SAML 2.0 IdP のユーザ許可

ID プロバイダは、SAML 2.0 のユーザ許可機能をサポートしています。ユーザ許可では、ID プロバイダは、アサーションをパートナーに送信する前に、ユーザに許可を求める必要があります。ID プロバイダでユーザ許可を有効にしていると、 によってユーザは許可を求められます。アイデンティティ プロバイダは、アサーション内に許可値を渡します。
sm1252sp1jjp
Single Sign-On
ID プロバイダは、SAML 2.0 のユーザ許可機能をサポートしています。ユーザ許可では、ID プロバイダは、アサーションをパートナーに送信する前に、ユーザに許可を求める必要があります。ID プロバイダでユーザ許可を有効にしていると、
Single Sign-On
によってユーザは許可を求められます。アイデンティティ プロバイダは、アサーション内に許可値を渡します。
許可の有効期間は 5 分間です。ID プロバイダがユーザを許可ページにリダイレクトすると、ユーザには、許可を与えて ID プロバイダに戻されるまでに 5 分間あります。その後、アイデンティティ プロバイダはアサーションを生成してサービス プロバイダに送信します。これらのタスクを 5 分の間に完了する必要があります。アサーションを生成する前に時間切れになると、アイデンティティ プロバイダはユーザ ID を渡しません。
許可は単一のアサーションにのみ適用されます。アイデンティティ プロバイダは、アサーションの生成後に、付与された許可のすべてのレコードを削除します。5 分の有効期間が切れる前に、同じユーザはアイデンティティ プロバイダに戻れますが、アイデンティティ プロバイダはユーザにさらに許可を求めます。
注:
有効期間は設定できません。
ユーザ 1 は 2:00PM に MyWorkPlace.com にログインして認証します。MyWorkPlace はアイデンティティ プロバイダとして機能しています。2:03PM に、ユーザは従業員の旅行サービスを実行するパートナー企業へのリンクを選択します。ユーザ 1 は、ExampleTravel.com に送られる前に許可を求めるフォームにリダイレクトされます。ユーザ 1 は許可フォームに入力する前に電話を受けます。現在は 2:10PM です。有効期間が切れたので、MyWorkPlace はアサーションを生成しません。
ユーザ 1 が速やかに許可を与えて、2:05PM までにアイデンティティ プロバイダにリダイレクトされれば、アイデンティティ プロバイダはアサーションを生成します。許可およびアサーション生成の間で 2 分のみ経過しますので、有効期間はまだアクティブです。
ユーザ許可を設定するには以下を実行する必要があります。
  • ユーザ許可を有効にします。
  • ユーザ許可フォームの名前を入力します。
    アイデンティティ プロバイダは、許可を得るためにカスタム フォームをユーザに送信します。
ID プロバイダがユーザ許可属性をアサーション レスポンスに含める場合、以下の URI のみが使用されます。
urn:oasis:names:tc:SAML:2.0:consent:obtained
ユーザ許可はサービス プロバイダでも設定できます。サービス プロバイダは、ユーザ許可値をアサーション レスポンス内に渡すようにアイデンティティ プロバイダに要求できます。
ユーザ許可フォームのカスタマイズ
Single Sign-On
には、ca_defaultconsentform.html という名前の
フェデレーションの許可
フォームが付属しています。アイデンティティ プロバイダは、許可を得るためにカスタム フォームをユーザに送信します。デフォルトの許可フォームは %NETE_WA_ROOT%\customization ディレクトリ内にあります。%NETE_WA_ROOT% は Web エージェント オプション パックの場所です。
デフォルトの許可フォームを使用して 管理 UI でフォームを指定する代わりにカスタム フォームを作成することができます。
以下の手順に従います。
  1. カスタム HTML フォームを作成します。フォームを変更して以下の設定の値を置換します。
    • $$userconsent_spid$$
      パートナーシップで設定された SP ID を表します
    • $$userconsent_idpid$$
      パートナーシップで設定された IDP ID を表します。
  2. フォームを %NETE_WA_ROOT%\customization ディレクトリに配置します。
    NETE_WA_ROOT はシステム環境変数です。%NETE_WA_ROOT% は Web エージェント オプション パックの場所です。Web エージェントおよび Web エージェント オプション パックが同じシステム上にインストールされている場合、たとえば webagent\customization など同じディレクトリにインストールされます。
  3. 管理 UI にログインします。
  4. [フェデレーション]-[パートナーシップ フェデレーション]-[パートナーシップ]に移動します。
  5. 変更する IdP から SP へのパートナーシップを選択します。
  6. パートナーシップ ウィザードの[SSO と SLO]手順に移動します。
  7. [SSO]セクションで、以下の操作を実行します。
    1. [ユーザ許諾の有効化]チェック ボックスをオンにします。
    2. [ユーザ許諾 Post フォーム]フィールドでカスタム フォームの名前を指定します。
    注:
    [ユーザ許諾サービス URL]はデフォルトで指定されています。この値は変更できません。
  8. 設定が終了したら、[確認]手順に移動して[完了]をクリックします。