サービス プロバイダ オブジェクトの一般情報の設定

目次
casso11jp
目次
2
[一般]ページを選択して、サービス プロバイダを指定し、SP ID や IDP ID などの詳細を入力ます。また、サービス プロバイダにアクセスするための IP アドレスや時間制限を設定できます。
一般設定項目を設定する方法
  1. [一般]設定に移動します。
  2. 必須フィールドに注意しながら、フィールドに値に入力します。
    フィールドの説明については、[ヘルプ]をクリックしてください。ただし、以下のフィールドに注意してください。
    • 認証 URL
      この URL は redirect.jsp ファイルを指します。redirect.jsp ファイルを
      Single Sign-On
      ポリシーで保護します。ポリシーは、保護されたサービス プロバイダリ ソースをリクエストするが
      Single Sign-On
      セッションを持たないユーザに対する認証チャレンジをトリガします。
    • スキュー時間
      アイデンティティ プロバイダのシステム クロックとサービス プロバイダのシステム クロックの差を秒単位で指定します。スキュー時間は、シングル サインオンおよびシングル ログアウトに使用されます。
      シングル サインオンの場合、スキュー時間の値およびシングル サインオン有効期間([SSO]タブの[有効期間]フィールド)によってアサーションが有効な時間が決定されます。スキュー時間についての理解を深めるには、アサーション有効期間の計算方法について再確認してください。
      シングル ログアウトの場合、スキュー時間の値および SLO 有効期間([SLO]タブの[有効期間]フィールド)によってシングル ログアウト リクエストが有効な合計時間が決定されます。スキュー時間についての理解を深めるには、シングル ログアウト有効期間の計算方法について再確認してください。
Single Sign-On
セッションのないユーザの認証
サービス プロバイダをアフィリエイト ドメインに追加する際に設定が必要なパラメータの 1 つが、認証 URL パラメータです。
認証 URL は、redirect.jsp ファイルを指します。このファイルは、Web エージェント オプション パックまたは
CA Access Gateway
をインストールしたアイデンティティ プロバイダ サイトにインストールされます。redirect.jsp ファイルを
Single Sign-On
ポリシーで保護します。ポリシーは、保護されたサービス プロバイダリ ソースをリクエストするが
Single Sign-On
セッションを持たないユーザに対する認証チャレンジをトリガします。
以下のバインドには、
Single Sign-On
セッションが必要です。
  • 保護されたサービス プロバイダ リソースをリクエストするユーザ
    HTTP-Artifact バインドを使用してシングル サインオンを設定する場合、SAML アサーションをセッション ストアに保存するための永続セッションをセットアップします。
  • HTTP-POST バインドを使用するシングル サインオン
    ユーザはセッションを持つ必要がありますが、セッションは永続的である必要はありません。アサーションは、ブラウザ経由でサービス プロバイダに直接配信されます。アサーションは、セッション ストアに保存される必要はありません。
  • シングル ログアウト
    シングル ログアウトを有効にする場合、永続セッションが必要です。ユーザが最初にサービス プロバイダ リソースをリクエストする際、セッションがセッション ストアに保存されます。セッション情報は、後でシングル ログアウトが実行されたときに必要になります。
ユーザが認証され、正常に redirect.jsp ファイルにアクセスした後、セッションが確立されます。redirect.jsp ファイルは、ユーザをリダイレクトしてアイデンティティ プロバイダ Web エージェントまたは
CA Access Gateway
に戻します
Single Sign-On
はリクエストを処理します。
認証 URL を保護するための手順は、以下の展開に無関係に同じです。
  • Web エージェントと同じシステムにインストールされた Web エージェント オプション パック
  • Web サーバ プロキシにインストールされた Web エージェントのあるアプリケーション サーバ
  • アプリケーション サーバ エージェントのあるアプリケーション サーバ
  • アイデンティティ プロバイダでインストールされた
    CA Access Gateway
認証 URL を保護するポリシーの設定
認証 URL を保護する方法
  1. 管理 UI にログインします。
  2. アサーティング パーティ Web サーバに対して定義したレルムにバインドする Web エージェントを作成します。Web サーバと FWS アプリケーションに個別のエージェント名を割り当てるか、両方に同じエージェント名を使用します。
  3. コンシューマ リソースへのアクセス試行時に認証情報が要求されるユーザに対してポリシー ドメインを作成します。
  4. ポリシー ドメインに含まれるリソースへのアクセス権が必要なユーザを選択します。
  5. ポリシー ドメインに対して以下の値を持つレルムを定義します。
    • エージェント
      アサーティング パーティ Web サーバのエージェント
    • リソース フィルタ
      Web エージェント r6.x QMR 6、r12.0 SP2 以降、および
      CA Access Gateway
