アプリケーション統合(依存パーティ)
casso11jp
HID_application-integration
[アプリケーション統合]ダイアログ ボックスでは、フェデレーション システムが以下のタスクをどのように処理するかを設定できます。
- 依存パーティでターゲット アプリケーションにユーザをダイレクトする方法。
- ターゲット アプリケーションが使用する属性にアサーション属性をマップする方法。
- サードパーティ プロビジョニング アプリケーションがユーザ アカウントを確立する方法。
- 認証が失敗する場合にユーザがリダイレクトされる方法。
ターゲット アプリケーション設定(SAML、WSFED)
[ターゲット アプリケーション]セクションでは、ターゲット アプリケーションおよびターゲット アプリケーションにユーザがリダイレクトされる方法を指定します。
- リダイレクト モード依存パーティがターゲット リソースにユーザをリダイレクトする方法を指定します。デフォルト: データなしこのフィールドのオプションは以下のとおりです。
- データなし(デフォルト)ユーザは、セッション Cookie と共に HTTP 302 リダイレクトによってターゲット アプリケーションにリダイレクトされますが、他のデータはリダイレクトされません。
- Cookie データユーザは、HTTP 302 リダイレクトによってターゲット アプリケーションにリダイレクトされます。このリダイレクトには、アサーティング パーティで設定されるセッション Cookie および追加の Cookie データが含まれます。SAML 1.1 および 2.0 については、このオプションを有効にすると、以下のフィールドが追加で表示されます。URL エンコード属性 Cookie データCookie 内で送信された属性が URL エンコードされていることを示します。属性が URL エンコードされる理由は、URL 内の文字が URL の規格の目的以外に独自の目的を果たすためです。この設定は、リダイレクト モードとして[Cookie データ]が選択されている場合のみ有効です。アプリケーション属性テーブルで特殊文字を指定する場合は、このオプションを選択します。たとえば、日本語文字の属性の場合にこの設定を確認してください。特殊文字は、ドロップダウン リストから追加したり、手動で入力することができます。また、ターゲット アプリケーションでは、受け取ったアプリケーション属性の名前および値を URL デコードする必要があります。
- オープン形式の Cookieユーザは、オープン形式の Cookie と共に HTTP 302 リダイレクトによってターゲット アプリケーションにリダイレクトされますが、他のデータはリダイレクトされません。カスタマ アプリケーションでは、暗号化された Cookie を復号してユーザ情報を取得します。依存パーティは、複数の属性値を持つアサーションを受け取ると、すべての値をターゲット アプリケーションに渡します。
- オープン形式の Cookie ポストユーザは、オープン形式の Cookie と共に HTTP 302 リダイレクトによってターゲット アプリケーションにリダイレクトされますが、データは HTTP-POST リクエストで送信されます。Cookie のデータ長制限によってデータが失われる可能性がある場合は、このオプションを選択します。[オープン形式の Cookie]または[オープン形式の Cookie Post]オプションを選択すると、UI に以下の追加フィールドが表示されます。
- オープン形式の Cookie 名オープン形式の Cookie の名前を指定します。
- 暗号化変換オープン形式の Cookie を暗号化するための暗号化アルゴリズムを示します。FIPS 互換のアルゴリズム(AES アルゴリズム)のいずれかを選択する場合、ターゲット システムは Cookie の消費にCA SiteMinder® FederationSDK を使用することが要求されます。SDK はターゲット アプリケーションと同じサーバ上に配置されていることが必要です。Cookie の消費に .NET SDK を使用している場合は、AES128/CBC/PKCS5Padding 暗号化アルゴリズムを使用してください。
- 暗号化パスワードCookie の暗号化に使用されるパスワードを示します。オープン形式の Cookie の場合、[暗号化パスワード]および[パスワードの確認]フィールドが必須ですが、レガシー Cookie の場合、パラメータは省略可能です。重要:レガシー Cookie に対してパスワードを提供する場合は、CA SiteMinder® FederationJava SDK に対して同じ値を定義します。パスワードにより、SDK が Cookie を復号できるようになります。値が帯域外通信で共有されます。
- パスワードの確認入力暗号化パスワード エントリを確認します。
- HMAC の有効化ハッシュ メッセージ認証コード(HMAC)がこのダイアログ ボックスの暗号化パスワードを使用して生成されることを示します。メッセージ認証コード(MAC)により、2 つのパーティ間で送信される情報の整合性を確認できます。2 つのパーティは、メッセージ認証値の計算および検証用の秘密キーを共有しています。ハッシュ メッセージ認証コード(HMAC)は暗号ハッシュ関数に基づく MAC のメカニズムです。HMAC には、メッセージ入力と共に、メッセージの発信者と対象受信者のみが既知の秘密キーが含まれています。[HMAC の有効化]チェック ボックスをオンにすると、そのオープン形式 Cookie に対して HMAC 値が生成されます。HMAC 値はオープン形式 Cookie 値の先頭に追加され、文字列全体が暗号化されます。システムでは、暗号化された文字列をオープン形式の Cookie 内に配置します。この文字列がターゲット アプリケーションに渡されます。
- 引用された Cookie の有効化オープン形式の Cookie の値が二重引用符で囲まれていることを指定します。この指定により、サポートされていない文字が Cookie 値に含まれている場合にも Cookie の処理が可能になります。
