WS-Federation 認証方式でターゲット リソースを保護する方法
目次
casso11jp
目次
2
WS フェデレーション認証方式を使用する
Single Sign-On
ポリシーを設定することにより、ターゲットのフェデレーション リソースを保護します。以下の手順に従います。
- WS フェデレーション認証方式を使用するレルムを作成します。レルムは、ターゲット リソースを集めたものです。レルムは、以下の方法で作成できます。
- すでに設定済みの認証方式ごとに固有なレルムを作成する。
- 対応する WS フェデレーション認証方式へのリクエストの送信にカスタム認証方式を使用する単一のターゲット レルムを設定する。すべてのプロデューサに対して単一のターゲットを持つレルムを 1 つ設定することにより、認証のレルム設定が簡単になります。
- 関連のルールを設定します。また、必要に応じてレスポンスを設定します。
- レルム、ルール、およびレスポンスを、ターゲット リソースを保護するポリシーとしてグループ化します。
重要:
レルム内の各ターゲット URL も未承認応答 URL で識別されます。未承認応答は、リソース パートナーからの初期リクエストなしに、アカウント パートナーからリソース パートナーに送信されます。このレスポンスにターゲットが含まれます。アカウント パートナーにおいて、管理がこのレスポンスをリンクに含めます。このリンクにより、ユーザがリソース パートナーにリダイレクトされます。各認証方式に対する固有なレルムの設定
casso11jp
SAML または WS フェデレーション認証方式ごとに固有のレルムを設定する手順は、レルムを作成するための標準的な手順に従います。
以下の手順に従います。
- [ポリシー]-[ドメイン]-[ドメイン]の順に移動します。ドメインを作成するためのページが表示されます。
- [ドメインの作成]をクリックします。
- ドメイン名を入力します。
- ユーザ ディレクトリをドメインに追加します。このディレクトリは、フェデレーション リソースへのアクセスをリクエストするユーザが含まれるディレクトリです。
- [レルム]タブを選択し、レルムを作成します。
- [エージェント]フィールドで、ターゲット リソースが存在する Web サーバを保護する Web エージェントを選択します。
- [認証方式]フィールドで該当する認証方式を選択します。
- レルムのルールを作成します。ルールの一部として、ユーザの認証時の処理を制御するために使用可能なアクション(Get、Post、または Put)を選択します。
- [ポリシー]タブを選択し、ターゲット フェデレーション リソースを保護するポリシーを設定します。先に作成したレルムをこのポリシーと関連付けます。
以上で、固有のレルムを持つポリシーがフェデレーション リソースを保護します。
すべての認証方式に対する単一のターゲット レルムの設定
casso11jp
認証方式に対するレルムの設定を簡略化するには、アサーションを生成する複数のサイトに対して単一のターゲット レルムを作成します。
このタスクを実行するには、以下のコンポーネントをセットアップします
- 単一のカスタム認証方式このカスタム方式は、すでに各アサーティング パーティに対して設定済みの対応する SAML または WS フェデレーション認証方式にリクエストを転送します。
- 1 つのターゲット URL を持つ単一のレルム
単一のターゲット レルムに対する認証方式の作成
casso11jp
単一のターゲット レルムに対するカスタム認証方式を定義するには、以下の作業を実行する必要があります。
- 認証方式を設定する方法
- リソース リクエストに適用する認証方式をポリシー サーバに指定するためのカスタム方式のパラメータを定義します。
まず、SAML または WS フェデレーション認証方式が設定済みであることを確認します。設定されていない場合は、これらの方式を設定して、カスタム方式が参照できるようにします。
認証方式を作成する方法
- [インフラストラクチャ]-[認証]-[認証方式]の順に移動します。[認証方式の作成]ページが表示されます。
- 使用しているプロトコルの手順に従って 1 つまたは複数の認証方式を作成します。
- [OK]をクリックして終了します。
カスタム認証方式の設定
casso11jp
単一のターゲット レルムが正しく動作するためには、特定のカスタム認証方式に依存します。
単一のターゲット レルムに対するカスタム認証方式を設定する方法
- [インフラストラクチャ]-[認証]-[認証方式]の順に移動します。[認証方式の作成]ページが表示されます。
- フィールドには以下のように入力します。
- Nameカスタム認証方式のわかりやすい名前を入力します(SAML Custom Auth Scheme など)。
- [各方式共通セットアップ]セクションで、以下のフィールドに入力します。
- 認証方式タイプカスタム テンプレート
- 保護レベルデフォルトをそのまま使用するか、新しいレベルを設定します。
- [方式のセットアップ]セクションで、以下のフィールドに入力します。
