リソース パートナーオブジェクトに関する一般情報の設定
目次
casso126jjp
目次
2
リソース パートナーを指定し、リソース パートナーやアカウント パートナーの ID などの詳細を指定するには、[一般]ページを選択します。また、サービス プロバイダにアクセスするための IP アドレスや時間制限を設定できます。
一般設定項目を設定する方法
- [一般]設定に移動します。
- 必須フィールドに注意しながら、フィールドに値に入力します。注:フィールド、コントロール、およびそれぞれの要件については、[ヘルプ]をクリックしてください。[スキュー時間]フィールドについては、以下の情報に注意してください。
- スキュー時間現在のシステム時刻から引いた秒数を指定します。この計算は、アカウント パートナーと同期していないクロックを持つリソース パートナーを補償するためのものです。シングル サインオンの場合、スキュー時間の値とシングル サインオン有効期間によって、アサーションが有効な時間が決定されます。スキュー時間についての理解を深めるには、アサーション有効期間の計算方法について再確認してください。
- デバッグ目的のみに限り、[署名の処理を無効にする]チェックボックスをオンにすることにより、すべての署名処理(署名および署名の検証の両方)を一時的に無効化できます。重要: 署名処理はデフォルトで有効化されています。これは、シングル サインオンにおける WS-フェデレーション パッシブ リクエスタ プロファイルで署名処理が必須であるためです。
Single Sign-On
セッションのないユーザの認証リソース パートナーをアフィリエイト ドメインに追加する際、設定が必要なパラメータの 1 つに認証 URL パラメータがあります。
認証 URL は、redirect.jsp ファイルを指します。このファイルは、Web エージェント オプション パックまたは
CA Access Gateway
をインストールしたアカウント パートナー サイトにインストールされます。redirect.jsp ファイルを Single Sign-On
ポリシーで保護します。ポリシーは、保護されたリソース パートナー ソースをリクエストするが Single Sign-On
セッションを持たないユーザに対する認証チャレンジをトリガします。以下のバインドには、
Single Sign-On
セッションが必要です。- HTTP-POST バインドを使用するシングル サインオンユーザはセッションを持つ必要がありますが、セッションは永続的である必要はありません。アサーションは、ブラウザ経由でリソース パートナーに直接配信されます。アサーションは、セッション ストアに保存される必要はありません。
- サインアウトシングル ログアウトを有効にする場合、永続セッションが必要です。ユーザが最初にリソースをリクエストする際、アカウント パートナーはセッションをセッション ストアに保存します。セッション情報は、後でシングル ログアウトが実行されたときに必要になります。
ユーザが認証され、正常に redirect.jsp ファイルにアクセスした後、セッションが確立されます。redirect.jsp ファイルは、ユーザをリダイレクトしてアカウント パートナー Web エージェントまたは
CA Access Gateway
に戻します Single Sign-On
はリクエストを処理します。認証 URL を保護するための手順は、以下の展開に無関係に同じです。
- Web エージェントと同じシステムにインストールされた Web エージェント オプション パック
- Web サーバ プロキシにインストールされた Web エージェントのあるアプリケーション サーバ
- アプリケーション サーバ エージェントのあるアプリケーション サーバ
- CA Access Gateway(アイデンティティ プロバイダでインストールされている)
認証 URL を保護するポリシーの設定
casso126jjp
認証 URL を保護する方法
- 管理 UI にログインします。
- アサーティング パーティ Web サーバに対して定義したレルムにバインドする Web エージェントを作成します。Web サーバと FWS アプリケーションに個別のエージェント名を割り当てるか、両方に同じエージェント名を使用します。
- コンシューマ リソースへのアクセス試行時に認証情報が要求されるユーザに対してポリシー ドメインを作成します。
- ポリシー ドメインに含まれるリソースへのアクセス権が必要なユーザを選択します。
