依存パーティコンポーネントのセットアップ

目次
casso127jpjp
目次
2
Graphic showing the steps for setting up a Policy Server and Web Agent at the assertiion party
依存パーティでポリシー サーバと Web エージェントをセットアップするための手順の多くは、アサーティング パーティでのセットアップ手順に類似していますが、以下の点に違いがあります。
  • コンシューマ、サービス プロバイダ、リソース パートナーの設定は行いません
  • ポリシー サーバで SAML または WS フェデレーション認証方式を設定します
次の図は、SAML 1.x コンシューマ、SAML 2.0 サービス プロバイダ、WS フェデレーション リソース パートナーでの必要なタスクを示しています。
注:
この手順では、ターゲット リソースが依存パーティ Web サイトに存在すると仮定しています。
依存パーティ ポリシー サーバのインストール
依存パーティ サイトでポリシー サーバをインストールします。ポリシー サーバは、フェデレーション認証方法やアサーション ジェネレータなどの機能を提供します。
依存パーティで以下の手順を実行します。
  1. ポリシー サーバをインストールします。
  2. ポリシー ストアをセットアップします。
    重要:
    新しいポリシー ストアを初期化すると、ポリシー サーバ インストーラが自動的にアフィリエイト オブジェクトを ampolicy.smdif ファイルにインポートします。これらのオブジェクトは、連携に必要となります。既存のポリシー ストアを使用する場合は、アフィリエイト オブジェクトを手動でインポートします。インポートが成功したことを確認するには、管理 UI にログインし、[ポリシー]-[ドメイン]-[ドメイン]の順に移動します。インポートが成功している場合は、FederationWebServices ドメイン オブジェクトがリストに表示されています。
  3. ユーザ ストアをセットアップし、ターゲット リソースへのアクセスが許可されたユーザを追加します。
SAML 認証方式または WS フェデレーション認証方式の設定
依存パーティのポリシー サーバで、各アサーティング パーティの認証方式(Artifact、POST プロファイル、SAML 2.0、WS フェデレーション)を設定します。
重要:
認証方式に対して指定するパートナーの名前は、アサーティング パーティで指定する依存パーティの名前に一致する必要があります。
具体的な内容は次のとおりです。
  • SAML 1.x 認証方式の場合、方式設定の[アフィリエイト名]フィールドは、プロデューサ サイトにおけるアフィリエイト オブジェクトの[アフィリエイト名]に一致する必要があります。
  • SAML 2.0 の場合、相当するフィールドは[SP ID]です。このフィールドは、アイデンティティ プロバイダの[SP ID]に一致する必要があります。
  • WS フェデレーションの場合、方式設定の[リソース パートナー ID]はアカウント パートナーの[リソース パートナー ID]に一致する必要があります。
依存パーティでのターゲット リソースの保護
SAML 認証方式または WS フェデレーション認証方式を作成した後、それらの方式を一意のレルムまたは単一のカスタム レルムに割り当てます。レルムは、ユーザ アクセスに対してアサーションを要求とする依存パーティ ターゲット リソースのコレクションです。依存パーティは、以下のいずれかの方法でターゲット リソースを識別します。
  • サイト間転送 URL 内の TARGET 変数(SAML 1.x)。
  • 認証リクエストURL (SAML 2.0 および WS フェデレーション)。
  • 認証方式設定(SAML 2.0 および WS フェデレーション)。
作成したレルムに SAML 認証方式または WS フェデレーション認証方式を割り当てた後、レルムのルールを作成し、リソースを保護するポリシーにそのルールを追加します。
Web エージェントまたは
CA Access Gateway
のインストール(依存パーティ)
Web エージェントは、
Single Sign-On
レガシー フェデレーション ネットワークにおける必須コンポーネントです。Web エージェントを Web サーバにインストールすることも、
CA Access Gateway
(Web エージェントが組み込まれています)をインストールすることもできます。
依存パーティで、以下のコンポーネントをセットアップします。
  1. 以下のコンポーネントのいずれかをインストールします。
    • Web エージェントが保護するレルムの設定
    • CA Access Gateway
  2. Web エージェントまたは
    CA Access Gateway
    を設定します。
Web エージェント オプション パック(依存パーティ)用の Web サーバまたはアプリケーション サーバのインストール
レガシー フェデレーションを実装するために Web エージェントおよび Web エージェント オプション パックを使用する(
CA Access Gateway
は使用しない)場合は、Web エージェント オプション パックをインストールします。このコンポーネントは、Web サーバまたはアプリケーション サーバにインストールしてください。
