SAML 2.0 プロパティ参照
このリファレンスには、Sm_PolicyApi_SAMLProviderProp_t 構造体と関連付けられた SAML 2.0 メタデータ プロパティが含まれます。プロパティはファイル SmPolicyApi45.h で定義されています。
sm1252sp1jjp
このリファレンスには、Sm_PolicyApi_SAMLProviderProp_t 構造体と関連付けられた SAML 2.0 メタデータ プロパティが含まれます。プロパティはファイル SmPolicyApi45.h で定義されています。
プロパティは、以下の 1 つ以上の SAML 2.0 オブジェクトに適用されます。
- SAML 2.0 アフィリエーション。SAML 2.0 アフィリエーションは、プリンシパル用の一意の名前 ID の単一のフェデレートされたネームスペースを共有する一連のエンティティです。
- SAML 2.0 認証方式およびその関連のアイデンティティ プロバイダ定義。アイデンティティ プロバイダは、アイデンティティ プロバイダおよびその関連の SAML 2.0 認証方式を設定したサービス プロバイダ用の SAML アサーションを作成します。
- サービス プロバイダ。サービス プロバイダは、フェデレーション内のプリンシパルにサービス(アプリケーションおよびその他のリソースへのアクセスなど)を提供します。サービス プロバイダは、SAML 2.0 認証方式を使用して、SAML アサーションの情報に基づいてプリンシパルを検証します。アサーションは認証方式と関連付けられたアイデンティティ プロバイダによって提供されます。
プロパティ参照を読むときは、以下の事項に注意してください。
- 別途指定がないかぎり、文字列データ型のプロパティの最大文字数は以下のとおりです。
- URI と URL は 1,024 文字未満である必要があります
- 他のすべての文字列は 255 文字以下にする必要があります
- SAML_TRUE または SAML_FALSE のいずれかとしてブール値を指定します。
SAML_AFFILIATION
タイプ | 文字列 |
適用先 | SAML 2.0 認証、サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | なし |
- 説明
このオブジェクトと関連付けられる SAML 2.0 アフィリエーション。
サービス プロバイダは、アフィリエーションにわたって名前 ID プロパティを共有します。アイデンティティ プロバイダは、アフィリエーションにわたってユーザの不明瞭解消を共有します。
サービス プロバイダまたはアイデンティティ プロバイダは、1 つの SAML 2.0 アフィリエーションのみに属することができます。
SAML アフィリエーションが指定される場合、名前 ID プロパティ(たとえば SAML_SP_NAMEID_FORMAT)は使用されません。は、指定されたアフィリエーション内の NAMEID 情報を使用します。
注: アイデンティティ プロバイダはその関連する SAML 2.0 認証方式を通してアフィリエーションに割り当てられます。
SAML_AUDIENCE
タイプ | 文字列 |
適用先 | SAML 2.0 認証、サービス プロバイダ |
必要かどうか | はい |
デフォルト値 | なし |
説明
サービス プロバイダの予期されるオーディエンスの URI。サービス プロバイダによって予期されるオーディエンスは、アサーションで指定されたオーディエンスに一致する必要があります。
オーディエンスは認証要求でも送信される場合があります。
SAML_DESCRIPTION
タイプ | 文字列 |
適用先 | SAML 2.0 アフィリエーション、SAML 2.0 認証、サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
アフィリエーション、認証方式またはサービス プロバイダ オブジェクトの簡単な説明。
SAML_DISABLE_SIGNATURE_PROCESSING
タイプ | ブール値 |
適用先 | SAML 2.0 認証、サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | SAML_FALSE |
説明
署名を含めた、すべての署名検証を無効にするかどうかを指定します。
プロバイダの初期設定中、およびデバッグ中に署名検証を無効にすると役立つ場合があります。通常のランタイム中に、このプロパティは SAML_FALSE(署名処理が有効にされています)に設定される必要があります。
SAML_DSIG_ALGO
タイプ | 文字列 |
適用先 | SAML 2.0 認証、サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | 1 |
説明
次のいずれかの値の XML フェデレーション署名アルゴリズムを指定します。
- 1 = RSAwithSHA1(デフォルト)
- 2 = RSAwithSHA256
SAML_DSIG_VERINFO_ISSUER_DN
タイプ | 文字列 |
適用先 | SAML 2.0 認証、サービス プロバイダ |
必要かどうか | SAML 2.0 認証方式の場合 SAML_DISABLE_SIGNATURE_PROCESSING が SAML_FALSE で、以下のいずれかまたは両方が SAML_TRUE である場合に必須です。 SAML_SLO_REDIRECT_BINDING SAML_ENABLE_SSO_POST_BINDING サービス プロバイダの場合 SAML_DISABLE_SIGNATURE_PROCESSING が SAML_FALSE で、以下のいずれかまたは両方が SAML_TRUE である場合に必須です。 SAML_SLO_REDIRECT_BINDING SAML_SP_REQUIRE_SIGNED_AUTHNREQUESTS |
デフォルト値 | なし |
説明
サービス プロバイダの証明書がインラインで提供されない場合、この値はキー ストアで証明書を検索するために、SAML_DSIG_VERINFO_SERIAL_NUMBER と共に使用されます。
SAML_DSIG_VERINFO_SERIAL_NUMBER
タイプ | 文字列 |
適用先 | SAML 2.0 認証、サービス プロバイダ |
必要かどうか | SAML 2.0 認証方式の場合 SAML_DISABLE_SIGNATURE_PROCESSING が SAML_FALSE で、以下のいずれかまたは両方が SAML_TRUE である場合に必須です。 SAML_SLO_REDIRECT_BINDING SAML_ENABLE_SSO_POST_BINDING サービス プロバイダの場合 SAML_DISABLE_SIGNATURE_PROCESSING が SAML_FALSE で、以下のいずれかまたは両方が SAML_TRUE である場合に必須です。 SAML_SLO_REDIRECT_BINDING SAML_SP_REQUIRE_SIGNED_AUTHNREQUESTS |
デフォルト値 | なし |
説明
サービス プロバイダ の証明書がインラインで提供されない場合、この値はキー ストアで証明書を検索するために、SAML_DSIG_VERINFO_ISSUER_DN と共に使用されます。
SAML_ENABLE_SSO_ARTIFACT_BINDING
タイプ | ブール値 |
適用先 | SAML 2.0 認証、サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | SAML_FALSE |
説明
アーチファクト バインディングがサービス プロバイダによってサポートされ、アイデンティティ プロバイダによって有効にされるかどうかを指定します。
SAML_ENABLE_SSO_POST_BINDING
タイプ | ブール値 |
適用先 | SAML 2.0 認証、サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | SAML_FALSE |
説明
HTTP POST バインディングがサービス プロバイダ によってサポートされ、アイデンティティ プロバイダ によって有効にされるかどうかを指定します。
SAML_DSIG_VERINFO_ISSUER_DN および SAML_DSIG_VERINFO_SERIAL_NUMBER も参照してください。
SAML_ENABLED
タイプ | ブール値 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | SAML_TRUE |
説明
サービス プロバイダがアクティブにされるかどうかを指定します。
