属性を SAML 1.x アサーションに含める設定(オプション)
目次
casso127jpjp
目次
2
属性をアサーションに含めることができます。サーブレットやアプリケーションでは、属性を使用してユーザに関するカスタマイズされたコンテンツを表示できます。ユーザ属性、DN 属性、または静的データのすべてをアサーション内でプロデューサからコンシューマに渡すことができます。属性を Web アプリケーションで使用する場合、属性を使用して、コンシューマでのユーザのアクティビティを制限できます。たとえば、プロデューサは Authorized Amount という名前の属性を送信します。コンシューマでは、この属性をユーザの支出可能最高金額に設定します。
属性は名前/値ペアの形式をとり、属性には、メール アドレス、肩書き、許可されたトランザクション支出限度などの情報が含まれます。コンシューマでは、アサーションを受信すると、属性を抽出します。コンシューマは、属性を HTTP ヘッダ変数または HTTP Cookie 変数としてアプリケーションで使用できるようにします。
属性を渡すには、レスポンスを設定する必要があります。この目的に利用可能なレスポンスは次のとおりです。
- Affiliate-HTTP-Header-Variable
- Affiliate-HTTP-Cookie-Variable
casso127jpjp
HTTP ヘッダおよび HTTP Cookie にはサイズ制限があり、アサーション属性でそれらを超えることはできません。サイズ制限は以下のとおりです。
- HTTP ヘッダ:Single Sign-Onは、Web サーバのヘッダに関するサイズ制限までの属性をヘッダで送信できます。1 つのヘッダごとに 1 つのアサーション属性のみが許可されます。ヘッダ サイズの制限を調べるには、使用している Web サーバのドキュメントを参照してください。
- HTTP Cookie:Single Sign-Onは、Cookie のサイズ制限までの Cookie を送信できます。それぞれのアサーション属性は、それ自身の Cookie として送信されます。Cookie のサイズ制限はブラウザ固有です。また、その制限は、属性ごとではなく、アプリケーションに渡されるすべての属性に適用されます。Cookie のサイズ制限を調べるには、使用する Web ブラウザのドキュメントを参照してください。
SAML 1.x アサーションの属性の設定
属性を SAML アサーションからコンシューマ サイトのターゲット アプリケーションへ渡すようにレスポンスを設定できます。
アサーションの属性を設定する方法
- [アサーション]設定に移動します。
- [属性]セクションの[追加]をクリックします。[属性の追加]ダイアログ ボックスが表示されます。
- [属性タイプ]ドロップダウンから、ヘッダを設定するか Cookie 変数を設定するかを選択します。
- [属性のセットアップ]セクションから、以下のいずれかのオプションを[属性の種類]セクションで選択します。
- スタティック
- ユーザ属性
- DN 属性
選択の結果により、[属性フィールド]セクションで利用可能なフィールドが決定されます。 - 選択した[属性の種類]のフィールドに入力します。[属性の種類]の選択結果により、設定が必要な追加フィールドが決定されます。スタティック以下のフィールドに入力します。
- Variable NameSingle Sign-Onがアフィリエイトに返す属性の名前を入力します。
- 変数値名前/値ペアの値として静的なテキストを入力します。たとえば、show_content=yes という名前/値ペアを返すには、変数名として show_content と入力し、変数値として yes と入力します。
ユーザ属性以下のフィールドに入力します。- Variable NameSingle Sign-Onがコンシューマに返す属性の名前を入力します。
- 属性名名前/値ペアに対応するユーザ ディレクトリの属性を入力します。たとえば、ユーザの電子メール アドレスをコンシューマに返すには、変数名として email_address と入力し、属性名として email と入力します。
DN 属性以下のフィールドに入力します。- Variable NameSingle Sign-Onがコンシューマに返す属性の名前を入力します。
- DN 仕様Single Sign-Onがユーザ属性を取得するユーザ グループの識別名を入力します。DN の値はコンシューマに返されます。DN がわからない場合は、[検索]をクリックします。Single Sign-Onの[ユーザの検索]ダイアログ ボックスを使用して、ユーザ グループを検索し、DN を選択します。
- 属性名名前/値ペアのこの属性に対応するユーザ ディレクトリの属性を入力します。
- (オプション)ネストされたグループから DN 属性を取得するには、[属性の種類]セクション内の[ネストされたグループの許可]チェック ボックスをオンにします。
- [OK]をクリックして、変更を保存します。
アサーション属性の最大文字数の指定
casso127jpjp
ユーザ アサーション属性の最大長は設定可能です。アサーション属性の最大長を変更するには、EntitlementGenerator.properties ファイルの設定を変更します。
ファイル内のプロパティ名は、設定のプロトコルに固有です。
以下の手順に従います。
- ポリシー サーバがインストールされているシステムで、policy_server_home\config\properties\EntitlementGenerator.properties に移動します。
- テキスト エディタでファイルを開きます。
- 現在の環境で使用中のプロトコルでのユーザ属性の最大長を調節します。各プロトコルの設定を以下に示します。WS-フェデレーションプロパティ名: com.netegrity.assertiongenerator.wsfed.MaxUserAttributeLengthプロパティ タイプ: 正の整数値デフォルト値: 1024説明: WS-FED アサーション属性の最大属性長を示します。SAML 1.xプロパティ名: com.netegrity.assertiongenerator.saml1.MaxUserAttributeLengthプロパティ タイプ: 正の整数値デフォルト値: 1024説明: SAML1.1 アサーション属性の最大属性長を示します。SAML 2.0プロパティ名: com.netegrity.assertiongenerator.saml2.MaxUserAttributeLengthプロパティ タイプ: 正の整数値デフォルト値: 1024説明: SAML2.0 アサーション属性用の最大属性長を示します。
- これらのパラメータのいずれかを変更した後は、ポリシー サーバを再起動します。
レスポンス属性の新規作成スクリプトの使用
[属性の追加]ページの[詳細]セクションには、[スクリプト]フィールドが含まれます。このフィールドには、[属性のセットアップ]セクションの入力に基づいて
Single Sign-On
が生成したスクリプトが表示されます。このフィールドの内容をコピーし、別のレスポンス属性の[スクリプト]フィールドに貼り付けることができます。注
: [スクリプト]フィールドの内容をコピーして別の属性に貼り付ける場合は、[属性の種類]セクションで適切なオプション ボタンを選択してください。