SAML 1.x アサーションが生成されるユーザの選択

目次
casso126jjp
目次
2
casso126jjp
アサーティング パーティでの設定の一部として、アサーション ジェネレータが SAML アサーションを生成する対象のユーザおよびグループのリストを含めます。アサーティング パーティは、SAML 1.x プロデューサ、SAML 2.0 アイデンティティ プロバイダ、または WS フェデレーション アカウント パートナーのいずれかです。
アフィリエイト ドメインにあるディレクトリからのユーザおよびグループのみを追加できます。
フェデレーション トランザクションのユーザおよびグループを指定する方法
  1. 設定するパートナーの[ユーザ]設定に移動します。
    [ユーザ ディレクトリ]ページには、ポリシー ドメインのユーザ ディレクトリごとにエントリが表示されます。
  2. ユーザ ディレクトリからポリシーにユーザまたはグループを追加します。
    各ユーザ ディレクトリ テーブルで、[メンバーの追加]-[エントリの追加]-[すべて追加]を選択できます。選択したメソッドに応じて、ダイアログ ボックスが表示され、ユーザの追加が可能になります。
    • [メンバーの追加]を選択すると、[ユーザ/グループ]ウィンドウが表示されます。個々のユーザは、自動的には表示されません。検索ユーティリティを使用して、ディレクトリの 1 つに含まれる特定のユーザを見つけることができます。
    • [エントリの追加]を選択する場合は、[ユーザ ディレクトリ検索式編集]ダイアログ ボックスで手動設定によってユーザを選択してください。
    ユーザやグループの編集または削除を行うには、それぞれ右向き矢印(>)またはマイナス記号(-)をクリックします。
  3. 好きな方法で個別のユーザ、ユーザ グループ、または両方を選択して[OK]をクリックします。
    [ユーザ ディレクトリ]ページが再度開き、新しいユーザがユーザ ディレクトリ テーブルに表示されます。
リソースへのアクセスからのユーザまたはグループの除外
casso126jjp
ユーザやユーザのグループをアサーションの取得から除外できます。
以下の手順に従います。
  1. [ユーザ]設定に移動します。
  2. 特定のユーザ ディレクトリのリストからユーザまたはグループを選択します。
  3. 選択したユーザまたはグループを除外するには、[除外]をクリックします。
    選択内容が管理 UI に反映されます。
  4. [OK]をクリックして、変更を保存します。
ネストされたグループによるリソースへのアクセスの許可
casso126jjp
LDAP ユーザ ディレクトリには、サブグループを持つグループが含まれることがあります。複雑なディレクトリの場合、大量のユーザ情報を組織化する方法の 1 つとして、他のグループの階層内にグループをネストすることがあります。
ネストされたグループ内のユーザの検索を有効にする場合、リクエストされたユーザ レコードがすべてのネストされたグループで検索されます。ネストされたグループを有効にしない場合、指定したグループのみをポリシー サーバが検索します。
ネストされたグループでの検索を有効にする方法
  1. [ユーザ]設定に移動します。
    関連するアフィリエイト ドメインに複数のユーザ ディレクトリが含まれる場合、それぞれのユーザ ディレクトリが独自のセクションに表示されます。
  2. ネストされたグループ内の検索を有効にするには、[ネストされたグループの許可]チェック ボックスをオンにします。
手動設定によるユーザの追加
casso126jjp
アサーション生成のユーザを指定する場合の選択肢の 1 つとして、手動設定によりユーザを識別します。
以下の手順に従います。
  1. 設定するパートナーの[ユーザ]設定に移動します。
    アフィリエイト ドメインに複数のユーザ ディレクトリが含まれる場合、すべてのディレクトリが[ユーザ ディレクトリ]ページに表示されます。
  2. [エントリの追加]をクリックします。
    [ユーザ ディレクトリ検索式編集]ページが表示されます。
  3. 検索オプションを選択した後、その検索オプションのフィールドに入力します。
    • 検索する場所
    LDAP ディレクトリの場合、ドロップダウン リストからオプションを選択します。
    • DN の確認
      LDAP 検索はディレクトリ内でこの DN を検索します。
    • ユーザの検索
      LDAP 検索の実行範囲は、ユーザ エントリ内の一致に限定されます。
    • グループの検索
      LDAP 検索の実行範囲は、グループ エントリ内の一致に限定されます。
    • 組織の検索
      LDAP 検索の実行範囲は、組織エントリ内の一致に限定されます。
    • エントリの検索
      LDAP 検索の実行範囲は、ユーザ エントリ、グループ エントリ、および組織エントリ内の一致に制限されています。
    • Microsoft SQL Server、Oracle、および Windows NT ディレクトリの場合は、[手動設定]フィールドにユーザ名を入力できます。
    • Microsoft SQL Server または Oracle では、SQL クエリを代わりに入力することもできます。例:
      SELECT NAME FROM EMPLOYEE WHERE JOB =’MGR’;
      ポリシー サーバは、ユーザ ディレクトリの[認証情報と接続]タブの[ユーザ名]フィールドに指定されたデータベース ユーザとしてクエリを実行します。[手動設定]フィールドに入力する SQL 文を作成する場合には、ユーザ ディレクトリのデータベース スキーマに関する知識が必要です。たとえば、SmSampleUsers スキーマを使用している場合に特定のユーザを追加するには、SmUser テーブルからユーザ エントリを選択します。
    • LDAP ディレクトリの場合は、[手動設定]フィールドに「
      all
      」と入力して、すべてのディレクトリ エントリを追加します。
  4. [OK]をクリックして、変更を保存します。