SAML_IDP_AD_SEARCH_SPEC
タイプ | 文字列 |
適用先 | SAML 2.0 アフィリエーション、SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
AD ディレクトリの検索指定情報。
AD ディレクトリ内のユーザに対してユーザの特定を実行するときに、AD 検索指定情報がこのプロパティに対して指定されていない場合は、[
CA Single Sign-on
ユーザ ディレクトリ プロパティ]ダイアログ ボックスで定義されたデフォルトの検索指定情報が使用されます。このプロパティに検索指定情報を割り当てることは、以下の理由によって推奨されています。
- デフォルト検索指定情報を使用するときに、ポリシー サーバはアサーションから抽出された ID 内にすでにあるログイン ID プレフィックスおよびサフィックスを複製する場合があります。
- SAML 2.0 認証方式の機能を拡張するために独自のメッセージ コンシューマ プラグインを使用している場合に、そのプラグインが、ユーザを特定する段階でコールされないことがあります。これに該当するのは、ポリシー サーバが、[CA Single Sign-onユーザ ディレクトリ プロパティ]ダイアログ ボックスで定義されているデフォルト検索指定情報を使用してユーザの特定処理を行う場合です。詳細については、SAML_IDP_PLUGIN_CLASS を参照してください。
アフィリエーションに対して定義されていると、検索指定情報はアフィリエーションにわたってすべてのアイデンティティ プロバイダによって共有されます。
SAML_IDP_ARTIFACT_RESOLUTION_DEFAULT_SERVICE
タイプ | 文字列 |
適用先 | SAML 2.0 認証 |
必要かどうか | SAML_ENABLE_SSO_ARTIFACT_BINDING が SAML_TRUE である場合は必須です。 |
デフォルト値 | なし |
説明
アイデンティティ プロバイダ用のデフォルト アーチファクト解決サービスを指定する URL。
SAML_IDP_BACKCHANNEL_AUTH_TYPE
タイプ | 整数 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | 0 |
説明
バック チャネル上で使用する認証のタイプを指定します。有効な値は以下のとおりです。
- 0. 基本 - 認証用の指定されたサービス プロバイダ名およびパスワードを使用します。
- 1. クライアント証明書 - キーストア内の証明書を調べるために指定されたサービス プロバイダ ID およびパスワードを使用します。
- 2. 認証なし - 認証は必要ありません。
SAML_IDP_CUSTOM_SEARCH_SPEC
タイプ | 文字列 |
適用先 | SAML 2.0 アフィリエーション、SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
カスタム ユーザ ディレクトリの検索指定情報。カスタム ディレクトリ内のユーザに対してユーザの特定を実行するときに、検索指定情報が指定されていない場合は、[ ユーザ ディレクトリ プロパティ]ダイアログ ボックスで定義されているデフォルト検索指定情報が使用されます。
アフィリエーションに対して定義されていると、検索指定情報はアフィリエーションにわたってすべてのアイデンティティ プロバイダによって共有されます。
SAML 2.0 認証方式の機能を拡張するために独自のメッセージ コンシューマ プラグインを使用している場合に、そのプラグインが、ユーザを特定する段階でコールされないことがあります。これに該当するのは、ポリシー サーバが、[
CA Single Sign-on
ユーザ ディレクトリ プロパティ]ダイアログ ボックスで定義されているデフォルト検索指定情報を使用してユーザの特定処理を行う場合です。詳細については、SAML_IDP_PLUGIN_CLASS を参照してください。SAML_IDP_LDAP_SEARCH_SPEC
タイプ | 文字列 |
適用先 | SAML 2.0 アフィリエーション、SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
LDAP ディレクトリの検索指定情報。
LDAP ディレクトリ内のユーザに対してユーザの特定を実行するときに、検索指定情報がこのプロパティに対して指定されていない場合は、[
CA Single Sign-on
ユーザ ディレクトリ プロパティ]ダイアログ ボックスで定義されたデフォルトの検索指定情報が使用されます。このプロパティに検索指定情報を割り当てることは、以下の理由によって推奨されています。
- デフォルト検索指定情報を使用するときに、ポリシー サーバはアサーションから抽出された ID 内にすでにあるログイン ID プレフィックスおよびサフィックスを複製する場合があります。
- SAML 2.0 認証方式の機能を拡張するために独自のメッセージ コンシューマ プラグインを使用している場合に、そのプラグインが、ユーザを特定する段階でコールされないことがあります。これに該当するのは、ポリシー サーバが、[CA Single Sign-onユーザ ディレクトリ プロパティ]ダイアログ ボックスで定義されているデフォルト検索指定情報を使用してユーザの特定処理を行う場合です。詳細については、SAML_IDP_PLUGIN_CLASS を参照してください。
アフィリエーションに対して定義されていると、検索指定情報はアフィリエーションにわたってすべてのアイデンティティ プロバイダによって共有されます。
SAML_IDP_ODBC_SEARCH_SPEC
タイプ | 文字列 |
適用先 | SAML 2.0 アフィリエーション、SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
ODBC ディレクトリの検索指定情報。
ODBC ディレクトリ内のユーザに対してユーザの特定を実行するときに、ODBC 検索指定情報がこのプロパティに対して指定されていない場合は、[
CA Single Sign-on
ユーザ ディレクトリ プロパティ]ダイアログ ボックスで定義されたデフォルトの検索指定情報が使用されます。このプロパティに検索指定情報を割り当てることは、以下の理由によって推奨されています。
- デフォルト検索指定情報を使用するときに、ポリシー サーバはアサーションから抽出された ID 内にすでにあるログイン ID プレフィックスおよびサフィックスを複製する場合があります。
- SAML 2.0 認証方式の機能を拡張するために独自のメッセージ コンシューマ プラグインを使用している場合に、そのプラグインが、ユーザを特定する段階でコールされないことがあります。これに該当するのは、ポリシー サーバが、[CA Single Sign-onユーザ ディレクトリ プロパティ]ダイアログ ボックスで定義されているデフォルト検索指定情報を使用してユーザの特定処理を行う場合です。詳細については、SAML_IDP_PLUGIN_CLASS を参照してください。
アフィリエーションに対して定義されていると、検索指定情報はアフィリエーションにわたってすべてのアイデンティティ プロバイダによって共有されます。
SAML_IDP_PASSWORD
タイプ | 文字列 |
適用先 | SAML 2.0 認証 |
必要かどうか | SAML_IDP_BACKCHANNEL_AUTH_TYPE が 0 または 1 に設定される場合は必須。 |
デフォルト値 | なし |
説明
バックチャネル認証に使用するパスワード。パスワードは、バックチャネル認証タイプ[基本]および[クライアント証明書]でのみ使用されます。
SAML_IDP_PLUGIN_CLASS
タイプ | 文字列 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
この SAML 2.0 認証方式の機能を拡張する Java クラスの完全修飾名。カスタム機能はインターフェース MessageConsumerPlugin.java の実装によって提供されます。
認証には、ユーザの特定およびユーザの認証(特定されたユーザの認証情報の検証)の 2 つの段階があります。
プラグインが認証方式に対して設定される場合、以下のようにコールされます。
- 認証方式でユーザの特定を行えない場合は、ユーザの特定時。注: 特定が行われるユーザ ディレクトリ(たとえば LDAP ディレクトリ用の SAML_IDP_LDAP_SEARCH_SPEC)用に検索指定情報が提供されない場合、プラグインはこの段階でコールされません。この場合、認証方式ではなくポリシー サーバが特定を実行します。
- ユーザが正常に検証される場合でも、デフォルト認証段階の最後。