- ポリシー ドメインに対して以下の値を持つレルムを定義します。
- エージェントアサーティング パーティ Web サーバのエージェント
- リソース フィルタWeb エージェント r6.x QMR 6、r12.0 SP2 以降、およびCA Access Gatewayを入力します。/siteminderagent/redirectjsp/リソース フィルタ /siteminderagent/redirectjsp/ は、FWS アプリケーションが自動的にセットアップするエイリアスです。エイリアス参照には次の内容が含まれます。
- Web エージェント(web_agent_home/affwebservices/redirectjsp)
- CA Access Gateway(sps_home/secure-proxy/Tomcat/webapps/affwebservices/redirectjsp)
- 永続セッションSAML Artifact プロファイルの場合のみ、[レルム]ダイアログ ボックスの[セッション]セクションで[永続]チェック ボックスをオンにします。永続セッションを設定しない場合、ユーザはコンシューマ リソースにアクセスできません。
- [OK]をクリックしてレルムを保存します。
- レルムのルールを作成します。レルムに対応するすべてのリソースを保護するには、[レルム]フィールドでデフォルト値のアスタリスク(*)をそのまま使用します。
- 前の手順で作成したルールが含まれるアサーティング パーティ Web サーバに対するポリシーを作成します。
- 「アサーションが生成される対象のユーザの選択」のタスクを実行します。
シングル サインオンのアサーション有効期間
casso126jjp
シングル サインオンの場合、スキュー時間と有効期間の値によって、アサーションの合計有効時間を
Single Sign-On
が計算する方法が決定されます。Single Sign-On
はアサーションの生成および消費にスキュー時間を適用します。注
: この説明におけるアサーティング パーティは、SAML 1.x プロデューサ、SAML 2.0 アイデンティティ プロバイダ、または WS フェデレーション アカウント パートナーです。依存パーティは、SAML 1.x コンシューマ、SAML 2.0 サービス プロバイダ、または WS フェデレーション リソース パートナーです。アサーション ドキュメントで、NotBefore と NotOnOrAfter の値は、有効期間の開始と終了を表します。
アサーティング パーティで、
Single Sign-On
はアサーションの有効性を設定します。有効期間は、アサーションが生成されたときのシステム時間です。Single Sign-On
は、この時間を使用してアサーションに IssueInstant 値を設定した後、IssueInstant 値からスキュー時間の値を引き算します。その結果の時間が NotBefore 値になります。NotBefore=IssueInstant - スキュー時間
有効期間の終了を決定するために、
Single Sign-On
は、有効期間の値とスキュー時間を IssueInstant の値に加算します。その結果の時間が NotOnOrAfter 値になります。NotOnOrAfter=有効期間 + スキュー時間 + IssueInstant
時間は GMT が基準になります。
たとえば、アサーティング パーティでアサーションが 1:00 GMT に生成されたとします。スキュー時間が 30 秒、有効期間が 60 秒とすると、アサーション有効期間は 12:59:30 GMT ~ 1:01:30 GMT となります。この期間は、アサーションが生成される 30 秒前に開始され、その後 90 秒後に終了します。
依存パーティで、
Single Sign-On
は、アサーティング パーティで受信したアサーションが有効かどうかを判別するために実行する計算と同じ計算を実行します。パートナーシップの両側での
Single Sign-On
によるアサーション有効期間の計算Single Sign-On
がパートナーシップの両側にある場合、アサーション有効期間は、スキュー時間の 2 倍と有効期間の総和になります。計算式は次のとおりです。アサーション有効期間 = 2 x スキュー時間(アサーティング パーティ) + 有効期間 + 2 x スキュー時間(依存パーティ)