      では、以下を入力します。
      /siteminderagent/redirectjsp/
      リソース フィルタ /siteminderagent/redirectjsp/ は、FWS アプリケーションが自動的にセットアップするエイリアスです。エイリアス参照には次の内容が含まれます。
      • Web エージェント(
        web_agent_home
        /affwebservices/redirectjsp)
      • CA Access Gateway
        sps_home
        /secure-proxy/Tomcat/webapps/affwebservices/redirectjsp)
    • 永続セッション
      SAML Artifact プロファイルの場合のみ、[レルム]ダイアログ ボックスの[セッション]セクションで[永続]チェック ボックスをオンにします。永続セッションを設定しない場合、ユーザはコンシューマ リソースにアクセスできません。
    残りの設定項目は、デフォルトのままにするか、必要に応じ変更します。
  6. [OK]をクリックしてレルムを保存します。
  7. レルムのルールを作成します。レルムに対応するすべてのリソースを保護するには、[レルム]フィールドでデフォルト値のアスタリスク(*)をそのまま使用します。
  8. 前の手順で作成したルールが含まれるアサーティング パーティ Web サーバに対するポリシーを作成します。
サービス プロバイダ利用可能時間の制限の設定(オプション)
サービス プロバイダ リソースの利用可能な時間に制限を指定できます。時間制限を指定すると、リソースへのアクセスは指定された期間中のみ可能となります。ユーザが指定の期間外にリソースへのアクセスを試みても、アイデンティティ プロバイダは SAML アサーションを生成しません。
: 時間制限は、ポリシー サーバがインストールされたサーバのシステム クロックに基づきます。
時間制限を指定する方法
  1. まず、[一般]設定に移動します。
    ページの[制限]セクションで、[時間を設定]セクションを選択します。
    [時間制限]ページが表示されます。
  2. スケジュールを設定します。このスケジュール グリッドは、ルール オブジェクトの[時間制限]グリッドと同一です。
  3. [OK]をクリックします。
時間制限のスケジュールが設定されました。
サービス プロバイダの IP アドレス制限の設定(オプション)
サービス プロバイダにアクセスするブラウザが実行されている Web サーバの IP アドレス、範囲アドレス、またはサブネット マスクを指定できます。サービス プロバイダの IP アドレスが指定される場合、サービス プロバイダでは、適切な IP アドレスからのユーザのみを受け付けます。
IP アドレスを指定する方法
  1. まず、[一般]設定に移動します。
    ページの[制限]セクションで、[IP アドレス]領域の[追加]をクリックします。
    [IP 制限]ページが表示されます。
  2. 追加する IP アドレス タイプのオプションを選択し、そのアドレス タイプに関連するフィールドに入力します。
    : IP アドレスが不明でも、アドレスのドメイン名が既知の場合は、[DNS の検索]ボタンをクリックしてください。このボタンにより、[DNS の検索]ページが表示されます。[ホスト名]フィールドに完全修飾ホスト名を入力し、[OK]をクリックします。
    • [単一ホスト] -- ブラウザをホストする単一の IP アドレスを指定します。単一の IP アドレスを指定する場合、ユーザは指定された IP アドレスからのみサービス プロバイダにアクセスできます。
    • [ホスト名] -- Web サーバをそのホスト名で指定します。ホスト名を指定する場合、サービス プロバイダは指定されたホストからのユーザのみにアクセス可能です。
    • [サブネット マスク] -- Web サーバのサブネット マスクを指定します。サブネット マスクを指定する場合、サービス プロバイダは指定されたサブネット マスクからのユーザのみにアクセス可能です。このボタンを選択する場合、[アドレスとサブネット マスクの追加]ダイアログ ボックスが表示されます。左矢印ボタンと右矢印ボタンを使用するか、スライダ バーをクリックしてからドラッグして、サブネット マスクを選択してください。
    • [範囲] -- IP アドレス範囲を指定します。IP アドレスの範囲を指定する場合、サービス プロバイダは、アドレスの範囲内の IP アドレスからのユーザのみを許可します。範囲の開始アドレス([FROM])および終了アドレス([TO])を入力します。
  3. [OK]をクリックして設定を保存します。
プロキシ サーバの識別(オプション)
ネットワークでクライアントとフェデレーション Web サービスのあるシステムとの間にプロキシ サーバが存在する場合は、URL の protocol と authority の部分を指定します。構文は、
protocol
:
authority
です。
  • protocol
    http: または https:
  • authority
    //
    host.domain.com
    または //
    host.domain.com:port
例: http://example.ca.com
プロキシ サーバを識別する方法
  1. まず、設定ウィザードの[一般]手順に移動します。
    ページの[詳細]セクションで、[サーバ]フィールドに URL を入力します。
  2. [サブミット]をクリックします。