IdP パートナーの設定

目次
casso11jp
目次
2
以下は、IdP1 の管理者から見た設定プロセスです。したがって IdP1 はローカル IdP です。
以下のプロセスによって IdP パートナーを確立します。
  1. 管理 UI にログインします。
  2. ユーザ ディレクトリ接続を確立します。
  3. IdP エンティティおよび SP エンティティを識別します。
  4. IdP から SP への SAML2 パートナーシップを作成します。
  5. パートナーシップ ウィザードに従い、最低限必要な設定を行います。
IdP でのユーザ ディレクトリ接続の確立
ユーザ ディレクトリへの接続を定義した後でパートナーシップを確立できます。IdP ユーザ ディレクトリは、アイデンティティ プロバイダがアサーションを生成する対象のユーザ レコードから構成されます。
以下の手順では、管理 UI でユーザ ディレクトリを設定する方法を説明します。IdP LDAP という名前のディレクトリにはユーザ 1 およびユーザ 2 が含まれます。
以下の手順に従います。
  1. 管理 UI にログインします。
  2. [インフラストラクチャ]-[ディレクトリ]-[ユーザ ディレクトリ]を選択します。
  3. [ユーザ ディレクトリの作成]をクリックします。
    [ユーザ ディレクトリ]ダイアログ ボックスが表示されます。
  4. 以下のフィールドに値を入力します。
    • 名前
      IdP LDAP
    • ネームスペース
      LDAP
    • サーバ
      www.idp.demo:42088
  5. [LDAP 設定]セクションの以下のフィールドに入力します。
    • ルート
      dc=idp,dc=demo
      その他の値はデフォルトのままにします。
    [LDAP ユーザ DN の検索]の以下のフィールドに入力します。
    • 先頭
      uid=
    • 終端
      ,ou=People,dc=idp,dc=demo
  6. [内容の表示]をクリックして、ディレクトリの内容を表示できることを確認します。
  7. [サブミット]をクリックします。
セッションを確立するための認証 URL の保護
ポリシー サーバがアサーションを生成するには、ユーザは IdP ポリシー サーバでセッションを持つ必要があります。セッションを確立するには、ユーザに認証チャレンジが提示されるように、ポリシーを使用して認証 URL を保護します。これにより、ユーザがログインしてセッションが確立されます。
以下の手順に従います。
  1. <ui> にログインします。
  2. [インフラストラクチャ]-[エージェント]-[エージェントの作成]を選択します。
  3. Agent1 という名前の Web エージェントを作成します。
  4. [ポリシー]-[ドメイン]-[ドメイン]-[ドメインの作成]を選択します。
  5. 認証 URL 用のポリシー ドメインを作成します。
  6. チャレンジを要求されるユーザが含まれるユーザ ディレクトリを追加します。
  7. ポリシー ドメインに含まれるリソースへのアクセス権が必要なユーザを選択します。
  8. [レルム]タブを選択し、次の値を使用してポリシー ドメインのレルムを定義します。
    • エージェント
      Agent1
    • リソース フィルタ
      casso11jp
      リソース フィルタとして、redirectjsp フォルダの以下のパスのいずれかを使用します。CA Web エージェント オプション パックおよび CA Access Gateway は、このリソース フィルタを使用します。
      • 直接パス:
        /affwebservices/redirectjsp/
      • 仮想パス:
        redirectjsp フォルダが存在するサーバへのパス。共通の仮想パスは、/siteminderagent/redirectjsp です。これは、Web エージェント オプション パックまたは Access Gateway で Web エージェントを設定するときにセットアップされます。仮想パスは、以下の仮想ディレクトリを指し示します。
        • Web エージェントを使用して行われた場合のイベントの典型的なシーケンスを示します。
          web_agent_home
          /affwebservices/redirectjsp
        • CA Access Gateway:
          access_gateway_home
          /secure-proxy/Tomcat/webapps/affwebservices/redirectjsp
      このリソース フィルタは、Web エージェントと
      CA Access Gateway
      に対して適用されます。
    • デフォルト リソース保護
      保護
    • 認証方式
      この例では、[基本]を選択します。
      認証 URL を保護するために任意の認証方式を選択できます。たとえば、認証のためにユーザをカスタム ログイン アプリケーションに送るカスタム認証方式を使用できます。redirect.jsp は、次にフェデレーション プロセスへのリダイレクトを処理します。
