SP においてプロキシ サーバで処理されるリクエスト
では、特定のリクエストを SP で受信すると、メッセージ属性を検証します。 は、フェデレーション Web サービス アプリケーションのローカル URL を使用して属性を検証します。検証後、 はリクエストを処理します。
casso11jp
Single Sign-On
では、特定のリクエストを SP で受信すると、メッセージ属性を検証します。Single Sign-On
は、フェデレーション Web サービス アプリケーションのローカル URL を使用して属性を検証します。検証後、Single Sign-On
はリクエストを処理します。たとえば、ログアウト リクエスト メッセージに以下の属性が含まれているとします。
Destination="http://sp.domain.com:8080/affwebservices/public/saml2slo"
この例では、ログアウト メッセージ内の宛先属性と、フェデレーション Web サービス アプリケーションのアドレスは同じです。
Single Sign-On
は、宛先属性が FWS アプリケーションのローカル URL に一致することを確認します。Single Sign-On
がプロキシ サーバの後に配置されている場合、ローカル URL と宛先属性 URL は同じにはなりません。宛先属性は、プロキシ サーバの URL です。たとえば、ログアウト メッセージに以下の宛先属性が含まれているとします。Destination="http://proxy.domain.com:9090/affwebservices/public/saml2slo"
フェデレーション Web サービスのローカル URL (http://sp.domain.com:8080/affwebservices/public/saml2slo)が宛先属性に一致しないため、リクエストは拒否されます。
プロキシ設定の指定により、
Single Sign-On
がリクエストのメッセージ属性の検証に使用するローカル URL の判別方法を変更できます。プロキシ設定において、Single Sign-On
によってローカル URL の <protocol>
://<authority>
の部分がプロキシ サーバ URL と置換されます。この置換の結果、2 つの URL が一致します。SP においてプロキシ サーバを使用して処理するリクエストの設定
プロキシ設定の指定により、
Single Sign-On
がリクエストのメッセージ属性の検証に使用するローカル URL の判別方法を変更できます。サービス プロバイダでプロキシ サーバを使用する方法
- 変更する SAML 2.0 認証方式に移動します。
- [SAML 2.0 設定]-[詳細]を選択します。
- [プロキシ]セクションで、[サーバ]フィールドに部分的な URL を入力します。形式は<protocol>://<authority>です。たとえば、プロキシ サーバ設定は次ようになります。http://proxy.domain.com:9090ネットワーク内にCA Access Gatewayが存在する場合は、[サーバ]フィールドでCA Access Gatewayのホストとポートを指定する必要があります。次に例を示します。http://sps_federation_gateway.domain.com:9090
- [OK]をクリックして、変更を保存します。
サーバ設定は、SP の以下のサービスの URL に影響します。
- アサーション コンシューマ サービス
- シングル ログアウト サービス
サーバの値は、宛先属性と同様に、
Single Sign-On
が SAML 属性の確認に使用する URL の一部になります。注:
1 つの URL に対して 1 つのプロキシ サーバを使用している場合は、これらのすべての URL に対してそのプロキシ サーバを使用してください。