ユーザ識別ダイアログ ボックス(SAML 2.0 SP)
casso126jjp
HID_partnership-userID
ユーザ識別手順では、依存パーティがユーザ ストア内のレコードを見つけるために使用するアサーション属性を指定します。
- アサーションからの識別属性の選択このセクションでは、依存パーティがアサーション内でユーザの検出にどの属性を使用するかを指定できます。デフォルト:名前 ID を使用オプション:
- 名前 ID を使用正しいユーザ レコードを検出するためにアサーション内の名前 ID エレメントの値を使用するように依存パーティに指示します。
- 属性の選択正しいユーザ レコードを検出するためにアサーションからの属性を使用するように依存パーティに指示します。これらの属性はアサーティング パーティで定義され、アサーションに含められます。依存パーティは、アサーティング パーティがどの属性に対してアサーションを送るかを知っている必要があります。ドロップダウン リストから事前定義済み属性を選択するか、またはテキスト ボックスに属性名を直接入力します。 名前 ID が一時的なもので、定期的に変更される場合、このオプションを使用できます。
- XPath の指定Xpath 検索文字列から識別されるアサーションからの情報を使用するように依存パーティに指示します。たとえば、entityID を検索し、その属性をユーザ レコードを検出するために使用するように依存パーティを設定できます。
- ユーザ識別子の作成を IDP に許可IdP に送信される AuthnRequest に AllowCreate 属性を配置します。この属性は、ユーザ レコードに ID が存在しない場合に名前 ID の識別子を生成するように IdP に指示します。IdP は、IdP で[ユーザ ID の作成を許可]チェックボックスが選択されている場合のみ識別子を生成します。この設定は、アサーション設定の一部です。 IdP は、SP に返すアサーション内に名前 ID の新しい値を組み込みます。
- NameIDPolicy フォーマットIdP に送信される AuthnRequest での NameIDPolicy タグのフォーマット属性を指定します。[IdP にユーザ ID の作成を許可]が選択されていて、[NameIDPolicy フォーマット]から値が選択されている場合、選択されたフォーマットが送信されます。[IdP にユーザ ID の作成を許可]が選択されておらず、[NameIDPolicy フォーマット]から値が選択されていない場合、フォーマットは送信されません。[IdP にユーザ ID の作成を許可]が選択されておらず、[NameIDPolicy フォーマット]から値が選択されている場合、選択されたフォーマットが送信されます。[IdP にユーザ ID の作成を許可]が選択されていて、[NameIDPolicy フォーマット]から値が選択されていない場合、[永続]フォーマットが送信されます。
- クエリ パラメータは識別子を無視しますクエリ パラメータによって AuthnRequest 内の AllowCreate 属性値を置換できるようになります。SP でシングル サインオンを開始する URL に AllowCreate クエリ パラメータを組み込むことができます。ブラウザは、最初に SP の AuthnRequest サービスに転送されます。AuthnRequest に AllowCreate 属性がすでに存在する場合、クエリ パラメータの値は属性の値を置換します。クエリ パラメータを使用すると、パートナーシップ設定を変更および再アクティブ化せずに、AllowCreate 属性の値を変更できます。
- 識別属性のユーザ ディレクトリへのマップこのセクションでは、ユーザ レコードを検索するように検索文字列を指定できます。名前 ID またはアサーションからの他の識別属性を使用して、ネームスペースを検索するために依存パーティが使用する検索文字列を指定します。検索文字列で、名前 ID または他の識別属性を表す変数として %s を使用します。たとえば、名前 ID が user1 の値を持つとします。検索文字列として name=%s を指定する場合、結果として生成される文字列は Username=user1 です。この文字列は、認証の正しい記録を見つけるためにユーザ ストアと比較されます。このセクションには、以下の設定項目が表示されます。
- ディレクトリ検索仕様ユーザ ディレクトリ内で属性を検出するためにコンシューマが使用する検索文字列を決定します。以下のように、ディレクトリ タイプに適切な検索文字列を入力します。LDAP: uid=%sODBC: name=%s
- フェデレーション ユーザ依存パーティがリクエストされたリソースにアクセスするためにどのユーザを許可するかを示します。
- メッセージ コンシューマ プラグインプラグイン クラス(オプション)認証方式に対するメッセージ コンシューマ プラグイン インターフェースを実装するクラスの完全修飾 Java クラス名を指定します。プラグイン パラメータ[プラグイン クラス]フィールドで指定されたプラグインに API が渡す一連のパラメータを指定します。