シングル サインオンおよびサインアウト(WSFED IP)

casso126jjp
HID_sso-signout-wsfed
目次
シングル サインオンおよびサインアウトでは、各機能の操作を設定できます。
認証 (WSFED)
[認証]セクションでは、フェデレーション システムが単一のサインオン トランザクション中にフェデレーション システムがユーザを認証する方法を指定することができます。セッションを持たないユーザを認証するメソッドを指定します。
以下を設定できます。
認証モード
ユーザをローカルに認証するまたは認証をリモートのサードパーティ アクセス管理システムへ委任することでセッションを確立するかどうかを示します。
デフォルト:
[ローカル]
オプション
: 以下のオプションのいずれかを選択し、そのオプションに対する追加のフィールドを設定します。
  • ローカル - フェデレーション システムがユーザ認証を処理しています。 
    [認証モード]フィールドに対して[ローカル]を選択した場合は、[認証 URL]フィールドに URL を入力します。通常、この URL は redirect.jsp ファイルを指しますが、
    [安全な URL の使用]
    チェック ボックスをオンにした場合、この URL は secureredirect Web サービスを指す必要があります。
    認証 URL
    保護リソースがリクエストされた場合にユーザを認証してセッションを作成するためにフェデレーションで使用される保護 URL を指定します。認証モードがローカルに設定され、ユーザがアサーティング パーティでログインしていない場合、ユーザはこの URL に送られます。 この URL は、
    [安全な URL の使用]
    を選択しない場合は redirect.jsp ファイルを指している必要があります。 
    例: http://
    myserver.idpA.com
    /affwebservices/redirectjsp/redirect.jsphttp://
    myserver.idpA.com
    /siteminderagent/redirectjsp/redirect.jsp 
    myserver
    は、Web エージェント オプション パックまたはアサーティング パーティでインストールされた
    CA Access Gateway
    のある Web サーバを特定します。redirectjsp アプリケーションは、これらの製品に含まれています。
    重要:
    アクセス制御ポリシーで認証 URL を保護します。ポリシーでは、認証方式、レルム、およびルールを設定します。アサーションにセッション ストア属性を追加するには、[認証セッション変数を保持]チェック ボックス(認証方式の設定)を有効にします。
    安全な URL を使用
    この設定は、SMPORTALURL クエリ パラメータのみを暗号化するようにシングル サインオン サービスに命じます。 暗号化された SMPORTALURL は、悪意のあるユーザが値を修正して認証ユーザを悪質な Web サイトへリダイレクトするのを防ぎます。 SMPORTALURL を認証 URL に付加してから、ブラウザがユーザをリダイレクトしてセッションを確立します。ユーザが認証された後、ブラウザはユーザを SMPORTALURL クエリ パラメータで指定される宛先にリダイレクトします。
    [安全な URL を使用]チェック ボックスをオンにした場合は、以下の手順に従います。
    1. 認証 URL フィールドを http(s)://
    idp_server:port
    /affwebservices/secure/secureredirect に設定します。
    2. ポリシーにより secureredirect Web サービスを保護します。
    アサーティング パーティが複数の依存パートナーに対応する場合、アサーティング パーティはこれらの異なるパートナー用に異なるユーザを認証する場合があります。そのため、secureredirect サービスを使用する各認証 URL に対して、この Web サービスを各パートナーの異なるレルムに含めます。
    別のレルムと secureredirect サービスを関連付けるには、web.xml ファイルを変更して別のリソース マッピングを作成します。サーバ上の別の場所には secureredirect Web サービスをコピーしないでください。
    web_agent_home
    /affwebservices/WEB-INF ディレクトリで web.xml ファイルを見つけます。
    web_agent_home
     は、Web エージェントのインストール場所です。
  • 委任 -- サードパーティ Web アクセス管理(WAM)システムがユーザ認証を処理しています。追加のフィールドに入力します。
