[レスポンス属性]ダイアログ ボックス
[レスポンス属性]ダイアログ ボックスでは、レスポンス属性を設定します。
casso127jpjp
HID_response-attribute
目次
[レスポンス属性]ダイアログ ボックスでは、レスポンス属性を設定します。
[属性タイプ]セクション
[属性タイプ]セクションでは、設定する Web エージェント属性タイプを選択できます。
このセクションには、以下の設定項目が含まれています。
- 属性属性タイプを指定します。ドロップダウン リストからオプションを選択します。以下のリストは、使用可能な一般的な Web エージェント レスポンス属性について説明します。注:オプションの一部はソフトウェア リリースによって異なります。
以下のレスポンス属性もありますが、
CA SiteMinder® Web Services Security
WSS エージェントとともに使用する場合に限り有効です。WebAgent-SAML-Session-Ticket-Variable
CA Single Sign-on
WSS エージェントが SAML アサーションの生成に使用するポリシー サーバ データを提供します。アサーションは、(関連するレスポンス属性による指定に従って) XML メッセージ HTTP または SOAP エンベロープ ヘッダ、または Cookie に挿入されます。SAML セッション チケット レスポンスを設定するとき、ポリシー サーバはレスポンス データを生成します。このデータは、どのようにアサーションを作成するかを
CA Single Sign-on
WSS エージェントに指示するものです。CA Single Sign-on
WSS エージェントは 、セッション チケット(必要に応じて Web サービス コンシューマの公開キーも)をレスポンス データと一緒に暗号化して実際のアサーションを生成します。次に、エージェントは Web サービスにアサーションを送信します。トークンの暗号化と復号化は、CA Single Sign-on
WSS エージェントがそのエージェント キーを使用して行う場合にのみ可能です。- WebAgent-WS-Security-TokenCA Single Sign-onWSS エージェントが(関連するレスポンス属性の指定に従って) WS-セキュリティ ユーザ名、X509v3、または SAML トークンの生成に使用するポリシー サーバ データを提供します。これらのトークンは SOAP メッセージ ヘッダに追加されます。WS-セキュリティ レスポンスを設定するとき、ポリシー サーバはレスポンス データを生成します。このデータは、トークンをどのように作成するかをCA Single Sign-onWSS エージェントに対して指示するものです。その後、エージェントは、トークンを生成して SOAP リクエストに追加し、Web サービスに送信します。
- 値のタイプテキスト値かどうかなど、属性の値タイプを指定します。
[属性のセットアップ]セクション - [属性の種類]
[属性の種類]セクションでは、レスポンス属性のタイプを指定します。
- スタティック選択すると、属性は[変数値](ヘッダ変数)または[Cookie 値](Cookie 変数)フィールドに定義されたスタティック値を返します。
- ユーザ属性選択すると、属性は、ユーザ ディレクトリ内のエントリから、[属性名]フィールドで指定されたユーザ属性に格納されているプロファイル情報を返します。
- DN 属性属性は、LDAP または ODBC ユーザ ディレクトリで DN と関連付けられるディレクトリ オブジェクトからプロファイル情報を返します。([DN 仕様]および[属性名]フィールドで指定されます)。注:[ネストされたグループの許可]チェック ボックスをオンにすることもできます。このチェック ボックスをオンにすると、CA Single Sign-onは、ポリシーで指定されたグループにネストされたグループから属性を返すことが可能になります。多くの場合、ネストされたグループは複雑な LDAP 環境で頻繁に見受けられます。
- アクティブ レスポンス選択すると、属性の値はCA Single Sign-on許可 API に基づくユーザ作成ライブラリ([ライブラリ名]、[関数名]、および[パラメータ]の各フィールドで定義)から返されます。
- 変数定義選択された場合、属性は[変数]フィールドの変数オブジェクトに基づく値を返します。
- ネストされたグループの許可このオプションを設定すると、CA Single Sign-onは、グループにネストされたグループ内の属性を持つレスポンスを返すことができます。多くの場合、ネストされたグループは複雑な LDAP 環境で頻繁に見受けられます。注:この機能は DN 属性の場合にのみアクティブになります。
- セッション変数レスポンスが認証リクエストの一部である場合に管理者がセッション変数の値をセッション ストアまたはメモリから取得するのを可能にします。
- 式管理者がロール式と同様の式を提供するのを可能にします。たとえば、管理者は、Certificate issuerDN 属性から指定の文字列を抽出し結果を新規セッション変数として格納するようにレスポンス属性を設定できます。
[属性のセットアップ]セクション - [属性フィールド]
[属性フィールド]セクションでは、レスポンス属性に関する情報を指定できます。このセクション内のフィールドはコンテキスト依存型で、ドロップダウン リストで指定した属性(WebAgent-HTTP-Header-Variable など)および[属性の種類]セクションで指定した種類に応じて変わります。