- HTTP ヘッダ(SAML 1.1 および 2.0 のみ)ユーザは、HTTP ヘッダと共にターゲット アプリケーションにリダイレクトされますが、他のデータはリダイレクトされません。ポリシー サーバでは、それぞれの値をカンマで区切ることにより、1 つのヘッダで複数の属性値を配信できます。
- 永続属性ユーザは、HTTP 302 リダイレクトによってリダイレクトされますが、他のデータはリダイレクトされません。また、このモードを選択すると、アサーションから抽出した属性をセッション ストアに保存するようにポリシー サーバに指定されます。CA Single Sign-onは、HTTP ヘッダ変数として属性を指定できます。重要:このオプションを表示するには、ポリシー サーバ管理コンソールを使用してセッション ストアを有効にします。[永続属性]を選択し、アサーションに空白のままの属性が含まれている場合、NULL の値がセッション ストアに書き込まれます。この NULL 値は空の属性のプレースホルダとして機能します。また、この値はこの属性を使用する任意のアプリケーションに渡されます。
- casso11jpサーバ リダイレクトアサーションで受信されたヘッダおよび Cookie 属性をターゲット アプリケーションへ渡すようにフェデレーション システムに指示します。アサーションを消費するサービスは、ユーザ認証情報を収集し、Java のサーバ側リダイレクトを使用して、ユーザをターゲット アプリケーション URL に転送します。このモードを使用するには、以下の要件に従います。
- すべてのターゲット アプリケーション ファイルはアプリケーション ルート ディレクトリに存在する必要があります。このディレクトリは以下のいずれかです。
- Web エージェント:web_agent_home\webagent\affwebservices
- SPS フェデレーション ゲートウェイ:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- 指定するターゲット URL はアサーションを消費しているサーブレットのコンテキストに関連している必要があります。コンテキストは/affwebservices/public/で、コンテキストのルートは/affwebservices/(フェデレーション Web サービス アプリケーションのルート)です。URL にコンテキストを含めないでください。たとえば、ターゲット URL は/applications/doc1.htmlになります。
- レルム、ルールおよびターゲット リソースを保護するポリシーを定義します。レルムには、少なくともリソース フィルタに /affwebservices/ という値が含まれている必要があります。
- フェデレーション Web サービス アプリケーションを処理しているサーバ上にカスタム Java または JSP アプリケーションをインストールします。Web エージェント オプション パックまたは SPS フェデレーション ゲートウェイはフェデレーション Web サービスをインストールします。Java サーブレット技術によって、アプリケーションは ServletRequest インターフェースの setAttribute メソッドを使用して、2 つのソース要求間で情報を渡すことができます。アサーションを消費するサービスは、ユーザをターゲット アプリケーションにリダイレクトする前に、要求オブジェクトで別の属性オブジェクトを設定することにより、ターゲット アプリケーションにユーザ属性を送信します。サービスは java.util.HashMap オブジェクトを作成することにより属性を送信します。SAML 属性の HashMap が含まれる属性は "Netegrity.AttributeInfo" です。アサーションを消費するサービスは、2 つの他の Java.lang.String 属性をカスタム アプリケーションに渡します。
- Netegrity.smSessionID 属性は、セッション ID を表します。
- Netegrity.userDN 属性は、ユーザ DN を表します。
ターゲット アプリケーションは HTTP リクエストからこれらのオブジェクトを読み取り、見つかったデータを hashmap オブジェクトで使用します。
- ターゲット依存パーティのターゲット アプリケーションの URL を指定します。ここで入力する値がデフォルト ターゲット リソースになります。リダイレクト モードとして[サーバ リダイレクト]を選択する場合を除き、この URL には完全修飾ドメイン名を含める必要があります。サーバ リダイレクトの場合、ターゲット URL はアサーションを消費しているサーブレットのコンテキストに対して相対的である必要があります。コンテキストは/affwebservices/public/です。URL にコンテキストを含めないでください。たとえば、ターゲット URL は/applications/doc1.htmlになります。ターゲット リソースを含むサーバの前にプロキシが配置されている場合は、プロキシ ホストの URL を入力します。すべてのフェデレーション要求をプロキシがローカルに処理します。ターゲット サーバの前に配置された任意のシステムがプロキシ ホストとして機能できます。また、インターネットから直接アクセスされている場合は、プロキシ ホスト自体がSingle Sign-Onシステムとして機能できます。最終的には、プロキシと連係して動作する場合、ターゲットとして指定する URL はSingle Sign-Onを経由する必要があります。たとえば、ベース URL が fed.demo.com で、バックエンド サーバ リソースが mytarget/target.jsp である場合、このフィールドの値は http://fed.demo.com:5555/mytarget/target.jsp となります。SAML 2.0 において、RelayState クエリ パラメータでこの値をオーバーライドする場合、このフィールドは空白のままでもかまいません。RelayState クエリ パラメータは、シングル サインオンをトリガする URL の一部として含めることができます。このオーバーライドを有効にするには、[リレー状態を使用してターゲットをオーバーライドする]チェック ボックスをオンにします。
