SP パートナーの設定

目次
casso126jjp
目次
2
以下は、SP (この例では SP1)の管理者から見た設定プロセスです。したがって SP1 はローカル SP です。
以下のプロセスによって SP パートナーを確立します。
  1. 管理 UI にログインします。
  2. ユーザ ディレクトリ接続を確立します。
  3. IdP エンティティおよび SP エンティティを識別します。
  4. SP から IdP への SAML2 パートナーシップを作成します。
  5. パートナーシップ ウィザードに従い、最低限必要な設定を行います。
SP でのユーザ ディレクトリ接続の確立
SP ユーザ ディレクトリは、サービス プロバイダが認証に使用するユーザ レコードで構成されます。以下の手順では、管理 UI でユーザ ディレクトリを設定する方法を説明します。SP LDAP という名前のディレクトリにはユーザ 1 およびユーザ 2 が含まれます。
ユーザ ディレクトリを設定する方法
  1. 管理 UI にログインします。
  2. [インフラストラクチャ]-[ディレクトリ]-[ユーザ ディレクトリ]を選択します。
  3. [ユーザ ディレクトリの作成]をクリックします。
    [ユーザ ディレクトリ]ダイアログ ボックスが表示されます。
  4. 以下のフィールドに値を入力します。
    • 名前
      SP LDAP
  5. [ディレクトリのセットアップ]セクションで、以下のフィールドに入力します。
    • ネームスペース
      LDAP
    • サーバ
      www.sp.demo:32941
  6. [LDAP 検索]セクションで、以下のフィールドに入力します。
    • ルート
      dc=sp,dc=demo
      その他の値はデフォルトのままにします。
  7. [LDAP ユーザ DN の検索]セクションで、以下のフィールドに入力します。
    • 先頭
      uid=
    • 終端
      ,ou=People,dc=sp,dc=demo
  8. [内容の表示]をクリックして、ディレクトリの内容を表示できることを確認します。
  9. [サブミット]をクリックします。
パートナーシップ エンティティの識別
ユーザ ディレクトリ接続を確立した後で、パートナーシップのローカル側およびリモート側を識別します。管理 UI では、パートナーはそれぞれエンティティと呼ばれます。
以下の手順では、ローカル エンティティおよびリモート エンティティに必要な値について説明します。通常、両方でローカル エンティティを作成してメタデータ ファイルにエクスポートし、ファイルを交換します。その後、両方でリモート エンティティを定義できます。
ローカル SP を作成する方法
  1. [フェデレーション]-[パートナーシップ フェデレーション]-[エンティティ]を選択します。
  2. [エンティティの作成]をクリックします。
  3. エンティティ ウィザードの最初の手順で、以下の選択を行ってから[次へ]をクリックします。
    • エンティティ ロケーション
      ローカル
    • 新しいエンティティ タイプ
      SAML2 SP
  4. 2 番目の手順で、以下のようにフィールドに入力してから[次へ]をクリックします。
    • エンティティ ID
      sp1
      この値によって、パートナーに対してエンティティが識別されます。
    • エンティティ名
      sp1
      この値によって、エンティティ オブジェクトがデータベースで内部的に識別されます。パートナーはこの値を認識しません。
    • ベース URL
      http://sp1.demo.com:9091
    : エンティティ ID およびエンティティ名は、アイデンティティ プロバイダでリモート SP エンティティに対して指定したものと同じである必要があります。
  5. 設定を確認して[完了]をクリックします。
[エンティティ]ウィンドウに戻ります。リモート パートナーを設定します。
リモート IdP を作成する方法
  1. [エンティティ]ウィンドウから始めます。
  2. [エンティティの作成]をクリックします。
  3. エンティティ ウィザードの最初の手順で、以下の選択を行ってから[次へ]をクリックします。
    • エンティティ ロケーション
      リモート
    • 新しいエンティティ タイプ
      SAML2 IDP
  4. ウィザードの 2 番目の手順で以下のようにフィールドに入力します。
    • エンティティ ID
      idp1
      この値によって、パートナーに対してエンティティが識別されます。
    • エンティティ名
      idp1
      この値によって、エンティティ オブジェクトがデータベースで内部的に識別されます。パートナーはこの値を認識しません。
    : エンティティ ID およびエンティティ名は、アイデンティティ プロバイダ側と同じである必要があります。
    [SSO サービス URL グループ]セクション
    • バインディング
      HTTP リダイレクト
    • URL
      http://idp1.example.com:9090/affwebservices/public/saml2sso
  5. 設定を確認して[完了]をクリックします。
ローカル エンティティおよびリモート エンティティの設定後に、パートナーシップを作成できます。
SP から IdP へのパートナーシップの作成
パートナーシップ エンティティを作成したら、パートナーシップ ウィザードに従って SP から IdP へのパートナーシップを設定します。
以下の手順に従います。
  1. [フェデレーション]-[パートナーシップ フェデレーション]-[パートナーシップ]を選択します。
  2. [パートナーシップの作成]をクリックします。
  3. [SAML2 SP->IdP]を選択します。
    パートナーシップ ウィザードの最初の手順を始めます。
  4. フィールドに以下の値を入力します。
    • パートナーシップ名
      DemoPartnership
    • ローカル SP ID
      sp1
    • リモート IDP ID
      idp1
    • スキュー時間(秒)
      デフォルトを受け入れる
  5. SP LDAP ディレクトリを[使用可能なディレクトリ]から[選択されたディレクトリ]に移動します。
  6. [次へ]をクリックして[ユーザ識別]手順に進みます。
ユーザ識別属性の指定
ユーザを識別するアサーションの属性を指定します。
Single Sign-On
は ID 属性値を使用して、SP でユーザ ディレクトリ内のユーザ レコードを検索します。
ユーザ識別属性を指定する方法
  1. [ユーザ識別]手順に移動します。
  2. [アサーションからのアイデンティティ属性の選択]で、デフォルトの[名前 ID を使用]をそのまま使用します。
  3. [アイデンティティ属性のユーザ ディレクトリへのマップ]セクションで、以下のエントリを指定します。
    • LDAP 検索仕様
    uid=%s
    このエントリによって、
    Single Sign-On
    は変数(%s)をアサーションの[名前 ID]属性の値に置換します。その後、
    Single Sign-On
    はその値をサンプル ユーザ データベースの[名前]列と一致させます。一致させると、ユーザは明確化され、ターゲット リソースへのアクセスを許可されます。
  4. [フェデレーション ユーザ]セクションではデフォルトを受け入れます。ユーザ ディレクトリ内のすべてのユーザはフェデレーション ユーザであるとみなされます。
  5. [次へ]をクリックしてシングル サインオンを設定します。
SP でのシングル サインオンの設定
パートナー間のシングル サインオンを確立するには、SSO 設定を行います。
以下の手順に従います。
  1. [SSO と SLO]手順から始めます。
  2. [SSO プロファイル]の[HTTP-POST]を選択します。
  3. [リモート SSO サービス URL]セクションで以下の値を指定します。
    • バインディング
      HTTP リダイレクト
    • URL
      http://idp1.example.com:9090/affwebservices/public/saml2sso
  4. [署名および暗号化]手順に到達するまで[次へ]をクリックします。
    [AuthnContext の設定]手順をスキップします。
署名の処理を無効にする
casso126jjp
 
