SSO および SLO ダイアログ ボックス(SAML 2.0 IdP)
SSO および SLO 手順では、シングル サインオンおよびシングル ログアウト操作を設定できます。
casso126jjp
HID_partnership-sso-asserting
SSO および SLO 手順では、シングル サインオンおよびシングル ログアウト操作を設定できます。
2
認証(SAML 2.0 IdP)
[認証]セクションでは、ユーザがシングル サインオン トランザクション中にどのように認証するか指定できます。ユーザ セッションを持たないユーザを認証するメソッドを指定します。
このセクションには、以下の設定項目が表示されます。
- 認証モードユーザをローカルに認証するまたは認証をリモートのサードパーティ アクセス管理システムへ委任することでセッションを確立するかどうかを示します。デフォルト:[ローカル]オプション: 以下のオプションのいずれかを選択し、そのオプションに対する追加のフィールドを設定します。
- ローカル - フェデレーション システムがユーザ認証を処理しています。[認証モード]フィールドに対して[ローカル]を選択した場合は、[認証 URL]フィールドに URL を入力します。通常、この URL は redirect.jsp ファイルを指しますが、[安全な URL の使用]チェック ボックスをオンにした場合、この URL は secureredirect Web サービスを指す必要があります。認証 URL保護リソースがリクエストされた場合にユーザを認証してセッションを作成するためにフェデレーションで使用される保護 URL を指定します。認証モードがローカルに設定され、ユーザがアサーティング パーティでログインしていない場合、ユーザはこの URL に送られます。 この URL は、[安全な URL の使用]を選択しない場合は redirect.jsp ファイルを指している必要があります。例: http://myserver.idpA.com/affwebservices/redirectjsp/redirect.jsphttp://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyserverは、Web エージェント オプション パックまたはアサーティング パーティでインストールされたCA Access Gatewayのある Web サーバを特定します。redirectjsp アプリケーションは、これらの製品に含まれています。重要:アクセス制御ポリシーで認証 URL を保護します。ポリシーでは、認証方式、レルム、およびルールを設定します。アサーションにセッション ストア属性を追加するには、[認証セッション変数を保持]チェック ボックス(認証方式の設定)を有効にします。安全な URL を使用この設定は、SMPORTALURL クエリ パラメータのみを暗号化するようにシングル サインオン サービスに命じます。 暗号化された SMPORTALURL は、悪意のあるユーザが値を修正して認証ユーザを悪質な Web サイトへリダイレクトするのを防ぎます。 SMPORTALURL を認証 URL に付加してから、ブラウザがユーザをリダイレクトしてセッションを確立します。ユーザが認証された後、ブラウザはユーザを SMPORTALURL クエリ パラメータで指定される宛先にリダイレクトします。[安全な URL を使用]チェック ボックスをオンにした場合は、以下の手順に従います。1. 認証 URL フィールドを http(s)://idp_server:port/affwebservices/secure/secureredirect に設定します。2. ポリシーにより secureredirect Web サービスを保護します。アサーティング パーティが複数の依存パートナーに対応する場合、アサーティング パーティはこれらの異なるパートナー用に異なるユーザを認証する場合があります。そのため、secureredirect サービスを使用する各認証 URL に対して、この Web サービスを各パートナーの異なるレルムに含めます。別のレルムと secureredirect サービスを関連付けるには、web.xml ファイルを変更して別のリソース マッピングを作成します。サーバ上の別の場所には secureredirect Web サービスをコピーしないでください。web_agent_home/affwebservices/WEB-INF ディレクトリで web.xml ファイルを見つけます。web_agent_homeは、Web エージェントのインストール場所です。
- 委任 -- サードパーティ Web アクセス管理(WAM)システムがユーザ認証を処理しています。追加のフィールドに入力します。
- 認証情報セレクタ - 複数のアイデンティティ プロバイダが一覧表示される認証情報セレクタ ページがユーザに表示されます。アイデンティティ プロバイダは、ソーシャル メディア、WS-Federation、SAML、OAuth パートナーのいずれかになります。ユーザは適切なアイデンティティ プロバイダを選択し、そのプロバイダがユーザを認証します。 許容可能なアイデンティティ プロバイダのリストは、認証方式グループで定義されます。 これらのすべてのパートナーについて、ユーザはこれらの外部パートナーにすでに登録されている必要があります。[認証情報セレクタ]を選択する場合は、以下のフィールドに入力します。認証ベース URL- 認証情報処理サービスがインストールされるCA Access Gatewayサーバのホスト名を定義します。値は、https:sps_hostnameまたは http:sps_hostnameの形式で入力します。認証方式グループ- パートナーシップを呼び出す場合に、認証用にユーザに表示する必要があるアイデンティティ プロバイダの認証方式グループを指定します。
- 動的 - IdP は、必要な認証レベルでユーザを再認証します。さまざまな認証 URL を使用して、さまざまなレベルでユーザを認証し、アサーションのために必要な認証レベルを確立します。ユーザが再認証されると、IdP がアサーションを生成します。動的を選択する場合は、AuthnContext テンプレート パラメータを設定する必要があります。AuthnContext テンプレート ドロップダウン リストには、動的認証をサポートするために設定されているすべての AuthnContext テンプレートが一覧表示されます。動的認証の設定の詳細については、動的認証コンテキスト処理(SAML 2.0)を参照してください。
