属性を SAML 1.x アサーションに含める設定(オプション)

目次
casso11jp
目次
2
属性をアサーションに含めることができます。サーブレットやアプリケーションでは、属性を使用してユーザに関するカスタマイズされたコンテンツを表示できます。ユーザ属性、DN 属性、または静的データのすべてをアサーション内でプロデューサからコンシューマに渡すことができます。属性を Web アプリケーションで使用する場合、属性を使用して、コンシューマでのユーザのアクティビティを制限できます。たとえば、プロデューサは Authorized Amount という名前の属性を送信します。コンシューマでは、この属性をユーザの支出可能最高金額に設定します。
属性は名前/値ペアの形式をとり、属性には、メール アドレス、肩書き、許可されたトランザクション支出限度などの情報が含まれます。コンシューマでは、アサーションを受信すると、属性を抽出します。コンシューマは、属性を HTTP ヘッダ変数または HTTP Cookie 変数としてアプリケーションで使用できるようにします。
属性を渡すには、レスポンスを設定する必要があります。この目的に利用可能なレスポンスは次のとおりです。
  • Affiliate-HTTP-Header-Variable
  • Affiliate-HTTP-Cookie-Variable
casso11jp
HTTP ヘッダおよび HTTP Cookie にはサイズ制限があり、アサーション属性でそれらを超えることはできません。サイズ制限は以下のとおりです。
  • HTTP ヘッダ:
    Single Sign-On
    は、Web サーバのヘッダに関するサイズ制限までの属性をヘッダで送信できます。1 つのヘッダごとに 1 つのアサーション属性のみが許可されます。ヘッダ サイズの制限を調べるには、使用している Web サーバのドキュメントを参照してください。
  • HTTP Cookie:
    Single Sign-On
    は、Cookie のサイズ制限までの Cookie を送信できます。それぞれのアサーション属性は、それ自身の Cookie として送信されます。Cookie のサイズ制限はブラウザ固有です。また、その制限は、属性ごとではなく、アプリケーションに渡されるすべての属性に適用されます。Cookie のサイズ制限を調べるには、使用する Web ブラウザのドキュメントを参照してください。
SAML 1.x アサーションの属性の設定
属性を SAML アサーションからコンシューマ サイトのターゲット アプリケーションへ渡すようにレスポンスを設定できます。
アサーションの属性を設定する方法
  1. [アサーション]設定に移動します。
  2. [属性]セクションの[追加]をクリックします。
    [属性の追加]ダイアログ ボックスが表示されます。
  3. [属性タイプ]ドロップダウンから、ヘッダを設定するか Cookie 変数を設定するかを選択します。
  4. [属性のセットアップ]セクションから、以下のいずれかのオプションを[属性の種類]セクションで選択します。
    • スタティック
    • ユーザ属性
    • DN 属性
    フィールドの説明については、[ヘルプ]をクリックしてください。
    選択の結果により、[属性フィールド]セクションで利用可能なフィールドが決定されます。
  5. 選択した[属性の種類]のフィールドに入力します。[属性の種類]の選択結果により、設定が必要な追加フィールドが決定されます。
    スタティック
    以下のフィールドに入力します。
    • 変数名
      Single Sign-On
      がアフィリエイトに返す属性の名前を入力します。
    • 変数値
      名前/値ペアの値として静的なテキストを入力します。
      たとえば、show_content=yes という名前/値ペアを返すには、変数名として show_content と入力し、変数値として yes と入力します。
    ユーザ属性
    以下のフィールドに入力します。
    • 変数名
      Single Sign-On
      がコンシューマに返す属性の名前を入力します。
    • 属性名
      名前/値ペアに対応するユーザ ディレクトリの属性を入力します。
      たとえば、ユーザの電子メール アドレスをコンシューマに返すには、変数名として email_address と入力し、属性名として email と入力します。
    DN 属性
    以下のフィールドに入力します。
    • 変数名
      Single Sign-On
      がコンシューマに返す属性の名前を入力します。
    • DN 仕様
      Single Sign-On
      がユーザ属性を取得するユーザ グループの識別名を入力します。DN の値はコンシューマに返されます。DN がわからない場合は、[検索]をクリックします。
      Single Sign-On
      の[ユーザの検索]ダイアログ ボックスを使用して、ユーザ グループを検索し、DN を選択します。
    • 属性名
      名前/値ペアのこの属性に対応するユーザ ディレクトリの属性を入力します。
    [属性]メニューから[アフィリエイト] -[HTTP]-[Cookie]-[変数]を選択すると、[変数名]フィールドのラベルが[Cookie 名]に変化します。
  6. (オプション)ネストされたグループから DN 属性を取得するには、[属性の種類]セクション内の[ネストされたグループの許可]チェック ボックスをオンにします。
  7. [OK]をクリックして、変更を保存します。
アサーション属性の最大文字数を指定します
casso11jp
ユーザ アサーション属性の最大長は設定可能です。アサーション属性の最大長を変更するには、EntitlementGenerator.properties ファイルの設定を変更します。
ファイル内のプロパティ名は、設定のプロトコルに固有です。
以下の手順に従います。
  1. ポリシー サーバがインストールされているシステムで、
    policy_server_home
    \config\properties\EntitlementGenerator.properties に移動します。
  2. テキスト エディタでファイルを開きます。
  3. 現在の環境で使用中のプロトコルでのユーザ属性の最大長を調節します。各プロトコルの設定を以下に示します。
    WS-フェデレーション
    プロパティ名: com.netegrity.assertiongenerator.wsfed.MaxUserAttributeLength
    プロパティ タイプ: 正の整数値
    デフォルト値: 1024
    説明: WS-FED アサーション属性の最大属性長を示します。
    SAML 1.x
    プロパティ名: com.netegrity.assertiongenerator.saml1.MaxUserAttributeLength
    プロパティ タイプ: 正の整数値
    デフォルト値: 1024
    説明: SAML1.1 アサーション属性の最大属性長を示します。
    SAML 2.0
    プロパティ名: com.netegrity.assertiongenerator.saml2.MaxUserAttributeLength
    プロパティ タイプ: 正の整数値
    デフォルト値: 1024
    説明: SAML2.0 アサーション属性用の最大属性長を示します。
  4. これらのパラメータのいずれかを変更した後は、ポリシー サーバを再起動します。
レスポンス属性の新規作成スクリプトの使用
[属性の追加]ページの[詳細]セクションには、[スクリプト]フィールドが含まれます。このフィールドには、[属性のセットアップ]セクションの入力に基づいて
Single Sign-On
が生成したスクリプトが表示されます。このフィールドの内容をコピーし、別のレスポンス属性の[スクリプト]フィールドに貼り付けることができます。
: [スクリプト]フィールドの内容をコピーして別の属性に貼り付ける場合は、[属性の種類]セクションで適切なオプション ボタンを選択してください。