セッション属性をアサーションに追加する方法
目次
casso11jp
目次
2
ポリシー サーバは、ユーザの認証後の動的なユーザ情報を保持するためにセッション ストアを使用します。格納された情報には、認証コンテキスト情報、SAML 属性、ユーザを認証するサードパーティ IdP、および OAuth 認証からのクレームなどがあります。ポリシー サーバは、ユーザ トークンの生成またはポリシーの決定にこの情報を使用できます。
フェデレーション シングル サインオンの場合、ポリシー サーバは、リクエストされたアプリケーションをカスタマイズするために属性をセッション ストアからアサーションに追加できます。
セッション属性は、以下の展開で格納されます。
- 委任認証以外の展開。ローカル システムまたは外部のサードパーティはユーザを認証しますが、システムはそれをローカル認証と見なします。ローカル認証の展開は、認証モードがシングル サインオン設定でローカルであることを必要とします。また、アクセス ポリシーによって認証 URL を保護する必要があります。セッション属性を保持するようにポリシーの認証方式を設定します。
- 委任認証の展開外部のサードパーティがユーザを認証できます。サードパーティのパートナーは、セッション ストアに格納されるユーザ情報を返します。
利用可能なセッション属性の特定
フェデレーション管理者として、パートナーシップによって使用されるセッション属性を識別します。データベースやユーザ ディレクトリなどの認証ソースを操作し、使用可能な属性をよく理解してください。
アサーション設定へのセッション属性の追加
セッション属性をアサーション設定に追加します。IdP から SP へのパートナーシップなどの設定は、アサーティング パーティにあります。
以下の手順に従います。
- 管理 UI にログインします。
- パートナーシップ ウィザードの[アサーションの設定]手順に移動します。
- [アサーション属性]セクションで、[行の追加]をクリックします。
- セッション属性を設定するには、テーブル内の設定を完了します。以下に例を示します。
- アサーション属性IssuerID
- 取得メソッドSSO
- Format未指定
- Typeセッション属性
- 値IssuerID
- 必要数のエントリ用に行を追加します。
- (オプション)。[暗号化]を選択して属性を暗号化します。
- [次へ]をクリックして、[SSO と SLO]手順に移動します。
管理 UI 内のセッション属性の例
以下の図の最後の 2 つのエントリは、セッション属性エントリの例を表しています。この画面は、SAML 2.0 パートナーシップ用です。SAML 1.1 の場合の画面もこれに似ていますが、[取得方法]列と[フォーマット]列がありません。代わりに、[ネームスペース]列が存在します。
SSO の認証モードと URL の確認
パートナーシップの認証モードおよび認証 URL が正しく設定されていることを確認します。
注:
この手順では、その他の必要な SSO 設定が設定済みであると仮定しています。以下の手順に従います。
- パートナーシップ ウィザードの[SSO と SLO]手順に移動します。
- [認証]セクションで、以下のフィールドの設定を確認します。
- 認証モードローカル
- 認証 URLこの URL は、たとえば以下のように redirect.jsp ファイルを指している必要があります。http://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyserverWeb エージェント オプション パックまたはCA Access Gatewayのある Web サーバを識別します。redirect.jsp ファイルは、アサーティング パーティでインストールされるこれらの製品に含まれています。重要: ポリシーでこのリソースを保護します。
- [確認]手順に移動し、[完了]をクリックします。
セッション属性を保持するための認証方式の設定
認証 URL を保護する認証方式の設定 セッション属性を保持するための方式を有効にします。この手順は、システムでセッション属性を格納する場合に必要です。
以下の手順に従います。
- [インフラストラクチャ]-[認証]-[認証方式]をクリックします。
- [認証方式の作成]をクリックします。
- [認証方式タイプの新しいオブジェクトの作成]が選択されていることを確認します。[OK]をクリックします。[認証方式の作成]ページが表示されます。
- セッション属性を保持できる認証方式テンプレート(ユーザ名およびパスワードのみでなく、もっと詳しい情報が必要)を選択します。たとえば、X.509 証明書認証方式には、証明書の SubjectDN と IssuerID が必要です。OAuth 認証方式では、名および姓などの情報が必要です。この情報は、セッション ストアに保持し、アサーションに追加することができます。使用できる認証方式テンプレートは次のとおりです。
- OpenID
- OAuth
- すべての X.509 認証テンプレート