SAML 2.0 認証方式は 1 つのメッセージ コンシューマ プラグインのみで拡張できます。
SAML_IDP_PLUGIN_PARAMS
タイプ | 文字列 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
SAML_IDP_PLUGIN_CLASS で指定される、カスタム認証方式拡張へ渡されるパラメータ。
パラメータ文字列の構文はカスタム オブジェクトによって決定されます。
SAML_IDP_REDIRECT_MODE_FAILURE
タイプ | 整数 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | 0 |
説明
SAML_IDP_REDIRECT_URL_FAILURE 用のリダイレクト モード。有効な値は以下のとおりです。
- 0. 302 データなし -- HTTP 302 リダイレクト。ターゲット リソースの URL および認証失敗の理由はリダイレクト URL に追加されます。認証方式に渡される SAML 2.0 レスポンス メッセージは含まれません。
- 1. Http Post。-- HTTP POST リダイレクト。認証方式に渡された SAML 2.0 レスポンス メッセージおよび ID プロバイダの ID は HTTP フォームによって生成されます。
SAML_IDP_REDIRECT_MODE_INVALID
タイプ | 整数 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | 0 |
説明
SAML_IDP_REDIRECT_URL_INVALID 用のリダイレクト モード。有効な値は以下のとおりです。
- 0. 302 データなし -- HTTP 302 リダイレクト。ターゲット リソースの URL および認証失敗の理由はリダイレクト URL に追加されます。認証方式に渡される SAML 2.0 レスポンス メッセージは含まれません。
- 1. Http Post。-- HTTP POST リダイレクト。認証方式に渡された SAML 2.0 レスポンス メッセージおよび ID プロバイダの ID は HTTP フォームによって生成されます。
SAML_IDP_REDIRECT_MODE_USER_NOT_FOUND
タイプ | 整数 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | 0 |
説明
SAML_IDP_REDIRECT_URL_USER_NOT_FOUND 用のリダイレクト モード。有効な値は以下のとおりです。
- 0. 302 データなし -- HTTP 302 リダイレクト。ターゲット リソースの URL および認証失敗の理由はリダイレクト URL に追加されます。認証方式に渡される SAML 2.0 レスポンス メッセージは含まれません。
- 1. Http Post。-- HTTP POST リダイレクト。認証方式に渡された SAML 2.0 レスポンス メッセージおよび ID プロバイダの ID は HTTP フォームによって生成されます。
SAML_IDP_REDIRECT_URL_FAILURE
タイプ | 文字列 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
認証方式に渡される認証情報がユーザの認証のために受け入れられない場合に使用するリダイレクト URL。
SAML_IDP_REDIRECT_URL_INVALID
タイプ | 文字列 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
認証方式に渡される認証情報が SAML 2.0 標準に基づいた形式ではない場合に使用される リダイレクト URL。
SAML_IDP_REDIRECT_URL_USER_NOT_FOUND
タイプ | 文字列 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
以下のいずれかの状況で使用するリダイレクト URL。
- 認証方式で、渡された SAML 2.0レスポンス メッセージからログイン ID を取得できない。
- 認証方式でユーザ ディレクトリ内のユーザを検出できない。
SAML 2.0 認証方式の機能を拡張するために独自のメッセージ コンシューマ プラグインを使用している場合に、そのプラグインが、ユーザを特定する段階でコールされないことがあります。これに該当するのは、ポリシー サーバが、[
CA Single Sign-on
ユーザ ディレクトリ プロパティ]ダイアログ ボックスで定義されているデフォルト検索指定情報を使用してユーザの特定処理を行う場合です。詳細については、SAML_IDP_PLUGIN_CLASS を参照してください。SAML_IDP_REQUIRE_ENCRYPTED_ASSERTION
タイプ | ブール値 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | SAML_FALSE |
説明
認証用に選択されたアサーションを暗号化する必要があるかどうかを指定します。このプロパティが SAML_TRUE で、認証方式に暗号化されていないアサーションを渡される場合、アサーションは認証できません。
SAML_IDP_REQUIRE_ENCRYPTED_NAMEID
タイプ | ブール値 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | SAML_FALSE |
説明
アサーションに含まれていたプリンシパルの名前 ID を暗号化する必要があるかどうかを指定します。このプロパティが SAML_TRUE で、名前 ID が暗号化されない場合、アサーションは認証できません。
SAML_IDP_SAMLREQ_ATTRIBUTE_SERVICE
タイプ | 文字列 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
属性認証機関上の属性サービスの URL。
SAML_IDP_SAMLREQ_ENABLE
タイプ | ブール値 |
適用先 | SAML 2.0 認証 |
必要かどうか | はい |
デフォルト値 | False (0) |
説明
SAML リクエスタが有効になっているかどうかを示します。
SAML_IDP_SAMLREQ_NAMEID_ALLOWED_NESTED
タイプ | ブール値 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | False (0) |
説明
名前識別子に対して DN 属性を選択する場合にネストされたグループが許可されるかどうかを示します。
SAML_IDP_SAMLREQ_NAMEID_ATTR_NAME
タイプ | 文字列 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
NameIdType が 1 または 2 に設定される場合に名前を保持する属性名(User または DN)。NameIdType が 1 または 2 に設定される場合、NameIdAttrName は有効な値が必要です。
SAML_IDP_SAMLREQ_NAMEID_DN_SPEC
タイプ | 文字列 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
NameIdType が 2 に設定される場合に使用される DN 指定。この場合、NameIdDNSpec には有効な値が必要です。
SAML_IDP_SAMLREQ_NAMEID_FORMAT
タイプ | ブール値 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
SAML 2.0 名前識別子の URI。
SAML_IDP_SAMLREQ_NAMEID_STATIC
タイプ | 文字列 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
NameIdType が 0 に設定される場合に名前識別子として使用されるスタティック テキスト。この場合、有効な値が NameIdStatic に対して指定される必要があります。
SAML_IDP_SAMLREQ_NAMEID_TYPE
タイプ | 整数 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | 1 |
説明
名前識別子のタイプを表します。
0 - スタティック テキスト
1 - ユーザ属性
2 - DN 属性
SAML_IDP_SAMELREQ_REQUIRE_SIGNED_ASSERTION
