サンプル ネットワーク用のサービス プロバイダのセットアップ

目次
casso127jpjp
目次
2
サービス プロバイダでレガシー フェデレーションを展開するためのタスクの詳細について、以下のセクションで説明します。各セクションのエントリは、ベーシック設定用に提供されているサンプルデータを反映したものです。
注:
これらの手順では、必要なコンポーネントがすでにインストールされているものと仮定しています。
SP ユーザ ストアのセットアップ
SP において、ユーザ ストアを設定し、アサーションを必要とするユーザに関するユーザ レコードを追加します。認証中にアサーションが提示されると、サービス プロバイダは、ユーザ ストアでユーザ レコードを検索します。
この展開の場合、Sun ONE LDAP ユーザ ディレクトリがユーザ ストアです。Sun ONE サーバ コンソールを使用して、ユーザをディレクトリに追加します。
ユーザ ストアを設定する方法
  1. 以下のユーザを追加します。
    • user1
    • user2
  2. user1 および user2 の属性に以下のように入力します。
    重要:
    電子メール アドレスは、同じユーザに対してアイデンティティ プロバイダ ユーザ ストア内で同じであることが必要です。
ポリシー サーバが SP LDAP ポリシー ストアを指すための設定
ポリシー サーバと LDAP ポリシー ストアの間の接続を確立します。
以下の手順に従います。
  1. ポリシー サーバ管理コンソールを開きます。
  2. [データ]タブを選択します。
    以下のフィールドに値を入力します。
    • データベース
      ポリシー ストア
    • ストレージ
      LDAP
    • LDAP IP アドレス
      sp.demo:389
    • ルート DN
      o=sp.demo
    • Admin Username
      cn=Directory Manager
    • Password
      連携
    • パスワードの確認入力
      連携
  3. [OK]をクリックします。
SP でのフェデレーション コンポーネントのトレース ロギングの有効化
SP ポリシー サーバで、フェデレーション コンポーネントをトレース ログ smtracedefault.log にログ記録するようにプロファイラを設定し、トレース メッセージを確認します。
ログ記録を有効にする方法
  1. ポリシー サーバ管理コンソールを開きます。
  2. [プロファイラ]タブをクリックし、トレース ログの内容をカスタマイズします。フェデレーション トレース メッセージを参照するには、ログに Fed_Server コンポーネントを含めます。
    ポリシー サーバでトレース ロギングを設定するには、ポリシー サーバ管理コンソールを使用します。
  3. SP Web エージェントをインストールします。
Web エージェント オプション パックによる Web サーバの設定
Web エージェント オプション パックにより、フェデレーション Web サービス(FWS)アプリケーションがインストールされました。サンプル展開用に FWS アプリケーションを設定します。
FWS が動作するには、以下の手順を行います。
フェデレーション Web サービス用の JDK のインストール
Web エージェント オプション パックは、フェデレーション Web サービス アプリケーションを起動する JDK を必要とします。必要な特定のバージョンについては、テクニカル サポート サイトに移動し、プラットフォーム サポート マトリックスで該当リリースを検索してください。
SP において FWS と連携するための ServletExec のインストールと設定
この展開で FWS が作動するには、ServletExec Sun を ONE 6.1 Web サーバにインストールする必要があります。
casso127jpjp
注:
Single Sign-On
12.52 には ServletExec_AS_6_license_key.txt という名前の ServletExec ライセンス キー ファイルが付属しています。このライセンス キーがない場合は、CA テクニカル サポートにお問い合わせください。このライセンス ファイルからライセンス キーをコピーし、ServletExec 管理コンソールの ServletExec ライセンスのダイアログ ボックスに入力します。ServletExec のライセンスの詳細については、Web サイトで ServletExec のドキュメントを参照してください。
ServletExec のサポートされているバージョン用の最新のホット フィックスを適用してください。ホット フィックスは、フェデレーション Web サービスが ServletExec と連携するために必要となります。ホット フィックスを取得するには、New Atlanta Communications の Web サイトに移動してください。
ServletExec をセットアップする方法
  1. ServletExec をインストールします。
    手順については、「New Atlanta Communications」のドキュメントを参照してください。
  2. ServletExec 管理コンソールを開きます。
  3. [Web アプリケーション]の下で、[管理]を選択します。
    [Web アプリケーションの管理]ダイアログ ボックスが表示されます。
  4. [Web アプリケーションの追加]をクリックします。
  5. 以下の情報を入力します。
    • アプリケーション名
      affwebservices
    • URL コンテキスト パス
      /affwebservices/
    • 場所
      C:\program files\ca\webagent\affwebservices
      ネットワーク内の affwebservices の場所は異なることがあります。適切な場所を入力してください。
  6. [サブミット]をクリックします。
  7. ServletExec コンソールを終了します。
FWS.properties ファイルの設定
