[シングル サインオン]ダイアログ ボックス(OAuth)

シングル サインオン手順では、シングル サインオン操作を設定できます。
casso127jpjp
HID_partnership-sso-oauth
シングル サインオン手順では、シングル サインオン操作を設定できます。
  • クライアント認証 ID (OAuth 2.0)
    クライアント アプリケーションが正常に登録された場合に、許可サーバが生成するクライアント ID を定義します。
  • クライアント秘密キー/クライアント秘密キーの確認入力 (OAuth 2.0)
    ClientID に関連付けられている秘密キーを示します。ClientID に関連付けられている秘密キーで、この設定の値を更新します。アプリケーションが正常に登録されると、認証サーバがこの値を提供します。
  • コンシューマ キー(OAuth 1.0a)
    クライアント アプリケーションが正常に登録された場合に、許可サーバが生成するコンシューマ キーを定義します。
  • 秘密キーの確認入力とコンシューマ秘密キーの確認入力(OAuth 1.0a)
    コンシューマ キーの秘密キーの値を定義します。
  • 許可サービス URL
    このプロバイダの許可サーバ エンドポイント URL を指定します。この URL は、ユーザの認証が成功した後に許可トークンを生成する必要があります。
    たとえば、Google 用の許可 URL は https://accounts.google.com/o/oauth2/auth です。
  • 許可ヘッダのサポート(OAuth 2.0)
    許可サーバがクライアント認証情報用の許可ヘッダを確認する必要があるかどうかを指定します。このオプションを選択した場合、許可ヘッダでクライアント認証情報が送信されます。このオプションを選択しない場合、クライアント ID およびクライアント秘密キーを使用して、リクエスト本文でクライアント認証情報が送信されます。
    重要:
    OAuth 2.0 では、パスワード ベースの HTTP 認証方式を直接使用できない限り、リクエスト本文でクライアント認証情報を送信しないことが推奨されます。
  • リモート サーバ タイムアウト
    OAuth クライアントが OAuth 許可サーバからのレスポンスを待機する必要がある最大時間を定義します。
  • アクセス トークン サービス URL
    アクセス トークン エンドポイント URL を指定します。アプリケーション設定の詳細と共に許可コードを交換することにより、アクセス トークンに対するクエリを行うことができます。
    たとえば、Google 用のアクセス トークン URL は https://accounts.google.com/o/oauth2/token です。
  • アクセス トークン タイプの検証(OAuth 2.0)
    OAuth 認証サーバから送信されているアクセス トークンのタイプを、サポートされているアクセス トークン タイプと比較して検証する必要があるかどうかを指定します。
  • アクセス トークン クエリ パラメータ
    アイデンティティ プロバイダがアクセス トークン リクエストに対して送信するアクセス トークンを識別します。
  • サポートされているアクセス トークン タイプ(OAuth 2.0)
    サポートされているアクセス トークン タイプを指定します。[行の追加]オプションを使用して、サポートされるアクセス トークン タイプを追加できます。
    重要:
    許可サーバが、使用するトークン タイプをレポートしない場合、OAuth では、許可サーバ用のサポートされたアクセス トークン タイプ値を設定しないことが推奨されます。
  • 認証方式サーバ オフセット (秒)(OAuth 1.0a)
    許可サーバの時間と同期するためにローカル マシン時間をオフセットする時間を定義します。
  • 保護レベル
    同じポリシー ドメイン内の同等以下の保護レベルの認証方式に対するシングル サインオンを許可します。また、より高い保護レベルを持つリソースにアクセスする場合は、追加認証が要求されます。
    値:
    1 ~ 1000。
    認証方式にはデフォルト保護レベルが設定されており、そのレベルは変更が可能です。重要なリソースに対しては高い保護レベルを使用し、一般にアクセス可能なリソースには低いレベルの方式を使用します。
  • 同期監査の有効化
    CA Single Sign-on
    は、ポリシー サーバと Web エージェントのアクションを記録してからリソースへのアクセスを許可する必要があることを示します。
    CA Single Sign-on
    は、アクティビティが監査ログに記録されるまでは、レルム リソースへのアクセスを許可しません。
  • 永続セッションを使用
    (オプション)ユーザ セッションが追跡され、セッション ストアおよび Cookie に保存されるように指定します。ポリシー サーバは、認証の決定に使用するために、これらの情報にアクセスできます。
    永続セッションを有効にするには、このチェック ボックスをオンにします。シングル ログアウトおよび使い捨てポリシー機能では、このチェック ボックスをオンにする必要があります。
    重要:
    このチェック ボックスを表示するには、
    CA Single Sign-on
    のポリシー サーバ管理コンソールを使用して、セッション サーバを有効にしてください。
  • 検証期間
    このチェック ボックスを表示するには、ポリシー サーバ管理コンソールを使用して、セッション サーバを有効にします。
    エージェントがポリシー サーバをコールしてセッションを検証する最大間隔を指定します。セッション検証のコールでは、ユーザが引き続きアクティブであることをポリシー サーバに通知し、ユーザのセッションが引き続き有効であることを確認します。
    検証期間を指定するには、[時間]、[分]、および[秒]の各フィールドに値を入力します。Windows ユーザ セキュリティ コンテキストを提供するようにシステムを設定する場合は、この値を大きな値(たとえば 15 ~ 30 分など)に設定します。エージェントの最大ユーザ セッション キャッシュ値よりもアクティブ セッションの数が少ない場合、エージェントはセッションを再検証する必要はありません。
    重要:
    セッションの検証期間は、指定されたアイドル タイムアウト値よりも小さくする必要があります。