IdP パートナーの設定
目次
sm1252sp1jjp
目次
2
以下は、IdP1 の管理者から見た設定プロセスです。したがって IdP1 はローカル IdP です。
以下のプロセスによって IdP パートナーを確立します。
- 管理 UI にログインします。
- ユーザ ディレクトリ接続を確立します。
- IdP エンティティおよび SP エンティティを識別します。
- IdP から SP への SAML2 パートナーシップを作成します。
- パートナーシップ ウィザードに従い、最低限必要な設定を行います。
IdP でのユーザ ディレクトリ接続の確立
ユーザ ディレクトリへの接続を定義した後でパートナーシップを確立できます。IdP ユーザ ディレクトリは、アイデンティティ プロバイダがアサーションを生成する対象のユーザ レコードから構成されます。
以下の手順では、管理 UI でユーザ ディレクトリを設定する方法を説明します。IdP LDAP という名前のディレクトリにはユーザ 1 およびユーザ 2 が含まれます。
以下の手順に従います。
- 管理 UI にログインします。
- [インフラストラクチャ]-[ディレクトリ]-[ユーザ ディレクトリ]を選択します。
- [ユーザ ディレクトリの作成]をクリックします。[ユーザ ディレクトリ]ダイアログ ボックスが表示されます。
- 以下のフィールドに値を入力します。
- 名前IdP LDAP
- ネームスペースLDAP
- サーバwww.idp.demo:42088
- [LDAP 設定]セクションの以下のフィールドに入力します。
- ルートdc=idp,dc=demoその他の値はデフォルトのままにします。
- 先頭uid=
- 終端,ou=People,dc=idp,dc=demo
- [内容の表示]をクリックして、ディレクトリの内容を表示できることを確認します。
- [サブミット]をクリックします。
セッションを確立するための認証 URL の保護
ポリシー サーバがアサーションを生成するには、ユーザは IdP ポリシー サーバでセッションを持つ必要があります。セッションを確立するには、ユーザに認証チャレンジが提示されるように、ポリシーを使用して認証 URL を保護します。これにより、ユーザがログインしてセッションが確立されます。
以下の手順に従います。
- <ui> にログインします。
- [インフラストラクチャ]-[エージェント]-[エージェントの作成]を選択します。
- Agent1 という名前の Web エージェントを作成します。
- [ポリシー]-[ドメイン]-[ドメイン]-[ドメインの作成]を選択します。
- 認証 URL 用のポリシー ドメインを作成します。
- チャレンジを要求されるユーザが含まれるユーザ ディレクトリを追加します。
- ポリシー ドメインに含まれるリソースへのアクセス権が必要なユーザを選択します。
- [レルム]タブを選択し、次の値を使用してポリシー ドメインのレルムを定義します。
- エージェントAgent1
- リソース フィルタsm1252sp1jjpリソース フィルタとして、redirectjsp フォルダの以下のパスのいずれかを使用します。CA Web エージェント オプション パックおよび CA Access Gateway は、このリソース フィルタを使用します。
- 直接パス:/affwebservices/redirectjsp/
- 仮想パス:redirectjsp フォルダが存在するサーバへのパス。共通の仮想パスは、/siteminderagent/redirectjsp です。これは、Web エージェント オプション パックまたは Access Gateway で Web エージェントを設定するときにセットアップされます。仮想パスは、以下の仮想ディレクトリを指し示します。
- Web エージェントを使用して行われた場合のイベントの典型的なシーケンスを示します。web_agent_home/affwebservices/redirectjsp
- CA Access Gateway:access_gateway_home/secure-proxy/Tomcat/webapps/affwebservices/redirectjsp
このリソース フィルタは、Web エージェントとCA Access Gatewayに対して適用されます。
- デフォルト リソース保護保護
- 認証方式この例では、[基本]を選択します。認証 URL を保護するために任意の認証方式を選択できます。たとえば、認証のためにユーザをカスタム ログイン アプリケーションに送るカスタム認証方式を使用できます。redirect.jsp は、次にフェデレーション プロセスへのリダイレクトを処理します。