- casso126jjp委任認証タイプ([委任]モードのみ)サードパーティ認証がオープン形式の Cookie またはユーザ ログイン ID およびその他の情報を持つクエリ文字列で実行されるかどうかを指定します。このフィールドは[認証モード]に[委任]が選択される場合にのみ表示されます。オプション: クエリ文字列、オープン形式の Cookie
- クエリ文字列-クエリ文字列を使用するため、サードパーティはリダイレクト文字列を作成し、この文字列に LoginIDHash という名前のクエリ パラメータを追加します。LoginIDHash パラメータは、ユーザのログイン ID および共有秘密キーの組み合わせです。これらの 2 つの値は組み合わせられ、ハッシュ アルゴリズムによって処理されます。重要: 実稼働環境ではクエリ文字列方式を使用しないでください。クエリ文字列リダイレクト方式は、概念実証としてテスト環境でのみ使用します。注:クエリ文字列オプションは FIPS 準拠のパートナーシップを作成しません。
- オープン形式の Cookie - オープン形式の Cookie を使用するため、サードパーティ システムはCA SiteMinder® FederationJava または .NET SDK を使用して Cookie を作成できます。または、Cookie を手動で作成するために、プログラミング言語を使用します。サードパーティは、フェデレーション システムにブラウザをリダイレクトし、このシステムはユーザ ID を取得します。
- 委任認証 URL (委任モードのみ)ユーザ認証を処理するサードパーティ Web アクセス管理システムの URL を指定します。ユーザがローカル システムでリクエストを開始する場合、ユーザが認証用の Web アクセス管理システムにリダイレクトされます。認証が成功したら、ユーザはローカル システムにリダイレクトされます。ユーザが Web アクセス管理システムでリクエストを最初に開始する場合、この URL は該当しません。値:http://または https:// で開始する有効な URL
- casso126jjp委任認証ステータスの追跡委任認証が成功かどうかを追跡します。委任認証が失敗すると、この設定によりフェデレーション システムの動作が決定されます。デフォルトでは、このチェック ボックスはオンになっています。ユーザが認証情報を指定せずに、委任認証用に設定されている保護されたリソースにアクセスすると、委任認証は失敗します。そのユーザが同じブラウザ セッション中に再度リソースへのアクセスを試みると、ブラウザに 404 エラーが表示されます。また、フェデレーション システムは、エラー メッセージを affwebservices.log および FWSTrace.log ファイルへ書き込みます。このエラー メッセージは、委任認証用の認証情報が見つからないことを示します。フェデレーション システムは、認証情報を指定する委任認証 URL にユーザをリダイレクトすることはありません。同じブラウザ セッションで委任認証 URL にユーザをリダイレクトするには、このチェック ボックスをオフにします。追跡を無効化すると、ユーザは 404 エラーを受信せずに、同じブラウザ セッションでリソースへのアクセスを再試行することができます。フェデレーション システムは、ブラウザを委任認証 URL にリダイレクトします。ユーザに認証情報の再入力を促すメッセージが表示されます。
- 委任認証用のクエリ文字列パラメータ[委任認証タイプ]フィールドに、[クエリ文字列]を選択する場合はこれらの追加の設定に入力します。
- ハッシュ秘密キーLoginIDHash クエリ パラメータを作成するためにユーザ ログイン ID に追加される共有秘密キーを決定します。この設定は、委任認証タイプとしてクエリ文字列オプションを選択する場合のみ該当します。
- ハッシュ秘密キーの確認ハッシュ秘密キーを検証します。ハッシュ秘密キーの値を再度入力します。
- 委任認証に対するオープン形式の Cookie パラメータオープン形式の Cookie を選択する場合、ユーザは HTTP 302 リダイレクトによってサードパーティ アプリケーションにリダイレクトされます。リダイレクトにはオープン形式の Cookie が含まれますが、他のデータは含まれません。カスタマ アプリケーションでは、暗号化された Cookie を復号してユーザ情報を取得します。依存パーティは、複数の属性値を持つアサーションを受け取ると、すべての値をターゲット アプリケーションに渡します。委任認証に対してオープン形式の Cookie オプションを選択する場合、以下の追加フィールドが表示されます。オープン形式の Cookie 名Cookie の名前を指定します。暗号化変換オープン形式の Cookie の暗号化に使用する暗号化アルゴリズムを示します。FIPS 互換のアルゴリズム(AES アルゴリズム)のいずれかを選択する場合、ターゲット システムは Cookie の消費にCA SiteMinder® FederationSDK を使用することが要求されます。SDK はターゲット アプリケーションと同じサーバ上に配置されていることが必要です。Cookie の消費にCA SiteMinder® Federation.NET SDK を使用している場合は、AES128/CBC/PKCS5Padding 暗号化アルゴリズムを使用してください。暗号化パスワードCookie の暗号化に使用されるパスワードを示します。[暗号化パスワード]および[パスワードの確認入力]フィールドが必要です。パスワードの確認入力暗号化パスワード エントリを確認します。HMAC の有効化ソフトウェアが、このダイアログ ボックスで提供される暗号化パスワードを使用してハッシュ メッセージ認証コード(HMAC)を生成することを示しています。メッセージ認証コード(MAC)により、2 つのパーティ間で送信される情報の整合性を確認できます。2 つのパーティは、メッセージ認証値の計算および検証用の秘密キーを共有しています。ハッシュ メッセージ認証コード(HMAC)は暗号ハッシュ関数に基づく MAC のメカニズムです。[HMAC の有効化]チェック ボックスをオンにすると、そのオープン形式 Cookie に対して HMAC 値が生成されます。HMAC 値は、オープン形式の Cookie 値の先頭に追加され、文字列全体が暗号化されます。システムでは、暗号化された文字列をオープン形式の Cookie 内に配置します。この文字列がターゲット アプリケーションに渡されます。Cookie スキュー時間(秒)システム クロックの差がなくなるように、現在のシステム時刻から差し引く秒数を指定します。この差は、フェデレーション システムと委任認証を処理するサードパーティ アプリケーションとの間の差です。 ソフトウェアはオープン形式の Cookie の生成および消費に、スキュー時間を適用します。値:値は秒数で入力します。オープン形式の Cookie 値による認証クラスのオーバーライドこのチェック ボックスをオンにすると、設定された認証クラス URI が、リモート サードパーティ アクセス管理システムによって SP に送信され、アサーションに含まれる URI でオーバーライドされます。
