リソース パートナーでの WS フェデレーション シングル サインオンの設定
認証のための WS フェデレーション シングル サインオン バインドの設定は、SAML プロファイル ページの[SSO]セクションで行います。また、このセクション内での有効なアサーションのを再実行を防ぐために使い捨てアサーション ポリシーを適用することもできます。
casso126jjp
認証のための WS フェデレーション シングル サインオン バインドの設定は、SAML プロファイル ページの[SSO]セクションで行います。また、このセクション内での有効なアサーションのを再実行を防ぐために使い捨てアサーション ポリシーを適用することもできます。
シングル サインオン設定の一環として、リダイレクト モード設定を定義します。リダイレクト モードでは、ポリシー サーバがアサーション属性(存在する場合)をターゲット アプリケーションに送信する方法が指定されます。アサーション属性は HTTP ヘッダまたは HTTP Cookie として送信できます。
casso126jjp
HTTP ヘッダおよび HTTP Cookie にはサイズ制限があり、アサーション属性でそれらを超えることはできません。サイズ制限は以下のとおりです。
- HTTP ヘッダ:Single Sign-Onは、Web サーバのヘッダに関するサイズ制限までの属性をヘッダで送信できます。1 つのヘッダごとに 1 つのアサーション属性のみが許可されます。ヘッダ サイズの制限を調べるには、使用している Web サーバのドキュメントを参照してください。
- HTTP Cookie:Single Sign-Onは、Cookie のサイズ制限までの Cookie を送信できます。それぞれのアサーション属性は、それ自身の Cookie として送信されます。Cookie のサイズ制限はブラウザ固有です。また、その制限は、属性ごとではなく、アプリケーションに渡されるすべての属性に適用されます。Cookie のサイズ制限を調べるには、使用する Web ブラウザのドキュメントを参照してください。
WS フェデレーション シングル サインオンの設定方法
- 設定するリソース パートナーの認証方式に移動します。
- [WS-Federation の設定]-[SAML プロファイル]を選択します。既存の認証方式を変更する場合は、最初に[変更]クリックします。[SAML プロファイル]ダイアログ ボックスが表示されます。
- [SSO]セクションのフィールドに入力します。フィールドの説明については、[ヘルプ]をクリックしてください。
- [サブミット]をクリックします。
WS フェデレーション サインアウトの実装
サインアウトでは、サインアウトを開始したブラウザのすべてのユーザ セッションが同時に終了します。すべてのユーザ セッションを閉じることにより、権限のないユーザがリソース パートナーのリソースにアクセスできないようにします。
サインアウトにより、特定ユーザに関するすべてのセッションが必ずしも終了するとは限りません。たとえば、ブラウザを 2 つ開いているユーザは、独立した 2 つのセッションを持つことができますが、サインアウトを開始したブラウザのセッションのみが、そのセッションに関するすべての連携したサイトで終了します。もう一方のブラウザのセッションは、引き続きアクティブです。
ポリシー サーバは、signoutconfirmurl.jsp を使用してサインアウトを実行します。このページは、アイデンティティ プロバイダ システムにあります。アイデンティティ プロバイダは、ユーザに代わってサインアウト リクエストを開始します。JSP は、指定されたブラウザ セッション中にユーザがサインオンした各サイトに、サインアウト リクエストを送信します。その後、ユーザはサインアウトされます。
ユーザは、アイデンティティ プロバイダでのみサインアウト リクエストを開始できます。リクエストは、該当するサーブレットを指すリンクをクリックすることによってトリガされます。サインアウトの確認ページは、アイデンティティ プロバイダ サイト上の、保護されていないリソースである必要があります。
注:
ポリシー サーバは、サインアウトに関して WS-フェデレーション パッシブ リクエスタ プロファイルのみをサポートします。サインアウトの有効化
WS フェデレーション サインアウトを設定する方法
- 変更する認証方式に移動します。
- [WS-Federation の設定]-[SAML プロファイル]を選択します。既存の認証方式を変更する場合は、最初に[変更]クリックします。[SAML プロファイル]ダイアログ ボックスが表示されます。
- [サインアウト]セクションで、[サインアウトの有効化]チェック ボックスをオンにします。
- サインアウト URL の値を入力します。URL は、https:// または http:// で始まる必要があります。
- [OK]をクリックします。