SSO および SLO ダイアログ ボックス(SAML 2.0 SP)
casso126jjp
HID_partnerships-SSO-relying
SSO および SLO 手順では、シングル サインオンおよびシングル ログアウト設定を決定できます。
注:
SLO 設定を参照するには、ポリシー サーバ管理コンソールからセッション サーバを有効にします。SSO (SAML 2.0 SP)
この[SSO]セクションを使用して、シングル サインオン(SSO)情報を設定できます。設定には以下のものがあります。
認証リクエスト バインディング
IdP への認証リクエストの送信時に SP が使用するバインディングのタイプを指定します。
オプション:
HTTP-Redirect、HTTP-POSTSSO プロファイル
フェデレーション システムが要求の処理に使用するシングル サインオン プロファイルのタイプを決定します。すべてのバインディングを選択できます。バインディングの試行シーケンスはローカル エンティティによって決定されます。
オプション:
HTTP-Artifact、HTTP-POST、拡張されたクライアントとプロキシパートナーシップ内のエンティティが機能強化クライアント経由で間接的に通信する場合は、ECP プロファイルを選択してください。機能強化クライアントは、ブラウザまたは他のユーザ エージェント、すなわち、無線デバイス用の無線プロキシなどの拡張プロキシの場合があります。
オーディエンス
SAML アサーションのオーディエンスを指定します。
オーディエンスとは、2 つのフェデレーション パートナー間のビジネス契約の契約条件を記述した文書の URL です。アサーティング パーティでの管理者がオーディエンスを決定します。入力する値は、アサーティング パーティで指定されたオーディエンス値と一致する必要があります。
値:
URL例:
http://www.ca.com/fedserver許可されたトランザクション
どのパートナーがシングル サインオンを開始できるかを示します。どのパートナーがシングル サインオンを開始するかを制御することによって、フェデレーション コールを管理できます。たとえば、[SP のみ開始]を選択するとします。この場合、SP は、特定の認証コンテキストを要求するときに限り、フェデレーション トランザクションを開始できます。
ユーザの同意が必要
ユーザの ID 情報の共有についてユーザの許可を取得することを ID プロバイダが SP に要求することを示します。SP では、同意を確認するために、受信したアサーション内のユーザ同意値を、以下のいずれかの同意値と比較します。
- urn:oasis:names:tc:SAML:2.0:consent:obtainedアイデンティティ プロバイダはユーザから許可を受信しました。
- urn:oasis:names:tc:SAML:2.0:consent:priorシングル サインオン トランザクションが発生する前に、アイデンティティ プロバイダはユーザから許可を受信しました。
- urn:oasis:names:tc:SAML:2.0:consent:current-implicitアイデンティティ プロバイダは、シングル サインオン トランザクション中のどこかで許可を暗黙的に受信しました。この同意は、多くの場合、同意の意味を含むアクティビティの一部です。通常、暗黙的な同意は、事前の同意よりもトランザクションに時間的に接近しています。
- urn:oasis:names:tc:SAML:2.0:consent:current-explicitアイデンティティ プロバイダは、シングル サインオン トランザクションを開始したアクション中に許可を受信しました。
保護レベル
同じポリシー ドメイン内の同等以下の保護レベルの認証方式に対するシングル サインオンを許可します。また、より高い保護レベルを持つリソースにアクセスする場合は、追加認証が要求されます。
値:
1 ~ 1000。認証方式にはデフォルト保護レベルが設定されており、そのレベルは変更が可能です。重要なリソースに対しては高い保護レベルを使用し、一般にアクセス可能なリソースには低いレベルの方式を使用します。
単一使用アサーションを強制する
サービス プロバイダで別のセッションを確立するために SAML 2.0 アサーションが再利用されるのを防止します。
同期監査の有効化
ユーザのリソースへのアクセスを許可する前に、ポリシー サーバと Web エージェントのアクションがログ記録される必要があることを示します。ポリシー サーバは、アクティビティが監査ログに記録されるまでは、レルム リソースへのアクセスを許可しません。
永続セッションを使用
(オプション)ユーザ セッションが追跡され、セッション ストアおよび Cookie に保存されるように指定します。ポリシー サーバは、認証の決定に使用するために、これらの情報にアクセスできます。 このチェック ボックスを表示するには、ポリシー サーバ管理コンソールからセッション サーバを有効にします。
永続セッションを有効にするには、このチェック ボックスをオンにします。シングル ログアウトおよび使い捨てポリシー機能では、このチェック ボックスをオンにする必要があります。
検証期間