- 永続セッションHTTP-Artifact プロファイルの場合、セッション情報を格納するには、[セッション]セクションの[永続]チェック ボックスを選択します。 セッション情報は、シングル ログアウトなどの機能、および属性機関に必要です。
9. レルム ダイアログ ボックスの[ルール]セクションで、[ルールの作成]をクリックします。フィールドに以下の値を入力します。
- リソース/*アスタリスクは、ルールがレルム内のすべてのリソースに適用されることを意味します。
- 許可/拒否と有効/無効アクセスを許可する[有効]チェック ボックスはオン。
- アクションWeb エージェント アクションGet、Post、Put
10. [ポリシー]タブを選択し、次のコンポーネントが含まれるポリシーを作成します。
- ユーザ ディレクトリで選択したユーザのセット。
- redirectjsp アプリケーションおよび関連ルールが含まれるレルム。
これで、ポリシーにより認証 URL が保護されます。
パートナーシップ エンティティの設定
ユーザ ディレクトリ接続を確立した後で、パートナーシップの両側を識別します。管理 UI では、パートナーはそれぞれエンティティと呼ばれます。
以下の手順では、ローカル エンティティおよびリモート エンティティに必要な値について説明します。実際のネットワーク設定では、両方でローカル エンティティを作成してメタデータ ファイルにエクスポートし、ファイルを交換することができます。その後、両方でリモート エンティティを定義できます。
ローカル IdP を作成する方法
- [フェデレーション]-[パートナーシップ フェデレーション]-[エンティティ]を選択します。
- [フェデレーション エンティティ リスト]で[エンティティの作成]をクリックします。
- エンティティ ウィザードの最初の手順で、以下の選択を行ってから[次へ]をクリックします。
- エンティティ ロケーションローカル
- 新しいエンティティ タイプSAML2 IDP
- ウィザードの 2 番目の手順で、以下のフィールドに入力してから[次へ]をクリックします。
- エンティティ IDidp1この値によって、パートナーに対してエンティティが識別されます。
- エンティティ名idp1この値によって、エンティティ オブジェクトがデータベースで内部的に識別されます。パートナーはこの値を認識しません。
- ベース URLhttp://idp1.example.com:9090
他の設定はそのまま残します。注: [エンティティ名]は[エンティティ ID]と同じ値にすることができます。ただし、値をサイトの他のエンティティとは共有しないでください。 - 最後の手順で設定を確認し、[完了]をクリックします。
[エンティティ]ウィンドウに戻ります。
SP エンティティを作成する方法
- [エンティティ]ウィンドウから始めます。
- [フェデレーション エンティティ リスト]で[エンティティの作成]をクリックします。[エンティティの作成]ダイアログ ボックスが表示されます。
- エンティティ ウィザードの最初の手順で、以下の選択を行ってから[次へ]をクリックします。
- エンティティ ロケーションリモート
- 新しいエンティティ タイプSAML2 SP
- ウィザードの 2 番目の手順で、以下のようにフィールドに入力してから[次へ]をクリックします。
- エンティティ IDsp1この値によって、パートナーに対してエンティティが識別されます。
- エンティティ名sp1この値によって、エンティティ オブジェクトがデータベースで内部的に識別されます。パートナーはこの値を認識しません。
- アサーション コンシューマ サービス URL
- インデックス0
- バインディングHTTP-Post
- URLhttp://sp1.demo.com:9091/affwebservices/public/saml2assertionconsumer
- デフォルト値エントリのチェック ボックスをオンにします。
- 最後の手順で設定を確認し、[完了]をクリックします。
リモート SP エンティティが設定されました。
ローカル エンティティおよびリモート エンティティを設定した後で、パートナーシップを作成します。
IdP から SP へのパートナーシップの作成
フェデレーション エンティティの作成後に、パートナーシップ ウィザードに従って IdP から SP へのパートナーシップを設定します。ウィザードは基本的なパートナーシップ パラメータから始まります。