  • 認証情報セレクタ - 複数のアイデンティティ プロバイダが一覧表示される認証情報セレクタ ページがユーザに表示されます。アイデンティティ プロバイダは、ソーシャル メディア、WS-Federation、SAML、OAuth パートナーのいずれかになります。ユーザは適切なアイデンティティ プロバイダを選択し、そのプロバイダがユーザを認証します。 許容可能なアイデンティティ プロバイダのリストは、認証方式グループで定義されます。 これらのすべてのパートナーについて、ユーザはこれらの外部パートナーにすでに登録されている必要があります。
  • 委任認証タイプ([委任]モードのみ)
    サードパーティ認証がオープン形式の Cookie またはユーザ ログイン ID およびその他の情報を持つクエリ文字列で実行されるかどうかを指定します。このフィールドは[認証モード]に[委任]が選択される場合にのみ表示されます。
    オプション:
    クエリ文字列、オープン形式の Cookie
    • クエリ文字列 - クエリ文字列を使用するため、サードパーティはリダイレクト文字列を作成し、この文字列に LoginIDHash という名前のクエリ パラメータを追加します。LoginIDHash パラメータは、ユーザのログイン ID および共有秘密キーの組み合わせです。これらの 2 つの値は組み合わせられ、ハッシュ アルゴリズムによって処理されます。
      重要:
      実稼働環境ではクエリ文字列方式を使用しないでください。クエリ文字列リダイレクト方式は、概念実証としてテスト環境でのみ使用します。 クエリ文字列オプションは FIPS 準拠のパートナーシップを作成しません。
    • オープン形式の Cookie - オープン形式の Cookie を使用するため、サードパーティ システムはフェデレーション Java または .NET SDK を使用して Cookie を作成できます。または、Cookie を手動で作成するために、プログラミング言語を使用します。サードパーティは、フェデレーション システムにブラウザをリダイレクトし、このシステムはユーザ ID を取得します。
  • 委任認証 URL
    ユーザ認証を処理するサードパーティ Web アクセス管理システムの URL を指定します。ユーザがフェデレーション システムでリクエストを開始する場合、認証用の Web アクセス管理システムにリダイレクトされます。認証が成功したら、ユーザはフェデレーション システムに再度リダイレクトされます。
    ユーザが Web アクセス管理システムでリクエストを最初に開始する場合、この URL は該当しません。
    値:
    http://または https:// で開始する有効な URL
  • 委任認証ステータスの追跡
    委任認証が成功かどうかを追跡します。委任認証が失敗すると、この設定によりフェデレーション システムの動作が決定されます。デフォルトでは、このチェック ボックスはオンになっています。
    ユーザが認証情報を指定せずに、委任認証用に設定されている保護されたリソースにアクセスすると、委任認証は失敗します。そのユーザが同じブラウザ セッション中に再度リソースへのアクセスを試みると、ブラウザに 404 エラーが表示されます。また、フェデレーション システムは、エラー メッセージを affwebservices.log および FWSTrace.log ファイルへ書き込みます。このエラー メッセージは、委任認証用の認証情報が見つからないことを示します。フェデレーション システムは、認証情報を指定する委任認証 URL にユーザをリダイレクトすることはありません。同じブラウザ セッションで委任認証 URL にユーザをリダイレクトするには、このチェック ボックスをオフにします。追跡を無効化すると、ユーザは 404 エラーを受信せずに、同じブラウザ セッションでリソースへのアクセスを再試行することができます。フェデレーション システムは、ブラウザを委任認証 URL にリダイレクトします。ユーザに認証情報の再入力を促すメッセージが表示されます。
  • ハッシュ秘密キー(クエリ文字列のみ)
    LoginIDHash クエリ パラメータを作成するためにユーザ ログイン ID に追加される共有秘密キーを決定します。この設定は、ユーザが委任認証タイプとしてクエリ文字列を選択する場合のみ該当します。
  • ハッシュ秘密キーの確認(クエリ文字列のみ)
    ハッシュ秘密キーを検証します。ハッシュ秘密キーの値を再度入力します。
  • オープン形式の Cookie (オープン形式の Cookie のみ)