- Idle Timeout許可されたユーザのセッションが非アクティブになってから、エージェントがそのセッションを終了するまでの時間を指定します。ユーザが保護されたリソースにアクセスした後にワークステーションを離れることが心配な場合は、アイドル タイムアウトを短い時間に設定します。セッションがタイムアウトになると、ユーザは、リソースに再度アクセスする前に再認証する必要があります。この設定は、デフォルトでは有効になっています。セッション アイドル タイムアウトを指定しない場合は、このチェック ボックスをオフにしてください。デフォルトのセッション アイドル タイムアウトは 1 時間です。注: セッションは、実際には、指定されたアイドル タイムアウト値の経過後、一定のメンテナンス時間内に期限切れになります。この期間は、以下のレジストリ キー内に指定された秒数で決定されます。HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\CA Single Sign-on\CurrentVersion\SessionServer\MaintenancePeriodたとえば、アイドル タイムアウトを 10 分に設定するとします。また、MaintenancePeriod のレジストリをデフォルト値に設定します。すると、セッションが非アクティブ状態からタイムアウトになるまでの最長時間は 11 分(タイムアウト + メンテナンス時間)となります。この機能を基本認証方式で使用するには、Web エージェントを[Cookie が必要]に設定する必要があります。以下の点に注意してください。
- 永続セッションに関しては、[アイドル タイムアウト]を有効にし、これを [検証期間]より大きい値に設定してください。
- WebAgent-OnAuthAccept-Session-Idle-Timeout レスポンス属性を指定して、この設定よりも優先させることができます。値 0 は、非アクティブによるセッション終了は動作しないという意味になります。
デフォルト: 60 秒時間アイドル タイムアウト期間の時間数を指定します。分アイドル タイムアウト期間の分数を指定します。最大タイムアウトエージェントがユーザに再認証を要求するまでの、ユーザ セッションがアクティブな最大時間を指定します。この設定は、デフォルトでは有効になっています。最大セッション時間を指定しない場合は、このチェック ボックスをオフにしてください。デフォルトの最大セッション時間は 2 時間です。- 時間セッションの最大時間長の時間数を指定します。
- 分セッションの最大時間長の分数を指定します。
この機能を基本認証方式で使用するには、Web エージェントを[Cookie が必要]に設定する必要があります。注: WebAgent-OnAuthAccept-Session-Max-Timeout レスポンス属性を指定することにより、この設定をオーバーライドすることができます。 - リレー状態を使用してターゲットをオーバーライドする(SAML 2.0 のみ)(オプション)シングル サインオンを開始するリクエストで、ターゲット フィールド値をリレー状態クエリ パラメータ値で置換します。リレー状態クエリ パラメータを使用してターゲットをダイナミックに定義できるため、このオプションを選択することにより、ターゲットの制御性が向上します。
- ターゲット URL ドメインの検証(SAML 2.0 のみ)[ターゲット]フィールドの値または RelayState クエリ パラメータのターゲットの値を、エージェント設定オブジェクトの ValidFedTargetDomain パラメータと比較するようにポリシー サーバを指定します。この設定は、要求されたターゲット ドメインへのアクセスを依存パーティが確実に許可するために役立ちます。
- 認証セッション変数を保持アサーションから取得された情報がセッション ストアに保存され、セッション コンテキストに書き込まれます。アサーション情報をセッション ストアに保存することにより、アクティブ レスポンスやポリシー式などの機能にこの情報を使用できるようになります。このチェック ボックスをオンにすると、NameID、NameIDFormat、ProviderID、AuthnContext の値などのアサーション情報が保存されます。この設定は、ターゲット アプリケーションへのリダイレクト モードの[永続属性]オプションとは異なります。認証セッション変数を保持する場合、情報は単純な HTTP ヘッダ以外にも使用可能な変数となります。重要:このチェック ボックスを表示するには、ポリシー サーバ管理コンソールを使用してセッション ストアを有効にしてください。さらに、パートナーシップ設定の[SSO]で[永続セッションの使用]チェック ボックスをオンにしてください。
- クエリ パラメータでデフォルト ターゲットをオーバーライドする(SAML 1.1 のみ)(オプション)ターゲット フィールド値をシングル サインオンを開始する要求のターゲット クエリ パラメータ値で置換します。クエリ パラメータを使用してターゲットをダイナミックに定義できるため、このオプションを選択することにより、ターゲットの制御性が向上します。
- Cookie 有効期間オープン形式の Cookie が有効な期間を示します。ターゲット アプリケーションがデータを消費する前に Cookie が有効であることを検証できるように、有効期間が Cookie に配置されています。この値は、オープン形式の Cookie および HTTP ヘッダのリダイレクト モードに対して設定できます(HTTP ヘッダはオープン形式の Cookie を使用します)。オープン形式 Cookie の場合、Cookie が期限切れになった場合に実行する内容をアプリケーションが決定します。HTTP ヘッダの場合、CA Single Sign-onは期限切れの Cookie の送信を停止します。時間、分、秒単位の時間を入力します。値を 00:00:00 に設定すると、Cookie は無期限になります。