エージェントがポリシー サーバをコールしてセッションを検証する最大間隔を指定します。セッション検証のコールでは、ユーザが引き続きアクティブであることをポリシー サーバに通知し、ユーザのセッションが引き続き有効であることを確認します。
検証期間を指定するには、[時間]、[分]、および[秒]の各フィールドに値を入力します。Windows ユーザ セキュリティ コンテキストを提供するには、この値を大きな値(たとえば 15 ~ 30 分など)に設定します。エージェントの最大ユーザ セッション キャッシュ値よりもアクティブ セッションの数が少ない場合、エージェントはセッション サーバに問い合わせを行う必要がありません。
重要:
セッションの検証期間は、指定されたアイドル タイムアウト値よりも小さくする必要があります。認証リクエストでの ACS URL の送信
IdP に送信される認証リクエストにアサーション コンシューマ サービス URL を含めるには、このチェック ボックスをオンにします。この URL によって、IdP にアサーション レスポンスの送信先が指定されます。
リモート SSO サービス URL
アサーティング パーティのシングル サインオン サービスの URL を一覧表示します。テーブル内のそれぞれのエントリは、認証要求サービスが認証要求メッセージをリダイレクトできる場所を示しています。テーブルにエントリを追加するには、[行の追加]をクリックします。リモート依存パーティの作成やインポート中に定義されたすべての値がこのテーブルに入力されています。
テーブルには、以下の列が含まれています。
- Select使用するエントリを示します。
- バインディングアサーティング パーティでサポートされるバインディングの種類を指定します。オプション:HTTP-Redirect、HTTP-POST、SOAP
- URLアサーティング パーティのシングル サインオン サービスを指定します。値:リモート アサーティング パーティにおける SSO サービスの URL
- Deleteアイコンを選択するとエントリが削除されます。
リモート SOAP Artifact 解決 URL
アサーティング パーティの Artifact 解決サービスの URL を一覧表示します。このサービスは、依存パーティから受け取る Artifact に基づいたアサーションを取得します。このテーブルのエントリは、Artifact シングル サインオンで必要とされます。リモート依存パーティの作成やインポート中に定義されたすべての値がこのテーブルに入力されています。
テーブルには、以下の列が含まれています。
- Select使用するエントリをCA Single Sign-onに指示します。
- インデックスArtifact 解決サービスの特定の URL とインデックス値を関連付けます。ゼロの値はデフォルト エントリを示します。デフォルト:0制限:0 ~ 65535
- URLArtifact 解決サービスの URL です。リモート ID プロバイダがCA Single Sign-onを使用する場合は、以下の URL を使用してください。http://idp_host:port/affwebservices/public/saml2ars
- Deleteアイコンを選択するとエントリが削除されます。
名前 ID サービスの管理
このセクションでは、名前 ID サービスの管理の設定に関するフィールドについて説明します。
- MNI バインディング: SOAP名前 ID サービスの管理を有効にします。サポートされている唯一のバインディングが SOAP です。
- 名前 ID の暗号化名前 ID を暗号化します。
- 暗号化した名前 ID が必要受信されるメッセージ内の暗号化された名前 ID が必要です。
- リクエストに署名ManageNameID リクエスト メッセージに署名します。
- 署名されたリクエストが必要署名された ManageNameID リクエスト メッセージが必要です。
- レスポンスに署名ManageNameId レスポンス メッセージに署名します。
- 署名されたレスポンスが必要署名された ManageNameID レスポンス メッセージが必要です。
- 名前 ID の削除このパートナーシップに対してユーザの名前 ID を保持するユーザ ディレクトリ属性をクリアします。この機能が動作するためには、[名前 ID の削除]または通知の有効化を選択します。
- SOAP タイムアウト(秒単位)リクエストがタイムアウトになるまで待機する分数を指定します。デフォルト: 60
- 再試行回数リクエストを再試行する回数を指定します。デフォルト: 3
- 再試行境界(分)メッセージ失敗の際に再試行を試みるまでに待機する分数を指定します。デフォルト: 15
- (オプション)通知の有効化Single Sign-Onフェデレーション エンティティに、ユーザが終了した場合にカスタマ アプリケーションに通知するように指示します。名前 ID の終了が成功すると、バックグラウンドで名前 ID サービスに通知されます。 リクエストされたアプリケーションを所有しているカスタマがユーザ ディレクトリからのユーザの削除を制御する必要が場合は、通知を有効にします。
- 通知 URLローカル フェデレーション エンティティがフェデレーション ユーザの名前 ID が終了したという通知を送信するリモート IdP または SP の URL を指定します。
