに応答できます。また、IdP はアサーション内またはメタデータ内にない属性のクエリを許可することにより、プロファイルの機能を拡張します。IdP が属性クエリを受信すると、IdP は、属性を検索するためにまずそのユーザ ディレクトリを確認します。属性が見つからない場合、ポリシー サーバがセッション ストアを確認します。セッション ストアは、外部の ID プロバイダからの属性、高度な認証方式から収集された属性、およびその他のソースを保持できます。
注: IdP のみがクエリ プロファイルをサポートします。属性リクエスタとしての SP は、プロキシ化された属性クエリ機能に対してのみサポートされます。
IdP には、SP がそのメタデータでリクエストできるユーザ属性がすべてあります。SP は、2 つの方法でこれらの属性を取得できます。
  • アサーションで送信される属性のセットを抽出します。
    ID プロバイダ アサーション設定により、含まれる属性のセットが決まります。すべての属性のサブセットを定義すると、属性の数が最も不可欠なものに制限され、これにより処理のオーバーヘッドが軽減されます。
  • IdP メタデータをインポートします。
メタデータ内の属性に加えて、SP は、アサーション、またはメタデータ内にない属性を必要とする場合があります。その他の属性を取得するために、SP は IdP に属性クエリを送信します。
クエリ リクエスト プロファイルは、2 つのエンティティを使用します。
  • SAML 属性機関
  • SAML 属性リクエスタ
IdP は、属性機関としてのみ機能できます。SP は属性リクエスタになりません。
がパートナーシップの両側にある場合、アサーション クエリ/レスポンス プロファイルを使用できません。
属性クエリ サポート用のパートナーシップの設定
IdP が属性クエリに応答するには、IdP から SP へのパートナーシップが存在する必要があります。パートナーシップを作成するか、既存のパートナーシップを変更できます。
パートナーシップの作成手順は、以下のようなものです。
  1. SAML 2.0 IdP および SP エンティティを作成します。
  2. パートナーシップ用のユーザ ディレクトリへの接続を設定します。
  3. SAML 2.0 の IdP から SP へのパートナーシップを作成します。
  4. SAML 2.0 属性機関を設定します。
これらの手順は、このページで説明します
SAML 2.0 属性機関の設定
属性機関として機能するように IdP を設定できます。
以下の手順に従います。
  1. 管理 UI にログインします。
  2. [フェデレーション]-[パートナーシップ フェデレーション]-[パートナーシップ]を選択します。
  3. 変更または新しく作成する IdP から SP へのパートナーシップを選択します。
  4. パートナーシップ ウィザードの[SSO と SLO]手順に移動します。
  5. ダイアログ ボックスの[属性サービス]セクションの[有効]を選択します。
  6. [有効期間]に秒数を入力します。
  7. (オプション)属性クエリの署名、および属性アサーションおよびレスポンスの署名を要求するかどうかを指定します。
  8. [ユーザの検索]セクションで、適切なユーザ ディレクトリ ネームスペースの検索指定を入力します。属性機関は、この検索指定を使用してユーザを特定します。
    LDAP ユーザ ディレクトリに対する例には、uid=%s などがあります。少なくとも 1 つの検索条件が必要です。
  9. (オプション)[バック チャネル]セクションで[保護タイプ]に[パートナーシップ]を指定します。認証方法を選択します。バック チャネルの詳細については、[ヘルプ]をクリックしてください。
  10. パートナーシップを保存してアクティブにします。
これでアイデンティティ プロバイダは属性機関として機能するように設定されました。この機関は、サードパーティ SP からの属性クエリに応答できるようになりました。