ターゲット アプリケーション設定(OAuth)
[ターゲット アプリケーション]セクションでは、ターゲット アプリケーションおよびターゲット アプリケーションにユーザがリダイレクトされる方法を指定します。
- リダイレクト モード依存パーティがターゲット リソースにユーザをリダイレクトする方法を指定します。指定可能な値は以下のとおりです。
- データなしユーザは、セッション Cookie と共に HTTP 302 リダイレクトによってターゲット アプリケーションにリダイレクトされますが、他のデータはリダイレクトされない指定です。
- Cookie データユーザは、セッション Cookie およびアサーティング パーティで設定された追加の Cookie データと共に HTTP 302 リダイレクトによってターゲット アプリケーションにリダイレクトされる指定です。このオプションを選択する場合、以下のオプションが使用可能です。
- URL エンコード属性 Cookie データCookie 内で送信された属性が URL エンコードされていることを示します。URL エンコード指定が必要な理由は、URL 内の文字が URL の規格の目的以外に独自の目的を果たすためです。この設定は、リダイレクト モードとして[Cookie データ]が選択されている場合のみ有効です。Cookie データに複数値クレームが含まれる場合、このオプションを選択する必要があります。アプリケーション属性テーブルで特殊文字を指定する場合は、このオプションを選択します。たとえば、日本語文字の属性の場合にこの設定を選択します。特殊文字は、ドロップダウン リストから追加したり、手動で入力することができます。また、ターゲット アプリケーションでは、受け取ったアプリケーション属性の名前および値を URL デコードする必要があります。
- オープン形式の Cookieユーザは、オープン形式の Cookie と共に HTTP 302 リダイレクトによってターゲット アプリケーションにリダイレクトされますが、他のデータはリダイレクトされない指定です。カスタマ アプリケーションでは、暗号化された Cookie を復号してユーザ情報を取得します。依存パーティは、複数の属性値を持つクレームを受け取ると、すべての値をターゲット アプリケーションに渡します。
- オープン形式の Cookie ポストユーザは、オープン形式の Cookie と共に HTTP 302 リダイレクトによってターゲット アプリケーションにリダイレクトされますが、データは HTTP-POST リクエストで送信されます。Cookie のデータ長制限によってデータが失われる可能性がある場合は、このオプションを選択します。
- オープン形式の Cookie 名オープン形式の Cookie の名前を指定します。
- 暗号化変換オープン形式の Cookie の暗号化に使用する暗号化アルゴリズムを示します。FIPS 互換のアルゴリズム(AES アルゴリズム)のいずれかを選択する場合、ターゲット システムは Cookie の消費にシステム SDK を使用することが要求されます。SDK はターゲット アプリケーションと同じサーバ上に配置されていることが必要です。Cookie の消費に .NET SDK を使用している場合は、AES128/CBC/PKCS5Padding 暗号化アルゴリズムを使用してください。
- 暗号化パスワードCookie の暗号化に使用されるパスワードを示します。
- パスワードの確認入力暗号化パスワード エントリを確認します。
- HMAC の有効化ハッシュ メッセージ認証コード(HMAC)がこのダイアログ ボックスの暗号化パスワードを使用して生成されることを示します。メッセージ認証コード(MAC)により、2 つのパーティ間で送信される情報の整合性を確認できます。2 つのパーティは、メッセージ認証値の計算および検証用の秘密キーを共有しています。ハッシュ メッセージ認証コード(HMAC)は暗号ハッシュ関数に基づく MAC のメカニズムです。HMAC には、メッセージ入力と共に、メッセージの発信者と対象受信者のみが既知の秘密キーが含まれています。[HMAC の有効化]チェック ボックスをオンにすると、そのオープン形式 Cookie に対して HMAC 値が生成されます。HMAC 値はオープン形式 Cookie 値の先頭に追加され、文字列全体が暗号化されます。システムでは、暗号化された文字列をオープン形式の Cookie 内に配置します。この文字列がターゲット アプリケーションに渡されます。
- 引用された Cookie の有効化オープン形式の Cookie の値が二重引用符で囲まれていることを指定します。この指定により、サポートされていない文字が Cookie 値に含まれている場合にも Cookie の処理が可能になります。
- Cookie 有効期間オープン形式の Cookie が有効な期間を示します。ターゲット アプリケーションがデータを消費する前に Cookie が有効であることを検証できるように、有効期間が Cookie に配置されています。アプリケーションは、Cookie が期限切れになったときの対応を決定します。時間、分、秒単位の時間を入力します。
- HTTP ヘッダ(プロキシ モードのみ)ユーザは、HTTP ヘッダと共にターゲット アプリケーションにリダイレクトされますが、他のデータはリダイレクトされません。
