機能強化クライアントまたはプロキシ プロファイルの概要(SAML 2.0)

目次
casso126jjp
目次
2
機能強化クライアントまたはプロキシ プロファイル(ECP)は、シングル サインオンのアプリケーションです。機能強化クライアントは、ECP 機能をサポートするブラウザやほかのいくつかのユーザ エージェントです。機能強化プロキシは、ワイヤレス デバイス用のワイヤレス アクセス プロトコル プロキシなどの HTTP プロキシです。
ECP プロファイルは、アイデンティティ プロバイダとサービス プロバイダが直接通信できない場合に、シングル サインオンを有効にします。ECP は、サービス プロバイダとアイデンティティ プロバイダの間で仲介する機能を果たします。
仲介として機能することに加えて、ECP プロファイルは以下の状況で役立ちます。
  • このプロファイルを必要とする機能強化クライアントまたはプロキシをサービス プロバイダが提供する場合。
  • 機能が制限されたモバイル デバイスの前のワイヤレス アクセス プロトコル(WAP)ゲートウェイなどのプロキシ サーバが使用中の場合。
ECP アプリケーションを入手または開発する必要があります。
Single Sign-On
 は ECP リクエストのみを処理し、SAML 要件に準拠する ECP アプリケーションに対してのみ応答します。
ECP プロファイルのフローを、次の図に示します。
ECP transaction flow
ECP 通信では、ユーザが携帯電話などからアプリケーションへのアクセスをリクエストします。アプリケーションはサービス プロバイダに存在し、ユーザの ID 情報はアイデンティティ プロバイダに存在します。サービス プロバイダとアイデンティティ プロバイダは、直接通信を行いません。
呼び出しのフローを以下に示します。
  1. ECP アプリケーションは、Reverse SOAP (PAOS)リクエストをサービス プロバイダに転送します。アイデンティティ プロバイダには、サービス プロバイダから直接アクセスできません。
    アイデンティティ プロバイダとは異なり、ECP エンティティは常に直接アクセスできます。
  2. サービス プロバイダは、認証リクエストを ECP アプリケーションに送り返します。
  3. ECP アプリケーションは、認証リクエストを処理および変更し、アイデンティティ プロバイダに送信します。
  4. アイデンティティ プロバイダはリクエストを処理し、SOAP レスポンスを ECP アプリケーションに返します。このレスポンスには、アサーションが含まれます。
  5. ECP アプリケーションは、署名された PAOS レスポンスをサービス プロバイダに渡します。
シングル サインオンが続行され、アプリケーションへのアクセス権がユーザに付与されます。
アイデンティティ プロバイダでの ECP の設定
ECP を設定するには、アイデンティティ プロバイダおよびサービス プロバイダでこの機能を有効にします。
Single Sign-On
アイデンティティ プロバイダに対する手順を以下に示します。
以下の手順に従います。
  1. 管理 UI にログインします。
  2. 変更するローカル アイデンティティ プロバイダ パートナーシップを選択します。
  3. パートナーシップ ウィザードの[SSO と SLO]手順に移動します。
  4. [SSO]セクションで、[拡張されたクライアントまたはプロキシ プロファイルの有効化]チェック ボックスをオンにします。
  5. [確認]手順に移動して[完了]をクリックし、変更を保存します。
アイデンティティ プロバイダが、ECP 呼び出しを処理できるようになります。
注:
単一のサービス プロバイダ オブジェクトは、シングル サインオン リクエストの Artifact、POST、SOAP、および PAOS バインディングを処理できます。SOAP と PAOS は、ECP プロファイルのバインディングです。アイデンティティ プロバイダおよびサービス プロバイダは、リクエストのパラメータに基づいて使用するバインディングを決定します。
サービス プロバイダでの ECP の設定
ECP を設定するには、ID プロバイダおよびサービス プロバイダでこの機能を有効にする必要があります。サービス プロバイダの手順を以下に示します。
以下の手順に従います。
  1. 保護されているリソースのリクエストをサービス プロバイダの 認証リクエスト サービスに送信します。以下に URL の例を示します。
    https://
    host
    :
    port
    /affwebservices/public/saml2authnrequest
  2. 管理 UI にログインします。
  3. 関連するローカル サービス プロバイダ パートナーシップを変更します。
  4. パートナーシップ ウィザードの[SSO と SLO]手順に移動します。
  5. [SSO]セクションで、[拡張されたクライアントまたはプロキシ プロファイルの有効化]チェック ボックスをオンにします。
  6. [確認]手順に移動して[完了]をクリックし、変更を保存します。
サービス プロバイダが、ECP 呼び出しを処理できるようになります。
注:
単一のサービス プロバイダ オブジェクトは、シングル サインオン リクエストの Artifact、POST、SOAP、および PAOS バインディングを処理できます。SOAP と PAOS は、ECP プロファイルのバインディングです。アイデンティティ プロバイダおよびサービス プロバイダは、リクエストのパラメータに基づいて使用するバインディングを決定します。