名前 ID 管理設定(SAML 2.0)
SAML 2.0 名前 ID 管理プロファイルを使用すると、フェデレーション パートナーシップから個別のユーザのプロビジョニングを解除できます。さまざまな理由によりパートナーシップからユーザを削除できます。たとえば、従業員が会社を辞めた場合や、サービス プロバイダで SSO 機能が必要なくなった場合などです。名前 ID サービスは、クライアント アプリケーション プログラムを通じてプロビジョニング解除リクエストを送信できます。
casso127jpjp
SAML 2.0 名前 ID 管理プロファイルを使用すると、フェデレーション パートナーシップから個別のユーザのプロビジョニングを解除できます。さまざまな理由によりパートナーシップからユーザを削除できます。たとえば、従業員が会社を辞めた場合や、サービス プロバイダで SSO 機能が必要なくなった場合などです。名前 ID サービスは、クライアント アプリケーション プログラムを通じてプロビジョニング解除リクエストを送信できます。
名前 ID 管理を設定するプロセスは以下のとおりです。
2
Name Identifier Management Administration Web サービス URL を保護する
カスタマ アプリケーションは、Name Identifier Management Administration Web サービスを使用して、ユーザのプロビジョン解除をパートナーシップにリクエストします。この Web サービスは REST インターフェースを実装します。
このサービスの URL は /affwebservices/saml2nidws です。この URL は基本認証情報を使用して保護します。ドメインに関連付けられたユーザ ディレクトリに、このサービスの任意のユーザを含めます。ポリシー管理者はデフォルトでは含まれていません。それらは、関連するディレクトリに手動で追加できます。
名前 ID 管理に対するリモート エンティティの設定
名前 ID 管理をサポートするパートナーシップを作成する最初の手順は、リモートおよびローカルのパートナーまたはエンティティを定義することです。エンティティを手動で設定することも、XML メタデータをインポートすることできます。以下の手順はマニュアル設定向けです。
以下の手順に従います。
- 管理 UI で、[フェデレーション]、[パートナーシップ フェデレーション]、[エンティティ]に移動します。
- [エンティティの作成]をクリックします。
- [リモート](実装に応じて、IdP または SP のいずれか)を選択します。
- エンティティに関する詳細を設定するために[次へ]をクリックします。
- [エンティティ ID]および[エンティティ名](必須)の値を入力します。
- [名前 ID サービス URL の管理]の行にある[行の追加]をクリックします。
- SOAP バインディングを選択します。リモート エンティティは別のバインディングを指定できます。これはインポートされますが、未使用です。
- ロケーション URL を入力します。これによって、名前 ID 管理サービスの URL が指定されます。この値を以下に示します。http://sp_server:port/affwebservices/public/saml2nidsoap
- [レスポンス ロケーション URL]フィールドは空白のままにします。SOAP バインディングのレスポンス ロケーション URL はロケーション URL と同じです。
- サポートされている名前 ID 形式をこのリストから選択します。
- 実装に必要なフィールドがほかにあれば、入力します。
- [次へ]をクリックして、エンティティ設定を確認します。
- [完了]をクリックします。
ローカル エンティティの作成
名前 ID 管理をサポートするパートナーシップを作成する最初の手順は、リモートおよびローカルのパートナーまたはエンティティを定義することです。エンティティを手動で設定することも、XML メタデータをインポートすることできます。パートナーシップでのエンティティの作成に慣れていない場合は、「フェデレーション エンティティ設定」を参照してください。
重要
: ユーザ プロビジョニング解除またはリンク解除に対して名前 ID 形式を選択できます。動的アカウント リンクは永続的な ID 形式のみをサポートします。アカウント リンクとリンク解除を実装している場合は、永続的識別子名前 ID 形式を選択します。パートナーシップの名前 ID 管理の有効化
名前 ID 管理機能を有効にするには、新しいパートナーシップまたは既存のパートナーシップについて何らかの設定が必要です。ローカル エンティティまたはリモート エンティティのいずれでも、ユーザのプロビジョニングを解除するリクエストをパートナーシップに出すことができます。
以下の手順に従います。
- [SSO と SLO]ダイアログ ボックスに移動します。
- [認証]および[SSO]セクションがまだ設定されていない場合は、その設定を行います。
- [マネージャ名 ID]セクションに移動します。
- [MNI]フィールドで[SOAP]を選択します。この選択により、パートナーシップにおける名前 ID 管理が有効になります。これらのオプションの説明については、オンライン ヘルプを参照してください。
- (必須)SOAP タイムアウト値を指定します。この値は、リモート プロバイダへのリクエストがタイムアウトするまで、ランタイムが待機する秒数です。デフォルトは 60 秒です。
- (必須)再試行回数を指定します。これは、失敗を宣言する前に、バックグラウンド リクエストが試行される回数です。デフォルト値は 3 です。
- (必須)再試行境界を指定します。これは、再試行間隔の時間(分)です。デフォルトは 15 分です。
- (オプション)名前 ID の終了が成功したかどうかの HTTP 通知をカスタマ アプリケーションに送信するには、[通知の有効化]オプションを選択します。表示される追加のフィールドに入力します。
- 通知 URL。この URL は HTTP 通知を送信する場所を示します。通知には、プロビジョニング解除リクエストの完了後のプロビジョニング解除リクエストのステータスが含まれます。
- ステータス 1 - プロビジョニング解除成功
- ステータス 0 - プロビジョニング解除失敗
- 通知タイムアウト(秒)。リクエストがタイムアウトと見なされるまでに待機する秒数です。
- 通知認証タイプ([認証なし]または[基本])。[基本]を選択した場合、[通知ユーザ名]、[通知パスワード]、および[通知パスワードの確認入力]フィールドに入力します。
これらの手順は、マネージャ名 ID 設定を完了します。
パートナーシップのアクティブ化
詳細については、「パートナーシップ アクティブ化」を参照してください。
名前 ID 管理リクエストの有効化
非同期リクエスト プロセッサという名前の Web エージェント オプション パック内部コンポーネントは、名前 ID 管理サービスへのリクエストをすべて処理します。一度に 1 つの Web エージェント オプション パックだけがでこのサービスを実行できます。管理 UI での設定に加えて、以下の場所で AffWebServices.properties ファイルで設定を指定することにより、名前 ID 管理の処理を有効にします。