- 認証クラスアサーションの AuthnContextClassRef 要素で提供される URI を指定します。これは、フェデレーション ユーザがどのように認証されるか説明しています。ユーザがローカルに認証する場合、[パスワード]に対してデフォルトの URI を受け入れます。ユーザがリモート サードパーティ アクセス管理システムによって認証される場合は、このフィールドを編集して認証方式を反映するようにします。デフォルト:urn:oasis:names:tc:SAML:2.0:ac:classes:Passwordローカル認証モード値:urn:oasis:names:tc:SAML:2.0:ac:classes:Password委任認証モード値には以下が当てはまります。SAML 指定で定義される、AuthnContextClassRef 要素に対する有効な URI。
- AuthnContext の設定アイデンティティ プロバイダがアサーション内に置く認証コンテキストを決定するために使用するメソッドを定義します。指定できるオプションは以下のとおりです。
- 事前定義済み認証クラスの使用アサーションでハードコードされた認証クラス URI を使用するようアイデンティティ プロバイダに指示します。この URI は[認証クラス]フィールドで指定された値です。このオプションを選択する場合、以下のフィールドを設定します。認証クラスアサーションの AuthnContextClassRef 要素で提供される URI を指定します。これは、フェデレーション ユーザがどのように認証されるか説明しています。パスワード用のデフォルト URI を受け入れます。デフォルト:urn:oasis:names:tc:SAML:2.0:ac:classes:Password
- 認証クラスの自動検出AuthnContext クラスを設定された認証コンテキスト テンプレートに基づくセッションに対する保護レベルにマップするようアイデンティティ プロバイダに指示します。 このオプションを選択する場合は、[認証コンテキスト テンプレート]フィールドを設定します。この設定では、指定されたユーザ セッションの関連する保護レベルに認証コンテキストをマップするためにアイデンティティ プロバイダが使用するテンプレートを指定します。 既存のテンプレートから選択する代わりにテンプレートを作成する場合は[テンプレートの作成]を選択します。
- IgnoreRequestedAuthnContextアイデンティティ プロバイダに、サービス プロバイダから受け取る認証リクエスト内の <RequestedAuthnContext> 要素を無視するように指示します。アイデンティティ プロバイダは、事前定義済み認証クラスまたは認証コンテキスト テンプレートを使用して、認証コンテキストを決定します。
- アイドル タイムアウト(時:分)許可されたユーザのセッションが非アクティブになってから、フェデレーション システムがそのセッションを終了するまでの時間を指定します。ユーザが保護されたリソースにアクセスした後にワークステーションを離れることが心配な場合は、アイドル タイムアウトを短い時間に設定します。セッションがタイムアウトになると、ユーザは、リソースに再度アクセスする前に再認証する必要があります。この設定は、デフォルトでは有効になっています。セッション アイドル タイムアウトを指定しない場合は、このチェック ボックスをオフにしてください。デフォルトのセッション アイドル タイムアウトは 1 時間です。デフォルト:1 時間
- 時間アイドル タイムアウト期間の時間数を指定します。
- 分アイドル タイムアウト期間の分数を指定します。
- 最大タイムアウト時間(時:分)フェデレーション システムがユーザに再認証を要求するまでの、ユーザ セッションがアクティブになる最大時間を指定します。この設定は、デフォルトでは有効になっています。最大セッション時間を指定しない場合は、このチェック ボックスをオフにしてください。デフォルト:2 時間
- 時間セッションの最大時間長の時間数を指定します。
- 分セッションの最大時間長の分数を指定します。
- ForceAuthn 用のセッションの更新現在のセッション開始時刻、最大およびアイドル タイムアウトでアサーションを更新するには、このチェック ボックスをオンにします。認証情報が SP によって要求され、認証リクエストに強制認証クエリ パラメータが含まれている場合は、このチェック ボックスが有効です。この設定はデフォルトではオフになっています。アサーションを生成する場合は、元のセッション開始時刻とタイムアウトが使用されます。
- 拡張されたセッション保証の有効化(ポリシー ドメイン モデルの)レルムまたは(アプリケーション モデルの)コンポーネントで指定されたリソースを保護するには、このチェック ボックスをオンにします。また、特定のフェデレーション パートナーシップの認証リクエストを保護できます。セッション保証エンドポイントはユーザから DeviceDNA™ を収集し、セッションを検証します。 この機能にはセッション保証エンドポイントが必要です。
SSO(SAML 2.0 IdP)
[SSO]セクションでは、シングル サインオン(SSO)を設定できます。このセクションには、以下の設定項目が表示されます。
- 認証リクエスト バインディングSP からの認証リクエストの受信時に IdP が許可するバインディングのタイプを指定します。オプション:HTTP-Redirect、HTTP-POST
- SSO バインディングリクエストの処理にどのシングル サインオン プロファイルを使用するかを決定します。すべてのバインディングを選択できます。バインディングの試行シーケンスはローカル エンティティによって決定されます。オプション:HTTP-Artifact、HTTP-POST、拡張されたクライアントとプロキシこの設定に対するガイドラインは以下のとおりです。
- Artifact バインディングを選択する場合、Artifact エンコーディング(URL または FORM)を選択します。エンコーディングは、Artifact がどのように依存パーティに戻るかを定義します。URL オプションを選択する場合、Artifact が URL 内のクエリ パラメータとして送り返されます。FORM を選択する場合、Artifact がフォーム データとしてポストされます。 Artifact バインディングに対しては、アサーションはセキュアなバックチャネルを介して送信されます。そのため、[バックチャネル]セクションを設定します。