    • 永続セッション
      HTTP-Artifact プロファイルの場合、セッション情報を格納するには、[セッション]セクションの[永続]チェック ボックスを選択します。セッション情報は、シングル ログアウトなどの機能、および属性機関に必要です。
    9. レルム ダイアログ ボックスの[ルール]セクションで、[ルールの作成]をクリックします。フィールドに以下の値を入力します。
    • Resource
      /*
      アスタリスクは、ルールがレルム内のすべてのリソースに適用されることを意味します。
    • 許可/拒否と有効/無効
      アクセスを許可する
      [有効]チェック ボックスはオン。
    • アクション
      Web エージェント アクション
      Get、Post、Put
  10. [ポリシー]タブを選択し、次のコンポーネントが含まれるポリシーを作成します。
    • ユーザ ディレクトリで選択したユーザのセット。
    • redirectjsp アプリケーションおよび関連ルールが含まれるレルム。
これで、ポリシーにより認証 URL が保護されます。
パートナーシップ エンティティの設定
ユーザ ディレクトリ接続を確立した後で、パートナーシップの両側を識別します。管理 UI では、パートナーはそれぞれエンティティと呼ばれます。
以下の手順では、ローカル エンティティおよびリモート エンティティに必要な値について説明します。実際のネットワーク設定では、両方でローカル エンティティを作成してメタデータ ファイルにエクスポートし、ファイルを交換することができます。その後、両方でリモート エンティティを定義できます。
ローカル IdP を作成する方法
  1. [フェデレーション]-[パートナーシップ フェデレーション]-[エンティティ]を選択します。
  2. [フェデレーション エンティティ リスト]で[エンティティの作成]をクリックします。
  3. エンティティ ウィザードの最初の手順で、以下の選択を行ってから[次へ]をクリックします。
    • エンティティ ロケーション
      ローカル
    • 新しいエンティティ タイプ
      SAML2 IDP
  4. ウィザードの 2 番目の手順で、以下のフィールドに入力してから[次へ]をクリックします。
    • エンティティ ID
      idp1
      この値によって、パートナーに対してエンティティが識別されます。
    • エンティティ名
      idp1
      この値によって、エンティティ オブジェクトがデータベースで内部的に識別されます。パートナーはこの値を認識しません。
    • ベース URL
      http://idp1.example.com:9090
    他の設定はそのまま残します。
    : [エンティティ名]は[エンティティ ID]と同じ値にすることができます。ただし、値をサイトの他のエンティティとは共有しないでください。
  5. 最後の手順で設定を確認し、[完了]をクリックします。
[エンティティ]ウィンドウに戻ります。
SP エンティティを作成する方法
  1. [エンティティ]ウィンドウから始めます。
  2. [フェデレーション エンティティ リスト]で[エンティティの作成]をクリックします。
    [エンティティの作成]ダイアログ ボックスが表示されます。
  3. エンティティ ウィザードの最初の手順で、以下の選択を行ってから[次へ]をクリックします。
    • エンティティ ロケーション
      リモート
    • 新しいエンティティ タイプ
      SAML2 SP
  4. ウィザードの 2 番目の手順で、以下のようにフィールドに入力してから[次へ]をクリックします。
    • エンティティ ID
      sp1
      この値によって、パートナーに対してエンティティが識別されます。
    • エンティティ名
      sp1
      この値によって、エンティティ オブジェクトがデータベースで内部的に識別されます。パートナーはこの値を認識しません。
    • アサーション コンシューマ サービス URL
    • インデックス
      0
    • バインディング
      HTTP-Post
    • URL
      http://sp1.demo.com:9091/affwebservices/public/saml2assertionconsumer
    • デフォルト値
      エントリのチェック ボックスをオンにします。
    他の設定はそのまま残します。
  5. 最後の手順で設定を確認し、[完了]をクリックします。
リモート SP エンティティが設定されました。
ローカル エンティティおよびリモート エンティティを設定した後で、パートナーシップを作成します。
IdP から SP へのパートナーシップの作成
フェデレーション エンティティの作成後に、パートナーシップ ウィザードに従って IdP から SP へのパートナーシップを設定します。ウィザードは基本的なパートナーシップ パラメータから始まります。