AffWebServices.properties ファイルには、フェデレーション Web サービスの初期化パラメータがすべて含まれます。このファイルに WebAgent.conf ファイルの場所を指定します。
以下の手順に従います。
  1. Web エージェント オプション パックのある SP システムで、C:\Program Files\ca\webagent\affwebservices\WEB-INF\classes ディレクトリに移動します。
  2. AgentConfigLocation パラメータに WebAgent.conf ファイルの場所を設定します。このパラメータの値の設定は必須です。
    この展開の場合、サービス プロバイダで FWS アプリケーションをホストする Web サーバは、Sun ONE Web サーバです。したがって、WebAgent.conf ファイルのパスは次のようになります。
    C:\\Sun\\WebServer6.1\\https-sp.demo\\config\\WebAgent.conf
    注:
    フェデレーション Web サービスは Java コンポーネントです。したがって、Windows パスにはダブル バックスラッシュが含まれる必要があります。このエントリは 1 行に指定してください。
  3. ファイルを保存して閉じます。
フェデレーション Web サービスのテスト
フェデレーション Web サービス アプリケーションをセットアップした後、アプリケーションが正しく作動していることを確認します。
以下の手順に従います。
  1. Web ブラウザを開き、次の URL を入力します。
    http://
    fqhn
    :
    port_number
    /affwebservices/assertionretriever
     
    • fqhn
      完全修飾ホスト名を定義します。
    • port_number
      Web エージェントおよび Web エージェント オプション パックがインストールされているサーバのポート番号を定義します。
    この展開の場合、次のように入力します。
    http://www.sp.demo:81/affwebservices/assertionretriever
    フェデレーション Web サービスが正しく作動している場合、次のメッセージが表示されます。
    Assertion Retrieval Service has been successfully initialized. The requested servlet accepts only HTTP POST requests.
    このメッセージは、フェデレーション Web サービスがデータ アクティビティをリスニングしていることを示します。フェデレーション Web サービスが正しく作動していない場合、アサーション検索サービスが失敗したというメッセージを受け取ります。アサーション検索サービスが失敗する場合は、フェデレーション Web サービス ログを確認してください。
SP での Web エージェント オプション パック ロギングの有効化
SP において、Web エージェント オプション パックのあるシステムのロギングを有効にして、以下のログを表示できるようにします。
  • affwebserv.log
    エラー ロギング メッセージが含まれています。
  • FWSTrace.log
エラーおよびトレースのロギングを有効にする方法
  1. LoggerConfig.properties ファイルを開きます。このファイルは、
    web_agent_home
    /affwebservices/WEB-INF/classes ディレクトリにあります。
  2. LoggingOn パラメータを Y に設定します。
  3. LogFileName 設定のデフォルトの名前と場所(affwebserv.log ファイルを指しています)はそのままにしておきます。
  4. TracingOn を Y に設定します。
  5. TraceFileName 設定の名前と場所(FWSTrace.log ファイルを指しています)はそのままにしておきます。
以上で、ロギングが有効になりました。
SP ポリシー サーバのユーザ ストアの指定
SP ユーザ ディレクトリは、サービス プロバイダが認証に使用するユーザ レコードで構成されます。
管理 UI のユーザ ディレクトリを設定します。SP LDAP という名前のディレクトリは、user1 および user2 というユーザが含まれる Sun ONE LDAP ディレクトリです。
以下の手順に従います。
  1. 管理 UI にログインします。
  2. [インフラストラクチャ]-[ディレクトリ]-[ユーザ ディレクトリ]をクリックします。
  3. [ユーザ ディレクトリの作成]をクリックします。
  4. 以下のフィールドに値を入力します。
    • 名前
      SP LDAP
  5. [ディレクトリのセットアップ]セクションで、以下のフィールドに入力します。
    • ネームスペース
      LDAP
    • サーバ
      www.sp.demo:32941
  6. [LDAP 検索]セクションで、以下のフィールドに入力します。
    • ルート
      dc=sp,dc=demo
      その他の値はデフォルトのままにします。
  7. [LDAP ユーザ DN の検索]セクションで、以下のフィールドに入力します。
    • 先頭
      uid=
    • 終端
      ,ou=People,dc=sp,dc=demo
  8. [内容の表示]をクリックして、ディレクトリの内容を表示できることを確認します。
  9. [サブミット]をクリックします。
SP での SAML 2.0 認証方式の設定
サービス プロバイダでユーザを認証するには、SAML 2.0 認証方式を設定します。IdP のアサーションにより、認証用の認証情報が提供されます。
以下の手順に従います。
  1. 管理 UI にログインします。
  2. [インフラストラクチャ]-[認証]-[認証方式]をクリックします。
  3. 以下のフィールドに値を入力します。
    [各方式共通セットアップ]セクション
    • 名前
