WS フェデレーション アサーションの属性の設定(オプション)
目次
casso127jpjp
目次
2
属性は、リソース パートナーのリソースへのアクセスをリクエストしているユーザに関する情報を提供することができます。属性ステートメントにより、SAML アサーション内でユーザ属性、DN 属性、または静的なデータがアカウント パートナーからリソース パートナーに渡されます。すべての設定済みの属性は、1 つの <AttributeStatement> 要素内のアサーションまたはアサーション内の <EncryptedAttribute> 要素に含まれています。
注:
アサーション内には属性ステートメントは不要です。サーブレット、Web アプリケーション、その他のカスタム アプリケーションは、属性を使用して、カスタマイズされたコンテンツを表示したり、他のカスタム機能を実現したりします。Web アプリケーションでは、属性を使用してリソース パートナーでのユーザ アクティビティを制限することにより、きめ細かいアクセス制御を実装できます。たとえば、Authorized Amount という名前の属性変数を最高額設定して送信するなどです。この額は、ユーザがリソース パートナーで費やすことができる限度額です。
属性の形式は、名前/値のペアになっています。リソース パートナーは、アサーションを受信すると、アプリケーションが属性値を利用できるようにします。
属性は、HTTP ヘッダまたは HTTP Cookie として利用できるようになります。
casso127jpjp
HTTP ヘッダおよび HTTP Cookie にはサイズ制限があり、アサーション属性でそれらを超えることはできません。サイズ制限は以下のとおりです。
- HTTP ヘッダ:Single Sign-Onは、Web サーバのヘッダに関するサイズ制限までの属性をヘッダで送信できます。1 つのヘッダごとに 1 つのアサーション属性のみが許可されます。ヘッダ サイズの制限を調べるには、使用している Web サーバのドキュメントを参照してください。
- HTTP Cookie:Single Sign-Onは、Cookie のサイズ制限までの Cookie を送信できます。それぞれのアサーション属性は、それ自身の Cookie として送信されます。Cookie のサイズ制限はブラウザ固有です。また、その制限は、属性ごとではなく、アプリケーションに渡されるすべての属性に適用されます。Cookie のサイズ制限を調べるには、使用する Web ブラウザのドキュメントを参照してください。
WS-Federation のアサーション属性の設定
アサーション属性を設定する方法
- 設定するリソース パートナー オブジェクトの[属性]ページに移動します。
- [属性]セクションの[追加]をクリックします。[属性の追加]ダイアログ ボックスが表示されます。
- [属性]ドロップダウンから、名前形式識別子を選択します。アサーションの <Attribute> 要素内の <NameFormat> 属性によって識別子が指定されます。リソース パートナーが名前を解釈できるように、この値によって属性名が分類されます。オプションを以下に示します。
- EmailAddress
- UPN
- CommonName
- グループ
- NameValue
- [属性のセットアップ]セクションで、以下のオプションのいずれかを選択します。
- スタティック
- ユーザ属性
- DN 属性
フィールドの説明については、[ヘルプ]をクリックしてください。 - (オプション) 属性は、ネストされたグループを持つ LDAP ユーザ ディレクトリから取得できます。ネストされたグループからポリシー サーバが DN 属性を取得するには、[属性の種類]セクション内の[ネストされたグループの許可]チェック ボックスをオンにします。
- [属性の種類]の必要なフィールドに入力し、変更を保存します。
アサーション属性の最大文字数の指定
casso127jpjp
ユーザ アサーション属性の最大長は設定可能です。アサーション属性の最大長を変更するには、EntitlementGenerator.properties ファイルの設定を変更します。
ファイル内のプロパティ名は、設定のプロトコルに固有です。
以下の手順に従います。
- ポリシー サーバがインストールされているシステムで、policy_server_home\config\properties\EntitlementGenerator.properties に移動します。
- テキスト エディタでファイルを開きます。
- 現在の環境で使用中のプロトコルでのユーザ属性の最大長を調節します。各プロトコルの設定を以下に示します。WS-フェデレーションプロパティ名: com.netegrity.assertiongenerator.wsfed.MaxUserAttributeLengthプロパティ タイプ: 正の整数値デフォルト値: 1024説明: WS-FED アサーション属性の最大属性長を示します。SAML 1.xプロパティ名: com.netegrity.assertiongenerator.saml1.MaxUserAttributeLengthプロパティ タイプ: 正の整数値デフォルト値: 1024説明: SAML1.1 アサーション属性の最大属性長を示します。SAML 2.0プロパティ名: com.netegrity.assertiongenerator.saml2.MaxUserAttributeLengthプロパティ タイプ: 正の整数値デフォルト値: 1024説明: SAML2.0 アサーション属性用の最大属性長を示します。
- これらのパラメータのいずれかを変更した後は、ポリシー サーバを再起動します。
属性の新規作成スクリプトの使用
casso127jpjp
[属性]ダイアログ ボックスの[詳細]セクションには[スクリプト]フィールドが含まれています。このフィールドには、[属性のセットアップ]セクションの入力に基づいて
Single Sign-On
が生成したスクリプトが表示されます。このフィールドの内容をコピーし、別のレスポンス属性の[スクリプト]フィールドに貼り付けることができます。注:
別の属性の[スクリプト]フィールドの内容をコピーして貼り付ける場合は、[属性の種類]セクションで適切なオプションを選択してください。