    ユーザは、オープン形式の Cookie と共に HTTP 302 リダイレクトによってターゲット アプリケーションにリダイレクトされますが、他のデータは送信されません。カスタマ アプリケーションでは、暗号化された Cookie を復号してユーザ情報を取得します。依存パーティは、複数の属性値を持つアサーションを受け取ると、すべての値をターゲット アプリケーションに渡します。委任認証用のオープン形式の Cookie オプションを選択する場合、管理 UI は以下の追加フィールドを表示します。
    • オープン形式の Cookie 名
      Cookie の名前を指定します。
      暗号化変換
      オープン形式の Cookie の暗号化に使用する暗号化アルゴリズムを示します。
      FIPS 互換のアルゴリズム(AES アルゴリズム)のいずれかを選択する場合、ターゲット システムは Cookie の消費にフェデレーション SDK を使用することが要求されます。SDK はターゲット アプリケーションと同じサーバ上に配置されていることが必要です。
      Cookie の消費にフェデレーション .NET SDK を使用している場合は、AES128/CBC/PKCS5Padding 暗号化アルゴリズムを使用します。
      暗号化パスワード
      Cookie の暗号化に使用されるパスワードを示します。[暗号化パスワード]および[パスワードの確認入力]フィールドが必要です。
      パスワードの確認入力
      暗号化パスワード エントリを確認します。
      HMAC の有効化
      ハッシュ メッセージ認証コード(HMAC)がこのダイアログ ボックスで提供される暗号化パスワードを使用して生成されることを示します。
      メッセージ認証コード(MAC)により、2 つのパーティ間で送信される情報の整合性を確認できます。2 つのパーティは、メッセージ認証値の計算および検証用の秘密キーを共有しています。ハッシュ メッセージ認証コード(HMAC)は暗号ハッシュ関数に基づく MAC のメカニズムです。
      [HMAC の有効化]チェック ボックスをオンにすると、そのオープン形式 Cookie に対して HMAC 値が生成されます。HMAC 値はオープン形式 Cookie 値の先頭に追加され、文字列全体が暗号化されます。フェデレーション システムはオープン形式の Cookie に暗号化された文字列を配置します。この文字列はターゲット アプリケーションに渡されます。
      Cookie スキュー時間(秒)
      システム クロックの差がなくなるように、現在のシステム時刻から差し引く秒数を指定します。この差は、フェデレーション システムと委任認証を処理するサードパーティ アプリケーションとの間の差です。
      ソフトウェアはオープン形式の Cookie の生成および消費に、スキュー時間を適用します。
      値:
      値は秒数で入力します。
  • Idle Timeout
    許可されたユーザのセッションが非アクティブになってから、エージェントがそのセッションを終了するまでの時間を指定します。ユーザが保護されたリソースにアクセスした後にワークステーションを離れることが心配な場合は、アイドル タイムアウトを短い時間に設定します。セッションがタイムアウトになると、ユーザは、リソースに再度アクセスする前に再認証する必要があります。
    この設定は、デフォルトでは有効になっています。セッション アイドル タイムアウトを指定しない場合は、このチェック ボックスをオフにしてください。デフォルトのセッション アイドル タイムアウトは 1 時間です。
    注:
    セッションは、実際には、指定されたアイドル タイムアウト値の経過後、一定のメンテナンス時間内に期限切れになります。この期間は、以下のレジストリ キー内に指定された秒数で決定されます。
    HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\siteminder\CurrentVersion\SessionServer\MaintenancePeriod
    たとえば、アイドル タイムアウトを 10 分に設定するとします。また、MaintenancePeriod のレジストリをデフォルト値に設定します。すると、セッションが非アクティブ状態からタイムアウトになるまでの最長時間は 11 分(タイムアウト + メンテナンス時間)となります。
    この機能を基本認証方式で使用するには、Web エージェントを[Cookie が必要]に設定する必要があります。
    以下の点に注意してください。
    • 永続セッションに関しては、[アイドル タイムアウト]を有効にし、これを [検証期間]より大きい値に設定してください。
    • WebAgent-OnAuthAccept-Session-Idle-Timeout レスポンス属性を指定して、この設定よりも優先させることができます。値 0 は、非アクティブによるセッション終了は動作しないという意味になります。
    デフォルト:
    60 秒
    時間
    アイドル タイムアウト期間の時間数を指定します。
  • アイドル タイムアウト期間の分数を指定します。
  • 最大タイムアウト
    エージェントがユーザに再認証を要求するまでの、ユーザ セッションがアクティブな最大時間を指定します。
    この設定は、デフォルトでは有効になっています。最大セッション時間を指定しない場合は、このチェック ボックスをオフにしてください。デフォルトの最大セッション時間は 2 時間です。
    • 時間
      セッションの最大時間長の時間数を指定します。
    • セッションの最大時間長の分数を指定します。
    この機能を基本認証方式で使用するには、Web エージェントを[Cookie が必要]に設定する必要があります。
    注:
    WebAgent-OnAuthAccept-Session-Max-Timeout レスポンス属性を指定することにより、この設定をオーバーライドすることができます。
  • 最小の
    認証レベル
    レルムへのアクセスを取得するためにユーザが認証される必要のある最低レベルを指定します。ユーザがこのレベル以上のレベルを認証している場合、アイデンティティ プロバイダはユーザのためのアサーションを生成します。ユーザがこのレベル以上のレベルで認証されない場合、このレベルで認証するための認証 URL にリダイレクトされます。
認証モードとして[認証情報セレクタ]を選択する場合は、以下のフィールドに入力します。
  • 認証ベース URL
    認証情報処理サービスがインストールされる
    CA Access Gateway
    サーバのホスト名を定義します。値を以下の形式で入力します。
    https:
    sps_hostname
    /chs/login または http:
    sps_hostname
    /chs/login
  • 認証方式グループ
    パートナーシップを呼び出す場合に、認証用にユーザに表示する必要があるアイデンティティ プロバイダの認証方式グループを指定します。
シングル サインオン(WSFED IP)
  • オーディエンス
    オーディエンスの URL を指定します。オーディエンス URL は、アサーティング パーティと依存パーティの間のビジネス許諾契約の条件について説明するドキュメントの場所を識別します。アサーティング パーティでの管理者がオーディエンスを決定します。このオーディエンス値は、依存パーティでのオーディエンス値およびリソース パートナーのエンティティ ID と一致する必要があります。これら 3 つの設定では、すべて同じ値を使用する必要があります。
    値:
    有効な URL。
    オーディエンス値は 1024 以下である必要があり、大文字と小文字が区別されます。
    例:
    http://fed.example.com/portal1
  • セキュリティ トークン サービス URL
    セキュリティ トークン レスポンス メッセージを受け取り、アサーションを抽出するリソース パートナーでのサービスの URL を指定します。サービスのデフォルトの場所は以下です。
    https://
    rp_server:port
    /affwebservices/public/wsfeddispatcher
    rp_server:port
    Web エージェント オプション パックまたは SPS フェデレーション ゲートウェイをホストするリソース パートナーで Web サーバとポートを識別します。これらのコンポーネントはフェデレーション Web サービス アプリケーションを提供します。
    注:
    WSFedDispatcher サービスは、すべての受信 WS フェデレーション メッセージを受信し、クエリ パラメータ データに基づいてリクエスト処理を適切なサービスに転送します。wsfedsecuritytokenconsumer サービスがありますが、このフィールドでのエントリには wsfeddispatcher サービスをお勧めします。
  • SSO 有効期間(秒)
    生成されたアサーションが有効である秒数を指定します。
    テスト環境で、有効期間の値をデフォルトの 60 より大きくすると、以下のメッセージがトレース ログに表示されます。
    Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237)  - 
    current time (Fri Sep 09 17:28:33 EDT 2005) is after SessionNotOnOrAfter
    time (Fri Sep 09 17:28:20 EDT 2005)
    注:
    SSO 妥当性期間およびスキュー時間により、シングル サインオン リクエストが有効となる総時間の計算方法がポリシー サーバに指定されます。
