フェデレーション ドメインに対するエージェント設定

SAML 2.0 トランザクションに対してアイデンティティ プロバイダ ディスカバリ(IPD)プロファイル、または WS-フェデレーション トランザクションに対して wreply URL を使用している場合、ユーザは悪意のある Web サイトにリダイレクトされる可能性があります。このようなリダイレクトを阻止するためには、Web エージェントで ValidFedTargetDomain パラメータを設定します。
casso126jjp
SAML 2.0 トランザクションに対してアイデンティティ プロバイダ ディスカバリ(IPD)プロファイル、または WS-フェデレーション トランザクションに対して wreply URL を使用している場合、ユーザは悪意のある Web サイトにリダイレクトされる可能性があります。このようなリダイレクトを阻止するためには、Web エージェントで ValidFedTargetDomain パラメータを設定します。
ValidFedTargetDomain パラメータの機能は、SAML 2.0 と WS-フェデレーションで異なります。
SAML 2.0 用 ValidFedTargetDomain
ValidFedTargetDomain パラメータは、アイデンティティ プロバイダ ディスカバリの実装時に、Federation 環境のすべての有効なドメインをリスト表示します。
IPD サービスは、リクエストを受信すると、リクエスト内の IPDTarget クエリ パラメータを調べます。IPDTarget は、リクエストを処理した後に、ディスカバリ サービスがブラウザをリダイレクトする必要がある URL を定義します。IdP の場合、IPDTarget は SAML 2.0 シングル サインオン サービスです。SP の場合、ターゲットは共通ドメイン Cookie を使用するリクエスト アプリケーションです。
フェデレーション Web サービスでは、IPDTarget URL のドメインを、ValidFedTargetDomain パラメータに指定されたドメインのリストと比較します。URL ドメインが ValidFedTargetDomain リストで設定されているドメインの 1 つと一致する場合、IPD サービスは SP の IPDTarget URL にユーザをリダイレクトします。
ドメインの一致がない場合、IPD サービスは、「403 Forbidden」エラー メッセージでユーザ リクエストを拒否します。FWS トレース ログおよび affwebservices ログにエラーが報告されます。
このパラメータを設定しない場合、検証は行われず、ユーザはターゲット URL にリダイレクトされます。ローカル設定ファイルを変更している場合は、ドメインを別々にリスト表示します。例:
validfedtargetdomain=".examplesite.com"
validfedtargetdomain=".abccompany.com"
WS-フェデレーション用 ValidFedTargetDomain
ValidFedTargetDomain パラメータは、リダイレクトが安全であることを確認するために、wreply URL が検証に使用する必要がある Federation 環境のすべての有効なドメインをリスト表示します。 
フェデレーション Web サービスは、wreply URL のドメインを ValidFedTargetDomain パラメータに対して指定されたドメインのリストと比較します。URL ドメインがリスト内の設定されたドメインの 1 つと一致すると、フェデレーション Web サービスはユーザを RP の wreply URL にリダイレクトします。
ドメインの一致がない場合、フェデレーション Web サービスは、「400 正しくない要求リクエスト」エラー メッセージでユーザ リクエストを拒否します。FWS トレース ログおよび affwebservices ログにエラーが報告されます。
このパラメータを設定しない場合、検証は行われず、ユーザはターゲット URL にリダイレクトされます。ローカル設定ファイルを変更している場合は、ドメインを別々にリスト表示します。例:
validfedtargetdomain=".examplesite.com"
validfedtargetdomain=".abccompany.com"