サービス プロバイダ オブジェクトの一般情報の設定
目次
casso126jjp
目次
2
[一般]ページを選択して、サービス プロバイダを指定し、SP ID や IDP ID などの詳細を入力ます。また、サービス プロバイダにアクセスするための IP アドレスや時間制限を設定できます。
一般設定項目を設定する方法
- [一般]設定に移動します。
- 必須フィールドに注意しながら、フィールドに値に入力します。フィールドの説明については、[ヘルプ]をクリックしてください。ただし、以下のフィールドに注意してください。
- 認証 URLこの URL は redirect.jsp ファイルを指します。redirect.jsp ファイルをSingle Sign-Onポリシーで保護します。ポリシーは、保護されたサービス プロバイダ リソースをリクエストするがSingle Sign-Onセッションを持たないユーザに対する認証チャレンジをトリガします。
- スキュー時間アイデンティティ プロバイダのシステム クロックとサービス プロバイダのシステム クロックの差を秒単位で指定します。スキュー時間は、シングル サインオンおよびシングル ログアウトに使用されます。シングル サインオンの場合、スキュー時間の値およびシングル サインオン有効期間([SSO]タブの[有効期間]フィールド)によってアサーションが有効な時間が決定されます。スキュー時間についての理解を深めるには、アサーション有効期間の計算方法について再確認してください。シングル ログアウトの場合、スキュー時間の値および SLO 有効期間([SLO]タブの[有効期間]フィールド)によってシングル ログアウト リクエストが有効な合計時間が決定されます。スキュー時間についての理解を深めるには、シングル ログアウト有効期間の計算方法について再確認してください。
Single Sign-On
セッションのないユーザの認証サービス プロバイダをアフィリエイト ドメインに追加する際に設定が必要なパラメータの 1 つが、認証 URL パラメータです。
認証 URL は、redirect.jsp ファイルを指します。このファイルは、Web エージェント オプション パックまたは
CA Access Gateway
をインストールしたアイデンティティ プロバイダ サイトにインストールされます。redirect.jsp ファイルを Single Sign-On
ポリシーで保護します。ポリシーは、保護されたサービス プロバイダ リソースをリクエストするが Single Sign-On
セッションを持たないユーザに対する認証チャレンジをトリガします。以下のバインドには、
Single Sign-On
セッションが必要です。- 保護されたサービス プロバイダ リソースをリクエストするユーザHTTP-Artifact バインドを使用してシングル サインオンを設定する場合、SAML アサーションをセッション ストアに保存するための永続セッションをセットアップします。
- HTTP-POST バインドを使用するシングル サインオンユーザはセッションを持つ必要がありますが、セッションは永続的である必要はありません。アサーションは、ブラウザ経由でサービス プロバイダに直接配信されます。アサーションは、セッション ストアに保存される必要はありません。
- シングル ログアウトシングル ログアウトを有効にする場合、永続セッションが必要です。ユーザが最初にサービス プロバイダ リソースをリクエストする際、セッションがセッション ストアに保存されます。セッション情報は、後でシングル ログアウトが実行されたときに必要になります。
ユーザが認証され、正常に redirect.jsp ファイルにアクセスした後、セッションが確立されます。redirect.jsp ファイルは、ユーザをリダイレクトしてアイデンティティ プロバイダ Web エージェントまたは
CA Access Gateway
に戻します Single Sign-On
はリクエストを処理します。認証 URL を保護するための手順は、以下の展開に無関係に同じです。
- Web エージェントと同じシステムにインストールされた Web エージェント オプション パック
- Web サーバ プロキシにインストールされた Web エージェントのあるアプリケーション サーバ
- アプリケーション サーバ エージェントのあるアプリケーション サーバ
- アイデンティティ プロバイダでインストールされたCA Access Gateway
認証 URL を保護するポリシーの設定
認証 URL を保護する方法
- 管理 UI にログインします。
- アサーティング パーティ Web サーバに対して定義したレルムにバインドする Web エージェントを作成します。Web サーバと FWS アプリケーションに個別のエージェント名を割り当てるか、両方に同じエージェント名を使用します。
- コンシューマ リソースへのアクセス試行時に認証情報が要求されるユーザに対してポリシー ドメインを作成します。
- ポリシー ドメインに含まれるリソースへのアクセス権が必要なユーザを選択します。
- ポリシー ドメインに対して以下の値を持つレルムを定義します。
- エージェントアサーティング パーティ Web サーバのエージェント
