アサーション設定ダイアログ ボックス(SAML 2.0 IdP)

目次
casso127jpjp
HID_assertion-config-saml2-idp
目次
名前 ID 設定(SAML 2.0)
casso127jpjp
[名前 ID]セクションでは、アサーション内でユーザを固有の方法で命名する名前識別子を設定できます。名前識別子の形式により、ID に使用されるコンテンツのタイプが規定されます。たとえば、形式が電子メール アドレスである場合、コンテンツは [email protected] とすることができます。
このセクションには、以下の設定項目が表示されます。
  • 名前 ID 形式
    名前識別子形式を指定します。
    オプション:
    オプションのリストを参照するためにプルダウン メニューを選択します。
    各形式の説明については、「OASIS Security Assertion Markup Language (SAML)」仕様を参照してください。
  • 名前 ID タイプ
    [名前 ID]に対して入力される値のタイプを指定します。
    • オプション:
    • スタティック
      名前 ID が[値]フィールド内の定数であることを示します。
    • ユーザ属性
      [値]フィールドに入力された属性のユーザ ディレクトリを照会することにより、製品が名前 ID を取得することを示します。
    • セッション属性
      [値]フィールドに入力された属性のセッション ストアを照会することにより、製品が名前 ID を取得することを示します。
    • DN 属性(LDAP のみ)
      属性を取得するクエリには、[値]フィールドに DN 属性、[DN 仕様]フィールドに DN が含まれます。このオプションは主に、ユーザのグループを識別するのに使用されます。
  • 以下のいずれかの値を指定します。
    • スタティック ID タイプに対する名前 ID のスタティックなテキスト値。
    • ユーザ属性 ID タイプに対するユーザ属性の値。
    • セッション属性タイプのセッション ストア属性の値
    • DN タイプに対する DN 属性の値。
  • DN 指定
    名前識別子の関連属性の取得に使用する、グループまたは組織単位 DN を指定します。
    例:
    ou=Engineering、o=ca.com
  • ユーザ識別子の作成を許可する(SAML 2.0 のみ)
    IdP が名前 ID の値を作成し、アサーションに含めることができるかどうかを示します。SP が AuthnRequest を IdP に送信すると、SP は AllowCreate 属性をリクエストに含めることができます。この属性は、このチェック ボックスと共に、既存のユーザ レコードが見つからない場合に IdP が名前 ID 値を生成できるようにします。この値は永続的な識別子である必要があります。
    以下の表では、AllowCreate 属性と、このチェック ボックス間の対話について説明します。
    認証リクエスト内の AllowCreate 属性値(SP)
    [ユーザ ID の作成を許可]設定(IdP)
    IdP アクション
    AllowCreate=true
    チェック ボックスをオン
    名前 ID 値を作成します。
    AllowCreate=true
    チェック ボックスをオフ
    アクションなし。IdP は名前 ID 値を作成できません。
    AllowCreate=false
    チェック ボックスをオン
    アクションなし。名前 ID 値は作成されません。認証リクエスト内の属性が IdP 設定より優先されます。
    AllowCreate=false
    チェック ボックスをオフ
    アクションなし。名前 ID 値は作成されません。
    AllowCreate 属性なし
    チェック ボックスをオン
    名前 ID 値を作成します。
    AllowCreate 属性なし
    チェック ボックスをオフ
    アクションなし。名前 ID 値は作成されません。
アサーション属性(SAML 2.0 IdP)
[アサーション属性]セクションでは、どのユーザ属性がアサーションに含まれるか指定できます。
このセクションには、以下の設定項目が表示されます。
  • アサーション属性
    アサーションに含める特定の属性を指定します。依存するパーティがアサーションで必要とする属性を指定します。このエントリは、ユーザ ストア属性以外の属性も指定できます。
    : 依存するパーティで使用される属性名。
  • 取得メソッド
    属性の使用目的を指定します。
    オプション:
    • SSO
      属性がシングル サインオンに使用されることを示します。
    • 属性サービス
      属性が、属性クエリからのリクエストを完了するために属性権限によって使用されることを示します。
    • 両方
      属性が、属性機関および SSO により使用されることを示します。
  • Format
    SAML アサーションの一部となる属性の形式を指定します。以下のオプションがあります。
    • unspecified
    • basic
    • URI
    これらの形式の定義に関しては SAML 2.0 仕様を参照してください。
  • Type
    アサーション属性の属性とソースのタイプを指定します。
    オプション:
    スタティック
    属性は、[値]フィールドに入力した定数値であることを示します。
    : スタティック
    タイプには属性の定数値を入力します。
    ユーザ属性
    [値]フィールドで指定された属性をユーザ ディレクトリで照会することにより属性を取得します。
    : ユーザ ディレクトリに存在する有効な属性とそれに関連付けられた値を入力します。
    ユーザ属性のみ:
    LDAP は、複数の値を持った属性をサポートします。デフォルトでは、ポリシー サーバが複数の LDAP 属性値をキャレット記号(^)で結合し、1 つのアサーション属性値を作成します。複数値を持つ LDAP 属性から複数のアサーション属性が生成されることを示すには、プレフィックス
    FMATTR:
    を属性名に使用します。
    注:
    このプレフィックスは大文字である必要があります。入力する属性の大文字と小文字の組み合わせも LDAP ディレクトリ内の属性と一致させることをお勧めします。
    例:
    ユーザ属性
    mail
    を複数の属性値で追加するには、「
    FMATTR:mail
    」と入力します。
    各値はアサーションの個別の <AttributeValue> 要素として指定されます。この例の結果は以下のようになります。
    <ns2:Attribute Name="mail">
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    </ns2:Attribute>
    プレフィックス FMATTR: がない場合(属性名は
    mail
    )、この例の結果は以下のとおりです。
    <ns2:Attribute Name="mail">
    <ns2:AttributeValue>[email protected]^[email protected]^[email protected]</ns2:AttributeValue>
    </ns2:Attribute>
    セッション属性
    [値]フィールドで指定された属性をセッション ストアで照会することにより属性を取得します。
    : セッション属性の値を入力します。
    DN 属性(LDAP のみ)
    [値]フィールドで指定された DN 属性および[DN 仕様]フィールドで指定された DN を持つクエリを送信することにより、属性を取得します。このオプションは主に、ユーザのグループを識別するのに使用されます。
    : DN 属性を入力します。
    Java の統一表現言語を使用して文字列を入力し、属性アサーションを変換、追加、または削除します。
    : JUEL 式を指定します。
     