依存パーティで以下の作業を実行します。
  1. フェデレーション Web サービス(Web エージェント オプション パックと共にインストールされるアプリケーション)を実行するサーバとして以下のいずれかをインストールします。
    • ServletExec を実行する Web サーバ
    • WebLogic アプリケーション サーバ
    • WebSphere アプリケーション サーバ
    • JBOSS アプリケーション サーバ
    • Tomcat アプリケーション サーバ
  2. フェデレーション Web サービスをこれらのシステムに展開します。
依存パーティでの Web エージェント オプション パックのインストール
Web エージェント オプション パックは、レガシー フェデレーションの必須コンポーネントであるフェデレーション Web サービス アプリケーションを提供します。
依存パーティで以下の作業を実行します。
  1. Web エージェント オプション パックをインストールします。
  2. JDK がインストールされことを確認します。Web エージェント オプション パックではこの JDK が必要となります。
    必要な JDK のバージョンを調べるには、テクニカル サポート サイトに移動し、
    Single Sign-On
    プラットフォーム マトリックスを検索してください。
注:
Web エージェントおよび Web エージェント オプション パックを
CA Access Gateway
に置き換えて、フェデレーション Web サービス アプリケーション機能を提供できます。
 
依存パーティでのフェデレーション Web サービスの設定
以下の手順を使用して、フェデレーション Web サービス アプリケーションをセットアップできます。フェデレーション Web サービス アプリケーションは、Web エージェント オプション パックまたは
CA Access Gateway
が存在するサーバにインストールされています。
依存パーティでフェデレーション Web サービスを設定する方法
  1. サポートされるアプリケーション サーバのいずれかで Web エージェント オプション パックを使用するように設定します。Web エージェント オプション パックの展開手順を参照してください。
    CA Access Gateway
    を使用する場合は、フェデレーション Web サービス アプリケーションはすでに展開されています。
  2. AffWebServices.properties ファイル内の AgentConfigLocation パラメータに WebAgent.conf ファイルへの完全パスに設定します。構文が正しく、パスがファイル内で 1 行に表示されていることを確認します。
    AffWebServices.properties ファイルには、フェデレーション Web サービスの初期化パラメータが含まれます。このファイルは、以下のディレクトリのいずれかに配置されています。
    • web_agent_home
      /affwebservices/WEB-INF/classes
    • sps_home
      /secure-proxy/Tomcat/webapps/affwebservices/WEB-INF/classes
    • web_agent_home
      Web エージェントのインストール場所を表します。
    • sps_home
      CA Access Gateway
      のインストール場所を表します。
  3. フェデレーション Web サービス アプリケーションに関するエラーおよびトレースのロギングを有効にします。ロギングは、LoggerConfig.properties ファイルで有効化されます。ログを使用して、アサーティング パーティと依存パーティの間の通信を確認できます。
    • エラー ロギングは、affwebserv.log ファイル(デフォルトのエラー ログ ファイル)に記録されます。
    • トレース ロギングは、FWSTrace.log ファイル(デフォルト トレース ログ )に記録されます。
  4. Web ブラウザを開き以下のリンクを入力することにより、フェデレーション Web サービスをテストします。
    http://
    fqhn
    :
    port_number
    /affwebservices/assertionretriever
    • fqhn
      完全修飾ホスト名を定義します。
    • port_number
      フェデレーション Web サービス アプリケーションがインストールされているサーバのポート番号を定義します。
    例: <nete:proxyrules xmlns:nete="http://www.ca.com/" debug="yes">
    http://myhost.ca.com:81/affwebservices/assertionretriever
    フェデレーション Web サービスが正しく作動している場合、次のメッセージが表示されます。
    Assertion Retrieval Service has been successfully initialized. The requested servlet accepts only HTTP POST requests.