- セッション ストアへの永続的なクレームユーザは、HTTP 302 リダイレクトによってリダイレクトされますが、他のデータはリダイレクトされません。また、このモードを選択すると、アサーションから抽出した属性をセッション ストアに保存するようにポリシー サーバに指定されます。その後、システムでは HTTP ヘッダ変数として属性を指定できます。注: PersistClaims を選択することができ、空の属性がアサーションに含まれていることがあります。この場合、NULL の値がセッション ストアに書き込まれます。この値は空の属性のプレースホルダとして機能します。また、この値はこの属性を使用する任意のアプリケーションに渡されます。
- ターゲット依存パーティのターゲット アプリケーションの URL を指定します。ここで入力する値がデフォルト ターゲット リソースになります。URL には完全修飾ドメイン名を含める必要があります。ターゲット リソースを含むサーバの前にプロキシが配置されている場合は、プロキシ ホストの URL を入力します。すべてのフェデレーション要求をプロキシがローカルに処理します。ターゲット サーバの前に配置された任意のシステムがプロキシ ホストとして機能できます。また、このシステムがインターネットから直接アクセスされる場合は、プロキシ ホスト自体がシステムとして機能できます。最終的には、プロキシと連係して動作する場合、ターゲットとして指定する URL はフェデレーション システムを経由する必要があります。たとえば、ベース URL が fed.demo.com で、バックエンド サーバ リソースが mytarget/target.jsp である場合、このフィールドの値は http://fed.demo.com:5555/mytarget/target.jsp となります。RelayState クエリ パラメータでそれをオーバーライドする場合、このフィールドは空白のままにします。RelayState クエリ パラメータは、シングル サインオンをトリガする URL の一部として含めることができます。このオーバーライドを有効にするには、[リレー状態を使用してターゲットをオーバーライドする]チェック ボックスをオンにします。
- Idle Timeout許可されたユーザのセッションが非アクティブになってから、フェデレーション システムがそのセッションを終了するまでの時間を指定します。ユーザが保護されたリソースにアクセスした後にワークステーションを離れることが心配な場合は、アイドル タイムアウトを短い時間に設定します。セッションがタイムアウトになると、ユーザは、リソースに再度アクセスする前に再認証する必要があります。この設定は、デフォルトでは有効になっています。セッション アイドル タイムアウトを指定しない場合は、このチェック ボックスをオフにしてください。デフォルトのセッション アイドル タイムアウトは 1 時間です。注:永続セッションに関しては、アイドル タイムアウトを有効にし、これを [検証期間]より大きい値に設定します。デフォルト: 1 時間時間アイドル タイムアウト期間の時間数を指定します。分アイドル タイムアウト期間の分数を指定します。最大タイムアウトフェデレーション システムがユーザに再認証を要求するまでの、ユーザ セッションがアクティブになる最大時間を指定します。この設定は、デフォルトでは有効になっています。最大セッション時間を指定しない場合は、このチェック ボックスをオフにしてください。デフォルト: 2 時間
- 時間セッションの最大時間長の時間数を指定します。
- 分セッションの最大時間長の分数を指定します。
- リレー状態を使用してターゲットをオーバーライドする(オプション)シングル サインオンを開始するリクエストで、ターゲット フィールド値をリレー状態クエリ パラメータ値で置換します。リレー状態クエリ パラメータを使用してターゲットをダイナミックに定義できるため、このオプションを選択することにより、ターゲットの制御性が向上します。
- ターゲット URL ドメインの検証[ターゲット]フィールドの値または RelayState クエリ パラメータで指定されたターゲットの値を、エージェント設定オブジェクトの ValidFedTargetDomain パラメータと比較するようフェデレーション システムに指定します。この設定は、要求されたターゲット ドメインへのアクセスを依存パーティが確実に許可するために役立ちます。
アプリケーション属性へのマップ(SAML、WSFED)
[アプリケーション属性へのマップ]セクションでは、アサーション属性をターゲット アプリケーションが使用する属性にマップする方法を決定します。
- アプリケーション属性へのマップ属性マッピングが有効であることを示します。[アプリケーション属性の有効化]チェック ボックスをオンにすると、[アプリケーション属性定義]テーブルが表示されます。このテーブルでは、アプリケーション属性がアサーション属性にどのようにマップされるかを指定できます。テーブル内の以下の列はエントリを必要とします。アプリケーション属性ターゲット アプリケーションが使用する属性をリスト表示します。デフォルトでは、アプリケーション属性名はアサーション属性名と同じです。アプリケーションが必要とする任意の名前にアプリケーション属性名を変更できます。アサーション属性アプリケーション属性をマップするベースとして使用するアサーションからの属性を指定します。[<]ボタンを選択すると、[追加]フィールドが表示されます。[追加]プルダウン リストから、入手可能なアサーション属性と、マッピング規則に含める特殊文字を選択できます。
アプリケーション属性へのマップ(OAuth)
[アプリケーション属性へのマップ]セクションでは、クレーム属性をターゲット アプリケーションが使用する属性にマップする方法を決定します。
- アプリケーション属性へのマップ属性マッピングが有効であることを示します。[属性マッピングの有効化]チェック ボックスをオンにすると、[アプリケーション属性定義]テーブルが表示されます。このテーブルでは、アプリケーション属性がアサーション属性にどのようにマップされるかを指定できます。テーブル内の以下の列はエントリを必要とします。アプリケーション属性ターゲット アプリケーションが使用する属性をリスト表示します。デフォルトでは、アプリケーション属性名はアサーション属性名と同じです。アプリケーションが必要とする任意の名前にアプリケーション属性名を変更できます。クレーム属性アプリケーション属性をマップするベースとして使用するクレームからの属性を指定します。[<]ボタンを選択すると、[追加]フィールドが表示されます。[追加]プルダウン リストから、マッピング規則に含める特殊文字を選択できます。