- リソース フィルタWeb エージェント r6.x QMR 6、r12.0 SP2 以降、およびCA Access Gatewayでは、以下を入力します。/siteminderagent/redirectjsp/リソース フィルタ /siteminderagent/redirectjsp/ は、FWS アプリケーションが自動的にセットアップするエイリアスです。エイリアス参照には次の内容が含まれます。
- Web エージェント(web_agent_home/affwebservices/redirectjsp)
- CA Access Gateway(sps_home/secure-proxy/Tomcat/webapps/affwebservices/redirectjsp)
- 永続セッションSAML Artifact プロファイルの場合のみ、[レルム]ダイアログ ボックスの[セッション]セクションで[永続]チェック ボックスをオンにします。永続セッションを設定しない場合、ユーザはコンシューマ リソースにアクセスできません。
- [OK]をクリックしてレルムを保存します。
- レルムのルールを作成します。レルムに対応するすべてのリソースを保護するには、[レルム]フィールドでデフォルト値のアスタリスク(*)をそのまま使用します。
- 前の手順で作成したルールが含まれるアサーティング パーティ Web サーバに対するポリシーを作成します。
- タスク「アサーションが生成される対象のユーザの選択」を完了します。
サービス プロバイダ利用可能時間の制限の設定(オプション)
サービス プロバイダ リソースの利用可能な時間に制限を指定できます。時間制限を指定すると、リソースへのアクセスは指定された期間中のみ可能となります。ユーザが指定の期間外にリソースへのアクセスを試みても、アイデンティティ プロバイダは SAML アサーションを生成しません。
注
: 時間制限は、ポリシー サーバがインストールされたサーバのシステム クロックに基づきます。時間制限を指定する方法
- まず、[一般]設定に移動します。ページの[制限]セクションで、[時間を設定]セクションを選択します。[時間制限]ページが表示されます。
- スケジュールを設定します。このスケジュール グリッドは、ルール オブジェクトの[時間制限]グリッドと同一です。
- [OK]をクリックします。
時間制限のスケジュールが設定されました。
サービス プロバイダの IP アドレス制限の設定(オプション)
サービス プロバイダにアクセスするブラウザが実行されている Web サーバの IP アドレス、範囲アドレス、またはサブネット マスクを指定できます。サービス プロバイダの IP アドレスが指定される場合、サービス プロバイダでは、適切な IP アドレスからのユーザのみを受け付けます。
IP アドレスを指定する方法
- まず、[一般]設定に移動します。ページの[制限]セクションで、[IP アドレス]領域の[追加]をクリックします。[IP 制限]ページが表示されます。
- 追加する IP アドレス タイプのオプションを選択し、そのアドレス タイプに関連するフィールドに入力します。注: IP アドレスが不明でも、アドレスのドメイン名が既知の場合は、[DNS の検索]ボタンをクリックしてください。このボタンにより、[DNS の検索]ページが表示されます。[ホスト名]フィールドに完全修飾ホスト名を入力し、[OK]をクリックします。
- [単一ホスト] -- ブラウザをホストする単一の IP アドレスを指定します。単一の IP アドレスを指定する場合、ユーザは指定された IP アドレスからのみサービス プロバイダにアクセスできます。
- [ホスト名] -- Web サーバをそのホスト名で指定します。ホスト名を指定する場合、サービス プロバイダは指定されたホストからのユーザのみにアクセス可能です。
- [サブネット マスク] -- Web サーバのサブネット マスクを指定します。サブネット マスクを指定する場合、サービス プロバイダは指定されたサブネット マスクからのユーザのみにアクセス可能です。このボタンを選択する場合、[アドレスとサブネット マスクの追加]ダイアログ ボックスが表示されます。左矢印ボタンと右矢印ボタンを使用するか、スライダ バーをクリックしてからドラッグして、サブネット マスクを選択してください。
- [範囲] -- IP アドレス範囲を指定します。IP アドレスの範囲を指定する場合、サービス プロバイダは、アドレスの範囲内の IP アドレスからのユーザのみを許可します。範囲の開始アドレス([FROM])および終了アドレス([TO])を入力します。
- [OK]をクリックして設定を保存します。
プロキシ サーバの識別(オプション)
ネットワークでクライアントとフェデレーション Web サービスのあるシステムとの間にプロキシ サーバが存在する場合は、URL の protocol と authority の部分を指定します。構文は、
protocol
:authority
です。- protocolhttp: または https:
- authority//host.domain.comまたは //host.domain.com:port
例: http://example.ca.com
プロキシ サーバを識別する方法
- まず、設定ウィザードの[一般]手順に移動します。ページの[詳細]セクションで、[サーバ]フィールドに URL を入力します。
- [サブミット]をクリックします。