式の前半部分(2 x スキュー時間 + 有効期間)は、アサーティング パーティにおける有効期間ウィンドウの開始と終了を表します。式の後半部分(2 x スキュー時間)は、依存パーティにおけるシステム クロックのスキュー時間を表します。有効期間の NotBefore および NotOnOrAfter の両端を計算するために 2 を掛けます。
注
: レガシー フェデレーションでは、有効期間はアサーティング パーティでのみ設定されます。例
アサーティング パーティ
アサーティング パーティでの値は以下のとおりです。
- IssueInstant=5:00PM
- 有効期間 = 60 秒
- スキュー時間 = 60 秒
- NotBefore = 4:59PM
- NotOnOrAfter=5:02PM
依存パーティ
依存パーティは、アサーションから NotBefore と NotOnOrAfter の値を使用し、それらの値にスキュー時間を適用します。この数式は、依存パーティが新しい NotBefore と NotOnOrAfter の値を計算する方法です。
- スキュー時間 = 180 秒(3 分)
- NotBefore = 4:56PM
- NotOnOrAfter=5:05PM
アサーション有効期間
この例の値を使用したアサーションの合計有効期間の計算は、次のとおりです。
120 秒(2x60) + 60 秒 + 360 秒(2x180) = 540 秒(9 分)
リソース パートナー利用可能時間の制限の設定(オプション)
リソース パートナー リソースの利用可能な時間に制限を指定できます。時間制限を指定すると、リソース パートナーのリソースへのアクセスは指定された期間中のみ可能となります。ユーザが指定の期間外にリソースへのアクセスを試みても、アカウント パートナーは SAML アサーションを生成しません。
注
: 時間制限は、ポリシー サーバがインストールされたサーバのシステム クロックに基づきます。時間制限を指定する方法
- まず、[一般]設定に移動します。ページの[制限]セクションで、[時間を設定]セクションを選択します。[時間制限]ページが表示されます。スケジュールを設定します。このスケジュール グリッドは、ルール オブジェクトの[時間制限]グリッドと同一です。
- [OK]をクリックします。
時間制限のスケジュールが設定されました。
リソース パートナーの IP アドレス制限の設定(オプション)
リソース パートナーにアクセスするための Web サーバの IP アドレス、範囲アドレス、またはサブネット マスクを指定できます。リソース パートナーの IP アドレスが指定される場合、リソース パートナーでは、適切な IP アドレスからのユーザのみを受け付けます。
IP アドレスを指定する方法
- まず、[一般]設定に移動します。ページの[制限]セクションで、[IP アドレス]領域の[追加]をクリックします。[IP 制限]ページが表示されます。
- 追加する IP アドレス タイプのオプションを選択し、そのアドレス タイプに関連するフィールドに入力します。注: IP アドレスが不明でも、アドレスのドメイン名が既知の場合は、[DNS の検索]ボタンをクリックしてください。このボタンにより、[DNS の検索]ページが表示されます。[ホスト名]フィールドに完全修飾ホスト名を入力し、[OK]をクリックします。
- [単一ホスト] -- ブラウザをホストする単一の IP アドレスを指定します。単一の IP アドレスを指定する場合、ユーザは指定された IP アドレスからのみリソース パートナーにアクセスできます。
- [ホスト名] -- Web サーバをそのホスト名で指定します。ホスト名を指定する場合、リソース パートナーは指定されたホストからのユーザのみにアクセス可能です。
- [サブネット マスク] -- Web サーバのサブネット マスクを指定します。サブネット マスクを指定する場合、リソース パートナーは指定されたサブネット マスクからのユーザのみにアクセス可能です。このボタンを選択する場合、[アドレスとサブネット マスクの追加]ダイアログ ボックスが表示されます。左矢印ボタンと右矢印ボタンを使用するか、スライダ バーをクリックしてからドラッグして、サブネット マスクを選択してください。
- [範囲] -- IP アドレス範囲を指定します。IP アドレスの範囲を指定する場合、リソース パートナーは、アドレスの範囲内の IP アドレスからのユーザのみを許可します。範囲の開始アドレス([FROM])および終了アドレス([TO])を入力します。
- [OK]をクリックして設定を保存します。