- ライブラリsmauthsinglefed
- 秘密キーこのフィールドは空のままにします。
- 秘密キーの確認入力このフィールドは空のままにします。
- パラメータ以下のパラメータのいずれかを指定します。
- SCHEMESET=LIST; <saml-scheme1>;<saml_scheme2>使用する SAML 認証方式名のリストを指定します。artifact_producer1 という名前の Artifact と samlpost_producer2 という名前の POST プロファイル方式を設定した場合は、これらの方式を入力します。以下に例を示します。SCHEMESET=LIST;artifact_producer1;samlpost_producer2
- SCHEMESET=SAML_ALL;設定済みの方式をすべて指定します。カスタム認証方式によって、SAML 認証方式がすべて列挙され、リクエストに対して適切なプロバイダ ソース ID を持つものが特定されます。
- SCHEMESET=SAML_POST;設定したすべての SAML POST プロファイル方式を指定します。カスタム認証方式によって、POST プロファイル方式が列挙され、リクエストに対して適切なプロバイダ ソース ID を持つものが特定されます。
- SCHEMESET=SAML_ART;設定したすべての SAML Artifact 方式を指定します。カスタム認証方式によって、Artifact 方式が列挙され、リクエストに対して適切なプロバイダ ソース ID を持つものが特定されます。
- SCHEMESET=WSFED_PASSIVE;正しいアカウント パートナー ID を持つ WS フェデレーション認証方式を検索するために、すべての WS フェデレーション認証方式指定します。
- この方式をSingle Sign-On管理者用に有効にするチェック マークはオフのままにします。
- [サブミット]をクリックします。
カスタム認証方式が完成しました。
単一のターゲット レルムの設定
casso11jp
認証方式を設定し、それらをカスタム方式と関連付けた後、フェデレーション リソースに対する単一のターゲット レルムを設定します。
以下の手順に従います。
- [ポリシー]-[ドメイン]-[ドメイン]と順に移動します。
- 単一のターゲット レルムのポリシー ドメインを変更します。
- [レルム]タブを選択し、[作成]をクリックします。[レルムの作成]ダイアログが表示されます。
- 以下の値を入力して、単一のターゲット レルムを作成します。
- Nameこの単一のターゲット レルムの名前を入力します。
- [リソース]オプションの以下のフィールドに入力します。
- エージェントターゲット リソースのある Web サーバを保護する Web エージェントを選択します。
- リソース フィルタターゲット リソースの場所を指定します。この場所は、フェデレーション リソースをリクエストするすべてのユーザがリダイレクトされる場所です。例: /FederatedResources など。
- [デフォルト リソース保護]セクションで[保護]オプションを選択します。
- 以前に設定したカスタム認証方式を[認証方式]フィールドで選択します。たとえば、カスタム方式が Fed Custom Scheme という名前の場合は、この方式を選択します。
- [OK]をクリックします。
単一のターゲット レルムのタスクが完了しました。
単一のターゲット レルムに関するルールの設定
casso11jp
単一のターゲット レルムを設定した後、リソースを保護するためのルールを設定します。
- 単一のターゲット レルムの[変更]ページに移動します。
- [ルール]セクションの[作成]をクリックします。[ルールの作成]ページが表示されます。
- ルール ページのフィールドに値を入力します。
- [OK]をクリックします。
単一のターゲット レルム設定に新しいルールが含まれました。
単一のターゲット レルムを使用するポリシーの作成
casso11jp
単一のターゲット レルムを参照するポリシーを作成します。単一のターゲット レルムでは、リクエストを適切な SAML 認証方式に届けるためのカスタム認証方式を使用することに注意してください。
注
: この手順は、ドメイン、カスタム認証方式、単一のターゲット レルム、関連ルールがすでに設定済みであることが前提です。以下の手順に従います。
- すでに設定済みのドメインに移動します。
- [ポリシー]タブを選択し、[作成]をクリックします。[ポリシーの作成]ページが開きます。
- [一般]セクションで、ポリシーの名前と説明を入力します。
- [ユーザ]セクションからユーザをポリシーに追加します。
- [ルール]タブから単一のターゲット レルムに対して作成したルールを追加します。残りのタブは省略可能です。
- [OK]をクリックします。
- [サブミット]をクリックします。
ポリシー タスクが完了しました。リクエストがこのポリシーのトリガすると、このポリシーは、ユーザを認証するために、単一のレルムおよび関連付けられた認証方式に依存します。