アサーション設定ダイアログ ボックス(SAML 2.0 IdP)
目次
casso127jpjp
HID_assertion-config-saml2-idp
目次
名前 ID 設定(SAML 2.0)
casso127jpjp
[名前 ID]セクションでは、アサーション内でユーザを固有の方法で命名する名前識別子を設定できます。名前識別子の形式により、ID に使用されるコンテンツのタイプが規定されます。たとえば、形式が電子メール アドレスである場合、コンテンツは [email protected] とすることができます。
このセクションには、以下の設定項目が表示されます。
- 名前 ID 形式名前識別子形式を指定します。オプション:オプションのリストを参照するためにプルダウン メニューを選択します。各形式の説明については、「OASIS Security Assertion Markup Language (SAML)」仕様を参照してください。
- 名前 ID タイプ[名前 ID]に対して入力される値のタイプを指定します。
- オプション:
- スタティック名前 ID が[値]フィールド内の定数であることを示します。
- ユーザ属性[値]フィールドに入力された属性のユーザ ディレクトリを照会することにより、製品が名前 ID を取得することを示します。
- セッション属性[値]フィールドに入力された属性のセッション ストアを照会することにより、製品が名前 ID を取得することを示します。
- DN 属性(LDAP のみ)属性を取得するクエリには、[値]フィールドに DN 属性、[DN 仕様]フィールドに DN が含まれます。このオプションは主に、ユーザのグループを識別するのに使用されます。
- 値以下のいずれかの値を指定します。
- スタティック ID タイプに対する名前 ID のスタティックなテキスト値。
- ユーザ属性 ID タイプに対するユーザ属性の値。
- セッション属性タイプのセッション ストア属性の値
- DN タイプに対する DN 属性の値。
- DN 指定名前識別子の関連属性の取得に使用する、グループまたは組織単位 DN を指定します。例:ou=Engineering、o=ca.com
- ユーザ識別子の作成を許可する(SAML 2.0 のみ)IdP が名前 ID の値を作成し、アサーションに含めることができるかどうかを示します。SP が AuthnRequest を IdP に送信すると、SP は AllowCreate 属性をリクエストに含めることができます。この属性は、このチェック ボックスと共に、既存のユーザ レコードが見つからない場合に IdP が名前 ID 値を生成できるようにします。この値は永続的な識別子である必要があります。以下の表では、AllowCreate 属性と、このチェック ボックス間の対話について説明します。認証リクエスト内の AllowCreate 属性値(SP)[ユーザ ID の作成を許可]設定(IdP)IdP アクションAllowCreate=trueチェック ボックスをオン名前 ID 値を作成します。AllowCreate=trueチェック ボックスをオフアクションなし。IdP は名前 ID 値を作成できません。AllowCreate=falseチェック ボックスをオンアクションなし。名前 ID 値は作成されません。認証リクエスト内の属性が IdP 設定より優先されます。AllowCreate=falseチェック ボックスをオフアクションなし。名前 ID 値は作成されません。AllowCreate 属性なしチェック ボックスをオン名前 ID 値を作成します。AllowCreate 属性なしチェック ボックスをオフアクションなし。名前 ID 値は作成されません。
アサーション属性(SAML 2.0 IdP)
[アサーション属性]セクションでは、どのユーザ属性がアサーションに含まれるか指定できます。
このセクションには、以下の設定項目が表示されます。
- アサーション属性アサーションに含める特定の属性を指定します。依存するパーティがアサーションで必要とする属性を指定します。このエントリは、ユーザ ストア属性以外の属性も指定できます。値: 依存するパーティで使用される属性名。
- 取得メソッド属性の使用目的を指定します。オプション:
- SSO属性がシングル サインオンに使用されることを示します。
- 属性サービス属性が、属性クエリからのリクエストを完了するために属性権限によって使用されることを示します。
- 両方属性が、属性機関および SSO により使用されることを示します。
- FormatSAML アサーションの一部となる属性の形式を指定します。以下のオプションがあります。
- unspecified