タイプ | ブール値 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | False (0) |
説明
属性クエリに応じて返されたアサーションが署名される必要があるかどうかを示します。
SAML_IDP_SAMELREQ_SIGN_ATTRIBUTE_QUERY
タイプ | ブール値 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
属性クエリに署名が必要かどうかを示します。
SAML_IDP_SIGN_AUTHNREQUESTS
タイプ | ブール値 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | False (0) |
説明
認証要求が署名されるかどうかを指定します。
SAML_IDP_SPID
タイプ | 文字列 |
適用先 | SAML 2.0 認証 |
必要かどうか | はい |
デフォルト値 | なし |
説明
この認証方式によって保護されるサービス プロバイダの一意のプロバイダ ID。
SAML_IDP_SPNAME
タイプ | 文字列 |
適用先 | SAML 2.0 認証 |
必要かどうか | SAML_IDP_BACKCHANNEL_AUTH_TYPE が 0 または 1 に設定される場合は必須。 |
デフォルト値 | なし |
説明
バックチャネル認証に含まれるサービス プロバイダの名前。サービス プロバイダ名は、バックチャネル認証タイプ[基本]および[クライアント証明書]で使用されます。
SAML_IDP_SSO_DEFAULT_SERVICE
タイプ | 文字列 |
適用先 | SAML 2.0 認証 |
必要かどうか | はい |
デフォルト値 | なし |
説明
ID プロバイダのシングル サインオン サービスの URL。たとえば以下のようになります。
http://mysite.netegrity.com/affwebservices/public/saml2sso
SAML_IDP_SSO_ENFORCE_SINGLE_USE_POLICY
タイプ | ブール値 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | SAML_TRUE |
説明
HTTP POST バインディングに使い捨てのポリシーを適用するべきかどうかを指定します。
このプロパティを SAML_TRUE(デフォルト)に設定すると、SAML POST 固有の処理ルールに基づいて、サービス プロバイダ サイトに対して 2 番目のセッションを確立するためにアサーションを「再使用」できなくなります。
使い捨てのポリシー要件は、ロード バランスおよびフェールオーバが有効になったクラスタ化されたポリシー サーバ環境内でも強制されます。
SAML_IDP_SSO_REDIRECT_MODE
タイプ | 整数 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | 0 |
説明
ユーザがターゲット リソースにリダイレクトされるときにレスポンス属性情報を渡すためのメソッドを指定します。有効な値は以下のとおりです。
0. 302 データなし — レスポンス属性は渡されません。
- 1. 302 Cookie データ - レスポンス属性は HTTP Cookie データとして設定されます。認証方式によって発行された属性 Cookie は暗号化されていません。
- 2. サーバ リダイレクト — レスポンス属性は HashMap オブジェクトとして渡されます。
- 3. 属性の保持 — 属性は取得できます。
サーバ側のリダイレクトでは、情報をサーバ アプリケーション自体内のアプリケーションに渡すことができます。レスポンス属性データはユーザのブラウザに送信されません。このリダイレクト メソッドは Java Servlet 指定情報の一部であり、すべての標準準拠サーブレット コンテナによってサポートされています。
SAML_IDP_SSO_TARGET
タイプ | 文字列 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
サービス プロバイダ サイトでのターゲット リソースの URL。たとえば、ターゲットには Web ページまたはアプリケーションなどがあります。
SAML_IDP_WINNT_SEARCH_SPEC
タイプ | 文字列 |
適用先 | SAML 2.0 アフィリエーション、SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
WinNT ディレクトリの検索指定情報。WinNT ディレクトリ内のユーザに対してユーザの特定を実行するときに、検索指定情報が指定されていない場合は、[ ユーザ ディレクトリ プロパティ]ダイアログ ボックスで定義されているデフォルト検索指定情報が使用されます。
アフィリエーションに対して定義されていると、検索指定情報はアフィリエーションにわたってすべてのアイデンティティ プロバイダによって共有されます。
SAML 2.0 認証方式の機能を拡張するために独自のメッセージ コンシューマ プラグインを使用している場合に、そのプラグインが、ユーザを特定する段階でコールされないことがあります。これに該当するのは、ポリシー サーバが、[
CA Single Sign-on
ユーザ ディレクトリ プロパティ]ダイアログ ボックスで定義されているデフォルト検索指定情報を使用してユーザの特定処理を行う場合です。詳細については、SAML_IDP_PLUGIN_CLASS を参照してください。SAML_IDP_XPATH
タイプ | 文字列 |
適用先 | SAML 2.0 アフィリエーション、SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
アサーションからユーザのログイン ID を抽出する XPath クエリ。その後、ログイン ID はユーザの特定のために使用されます。
デフォルトで、XPath が提供されない場合、SAML 2.0 レスポンス メッセージのアサーション/件名/名前 ID エレメントからログイン ID を抽出する試みがなされます。
ログイン ID は、一度正常に抽出さると、ユーザ ディレクトリに対して指定された検索文字列に挿入され、特定段階が開始します。
アフィリエーションに対して定義された場合、XPath は、アフィリエーション間ですべてのアイデンティティ プロバイダによって共有されます。
SAML_KEY_AFFILIATION_ID
タイプ | 文字列 |
適用先 | SAML 2.0 アフィリエーション |
必要かどうか | はい |
デフォルト値 | なし |
説明
アフィリエーションの URI。ID は サービス プロバイダおよびアイデンティティ プロバイダが同じアフィリエーションのメンバであることを確認するために使用されます。たとえば以下のようになります。
- サービス プロバイダがアイデンティティ プロバイダに対して認証要求を発行する場合、要求にはアフィリエーション ID が含まれます。アイデンティティ プロバイダは、サービス プロバイダが指定されたアフィリエーションに属することを確認します。
- アイデンティティ プロバイダがアサーションを生成し、サービス プロバイダに送信する場合、アサーションにはアフィリエーション ID が含まれます。サービス プロバイダは、アイデンティティ プロバイダが指定されたアフィリエーションに属することを確認します。
- シングル ログアウト中、ログアウト要求にはアフィリエーション ID も含まれます。ログアウト要求の受信時に、サービス プロバイダとアイデンティティ プロバイダは、互いに指定されたアフィリエーションに属することを確認します。
アフィリエーション ID は要求とアサーションの SPNameQualifier 属性で指定されます。
SAML_KEY_IDP_SOURCEID
タイプ | 文字列 |
適用先 | SAML 2.0 認証 |
必要かどうか | いいえ |
デフォルト値 | SAML_KEY_IDPID 値の 16 進数にエンコードされた SHA-1 ハッシュ |
説明
アーチファクト発行者に対する、16 進数にエンコードされた 20 バイトのシーケンス識別子。この値は、アサーション アーチファクト内のアーチファクト発行者を一意に識別します。
認証方式では、アイデンティティ プロバイダのメタデータを検索するキーとしてソース ID を使用します。
文字列長はちょうど 40 文字である必要があります。小文字の 16 進文字列のみが保存されます。
SAML_KEY_IDPID
タイプ | 文字列 |
適用先 | SAML 2.0 認証 |
必要かどうか | はい |
デフォルト値 | なし |
説明