- カスタム方式
- 方式に固有のフィールドおよびコントロールに入力します。フィールドの説明については、[ヘルプ]をクリックしてください。
- ダイアログ ボックスの[方式のセットアップ]セクションにある[認証セッション変数を保持する]を選択します。
- [サブミット]をクリックして方式を保存します。
認証 URL を保護するポリシーの作成
認証 URL を保護するポリシーで、セッション属性を保持する認証方式を使用します。保護されているリソースをユーザがリクエストした場合、ポリシーによってユーザの認証に必要なアクションがトリガされます。システムは、ユーザによってセッション変数として指定された認証情報を格納します。
まずアサーティング パーティのポリシー ドメインを作成し、ユーザを割り当てます。また、既存のアサーティング パーティ ドメインを変更できます。
以下の手順に従います。
- [ポリシー]-[ドメイン]-[ドメイン]をクリックします。[ドメイン]ページが表示されます。
- アサーティング パーティのドメインを選択し、それを変更します。
- ユーザ ディレクトリがドメインの一部になっていることを確認します。そうでない場合は、[追加/削除]をクリックしてユーザ ディレクトリを追加します。[使用可能なメンバ]リストから 1 つ以上のユーザ ディレクトリを選択できます。一度に複数のメンバを選択するには、Ctrl キーを押しながら追加のメンバをクリックします。メンバを範囲で選択するには、最初のメンバをクリックし、次に Shift キーを押しながら範囲の最後のメンバをクリックします。注:ユーザ ディレクトリを作成し、それをドメインに追加するには、[作成]をクリックします。
- [サブミット]をクリックします。
ドメインが設定されます。
認証 URL ポリシーのレルムおよびルールの作成
フェデレーション ドメインについては、レルムを作成し、それを Web エージェントに関連付けます。
以下の手順に従います。
- [ポリシー]-[ドメイン]-[レルム]をクリックします。[レルム]ページが表示されます。
- [レルムの作成]をクリックします。
- 変更するドメインを選択して、[次へ]をクリックします。
- レルムの名前および説明を入力します。レルムが SSO 認証 URL 用であることを示す名前を指定します。
- [エージェント/エージェント グループの検索]をクリックして、エージェントを選択します。
- 適切な Web エージェントを選択し、[OK]をクリックします。
- redirect.jsp のリソース フィルタの指定 以下に例を示します。/siteminder/redirectjsp/redirect.jsp
- 以下のフィールドに値を入力します。
- デフォルト リソース保護保護
- 認証方式認証 URL を保護するために設定した認証方式を選択します。この方式は、セッション属性を保持するために設定したものです。
- [ルール]セクションでルールを作成します。
- ルールの名前を指定します。
- その他の設定はデフォルトのままにします。
- 他の設定オプションをスキップします。
- [完了]をクリックします。
レルムおよびルームの設定は完了です。
認証 URL ポリシーの作成
認証 URL を保護するためのポリシーを作成します。ポリシー コンポーネントは一緒に動作し、リソースを保護します。
ポリシーを作成した後、ユーザおよびルールを追加します。
以下の手順に従います。
- [ポリシー]-[ドメイン]-[ドメイン]をクリックします。
- ドメインを検索します。検索条件に一致するドメインのリストが表示されます。
- アサーティング パーティのドメインを選択します。
- [変更]をクリックします。
- [ポリシー]タブをクリックします。[ポリシー]ページが表示されます。
- [作成]をクリックします。
- ポリシーの名前および説明を入力します。
- [ユーザ]タブから、個々のユーザ、ユーザ グループ、または両方を追加します。ユーザはドメインに関連付けられたユーザ ディレクトリのメンバです。各ユーザ ディレクトリ グループ ボックスから、[メンバの追加]、[エントリの追加]、[すべて追加]を選択します。使用するメソッドに応じて、ダイアログ ボックスが表示され、ユーザの追加が可能になります。注:[メンバーの追加]を選択すると、[ユーザ/グループ]ウィンドウ開きます。個々のユーザは、自動的には表示されません。ディレクトリの 1 つに含まれる特定のユーザを見つけるには、検索ユーティリティを使用します。右向き矢印(>)またはマイナス記号(-)のクリックにより、ユーザまたはグループをそれぞれ編集または削除できます。
- [ルール]タブからルールを追加します。
- 認証 URL 用に作成したルールを選択し、[OK]をクリックします。ルールのレスポンスを設定する要求はありません。
- [サブミット]をクリックして、設定を完了します。
ポリシー設定が完了しました。
アサーション属性、シングル サインオン、およびポリシー設定は連携して動作し、アサーションでセッション属性を使用できるようにします。