ローカル SAML 2.0 IdP からのメタデータのエクスポート
目次
casso127jpjp
HID_export-local-asserting-partnership
目次
[メタデータのエクスポート]ダイアログ ボックスでは、パートナーシップまたはローカル エンティティ エントリを選択しメタデータ ファイルにデータをエクスポートできます。その後、依存するパーティーはファイルをインポートし、パートナーシップを形成できます。
SAML にはパートナーシップの概念がないため、メタデータはエントリ レベルに基づいたものとなります。ただし、メタデータの使用の最終目的はパートナーシップを作成することです。
注:
メタデータ ファイルにはパートナーシップ レベルのデータも追加されていますが、メタデータはパートナーシップに必要なデータのサブセットのみを取得します。ダイアログ ボックスには、メタデータ ファイルにエクスポートされた以下の情報が表示されます。
データをエクスポートする前にパートナーシップまたはエンティティを変更することにより、データを変更できます。
識別(エクスポート SAML 2.0 IdP)
casso127jpjp
[識別]セクションは、エクスポート元のパートナーシップを指定します。
エンティティからメタデータをエクスポートする場合、
CA Single Sign-on
はエクスポートするデフォルト パートナーシップを自動的に作成します。デフォルトのパートナーシップは以下の理由で生成されます。- メタデータ エレメントの中には、エンティティ テンプレートの一部でなく、パートナーシップにのみ存在するものもあります。
- エクスポートの後、エクスポートされたメタデータに一致するパートナーシップがあります。これは後でパートナーシップ設定を完了するために使用することができます。
注:
パートナーシップをエクスポートし、パートナーシップのローカル エンティティがアサーティング パーティである場合、[メタデータのエクスポート]ダイアログが表示されます。ただし、[パートナーシップ名]および[説明]フィールドはすでにパートナーシップに対して定義されているため、読み取り専用です。このセクションには以下の設定項目が含まれます。
- パートナーシップ名新しいパートナーシップを一意の名前で識別します。パートナーシップ名はメタデータをエクスポートする場合に必要です。パートナーシップ レベル データは完全なメタデータ ファイルを作成するのに必要です。パートナーシップはCA Single Sign-onに固有の概念であるため、メタデータはエントリ レベルに基づいたものとなります。ただし、メタデータの使用の最終目的はパートナーシップを作成することです。注:メタデータ ファイルにはパートナーシップ レベルのデータも追加されていますが、メタデータは必要なパートナーシップ データのサブセットのみを取得します。値:英数字文字列 ハイフン、アンダースコアおよびピリオドを使用することもできます。
- 説明パートナーシップを説明します。値: 英数字文字列
- ローカル エンティティ名メタデータがエクスポートされる既存のエンティティの名前を表示します。この値は、エクスポートに選択されるエンティティから取得される読み取り専用テキストです。
Artifact 解決 URL (エクスポート SAML 2.0 IdP)
[Artifact 解決 URL]セクションでは、アサーションを取得する ID プロバイダでサービスを設定します。アサーション取得は、ID プロバイダがサービス プロバイダから受信する Artifact に基づいています。
設定には以下のものがあります。
- 場所ID プロバイダの Artifact 解決サービスの URL を指定します。この値は編集できません。デフォルト:http://idp_server:port/affwebservices/public/saml2ars
- ARS EnabledArtifact 解決サービス URL のエクスポートを有効化および無効化します。このチェック ボックスをオンにすると、URL がエクスポートされます。これをオフにすると、Artifact 解決サービスがこのパートナーシップに対して使用されないことを示します。オプション:[はい]、[いいえ]
SSO サービス URL (エクスポート SAML 2.0 IdP)
[SSO サービス URL]セクションは、アサートするパーティーでサービスの場所を指定します。設定には以下のものがあります。
- 場所アサートするパーティーでシングル サインオン サービスの URL を識別します。デフォルト:http://idp_server:port/affwebservices/public/saml2ssoidp_server:portアサーティング パーティで連係をホストしているサーバとポート番号を指定します。値:この URL は、CA SiteMinder® Federationによって制御されるローカル エンティティのみを表します。CA Single Sign-onがこの URL を算出します。
- 認証リクエスト バインディングHTTP-Redirect バインディングがシングル サインオンに使用されることを指定します。このチェック ボックスは情報目的でのみ表示されます。値は変更できません。値:HTTP-Redirect、HTTP-POST
SLO サービス URL (エクスポート SAML 2.0 IdP)
[SLO サービス URL]セクションは、ID プロバイダでサービスの場所を表示します。設定には以下のものがあります。