- basic
- URI
- Typeアサーション属性の属性とソースのタイプを指定します。オプション:スタティック属性は、[値]フィールドに入力した定数値であることを示します。値: スタティックタイプには属性の定数値を入力します。ユーザ属性[値]フィールドで指定された属性をユーザ ディレクトリで照会することにより属性を取得します。値: ユーザ ディレクトリに存在する有効な属性とそれに関連付けられた値を入力します。ユーザ属性のみ:LDAP は、複数の値を持った属性をサポートします。デフォルトでは、ポリシー サーバが複数の LDAP 属性値をキャレット記号(^)で結合し、1 つのアサーション属性値を作成します。複数値を持つ LDAP 属性から複数のアサーション属性が生成されることを示すには、プレフィックスFMATTR:を属性名に使用します。注:このプレフィックスは大文字である必要があります。入力する属性の大文字と小文字の組み合わせも LDAP ディレクトリ内の属性と一致させることをお勧めします。例:ユーザ属性mailを複数の属性値で追加するには、「FMATTR:mail」と入力します。各値はアサーションの個別の <AttributeValue> 要素として指定されます。この例の結果は以下のようになります。<ns2:Attribute Name="mail"><ns2:AttributeValue>[email protected]</ns2:AttributeValue><ns2:AttributeValue>[email protected]</ns2:AttributeValue><ns2:AttributeValue>[email protected]</ns2:AttributeValue></ns2:Attribute>プレフィックス FMATTR: がない場合(属性名はmail)、この例の結果は以下のとおりです。<ns2:Attribute Name="mail"></ns2:Attribute>セッション属性[値]フィールドで指定された属性をセッション ストアで照会することにより属性を取得します。値: セッション属性の値を入力します。DN 属性(LDAP のみ)[値]フィールドで指定された DN 属性および[DN 仕様]フィールドで指定された DN を持つクエリを送信することにより、属性を取得します。このオプションは主に、ユーザのグループを識別するのに使用されます。値: DN 属性を入力します。式Java の統一表現言語を使用して文字列を入力し、属性アサーションを変換、追加、または削除します。値: JUEL 式を指定します。
- DN 仕様属性が DN タイプであるとき、DN を指定します。例: ou=Marketing、o=ca.com
- 暗号化アサーション属性が実行時に暗号化されてから、アサーションが依存するパーティに送信されることを示します。
アサーション ジェネレータ プラグイン(SAML 2.0 IdP)
casso127jpjp
[アサーション ジェネレータ プラグイン]セクションでは、
CA Single Sign-on
がアサーションに属性を追加するために使用できる、記述されたプラグインを指定することができます。- プラグイン クラスプラグインの完全修飾 Java クラス名を指定します。このプラグインはランタイムで呼び出されます。以下のような名前を入力してください。com.mycompany.assertiongenerator.AssertionSampleプラグイン クラスは、アサーションの解析および変更を行った後、最終的な処理のために結果をCA Single Sign-onに返します。各依存するパーティーに対して 1 つのプラグインのみが許可されています。サンプル プラグインが SDK に含まれています。ディレクトリfederation_sdk_home\jar で、コンパイルされたサンプル プラグイン、fedpluginsample.jar を参照してください。注:ディレクトリfederation_sdk_home\sample\com\ca\federation\sdk\plugin\sample 内でサンプル プラグインのソース コードを参照することもできます。
- プラグイン パラメータ(オプション)。CA Single Sign-onがプラグインへパラメータとして渡す文字列を指定します。CA Single Sign-onは実行時に文字列を渡します。文字列にはあらゆる値を含めることができ、従う特定の構文はありません。プラグインは、受信するパラメータを解釈します。たとえば、パラメータを属性名とすることができます。または、文字列にプラグインにタスクを実行することを指示する整数を含めることができます。