認証失敗に対する SAML 2.0 のレスポンス
目次
casso127jpjp
目次
2
このプロセスを使用して、認証失敗時のサービス プロバイダに対する非アサーション レスポンスを設定できます。SAML 2.0 認証リクエストが成功した場合、サービス プロバイダへのレスポンスは認証アサーションを伴います。認証リクエストが拒否された場合、以前はエンド ユーザにエラー メッセージが表示されるのみでした。サービス プロバイダは、失敗ステータスの通知を取得しませんでした。コントロールはサービス プロバイダに戻されるため、サービス プロバイダが、ユーザをリダイレクトすべきか、他の適切なアクションを実行すべきかを判断できます。
重要
: この機能が動作するには、ポリシー サーバ、Web エージェント、および Web エージェント オプション パックがすべて同じバージョンである必要があります。否定認証レスポンス属性によるレスポンスの定義
WebAgent-OnReject-eGovNegResponse 属性タイプを使用してレスポンスの定義を開始します。レスポンスを定義する場合は、ドメインが定義済であることを前提とします。
以下の手順に従います。
- [ポリシー]-[ドメイン]-[レスポンス]の順に移動します。
- [レスポンスを作成]をクリックします。
- 適切なドメインを選択するか、または新しいドメインを作成します。
- [Next]をクリックします。
- [一般]セクションに、このレスポンスの名前および説明(オプション)を入力します。
- 適切なエージェント タイプ(通常は Web エージェント)を選択します。
- [属性リスト]セクションの[レスポンス属性の作成]をクリックします。
- [属性タイプ]セクションのドロップダウン リストから WebAgent-OnReject-eGovNegResponse を選択します。
- [相対ターゲットを使用]を選択するか、[属性フィールド]セクションに Web サーバ名を入力します。
- (オプション)[SSL 接続を使用]を選択します。注: このセクションで選択した内容に基づいて、[詳細]セクションのペインにスクリプトが表示されます。詳細については、オンライン ヘルプを参照してください。
- [属性キャッシング]セクションで[キャッシュ値 値の再計算]を選択します。
- [OK]をクリックして、[レスポンスの作成: レスポンスの定義]ダイアログボックスに戻ります。
- [完了]をクリックします。
認証が失敗した場合に SP へのレスポンスを生成する適切な属性でレスポンスを定義しました。
基本認証方式またはフォーム認証方式を設定する
SP への認証失敗でレスポンスを生成するために、基本またはフォーム方式を設定できます。
以下の手順に従います。
- [インフラストラクチャ]-[認証]をクリックします。
- [認証方式]をクリックします。
- [認証方式の作成]をクリックします。[認証方式タイプの新しいオブジェクトの作成]が選択されていることを確認します。
- [OK]をクリックします。
- 名前と保護のレベルを入力します。
- [認証方式のタイプ]リストから[基本またはフォーム テンプレート]を選択します。
- [サブミット]をクリックします。認証方式が保存され、これでレルムに割り当て可能になります。
認証イベントアクション用のルールの設定
ユーザがリソースへのアクセスを試みたときに発生するアクションを制御するルールを設定できます。認証の失敗時の完全な SAML 2.0 応答については、OnAuthReject アクションを選択します。
レルムは認証イベントを処理できる必要があります。[認証イベントの処理]オプションが選択されていることを確認します。レルムの作成方法の詳細については、次のトピックを参照してください。
- 認証イベントを選択します。[アクション リスト]に認証イベントが投入されます。注: 認証イベントはレルム全体に適用されるため、[リソース]フィールドは無効になります。[アクセス許可]オプションおよび[アクセス拒否]オプションは認証イベントには適用されないため、これらのオプションも無効になります。
- OnAuthReject アクションを選択します。
- (オプション)[詳細]セクションで、時間制限および(または)アクティブなルール設定を設定します。
- [完了]をクリックします。ルールは保存され、指定されたレルムおよびリソースに適用されます。
OnAuthReject アクションを使用して適切なレスポンスにルールをマップする
OnAuthReject アクションを使用して作成したルールを、ポリシー内の eGovNegResponse 属性に関連付けます。
以下の手順に従います。
- [ポリシー]-[ドメイン]-[ポリシー]の順に移動します。
- ポリシーを選択します。
- ルールに移動する
- OnAuthReject アクションで作成したルールがルール リストに載っていることを確認します。
- 該当するルールの横の[レスポンスの追加]をクリックします。
- eGovNegResponse 属性タイプで指定したレスポンスを選択します。
- 保存して終了します。
ルールが適切なレスポンスに関連付けられました。
IdP から SP へのパートナーシップを設定して否定認証レスポンスをサポートする
IdP から SP へのパートナーシップ設定手順で、否定認証レスポンスを有効にします。[否定認証レスポンスの有効化]チェック ボックスを選択します。
詳細については、「シングル サインオンの設定」を参照してください。