    このメッセージは、フェデレーション Web サービスがデータ アクティビティをリスニングしていることを示します。フェデレーション Web サービスが正しく作動していない場合、アサーション検索サービスが失敗したというメッセージが表示されます。テストが失敗する場合は、フェデレーション Web サービス ログを確認してください。
フェデレーション Web サービスへのアクセスの許可(アサーティング パーティ)
casso127jpjp
ポリシー サーバのインストール時、
Single Sign-On
は フェデレーション Web サービス(FWS)アプリケーション用のポリシーを作成します。FWS アプリケーションは Web エージェント オプション パックを使用してインストールされます。一部のフェデレーション機能では、依存パーティが保護された FWS サービスへのアクセス許可を必要とします。依存パートナーをポリシーに追加するタスクは、アサーティング パーティのみで実行します。
たとえば、シングル サインオンの HTTP-Artifact バインドの場合、ポリシーは、
Single Sign-On
がアサーションを取得するサービスを保護します。
Single Sign-On
が特定の依存パートナーのアサーションを取得するには、そのパートナーがサービスを保護するポリシーにユーザとして追加されていることが必要です。
フェデレーション パートナーシップに対して設定された機能に適用される特定の FWS ポリシーへのアクセス権を付与します
Artifact シングル サインオンの場合の証明書データ ストアの変更(オプション)
証明書データ ストアには、PKI 操作(暗号化、復号、署名、検証、クライアント認証など)のキーおよび証明書が保持されています。
Artifact シングル サインオンを実装する場合、アサーティング パーティの証明書データ ストアには、SSL 接続を確立するための認証機関の証明書が保持されます。この SSL 接続は、依存パーティとアサーティング パーティの間で確立されます。この SSL 接続により、Artifact シングル サインオン用にアサーションが送信されるバックチャネルのセキュリティが保護されます。
一般的なルート CA のセットが証明書データ ストア内に付属しています。データ ストアに
存在しない
Web サーバに対するルート CA を使用する場合は、これらのルート CA をインポートしてください。
シングル サインオンを開始するためのリンクの作成(オプション)
SAML 2.0 および WS フェデレーション において、ユーザがアサーティング パーティにアクセスする前に依存パーティにアクセスする場合は、ハードコードされたリンクを作成します。ハードコードされたリンクによって、ユーザがアサーティング パーティにリダイレクトされ、認証コンテキストが取得されます。依存パーティでは、この認証コンテキストを構成する特性を利用して、ユーザがどのように認証されたかを認識できます
SP での SAML 2.0 シングル サインオンの開始(オプション)
ユーザがアイデンティティ プロバイダにアクセスする前にサービス プロバイダにアクセスする場合は、サービス プロバイダがユーザをアイデンティティ プロバイダにリダイレクトする必要があります。サービス プロバイダにおいて、認証リクエスト サービスへのハードコードされたリンクが含まれる HTML ページを作成してください。認証リクエスト サービスでは、認証コンテキストを取得するためにユーザをアイデンティティ プロバイダにリダイレクトします。
注:
HTML ページは保護されていないレルムに配置される必要があります。
サービス プロバイダでユーザがクリックするハードコード リンクには、所定のクエリ パラメータが含まれる必要があります。これらのパラメータは、認証リクエスト サービスに対する HTTP GET リクエストの一部になります。認証リクエスト サービスは、サービス プロバイダのポリシー サーバ上にあります。
SAML 2.0 (Artifact またはプロファイル)の場合、リンクの構文は次のとおりです。
http://
sp_server:port
/affwebservices/public/saml2authnrequest?ProviderID=
IdP_ID
sp_server:port
Web エージェント オプション パックまたは
CA Access Gateway
をホストするサービス プロバイダのサーバとポート番号を指定します。
IdP_ID
アイデンティティ プロバイダ ID を指定します。
どのバインドが有効化されるかに応じて、このリンクに ProtocolBinding クエリ パラメータを追加できます。サービス プロバイダでのリンク設定の詳細については、「IdP または SP でシングル サインオンを開始するためのリンクのセットアップ」を参照してください。
注:
クエリ パラメータを HTTP エンコードする必要はありません。
アイデンティティ プロバイダでリンクを作成することもできます。
リソース パートナーでの WS フェデレーション シングル サインオンの開始
ユーザがアカウント パートナーをアクセスする前にリソース パートナーをアクセスする場合は、リソース パートナーがユーザをアカウント パートナーにリダイレクトする必要があります。認証に使用するアカウント パートナーへのリンクが含まれるサイト選択ページなどの HTML ページを作成してください。ユーザがリンクを選択すると、アカウント パートナーのシングル サインオン サービスに導かれます。
注:
サイト選択ページは、保護されていないレルムに配置される必要があります。
リソース パートナーでユーザがクリックするハードコード リンクには、所定のクエリ パラメータが含まれる必要があります。これらのパラメータは、アカウント パートナーのポリシー サーバのシングル サインオン サービスに対する HTTP GET リクエストの一部です。
このリンクの構文は、次のとおりです。
https://
host:port
/affwebservices/public/wsfedsso?wa=wsignin1.0&wtrealm=
RP_ID
  • host:port
    シングル サインオン サービスが配置されたサーバおよびポート番号を示します。
  • RP_ID
    リソース パートナー ID を指定します
注:
クエリ パラメータを HTTP エンコードする必要はありません。