SAML 2.0 IdP のユーザ許可
ID プロバイダは、SAML 2.0 のユーザ許可機能をサポートしています。ユーザ許可では、ID プロバイダは、アサーションをパートナーに送信する前に、ユーザに許可を求める必要があります。ID プロバイダでユーザ許可を有効にしていると、 によってユーザは許可を求められます。アイデンティティ プロバイダは、アサーション内に許可値を渡します。
sm1252sp1jjp
Single Sign-On
ID プロバイダは、SAML 2.0 のユーザ許可機能をサポートしています。ユーザ許可では、ID プロバイダは、アサーションをパートナーに送信する前に、ユーザに許可を求める必要があります。ID プロバイダでユーザ許可を有効にしていると、Single Sign-On
によってユーザは許可を求められます。アイデンティティ プロバイダは、アサーション内に許可値を渡します。許可の有効期間は 5 分間です。ID プロバイダがユーザを許可ページにリダイレクトすると、ユーザには、許可を与えて ID プロバイダに戻されるまでに 5 分間あります。その後、アイデンティティ プロバイダはアサーションを生成してサービス プロバイダに送信します。これらのタスクを 5 分の間に完了する必要があります。アサーションを生成する前に時間切れになると、アイデンティティ プロバイダはユーザ ID を渡しません。
許可は単一のアサーションにのみ適用されます。アイデンティティ プロバイダは、アサーションの生成後に、付与された許可のすべてのレコードを削除します。5 分の有効期間が切れる前に、同じユーザはアイデンティティ プロバイダに戻れますが、アイデンティティ プロバイダはユーザにさらに許可を求めます。
注:
有効期間は設定できません。例
ユーザ 1 は 2:00PM に MyWorkPlace.com にログインして認証します。MyWorkPlace はアイデンティティ プロバイダとして機能しています。2:03PM に、ユーザは従業員の旅行サービスを実行するパートナー企業へのリンクを選択します。ユーザ 1 は、ExampleTravel.com に送られる前に許可を求めるフォームにリダイレクトされます。ユーザ 1 は許可フォームに入力する前に電話を受けます。現在は 2:10PM です。有効期間が切れたので、MyWorkPlace はアサーションを生成しません。
ユーザ 1 が速やかに許可を与えて、2:05PM までにアイデンティティ プロバイダにリダイレクトされれば、アイデンティティ プロバイダはアサーションを生成します。許可およびアサーション生成の間で 2 分のみ経過しますので、有効期間はまだアクティブです。
ユーザ許可を設定するには以下を実行する必要があります。
- ユーザ許可を有効にします。
- ユーザ許可フォームの名前を入力します。アイデンティティ プロバイダは、許可を得るためにカスタム フォームをユーザに送信します。
ID プロバイダがユーザ許可属性をアサーション レスポンスに含める場合、以下の URI のみが使用されます。
urn:oasis:names:tc:SAML:2.0:consent:obtained
ユーザ許可はサービス プロバイダでも設定できます。サービス プロバイダは、ユーザ許可値をアサーション レスポンス内に渡すようにアイデンティティ プロバイダに要求できます。
ユーザ許可フォームのカスタマイズ
Single Sign-On
には、ca_defaultconsentform.html という名前のフェデレーションの許可
フォームが付属しています。アイデンティティ プロバイダは、許可を得るためにカスタム フォームをユーザに送信します。デフォルトの許可フォームは %NETE_WA_ROOT%\customization ディレクトリ内にあります。%NETE_WA_ROOT% は Web エージェント オプション パックの場所です。デフォルトの許可フォームを使用して 管理 UI でフォームを指定する代わりにカスタム フォームを作成することができます。
以下の手順に従います。
- カスタム HTML フォームを作成します。フォームを変更して以下の設定の値を置換します。
- $$userconsent_spid$$パートナーシップで設定された SP ID を表します
- $$userconsent_idpid$$パートナーシップで設定された IDP ID を表します。
- フォームを %NETE_WA_ROOT%\customization ディレクトリに配置します。NETE_WA_ROOT はシステム環境変数です。%NETE_WA_ROOT% は Web エージェント オプション パックの場所です。Web エージェントおよび Web エージェント オプション パックが同じシステム上にインストールされている場合、たとえば webagent\customization など同じディレクトリにインストールされます。
- 管理 UI にログインします。
- [フェデレーション]-[パートナーシップ フェデレーション]-[パートナーシップ]に移動します。
- 変更する IdP から SP へのパートナーシップを選択します。
- パートナーシップ ウィザードの[SSO と SLO]手順に移動します。
- [SSO]セクションで、以下の操作を実行します。
- [ユーザ許諾の有効化]チェック ボックスをオンにします。
- [ユーザ許諾 Post フォーム]フィールドでカスタム フォームの名前を指定します。
注:[ユーザ許諾サービス URL]はデフォルトで指定されています。この値は変更できません。 - 設定が終了したら、[確認]手順に移動して[完了]をクリックします。