 
この簡単なパートナーシップでは、署名処理を無効にします。ただし、実稼働環境では、アイデンティティ プロバイダはアサーションに署名する必要があります。
以下の手順に従います。
  1. [署名および暗号化]手順から、[署名の処理を無効にする]を選択します。
  2. [次へ]をクリックして次の手順に移動します。
SP のターゲットの指定
casso126jjp
 
 
[アプリケーション統合]手順では、ターゲット リソース、および
Single Sign-On
がユーザをターゲット リソースにリダイレクトする方法を指定します。
以下の手順に従います。
  1. [リダイレクト モード]フィールドの[データなし]を選択します。
  2. [ターゲット]フィールドで SP のターゲット リソースを指定します。
    このサンプル パートナーシップでは、このターゲットは以下のとおりです。
    http://spapp.demo.com:80/spsample/welcome.html
  3. ダイアログ ボックスの残りのセクションを無視します。
  4. [次へ]をクリックして[確認]手順に移動します。
SP パートナー設定の確認
フェデレーション パートナーシップのローカル SP 側のパートナーシップが完了しました。
以下の手順に従います。
  1. [確認]ダイアログ ボックスで SP パートナーの設定を確認します。
  2. 設定を変更するには、該当するセクションで[変更]をクリックします。
  3. 設定が終了したら、[完了]をクリックします。
パートナーシップの SP 側が設定されました。