この認証方式のアイデンティティ プロバイダのプロバイダ ID。この ID には以下が当てはまります。
- アサーション発行者を一意に識別します。
- アイデンティティ プロバイダのプロパティを検索するためのキーとして機能します。
SAML_KEY_SPID
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | はい |
デフォルト値 | なし |
説明
このサービス プロバイダの一意のプロバイダ ID。
SAML_MAJOR_VERSION
タイプ | 整数 |
適用先 | SAML 2.0 アフィリエーション、SAML 2.0 認証、サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | 2 |
説明
サポートされている SAML プロトコルのメジャー バージョン。値を指定する場合は、2 である必要があります。
SAML_MINOR_VERSION
タイプ | 整数 |
適用先 | SAML 2.0 アフィリエーション、SAML 2.0 認証、サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | 0 |
説明
サポートされている SAML プロトコルのマイナー バージョン。値を指定する場合は、0 である必要があります。
SAML_NAME
タイプ | 文字列 |
適用先 | SAML 2.0 アフィリエーション、SAML 2.0 認証、サービス プロバイダ |
必要かどうか | はい |
デフォルト値 | なし |
説明
アフィリエーション、認証方式またはサービス プロバイダの名前。
名前はグローバルに一意である必要があります。SAML 2.0 アフィリエーションおよびサービス プロバイダでは、名前は小文字である必要があります。
SAML_OID
タイプ | 文字列 |
適用先 | SAML 2.0 アフィリエーション |
必要かどうか | アフィリエーション オブジェクトを作成するときは「いいえ」です(オブジェクト識別子はオブジェクト作成時に CA Single Sign-on によって生成されます)。カスタム コードが既存のオブジェクトを参照する場合は必須です。 |
デフォルト値 | なし |
説明
アフィリエーション オブジェクトの一意のオブジェクト識別子。
[SAML アフィリエーション プロパティ]ダイアログ ボックスにはこのプロパティに対応するフィールドがありません。
SAML_SKEWTIME
タイプ | 整数 |
適用先 | SAML 2.0 認証、サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | 30 |
説明
アイデンティティ プロバイダのシステム クロック時間と、サービス プロバイダのシステム クロック時間の間の秒単位の違い。
- サービス プロバイダでは、システム クロックがアイデンティティ プロバイダとして機能するポリシー サーバと同期されていない場合に現在時間から差し引かれる秒数です。
- アイデンティティ プロバイダでは、システム クロックがサービス プロバイダとして機能するポリシー サーバと同期されていない場合に現在時間から差し引かれる秒数です。
スキュー時間はアサーションおよびシングル ログアウト要求の有効期間を計算するために使用されます。提供される値は正の整数である必要があります。
SAML_SLO_REDIRECT_BINDING
タイプ | ブール値 |
適用先 | SAML 2.0 認証、サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | SAML_FALSE |
説明
HTTP リダイレクト バインディングがシングル ログアウトに対してサポートされているかどうかを指定します。
SAML_DSIG_VERINFO_ISSUER_DN および SAML_DSIG_VERINFO_SERIAL_NUMBER も参照してください。
SAML_SLO_SERVICE_CONFIRM_URL
タイプ | 文字列 |
適用先 | SAML 2.0 認証、サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
シングル ログアウトが完了した後にユーザがリダイレクトされる URL。
SAML_SLO_SERVICE_RESPONSE_URL
タイプ | 文字列 |
適用先 | SAML 2.0 認証、サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
シングル ログアウト サービスのレスポンスの場所。このプロパティでは、SLO レスポンス メッセージを要求メッセージが送信される場所とは異なる場所に送信できます。
SAML_SLO_SERVICE_URL
タイプ | 文字列 |
適用先 | SAML 2.0 認証、サービス プロバイダ |
必要かどうか | SAML_SLO_REDIRECT_BINDING が SAML_TRUE である場合は必須です。 |
デフォルト値 | なし |
説明
HTTP-Redirect バインディングで、シングル ログアウト要求が送られるアイデンティティ プロバイダ URL。
SAML_SLO_SERVICE_VALIDITY_DURATION
タイプ | 整数 |
適用先 | SAML 2.0 認証、サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | 60(値が提供されず、SAML_SLO_REDIRECT_BINDING が SAML_TRUE である場合に適用されます) |
説明
シングル ログアウト要求が有効な秒数。
提供される値は正の整数である必要があります。
SAML_SKEWTIME も参照してください。
SAML_SP_ARTIFACT_ENCODING
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | FORM(値が提供されず、SAML_ENABLE_SSO_ARTIFACT_BINDING が SAML_TRUE である場合に適用されます) |
説明
Artifact バインディングに使用するエンコードを指定します。有効な値は以下のとおりです。
- FORM。アーチファクトは SAMLart という名前の非表示コントロールでフォーム エンコードされます。
- URL。アーチファクトは SAMLart という名前の URL パラメータで URL エンコードされます。
FORM と URL のエンコードは SAML 2.0 仕様に従って実行されます。
SAML_SP_ASSERTION_CONSUMER_DEFAULT_URL
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | はい |
デフォルト値 | なし |
説明
生成されたアサーションが送信されるサービス プロバイダ URL。たとえば以下のようになります。
http://mysite.netegrity.com/affwebservices/public/saml2assertionconsumer
SAML_SP_ATTRSVC_AD_SEARCH_SPEC
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
1 個の AD ディレクトリの検索指定情報。
SAML_SP_ATTRSVC_CUSTOM_SEARCH_SPEC
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
カスタム ディレクトリの検索指定情報です。
SAML_SP_ATTRSVC_ENABLE
タイプ | ブール値 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | SAML_FALSE |
説明
属性認証機関が有効かどうかを示します。
SAML_SP_ATTRSVC_LDAP_SEARCH_SPEC
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
1 個の LDAP ディレクトリの検索指定情報。
SAML_SP_ATTRSVC_ODBC_SEARCH_SPEC
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
1 個の ODBC ディレクトリの検索指定情報。
SAML_SP_ATTRSVC_REQUIRE_SIGNED_QUERY
タイプ | ブール値 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
属性クエリに署名が必要かどうかを示します。
SAML_SP_ATTRSVC_SIGN_ASSERTION