- 通知タイムアウト(秒)通知リクエストがタイムアウトになるまで待機する秒数を指定します。
- 通知認証タイプ終了を送信するときにカスタマが認証情報を要求するかどうかを指定します。[基本]を選択すると、通知サービスは通知 URL を介してバックグラウンドでコールアウトを行います。カスタマ アプリケーションは、Single Sign-Onフェデレーションでこのコールアウトが許可されていることを認証できます。[基本]を選択した場合、[通知ユーザ名]と[通知パスワード]の設定値を指定します。これらの値は、通知チャネルを通じてコールアウトが送信されるときに認証情報として機能します。オプション: 認証なし、基本
- 通知ユーザ名通知サービスのユーザ名を指定します。この名前は、カスタマ アプリケーションが通知 URL を介して通信するエンティティを検証するための認証情報の一部です。
- 通知パスワード通知サービスのパスワードを指定します。このパスワードは、カスタマ アプリケーションが通知 URL を介して通信するエンティティを検証するための認証情報の一部です。 カスタマ アプリケーションは、この認証を提供することで、有効なクライアントが通知を送信できるようにします。
- 通知パスワードの確認入力[通知パスワード]の値を確認します。
SP の属性リクエスタ サービス
[属性リクエスタ サービス]セクションで、属性リクエスタが属性機関からから取得したい属性を設定します。これらの属性は、属性機関に送信される属性クエリに含まれています。
このセクションには、以下の設定項目が含まれています。
- 有効リクエスタによる属性クエリの生成を有効にします。
- 署名されたアサーションが必要属性機関が署名した属性アサーションのみを属性リクエスタが受け入れることを示します。署名されていないアサーションは拒否されます。
- casso126jjpプロキシ化されたクエリの有効化サードパーティ IdP が属性クエリに応答するよう指定します。プロキシ化されたクエリ機能は、サードパーティが IdP および属性機関として機能する場合の展開に使用します。プロキシ化されたクエリを実装する場合、設定するローカル ポリシー サーバ システムには 2 つの役割があります。システムは、サードパーティ IdP 対しては SP および属性リクエスタとして機能します。また、ローカル システムは、リクエストされたアプリケーションを有する SP に対しては、PdP および属性機関として機能します。以下の条件が満たされると、プロキシ化されたクエリが発生します。
- 属性は、ローカル システムのユーザ ディレクトリまたはセッション ストア内には見つかりません。
- ユーザは、最初にサードパーティ IdP によって認証されます。
ポリシー サーバはサードパーティ IdP に問い合わせます。IdP が属性を検索した場合、クエリ レスポンスを返します。ポリシー サーバは、レスポンスから取得した属性をセッション ストアに追加します。次に、システムは、アプリケーションを所有する SP に属性を持ったレスポンスを返します。この SP は元の属性リクエスタです。 - 属性クエリに署名属性リクエスタに、属性機関に送信する前に属性クエリに署名するように指示します。
- 署名されたレスポンスが必要署名されたレスポンスのみを受け入れるように属性リクエスタに指示します。
- 属性サービス各属性機関の属性サービスの URL をリスト表示します。リクエスタからのクエリに応答する、機能している属性機関が関連付けられたラジオ ボタンを選択することを示します。
SP の属性リクエスタ サービス
属性リクエスタが属性機関に送信する属性クエリに正しい値を含めるために、[名前 ID]セクションを設定します。
注:
このセクションは、属性クエリ機能が有効化されている場合にのみ設定可能です。フィールドは以下のとおりです。
- 名前 ID 形式名前 ID のフォーマットを指定します。この値は、属性権限の期待される名前 ID の形式と一致する必要があります。一致しない場合はリクエストは失敗します。
- 名前 ID タイプ名前 ID に使用される属性のタイプを定義します。
- スタティック名前 ID が[値]フィールドのスタティック値であることを示します。
- ユーザ属性名前 ID がユーザ ストアからのユーザ属性であることを示します。ユーザ属性は[値]フィールドで指定されます。
- セッション属性名前 ID が[値]フィールドに指定されたセッション ストア属性であることを示します。
- DN 属性名前 ID が DN と関連付けられた属性であることを示します。[値]と[DN 指定]フィールドに入力します。
- 値[名前 ID]の値を指定します。このフィールドの有効な値は、[名前 ID タイプ]の選択内容に基づきます。
- スタティック - 静的なテキスト値を入力します。
- ユーザ属性 - ユーザ ストアからのユーザ属性名を入力します。
- セッション属性 - ポリシー サーバ セッション ストアからのセッション属性名を入力します。
- DN 属性 - グループまたは組織単位 DN と関連付けられたユーザ属性の名前を入力します。また、DN 指定も指定します。