- SSO バインディングを選択する場合、一致するバインディングを持つアサーション コンシューマ サービスを少なくとも 1 つ設定します。
- パートナーシップ内のエンティティが拡張クライアントを通して間接的に通信している場合は、ECP プロファイルを選択します。機能強化クライアントは、ブラウザまたは他のユーザ エージェント、すなわち、無線デバイス用の無線プロキシなどの拡張プロキシの場合があります。
- casso126jjpArtifact 保護タイプバックチャネルが HTTP Artifact シングル サインオンに対してどのように保護されるかを定義します。レガシー オプションは、CA Single Sign-onがバックチャネルを保護することを示しています。パートナーシップ オプションは、CA Single Sign-on内のフェデレーション コンポーネントがバック チャネルを保護することを示します。eTrust SiteMinder FSS設定をパートナーシップ フェデレーション モデル内に再作成する場合、バックチャネルを保護するためのオリジナルのメソッドを使用できます。レガシー オプションでは、設定でアサーション検索サービス(SAML 1.x)または Artifact 解決サービス(SAML 2.0)用に既存の URL を使用できます。オプションとしてレガシーを選択することによって、CA Single Sign-onはリクエストを受け入れます。URL を変更する必要はありません。Artifact サービス URL がレガシー設定から取得されるが、この設定に対してパートナーシップ オプションのみが選択されている場合、CA Single Sign-onはリクエストを拒否します。重要:レガシー オプションでは、Artifact サービスを保護するポリシーを必ず適用するようにしてください。このポリシーはフェデレーション Web サービスのコンポーネントです。CA Single Sign-onは、フェデレーション Web サービスに対するポリシーを自動的に作成しますが、これらのポリシーの保護を適用する必要があります。Artifact を取得するサービスに対してどのパートナーシップがアクセスを許可されているかを示す必要があります。オプション:レガシー、パートナーシップ
- Artifact エンコーディングHTTP-artifact シングル サインオンに対する依存パーティに送られた場合、Artifact がどのようにエンコードされるかを指定します。オプション:URL、フォーム[URL]を選択すると、Artifact が URL にエンコードされたクエリ文字列に追加されます。[フォーム]を選択すると、Artifact がフォーム内の非表示フォーム コントロールに追加されます。
- オーディエンスオーディエンスの URL を指定します。オーディエンス URL は、アサーティング パーティと依存パーティの間のビジネス許諾契約の条件について説明するドキュメントの場所を識別します。アサーティング パーティでの管理者がオーディエンスを決定します。この値は、依存パーティで指定されたオーディエンス値と一致する必要があります。値:URLオーディエンス値は 1024 以下である必要があり、大文字と小文字が区別されます。例: http://www.ca.com/fedserver
- Authnrequest での ACS URL の受信依存パーティからの受信認証リクエストで、アサーション コンシューマ サービス URL を受信および処理できるようにします。このチェック ボックスをオンにすると、システムはメタデータ内に有効な URL が存在していることを確認します。
- 許可されたトランザクションどのパートナーがシングル サインオンを開始できるかを示します。どのパートナーがシングル サインオンを開始するかを制御することによって、フェデレーション コールを管理できます。SP 開始のみの値に対して、SP はリソースへのアクセスを許可する前に特定の認証コンテキストがアサーションに返されることを要求する場合があります。
- SSO 有効期間(秒)生成されたアサーションが有効である秒数を指定します。シングル サインオンでは、[SSO 有効期間]および[スキュー時間]は、シングル サインオン リクエストが有効な合計時間の計算方法をポリシー サーバに指示します。 テスト環境で、有効期間の値をデフォルトの 60 より大きくすると、以下のメッセージがトレース ログに表示されます。Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237) -current time (Fri Sep 09 17:28:33 EDT 2005) is after SessionNotOnOrAftertime (Fri Sep 09 17:28:20 EDT 2005)値:正の整数を入力します。デフォルト:60
- 推奨される SP セッション期間SP のセッションがアクティブである期間を指定します。アサーションの <AuthnStatement> で、ポリシー サーバは数式 current_time + validity_duration + skew_time を使用して SessionNotOnOrAfter 属性を計算します。SP がセッション タイムアウトをこの値に設定しようと試みる場合、セッションは短すぎるものになります。この問題は、SSO 有効期間の値の使用または SessionNotOnOrAfter 値の操作により解決できます。オプション:
- アサーション有効期間の使用SSO 有効期間に基づく SessionNotOnOrAfter 値を計算します。
- アサーション セッション期間のカスタマイズ以下のいずれかのオプションを選択します。[省略]: アサーションに SessionNotOnOrAfter パラメータを含めないように IdP に命じます。[IDP セッション]: IdP セッション タイムアウトに基づく SessionNotOnOrAfter 値を計算します。タイムアウトは認証 URL 用の IdP レルムで設定されます。このオプションを使用すると、IdP および SP セッション タイムアウト値を同期することができます。[カスタム]: タイムアウトを、時間および分のカスタマイズした値に設定します。
- 否定認証レスポンスの有効化ユーザ認証リクエストが失敗した場合に、サービス プロバイダが通知を受信することを指定します。
