バックチャネル対応のクライアント証明書認証の有効化(オプション)

目次
casso126jjp
目次
2
HTTP-Artifact シングル サインオンを使用する場合、プロデューサでアサーション検索サービスを保護するためにクライアント証明書認証を選択できます。このサービスは、アサーションを取得してコンシューマに送信します。
注:
クライアント証明書認証はオプションです。ベーシック認証を使用することもできます。
SAML 認証情報コレクタは、SAML Artifact 認証方式を呼び出します。SAML 認証情報コレクタは、認証方式から情報を収集して、SAML アサーションをアサーションから取得します。アサーション検索サービスが含まれるレルムに使用する認証方式の指定が要求されます。SAML 認証情報コレクタは、アサーションを取得するために提供する認証情報のタイプを決定します。
アサーション検索サービスがクライアント証明書認証方式で保護される場合は、以下の設定タスクを完了してください。
注:
アサーティング側のポリシー サーバの管理者は、アサーション検索サービスを保護するためのポリシーを設定しておく必要があります。このポリシーのレルムは、X.509 クライアント証明書認証方式を使用する必要があります。
証明書データ ストアへのクライアント証明書の追加
認証機関から秘密キー/証明書ペアを取得する必要があります。管理 UI を使用して、秘密キー/証明書ペアを証明書データ ストアに追加します。キー/証明書ペアがすでにデータ ストアにある場合は、この手順をスキップします。
キー/証明書ペアペアをインポートする場合、割り当てるエイリアスは、認証方式設定の[アフィリエイト名]フィールドと同じ値であることが必要です。さらに、証明書の件名の CN 属性も[アフィリエイト名]フィールドに一致する必要があります。たとえば、アフィリエイト名が CompanyA であるとします。すると、エイリアスは CompanyA であることが必要です。また、件名の CN の値に CN=CompanyA, OU=Development, O=CA, L=Islandia, ST=NY, C=US と記述される必要があります。
重要:
認証方式の[アフィリエイト名]フィールドは、プロデューサでアフィリエイト オブジェクトに割り当てられる名前に一致する必要があります。
Single Sign-On
 がプロデューサである場合、認証方式の[アフィリエイト名]は、オブジェクトの[一般]設定の[名前]フィールドに一致する必要があります。
バックチャネル認証のクライアント証明書オプションの選択
プロデューサで、コンシューマがアサーション検索サービス にアクセスしようとするときに、認証情報として証明書を示すには、クライアント証明書オプションを選択します。
クライアント証明書オプションを選択する方法
  1. [SAML Artifact 認証方式]ダイアログ ボックスの[方式のセットアップ]セクションに移動します。
  2. [認証]フィールドで[クライアント証明書]を選択します。