- SPS:secure_proxy_home/Tomcat/webapps/affwebservices/WEB-INF/classes
- WA/WAOP:web_agent_home/affwebservices/WEB-INF/classes
AffWebServices.properties ファイルには、名前 ID 管理に関連する以下の設定が含まれます。
- ProcessBackgroundNameIDOperationsこのシステムで名前 ID 操作を処理するかどうかを指定します。デフォルト: False重要:Web エージェントのオプション パックまたはCA Access Gatewayで名前 ID 管理を有効にするには、この値を True に設定します。
- BackgroundProcessingInterval非同期プロセッサが名前 ID リクエストを検索する時間間隔を秒数で指定します。この値は変更できます。デフォルトは 60 秒です。
オプション パックまたは
CA Access Gateway
をアップグレードする場合、インストーラはこれらの設定とそのデフォルト値を新しいプロパティ ファイルに追加します。Name Identifier Web サービスと対話するクライアント アプリケーションの作成
クライアント アプリケーションのコンテンツは実装によって異なります。ユーザの削除をリクエストするには、Name Identifier Management Administration Web サービスを使用します。Web サービスは以下の 2 つの HTTP メソッドを実現します。
- POST -- プロビジョニング解除リクエストを開始する。
- GET -- リクエストのステータスをポーリングする。
これらのメソッドは OData プロトコルに準拠しています。これらのメソッドに関する詳細については後のセクションで説明されています。
フェデレーション メンバシップの終了
管理者は、以下の URL を使用することにより、ユーザのフェデレーション メンバシップを終了できます。
POST http://server:port/affwebservices/saml2nidws/terminate
この非同期リクエストによって、XPS に ManageNameID イベントが作成されます。
POST 本体には、以下の値が含まれています。
- UserDNSMSession がないので、ユーザを明確にします。LDAP の DN はたとえば、uid=user0001,ou=Engineering,o=security.com となります。
- OperationType特定のユース ケースを示します。有効値は以下のとおりです。
- sp - 特定のサービス プロバイダとのフェデレーションを終了する idp を示します。
- idp - 特定のアイデンティティ プロバイダとのフェデレーションを終了するサービス プロバイダを示します。
- ProviderIDオペレーションの一部であるプロバイダを特定します。SP 値および IdP 値の場合、ProviderID はリモート プロバイダを識別します。OperationType が 'sp' である場合、ProviderID はリモート サービス プロバイダ オブジェクトを表します。OperationType が 'idp' である場合、ProviderID はリモート アイデンティティ プロバイダ オブジェクトを表します。
リクエストの POST 本文内の情報は JSON または AtomPub 形式です。以下の例は JSON 形式です。
{ "UserDN":"uid=user0001,ou=Engineering,o=security.com", "OperationType":"sp", "ProviderID":"http://company.example.com/SPID" }
このリクエストは、この永続化オブジェクトを表すリソースを返します。たとえば、次のとおりです。
http://server:port/affwebservices/saml2nidws/terminate(XID)
XID
は作成されたオブジェクトの XPS XID です。クライアントは、このオブジェクトの変更をポーリングするためにこの URL を使用できます。リクエストは、以下のような完全な AtomPub 形式にすることもできます。
<?xml version="1.0" encoding="utf-8"?><entry xmlns="http://www.w3.org/2005/Atom" xmlns:d="http://schemas.microsoft.com/ado/2007/08/dataservices"xmlns:m="http://schemas.microsoft.com/ado/2007/08/dataservices/metadata"><title type="text"></title><author><name></name></author><category term="NameidProducer.terminate" scheme="http://schemas.microsoft.com/ado/2007/08/dataservices/scheme"></category><content type="application/xml"><m:properties><d:UserDN>uid=user0001,ou=Engineering,o=security.com</d:UserDN><d:ProviderID>http://company.example.com/SPID</d:ProviderID><d:OperationType>SP</d:OperationType></m:properties></content></entry>
POST サービスは以下の HTTP リターン コードを設定します。
HTTP ステータス
| 説明
|
201 | リソースが作成されました |
400 | リクエストが正しくありません |
415 | メディア タイプがサポートされていません |
500 | 内部サーバ エラー |
ステータスのポーリング
管理者は、このサービスを使用することで、次の URL を使用して非同期リクエストのステータスをリクエストできます。
GET http://server:port/affwebservices/saml2nidws/terminate(<XID>)
この URL はリソース ステータスをポーリングします。レスポンスはリクエストのステータスを返します(PENDING、COMPLETED または FAILED のいずれか)。
重要:
このリクエストを実行する前に、エージェント設定オブジェクトの CssChecking
パラメータが NO に設定されていることを確認してください。この設定により、OData とクロス サイト スクリプティング攻撃の間の構文の潜在的な競合が回避されます。GET サービスは以下の HTTP リターン コードを設定します。
HTTP ステータス
| 説明
|
200 | OK |
400 | リクエストが正しくありません |
403 | 禁止されています(Web エージェントに対して CSS チェックがオンの場合) |
415 | メディア タイプがサポートされていません |
500 | 内部サーバ エラー |