- ユーザ許諾の有効化ユーザ プライバシーを拡張するために、ユーザ承諾がアサーティング パーティの共有識別情報を SP に持つことを要求できます。[ユーザ許諾の有効化]チェック ボックスをオンにすると、アサーティング パーティはユーザに承諾を促します。アサーティング パーティは、アサーションにその値を渡します。このチェック ボックスが選択されている場合、以下の 2 つのフィールドが表示されます。
- ユーザ許諾サービス URLアサーティング パーティでユーザ許諾サービス用の URL を指定します。デフォルトは http://idp_site:8999/affwebservices/public/saml2userconsent です
- ユーザ許諾 Post フォームユーザ許諾に対してカスタムの自動 POST HTML 形式を命名します。形式へのパスではなく形式の名前のみを入力します。ユーザは、アサーティング パーティが許諾を取得するためにユーザに提供する HTML 形式を設定できます。この形式はビジネス ニーズに適するようにカスタマイズできます。物理的なページがディレクトリ %NETE_WA_ROOT%\customization に存在する必要があります。ここで %NETE_WA_ROOT% は Web エージェント オプション パックの場所です。Web エージェントおよび Web エージェント オプション パックが同じシステム上にインストールされている場合、たとえば webagent\customization など同じディレクトリにインストールされます。
- 最小の認証レベルレルムへのアクセスを取得するためにユーザが認証される必要のある最低レベルを指定します。ユーザがこのレベル以上のレベルを認証している場合、アイデンティティ プロバイダはユーザのためのアサーションを生成します。ユーザがこのレベル以上のレベルで認証されない場合、このレベルで認証するための認証 URL にリダイレクトされます。
- カスタム Post フォームHTTP-POST シングル サインオンに対してカスタムの自動 POST HTML 形式を指定します。形式へのパスではなく形式の名前のみを入力します。ポリシー サーバは、defaultpostform.html という名前の形式を提供します。 カスタマイズされた自動 POST によって、ポリシー サーバはコンシューマに SAML 情報を送信できるようになります。物理的なページがディレクトリ %NETE_WA_ROOT%\customization に存在する必要があります。ここで %NETE_WA_ROOT% は Web エージェント オプション パックの場所です。Web エージェントおよび Web エージェント オプション パックが同じシステム上にインストールされている場合、たとえば webagent\customization など同じディレクトリにインストールされます。
- 検証期間このチェック ボックスを表示するには、ポリシー サーバ管理コンソールを使用して、セッション サーバを有効にします。エージェントがポリシー サーバをコールしてセッションを検証する最大間隔を指定します。セッション検証のコールでは、ユーザが引き続きアクティブであることをポリシー サーバに通知し、ユーザのセッションが引き続き有効であることを確認します。 検証期間を指定するには、[時間]、[分]、および[秒]の各フィールドに値を入力します。Windows ユーザ セキュリティ コンテキストを提供するようにシステムを設定する場合は、この値を大きな値(たとえば 15 ~ 30 分など)に設定します。重要:セッションの検証期間は、指定されたアイドル タイムアウト値よりも小さくする必要があります。
- OneTimeUseCondition を設定するアサーションをすぐに使用し、将来の使用に対して保持しないように SP に指示します。アサーションは一度だけの使用を目的としています。アサーション内の情報は変更されるまたは期限切れになる場合があり、SP は最新情報を含むアサーションを使用するため、OneTimeUseCondition は便利です。アサーションを再利用する代わりに、SP は IdP から新しいアサーションをリクエストする必要があります。
- アサーション コンシューマ URLこのセクションでは、アサーション コンシューマ サービス URL に対してインデックス値を割り当てることができます。インデックス番号を割り当てることで、異なるアサーション コンシューマ サービス エントリが異なるプロトコル バインディングに対して使用されることが可能になります。依存パーティには、アサーティング パーティに送信する AuthnRequest 内の適切な URL に対するインデックス番号が含まれます。このセクション内のテーブルには以下のフィールドが含まれます。
- インデックス依存パーティでアサーション コンシューマ サービスの URL に対するインデックス番号を指定します。デフォルト:0値:0 ~ 65535 の間の一意の整数
- バインディングアサーション コンシューマ サービスに対して使用しているシングル サインオン バインディングを指定します。未承認リクエストがアサーティング パーティでシングル サインオンを開始する場合があります。リクエストをトリガするリンクに ProtocolBinding クエリ パラメータが含まれる場合、クエリ パラメータで指定されたバインディングは、このフィールドの値を上書きします。デフォルト:HTTP-POSTオプション: HTTP-Artifact、HTTP-POST、PAOS
- URL依存パーティでアサーション コンシューマ サービスの URL を指定します。デフォルト(: http://CA Single Sign-onが SP の場合)sp_server:port/affwebservices/public/saml2assertionconsumer
- デフォルト値(オプション)選択された URL がデフォルト エントリとして機能することを示します。デフォルトとして使用するエントリの隣のチェック ボックスをオンにします。
SLO(SAML 2.0 IdP)
[SLO]セクションでは、シングル ログアウト(SLO)を設定できます。このセクションには、以下の設定項目が表示されます。
- SLO バインディングアサーティング パーティでシングル ログアウト プロファイルが有効化されているかどうか、およびどのバインディングが使用中であるかを指定します。HTTP-Redirect バインディングは HTTP GET リクエストを使用して SLO メッセージを送信します。SOAP バインディングでは、初期要求以降は HTTP に依存せず、バック チャネル上でメッセージが送信されます。オプション:HTTP-Redirect、HTTP-POST、SOAP。このオプションを選択すると、[属性および名前 ID サービスに関するユーザの検索]セクションが表示されます。 [カスタム]フィールドには、ユーザ ディレクトリ検索条件を指定します。入力した値によって、ユーザ ディレクトリでのユーザ レコードの検索方法がポリシー サーバに指示されます。 以下のように、ディレクトリ タイプに適切な検索文字列を入力します。LDAP:uid=%sODBC:name=%s
