SAML 2.0 認証用のユーザ レコードの検索
目次
casso11jp
目次
2
認証スキームを設定する際に、認証スキームがローカル ユーザ ストアでユーザを検索する方法を定義します。正しいユーザが検索された後、システムはこのユーザのセッションを生成します。ユーザ ストアでのユーザの検索は、不明瞭解消のプロセスです。ポリシー サーバがユーザの不明瞭解消を行う方法は、認証方式の設定により異なります。
不明瞭解消を正しく行うために、認証スキームでは、最初にアサーションから LoginID を判別します。LoginID は、ユーザを識別する
Single Sign-On
固有の用語です。デフォルトでは、LoginID はアサーション内の名前 ID から抽出されます。また、Xpath クエリを使用することによっても LoginID を取得できます。認証方式が LoginID を判別した後、ポリシー サーバは認証方式に対して検索仕様が設定されているかどうかを確認します。認証方式に対して検索仕様が定義されていない場合、LoginID がポリシー サーバに渡されます。ポリシー サーバでは、ユーザ ストア検索仕様と共に LoginID を使用してユーザを検索します。たとえば、LoginID の値が Username で、LDAP 検索仕様が uid 属性に設定されているとします。すると、ポリシー サーバは、uid の値(Username=uid)を使用してユーザを特定します。
認証スキームに対して検索仕様が設定されている場合、LoginID はポリシー サーバに渡されません。その代わりに、検索仕様を使用してユーザが検索されます。
以下の 2 つの方法のいずれかを使用してユーザの不明瞭解消を設定できます。
- ローカルで、認証方式の一部として設定する
- 設定済みの SAML アフィリエーションを選択することによって設定する
認証方式の一部としての不明瞭解消のローカル設定
不明瞭解消をローカルで選択する場合、そのプロセスには以下の 2 つの手順があります。
- デフォルト動作または Xpath クエリの使用によって LoginID を取得する。
- デフォルト動作またはユーザ ルックアップを定義することによって、ユーザ ストアでユーザを検索する。
注:
Xpath および検索仕様の使用はオプションです。LoginID の取得
LoginID は、以下の 2 つの方法で検索できます。
- LoginID がアサーションの NameID から抽出されるというデフォルト動作を利用する。この場合、設定は不要です。
- デフォルト動作の代わりに、Xpath クエリを使用して LoginID を検索する。
Xpath クエリを使用して LoginID を判別する方法
- SAML 2.0 認証方式に移動します。
- [SAML 2.0 設定]をクリックします。
- [SAML 2.0 プロパティ]ページから、認証方式が LoginID を取得するために使用する Xpath クエリを入力します。[OK]をクリックして、変更を保存します。casso11jpXpath クエリにはネームスペース プレフィックスを含めることはできません。以下の例はXpath クエリです。無効な/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()有効な Xpath クエリは次のとおりです。//Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()
ユーザの検索の設定
LoginID を取得した後、デフォルト動作(LoginID がポリシー サーバに渡される)以外の方法でユーザを検索するように設定できます。
検索仕様を使用してユーザを検索する方法
- SAML 2.0 認証方式に移動します。
- [SAML 2.0 設定]をクリックします。
- [ユーザの検索]セクションで、適切なネームスペース フィールドに検索仕様を入力します。検索仕様は、認証方式がネームスペースを検索するために使用する属性を定義します。LoginID を表すエントリとして %s を使用します。たとえば、LoginID の値が user1 であるとします。[検索仕様]フィールドで Username=%s と指定すると、文字列は Username=user1 となります。この文字列は、ユーザ ストアに照らして確認され、認証のための正しいレコードが検索されます。
- [OK]をクリックして、設定の変更内容を保存します。
SAML アフィリエーションを使用したユーザ レコードの検索(オプション)
サービス プロバイダのグループは、アフィリエーションを形成できます。サービス プロバイダをグループ化することで、フェデレーション ネットワーク全域での関連付けが確立され、アフィリエーションの 1 つのメンバとのリレーションシップによって、アフィリエーションのすべてのメンバとのリレーションシップが確立されます。
アフィリエーション内のすべてのサービス プロバイダが、単一のプリンシパルの名前識別子を共有します。1 つのアイデンティティ プロバイダがユーザを認証し、そのユーザに ID を割り当てると、アフィリエーションのすべてのメンバがその同じ名前 ID を使用します。単一の名前 ID を使用することで、それぞれのサービス プロバイダで必要とされる設定が削減されます。さらに、1 つのプリンシパルに対して 1 つの名前 ID を使用することにより、アイデンティティ プロバイダでのストレージ容量が節約されます。
ユーザ不明瞭解消に、オプションの Xpath クエリおよび検索仕様を使用できます。これらのオプションは、認証方式の一部ではなくアフィリエーション自体の一部として定義されます。
注:
アフィリエーションを認証方式設定で使用するには、先にアフィリエーション定義してください。アフィリエーションを選択する方法
- SAML 2.0 認証方式ページに移動します。
- [SAML 2.0 設定]をクリックします。
- [一般]設定。
- [ユーザの特定]セクションで、[SAML アフィリエーション]ドロップダウン フィールドから事前定義済みのアフィリエーションを選択します。これらのアフィリエーションは、アイデンティティ プロバイダで設定されています。