名前 ID 管理プロファイルの設定(SAML 2.0)

SAML 2.0 名前 ID プロファイルを使用すると、フェデレーション パートナーシップから個別のユーザのプロビジョニングを解除できます。さまざまな理由によりパートナーシップからユーザを削除できます。たとえば、従業員が会社を辞めた場合や、サービス プロバイダで SSO 機能が必要なくなった場合などです。プロビジョニング解除リクエストは、クライアント アプリケーション プログラムを使用して行います。
sm1252sp1jjp
SAML 2.0 名前 ID プロファイルを使用すると、フェデレーション パートナーシップから個別のユーザのプロビジョニングを解除できます。さまざまな理由によりパートナーシップからユーザを削除できます。たとえば、従業員が会社を辞めた場合や、サービス プロバイダで SSO 機能が必要なくなった場合などです。プロビジョニング解除リクエストは、クライアント アプリケーション プログラムを使用して行います。
名前 ID プロファイルを設定するプロセスは次のとおりです。
2
Name Identifier Management Administration Web サービス URL を保護する
カスタマ アプリケーションは、Name Identifier Management Administration Web サービスを使用して、ユーザのプロビジョン解除をパートナーシップにリクエストします。この Web サービスは REST インターフェースを実装します。
このサービスの URL は /affwebservices/saml2nidws です。この URL は基本認証情報を使用して保護します。ドメインに関連付けられたユーザ ディレクトリに、このサービスの任意のユーザを含めます。
Single Sign-On
 ポリシー管理者はデフォルトでは含まれていません。それらは、関連するディレクトリに手動で追加できます。
名前 ID 管理に対するリモート エンティティの設定
名前 ID 管理をサポートするパートナーシップを作成する最初の手順は、リモートおよびローカルのパートナーまたはエンティティを定義することです。エンティティを手動で設定することも、XML メタデータをインポートすることできます。以下の手順はマニュアル設定向けです。
以下の手順に従います。
  1. 管理 UI で、[フェデレーション]、[パートナーシップ フェデレーション]、[エンティティ]に移動します。
  2. [エンティティの作成]をクリックします。
  3. [リモート](実装に応じて、IdP または SP のいずれか)を選択します。
  4. エンティティに関する詳細を設定するために[次へ]をクリックします。
  5. [エンティティ ID]および[エンティティ名](必須)の値を入力します。
  6. [名前 ID サービス URL の管理]の行にある[行の追加]をクリックします。
  7. SOAP バインディングを選択します。リモート エンティティは別のバインディングを指定できます。これはインポートされますが、未使用です。
  8. ロケーション URL を入力します。これによって、名前 ID 管理サービスの URL が指定されます。この値を以下に示します。
    http://
    sp_server:port
    /affwebservices/public/saml2nidsoap
  9. [レスポンス ロケーション URL]フィールドは空白のままにします。SOAP バインディングのレスポンス ロケーション URL はロケーション URL と同じです。
  10. サポートされている名前 ID 形式をこのリストから選択します。
  11. 実装に必要なフィールドがほかにあれば、入力します。
  12. [次へ]をクリックして、エンティティ設定を確認します。
  13. [完了]をクリックします。
ローカル エンティティの作成
名前 ID 管理をサポートするパートナーシップを作成する最初の手順は、リモートおよびローカルのパートナーまたはエンティティを定義することです。エンティティを手動で設定することも、XML メタデータをインポートすることできます。パートナーシップでのエンティティの作成に慣れていない場合は、「フェデレーション エンティティ設定」を参照してください。
重要
: ユーザ プロビジョニング解除またはリンク解除に対して名前 ID 形式を選択できます。動的アカウント リンクは永続的な ID 形式のみをサポートします。アカウント リンクとリンク解除を実装している場合は、永続的識別子名前 ID 形式を選択します。
名前 ID 管理に対するパートナーシップの設定
名前 ID 管理機能を有効にするには、新しいパートナーシップまたは既存のパートナーシップについて何らかの設定が必要です。ローカル エンティティまたはリモート エンティティのいずれでも、ユーザのプロビジョニングを解除するリクエストをパートナーシップに出すことができます。
以下の手順に従います。
  1. [SSO と SLO]ダイアログ ボックスに移動します。