- SLO 確認 URLシングル ログアウト プロセスが完了した場合にユーザがリダイレクトされる URL を指定します。通常、確認 URL はシングル ログアウトを開始したサイトの場所を指しています。 SLO がユーザ サイトで開始された場合は、システムはこの URL を使用します。 URL リソースは、フェデレーション パートナー ドメインのリソースではなくユーザのサイトにアクセス可能なローカル リソースである必要があります。たとえば、ローカル ドメインが acme.com で、パートナーが example.com である場合、SLO 確認 URL は acme.com に存在する必要があります。値:有効な URL
- SLO 有効期間(秒)SLO 要求が有効な期間を秒数で指定します。デフォルト:60秒値: 正の整数
- リレー状態を使用して SLO 確認 URL をオーバーライドする(HTTP-Redirect のみ)[SLO 確認 URL]フィールドの URL を、シングル ログアウト リクエストに含まれるリレー状態クエリ パラメータの値で置き換えます。このチェック ボックスにより、シングル ログアウト確認ターゲットの制御性が向上します。リレー状態クエリ パラメータを使用して、SLO 要求に対する確認 URL を動的に定義できます。
- セッション インデックスの再利用CA Single Sign-onが単一のブラウザ セッション内の同じパートナーに対してアサーション内の同じセッション インデックスを送るかどうかを示します。ユーザは同じブラウザ ウィンドウを使用して、同じパートナーと複数回フェデレーションを実行することができます。このオプションを選択すると、各アサーション内で同じセッション インデックスを送信するように IdP に指示します。このオプションを無効にすると、CA Single Sign-onはシングル サインオンが発生するたびに新しいセッション インデックスを生成します。このオプションを有効にして、新しいアサーションに渡されるセッション インデックスを尊重しないサードパーティのパートナーのシングル ログアウトを確実にすることができます。注:この設定はシングル ログアウトが有効な場合のみ該当します。
- SLO サービス URL利用可能な SLO サービス URL を一覧表示します。テーブルには、以下のエントリが含まれています。
- Selectこの値が SLO サービス URL のエントリであることを示します。
- バインディングSLO 接続のバインディングを示します。オプション:[HTTP-Redirect]、[SOAP]
- ロケーション URLシングル ログアウト リクエストが送信されるリモート パートナーでシングル ログアウト サービスの URL を指定します。値:有効な URLフェデレーション システムがリモート SP にある場合は、以下の URL を使用します:HTTP-Redirect バインディング:http://sp_host:port/affwebservices/public/saml2sloHTTP-POST バインディング:http://sp_host:port/affwebservices/public/saml2sloSOAP バインディング:http://sp_host:port/affwebservices/public/saml2slosoapサードパーティ フェデレーション製品が SP にある場合、その製品に適切な URL を使用します。
- レスポンス ロケーション URL(オプション) エンティティに対するシングル ログアウト サービスの URL を指定します。レスポンス ロケーション URL は、シングル ログアウト要求に対して 1 つのサービス、およびシングル ログアウト レスポンスに対して 1 つのサービスが存在する設定で使用されます。デフォルトでは、ロケーション URL のみが提供されている場合、この URL が要求およびレスポンスに使用されます。値:有効な URL
名前 ID サービスの管理
このセクションでは、名前 ID サービスの管理の設定に関するフィールドについて説明します。
- MNI バインディング: SOAP名前 ID サービスの管理を有効にします。サポートされている唯一のバインディングが SOAP です。
- 名前 ID の暗号化名前 ID を暗号化します。
- 暗号化した名前 ID が必要受信されるメッセージ内の暗号化された名前 ID が必要です。
- リクエストに署名ManageNameID リクエスト メッセージに署名します。
- 署名されたリクエストが必要署名された ManageNameID リクエスト メッセージが必要です。
- レスポンスに署名ManageNameId レスポンス メッセージに署名します。
- 署名されたレスポンスが必要署名された ManageNameID レスポンス メッセージが必要です。
- 名前 ID の削除このパートナーシップに対してユーザの名前 ID を保持するユーザ ディレクトリ属性をクリアします。この機能が動作するためには、[名前 ID の削除]または通知の有効化を選択します。
- SOAP タイムアウト(秒単位)リクエストがタイムアウトになるまで待機する分数を指定します。デフォルト: 60
- 再試行回数リクエストを再試行する回数を指定します。デフォルト: 3
- 再試行境界(分)メッセージ失敗の際に再試行を試みるまでに待機する分数を指定します。デフォルト: 15
- (オプション)通知の有効化Single Sign-Onフェデレーション エンティティに、ユーザが終了した場合にカスタマ アプリケーションに通知するように指示します。名前 ID の終了が成功すると、バックグラウンドで名前 ID サービスに通知されます。 リクエストされたアプリケーションを所有しているカスタマがユーザ ディレクトリからのユーザの削除を制御する必要が場合は、通知を有効にします。
- 通知 URLローカル フェデレーション エンティティがフェデレーション ユーザの名前 ID が終了したという通知を送信するリモート IdP または SP の URL を指定します。
- 通知タイムアウト(秒)通知リクエストがタイムアウトになるまで待機する秒数を指定します。
