アフィリエイトの一般設定の入力し
目次
casso11jp
目次
2
アフィリエイトの一般設定項目を設定します。
アフィリエイトに関する一般情報を提供する方法
- まず、設定ウィザードの[一般]手順に移動します。
- [一般]セクションで以下のフィールドに入力します。
- 名前
- パスワード/パスワードの確認
- 認証 URLこの URL は redirect.jsp ファイルを指す必要があります -- 例を以下に示します。http://myserver.mysite.com/siteminderagent/redirectjsp/redirect.jspmyserverは、Web サーバおよび Web エージェント オプション パックまたはCA Access Gatewayを特定します。認証 URL を保護するポリシーを必ず作成してください。
- [アクティブ]を選択して、アフィリエイト オブジェクトをアクティブにします。
- (オプション)[安全な URL を使用]を選択します。[安全な URL を使用]機能は、ユーザをリダイレクトしてSingle Sign-Onセッションを確立する前に、認証 URL に追加する SMPORTALURL クエリ パラメータを暗号化するように SSO サービスに指示します。SMPORTALURL を暗号化することにより、悪意のあるユーザによるこのパラメータの改ざんが防止されます。このチェック ボックスをオンにする場合は、[認証 URL]フィールドを以下の URL に設定します。http(s)://idp_server:port/affwebservices/secure/secureredirect
- (オプション)[制限]セクションおよび[詳細]セクションのフィールドに入力します。
- [Next]をクリックします。
Single Sign-On
セッションのないユーザの認証(SAML 1.x)コンシューマをアフィリエイト ドメインに追加する際、[認証 URL]フィールドの設定が必要となります。認証 URL が redirect.jsp ファイルを指すことが必要です。この URL の目的は、プロデューサでのセッションを確立することです。
redirect.jsp ファイルは、Web エージェント オプション パックまたは
CA Access Gateway
がインストールされているプロデューサにインストールされます。ポリシーで redirect.jsp ファイルを保護し、保護されたリソースをリクエストするユーザの認証が依頼されるようにします。ユーザがセッションを持たないため、Web エージェントからチャレンジが出力されます。ユーザが認証され、正常に redirect.jsp ファイルにアクセスした後、セッションが確立されます。このユーザは、redirect.jsp ファイルによりリダイレクトされ、プロデューサ Web エージェントに戻ります。このエージェントでリクエストの処理が可能です。また、SAML アサーションの生成ができます。
認証 URL を保護するための手順は、以下のすべてのセット アップにおいて同じです。
- Web エージェントと同じシステムにインストールされる Web エージェント オプション パック。
- Web サーバ プロキシにインストールされた Web エージェントのあるアプリケーション サーバ。
- アプリケーション サーバ エージェントと共にインストールされるアプリケーション サーバ。
- アサーティング パーティでインストールされているCA Access Gateway。
認証 URL を保護するポリシーの設定
casso11jp
認証 URL を保護する方法
- 管理 UI にログインします。
- アサーティング パーティ Web サーバに対して定義したレルムにバインドする Web エージェントを作成します。Web サーバと FWS アプリケーションに個別のエージェント名を割り当てるか、両方に同じエージェント名を使用します。
- コンシューマ リソースへのアクセス試行時に認証情報が要求されるユーザに対してポリシー ドメインを作成します。
- ポリシー ドメインに含まれるリソースへのアクセス権が必要なユーザを選択します。
- ポリシー ドメインに対して以下の値を持つレルムを定義します。
- エージェントアサーティング パーティ Web サーバのエージェント
- リソース フィルタWeb エージェント r6.x QMR 6、r12.0 SP2 以降、およびCA Access Gatewayを入力します。/siteminderagent/redirectjsp/リソース フィルタ /siteminderagent/redirectjsp/ は、FWS アプリケーションが自動的にセットアップするエイリアスです。エイリアス参照には次の内容が含まれます。
- Web エージェント(web_agent_home/affwebservices/redirectjsp)
- CA Access Gateway(sps_home/secure-proxy/Tomcat/webapps/affwebservices/redirectjsp)
- 永続セッションSAML Artifact プロファイルの場合のみ、[レルム]ダイアログ ボックスの[セッション]セクションで[永続]チェック ボックスをオンにします。永続セッションを設定しない場合、ユーザはコンシューマ リソースにアクセスできません。
- [OK]をクリックしてレルムを保存します。
- レルムのルールを作成します。レルムに対応するすべてのリソースを保護するには、[レルム]フィールドでデフォルト値のアスタリスク(*)をそのまま使用します。
- 前の手順で作成したルールが含まれるアサーティング パーティ Web サーバに対するポリシーを作成します。
- 「アサーションが生成される対象のユーザの選択」のタスクを実行します。
SAML 1.x コンシューマの時間制限の設定(オプション)
コンシューマ リソースの利用可能な時間に制限を指定できます。時間制限を指定すると、コンシューマ リソースへのアクセスは指定された期間中のみ可能となります。ユーザが指定の期間外にリソースへのアクセスを試みても、プロデューサは SAML アサーションを生成しません。
注
: 時間制限は、ポリシー サーバがインストールされたサーバのシステム クロックに基づきます。時間制限を指定する方法
- まず、[一般]設定に移動します。ページの[制限]セクションで、[時間を設定]を選択します。[時間制限]ページが表示されます。
- スケジュールを設定します。このスケジュール グリッドは、ルール オブジェクトの[時間制限]グリッドと同一です。
- [OK]をクリックします。
時間制限のスケジュールが設定されました。
SAML 1.x コンシューマの IP アドレス制限の設定(オプション)
コンシューマにアクセスするブラウザが実行されている Web サーバの IP アドレス、範囲アドレス、またはサブネット マスクを指定できます。IP アドレスを指定する場合、コンシューマでは、適切な IP アドレスからのユーザのみを受け付けます。
IP アドレスを指定する方法
- 最初に管理 UI の[一般]設定に移動します。ページの[制限]セクションで、[IP アドレス]領域の[追加]をクリックします。[IP 制限]ページが表示されます。
- 追加する IP アドレス タイプのオプションを選択し、そのアドレス タイプに関連するフィールドに入力します。IP アドレスが不明でも、アドレスのドメイン名が既知の場合は、[DNS の検索]ボタンをクリックしてください。このボタンにより、[DNS の検索]ページが表示されます。[ホスト名]フィールドに完全修飾ホスト名を入力し、[OK]をクリックします。オプションを以下に示します。
- [単一ホスト] -- ブラウザをホストする単一の IP アドレスを指定します。単一の IP アドレスを指定する場合、ユーザは指定された IP アドレスからのみコンシューマにアクセスできます。
- [ホスト名] -- Web サーバをそのホスト名で指定します。ホスト名を指定する場合、コンシューマは指定されたホストからのユーザのみにアクセス可能です。
- [サブネット マスク] -- Web サーバのサブネット マスクを指定します。サブネット マスクを指定する場合、サービス プロバイダは指定されたサブネット マスクからのユーザのみにアクセス可能です。このボタンを選択する場合、[アドレスとサブネット マスクの追加]ダイアログ ボックスが表示されます。左矢印ボタンと右矢印ボタンを使用するか、スライダ バーをクリックしてからドラッグして、サブネット マスクを選択してください。
- [範囲] -- IP アドレス範囲を指定します。IP アドレスの範囲を指定する場合、コンシューマは、アドレスの範囲内の IP アドレスからのユーザのみを許可します。範囲の開始アドレス([FROM])および終了アドレス([TO])を入力します。
- [OK]をクリックして設定を保存します。