ユーザ プロビジョニング(SAML、WSFED)
[ユーザ プロビジョニング]セクションでは、サードパーティ プロビジョニング アプリケーションがどのようにユーザ アカウントを確立するかを決定できます。
- ユーザ プロビジョニングこのセクションでは、ユーザ プロビジョニングがどのように機能するかを決定できます。
- プロビジョニング タイプリモート プロビジョニング アプリケーションがユーザ アカウントを確立するかどうかを示します。ポリシー サーバがプロビジョニング アプリケーションで動作している場合は、[リモート]を選択します。デフォルト: なしオプション: なし、リモート注: プロビジョニング タイプとして[リモート]を選択できます。この場合、アサーション データをプロビジョニング アプリケーションへ渡す配信オプションを設定します。
- 配信オプション(リモート プロビジョニングのみ)アサーション データと共にブラウザをプロビジョニング アプリケーションにリダイレクトする方法を定義します。アサーション データは、Cookie または HTTP ヘッダで渡されます。オプション:
- オープン形式の Cookieオープン形式の Cookie で SAML アサーション情報を渡します。オープン形式 Cookie が使用される場合、プロビジョニング アプリケーションは SDK を使用せずに Cookie を読み取ることができます。プロビジョニング アプリケーションが .NET を使用する場合、.NET SDK をプロビジョニング サーバ上にインストール可能で、オープン形式 Cookie の読み取りに使用されます。
- オープン形式の Cookie ポストアサーション情報をオープン形式の Cookie で提供しますが、データは HTTP-POST リクエストで送信されます。Cookie のデータ長制限によってデータが失われる可能性がある場合は、このオプションを選択します。
- HTTP ヘッダポリシー サーバは、HTTP ヘッダでアサーション データを渡します。
- プロビジョニング サーバ URLプロビジョニング アプリケーションをホストする、サードパーティ サーバの URL を識別します。値: 有効な URL
[オープン形式の Cookie]オプションを選択した場合、以下のオプション フィールドに入力します。
オープン形式の Cookie 名
オープン形式の Cookie の名前を指定します。
- 暗号化変換オープン形式の Cookie を暗号化するための暗号化アルゴリズムを示します。
- 暗号化パスワードCookie の暗号化に使用されるパスワードを示します。[暗号化パスワード]および[パスワードの確認]フィールドは、オープン形式の Cookie に対して必要ですが、レガシー Cookie に対してはパラメータはオプションです。重要: レガシー Cookie に対してパスワードを提供する場合は、CA SiteMinder® FederationJava SDK に対して同じ値を使用します。SDK は、Cookie を復号するためにパスワードを必要とします。値が帯域外通信で共有されます。
- パスワードの確認入力暗号化パスワード エントリを確認します。
- HMAC の有効化システムが、このダイアログ ボックスの暗号化パスワードを使用してハッシュ メッセージ認証コード(HMAC)を生成することを示しています。メッセージ認証コード(MAC)により、2 つのパーティ間で送信される情報の整合性を確認できます。2 つのパーティは、メッセージ認証値の計算および検証用の秘密キーを共有しています。ハッシュ メッセージ認証コード(HMAC)は暗号ハッシュ関数に基づく MAC のメカニズムです。HMAC には、メッセージ入力と共に、メッセージの発信者と対象受信者のみが既知の秘密キーが含まれています。[HMAC の有効化]チェック ボックスをオンにすると、そのオープン形式 Cookie に対して HMAC 値が生成されます。HMAC 値はオープン形式 Cookie 値の先頭に追加され、文字列全体が暗号化されます。CA Single Sign-onは、暗号化された文字列をオープン形式の Cookie に配置し、それがターゲット アプリケーションに渡されます。
- 引用された Cookie の有効化オープン形式の Cookie の値が二重引用符で囲まれていることを指定します。この指定により、サポートされていない文字が Cookie 値に含まれている場合にも Cookie の処理が可能になります。
Cookie 有効期間
オープン形式の Cookie が有効な期間を示します。ターゲット アプリケーションがデータを消費する前に Cookie が有効であることを検証できるように、有効期間が Cookie に配置されています。この値は、オープン形式の Cookie および HTTP ヘッダのリダイレクト モードに対して設定できます(HTTP ヘッダはオープン形式の Cookie を使用します)。オープン形式 Cookie の場合、Cookie が期限切れになった場合に実行する内容をアプリケーションが決定します。HTTP ヘッダの場合、エージェントは期限切れ Cookie の送信を停止します。
時間、分、秒単位の時間を入力します。
ユーザ プロビジョニング(OAuth)
[ユーザ プロビジョニング]セクションでは、サードパーティ プロビジョニング アプリケーションがどのようにユーザ アカウントを確立するかを決定できます。
- プロビジョニング タイプリモート プロビジョニング アプリケーションがユーザ アカウントを確立するかどうかを示します。