- 通知認証タイプ終了を送信するときにカスタマが認証情報を要求するかどうかを指定します。[基本]を選択すると、通知サービスは通知 URL を介してバックグラウンドでコールアウトを行います。カスタマ アプリケーションは、Single Sign-Onフェデレーションでこのコールアウトが許可されていることを認証できます。[基本]を選択した場合、[通知ユーザ名]と[通知パスワード]の設定値を指定します。これらの値は、通知チャネルを通じてコールアウトが送信されるときに認証情報として機能します。オプション: 認証なし、基本
- 通知ユーザ名通知サービスのユーザ名を指定します。この名前は、カスタマ アプリケーションが通知 URL を介して通信するエンティティを検証するための認証情報の一部です。
- 通知パスワード通知サービスのパスワードを指定します。このパスワードは、カスタマ アプリケーションが通知 URL を介して通信するエンティティを検証するための認証情報の一部です。 カスタマ アプリケーションは、この認証を提供することで、有効なクライアントが通知を送信できるようにします。
- 通知パスワードの確認入力[通知パスワード]の値を確認します。
バック チャネル(SAML 2.0 IdP)
casso126jjp
[バック チャネル]セクションでは、バック チャネル全体にわたる認証方法を設定します。以下の基準に応じて、バック チャネルには別の目的があります。
- HTTP-Artifact シングル サインオンが設定されている。
- SOAP バインディングを使用するシングル ログアウトが設定されている。
- フェデレーション システムはアイデンティティ プロバイダまたはサービス プロバイダである。
- 通信は受信チャネルまたは送信チャネルを介する。
[バック チャネル]セクションには以下の設定が表示されます。
- 受信設定/送信設定必要に応じて、選択したバインディングを使用して受信または送信バック チャネルを設定します。バック チャネルの設定は 1 つのみ可能です。2 つのサービスが同じチャネルを使用する場合、これらの 2 つのサービスは同じバック チャネル設定を使用します。たとえば、ローカル IdP の受信チャネルは、HTTP-Artifact SSO と SLO over SOAP をサポートします。これらの 2 つのサービスは同じバック チャネル設定を使用する必要があります。
- 認証方法バック チャネルを保護する認証方法を指定します。デフォルト:認証なし(NoAuth)オプション:基本、クライアント証明書、認証なし基本基本認証方式が、バック チャネル全体の通信を保護していることを示します。注:SSL がバック チャネル接続で有効な場合でも、基本認証を選択することができます。基本認証を選択する場合は、以下の追加の設定を設定します。
- バック チャネル ユーザ名(基本認証 -- 送信チャネルのみ)。バック チャネル全体にわたって基本認証を使用する場合の SP のユーザ名を指定します。リモート IdP で設定するパートナーシップの名前を入力します。たとえば、リモート IdP で、Partners1 という名前のパートナーシップが CompanyA (IdP)と CompanyB (SP)の間で定義されるとします。CompanyB (ローカル SP)では、このユーザ名を IdP で関連付けられたパートナーシップと関連付けるために値 Partners1 を入力します。
- Passwordバック チャネル ユーザ名用のユーザ パスワードを指定します。このパスワードは、[基本]または[SSL を介した基本]をバック チャネルにわたって認証方法として使用する場合にのみ該当します。2 つのパートナーはこのパスワードに同意します。
- パスワードの確認入力パスワード入力を再確認します。
- バック チャネル タイムアウト(秒)(送信チャネルのみ)Artifact 解決サービスにバック チャネル要求を送信した後にシステムがレスポンスを待つ最大時間を指定します。間隔を秒単位で指定します。デフォルト:300 秒値:正の整数
- クライアント証明書バック チャネル全体にわたって X.509 クライアント証明書認証方式が Artifact 解決サービスへの通信を保護することを示します。クライアント証明書認証は、すべてのエンドポイント URL に対して SSL の使用を必要とします。エンドポイント URL は、Artifact 解決サービスなど、各種の SAML サービスをサーバ上で検索します。SSL 要件は、サービスへの URL がhttps://で開始する必要があることを示しています。クライアント証明書認証を実装するため、SP はトランザクションが発生する前にアサーティング パーティに証明書を送信します。アサーティング パーティはそのデータベースに証明書を格納します。パートナーはいずれも、対応するデータベースで SSL 接続を有効にした証明書を持つ必要があります。これ以外の場合は、クライアント証明書認証は機能しません。認証処理中に、依存パーティはアサーティング パーティにその証明書を送信します。アサーティング パーティは、受信した証明書をデータベース内の証明書と比較して、一致することを検証します。一致すると、アサーティング パーティは依存パーティに対して Artifact 解決サービスへのアクセスを許可します。クライアント証明書認証を選択する場合、以下の追加の設定を設定します。
- クライアント証明書エイリアスキー データベースでクライアント証明書と関連付けられるエイリアスを指定します。ドロップダウン リストからエイリアスを選択します。
- バック チャネル タイムアウト(秒)(送信チャネルのみ)。Artifact 解決サービスにバック チャネル要求を送信した後にCA Single Sign-onがレスポンスを待つ最大時間を指定します。間隔を秒単位で指定します。デフォルト:300 秒値:正の整数
- 認証なし依存パーティが認証情報を提供する必要がないことを示します。バック チャネルおよび Artifact 解決サービスは保護されません。このオプションでも SSL を有効にできます。バック チャネル トラフィックは暗号化されますが、認証情報は保証機関と依存パーティの間で交換されません。[認証なし]はテスト目的の場合に選択し、実稼働環境では選択しないでください。ただし、フェデレーション システムが SSL の有効なフェールオーバ用に設定されており、かつ、プロキシ サーバの後ろに配置される場合は除きます。プロキシ サーバはサーバ証明書がある場合に認証を処理します。この場合、すべての IdP->SP パートナーシップは認証タイプとして[認証なし]を使用します。
IdP の属性サービス
