[アサーションの設定]ダイアログ ボックス(WSFED)
casso126jjp
HID_assertion-config-wsfed
名前 ID (WSFED)
[名前 ID]セクションでは、アサーション内でユーザを固有の方法で命名する名前識別子を設定できます。名前識別子の形式により、ID に使用されるコンテンツのタイプが規定されます。たとえば、形式は [email protected] という値を持った電子メール アドレスが可能です。
このセクションには、以下の設定項目が表示されます。
- 名前 ID 形式名前識別子形式を指定します。オプション:プルダウン リストから、いずれかのオプションを選択します。各形式の説明については、プロトコルの仕様を参照します。
- 名前 ID タイプ[名前 ID]に対して入力される値のタイプを指定します。オプション:
- スタティック名前 ID が[値]フィールド内の定数であることを示します。
- ユーザ属性[値]フィールドに入力された属性をユーザ ディレクトリで照会することにより、製品が名前 ID を取得することを示します。
- セッション属性[値]フィールドに入力された属性をセッション ストアで照会することにより、製品が名前 ID を取得することを示します。
- DN 属性(LDAP のみ)属性を取得するためにCA Single Sign-onが使用するクエリには、[値]フィールドに DN 属性、[DN 仕様]フィールドに DN が含まれます。このオプションは主に、ユーザのグループを識別するのに使用されます。
値以下のいずれかの値を指定します。- スタティック タイプに対する名前 ID のスタティックなテキスト値。
- ユーザ属性タイプに対するユーザ属性の値。
- セッション属性タイプのセッション ストア属性の値
- DN タイプに対する DN 属性の値。
- DN 指定名前識別子の関連属性を取得するために使用される、グループまたは組織単位 DN を指定します。例:ou=Engineering、o=ca.com
アサーション属性(WSFED)
[アサーション属性]セクションでは、どのユーザ属性がアサーションに含まれるか指定できます。
このセクションには、以下の設定項目が表示されます。
- Exclude recipient in SubjectConfirmationData (SubjectConfirmationData 内の受信者を除外)(Microsoft Azure パートナーシップのみ)設定されている場合、受信者の属性をアサーションの SubjectConfirmationData タグから除外します。このオプションは、Microsoft Azure とのパートナーシップに必要です。
- アサーション属性アサーションに含める特定の属性を指定します。依存するパーティがアサーションで必要とする属性を指定します。このエントリは、ユーザ ストア属性以外の属性も指定できます。値:依存するパーティで使用される属性名。
- ネームスペース(SAML 1.0 トークン タイプのみ)一意に名前を識別するコレクションを指定します。この設定は、パートナーシップ エンティティが SAML 1.0 トークン タイプで設定されている場合にのみ使用できます。値:任意の有効なネームスペース。
- 取得方法(SAML 2.0 トークン タイプのみ)属性の使用目的を指定します。 この設定は、パートナーシップ エンティティが SAML 2.0 トークン タイプで設定されている場合にのみ使用できます。オプション:
- SSO属性がシングル サインオンに使用されることを示します。
- 属性サービス属性が、属性機関により使用されることを示します。サービスは、属性クエリからのリクエストを完了します。
- 両方属性がシングル サインオンに使用され、属性クエリを満たすことを示します。
- Formatアサーションに追加される属性用の形式を指定します。 この設定は、パートナーシップ エンティティが SAML 2.0 トークン タイプで設定されている場合にのみ使用できます。オプション: オプション リストのドロップ ダウン メニューを選択します。
- Typeアサーション属性の属性とソースのタイプを指定します。オプション:
- スタティック- 属性は、[値]フィールドに入力した定数値であることを示します。値:スタティック タイプには属性の定数値を入力します。
- ユーザ属性[値]フィールドで指定された属性をユーザ ディレクトリで照会することにより属性を取得します。値: ユーザ ディレクトリに存在する有効な属性とそれに関連付けられた値を入力します。ユーザ属性のみ: LDAP は、複数の値を持った属性をサポートします。デフォルトでは、ポリシー サーバが複数の LDAP 属性値をキャレット記号(^)で結合し、1 つのアサーション属性値を作成します。 複数値を持つ LDAP 属性から複数のアサーション属性が生成されることを示すには、プレフィックスFMATTR:を属性名に使用します。このプレフィックスは大文字である必要があります。入力する属性の大文字と小文字の組み合わせも LDAP ディレクトリ内の属性と一致させることをお勧めします。例:複数の属性値を持つユーザ属性mailを追加するには、「FMATTR:mail」と入力します。各値はアサーションの個別の <AttributeValue> 要素として指定されます。この例の結果は以下のようになります。<ns2:Attribute Name="mail"><ns2:AttributeValue>jsmith@example.com</ns2:AttributeValue><ns2:AttributeValue>john.smith@example.com</ns2:AttributeValue><ns2:AttributeValue>employee007@example.com</ns2:AttributeValue></ns2:Attribute>プレフィックス FMATTR: がない場合(属性名はmail)、この例の結果は以下のとおりです。<ns2:Attribute Name="mail"><ns2:AttributeValue>jsmith@example.com^john.smith@example.com^employee007@example.com</ns2:AttributeValue></ns2:Attribute>
- セッション属性[値]フィールドで指定された属性をセッション ストアで照会することにより属性を取得します。値:セッション属性の値を入力します。
- DN 属性(LDAP のみ)[値]フィールドで指定された DN 属性および[DN 仕様]フィールドで指定された DN を持つクエリを送信することにより、属性を取得します。このオプションは主に、ユーザのグループを識別するのに使用されます。値:DN 属性を入力します。
- 式Java の統一表現言語を使用して文字列を入力し、属性アサーションを変換、追加、または削除します。値:JUEL 式を指定します。
- 属性が DN タイプであるとき、DN を指定します。DN 仕様例: ou=Marketing、o=ca.com
- 暗号化(SAML トークン タイプ 2.0 のみ)アサーション属性が実行時に暗号化されてから、アサーションが依存するパーティに送信されることを示します。
アサーション ジェネレータ プラグイン(WSFED)
casso126jjp
[アサーション ジェネレータ プラグイン]セクションでは、
CA Single Sign-on
がアサーションに属性を追加するために使用できる、記述されたプラグインを指定することができます。- プラグイン クラスプラグインの完全修飾 Java クラス名を指定します。このプラグインはランタイムで呼び出されます。以下のような名前を入力してください。com.mycompany.assertiongenerator.AssertionSampleプラグイン クラスは、アサーションの解析および変更を行った後、最終的な処理のために結果をCA Single Sign-onに返します。各依存するパーティーに対して 1 つのプラグインのみが許可されています。サンプル プラグインが SDK に含まれています。ディレクトリfederation_sdk_home\jar で、コンパイルされたサンプル プラグイン、fedpluginsample.jar を参照してください。注:ディレクトリfederation_sdk_home\sample\com\ca\federation\sdk\plugin\sample 内でサンプル プラグインのソース コードを参照することもできます。
- プラグイン パラメータ(オプション)。CA Single Sign-onがプラグインへパラメータとして渡す文字列を指定します。CA Single Sign-onは実行時に文字列を渡します。文字列にはあらゆる値を含めることができ、従う特定の構文はありません。プラグインは、受信するパラメータを解釈します。たとえば、パラメータを属性名とすることができます。または、文字列にプラグインにタスクを実行することを指示する整数を含めることができます。