    デフォルト:
    60
    値:
    正の整数を入力します。
  • カスタム Post フォーム
    HTTP-POST シングル サインオンに対してカスタムの自動 POST HTML 形式を指定します。形式へのパスではなく形式の名前のみを入力します。製品と共に defaultpostform.html という名前のフォームがインストールされます。
    カスタマイズされた自動 POST によって、ポリシー サーバはリソース パートナーに SAML 情報を送信できるようになります。物理的なページがディレクトリ %NETE_WA_ROOT%\customization に存在する必要があります。ここで %NETE_WA_ROOT% は Web エージェント オプション パックの場所です。Web エージェントおよび Web エージェント オプション パックが同じシステム上にインストールされている場合、たとえば webagent\customization など同じディレクトリにインストールされます。
  • 検証期間
    このチェック ボックスを表示するには、ポリシー サーバ管理コンソールを使用して、セッション サーバを有効にします。
    エージェントがポリシー サーバをコールしてセッションを検証する最大間隔を指定します。セッション検証のコールでは、ユーザが引き続きアクティブであることをポリシー サーバに通知し、ユーザのセッションが引き続き有効であることを確認します。
    検証期間を指定するには、[時間]、[分]、および[秒]の各フィールドに値を入力します。Windows ユーザ セキュリティ コンテキストを提供するようにシステムを設定する場合は、この値を大きな値(たとえば 15 ~ 30 分など)に設定します。エージェントの最大ユーザ セッション キャッシュ値よりもアクティブ セッションの数が少ない場合、エージェントはセッションを再検証する必要はありません。
    重要:
    セッションの検証期間は、指定されたアイドル タイムアウト値よりも小さくする必要があります。
サインアウト(WSFED IP)
ダイアログ ボックスの[サインアウト]セクションは、セッション ストアを有効にした場合にのみ表示されます。ポリシー サーバ管理コンソールを使用して、セッション ストアを有効にします。
  • サインアウトの有効化
    パートナーシップのサインアウト機能をアクティブにします。
  • サインアウト確認 URL
    サインアウトを実行するアイデンティティ プロバイダの URL を指定します。
    デフォルトの URL は以下のとおりです。
    http://
    ip_server:port
    /affwebservices/signoutconfirmurl.jsp
    ip_server:port
    アイデンティティ プロバイダ システムのサーバおよびポート番号を指定します。システムは、フェデレーション ネットワークにどのコンポーネントがインストールされているかに応じて、Web エージェント オプション パックまたは SPS フェデレーション ゲートウェイをホストしています。
    signoutconfirmurl.jsp は Web エージェント オプション パックまたは SPS フェデレーション ゲートウェイで含まれています。このページを、デフォルト ディレクトリから、フェデレーション Web サービスのサーブレット エンジンがアクセスできるページにアクセスできます。
    リソース パートナーがサインアウトを開始する場合、サインアウトの確認ページはリソース パートナーの、保護されていないリソースである必要があります。アイデンティティ プロバイダがサインアウトを開始する場合、サインアウトの確認ページは、アイデンティティ プロバイダ サイト上の、保護されていないリソースである必要があります。
  • リモート サインアウト URL
    リソース パートナーのサインアウト サービスの URL を指定します。アイデンティティ プロバイダは、以下の URL に signoutcleanup リクエストを送信します。
    例:
    Single Sign-On
     をリソース パートナーとして使用する場合、URL は https://
    rp_service
    :
    port
    /affwebservices/public/wsfeddispatcher です。
    注:
    wsfeddispatcher サービスは、すべての受信 WS フェデレーション メッセージを受け取ります。このサービスは、クエリ パラメータ データに基づいてリクエストを適切なサービスに転送します。wsfedsignout サービスがありますが、サインアウト URL には wsfeddispatcher の URL を使用してください。