アサーションを取得するためのサービスへのアクセス許可(SAML 2.0 Artifact SSO)

目次
casso126jjp
目次
casso126jjp
HTTP Artifact シングル サインオンの場合、依存パーティは、アサーションを取得するための FWS サービスを保護するポリシーへのアクセスを許可する必要があります。
アクセスを許可するには、以下の手順に従います。
  • FederationWebServicesAgentGroup エージェント グループに、FWS アプリケーションを保護する Web エージェントを追加します。
  • 特定のサービスへのアクセスを許可されたユーザとして依存パートナーを追加します
    ユーザを所定のポリシーに追加する以外、その他すべてのポリシー オブジェクトは自動的にセットアップされます。
フェデレーション エージェント グループへの Web エージェントの追加
casso126jjp
FederationWebServicesAgentGroup エージェント グループに、FWS アプリケーションを保護する Web エージェントを追加します。
  • ServletExec の場合、このエージェントは、Web エージェント オプション パックがインストールされている Web サーバにあります。
  • WebLogic や JBOSS などのアプリケーション サーバの場合、この Web エージェントは、アプリケーション サーバ プロキシがインストールされている場所にインストールされています。Web エージェント オプション パックは別のシステムに存在することもあります。
以下の手順に従います。
  1. 管理 UI にログインします。
  2. [インフラストラクチャ]-[エージェント]-[エージェント]をクリックします。
  3. [エージェントの作成]をクリックします。
  4. 展開内の Web エージェントの名前を指定します。[サブミット]をクリックします。
  5. [インフラストラクチャ]-[エージェント]-[エージェント グループ]をクリックします。
  6. FederationWebServicesAgentGroup エントリを選択します。
  7. [追加/削除]をクリックします。[エージェント グループのメンバ]ダイアログ ボックスが表示されます。
  8. Web エージェントを[使用可能なメンバ]リストから[選択されたメンバ]リストに移動します。
  9. [OK]ボタンをクリックして、[エージェント グループ]ダイアログに戻ります。
  10. [サブミット]クリックした後、[閉じる]クリックしてメイン ページに戻ります。
アサーションを取得するための FWS ポリシーへの依存パートナーの追加
casso126jjp
シングル サインオンに HTTP-Artifact バインドを使用している場合、パートナーシップ内の依存パーティはアサーション検索サービスへのアクセス許可を必要とします。
Single Sign-On
 は、ポリシーを使用して SAML 1.x および 2.0 検索サービスを保護します。
ポリシー サーバをインストールする際に、デフォルトで FederationWebServicesDomain がインストールされます。このドメインには、
Single Sign-On
がアサーションを取得するサービスに対応して以下のポリシーが含まれます。
  • SAML 1.x
    FederationWSAssertionRetrievalServicePolicy
  • SAML 2.0
    SAML2FWSArtifactResolutionServicePolicy
: WS フェデレーションは、HTTP-Artifact プロファイルを使用しません。そのため、この手順はリソース プロバイダには適用されません。
これらのポリシーが任意の関連依存パートナーにアクセスするための権限を付与します。
以下の手順に従います。
  1. 管理 UI で、[ポリシー]、[ドメイン]、[ドメイン ポリシー]に移動します。
    ドメイン ポリシーのリストが表示されます。
  2. SAML プロファイルのポリシーを選択します。
    • SAML 1.x
      FederationWSAssertionRetrievalServicePolicy
    • SAML 2.0
      SAML2FWSArtifactResolutionServicePolicy
    [ドメイン ポリシー]ページが表示されます。
  3. [変更]をクリックしてポリシーを変更します。
  4. [ユーザ]タブを選択します。
  5. 該当するユーザ ディレクトリのダイアログ ボックスで、[メンバーの追加]をクリックします。
    • SAML 1.x
      FederationWSCustomUserStore
    • SAML 2.0
      SAML2FederationCustomUserStore
    [ユーザ/グループ]ページが表示されます。
    先に設定したアフィリエイト ドメインが [ユーザ/グループ]ダイアログ ボックスにリスト表示されます。たとえば、アフィリエイト ドメインが fedpartners という名前の場合、エントリは
    affiliate:fedpartners
    となります。
  6. サービスへのアクセスを必要とするパートナーが存在するアフィリエイト ドメインの横のチェック ボックスをオンにします。[OK]をクリックします。
    ユーザ ディレクトリのリストに戻ります。
  7. [サブミット]をクリックします。
    ポリシーのリストに戻ります。