- DN 指定適切な DN 属性を取得するためにシステムで使用される、グループまたは組織単位 DN を指定します。
SLO (SAML 2.0 SP)
[SLO]セクションでは、シングル ログアウト(SLO)を設定できます。
重要:
SLO を使用する場合は、このダイアログ ボックスの[SSO]セクションにある[永続セッションの使用]チェック ボックスをオンにしてください。このセクションには、以下の設定項目が表示されます。
- SLO バインディングアサーティング パーティでシングル ログアウト プロファイルが有効化されているかどうか、およびどのバインディングが使用中であるかを指定します。HTTP-Redirect バインドでは、HTTP GET 要求を使用して SLO メッセージが送信されます。SOAP バインディングでは、初期要求以降は HTTP に依存せず、バック チャネル上でメッセージが送信されます。オプション:HTTP-Redirect、HTTP-POST、SOAP
- SLO 確認 URLシングル ログアウト プロセスが完了した場合にユーザがリダイレクトされる URL を指定します。通常、シングル ログアウトを開始したサイトを指定します。SLO 確認 URL は、現在設定中のサイトからアクセス可能であることが必要です。SLO が現在設定中のサイトで開始されると、フェデレーション システムでこの URL が使用されます。この値は、ローカル リソースであり、フェデレーション パートナー ドメイン内のリソースではありません。たとえば、ローカル ドメインが acme.com で、パートナーが example.com である場合、SLO 確認 URL は acme.com に存在する必要があります。有効な URL を入力してください。
- SLO 有効期間(秒)SLO 要求が有効な期間を秒数で指定します。デフォルト:60秒オプション:正の整数
- リレー状態を使用して SLO 確認 URL をオーバーライドする(HTTP-Redirect のみ)[SLO 確認 URL]の値を、シングル ログアウト要求に含まれるリレー状態クエリ パラメータの値で置き換えます。このチェック ボックスにより、シングル ログアウト確認ターゲットの制御性が向上します。リレー状態クエリ パラメータを使用して、SLO 要求に対する確認 URL を動的に定義できます。
- セッション インデックスの再利用CA Single Sign-onが単一のブラウザ セッション内の同じパートナーに対してアサーション内の同じセッション インデックスを送るかどうかを示します。ユーザは同じブラウザ ウィンドウを使用して、同じパートナーと複数回フェデレーションを実行することができます。このオプションを選択すると、各アサーション内で同じセッション インデックスを送信するように IdP に指示します。このオプションを無効にすると、CA Single Sign-onはシングル サインオンが発生するたびに新しいセッション インデックスを生成します。このオプションを有効にして、新しいアサーションに渡されるセッション インデックスを尊重しないサードパーティのパートナーのシングル ログアウトを確実にすることができます。注:この設定はシングル ログアウトが有効な場合のみ該当します。
- SLO サービス URL利用可能な SLO サービス URL を一覧表示します。テーブルには、以下のエントリが含まれています。
- Selectこの値が SLO サービス URL のエントリであることを示します。
- バインディングSLO 接続のバインディングを示します。オプション:HTTP-Redirect、HTTP-POST、SOAP
- ロケーション URLリモート パートナーのシングル ログアウト サービスの URL を指定します。この URL にシングル ログアウト要求が送信されます。オプション:有効な URLフェデレーション システムがリモート アイデンティティ プロバイダで使用されている場合は、以下の URL を使用します。HTTP-Redirect バインディングhttp://idp_host:port/affwebservices/public/saml2sloHTTP-POST バインディング:http://idp_host:port/affwebservices/public/saml2sloSOAP バインディングhttp://idp_host:port/affwebservices/public/saml2slosoapサードパーティのフェデレーション製品がアイデンティティ プロバイダで使用されている場合は、その製品に該当する URL を使用してください。
- レスポンス ロケーション URL(オプション)エンティティに対するシングル ログアウト サービスの URL を指定します。レスポンス ロケーション URL は、シングル ログアウト要求に対して 1 つのサービス、およびシングル ログアウト レスポンスに対して 1 つのサービスが存在する設定で使用されます。デフォルトでは、ロケーション URL のみが提供されている場合、この URL が要求およびレスポンスに使用されます。有効な URL を入力してください。
バック チャネル(SAML 2.0 SP)
casso126jjp