  2. [認証]および[SSO]セクションがまだ設定されていない場合は、その設定を行います。
  3. [マネージャ名 ID]セクションに移動します。
  4. [MNI]フィールドで[SOAP]を選択します。
    この選択により、パートナーシップにおける名前 ID 管理が有効になります。これらのオプションの説明については、オンライン ヘルプを参照してください。
  5. (必須)SOAP タイムアウト値を指定します。この値は、リモート プロバイダへのリクエストがタイムアウトするまで、ランタイムが待機する秒数です。
    デフォルト
    : 60 秒
  6. (必須)再試行回数を指定します。これは、失敗を宣言する前に、バックグラウンド リクエストが試行される回数です。デフォルト値は 3 です。
  7. (必須)再試行境界を指定します。これは、再試行間隔の時間(分)です。デフォルトは 15 分です。
  8. [通知を許可]オプションを選択している場合は、[通知 URL]を指定します。この URL は、カスタマ アプリケーションに HTTP 通知を送信する場所です。通知には、プロビジョニング解除リクエストの完了後のプロビジョニング解除リクエストのステータスが含まれます。
    • ステータス 1 - プロビジョニング解除成功
    • ステータス 0 - プロビジョニング解除失敗
  9. [通知タイムアウト]を指定します。これは、リクエストがタイムアウトと見なされるまで待機する秒数です。
    デフォルト
    : 60 秒
  10. 通知認証タイプ([認証なし]または[ベーシック])を指定します。[ベーシック]を選択した場合は、ユーザ名とパスワードを指定します。
: この機能が正しく機能するには、[MNI]セクションで[名前 ID の削除]または[通知の有効化]オプションまたはその両方を選択します。
これらの手順は、マネージャ名 ID 設定を完了します。
パートナーシップのアクティブ化
詳細については、「パートナーシップ アクティブ化」を参照してください。
名前 ID 管理リクエストの有効化
非同期リクエスト プロセッサという名前の Web エージェント オプション パック内部コンポーネントは、名前 ID 管理サービスへのリクエストをすべて処理します。一度に 1 つの Web エージェント オプション パックだけがでこのサービスを実行できます。管理 UI での設定に加えて、以下の場所で AffWebServices.properties ファイルで設定を指定することにより、名前 ID 管理の処理を有効にします。
  • SPS: <SECURE_PROXY_HOME>/Tomcat/webapps/affwebservices/WEB-INF/classes
  • WA+WAOP: <WEB_AGENT_HOME>/affwebservices/WEB-INF/classes
AffWebServices.properties ファイルには、名前 ID 管理に関連する以下の設定が含まれます。
  • ProcessBackgroundNameIDOperations
    このシステムで名前 ID 操作を処理するかどうかを指定します。
    デフォルト: False
    重要:
    オプション パックまたは
    CA Access Gateway
    に対して名前 ID 管理を有効にするには、この値を True に設定します。
  • BackgroundProcessingInterval
    非同期プロセッサが名前 ID リクエストを確認する時間間隔を秒数で指定します。この値は変更できます。
    デフォルト: 60 秒
オプション パックまたは
CA Access Gateway
をアップグレードする場合、インストーラはこれらの設定とそのデフォルト値を新しいプロパティ ファイルに追加します。
Name Identifier Web サービスと対話するクライアント アプリケーションの作成
クライアント アプリケーションのコンテンツは実装によって異なります。ユーザの削除をリクエストするには、Name Identifier Management Administration Web サービスを使用します。Web サービスは以下の 2 つの HTTP メソッドを実現します。
  • POST -- プロビジョニング解除リクエストを開始する。
  • GET -- リクエストのステータスをポーリングする。
これらのメソッドは OData プロトコルに準拠しています。これらのメソッドに関する詳細については後のセクションで説明されています。
フェデレーション メンバシップの終了
管理者は、以下の URL を使用することにより、ユーザのフェデレーション メンバシップを終了できます。
POST http://<server+port>/affwebservices/saml2nidws/terminate
この非同期リクエストによって、XPS に ManageNameID イベントが作成されます。
