(オプション)アサーションの属性の設定
目次
casso126jjp
目次
2
属性は、サービス プロバイダ リソースへのアクセスをリクエストしているユーザに関する追加の情報を提供できます。属性ステートメントにより、SAML アサーション内でユーザ属性、DN 属性、または静的なデータがアイデンティティ プロバイダからサービス プロバイダに渡されます。すべての設定済みの属性は、1 つの <AttributeStatement> 要素内のアサーションまたはアサーション内の <EncryptedAttribute> 要素に含まれています。
注:
アサーション内には属性ステートメントは不要です。サーブレット、Web アプリケーション、その他のカスタム アプリケーションは、属性を使用して、カスタマイズされたコンテンツを表示したり、他のカスタム機能を実現したりします。属性を Web アプリケーションで使用する場合、属性を使用して、サービス プロバイダでのユーザのアクティビティを制限できます。たとえば、Authorized Amount という名前の属性変数を最高額設定して送信するなどです。この額は、ユーザがサービス プロバイダで費やすことができる限度額です。
注:
Single Sign-On
がアサーション クエリ/リクエスト プロファイルの一部として SAML 2.0 属性機関として機能する場合、属性は認可プロセスの一部となります。この実装については、「ユーザを認可するための属性機関の使用」を参照してください。属性の形式は、名前/値のペアになっています。サービス プロバイダでは、アサーションを受信すると、属性値をアプリケーションが利用できるようにします。
属性は、HTTP ヘッダまたは HTTP Cookie として利用できるようになります。
casso126jjp
HTTP ヘッダおよび HTTP Cookie にはサイズ制限があり、アサーション属性でそれらを超えることはできません。サイズ制限は以下のとおりです。
- HTTP ヘッダ:Single Sign-Onは、Web サーバのヘッダに関するサイズ制限までの属性をヘッダで送信できます。1 つのヘッダごとに 1 つのアサーション属性のみが許可されます。ヘッダ サイズの制限を調べるには、使用している Web サーバのドキュメントを参照してください。
- HTTP Cookie:Single Sign-Onは、Cookie のサイズ制限までの Cookie を送信できます。それぞれのアサーション属性は、それ自身の Cookie として送信されます。Cookie のサイズ制限はブラウザ固有です。また、その制限は、属性ごとではなく、アプリケーションに渡されるすべての属性に適用されます。Cookie のサイズ制限を調べるには、使用する Web ブラウザのドキュメントを参照してください。
SSO アサーションの属性の指定
属性は、サービス プロバイダ リソースへのアクセスを要求しているユーザに関する情報を提供できます。属性ステートメントにより、SAML アサーション内でユーザ属性、DN 属性、または静的なデータがアイデンティティ プロバイダからサービス プロバイダに渡されます。
属性を設定する方法
- 編集するエンティティの[属性]設定に移動します。
- [追加]をクリックします。[属性の追加]ページが表示されます。
- [属性タイプ]ドロップダウン リストから、名前形式タイプを選択します。このエントリは、アサーション属性ステートメントの <Attribute> 要素の <NameFormat> 属性に一致する必要があります。サービス プロバイダが名前を解釈できるように、タイプによって属性名が分類されます。オプションを以下に示します。
- unspecified名前の解釈方法は実装が決定します。
- basic名前形式が許容可能な値を使用する必要があることを示します。許容可能な値は、プリミティブ タイプの xs:Name に属する値です。
- URI名前形式が URI 参照の基準に従う必要があることを示します。URI の解釈方法は、その属性値を使用するアプリケーションに固有です。
- [属性のセットアップ]セクションから、以下のいずれかのオプションを[属性の種類]セクションで選択します。
- スタティック
- ユーザ属性
- DN 属性
- ページの[属性フィールド]セクションを設定します。設定項目は、[属性の種類]の選択内容に応じて異なります。オプションを以下に示します。
- Variable Name
- 変数値
- 属性名
- DN 仕様
- (オプション)属性がネストされたグループを持つ LDAP ユーザ ディレクトリから取得される場合、ポリシー サーバはネストされたグループから DN 属性を取得できます。ネストされたグループを使用するには、[属性の種類]セクションの[ネストされたグループの許可]チェック ボックスをオンにします。
- (オプション)属性値を暗号化するには、[暗号化]チェック ボックスをオンにします。
- [取得方法]では、属性がシングル サインオン アサーション向けのみであることを確定するために、デフォルト値の SSO を使用します。
- [OK]をクリックして変更内容を保存します。
属性の新規作成スクリプトの使用
casso126jjp
[属性]ダイアログ ボックスの[詳細]セクションには[スクリプト]フィールドが含まれています。このフィールドには、[属性のセットアップ]セクションの入力に基づいて
Single Sign-On
が生成したスクリプトが表示されます。このフィールドの内容をコピーし、別のレスポンス属性の[スクリプト]フィールドに貼り付けることができます。注:
別の属性の[スクリプト]フィールドの内容をコピーして貼り付ける場合は、[属性の種類]セクションで適切なオプションを選択してください。アサーション属性の最大文字数の指定
casso126jjp
ユーザ アサーション属性の最大長は設定可能です。アサーション属性の最大長を変更するには、EntitlementGenerator.properties ファイルの設定を変更します。
ファイル内のプロパティ名は、設定のプロトコルに固有です。
以下の手順に従います。
- ポリシー サーバがインストールされているシステムで、policy_server_home\config\properties\EntitlementGenerator.properties に移動します。
- テキスト エディタでファイルを開きます。
- 現在の環境で使用中のプロトコルでのユーザ属性の最大長を調節します。各プロトコルの設定を以下に示します。WS-フェデレーションプロパティ名: com.netegrity.assertiongenerator.wsfed.MaxUserAttributeLengthプロパティ タイプ: 正の整数値デフォルト値: 1024説明: WS-FED アサーション属性の最大属性長を示します。SAML 1.xプロパティ名: com.netegrity.assertiongenerator.saml1.MaxUserAttributeLengthプロパティ タイプ: 正の整数値デフォルト値: 1024説明: SAML1.1 アサーション属性の最大属性長を示します。SAML 2.0プロパティ名: com.netegrity.assertiongenerator.saml2.MaxUserAttributeLengthプロパティ タイプ: 正の整数値デフォルト値: 1024説明: SAML2.0 アサーション属性用の最大属性長を示します。
- これらのパラメータのいずれかを変更した後は、ポリシー サーバを再起動します。
SSO の属性および属性クエリ リクエスト
設定する属性がシングル サインオン リクエストに関する属性であるか、または属性クエリ リクエストに関する属性であるかを示します。設定する取得方法によって、属性の機能が決定されます。
両方のサービスに同じ属性を使用するには、同じ属性名と変数を使用する属性ステートメントを 2 つ作成します。ただし、一方の属性は取得方法として SSO を使用し、もう一方の属性は取得方法として属性サービスを使用します。