タイプ | ブール値 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
SAML アサーションに署名が必要かどうかを示します。
SAML_SP_ATTRSVC_SIGN_RESPONSE
タイプ | ブール値 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
SAML レスポンスに署名が必要かどうかを示します。
SAML_SP_ATTRSVC_VALIDITY_DURATION
タイプ | 整数 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | 60 |
説明
アサーションが有効な秒数を指定します。
SAML_SP_ATTRSVC_WINNT_SEARCH_SPEC
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
1 個の WinNT ディレクトリの検索指定情報。
SAML_SP_AUTHENTICATION_LEVEL
タイプ | 整数 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | 5 |
説明
このプロパティは、現在のアサーションと関連付けられたプリンシパルを認証する認証方式に必要な最小保護レベルを指定します。
SAML_SP_AUTHENTICATION_URL
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | はい |
デフォルト値 | なし |
説明
このサービス プロバイダのユーザを認証するための保護された URL。
SAML_SP_AUTHN_CONTEXT_CLASS_REF
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | urn:oasis:names:tc:SAML:2.0:ac:classes:Password |
説明
アサーションに対する信頼性を評価するためにサービス プロバイダが必要とする可能性がある情報のクラス。クラスはアサーションの AuthnContextClassRef エレメントで指定されます。
たとえば、デフォルト認証コンテキスト クラスは Password です。プリンシパルが非保護の HTTP セッションに対するパスワードの表示を通じて認証するときに、このクラスが適用されます。
認証コンテキスト クラスの他の例には、InternetProtocol(プロバイダ IP アドレスを通して認証)、X509 (X.509 デジタル署名を通して認証)、および Telephony(telephony プロトコルを通して渡される固定回線電話番号の提供を通して認証)などがあります。
認証コンテキスト クラスは以下の初期ステムを持つ URI です。
urn:oasis:names:tc:SAML:2.0:ac:classes:
SAML 2.0 認証コンテキスト指定情報は、認証コンテキスト クラスとして提供できる URI を定義します。また、クラスは、サービス プロバイダに対して定義された認証レベルに適合する必要があります。
SAML_SP_COMMON_DOMAIN
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | SAML_SP_ENABLE_IPD が SAML_TRUE である場合は必須です。 |
デフォルト値 | なし |
説明
アイデンティティ プロバイダ ディスカバリ プロファイル用の共通の Cookie ドメイン。ドメインは SAML_SP_IPD_SERVICE_URL で指定されたホストのサブセットである必要があります。
SAML_SP_CUSTOM_TIME_OUT
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
アサーションに設定される SessionNotOnOrAfter パラメータの値を指定します。このプロパティは、SAML_SP_SESSION_NOTORAFTER_TYPE が Custom に設定される場合にのみ有効です。
SAML_SP_DOMAIN
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | はい |
デフォルト値 | なし |
説明
サービス プロバイダが定義されるアフィリエイト ドメインの一意の ID。
[SAML サービス プロバイダ プロパティ]ダイアログ ボックスにはこのプロパティに対応するフィールドがありません。
SAML_SP_ENABLE_IPD
タイプ | ブール値 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | SAML_FALSE |
説明
アイデンティティ プロバイダ ディスカバリ プロファイルが有効かどうかを指定します。
SAML_SP_ENCRYPT_ASSERTION
タイプ | ブール値 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | SAML_FALSE |
説明
サービス プロバイダ サイトで生成されたアサーションを暗号化するかどうかを指定します。デフォルトでは、アサーションは暗号化されません。
SAML_SP_ENCRYPT_BLOCK_ALGO
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | tripledes |
説明
使用するブロック暗号化アルゴリズムのタイプ。有効な値は以下のとおりです。
- tripledes。3 つの個別の 56 ビット キーを使用するデータ暗号化標準。
- aes-128。Advanced Encryption Standard、キー長は 128 ビットです。
- aes-256。Advanced Encryption Standard、キー長は 256 ビットです。
SAML_SP_ENCRYPT_CERT_ISSUER_DN
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | 以下のいずれかの状況では、はい。 以下のいずれかが SAML_TRUE である場合。 SAML_SP_ENCRYPT_ID SAML_SP_ENCRYPT_ASSERTION いずれかのアサーション属性ステートメントが暗号化を必要とする場合。これらの属性は、[SAML サービス プロバイダ プロパティ]ダイアログ ボックスの[属性]タブで定義されます。 |
デフォルト値 | なし |
説明
暗号化に使用される公開鍵証明書の発行者 DN 部分。このプロパティは、キーストア内のサービス プロパティの証明書がインラインで提供されない場合にそれを見つけるために SAML_SP_ENCRYPT_CERT_SERIAL_NUMBER と共に使用されます。
SAML_SP_ENCRYPT_CERT_SERIAL_NUMBER
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | 以下のいずれかの状況では、はい。 以下のいずれかが SAML_TRUE である場合。
いずれかのアサーション属性ステートメントが暗号化を必要とする場合。これらの属性は、[SAML サービス プロバイダ プロパティ]ダイアログ ボックスの[属性]タブで定義されます。 |
デフォルト値 | なし |
説明
暗号化に使用される公開鍵証明書のシリアル番号部分。このプロパティは、キーストア内のサービス プロパティの証明書がインラインで提供されない場合にそれを見つけるために SAML_SP_ENCRYPT_CERT_ISSUER_DN と共に使用されます。
SAML_SP_ENCRYPT_ID
タイプ | ブール値 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | SAML_FALSE |
説明
生成されたアサーション内の名前 ID をサービス プロバイダ サイトで暗号化する必要があるかどうかを指定します。デフォルトでは、名前 ID は暗号化されません。
SAML_SP_ENCRYPT_KEY_ALGO
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | rsa-v15 |
説明
使用する暗号化キー アルゴリズムのタイプ。有効な値は以下のとおりです。
- rsa-v15。RSA 暗号化、バージョン 1.5。
- rsa-oaep。最適な Asymmetric Encryption Padding エンコードおよび RSA 暗号化。
SAML_SP_ENDTIME
タイプ | 長整数(10 進数の文字列として保存) |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
