ユーザ識別ダイアログ ボックス(SAML 2.0 SP)

ユーザ識別手順では、依存パーティがユーザ ストア内のレコードを見つけるために使用するアサーション属性を指定します。
casso11jp
HID_partnership-userID
ユーザ識別手順では、依存パーティがユーザ ストア内のレコードを見つけるために使用するアサーション属性を指定します。
  • アサーションからの識別属性の選択
    このセクションでは、依存パーティがアサーション内でユーザの検出にどの属性を使用するかを指定できます。
    デフォルト:
    名前 ID を使用
    オプション:
    • 名前 ID を使用
      正しいユーザ レコードを検出するためにアサーション内の名前 ID エレメントの値を使用するように依存パーティに指示します。
    • 属性の選択
      正しいユーザ レコードを検出するためにアサーションからの属性を使用するように依存パーティに指示します。これらの属性はアサーティング パーティで定義され、アサーションに含められます。依存パーティは、アサーティング パーティがどの属性に対してアサーションを送るかを知っている必要があります。
      ドロップダウン リストから事前定義済み属性を選択するか、またはテキスト ボックスに属性名を直接入力します。名前 ID が一時的なもので、定期的に変更される場合、このオプションを使用できます。
    • XPath の指定
      Xpath 検索文字列から識別されるアサーションからの情報を使用するように依存パーティに指示します。たとえば、entityID を検索し、その属性をユーザ レコードを検出するために使用するように依存パーティを設定できます。
    • ユーザ識別子の作成を IDP に許可
      IdP に送信される AuthnRequest に AllowCreate 属性を配置します。この属性は、ユーザ レコードに ID が存在しない場合に名前 ID の識別子を生成するように IdP に指示します。IdP は、IdP で
      [ユーザ ID の作成を許可]
      チェック
      ボックスが選択されている場合のみ識別子を生成します。この設定は、アサーション設定の一部です。IdP は、SP に返すアサーション内に名前 ID の新しい値を組み込みます。
    • NameIDPolicy フォーマット
      IdP に送信される AuthnRequest での NameIDPolicy タグのフォーマット属性を指定します。
      [IdP にユーザ ID の作成を許可]が選択されていて、[NameIDPolicy フォーマット]から値が選択されている場合、選択されたフォーマットが送信されます。
      [IdP にユーザ ID の作成を許可]が選択されておらず、[NameIDPolicy フォーマット]から値が選択されていない場合、フォーマットは送信されません。
      [IdP にユーザ ID の作成を許可]が選択されておらず、[NameIDPolicy フォーマット]から値が選択されている場合、選択されたフォーマットが送信されます。
      [IdP にユーザ ID の作成を許可]が選択されていて、[NameIDPolicy フォーマット]から値が選択されていない場合、[永続]フォーマットが送信されます。
    • クエリ パラメータは識別子を無視します
      クエリ パラメータによって AuthnRequest 内の AllowCreate 属性値を置換できるようになります。
      SP でシングル サインオンを開始する URL に AllowCreate クエリ パラメータを組み込むことができます。ブラウザは、最初に SP の AuthnRequest サービスに転送されます。AuthnRequest に AllowCreate 属性がすでに存在する場合、クエリ パラメータの値は属性の値を置換します。クエリ パラメータを使用すると、パートナーシップ設定を変更および再アクティブ化せずに、AllowCreate 属性の値を変更できます。
  • 識別属性のユーザ ディレクトリへのマップ
    このセクションでは、ユーザ レコードを検索するように検索文字列を指定できます。
    名前 ID またはアサーションからの他の識別属性を使用して、ネームスペースを検索するために依存パーティが使用する検索文字列を指定します。検索文字列で、名前 ID または他の識別属性を表す変数として %s を使用します。
    たとえば、名前 ID が user1 の値を持つとします。検索文字列として name=%s を指定する場合、結果として生成される文字列は Username=user1 です。この文字列は、認証の正しい記録を見つけるためにユーザ ストアと比較されます。
    このセクションには、以下の設定項目が表示されます。
    • ディレクトリ
      検索仕様
      ユーザ ディレクトリ内で属性を検出するためにコンシューマが使用する検索文字列を決定します。以下のように、ディレクトリ タイプに適切な検索文字列を入力します。
      LDAP: uid=%s
      ODBC: name=%s
  • フェデレーション ユーザ
    依存パーティがリクエストされたリソースにアクセスするためにどのユーザを許可するかを示します。
  • メッセージ コンシューマ プラグイン
    プラグイン クラス
    (オプション)認証方式に対するメッセージ コンシューマ プラグイン インターフェースを実装するクラスの完全修飾 Java クラス名を指定します。
    プラグイン パラメータ
    [プラグイン クラス]フィールドで指定されたプラグインに API が渡す一連のパラメータを指定します。