ローカル SAML 1.1 プロデューサからのメタデータのエクスポート

casso127jpjp
HID_export-local-saml1-producer-partnership
目次
[メタデータのエクスポート]オプションでは、パートナーシップまたはローカル エンティティを選択し、データをメタデータ ファイルにエクスポートします。コンシューマは、メタデータ ファイルをインポートして、コンシューマでのパートナーシップとエンティティを作成できます。
SAML にはパートナーシップの概念がないため、メタデータはエントリ レベルに基づいたものとなります。ただし、メタデータの使用の最終目的はパートナーシップを作成することです。
注:
メタデータ ファイルにはパートナーシップ レベルのデータも追加されていますが、メタデータはパートナーシップに必要なデータのサブセットのみを取得します。
ダイアログ ボックスには、メタデータ ファイルにエクスポートされた以下の情報が表示されます。
データをエクスポートする前にパートナーシップまたはエンティティを変更することにより、データを変更できます。
識別(SAML 1.1 プロデューサのエクスポート)
casso127jpjp
[識別]セクションは、エクスポート元のパートナーシップを指定します。
エンティティからメタデータをエクスポートする場合、
CA Single Sign-on
はエクスポートするデフォルト パートナーシップを自動的に作成します。デフォルトのパートナーシップは以下の理由で生成されます。
  • メタデータ エレメントの中には、エンティティ テンプレートの一部でなく、パートナーシップにのみ存在するものもあります。
  • エクスポートの後、エクスポートされたメタデータに一致するパートナーシップがあります。これは後でパートナーシップ設定を完了するために使用することができます。
注:
パートナーシップをエクスポートし、パートナーシップのローカル エンティティがアサーティング パーティである場合、[メタデータのエクスポート]ダイアログが表示されます。ただし、[パートナーシップ名]および[説明]フィールドはすでにパートナーシップに対して定義されているため、読み取り専用です。
このセクションには以下の設定項目が含まれます。
  • パートナーシップ名
    新しいパートナーシップを一意の名前で識別します。
    パートナーシップ名はメタデータをエクスポートする場合に必要です。パートナーシップ レベル データは完全なメタデータ ファイルを作成するのに必要です。パートナーシップは
    CA Single Sign-on
    に固有の概念であるため、メタデータはエントリ レベルに基づいたものとなります。ただし、メタデータの使用の最終目的はパートナーシップを作成することです。
    注:
    メタデータ ファイルにはパートナーシップ レベルのデータも追加されていますが、メタデータは必要なパートナーシップ データのサブセットのみを取得します。
    値:
    英数字文字列 ハイフン、アンダースコアおよびピリオドを使用することもできます。
  • 説明
    パートナーシップを説明します。
    : 英数字文字列
  • ローカル エンティティ名
    メタデータがエクスポートされる既存のエンティティの名前を表示します。この値は、エクスポートに選択されるエンティティから取得される読み取り専用テキストです。
アサーション取得 URL (エクスポート SAML 1.1 プロデューサ)
[Artifact 解決 URL]セクションでは、アサーションを取得する ID プロバイダでサービスを設定します。アサーション取得は、アサートするパーティーが依存するパーティーから受け取る Artifact に基づいています。
  • 場所
    プロデューサでアサーション取得サービスの URL を指定します。この値は編集できません。
    デフォルト:
    http://
    producer_server:port
    /affwebservices/public/saml1ars
  • ARS Enabled
    アサーション取得サービス URL のエクスポートを有効化および無効化します。このチェック ボックスをオンにすると、URL がエクスポートされます。これをオフにすると、アサーション取得サービスがこのパートナーシップに対して使用されないことを示します。
    オプション:
    [はい]、[いいえ]
SSO サービス URL(エクスポート SAML 1.1 プロデューサ)
[SSO サービス URL]セクションは、アサートするパーティーで SSO サービスの場所を指定します。
  • 場所
    プロデューサでシングル サインオン サービスの URL を識別します。
    デフォルト:
    http://
    producer_server:port
    /affwebservices/public/intersitetransfer
    producer_server:port
    CA SiteMinder® Federation
    をホストしているプロデューサでサーバとポート番号を指定します。
    値:
    この URL は、
    CA Single Sign-on
    によって制御されるローカル エンティティのみを表します。
    CA Single Sign-on
    がこの URL を算出します。
署名オプション(エクスポート SAML 1.1 プロデューサ)
casso127jpjp
[署名オプション]セクションは、アサーティング パーティの署名動作を定義します。以下のフィールドが表示されます。
  • 検証と署名エイリアス
    (オプション)証明書データ ストアで特定の秘密キー/証明書ペアと関連付けられるエイリアスを指定します。このシステムは署名および検証タスクでこのペアを使用します。メタデータ ファイルの生成時に、このペアの証明書のみがメタデータ ファイルに含まれます。
    このメタデータ ファイルがプロデューサを作成するためにリモート サイトでインポートされる場合、証明書がインポートされます。リモート コンシューマ は、このパートナーシップ内のアサーションの署名に使用される署名を検証するためにこの証明書を使用します。
    値:
    英数字文字列
サポートされる名前 ID 形式および属性(エクスポート SAML 1.1 プロデューサ)
[サポートされる名前 ID 形式および属性]セクションでは、アサーションで ID に対して使用されるコンテンツのタイプを確立します。
  • サポートされる名前 ID 形式
    パートナーシップに使用される名前識別子形式を示します。ドロップダウンから任意の形式を選択します。選択した項目は、ローカル エンティティに対して定義される形式のリストから入力されます。
    どのエントリも選択しない場合、リスト表示された、サポートされた名前 ID 形式がすべてメタデータに含まれます。このデフォルトは、サポートされる形式の範囲をリモート パートナーに通知して選択肢を示します。
  • サポートされるアサーション属性
    メタデータ ファイルに含まれるユーザ ディレクトリ属性を示します。
    テーブルにエントリを追加するには[追加]ボタンをクリックします。テーブルには以下の情報が含まれます。
    • 属性
      アサーションに追加される属性を指定します。
    • ネームスペース
      一意に名前を識別するコレクションを指定します。
      制限:
      任意の有効なネームスペース名。
    • Type
      [名前 ID]値のタイプを決定します。
      オプション:
      スタティック: 属性は[値]列で指定された定数値です。
      ユーザ属性: 属性は、[値]列内で指定されたユーザ ディレクトリに対するクエリから発生します。
      DN 属性: 属性は、[値]と[DN 仕様]のフィールドで指定された DN 属性です。
    • スタティック テキスト値またはユーザ属性値を指定します。
    • DN 仕様
      名前識別子として使用される関連属性を取得するのに使用されるグループまたは組織単位 DN を指定します。
メタデータ エクスポート オプション
[メタデータ エクスポート オプション]は、メタデータ ファイルの特性を指定します。設定には以下のものがあります。
  • ドキュメント署名エイリアス
    リモート パートナーへの安全な通信に対するメタデータ ドキュメントを署名するキー用のエイリアスを識別します。リストからエイリアスを選択します。
    値:
    プルダウン リストから選択したエイリアス。
  • ドキュメント署名アルゴリズム
    メタデータ ドキュメントを署名するためにシステムが使用するアルゴリズムを指定します。
    デフォルト:
    RSAwithSHA1
    オプション:
    [RSAwithSHA1]、[RSAwithSHA256]
  • 有効日数
    メタデータ ドキュメントが有効な日数を示します。
    デフォルト:
    0
    値:
    0 から 9999 までの整数