  • DN 仕様
    属性が DN タイプであるとき、DN を指定します。
    : ou=Marketing、o=ca.com
     
  • 暗号化
    アサーション属性が実行時に暗号化されてから、アサーションが依存するパーティに送信されることを示します。
アサーション ジェネレータ プラグイン(SAML 2.0 IdP)
casso127jpjp
[アサーション ジェネレータ プラグイン]セクションでは、
CA Single Sign-on
がアサーションに属性を追加するために使用できる、記述されたプラグインを指定することができます。
  • プラグイン クラス
    プラグインの完全修飾 Java クラス名を指定します。このプラグインはランタイムで呼び出されます。以下のような名前を入力してください。
    com.mycompany.assertiongenerator.AssertionSample
    プラグイン クラスは、アサーションの解析および変更を行った後、最終的な処理のために結果を
    CA Single Sign-on
    に返します。各依存するパーティーに対して 1 つのプラグインのみが許可されています。サンプル プラグインが SDK に含まれています。ディレクトリ
    federation_sdk_home
    \jar で、コンパイルされたサンプル プラグイン、fedpluginsample.jar を参照してください。
    注:
    ディレクトリ
    federation_sdk_home
    \sample\com\ca\federation\sdk\plugin\sample 内でサンプル プラグインのソース コードを参照することもできます。
  • プラグイン パラメータ
    (オプション)。
    CA Single Sign-on
    がプラグインへパラメータとして渡す文字列を指定します。
    CA Single Sign-on
    は実行時に文字列を渡します。文字列にはあらゆる値を含めることができ、従う特定の構文はありません。
    プラグインは、受信するパラメータを解釈します。たとえば、パラメータを属性名とすることができます。または、文字列にプラグインにタスクを実行することを指示する整数を含めることができます。