SP パートナーの設定
目次
sm1252sp1jjp
目次
2
以下は、SP (この例では SP1)の管理者から見た設定プロセスです。したがって SP1 はローカル SP です。
以下のプロセスによって SP パートナーを確立します。
- 管理 UI にログインします。
- ユーザ ディレクトリ接続を確立します。
- IdP エンティティおよび SP エンティティを識別します。
- SP から IdP への SAML2 パートナーシップを作成します。
- パートナーシップ ウィザードに従い、最低限必要な設定を行います。
SP でのユーザ ディレクトリ接続の確立
SP ユーザ ディレクトリは、サービス プロバイダが認証に使用するユーザ レコードで構成されます。以下の手順では、管理 UI でユーザ ディレクトリを設定する方法を説明します。SP LDAP という名前のディレクトリにはユーザ 1 およびユーザ 2 が含まれます。
ユーザ ディレクトリを設定する方法
- 管理 UI にログインします。
- [インフラストラクチャ]-[ディレクトリ]-[ユーザ ディレクトリ]を選択します。
- [ユーザ ディレクトリの作成]をクリックします。[ユーザ ディレクトリ]ダイアログ ボックスが表示されます。
- 以下のフィールドに値を入力します。
- 名前SP LDAP
- [ディレクトリのセットアップ]セクションで、以下のフィールドに入力します。
- ネームスペースLDAP
- サーバwww.sp.demo:32941
- [LDAP 検索]セクションで、以下のフィールドに入力します。
- ルートdc=sp,dc=demoその他の値はデフォルトのままにします。
- [LDAP ユーザ DN の検索]セクションで、以下のフィールドに入力します。
- 先頭uid=
- 終端,ou=People,dc=sp,dc=demo
- [内容の表示]をクリックして、ディレクトリの内容を表示できることを確認します。
- [サブミット]をクリックします。
パートナーシップ エンティティの識別
ユーザ ディレクトリ接続を確立した後で、パートナーシップのローカル側およびリモート側を識別します。管理 UI では、パートナーはそれぞれエンティティと呼ばれます。
以下の手順では、ローカル エンティティおよびリモート エンティティに必要な値について説明します。通常、両方でローカル エンティティを作成してメタデータ ファイルにエクスポートし、ファイルを交換します。その後、両方でリモート エンティティを定義できます。
ローカル SP を作成する方法
- [フェデレーション]-[パートナーシップ フェデレーション]-[エンティティ]を選択します。
- [エンティティの作成]をクリックします。
- エンティティ ウィザードの最初の手順で、以下の選択を行ってから[次へ]をクリックします。
- エンティティ ロケーションローカル
- 新しいエンティティ タイプSAML2 SP
- 2 番目の手順で、以下のようにフィールドに入力してから[次へ]をクリックします。
- エンティティ IDsp1この値によって、パートナーに対してエンティティが識別されます。
- エンティティ名sp1この値によって、エンティティ オブジェクトがデータベースで内部的に識別されます。パートナーはこの値を認識しません。
- ベース URLhttp://sp1.demo.com:9091
注: エンティティ ID およびエンティティ名は、アイデンティティ プロバイダでリモート SP エンティティに対して指定したものと同じである必要があります。 - 設定を確認して[完了]をクリックします。
[エンティティ]ウィンドウに戻ります。リモート パートナーを設定します。
リモート IdP を作成する方法
- [エンティティ]ウィンドウから始めます。
- [エンティティの作成]をクリックします。
- エンティティ ウィザードの最初の手順で、以下の選択を行ってから[次へ]をクリックします。
- エンティティ ロケーションリモート
- 新しいエンティティ タイプSAML2 IDP
- ウィザードの 2 番目の手順で以下のようにフィールドに入力します。
- エンティティ IDidp1この値によって、パートナーに対してエンティティが識別されます。
- エンティティ名idp1この値によって、エンティティ オブジェクトがデータベースで内部的に識別されます。パートナーはこの値を認識しません。
注: エンティティ ID およびエンティティ名は、アイデンティティ プロバイダ側と同じである必要があります。[SSO サービス URL グループ]セクション- バインディングHTTP リダイレクト
