依存側でのユーザ プロビジョニング
目次
casso126jjp
目次
2
フェデレーション ネットワークで、依存側は別のアサーティング パーティから連携するユーザのアカウントを作成できます。動的プロビジョニングは、データおよびアプリケーションにアクセスするために必要なアカウント権限およびアクセス権限を持つクライアント アカウントを作成するプロセスをサポートします。
リモート プロビジョニング
リモート プロビジョニングは、ユーザ アカウントを作成するためにサードパーティ プロビジョニング アプリケーションを使用します。アプリケーションは次に
Single Sign-On
フェデレーションを使用してフェデレーション システムでポリシー サーバに必要な情報を渡します。ポリシー サーバは、ユーザ認証情報を作成するためにこのデータを使用します。リモート プロビジョニングは依存パーティで実行されます。以下の図ではリモート プロビジョニングのセットアップを示します。

高レベルのプロビジョニングのプロセスは以下のとおりです。
- 依存パーティのポリシー サーバは、アサーションと共にリソースの要求を受信します。しかし、ユーザがユーザ ディレクトリに見つかりません。
- プロビジョニングが有効なまま、ポリシー サーバはアサーション データを含むアクティブ レスポンスを処理し、アサーション データを使用して Cookie を生成します。さらに、状態を維持する Cookie が生成されてプロビジョニング リクエストが適切であることを示します。
- ブラウザは、オープン形式の Cookie またはヘッダと一緒に、プロビジョニング アプリケーションにリダイレクトされます。
- プロビジョニング アプリケーションは通常、ユーザにログインを要求します。ユーザがログインしたら、Cookie またはヘッダが読み取られます。アプリケーションでは、ユーザ アカウントを確立するためにこのアサーション データおよびログイン認証情報を使用します。プロビジョニング アプリケーションはSingle Sign-OnFederation Java または .NET SDK を使用して、オープン形式の Cookie を使用できます。
- アカウントがプロビジョニングされた後、ブラウザは依存パーティで再度アサーション コンシューマ サービスにユーザをリダイレクトします。プロビジョニングに関する状態情報を保持する Cookie は、ユーザがプロビジョニングされたことを確認するために検証されます。認証情報が作成され、認証方式に渡されます。注:プロビジョニング アプリケーションは、依存パーティでのアサーション コンシューマ サービスの URI を知っている必要があります。たとえば、依存パーティにおけるSingle Sign-On用の SAML 2.0 URI は、https://sp_server:port/affwebservices/public/saml2assertionconsumer です。
- ポリシー サーバは、ユーザの特定を 2 度試みます。プロビジョニングが成功した場合、ユーザは認証され、Cookie またはヘッダがターゲット アプリケーションに送信されます。ターゲット アプリケーションに対して選択したリダイレクト モードは、ターゲット アプリケーションへのデータ配信方法を決定します。
- ユーザはターゲット リソースにリダイレクトされます。
プロビジョニング アプリケーションへのユーザ データの配信
リモート プロビジョニングを実行するために、
Single Sign-On
は、ユーザ データを含むブラウザをプロビジョニング アプリケーションにリダイレクトします。フェデレーション システムは、以下のいずれかの方法を使用してユーザ データを渡すことができます。
オープン形式の Cookie
オープン形式の Cookie で SAML アサーションまたは OAuth ユーザ情報を渡します。Cookie には、ユーザ データに基づくログイン ID が含まれます。
注:
オープン形式の Cookie を使用する場合、Single Sign-On
システムおよびリモート プロビジョニング システムは同じドメインにある必要があります。以下の 2 つの方法のいずれかで Cookie を作成できます。
- Single Sign-Onフェデレーション SDK を使用して、オープン形式の Cookie を作成します。FIPS アルゴリズム(AES アルゴリズム)のいずれかを選択する場合は、フェデレーション SDK を使用して Cookie を生成します。.NET SDK を使用する予定がある場合は、AES128/CBC/PKCS5Padding 暗号化アルゴリズムのみを使用します。プロビジョニング アプリケーションが .NET を使用する場合、プロビジョニング サーバ上の .NET SDK はオープン形式の Cookie を読み取ります。プロビジョニング アプリケーションは、Cookie の作成に使用している SDK と同じ言語を使用する必要があります。Federation Java SDK を使用している場合、アプリケーションは Java にある必要があります。.NET SDK を使用している場合、アプリケーションは .NET をサポートしている必要があります。
- 手動でオープン形式の Cookie を作成します。フェデレーション SDK を使用せずにオープン形式の Cookie を作成するために、任意のプログラミング言語を使用します。オープン形式の Cookie のコンテンツについての詳細を確認します。Cookie を書き込むための言語は、UTF-8 エンコーディング、および管理 UI で選択できるPBE暗号化アルゴリズムのいずれかをサポートしている必要があります。Cookie を暗号化するために FIPS 準拠の(AES)アルゴリズムを選択する場合、プロビジョニング アプリケーションは、SDK を使用してオープン形式の Cookie を読み取る必要があります。オープン形式の Cookie がブラウザで設定されていることを確認します。
オープン形式の Cookie ポスト
オープン形式の Cookie ポストはオープン形式の Cookie に似ていますが、このポストは HTTP-POST リクエストの形でデータを送信します。Cookie データ制限によってデータが失われる可能性がある場合は、このオプションを使用します。
HTTP ヘッダ
アサーション情報も HTTP ヘッダとして渡すことができます。HTTP ヘッダを使用する場合、
Single Sign-On
システムおよびリモート プロビジョニング システムは別のドメインにある場合があります。 アサーション データを渡すための HTTP ヘッダの使用、およびヘッダを保護する方法について把握してください。配信オプションはパートナーシップ ウィザードの[アプリケーション統合]手順で設定できます。
ユーザがプロビジョニング アプリケーションにリダイレクトされた後は、フェデレーション システムはプロセスを制御しなくなります。ユーザ アカウントをプロビジョニングするのに時間がかかる場合は、プロビジョニング アプリケーションがこの状況を処理します。たとえば、プロビジョニングが進行中であることを説明するメッセージが、アプリケーションによってユーザに送信される場合があります。この情報により、ユーザ アカウントが使用可能になる前にログインを試行してはいけないことをユーザに知らせます。
リモート プロビジョニング設定
リモート プロビジョニングを設定するには、アサーション データ用の配信オプションを決定してプロビジョニング サーバの URL を指定します。
リモート プロビジョニングの設定に加えて、[IDP にユーザ識別子の作成を許可する]オプションを選択できます。このオプションによって、ユーザの識別子が存在しない場合に IdP が永続識別子を作成できるようになります。この許可/作成機能は、ローカル メソッドに必要ですが、ローカル アカウント リンクを使用するプロビジョニング専用ではありません。
他の属性と共に送信されるユーザ識別子を IdP に生成させる場合、リモート プロビジョニングと共に許可/作成機能を有効にできます。リモート プロビジョニング サーバのアプリケーションは、生成された識別子の使用方法を決定します。アプリケーションはローカル アカウント リンクを実行できますが、
Single Sign-On
ローカル アカウント リンクを実行することはできません。リモート プロビジョニングを設定する方法
- パートナーシップ ウィザードの[アプリケーション統合]手順から始めます。
- [ユーザ プロビジョニング]セクションでプロビジョニング タイプを選択します。
- プロビジョニング タイプとして[リモート]を選択する場合は、表示される追加フィールドに入力します。フィールドの説明については、[ヘルプ]をクリックしてください。
- [確認]手順を選択して[完了]をクリックし、変更を保存します。
リモート プロビジョニング設定が完了しました。