- Variable NameCA Single Sign-onがヘッダ変数内で返す属性の名前を定義します。スタティック レスポンスの例: 名前/値のペア「show_content=yes」を Web エージェントに返すには、このフィールドに「show_content」、[変数値]フィールドに「yes」を入力します。ユーザ属性レスポンスの例: ユーザの電子メール属性の値を Web エージェントに返すには、このフィールドに「email_address」、[属性名]フィールドに「<email>」(email はユーザ ディレクトリ内の属性名)を入力します。注:[属性]ドロップダウン リストから選択する属性には、[変数名]に入力しなくてもデフォルト名を使用できるものがあります。
- 名前の選択タイプが WebAgent-WS-Security-Token および WebAgent-SAML-Session-Ticket であるCA SiteMinder® Web Services Securityレスポンス属性に対して、有効な属性名を指定します。ドロップダウン リストからオプションを選択します。選択したオプションは[変数名]フィールドを入力するために使用されます。
- 変数値CA Single Sign-onからヘッダ変数として返される属性名/値ペアの値として使用される、スタティック テキストを定義します。
- 値の選択タイプが WebAgent-WS-Security-Token および WebAgent-SAML-Session-Ticket であるCA SiteMinder® Web Services Securityレスポンス属性に対する、有効な属性値を指定します。ドロップダウン リストからオプションを選択します。選択したオプションは[変数値]フィールドを入力するために使用されます。
- Cookie 名CA Single Sign-onから Cookie として返される属性の名前を定義します。スタティック レスポンスの例: 名前/値のペア「show_content=yes」を Cookie に返すには、このフィールドに「show_content」、[Cookie 値]フィールドに「yes」を入力します。
- Cookie 値CA Single Sign-onから Cookie として返される属性名/値ペアの値として使用される、スタティック テキストを定義します。
- 属性名属性値を提供するユーザ ディレクトリ内の属性を定義します。
- DN 仕様CA Single Sign-onが取得するユーザ属性の取得元となるユーザ グループの識別名(DN)を定義します。この DN は、値をコンシューマに返すユーザに関連付けられた DN にしてください。
- [Library Name]レスポンス属性の値を取得する共有ライブラリの名前を定義します。[ライブラリ名]にパスを指定することができますが、必須ではありません。パスを指定しない場合、ポリシー サーバはデフォルトのパスを使用して、実行時に共有ライブラリを検索します。共有ライブラリ名を入力するときに、ファイル拡張子は必要ありません。たとえば、Windows プラットフォームを使用していて、共有ライブラリの名前が lib.dll であり、このファイルが \CA Single Sign-on\bin\ ディレクトリに存在する場合は、「lib」だけを[ライブラリ名]フィールドに入力します。
- 関数名レスポンス属性の値を取得するために呼び出す共有ライブラリの関数の名前を定義します。
- [Parameters]ポリシー サーバが共有ライブラリの関数に渡すパラメータのリストを定義します。
- 変数レスポンス属性の値を提供する変数オブジェクトを定義します。
- Lookup[DN 属性]を選択すると、[ユーザの検索]ダイアログ ボックスが表示されます。ここで、ユーザ グループを表示して、DN を選択できます。[変数定義]が選択されているときは、[CA Single Sign-on変数の検索]ダイアログ ボックスが表示され、ここで変数を選択できます。
[変数の検索]ダイアログ ボックス
[変数の検索]ダイアログ ボックスでは、既存の変数を選択して、ポリシー表現や式に挿入します。
- 変数リストドメイン内の既存の変数を、タイプによって並べ替えてリスト表示します。
[詳細]セクション
[詳細]セクションには、[属性フィールド]セクションの入力内容を基に
CA Single Sign-on
が生成したスクリプトが表示されます。- Script[属性フィールド]セクションの入力内容を基にCA Single Sign-onが生成したスクリプトが表示されます。このフィールドの内容は編集できます。注:[スクリプト]フィールドの内容をコピーして、別のレスポンスの[スクリプト]フィールドに貼り付けることができます。
[属性キャッシング]セクション
[属性キャッシング]セクションでは、エージェントで属性値をキャッシュするか、定期的に値を再計算するかを指定します。
- キャッシュ値エージェントで属性値が一度計算されると、ポリシー サーバ用に値がキャッシュされます。属性が長期間にわたって変化しない場合、このラジオボタンを使用します。
- 値の再計算間隔レスポンス値が特定の間隔で再計算されます。値を「1」に指定すると、レスポンスに関連付けられたルールが起動されるたびにレスポンス属性値が再計算されます。値が「0」の場合は、[キャッシュ値]と同等です。