- 配信オプションユーザ データを持ったブラウザをプロビジョニング アプリケーションへリダイレクトする方法を定義します。フェデレーション システムは Cookie または HTTP ヘッダを使用して、ユーザ データを渡すことができます。指定可能なオプションは以下のとおりです。
- オープン形式の Cookieオープン形式の Cookie で OAuth ユーザ情報を渡します。オープン形式 Cookie が使用される場合、プロビジョニング アプリケーションは SDK を使用せずに Cookie を読み取ることができます。プロビジョニング アプリケーションが .NET を使用する場合、.NET SDK をプロビジョニング サーバ上にインストールし、これがオープン形式 Cookie の読み取りに使用されます。
- オープン形式の Cookie ポストOAuth ユーザ情報をオープン形式の Cookie で提供しますが、データは HTTP-POST リクエストで送信されます。Cookie のデータ長制限によってデータが失われる可能性がある場合は、このオプションを選択します。
- オープン形式の Cookie 名オープン形式の Cookie の名前を指定します。
- 暗号化変換オープン形式の Cookie を暗号化するための暗号化アルゴリズムを示します。
- 暗号化パスワードおよびパスワードの確認Cookie の暗号化に使用されるパスワードを示します。[暗号化パスワード]フィールドおよび[パスワードの確認入力]フィールドは、オープン形式の Cookie に必要です。
- HMAC の有効化ハッシュ メッセージ認証コード(HMAC)がこのダイアログ ボックスの暗号化パスワードを使用して生成されることを示します。メッセージ認証コード(MAC)により、2 つのパーティ間で送信される情報の整合性を確認できます。2 つのパーティは、メッセージ認証値の計算および検証用の秘密キーを共有しています。ハッシュ メッセージ認証コード(HMAC)は暗号ハッシュ関数に基づく MAC のメカニズムです。HMAC には、メッセージ入力と共に、メッセージの発信者と対象受信者のみが既知の秘密キーが含まれています。[HMAC の有効化]チェック ボックスをオンにすると、そのオープン形式 Cookie に対して HMAC 値が生成されます。HMAC 値はオープン形式 Cookie 値の先頭に追加され、文字列全体が暗号化されます。フェデレーション システムはオープン形式の Cookie に暗号化された文字列を配置します。この文字列はターゲット アプリケーションに渡されます。
- 引用された Cookie の有効化オープン形式の Cookie の値が二重引用符で囲まれていることを指定します。この指定により、サポートされていない文字が Cookie 値に含まれている場合にも Cookie の処理が可能になります。
HTTP ヘッダ(プロキシ モードのみ)
- システムがプロキシ モードで動作している場合、システムは HTTP ヘッダでアサーション データを渡します。
- プロビジョニング サーバ URLプロビジョニング アプリケーションをホストする、サードパーティ サーバの URL を識別します。
- Cookie 有効期間オープン形式の Cookie が有効な期間を示します。ターゲット アプリケーションがデータを消費する前に Cookie が有効であることを検証できるように、有効期間が Cookie に配置されています。オープン形式の Cookie に対してこの値を設定でき、HTTP ヘッダはモードをリダイレクトします。HTTP ヘッダはオープン形式の Cookie を使用します。オープン形式 Cookie の場合、Cookie が期限切れになった場合に実行する内容をアプリケーションが決定します。HTTP ヘッダの場合、システムは期限切れ Cookie の送信を停止します。
ステータス リダイレクト URL (SAML、WSFED)
[ステータス リダイレクト URL]セクションでは、認証が失敗する場合に
CA Single Sign-on
がどのようにユーザをリダイレクトするか決定できます。アサーション ベースの認証は、アサーションを消費するサイトで失敗する場合があります。認証が失敗した場合、フェデレーション システムはさらなる処理のためにユーザを異なるアプリケーション(URL)にダイレクトする機能を提供します。たとえば、ユーザの特定に失敗した場合、プロビジョニング システムにユーザを送信するように
CA Single Sign-on
を設定できます。このプロビジョニング システムは、SAML アサーションに存在する情報に基づくユーザ アカウントを作成できます。これらのオプションの 1 つ以上を設定できます。障害の原因となる状態が発生した場合、
CA Single Sign-on
はユーザを設定された URL にリダイレクトします。注
: システムがリクエストを正常に解析でき、アサーティング パートナーおよび依存パートナーを識別するのに必要な情報を取得できる場合に限り、エラー リダイレクトが発生します。設定項目は以下のとおりです。
- ユーザが見つかりません以下の条件のいずれかでシステムがユーザをリダイレクトする URL を識別します。
- シングル サインオン メッセージに LoginID がない。
- 検索文字列が定義される LoginID がユーザ ディレクトリに含まれない。
- 無効な SSO メッセージ以下のいずれかの場合にCA Single Sign-onがユーザをリダイレクトする URL を特定します。
- シングル サインオン メッセージが SAML スキーマのルールに基づいて無効になっている。
- コンシューマは暗号化されたアサーションを必要とするが、シングル サインオン メッセージには暗号化されたアサーションが含まれない。
- 承認されないユーザ認証情報(SSO メッセージ)ほとんどのエラー状態においてCA Single Sign-onがユーザをリダイレクトする URL を特定します。例外となるエラー条件は、ユーザが見つからない場合またはシングル サインオン メッセージが無効の場合です。アサーションは有効ですが、CA Single Sign-onは、以下のような理由でメッセージを受け入れません。
