シングル サインオン ダイアログ ボックス(SAML 1.1 コンシューマ)

casso127jpjp
HID_partnership-sso-saml1-consumer
目次
シングル サインオン手順では、シングル サインオン操作を設定できます。
SSO (SAML 1.1 コンシューマ)
シングル サインオン(SSO)を設定できます。このセクションには、以下の設定項目が含まれています。
  • SSO プロファイル
    シングル サインオンに対して SAML Artifact または POST バインディングを使用しているかどうかを決定します。パートナーシップに対するバインディングを選択します。
    オプション:
    HTTP-Artifact、HTTP-POST
  • オーディエンス
    SAML アサーションのオーディエンスを指定します。
    オーディエンスとは、2 つのフェデレーション パートナー間のビジネス契約の契約条件を記述した文書の URL です。プロデューサ サイトの管理者がオーディエンスを決定します。この値は、プロデューサで指定されたオーディエンス値と同一である必要があります。
    値:
    URL
    オーディエンス値は 1024 以下である必要があり、大文字と小文字が区別されます。
    例:
    http://www.ca.com/SampleAudience
  • リモート ソース ID
    (SAML 1.1 HTTP-Artifact のみ)プロデューサを識別する SAML Artifact で一意の ID を指定します。コンシューマは、アサーション発行者を識別するためにこの ID を使用します。
    SAML 仕様は、ソース ID を、プロデューサを識別する 20 バイトのバイナリ、16 進数として定義しています。入力するソース ID 値は 40 バイト 16 進表現です。
    ソース ID 値としてエンティティ ID の SHA1 ハッシュを指定することをお勧めします。このパラメータに対する値を入力しない場合、
    CA Single Sign-on
    はデフォルトで SHA1 ハッシュを使用します。
    パートナーシップ フェデレーションのデフォルト:
    エンティティ ID の SHA1 ハッシュ
  • リモート SSO サービス URL
    プロデューサでシングル サインオン サービスの URL を識別します。
    CA Single Sign-on
    がプロデューサである場合のデフォルト:
    http://
    producer_server:port/
    affwebservices/public/intersitetransfer
  • リモート アサーション取得サービス URL(HTTP-Artifact のみ)
    プロデューサでアサーション取得サービスの URL を指定します。アサーション取得サービスは、コンシューマから受け取る Artifact に基づくアサーションを取得します。Artifact シングル サインオンにはエントリが必要です。
    エントリ:
    アサーション取得サービス URL
    リモート プロデューサが
    CA Single Sign-on
    を使用する場合は、以下の URL を使用します。
    • SSL が有効にされない場合:
      http://
      producer_server:port
      /affwebservices/publicsaml1ars
    • SSL が有効にされる場合:
      https://
      producer_server:ssl_port
      /affwebservices/publicsaml1ars
  • 保護レベル
    同じポリシー ドメイン内の同等以下の保護レベルの認証方式に対するシングル サインオンを許可します。また、より高い保護レベルを持つリソースにアクセスする場合は、追加認証が要求されます。
    制限:
    1 ~ 1000
    認証方式にはデフォルト保護レベルが設定されており、そのレベルは変更が可能です。重要なリソースに対しては高い保護レベルを使用し、一般にアクセス可能なリソースには低いレベルの方式を使用します。
  • 同期監査の有効化
    CA Single Sign-on
    は、ポリシー サーバと Web エージェントのアクションを記録してからリソースへのアクセスを許可する必要があることを示します。
    CA Single Sign-on
    は、アクティビティが監査ログに記録されるまでは、レルム リソースへのアクセスを許可しません。
バック チャネル(SAML 1.1 コンシューマ)
[バック チャネル]チャネルでは、HTTP Artifact シングル サインオンに対するバックチャネル通信を保護する認証メソッドを設定することができます。
このセクションには、以下の設定項目が表示されます。
  • 認証方法
    バックチャネル トランザクションに対する認証方式を指定します。
    デフォルト:
    認証なし
    オプション:
    基本、クライアント証明書、認証なし
    • 基本
      バック チャネルがアサーション取得サービスにアクセスすることを基本認証方式が防ぐことを示します。このため、コンシューマはユーザ名および同意したパスワードを提供する必要があります。
      [基本]を選択する場合は、以下の追加項目を設定します。
      • バックチャネル ユーザ名
        (ベーシック認証のみ)基本認証を使用する場合にユーザ名を指定します。
        プロデューサでこのフィールドに対して指定されるのと同じ値を入力します。
      • Password
        (ベーシック認証のみ)ユーザ パスワードを指定します。このパスワードは、[基本]または[SSL を介した基本]をバック チャネルにわたって認証方法として使用する場合にのみ該当します。
        2 つのフェデレーション パートナーがパスワードに同意する必要があります。
      • パスワードの確認入力
        (ベーシック認証のみ)バック チャネルにわたって基本認証に対するユーザ パスワードを確認します。パスワードを再入力します。
        注:
        SSL がバック チャネル接続に対して有効な場合も、基本認証を選択できます。
      • バック チャネル タイムアウト(秒)
        アサーション取得サービスに対してバック チャネル リクエストを送信した後にフェデレーション システムがレスポンスを待つ最大時間を指定します。間隔を秒単位で指定します。
    • クライアント証明書
      X.509 クライアント証明書認証方式が、アサーション取得サービスとの通信に対するバックチャネルを保護することを示します。
      クライアント証明書認証は、すべてのエンドポイント URL に対して SSL の使用を必要とします。エンドポイント URL は、アサーション取得サービスなど、各種の SAML サービスをサーバ上で検索します。SSL 要件は、サービスへの URL が
      https://
      で開始する必要があることを示しています。
      クライアント証明書認証を実装するため、コンシューマはトランザクションが発生する前にプロデューサに証明書を送信します。プロデューサはその証明書データ ストアに証明書を格納します。パートナーはいずれも、対応するストアで SSL 接続を可能にした証明書を持つ必要があります。これ以外の場合は、クライアント証明書認証は機能しません。
      認証処理中に、コンシューマは証明書をプロデューサに送信します。プロデューサは、受信した証明書をデータ ストア内の証明書と比較して、一致することを検証します。一致がある場合、プロデューサはコンシューマがアサーション取得サービスにアクセスすることを許可します。
      クライアント証明書認証を選択する場合、以下の追加の設定を設定します。
      • クライアント証明書エイリアス
        証明書データ ストアで秘密キー/証明書ペアと関連付けられるエイリアスを指定します。ドロップダウン リストからエイリアスを選択します。証明書がない場合、[インポート]を選択してインポートするか、[生成]を選択して生成できます。
      • バック チャネル タイムアウト(秒)
        アサーション取得サービスに対してバック チャネル リクエストを送信した後にフェデレーション システムがレスポンスを待つ最大時間を指定します。間隔を秒単位で指定します。
    • 認証なし
      コンシューマからクレデンシャルは必要ではないことを示します。バックチャネルおよびアサーション取得サービスは保護されません。
      重要:
      単一のプロデューサが複数のコンシューマのパートナーである場合、各パートナーシップは固有のソース ID 値を持つ必要があります。