SP においてプロキシ サーバで処理されるリクエスト

では、特定のリクエストを SP で受信すると、メッセージ属性を検証します。 は、フェデレーション Web サービス アプリケーションのローカル URL を使用して属性を検証します。検証後、 はリクエストを処理します。
casso11jp
Single Sign-On
では、特定のリクエストを SP で受信すると、メッセージ属性を検証します。
Single Sign-On
は、フェデレーション Web サービス アプリケーションのローカル URL を使用して属性を検証します。検証後、
Single Sign-On
はリクエストを処理します。
たとえば、ログアウト リクエスト メッセージに以下の属性が含まれているとします。
Destination="http://sp.domain.com:8080/affwebservices/public/saml2slo"
この例では、ログアウト メッセージ内の宛先属性と、フェデレーション Web サービス アプリケーションのアドレスは同じです。
Single Sign-On
は、宛先属性が FWS アプリケーションのローカル URL に一致することを確認します。
Single Sign-On
がプロキシ サーバの後に配置されている場合、ローカル URL と宛先属性 URL は同じにはなりません。宛先属性は、プロキシ サーバの URL です。たとえば、ログアウト メッセージに以下の宛先属性が含まれているとします。
Destination="http://proxy.domain.com:9090/affwebservices/public/saml2slo"
フェデレーション Web サービスのローカル URL (http://sp.domain.com:8080/affwebservices/public/saml2slo)が宛先属性に一致しないため、リクエストは拒否されます。
プロキシ設定の指定により、
Single Sign-On
がリクエストのメッセージ属性の検証に使用するローカル URL の判別方法を変更できます。プロキシ設定において、
Single Sign-On
によってローカル URL の
<protocol>
://
<authority>
の部分がプロキシ サーバ URL と置換されます。この置換の結果、2 つの URL が一致します。
SP においてプロキシ サーバを使用して処理するリクエストの設定
プロキシ設定の指定により、
Single Sign-On
がリクエストのメッセージ属性の検証に使用するローカル URL の判別方法を変更できます。
サービス プロバイダでプロキシ サーバを使用する方法
  1. 変更する SAML 2.0 認証方式に移動します。
  2. [SAML 2.0 設定]-[詳細]を選択します。
  3. [プロキシ]セクションで、[サーバ]フィールドに部分的な URL を入力します。形式は
    <protocol>
    ://
    <authority>
    です。
    たとえば、プロキシ サーバ設定は次ようになります。
    http://proxy.domain.com:9090
    ネットワーク内に
    CA Access Gateway
    が存在する場合は、[サーバ]フィールドで
    CA Access Gateway
    のホストとポートを指定する必要があります。次に例を示します。
    http://sps_federation_gateway.domain.com:9090
  4. [OK]をクリックして、変更を保存します。
サーバ設定は、SP の以下のサービスの URL に影響します。
  • アサーション コンシューマ サービス
  • シングル ログアウト サービス
サーバの値は、宛先属性と同様に、
Single Sign-On
が SAML 属性の確認に使用する URL の一部になります。
注:
1 つの URL に対して 1 つのプロキシ サーバを使用している場合は、これらのすべての URL に対してそのプロキシ サーバを使用してください。