アサーションを生成する必要がある場合の期限(時間)。
このプロパティは、アサーション生成の時間制限を定義するために、SAML_SP_STARTTIME、および Sm_PolicyApi_SAMLSP_t 構造の[pszTimeGrid]フィールドと共に使用されます。
この値は標準的な time_t 値から作成されます。ただし、これは 10 進の文字列として保存されます。長整数のデータ型として SAML_SP_ENDTIME を使用する必要がある場合は、必ず値を変換してください。
時間制限をすぐに終了するには SAML_SP_ENDTIME を 0 に設定します。
SAML_SP_IDP_SOURCEID
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | SAML_SP_IDPID 値の 16 進数にエンコードされた SHA-1 ハッシュ |
説明
アーチファクト発行者に対する、16 進数にエンコードされた 20 バイトのシーケンス識別子。この値は、アサーション アーチファクト内のアーチファクト発行者を一意に識別します。
文字列長はちょうど 40 文字である必要があります。小文字の 16 進文字列のみが保存されます。
SAML_SP_IDPID
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | はい |
デフォルト値 | なし |
説明
アサーションを生成するアイデンティティ プロバイダのプロバイダ ID。
SAML_SP_IGNORE_REQ_AUTHNCONTEXT
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | 0 |
説明
アイデンティティ プロバイダが AuthnRequest メッセージの「RequestedAuthnContext」を無視するか(値が 1 の場合)または無視しないか(0 の場合)を指定します。
SAML_SP_IPD_SERVICE_URL
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | SAML_SP_ENABLE_IPD が SAML_TRUE である場合は必須です。 |
デフォルト値 | なし |
説明
アイデンティティ プロバイダ ディスカバリ プロファイルのホスト URL。
SAML_SP_NAMEID_ATTRNAME
タイプ | 文字列 |
適用先 | SAML 2.0 アフィリエーション、サービス プロバイダ |
必要かどうか | SAML_SP_NAMEID_TYPE が 1(ユーザ属性)または 2(DN 属性)に設定されているときは、はい |
デフォルト値 | なし |
説明
以下の値のいずれかです。
- SAML_SP_NAMEID_TYPE が 1 に設定されている場合、このプロパティは名前識別子が含まれているユーザ属性の名前を指定します。
- SAML_SP_NAMEID_TYPE が 2 に設定されている場合、このプロパティはグループまたは組織単位 DN と関連付けられた属性を指定します。
SAML_SP_NAMEID_DNSPEC
タイプ | 文字列 |
適用先 | SAML 2.0 アフィリエーション、サービス プロバイダ |
必要かどうか | SAML_SP_NAMEID_TYPE が 2(DN 属性)に設定されている場合は、はい |
デフォルト値 | なし |
説明
関連付けられた名前 ID 属性を取得するために使用されるグループまたは組織単位 DN。
ネストされたグループ内の属性の検索を
CA Single Sign-on
に許可するかどうかを指定できます。詳細については、構造 Sm_PolicyApi_SAMLSPAttr_t の[pszValue]フィールドの説明を参照してください。SAML_SP_NAMEID_FORMAT
タイプ | 文字列 |
適用先 | SAML 2.0 アフィリエーション、サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | 未指定 |
説明
以下のいずれかの名前 ID 形式の値の完全 URI。
- 未指定
- [Email Address]
- X509 サブジェクト名
- Windows ドメイン修飾名
- Kerberos プリンシパル名
- エンティティ識別子
- 永続的な識別子
- 一時的な識別子
たとえば、デフォルト形式である未指定の完全 URI は以下のとおりです。
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified
これらの形式の説明については、以下の SAML 2.0 指定情報を参照してください。
OASIS セキュリティ アサーション マークアップ言語(SAML) V2.0 用のアサーションおよびプロトコル
注:
SAML アフィリエーションが SAML_AFFILIATION で指定される場合、このプロパティと他の SAML_SP_NAMEID... プロパティは使用されません。は、指定されたアフィリエーション内の NAMEID 情報を使用します。SAML_SP_NAMEID_STATIC
タイプ | 文字列 |
適用先 | SAML 2.0 アフィリエーション、サービス プロバイダ |
必要かどうか | SAML_SP_NAMEID_TYPE が 0(スタティック)に設定されている場合は、はい |
デフォルト値 | なし |
説明
すべての名前識別子に使用されるスタティック テキスト。
SAML_SP_NAMEID_TYPE
タイプ | 整数 |
適用先 | SAML 2.0 アフィリエーション、サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | 1 |
説明
名前識別子のタイプ。有効な値は以下のとおりです。
- 0. スタティック テキスト。
- 1. ユーザ属性。
- 2. DN 属性。
SAML_SP_ONE_TIME_USE
タイプ | ブール値 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | SAML_FALSE |
説明
アサーションを 1 回だけ使用することを示す要素をアサーションに追加するかどうかを指定します。
SAML_SP_PASSWORD
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | SAML_ENABLE_SSO_ARTIFACT_BINDING が SAML_TRUE である場合は必須です。 |
デフォルト値 | なし |
説明
バックチャネルによるサービス プロバイダ アクセスに使用されるパスワード。
SAML_SP_PERSISTENT_COOKIE
タイプ | ブール値 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | SAML_FALSE |
説明
アイデンティティ プロバイダ ディスカバリ プロファイル Cookie を永続的にするかどうかを指定します。SAML_SP_ENABLE_IPD が SAML_TRUE である場合にのみ適用されます。
SAML_SP_PLUGIN_CLASS
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
アサーション生成プログラム プラグインの完全修飾 Java クラス名。
アサーション生成プログラム プラグインでは、アサーションのコンテンツをカスタマイズできます。詳細については、オンラインの Java API ドキュメント(Javadoc およびガイド)を参照してください。
SAML_SP_PLUGIN_PARAMS
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
SAML_SP_PLUGIN_CLASS で指定されたアサーション生成プログラム プラグインに渡されるパラメータ。
SAML_SP_REQUIRE_SIGNED_AUTHNREQUESTS
タイプ | ブール値 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | SAML_FALSE |
説明
認証要求が署名される必要があるかどうかを指定します。
SAML_SP_REUSE_SESSION_INDEX
タイプ | ブール値 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | 0 |
説明
Single Sign-On
