アサーション設定ダイアログ ボックス(SAML 1.1 プロデューサ)

目次
casso127jpjp
HID_assertion-config-saml1-producer
目次
名前 ID の構成
casso127jpjp
[名前 ID]セクションでは、アサーション内でユーザを固有の方法で命名する名前識別子を設定できます。名前識別子の形式により、ID に使用されるコンテンツのタイプが規定されます。たとえば、形式が電子メール アドレスである場合、コンテンツは [email protected] とすることができます。
このセクションには、以下の設定項目が表示されます。
  • 名前 ID 形式
    名前識別子形式を指定します。
    オプション:
    オプションのリストを参照するためにプルダウン メニューを選択します。
    各形式の説明については、「OASIS Security Assertion Markup Language (SAML)」仕様を参照してください。
  • 名前 ID タイプ
    [名前 ID]に対して入力される値のタイプを指定します。
    • オプション:
    • スタティック
      名前 ID が[値]フィールド内の定数であることを示します。
    • ユーザ属性
      [値]フィールドに入力された属性のユーザ ディレクトリを照会することにより、製品が名前 ID を取得することを示します。
    • セッション属性
      [値]フィールドに入力された属性のセッション ストアを照会することにより、製品が名前 ID を取得することを示します。
    • DN 属性(LDAP のみ)
      属性を取得するクエリには、[値]フィールドに DN 属性、[DN 仕様]フィールドに DN が含まれます。このオプションは主に、ユーザのグループを識別するのに使用されます。
  • 以下のいずれかの値を指定します。
    • スタティック ID タイプに対する名前 ID のスタティックなテキスト値。
    • ユーザ属性 ID タイプに対するユーザ属性の値。
    • セッション属性タイプのセッション ストア属性の値
    • DN タイプに対する DN 属性の値。
  • DN 指定
    名前識別子の関連属性の取得に使用する、グループまたは組織単位 DN を指定します。
    例:
    ou=Engineering、o=ca.com
  • ユーザ識別子の作成を許可する(SAML 2.0 のみ)
    IdP が名前 ID の値を作成し、アサーションに含めることができるかどうかを示します。SP が AuthnRequest を IdP に送信すると、SP は AllowCreate 属性をリクエストに含めることができます。この属性は、このチェック ボックスと共に、既存のユーザ レコードが見つからない場合に IdP が名前 ID 値を生成できるようにします。この値は永続的な識別子である必要があります。
    以下の表では、AllowCreate 属性と、このチェック ボックス間の対話について説明します。
    認証リクエスト内の AllowCreate 属性値(SP)
    [ユーザ ID の作成を許可]設定(IdP)
    IdP アクション
    AllowCreate=true
    チェック ボックスをオン
    名前 ID 値を作成します。
    AllowCreate=true
    チェック ボックスをオフ
    アクションなし。IdP は名前 ID 値を作成できません。
    AllowCreate=false
    チェック ボックスをオン
    アクションなし。名前 ID 値は作成されません。認証リクエスト内の属性が IdP 設定より優先されます。
    AllowCreate=false
    チェック ボックスをオフ
    アクションなし。名前 ID 値は作成されません。
    AllowCreate 属性なし
    チェック ボックスをオン
    名前 ID 値を作成します。
    AllowCreate 属性なし
    チェック ボックスをオフ
    アクションなし。名前 ID 値は作成されません。
アサーション属性(SAML 1.1)
[アサーション属性]セクションでは、どのユーザ属性がアサーションに含まれるか指定できます。
このセクションには、以下の設定項目が表示されます。
  • アサーション属性
    アサーションに含める特定の属性を指定します。依存するパーティがアサーションで必要とする属性を指定します。このエントリは、ユーザ ストア属性以外の属性も指定できます。
    : 依存するパーティで使用される属性名。
  • ネームスペース
    一意に名前を識別するコレクションを指定します。
    : 任意の有効なネームスペース。
  • Type
    アサーション属性の属性とソースのタイプを指定します。
    • オプション:
    スタティック
    属性は、[値]フィールドに入力した定数値であることを示します。
    ユーザ属性
    [値]フィールドで指定された属性をユーザ ディレクトリで照会することにより属性を取得します。
    セッション属性
    [値]フィールドで指定された属性をセッション ストアで照会することにより属性を取得します。
    DN 属性(LDAP のみ)
    [値]フィールドで指定された DN 属性および[DN 仕様]フィールドで指定された DN を持つクエリを送信することにより、属性を取得します。このオプションは主に、ユーザのグループを識別するのに使用されます。
    Java の統一表現言語を使用して文字列を入力し、属性アサーションを変換、追加、または削除します。
    • [スタティック]タイプ用の属性のスタティック値を指定します。
    • [ユーザ属性]タイプ用のユーザ属性の値を指定します。
      アサーションに LDAP ユーザ属性を追加する場合、複数の値を持った属性を設定できます。各値は、以下のようにアサーション内の個別の <AttributeValue> エレメントとして指定されます。
      <ns2:AttributeStatement> <ns2:Attribute Name="MyAttribute"
      NameFormat="urn:oasis:names:tc:SAML:1.1:attrname-format:unspecified">
      <ns2:AttributeValue>top</ns2:AttributeValue> <ns2:AttributeValue>person</ns2:AttributeValue>
      <ns2:AttributeValue>organizationalPerson</ns2:AttributeValue>
      <ns2:AttributeValue>inetorgperson</ns2:AttributeValue> </ns2:Attribute>
      </ns2:AttributeStatement>
      ユーザ属性に複数の値があることを示すには、このフィールドのエントリの先頭にプレフィックス
      FMATTR:
      を追加します。このプレフィックスは大文字である必要があります。たとえば、LDAP ユーザ ストアからユーザ属性 LastName を追加するには、FMATTR:LastName を入力します。プレフィックスの使用は、
      CA SiteMinder® Federation
      に属性を解釈する方法を指示します。
    • [セッション属性]タイプ用のセッション属性の値を指定します。
    • [DN タイプ]用の DN 属性を指定します。
    • JUEL 式を指定します。
  • DN 仕様
    属性が DN タイプであるとき、DN を指定します。
    : ou=Marketing、o=ca.com
アサーション ジェネレータ プラグイン
casso127jpjp
[アサーション ジェネレータ プラグイン]セクションでは、
CA Single Sign-on
がアサーションに属性を追加するために使用できる、記述されたプラグインを指定することができます。
  • プラグイン クラス
    プラグインの完全修飾 Java クラス名を指定します。このプラグインはランタイムで呼び出されます。以下のような名前を入力してください。
    com.mycompany.assertiongenerator.AssertionSample
    プラグイン クラスは、アサーションの解析および変更を行った後、最終的な処理のために結果を
    CA Single Sign-on
    に返します。各依存するパーティーに対して 1 つのプラグインのみが許可されています。サンプル プラグインが SDK に含まれています。ディレクトリ
    federation_sdk_home
    \jar で、コンパイルされたサンプル プラグイン、fedpluginsample.jar を参照してください。
    注:
    ディレクトリ
    federation_sdk_home
    \sample\com\ca\federation\sdk\plugin\sample 内でサンプル プラグインのソース コードを参照することもできます。
  • プラグイン パラメータ
    (オプション)。
    CA Single Sign-on
    がプラグインへパラメータとして渡す文字列を指定します。
    CA Single Sign-on
    は実行時に文字列を渡します。文字列にはあらゆる値を含めることができ、従う特定の構文はありません。
    プラグインは、受信するパラメータを解釈します。たとえば、パラメータを属性名とすることができます。または、文字列にプラグインにタスクを実行することを指示する整数を含めることができます。