[バック チャネル]セクションでは、バック チャネル全体にわたる認証方法を設定します。以下の基準に応じて、バック チャネルには別の目的があります。
- HTTP-Artifact シングル サインオンが設定されている。
- SOAP バインディングを使用するシングル ログアウトが設定されている。
- フェデレーション システムはアイデンティティ プロバイダまたはサービス プロバイダである。
- 通信は受信チャネルまたは送信チャネルを介する。
[バック チャネル]セクションには以下の設定が表示されます。
- 受信設定/送信設定必要に応じて、選択したバインディングを使用して受信または送信バック チャネルを設定します。バック チャネルの設定は 1 つのみ可能です。2 つのサービスが同じチャネルを使用する場合、これらの 2 つのサービスは同じバック チャネル設定を使用します。たとえば、ローカル IdP の受信チャネルは、HTTP-Artifact SSO と SLO over SOAP をサポートします。これらの 2 つのサービスは同じバック チャネル設定を使用する必要があります。
- 認証方法バック チャネルを保護する認証方法を指定します。デフォルト:認証なし(NoAuth)オプション:基本、クライアント証明書、認証なし基本基本認証方式が、バック チャネル全体の通信を保護していることを示します。注:SSL がバック チャネル接続で有効な場合でも、基本認証を選択することができます。基本認証を選択する場合は、以下の追加の設定を設定します。
- バック チャネル ユーザ名(基本認証 -- 送信チャネルのみ)。バック チャネル全体にわたって基本認証を使用する場合の SP のユーザ名を指定します。リモート IdP で設定するパートナーシップの名前を入力します。たとえば、リモート IdP で、Partners1 という名前のパートナーシップが CompanyA (IdP)と CompanyB (SP)の間で定義されるとします。CompanyB (ローカル SP)では、このユーザ名を IdP で関連付けられたパートナーシップと関連付けるために値 Partners1 を入力します。
- Passwordバック チャネル ユーザ名用のユーザ パスワードを指定します。このパスワードは、[基本]または[SSL を介した基本]をバック チャネルにわたって認証方法として使用する場合にのみ該当します。2 つのパートナーはこのパスワードに同意します。
- パスワードの確認入力パスワード入力を再確認します。
- バック チャネル タイムアウト(秒)(送信チャネルのみ)Artifact 解決サービスにバック チャネル要求を送信した後にシステムがレスポンスを待つ最大時間を指定します。間隔を秒単位で指定します。デフォルト:300 秒値:正の整数
- クライアント証明書バック チャネル全体にわたって X.509 クライアント証明書認証方式が Artifact 解決サービスへの通信を保護することを示します。クライアント証明書認証は、すべてのエンドポイント URL に対して SSL の使用を必要とします。エンドポイント URL は、Artifact 解決サービスなど、各種の SAML サービスをサーバ上で検索します。SSL 要件は、サービスへの URL がhttps://で開始する必要があることを示しています。クライアント証明書認証を実装するため、SP はトランザクションが発生する前にアサーティング パーティに証明書を送信します。アサーティング パーティはそのデータベースに証明書を格納します。パートナーはいずれも、対応するデータベースで SSL 接続を有効にした証明書を持つ必要があります。これ以外の場合は、クライアント証明書認証は機能しません。認証処理中に、依存パーティはアサーティング パーティにその証明書を送信します。アサーティング パーティは、受信した証明書をデータベース内の証明書と比較して、一致することを検証します。一致すると、アサーティング パーティは依存パーティに対して Artifact 解決サービスへのアクセスを許可します。クライアント証明書認証を選択する場合、以下の追加の設定を設定します。
- クライアント証明書エイリアスキー データベースでクライアント証明書と関連付けられるエイリアスを指定します。ドロップダウン リストからエイリアスを選択します。
- バック チャネル タイムアウト(秒)(送信チャネルのみ)。Artifact 解決サービスにバック チャネル要求を送信した後にCA Single Sign-onがレスポンスを待つ最大時間を指定します。間隔を秒単位で指定します。デフォルト:300 秒値:正の整数
- 認証なし依存パーティが認証情報を提供する必要がないことを示します。バック チャネルおよび Artifact 解決サービスは保護されません。このオプションでも SSL を有効にできます。バック チャネル トラフィックは暗号化されますが、認証情報は保証機関と依存パーティの間で交換されません。[認証なし]はテスト目的の場合に選択し、実稼働環境では選択しないでください。ただし、フェデレーション システムが SSL の有効なフェールオーバ用に設定されており、かつ、プロキシ サーバの後ろに配置される場合は除きます。プロキシ サーバはサーバ証明書がある場合に認証を処理します。この場合、すべての IdP->SP パートナーシップは認証タイプとして[認証なし]を使用します。