- URLhttp://idp1.example.com:9090/affwebservices/public/saml2sso
- 設定を確認して[完了]をクリックします。
ローカル エンティティおよびリモート エンティティの設定後に、パートナーシップを作成できます。
SP から IdP へのパートナーシップの作成
パートナーシップ エンティティを作成したら、パートナーシップ ウィザードに従って SP から IdP へのパートナーシップを設定します。
以下の手順に従います。
- [フェデレーション]-[パートナーシップ フェデレーション]-[パートナーシップ]を選択します。
- [パートナーシップの作成]をクリックします。
- [SAML2 SP->IdP]を選択します。パートナーシップ ウィザードの最初の手順を始めます。
- フィールドに以下の値を入力します。
- パートナーシップ名DemoPartnership
- ローカル SP IDsp1
- リモート IDP IDidp1
- スキュー時間(秒)デフォルトを受け入れる
- SP LDAP ディレクトリを[使用可能なディレクトリ]から[選択されたディレクトリ]に移動します。
- [次へ]をクリックして[ユーザ識別]手順に進みます。
ユーザ識別属性の指定
ユーザを識別するアサーションの属性を指定します。は ID 属性値を使用して、SP でユーザ ディレクトリ内のユーザ レコードを検索します。
ユーザ識別属性を指定する方法
- [ユーザ識別]手順に移動します。
- [アサーションからのアイデンティティ属性の選択]で、デフォルトの[名前 ID を使用]をそのまま使用します。
- [アイデンティティ属性のユーザ ディレクトリへのマップ]セクションで、以下のエントリを指定します。
- LDAP 検索仕様
このエントリによって、Single Sign-Onは変数(%s)をアサーションの[名前 ID]属性の値に置換します。その後、はその値をサンプル ユーザ データベースの[名前]列と一致させます。一致させると、ユーザは明確化され、ターゲット リソースへのアクセスを許可されます。 - [フェデレーション ユーザ]セクションではデフォルトを受け入れます。ユーザ ディレクトリ内のすべてのユーザはフェデレーション ユーザであるとみなされます。
- [次へ]をクリックしてシングル サインオンを設定します。
SP でのシングル サインオンの設定
パートナー間のシングル サインオンを確立するには、SSO 設定を行います。
以下の手順に従います。
- [SSO と SLO]手順から始めます。
- [SSO プロファイル]の[HTTP-POST]を選択します。
- [リモート SSO サービス URL]セクションで以下の値を指定します。
- バインディングHTTP リダイレクト
- URLhttp://idp1.example.com:9090/affwebservices/public/saml2sso
- [署名および暗号化]手順に到達するまで[次へ]をクリックします。[AuthnContext の設定]手順をスキップします。
署名処理の無効化
sm1252sp1jjp
この簡単なパートナーシップでは、署名処理を無効にします。ただし、実稼働環境では、アイデンティティ プロバイダはアサーションに署名する必要があります。
以下の手順に従います。
- [署名および暗号化]手順から、[署名の処理を無効にする]を選択します。
- [次へ]をクリックして次の手順に移動します。
SP のターゲットの指定
sm1252sp1jjp
[アプリケーション統合]手順では、ターゲット リソース、および がユーザをターゲット リソースにリダイレクトする方法を指定します。
以下の手順に従います。
- [リダイレクト モード]フィールドの[データなし]を選択します。
- [ターゲット]フィールドで SP のターゲット リソースを指定します。このサンプル パートナーシップでは、このターゲットは以下のとおりです。http://spapp.demo.com:80/spsample/welcome.html
- ダイアログ ボックスの残りのセクションを無視します。
- [次へ]をクリックして[確認]手順に移動します。
SP パートナー設定の確認
フェデレーション パートナーシップのローカル SP 側のパートナーシップが完了しました。
以下の手順に従います。
- [確認]ダイアログ ボックスで SP パートナーの設定を確認します。
- 設定を変更するには、該当するセクションで[変更]をクリックします。
- 設定が終了したら、[完了]をクリックします。
パートナーシップの SP 側が設定されました。