ローカル SAML 2.0 SP からのメタデータのエクスポート
目次
casso126jjp
HID_export-local-relying-partnership
目次
[メタデータのエクスポート]ダイアログ ボックスでは、[フェデレーション パートナーシップ]リストまたは[フェデレーション エンティティ]リスト内のエントリを選択し、パートナーシップおよびローカル エンティティ データをメタデータ ファイルにエクスポートできます。このファイルをその後インポートして、他のサイトでパートナーシップを作成できます。
SAML にはパートナーシップの概念がないため、メタデータはエントリ レベルに基づいたものとなります。ただし、メタデータの使用の最終目的はパートナーシップを作成することです。
注:
メタデータ ファイルにはパートナーシップ レベルのデータも追加されていますが、メタデータはパートナーシップに必要なデータのサブセットのみを取得します。ダイアログ ボックスは、エクスポートされたメタデータ ファイルに含まれる以下の情報を表示します。
データをエクスポートする前にパートナーシップまたはエンティティを変更することにより、データを変更できます。
識別のメタデータ
casso126jjp
[識別]セクションは、エクスポート元のパートナーシップを指定します。
エンティティからメタデータをエクスポートする場合、
CA Single Sign-on
はエクスポートするデフォルト パートナーシップを自動的に作成します。デフォルトのパートナーシップは以下の理由で生成されます。- メタデータ エレメントの中には、エンティティ テンプレートの一部でなく、パートナーシップにのみ存在するものもあります。
- エクスポートの後、エクスポートされたメタデータに一致するパートナーシップがあります。これは後でパートナーシップ設定を完了するために使用することができます。
注:
パートナーシップをエクスポートし、パートナーシップのローカル エンティティがアサーティング パーティである場合、[メタデータのエクスポート]ダイアログが表示されます。ただし、[パートナーシップ名]および[説明]フィールドはすでにパートナーシップに対して定義されているため、読み取り専用です。このセクションには以下の設定項目が含まれます。
- パートナーシップ名新しいパートナーシップを一意の名前で識別します。パートナーシップ名はメタデータをエクスポートする場合に必要です。パートナーシップ レベル データは完全なメタデータ ファイルを作成するのに必要です。パートナーシップはCA Single Sign-onに固有の概念であるため、メタデータはエントリ レベルに基づいたものとなります。ただし、メタデータの使用の最終目的はパートナーシップを作成することです。注:メタデータ ファイルにはパートナーシップ レベルのデータも追加されていますが、メタデータは必要なパートナーシップ データのサブセットのみを取得します。値:英数字文字列 ハイフン、アンダースコアおよびピリオドを使用することもできます。
- Descriptionパートナーシップを説明します。値: 英数字文字列
- ローカル エンティティ名メタデータがエクスポートされる既存のエンティティの名前を表示します。この値は、エクスポートに選択されるエンティティから取得される読み取り専用テキストです。
アサーション コンシューマ サービス URL のメタデータ
[アサーション コンシューマ サービス URL]ダイアログ ボックスでは、SP でのアサーションを消費するサービスを設定します。
設定には以下のものがあります。
- 場所SP のアサーション コンシューマ サービスの URL を示します。デフォルト:http://sp_host:port/affwebservices/public/saml2assertionconsumer値: フェデレーション サービスがこの URL を算出します。値は変更できません。
- 有効なバインドこのエンティティのシングル サインオンに使用される SAML バインディングを指定します。利用可能なバインドの 1 つを選択します。オプション:HTTP-Artifact、HTTP-POSTアサーティング パーティは、未承認の要求でシングル サインオンを開始できます。このフィールドで選択した値は、ProtocolBinding クエリ パラメータを含む要求でオーバーライドされます。
SLO サービス URL のメタデータ
[SLO サービス URL]セクションには、SP のサービスの場所が表示されます。設定には以下のものがあります。
- HTTP-Redirect の場所依存側でシングル ログアウト サービスの URL を指定します。デフォルトの URL は以下のとおりです。http://sp_server:port/affwebservices/public/saml2slo値: SP がこの URL を計算します。値は変更できません。
- SOAP の場所アサーティング パーティのシングル ログアウト サービスの URL を示します。デフォルト:http://idp_server:port/affwebservices/public/saml2slosoapidp_server:portアサーティング パーティで連係をホストしているサーバとポート番号を指定します。
- SLO-Redirect 有効化-redirect がこのエンティティのシングル ログアウト バインドかどうかを指定します。オプション:[はい]、[いいえ]
- SLO-SOAP 有効化SOAP がこのエンティティのシングル ログアウト バインドかどうかを指定します。オプション:[はい]、[いいえ]
署名および暗号化オプションのメタデータ
[署名および暗号化オプション]セクションでは、署名および暗号化動作を定義します。設定には以下のものがあります。
- 検証と署名エイリアス(オプション)証明書データ ストアに含まれ、署名および検証に使用される特定の秘密キー/証明書ペアに関連付けられたエイリアスを指定します。メタデータ ファイルの生成時に、このペアの証明書のみがメタデータ ファイルに含まれます。リモートサイトで依存エンティティを作成するためにこのメタデータ ファイルがインポートされる際、証明書は証明書データ ストアにインポートされます。アサーティング パーティでは、この証明書を使用して、認証要求およびローカル依存エンティティからのシングル ログアウト レスポンスの署名に使用される署名を検証します。値:英数字文字列
- 暗号化と復号のエイリアス(オプション)暗号化や復号に使用されるローカル エンティティ認証データ保存証明書データ ストア内の特定の秘密キー/証明書に関連付けられたエイリアスを指定します。メタデータ ファイルの生成時に、このペアの証明書のみがメタデータ ファイルに含まれます。リモートサイトで依存エンティティを作成するためにメタデータ ファイルが新しいインポートされた後、証明書は証明書データ ストアにインポートされます。リモート依存側では、この証明書を使用してデータを暗号化します。値:英数字文字列
- 認証要求の署名ローカル パーティが認証要求メッセージを署名する必要があることをメタデータ ファイルで指定します。
メタデータ エクスポート オプション
[メタデータ エクスポート オプション]は、メタデータ ファイルの特性を指定します。設定には以下のものがあります。
- ドキュメント署名エイリアスリモート パートナーへの安全な通信に対するメタデータ ドキュメントを署名するキー用のエイリアスを識別します。リストからエイリアスを選択します。値:プルダウン リストから選択したエイリアス。
- ドキュメント署名アルゴリズムメタデータ ドキュメントを署名するためにシステムが使用するアルゴリズムを指定します。デフォルト:RSAwithSHA1オプション:[RSAwithSHA1]、[RSAwithSHA256]
- 有効日数メタデータ ドキュメントが有効な日数を示します。デフォルト:0値:0 から 9999 までの整数
- cacheDurationメタデータを消費するエンティティのローカル サーバ上でメタデータをキャッシュできる時間の長さ。この時間が経過した場合、エンティティはメタデータを再ロードする必要があります。