(オプション)バックチャネル対応のクライアント証明書認証の有効化(SAML 2.0)

目次
casso11jp
目次
2
この手順は、Artifact バインドによるシングル サインオンのみが対象です。
アサーション コンシューマ サービスは、認証方式から情報を収集して、アイデンティティ プロバイダからアサーションを取得します。方式は、アサーションを取得するためにアイデンティティ プロバイダに提供する認証情報のタイプをアサーション コンシューマ サービスに通知します。アサーションが取得された後、アイデンティティ プロバイダは、セキュリティで保護されたバックチャネルでアサーションをサービス プロバイダに送信します。クライアント証明書認証を使用して、バックチャネル セキュリティのセキュリティを保護することができます。
バックチャネルに対する証明書認証はオプションです。代わりに Basic 認証も使用できます。
バックチャネルにクライアント証明書認証を使用するには、以下のように操作します。
  1. バックチャネルに対するクライアント証明書認証を選択します。この方式は、証明書がサービス プロバイダの認証情報として機能することを示します。
    ポリシー サーバが FIPS 専用モードで作動している場合にも、FIPS 140 以外で暗号化された証明書を使用してバックチャネル セキュリティのセキュリティを保護することができます。ただし、厳密な FIPS のみのインストールの場合、FIPS 140 互換のアルゴリズムで暗号化された証明書のみを使用してください。
アサーティング側のポリシー サーバの管理者は、アサーション検索サービスを保護するためのポリシーを設定しておく必要があります。このポリシーのレルムは、X.509 クライアント証明書認証方式を使用する必要があります。
証明書データ ストアへのクライアント証明書の追加
認証機関から秘密キー/証明書ペアを取得する必要があります。管理 UI を使用して、秘密キー/証明書ペアを証明書データ ストアに追加します。キー/証明書ペアがすでにデータ ストアにある場合は、この手順をスキップします。
キー/証明書ペアペアをインポートする場合、割り当てるエイリアスは、認証方式設定の[名前]フィールドと同じ値であることが必要です。さらに、証明書の件名の CN 属性も[名前]フィールドに一致する必要があります。たとえば、名前が CompanyA であるとします。すると、エイリアスは CompanyA であることが必要です。また、件名の CN の値に CN=CompanyA, OU=Development, O=CA, L=Islandia, ST=NY, C=US と記述される必要があります。
重要:
認証方式内の[名前]フィールドは、アイデンティティ プロバイダでサービス プロバイダ オブジェクトに割り当てられる名前に一致する必要があります。
Single Sign-On
がアイデンティティ プロバイダである場合、認証方式内の[名前]は、オブジェクトの[一般]設定の[名前]フィールドに一致する必要があります。
バックチャネルに関するクライアント証明書オプションの設定
バックチャネルに関するクライアント証明書認証を有効にする場合、証明書は認証情報として機能します。
認証情報としてクライアント証明書を示す方法
  1. SAML 2.0 認証方式に移動します。
  2. [SAML 2.0 設定]-[SSO]を選択します。
    [SSO]ページが表示されます。
  3. [バインディング]セクションで[HTTP-Artifact]を選択します。
  4. [OK]をクリックします。
  5. [暗号化 & 署名]ページに移動します。
  6. [バックチャネル]セクションの[認証]フィールドで[クライアント証明書]を選択します。
  7. [SP 名]の値を入力します。
  8. [OK]をクリックします。