が単一のブラウザ セッション内の同じパートナーに対してアサーション内の同じセッション インデックスを送るかどうかを示します。ユーザが同じブラウザ ウィンドウを使用して同じパートナーと複数回フェデレーションを行う場合、このプロパティを設定すると、各セッションで同じセッション インデックスを送信するように IdP に指示されます。プロパティをデフォルト値(0)のままにすると、はシングル サインオンが発生するたびに新しいセッション インデックスを生成します。有効な値は以下のとおりです。
- 0同じセッション インデックスを再利用しません。
- 1同じセッション インデックスを再利用します。
SAML_SP_STARTTIME
タイプ | 長整数(10 進数の文字列として保存) |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
アサーションを生成するための時間制限が有効になる時間。この値は、標準の time_t 形式で保存されます。
このプロパティは、アサーション生成の時間制限を定義するために、SAML_SP_ENDTIME、および Sm_PolicyApi_SAMLSP_t 構造の[pszTimeGrid]フィールドと共に使用されます。
この値は標準的な time_t 値から作成されます。ただし、これは 10 進の文字列として保存されます。長整数のデータ型として SAML_SP_STARTTIME を使用する必要がある場合は、必ず値を変換してください。
時間制限をすぐに開始するには SAML_SP_STARTTIME を 0 に設定します。
SAML_SP_VALIDITY_DURATION
タイプ | 整数 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | 60 |
説明
生成されたアサーションが有効な秒数。
提供される値は正の整数である必要があります。
SAML_SKEWTIME も参照してください。
SAML_SP_SESSION_NOTORAFTER_TYPE
タイプ | 文字列 |
適用先 | サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | アサーション有効期間の使用 |
このプロパティにより、アサーションの SessionNotOnOrAfter パラメータに対して設定される値が決まります。サードパーティ SP は、SessionNotOnOrAfter の値を使用して、独自のセッション タイムアウトを設定できます。
Single Sign-On
は、SP として機能している場合、SessionNotOnOrAfter 値を無視します。代わりに、SP は、ターゲット リソースを保護する設定済みの SAML 認証方式に相当するレルム タイムアウトに基づき、セッション タイムアウトを設定します。- アサーション有効期間の使用アサーション有効期間に基づく SessionNotOnOrAfter 値を計算します。
- 省略アサーションに SessionNotOnOrAfter パラメータを含めないように IdP に命じます。
- IDP セッションIdP セッション タイムアウトに基づく SessionNotOnOrAfter 値を計算します。タイムアウトは認証 URL 用の IdP レルムで設定されます。このオプションを使用すると、IdP および SP セッション タイムアウト値を同期することができます。
- カスタムアサーションに SessionNotOnOrAfter パラメータの独自の値を指定できます。このオプションを選択する場合は、SAML_SP_CUSTOM_TIME_OUT プロパティに時間を入力します。
SAML_SSOECPPROFILE
タイプ | ブール値 |
適用先 | SAML 2.0 認証、サービス プロバイダ |
必要かどうか | いいえ |
デフォルト値 | SAML_FALSE |
説明
アイデンティティ プロバイダまたはサービス プロバイダが SAML 2.0 拡張クライアントおよびプロキシ プロファイル要求をサポートするかどうかを指定します。
SAML2_CUSTOM_ENABLE_INVALID_REQUEST_URL
タイプ | ブール値 |
適用先 | カスタム エラー ページ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
カスタム エラー リダイレクト プロセスが無効な要求に有効かどうかを指定します。
SAML2_CUSTOM_ENABLE_SERVER_ERROR_URL
タイプ | ブール値 |
適用先 | カスタム エラー ページ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
カスタム エラー リダイレクト プロセスをサーバ エラーに対して有効にするかどうかを指定します。
SAML2_CUSTOM_ENABLE_INVALID_REQUEST_URL
タイプ | ブール値 |
適用先 | カスタム エラー ページ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
カスタム エラー リダイレクト プロセスが無効な要求に有効かどうかを指定します。
SAML2_CUSTOM_INVALID_REQUEST_REDIRECT_MODE
タイプ | ブール値 |
適用先 | カスタム エラー ページ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
無効な要求に対するリダイレクト モードを指定します。有効な値は以下のとおりです。
- 0. 302 データなし -- HTTP 302 リダイレクト。ターゲット リソースの URL および認証失敗の理由はリダイレクト URL に追加されます。認証方式に渡される SAML 2.0 レスポンス メッセージは含まれません。
- 1. Http Post。-- HTTP POST リダイレクト。認証方式に渡された SAML 2.0 レスポンス メッセージおよび ID プロバイダの ID は HTTP フォームによって生成されます。
SAML2_CUSTOM_INVALID_REQUEST_REDIRECT_URL
タイプ | 文字列 |
適用先 | カスタム エラー ページ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
- 無効な要求に対するリダイレクト URL を指定します。
SAML2_CUSTOM_SERVER_ERROR_REDIRECT_MODE
タイプ | ブール値 |
適用先 | カスタム エラー ページ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
内部サーバ エラーに対するリダイレクト モードを指定します。有効な値は以下のとおりです。
- 0. 302 データなし -- HTTP 302 リダイレクト。ターゲット リソースの URL および認証失敗の理由はリダイレクト URL に追加されます。認証方式に渡される SAML 2.0 レスポンス メッセージは含まれません。
- 1. Http Post。-- HTTP POST リダイレクト。認証方式に渡された SAML 2.0 レスポンス メッセージおよび ID プロバイダの ID は HTTP フォームによって生成されます。
SAML2_CUSTOM_SERVER_ERROR_REDIRECT_URL
タイプ | 文字列 |
適用先 | カスタム エラー ページ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
内部サーバ エラーに対するリダイレクト URL を指定します。
SAML2_CUSTOM_UNAUTHORIZED_ACCESS_REDIRECT_MODE
タイプ | ブール値 |
適用先 | カスタム エラー ページ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
禁止されたアクセスに対するリダイレクト モードを指定します。有効な値は以下のとおりです。
- 0. 302 データなし -- HTTP 302 リダイレクト。ターゲット リソースの URL および認証失敗の理由はリダイレクト URL に追加されます。認証方式に渡される SAML 2.0 レスポンス メッセージは含まれません。
- 1. Http Post。-- HTTP POST リダイレクト。認証方式に渡された SAML 2.0 レスポンス メッセージおよび ID プロバイダの ID は HTTP フォームによって生成されます。
SAML2_CUSTOM_UNAUTHORIZED_ACCESS_REDIRECT_URL
タイプ | 文字列 |
適用先 | カスタム エラー ページ |
必要かどうか | いいえ |
デフォルト値 | なし |
説明
禁止されたアクセス エラーに対するリダイレクト URL を指定します。