ローカル SAML 2.0 SP からのメタデータのエクスポート

目次
casso11jp
HID_export-local-relying-partnership
目次
[メタデータのエクスポート]ダイアログ ボックスでは、[フェデレーション パートナーシップ]リストまたは[フェデレーション エンティティ]リスト内のエントリを選択し、パートナーシップおよびローカル エンティティ データをメタデータ ファイルにエクスポートできます。このファイルをその後インポートして、他のサイトでパートナーシップを作成できます。
SAML にはパートナーシップの概念がないため、メタデータはエントリ レベルに基づいたものとなります。ただし、メタデータの使用の最終目的はパートナーシップを作成することです。
注:
メタデータ ファイルにはパートナーシップ レベルのデータも追加されていますが、メタデータはパートナーシップに必要なデータのサブセットのみを取得します。
ダイアログ ボックスは、エクスポートされたメタデータ ファイルに含まれる以下の情報を表示します。
データをエクスポートする前にパートナーシップまたはエンティティを変更することにより、データを変更できます。
識別(エクスポート SAML 2.0 SP)
casso11jp
[識別]セクションは、エクスポート元のパートナーシップを指定します。
エンティティからメタデータをエクスポートする場合、
CA Single Sign-on
はエクスポートするデフォルト パートナーシップを自動的に作成します。デフォルトのパートナーシップは以下の理由で生成されます。
  • メタデータ エレメントの中には、エンティティ テンプレートの一部でなく、パートナーシップにのみ存在するものもあります。
  • エクスポートの後、エクスポートされたメタデータに一致するパートナーシップがあります。これは後でパートナーシップ設定を完了するために使用することができます。
注:
パートナーシップをエクスポートし、パートナーシップのローカル エンティティがアサーティング パーティである場合、[メタデータのエクスポート]ダイアログが表示されます。ただし、[パートナーシップ名]および[説明]フィールドはすでにパートナーシップに対して定義されているため、読み取り専用です。
このセクションには以下の設定項目が含まれます。
  • パートナーシップ名
    新しいパートナーシップを一意の名前で識別します。
    パートナーシップ名はメタデータをエクスポートする場合に必要です。パートナーシップ レベル データは完全なメタデータ ファイルを作成するのに必要です。パートナーシップは
    CA Single Sign-on
    に固有の概念であるため、メタデータはエントリ レベルに基づいたものとなります。ただし、メタデータの使用の最終目的はパートナーシップを作成することです。
    注:
    メタデータ ファイルにはパートナーシップ レベルのデータも追加されていますが、メタデータは必要なパートナーシップ データのサブセットのみを取得します。
    値:
    英数字文字列 ハイフン、アンダースコアおよびピリオドを使用することもできます。
  • Description
    パートナーシップを説明します。
    値:
    英数字文字列
  • ローカル エンティティ名
    メタデータがエクスポートされる既存のエンティティの名前を表示します。この値は、エクスポートに選択されるエンティティから取得される読み取り専用テキストです。
アサーション コンシューマ サービス URL (エクスポート SAML 2.0 SP)
[アサーション コンシューマ サービス URL]ダイアログ ボックスでは、SP でのアサーションを消費するサービスを設定します。
設定には以下のものがあります。
  • 場所
    SP のアサーション コンシューマ サービスの URL を示します。
    デフォルト:
    http://
    sp_host:port
    /affwebservices/public/saml2assertionconsumer
    値:
    CA Single Sign-on
    がこの URL を計算します。値は変更できません。
  • 有効なバインド
    このエンティティのシングル サインオンに使用される SAML バインディングを指定します。利用可能なバインドの 1 つを選択します。
    オプション:
    HTTP-Artifact、HTTP-POST
    アサーティング パーティは、未承認の要求でシングル サインオンを開始できます。このフィールドで選択した値は、ProtocolBinding クエリ パラメータを含む要求でオーバーライドされます。
SLO サービス URL(エクスポート SAML 2.0 SP)
[SLO サービス URL]セクションには、SP のサービスの場所が表示されます。設定には以下のものがあります。
  • HTTP-Redirect の場所
    依存側でシングル ログアウト サービスの URL を指定します。デフォルトの URL は以下のとおりです。
    http://
    sp_server:port
    /affwebservices/public/saml2slo
    制限:
    CA Single Sign-on
    がこの URL を計算します。値は変更できません。
  • SOAP の場所
    アサーティング パーティのシングル ログアウト サービスの URL を示します。
    デフォルト:
    http://
    idp_server:port
    /affwebservices/public/saml2slosoap
    idp_server:port
    アサーティング パーティで連係をホストしているサーバとポート番号を指定します。
  • SLO-Redirect 有効化
    -redirect がこのエンティティのシングル ログアウト バインドかどうかを指定します。
    オプション:
    [はい]、[いいえ]
  • SLO-SOAP 有効化
    SOAP がこのエンティティのシングル ログアウト バインドかどうかを指定します。
    オプション:
    [はい]、[いいえ]
署名と暗号化オプション(エクスポート SAML 2.0 SP)
[署名および暗号化オプション]セクションでは、署名および暗号化動作を定義します。設定には以下のものがあります。
  • 検証と署名エイリアス
    (オプション)証明書データ ストアに含まれ、署名および検証に使用される特定の秘密キー/証明書ペアに関連付けられたエイリアスを指定します。メタデータ ファイルの生成時に、このペアの証明書のみがメタデータ ファイルに含まれます。リモートサイトで依存エンティティを作成するためにこのメタデータ ファイルがインポートされる際、証明書は証明書データ ストアにインポートされます。アサーティング パーティでは、この証明書を使用して、認証要求およびローカル依存エンティティからのシングル ログアウト レスポンスの署名に使用される署名を検証します。
    値:
    英数字文字列
  • 暗号化と復号のエイリアス
    (オプション)暗号化や復号に使用されるローカル エンティティ認証データ保存証明書データ ストア内の特定の秘密キー/証明書に関連付けられたエイリアスを指定します。メタデータ ファイルの生成時に、このペアの証明書のみがメタデータ ファイルに含まれます。リモートサイトで依存エンティティを作成するためにメタデータ ファイルが新しいインポートされた後、証明書は証明書データ ストアにインポートされます。リモート依存側では、この証明書を使用してデータを暗号化します。
    値:
    英数字文字列
  • 認証要求の署名
    ローカル パーティが認証要求メッセージを署名する必要があることをメタデータ ファイルで指定します。
 
メタデータ エクスポート オプション(ローカル SP)
casso11jp
[メタデータ エクスポート オプション]は、メタデータ ファイルの特性を指定します。設定には以下のものがあります。
  • ドキュメント署名エイリアス
    リモート パートナーへの安全な通信に対するメタデータ ドキュメントを署名するキー用のエイリアスを識別します。リストからエイリアスを選択します。
    値:
    プルダウン リストから選択したエイリアス。
  • ドキュメント署名アルゴリズム
    メタデータ ドキュメントを署名するためにシステムが使用するアルゴリズムを指定します。
    デフォルト:
    RSAwithSHA1
    オプション:
    [RSAwithSHA1]、[RSAwithSHA256]
  • 有効日数
    メタデータ ドキュメントが有効な日数を示します。
    デフォルト:
    0
    値:
    0 から 9999 までの整数