以下の手順に従います。
  1. [フェデレーション]-[パートナーシップ フェデレーション]-[パートナーシップ]を選択します。
  2. [パートナーシップの作成]をクリックします。
  3. [SAML2 IdP -> SP]を選択します。
    このオプションを選択することで、ユーザがローカル IdP であることを示します。
    パートナーシップ ウィザードの最初の手順を始めます。
  4. フィールドに以下の値を入力します。
    • パートナーシップ名
      TestPartnership
    • ローカル IDP ID
      idp1
      (プルダウン リストから選択)
    • リモート SP ID
      sp1
      (プルダウン リストから選択)
    • スキュー時間(秒)
      デフォルトを受け入れる
  5. IDP LDAP ディレクトリを[使用可能なディレクトリ]リストから[選択されたディレクトリ]リストに移動します。
  6. [次へ]をクリックして[フェデレーション ユーザ]手順に進みます。
アサーション生成用のフェデレーション ユーザの指定
[フェデレーション ユーザ]ダイアログ ボックスで、IdP によってアサーションを生成されるユーザを選択します。
以下の手順に従います。
  1. デフォルトを受け入れます。
  2. [次へ]をクリックして続行します。
デフォルトを受け入れることによって、
Single Sign-On
がユーザ ディレクトリのすべてのユーザのアサーションを生成できることを示します。
アサーションへの名前 ID の追加
[アサーションの設定]手順では、名前 ID のフォーマットと値、およびユーザを識別する属性を指定できます。これらの属性はアサーションに含まれています。
: 名前 ID は必ずアサーションに含まれています。
この設定では、[名前 ID]のみを指定します。他の属性を追加しないでください。
以下の手順に従います。
  1. [アサーションの設定]手順から、以下のフィールドの値を入力します。
    • 名前 ID 形式
      未指定
    • 名前 ID タイプ
      スタティック
    • GeorgeC
  2. [次へ]をクリックして続行し、シングル サインオン(SSO)をセットアップします。
IdP でのシングル サインオンのセットアップ
パートナー間のシングル サインオンを確立するには、SSO 設定を行います。
以下の手順に従います。
  1. パートナーシップ ウィザードの[SSO と SLO]手順から始めます。
  2. [認証]セクションで以下のエントリを指定します。
    • 認証モード
      ローカル
    • 認証 URL
      完全な認証 URL を入力します。例:
      • 直接 URL:
        http://webserver1.example.com/affwebservices/redirectjsp/redirect.jsp
      • 仮想 URL:
         
        http://webserver1.example.com/siteminderagent/redirectjsp/redirect.jsp
        この URL で、siteminderagent は仮想パスへのエイリアスです。
      この例では、webserver1 は、アイデンティティ プロバイダで Web エージェント オプション パックまたはアクセス ゲートウェイがインストールされている Web サーバです。
      認証 URL をポリシーで保護します
    • AuthnContext の設定
      デフォルトを受け入れる
    • 認証クラス
      デフォルトを受け入れる
  1. [SSO]セクションで以下のエントリを指定します。
    • SSO バインディング
      HTTP-POST
    • アサーション コンシューマ URL
      http://sp1.demo.com:9091/affwebservices/public/saml2assertionconsumer
  2. [次へ]をクリックして[署名および暗号化]手順に移動します。
署名処理の無効化
casso11jp
 
 
この簡単なパートナーシップでは、署名処理を無効にします。ただし、実稼働環境では、アイデンティティ プロバイダはアサーションに署名する必要があります。
以下の手順に従います。
  1. [署名および暗号化]手順から、[署名の処理を無効にする]を選択します。
  2. [次へ]をクリックして次の手順に移動します。
IdP から SP へのパートナーシップ設定の確認
フェデレーション パートナーシップの一方に対するパートナーシップ定義が完了しました。設定を確認します。
以下の手順に従います。
  1. [確認]ダイアログ ボックスでパートナーシップの設定を確認します。
  2. 設定を変更するには、いずれかのセクションで[変更]をクリックします。
  3. 設定が終了したら、[完了]をクリックします。
パートナーシップの IdP 側が完了しました。IdP システムとは異なるシステム上でパートナーシップの SP 側を定義します。