POST 本体には、以下の値が含まれています。
  • UserDN
    SMSession がないので、ユーザを明確にします。LDAP の DN はたとえば、uid=user0001,ou=Engineering,o=security.com となります。
  • OperationType
    特定のユース ケースを示します。有効値は以下のとおりです。
    • sp - 特定のサービス プロバイダとのフェデレーションを終了する idp を示します。
    • idp - 特定のアイデンティティ プロバイダとのフェデレーションを終了するサービス プロバイダを示します。
  • ProviderID
    オペレーションの一部であるプロバイダを特定します。sp 値および idp 値の場合、ProviderID はリモート プロバイダを識別します。OperationType が 'sp' である場合、ProviderID はリモート サービス プロバイダ オブジェクトを表します。OperationType が 'idp' である場合、ProviderID はリモート アイデンティティ プロバイダ オブジェクトを表します。
リクエストの POST 本文内の情報は JSON または AtomPub 形式です。以下の例は JSON 形式です。
{ "UserDN":"uid=user0001,ou=Engineering,o=security.com", "OperationType":"sp", "ProviderID":"http://company.example.com/SPID" }
このリクエストは、この永続化オブジェクトを表すリソースを返します。たとえば、次のとおりです。
http://<server+port>/affwebservices/saml2nidws/terminate(<XID>)
<XID> は作成されたオブジェクトの XPS XID です。クライアントは、このオブジェクトの変更をポーリングするためにこの URL を使用できます。
リクエストは、以下のような完全な AtomPub 形式にすることもできます。<?xml version="1.0" encoding="utf-8"?><entry xmlns="http://www.w3.org/2005/Atom" xmlns:d="http://schemas.microsoft.com/ado/2007/08/dataservices" xmlns:m="http://schemas.microsoft.com/ado/2007/08/dataservices/metadata"><title type="text"></title><author><name></name></author><category term="NameidProducer.terminate" scheme="http://schemas.microsoft.com/ado/2007/08/dataservices/scheme"></category><content type="application/xml"><m:properties><d:UserDN>uid=user0001,ou=Engineering,o=security.com</d:UserDN><d:ProviderID>http://company.example.com/SPID</d:ProviderID><d:OperationType>SP</d:OperationType></m:properties></content></entry>
POST サービスは以下の HTTP リターン コードを設定します。
HTTP ステータス
説明
201
リソースが作成されました
400
リクエストが正しくありません
415
メディア タイプがサポートされていません
500
内部サーバ エラー
ステータスのポーリング
管理者は、このサービスを使用することで、次の URL を使用して非同期リクエストのステータスをリクエストできます。
GET http://<server+port>/affwebservices/saml2nidws/terminate(<XID>)
リソース ステータスのポーリングに使用される URL。
レスポンスはリクエストのステータスを返します(PENDING、COMPLETED または FAILED のいずれか)。
重要
: このリクエストを実行する前に、エージェント設定オブジェクトの CssChecking パラメータが NO に設定されていることを確認してください。この設定により、OData とクロス サイト スクリプティング攻撃の間の構文の潜在的な競合が回避されます。
GET サービスは以下の HTTP リターン コードを設定します。
HTTP ステータス
説明
200
OK
400
リクエストが正しくありません
403
禁止されています(Web エージェントに対して CSS チェックがオンの場合)
415
メディア タイプがサポートされていません
500
内部サーバ エラー