- XML デジタル署名検証が失敗する
- (SAML 2.0) XML 復号化処理が失敗する
- 期限切れメッセージまたはオーディエンス不一致など、条件の XML 検証が失敗する。
- SSO メッセージ内のアサーションのいずれにも認証ステートメントが含まれない。
- 302 データなし(デフォルト)セッション Cookie で HTTP 302 リダイレクトを介してユーザをリダイレクトしますが、他のデータは使用しません。
- HTTP POSTHTTP-POST プロトコルを使用してユーザをリダイレクトします。
SAML 2.0 の追加リダイレクト URL
SAML 2.0 サービス プロバイダに対して、HTTP 500、400 および 405 エラー用のリダイレクト URL を指定することもできます。有効にしたいリダイレクト オプションを選択し、関連 URL を入力します。オプションを以下に示します。
- サーバ エラー リダイレクトの有効化サーバ エラー URL: HTTP 500 サーバ エラーが発生する場合にユーザがリダイレクトされる URL を指定します。予期しない条件によって Web サーバがクライアントのリクエストに応えることができない場合に 500 エラーが発生します。この種のエラーが発生する場合、ユーザはさらなる処理を実行する特定の URL に送られます。例: http://www.redirectmachine.com/error_pages/server_error.html
- 無効なリクエスト リダイレクトの有効化無効なリクエスト URL: HTTP 400 Bad Request または 405 Method Not Allowed エラーが発生した場合にユーザがリダイレクトされる URL を指定します。400 エラーは、リクエストが正しく形成されていないと発生する場合があります。Web サーバは特定のメソッドまたはアクションが実行されることを許可しないので、ユーザに対して 405 エラーが発生する場合があります。これらのタイプのエラーが発生する場合、ユーザはさらなる処理のために特定の URL に送られます。例: http://www.redirectmachine.com/error_pages/invalidreq_error.html
- 不正なアクセス リダイレクトの有効化不正なアクセス URL: HTTP 403 Forbidden エラーが発生する場合にユーザがリダイレクトされる URL を指定します。403 エラーは、リクエスト内の URL が、ファイルではなくディレクトリなど誤ったターゲットをポイントするときに発生する場合があります。このエラーが発生する場合、ユーザはさらなる処理を実行する特定の URL に送られます。例: http://www.redirectmachine.com/error_pages/unauthorized_error.html
ステータス リダイレクト URL(OAuth)
[ステータス リダイレクト URL]セクションでは、認証が失敗する場合に
CA Single Sign-on
がどのようにユーザをリダイレクトするか決定できます。アサーション ベースの認証は、アサーションを消費するサイトで失敗する場合があります。認証が失敗した場合、[Federation Standalone]はさらなる処理のためにユーザを異なるアプリケーション(URL)に指定する機能を提供します。たとえば、ユーザの特定に失敗した場合、プロビジョニング システムにユーザを送信するように
CA Single Sign-on
を設定できます。このプロビジョニング システムは、SAML アサーションに存在する情報に基づくユーザ アカウントを作成できます。これらのオプションの 1 つ以上を設定できます。障害の原因となる状態が発生した場合、
CA Single Sign-on
はユーザを設定された URL にリダイレクトします。設定項目は以下のとおりです。
- リモート サーバ エラー
- OAuth 2.0以下の OAuth 2.0 指定エラーが発生した場合、システムがユーザを転送する URL を特定します。
- 許可サーバで、ユーザ リクエストに対応できない予期しない状態が発生しました。
- 許可サーバは、サーバの一時的な過負荷またはメンテナンスにより、ユーザ リクエストを処理できません。
- OAuth 1.0a許可サーバが HTTP 500 エラーを送信する場合に、システムがユーザを転送する URL を識別します。
- 無効なリクエスト メッセージ
- OAuth 2.0以下の OAuth 2.0 指定エラーが発生した場合、システムがユーザを転送する URL を特定します。
- ユーザ リクエストの構文が間違っています。
- ユーザがリクエストしたスコープが無効、不明、または不正な形式です。
- 許可サーバは指定されたメソッドでの許可コードの取得をサポートしていません。
- OAuth 1.0a許可サーバが HTTP 400 または 404 エラーを送信する場合に、システムがユーザを転送する URL を識別します。
- 未承認ユーザ認証情報
- OAuth 2.0以下の OAuth 2.0 指定エラーが発生した場合、CACA Single Sign-onFederation Standalone がユーザを転送する URL を特定します。
- クライアントは、指定されたメソッドを使用して許可コードをリクエストすることは許可されていません。
- 許可サーバはリクエストを拒否しました。
- OAuth 1.0a許可サーバが HTTP 401 または 403 エラーを送信する場合に、システムがユーザを転送する URL を識別します。
- 302 データなし(デフォルト)セッション Cookie で HTTP 302 リダイレクトを介してユーザをリダイレクトしますが、他のデータは使用しません。
- HTTP POSTHTTP-POST プロトコルを使用してユーザをリダイレクトします。