      Partner IDP.demo 認証方式
    • 認証方式タイプ
      SAML 2.0 テンプレート
    • 保護レベル
      5 (デフォルト)
  4. [SAML 2.0 設定]をクリックします。
    一般およびユーザの特定を指定するためのダイアログ ボックスが表示されます。
  5. [一般]セクションで以下の設定を指定します。
    • SP ID
      sp.demo
    • IdP ID
      idp.demo
    • SAML バージョン
      2.0 (デフォルト)
    • スキュー時間
      30 (デフォルト)
    注:
    SP ID および IdP ID の値は、IdP での値に一致する必要があります。
  6. [ユーザの特定]セクションで、以下の項目を設定します。
    • LDAP
      Username=%s
  7. [次へ]をクリックして、シングル サインオン設定に進みます。
SP でのシングル サインオンに関する HTTP-POST の設定
認証方式として、シングル サインオン バインドが使用されることを示し、アイデンティティ プロバイダとの通信方法をサービス プロバイダが認識できるようにします。
以下の手順に従います。
  1. [SSO]設定で、以下のフィールドに入力します。
    • リダイレクト モード
      302 Cookie データ(デフォルト)
      セッション Cookie で HTTP 302 リダイレクトを介してユーザをリダイレクトしますが、他のデータは使用しません。
    • SSO サービス
      http://www.idp.demo:80/affwebservices/public/saml2sso
    • オーディエンス
      sp.demo
      この値は、アイデンティティ プロバイダでの値に一致する必要があります。
    • ターゲット
      http://www.sp.demo:81/spsample/protected/target.jsp
      ターゲットが http で始まる場合は、リソースまでの完全パスを入力します。SAML 2.0 認証方式を使用する
      Single Sign-On
      ポリシーは、ターゲットを保護します。
  2. [バインディング]セクションで[HTTP-POST]を選択します。
  3. [単一使用ポリシーを強制する]チェック ボックスをオフにします。
    このオプションを無効にすることにより、サンプル ネットワークは SAML 2.0 準拠でなくなります。使い捨てポリシー機能の使用を有効にするには、サービス プロバイダでセッション ストアをセットアップします。
  4. [署名と暗号化]の手順に達するまで[次へ]をクリックします。
  5. [署名の処理を無効にする]を選択します。
    重要:
    署名の無効化は、初期的なシングル サインオン設定のデバッグ
    のみ
    を意図したものです。実稼働環境においては、署名処理は必須セキュリティ要件です。SP において、署名の検証を有効にし、署名を検証するように証明書データ ストアをセットアップします。
  6. 設定手順が終了するまで[次へ]をクリックします。
  7. [完了]をクリックします。
    ベーシック認証方式設定が完了しました。
  8. 管理 UI を開いたまま、「SAML 2.0 認証を使用したターゲット リソースの保護」(Protect the Target Resource Using SAML 2.0 Authentication)に進みます。
 
SP でのターゲット リソースの保護
SAML 2.0 認証方式を設定した後、サービス プロバイダにおいてターゲット リソースを保護するポリシーでこの方式を使用します。
以下の手順に従います。
  1. [インフラストラクチャ]-[エージェント]-[エージェント]と順に移動し、sp-webagent という名前の Web エージェントを作成します。このエージェントは、Web エージェント オプション パックがインストールされているサーバを保護します。
  2. [ポリシー]-[ドメイン]-[ドメイン]と順に移動します。
  3. 以下の値を持つポリシー ドメインを作成します。
    • 名前
      IdP.demo ビジター用のドメイン
    • [ユーザ ディレクトリ]セクション
      user1 と user2 を保持するユーザ ディレクトリを追加します。
  4. [レルム]ページに移動し、以下の値を持つ永続的なレルムを設定します。
    • 名前
      SP ターゲット ページ保護レルム
    • エージェント
      sp-webagent
    • リソース フィルタ
      /spsample/protected.jsp
      サービス プロバイダ Web サーバでターゲット リソースへのパスを定義します。
    • デフォルト リソース保護
      保護
    • 認証方式
      Partner IdP.demo 認証方式
  5. 以下の値を持つルールをレルムに追加します。
    • 名前
      SP ターゲット ページ保護ルール
    • Realm
      SP ターゲット ページ保護レルム
    • Resource
      *
    • アクション
      Web エージェント アクション
      Get
    他のすべてのフィールドはデフォルトのままにします。
  6. [ポリシー]ページに移動し、以下の値を持つポリシーを作成します。
    [一般]ページ
    • 名前
      SP ターゲット ページ保護ポリシー
    ユーザ pagexs
    SP LDAP ディレクトリの場合は、[メンバーの追加]をクリックします。user1 を追加し、このユーザにターゲットへのアクセス権を付与します。
  7. [ルール]ページ
    SP ターゲット ページ保護ルールを追加します。
  8. [サブミット]をクリックします。
    ターゲット リソースの保護ポリシーの作成が完了しました。
  9. 管理 UI を終了します。
  10. HTML ページを使用して、フェデレーションのセット アップをテストします。