ID プロバイダを、属性権限として機能するように設定できます。権限は、SAML リクエスタからの属性クエリに応答することができます。リクエスタは、取得した属性に基づいたユーザを認証することができます。
[属性サービス]セクションには、属性クエリ サポート用に以下のフィールドが含まれます。
- 有効化ID プロバイダが属性権限として機能することを可能にします。システムは属性機関として SAML リクエスタからのクエリ メッセージに応答できます。
- 署名された属性クエリが必要属性認証局に SAML リクエスタからのデジタル署名された属性クエリが必要であることを示します。
- casso126jjpプロキシ化されたクエリの有効化サードパーティ IdP が属性クエリに応答するよう指定します。プロキシ化されたクエリ機能は、サードパーティが IdP および属性機関として機能する場合の展開に使用します。プロキシ化されたクエリを実装する場合、設定するローカル ポリシー サーバ システムには 2 つの役割があります。システムは、サードパーティ IdP 対しては SP および属性リクエスタとして機能します。また、ローカル システムは、リクエストされたアプリケーションを有する SP に対しては、PdP および属性機関として機能します。以下の条件が満たされると、プロキシ化されたクエリが発生します。
- 属性は、ローカル システムのユーザ ディレクトリまたはセッション ストア内には見つかりません。
- ユーザは、最初にサードパーティ IdP によって認証されます。
ポリシー サーバはサードパーティ IdP に問い合わせます。IdP が属性を検索した場合、クエリ レスポンスを返します。ポリシー サーバは、レスポンスから取得した属性をセッション ストアに追加します。次に、システムは、アプリケーションを所有する SP に属性を持ったレスポンスを返します。この SP は元の属性リクエスタです。注:IdP の属性サービス用の URL は、SP パートナーシップで設定されます。 - 有効期間(秒)アサーションが有効である秒数を指定します。
- 署名オプション属性アサーションおよびレスポンスの署名要件を指定します。
- アサーションに署名属性アサーションのみに署名するように属性認証局に指示します。SAML レスポンスは署名されません。
- レスポンスに署名SAML レスポンスのみに署名するように属性権限に指示します。
- 両方に署名属性アサーションおよび SAML レスポンスに署名するように 属性認証局に指示します。
- どちらにも署名しない属性アサーションおよび SAML レスポンスのどちらにも署名しないように属性認証局に指示します。
- ユーザの検索ユーザ ディレクトリ名スペース用の検索指定を定義します。属性権限は、ユーザをローカルに見つけるために検索指定を使用します。検索指定には、ユーザを検出するために属性クエリからの対象の NameID が含まれる必要があります。使用しているネームスペース タイプ用のフィールドに検索指定を入力します。注:少なくとも 1 つの検索条件が必要です。
IDP ディスカバリ(SAML 2.0 IdP)
[IDP ディスカバリ]セクションでは、[ID プロバイダ ディスカバリ]プロファイルを設定できます。このプロファイルは、プリンシパルがどのアサートするパーティーを使用しているかを依存するパーティーが判断することを可能にします。
このセクションには、以下の設定項目が表示されます。
- IDP ディスカバリの有効化[ID プロバイダ ディスカバリ]プロファイルを有効化または無効化します。
- サービス URLローカル エンティティで[ID プロバイダ ディスカバリ プロファイル]サーブレットの URL を指定します。
- 共通ドメイン[ID プロバイダ ディスカバリ サービス]がアサートするパーティーに関する情報を格納する、共通ドメイン Cookie のドメインを指定します。このドメインは[サービス URL]内のホストの親ドメインである必要があります。値:有効な Cookie ドメイン
- 永続 Cookie の有効化Cookie が永続的である必要があることを示します。
ステータス リダイレクト URL (SAML 2.0 IdP)
[ステータス リダイレクト URL]セクションでは、HTTP 500、400 および 405 エラーが発生するときにブラウザがユーザをリダイレクトする方法を決定できます。
有効にしたいリダイレクト オプションを選択し、関連 URL を入力します。
オプションを以下に示します。
- サーバ エラー リダイレクトの有効化サーバ エラー リダイレクト URL:HTTP 500 サーバ エラーが発生した場合にブラウザがユーザをリダイレクトする URL を指定します。予期しない条件によって Web サーバがクライアントのリクエストに応えることができない場合に 500 エラーが発生します。この種のエラーが発生する場合、ユーザはさらなる処理を実行する特定の URL に送られます。例:http://www.redirectmachine.com/error_pages/server_error.html
- 無効なリクエスト リダイレクトの有効化無効なリクエスト リダイレクト URL: HTTP 400 Bad Request または 405 Method Not Allowed エラーが発生した場合にブラウザがユーザをリダイレクトする URL を指定します。400 エラーは、リクエストが正しく形成されていないと発生する場合があります。Web サーバは特定のメソッドまたはアクションが実行されることを許可しないので、ユーザに対して 405 エラーが発生する場合があります。これらのタイプのエラーが発生する場合、ユーザはさらなる処理のために特定の URL に送られます。例: http://www.redirectmachine.com/error_pages/invalidreq_error.html
- 不正なアクセス リダイレクトの有効化不正なアクセス リダイレクト URL:HTTP 403 Forbidden エラーが発生する場合にユーザがリダイレクトされる URL を指定します。このエラーは、フェデレーション トランザクションでユーザが許可されていないために発生します。また、403 エラーは、リクエスト内の URL が、ファイルではなくディレクトリなど誤ったターゲットをポイントするときに発生する場合があります。例:http://www.redirectmachine.com/error_pages/unauthorized_error.htm
- 302 データなし(デフォルト)セッション Cookie で HTTP 302 リダイレクトを介してユーザをリダイレクトしますが、他のデータは使用しません。
- HTTP POSTHTTP-POST プロトコルを使用してユーザをリダイレクトします。