- HTTP-Redirect の場所ID プロバイダでシングル ログアウト サービスの URL を指定します。デフォルト:http://idp_server:port/affwebservices/public/saml2sloidp_server:portフェデレーションをホストしている ID プロバイダでサーバとポート番号を指定します。値:CA Single Sign-onがこの場合はローカル エンティティを制御しているため、この URL を算出します。
- SOAP の場所ID プロバイダでシングル ログアウト サービスの URL を示します。デフォルト:http://idp_server:port/affwebservices/public/saml2slosoapidp_server:portフェデレーションをホストしている ID プロバイダでサーバとポート番号を指定します。
- SLO-Redirect 有効化リダイレクトがこのエンティティのシングル ログアウト バインドかどうかを指定します。オプション:[はい]、[いいえ]
- SLO-SOAP 有効化SOAP がこのエンティティのシングル ログアウト バインドかどうかを指定します。オプション:[はい]、[いいえ]
属性サービス URL (エクスポート SAML 2.0 IdP)
[属性サービス URL]セクションは、アイデンティティ プロバイダの属性サービスに関する情報が表示されます。このサービスは属性クエリに対して応答します。
- 場所アイデンティティ プロバイダで属性サービスの URL を指定します。デフォルト:http://idp_server:port/affwebservices/public/saml2attrsvcidp_server:portフェデレーションをホストしているアイデンティティ プロバイダのサーバとポート番号を表します。値:この場合、ポリシー サーバがローカル エンティティを制御しているので、ポリシー サーバがこの URL を算出します。
- 属性サービスが有効属性サービスが有効かどうかを示します。デフォルト: No
署名および暗号化オプション(SAML 2.0 IdP)
[署名および暗号化]セクションでは署名および暗号化動作を定義します。設定には以下のものがあります。
- 検証と署名エイリアス(オプション)署名および検証に使用される、ローカル エンティティ証明書データ ストアの特定の秘密キー/証明書ペアに関連付けられるエイリアスを指定します。メタデータ ファイルの生成時に、このペアの証明書のみがメタデータ ファイルに含まれます。このメタデータ ファイルが ID プロバイダを作成するためにリモートサイトでインポートされる場合、証明書は証明書データ ストアへインポートされます。リモート SP は、このパートナーシップ内のアサーションおよびシングル ログアウト レスポンスの署名に使用される署名を検証するためにこの証明書を使用します。値:英数字文字列
- 署名された認証リクエストが必要リモート SP が AuthnRequest メッセージを署名する必要があることをメタデータ ファイルで指定します。オプション:[はい]、[いいえ]
サポートされる名前 ID および属性(エクスポート SAML 2.0 IdP)
casso127jpjp
[サポートされる名前 ID および属性]セクションでは、名前 ID に対して使用される属性を確立します。
- サポートされる名前 ID 形式パートナーシップが使用する名前識別子形式を示します。
- サポートされるアサーション属性メタデータ ファイルに含まれるユーザ ディレクトリ属性を示します。テーブルには以下の情報が含まれます。
- 属性アサーションに追加される属性を指定します。
- 取得メソッド属性の使用目的を指定します。以下の値が使用されます。
- SSO - 属性がシングル サインオンに使用されることを示します。
- 属性サービス - 属性機関が属性クエリへの応答に属性を使用することを示します。
- 両方 - 属性が、シングル サインオンと属性機関の両方で使用されることを示します。
- Formatアサーション属性の形式を指定します。
- Type使用される[名前 ID]値用の値のタイプを決定します。以下の値が使用されます。スタティック:属性は[値]列で指定した定数値です。ユーザ属性:[値]列で指定されたユーザ ディレクトリへのクエリがこの属性を決定します。DN 属性: 属性は、[値]と[DN 仕様]のフィールドで指定した DN 属性です。
- 値スタティック テキスト値またはユーザ/DN 属性値を指定します。
- DN 仕様名前識別子として使用される関連属性を取得するのに使用されるグループまたは組織単位 DN を指定します。
メタデータ エクスポート オプション(SAML 2.0)
[メタデータ エクスポート オプション]は、メタデータ ファイルの特性を指定します。設定には以下のものがあります。
- ドキュメント署名エイリアスリモート パートナーへの安全な通信に対するメタデータ ドキュメントを署名するキー用のエイリアスを識別します。リストからエイリアスを選択します。値:プルダウン リストから選択したエイリアス。
- ドキュメント署名アルゴリズムメタデータ ドキュメントを署名するためにシステムが使用するアルゴリズムを指定します。デフォルト:RSAwithSHA1オプション:[RSAwithSHA1]、[RSAwithSHA256]
- 有効日数メタデータ ドキュメントが有効な日数を示します。デフォルト:0値:0 から 9999 までの整数
- cacheDurationメタデータを消費するエンティティのローカル サーバ上でメタデータをキャッシュできる時間の長さ。この時間が経過した場合、エンティティはメタデータを再ロードする必要があります。