以下の手順に従います。
- [フェデレーション]-[パートナーシップ フェデレーション]-[パートナーシップ]を選択します。
- [パートナーシップの作成]をクリックします。
- [SAML2 IdP -> SP]を選択します。このオプションを選択することで、ユーザがローカル IdP であることを示します。パートナーシップ ウィザードの最初の手順を始めます。
- フィールドに以下の値を入力します。
- パートナーシップ名TestPartnership
- ローカル IDP IDidp1(プルダウン リストから選択)
- リモート SP IDsp1(プルダウン リストから選択)
- スキュー時間(秒)デフォルトを受け入れる
- IDP LDAP ディレクトリを[使用可能なディレクトリ]リストから[選択されたディレクトリ]リストに移動します。
- [次へ]をクリックして[フェデレーション ユーザ]手順に進みます。
アサーション生成用のフェデレーション ユーザの指定
[フェデレーション ユーザ]ダイアログ ボックスで、IdP によってアサーションを生成されるユーザを選択します。
以下の手順に従います。
- デフォルトを受け入れます。
- [次へ]をクリックして続行します。
デフォルトを受け入れることによって、
Single Sign-On
がユーザ ディレクトリのすべてのユーザのアサーションを生成できることを示します。アサーションへの名前 ID の追加
[アサーションの設定]手順では、名前 ID のフォーマットと値、およびユーザを識別する属性を指定できます。これらの属性はアサーションに含まれています。
注
: 名前 ID は必ずアサーションに含まれています。この設定では、[名前 ID]のみを指定します。他の属性を追加しないでください。
以下の手順に従います。
- [アサーションの設定]手順から、以下のフィールドの値を入力します。
- 名前 ID 形式未指定
- 名前 ID タイプスタティック
- 値GeorgeC
- [次へ]をクリックして続行し、シングル サインオン(SSO)をセットアップします。
IdP でのシングル サインオンのセットアップ
パートナー間のシングル サインオンを確立するには、SSO 設定を行います。
以下の手順に従います。
- パートナーシップ ウィザードの[SSO と SLO]手順から始めます。
- [認証]セクションで以下のエントリを指定します。
- 認証モードローカル
- 認証 URL完全な認証 URL を入力します。例:
- 直接 URL:http://webserver1.example.com/affwebservices/redirectjsp/redirect.jsp
- 仮想 URL:http://webserver1.example.com/siteminderagent/redirectjsp/redirect.jspこの URL で、siteminderagent は仮想パスへのエイリアスです。
認証 URL をポリシーで保護します。
- AuthnContext の設定デフォルトを受け入れる
- 認証クラスデフォルトを受け入れる
- [SSO]セクションで以下のエントリを指定します。
- SSO バインディングHTTP-POST
- アサーション コンシューマ URLhttp://sp1.demo.com:9091/affwebservices/public/saml2assertionconsumer
- [次へ]をクリックして[署名および暗号化]手順に移動します。
署名処理の無効化
sm1252sp1jjp
この簡単なパートナーシップでは、署名処理を無効にします。ただし、実稼働環境では、アイデンティティ プロバイダはアサーションに署名する必要があります。
以下の手順に従います。
- [署名および暗号化]手順から、[署名の処理を無効にする]を選択します。
- [次へ]をクリックして次の手順に移動します。
IdP から SP へのパートナーシップ設定の確認
フェデレーション パートナーシップの一方に対するパートナーシップ定義が完了しました。設定を確認します。
以下の手順に従います。
- [確認]ダイアログ ボックスでパートナーシップの設定を確認します。
- 設定を変更するには、いずれかのセクションで[変更]をクリックします。
- 設定が終了したら、[完了]をクリックします。
パートナーシップの IdP 側が完了しました。IdP システムとは異なるシステム上でパートナーシップの SP 側を定義します。