ローカル SAML 2.0 IdP からのメタデータのエクスポート

目次
casso127jpjp
HID_export-local-asserting-partnership
目次
[メタデータのエクスポート]ダイアログ ボックスでは、パートナーシップまたはローカル エンティティ エントリを選択しメタデータ ファイルにデータをエクスポートできます。その後、依存するパーティーはファイルをインポートし、パートナーシップを形成できます。
SAML にはパートナーシップの概念がないため、メタデータはエントリ レベルに基づいたものとなります。ただし、メタデータの使用の最終目的はパートナーシップを作成することです。
注:
メタデータ ファイルにはパートナーシップ レベルのデータも追加されていますが、メタデータはパートナーシップに必要なデータのサブセットのみを取得します。
ダイアログ ボックスには、メタデータ ファイルにエクスポートされた以下の情報が表示されます。
データをエクスポートする前にパートナーシップまたはエンティティを変更することにより、データを変更できます。
識別(エクスポート SAML 2.0 IdP)
casso127jpjp
[識別]セクションは、エクスポート元のパートナーシップを指定します。
エンティティからメタデータをエクスポートする場合、
CA Single Sign-on
はエクスポートするデフォルト パートナーシップを自動的に作成します。デフォルトのパートナーシップは以下の理由で生成されます。
  • メタデータ エレメントの中には、エンティティ テンプレートの一部でなく、パートナーシップにのみ存在するものもあります。
  • エクスポートの後、エクスポートされたメタデータに一致するパートナーシップがあります。これは後でパートナーシップ設定を完了するために使用することができます。
注:
パートナーシップをエクスポートし、パートナーシップのローカル エンティティがアサーティング パーティである場合、[メタデータのエクスポート]ダイアログが表示されます。ただし、[パートナーシップ名]および[説明]フィールドはすでにパートナーシップに対して定義されているため、読み取り専用です。
このセクションには以下の設定項目が含まれます。
  • パートナーシップ名
    新しいパートナーシップを一意の名前で識別します。
    パートナーシップ名はメタデータをエクスポートする場合に必要です。パートナーシップ レベル データは完全なメタデータ ファイルを作成するのに必要です。パートナーシップは
    CA Single Sign-on
    に固有の概念であるため、メタデータはエントリ レベルに基づいたものとなります。ただし、メタデータの使用の最終目的はパートナーシップを作成することです。
    注:
    メタデータ ファイルにはパートナーシップ レベルのデータも追加されていますが、メタデータは必要なパートナーシップ データのサブセットのみを取得します。
    値:
    英数字文字列 ハイフン、アンダースコアおよびピリオドを使用することもできます。
  • 説明
    パートナーシップを説明します。
    : 英数字文字列
  • ローカル エンティティ名
    メタデータがエクスポートされる既存のエンティティの名前を表示します。この値は、エクスポートに選択されるエンティティから取得される読み取り専用テキストです。
Artifact 解決 URL (エクスポート SAML 2.0 IdP)
[Artifact 解決 URL]セクションでは、アサーションを取得する ID プロバイダでサービスを設定します。アサーション取得は、ID プロバイダがサービス プロバイダから受信する Artifact に基づいています。
設定には以下のものがあります。
  • 場所
    ID プロバイダの Artifact 解決サービスの URL を指定します。この値は編集できません。
    デフォルト:
    http://
    idp_server:port
    /affwebservices/public/saml2ars
  • ARS Enabled
    Artifact 解決サービス URL のエクスポートを有効化および無効化します。このチェック ボックスをオンにすると、URL がエクスポートされます。これをオフにすると、Artifact 解決サービスがこのパートナーシップに対して使用されないことを示します。
    オプション:
    [はい]、[いいえ]
SSO サービス URL (エクスポート SAML 2.0 IdP)
[SSO サービス URL]セクションは、アサートするパーティーでサービスの場所を指定します。設定には以下のものがあります。
  • 場所
    アサートするパーティーでシングル サインオン サービスの URL を識別します。
    デフォルト:
    http://
    idp_server:port
    /affwebservices/public/saml2sso
    idp_server:port
    アサーティング パーティで連係をホストしているサーバとポート番号を指定します。
    値:
    この URL は、
    CA SiteMinder® Federation
    によって制御されるローカル エンティティのみを表します。
    CA Single Sign-on
    がこの URL を算出します。
  • 認証リクエスト バインディング
    HTTP-Redirect バインディングがシングル サインオンに使用されることを指定します。このチェック ボックスは情報目的でのみ表示されます。値は変更できません。
    値:
    HTTP-Redirect、HTTP-POST
SLO サービス URL (エクスポート SAML 2.0 IdP)
[SLO サービス URL]セクションは、ID プロバイダでサービスの場所を表示します。設定には以下のものがあります。
  • HTTP-Redirect の場所
    ID プロバイダでシングル ログアウト サービスの URL を指定します。
    デフォルト:
    http://
    idp_server:port
    /affwebservices/public/saml2slo
    idp_server:port
    フェデレーションをホストしている ID プロバイダでサーバとポート番号を指定します。
    値:
    CA Single Sign-on
    がこの場合はローカル エンティティを制御しているため、この URL を算出します。
  • SOAP の場所
    ID プロバイダでシングル ログアウト サービスの URL を示します。
    デフォルト:
    http://
    idp_server:port
    /affwebservices/public/saml2slosoap
    idp_server:port
    フェデレーションをホストしている ID プロバイダでサーバとポート番号を指定します。
  • SLO-Redirect 有効化
    リダイレクトがこのエンティティのシングル ログアウト バインドかどうかを指定します。
    オプション:
    [はい]、[いいえ]
  • SLO-SOAP 有効化
    SOAP がこのエンティティのシングル ログアウト バインドかどうかを指定します。
    オプション:
    [はい]、[いいえ]
属性サービス URL (エクスポート SAML 2.0 IdP)
[属性サービス URL]セクションは、アイデンティティ プロバイダの属性サービスに関する情報が表示されます。このサービスは属性クエリに対して応答します。
  • 場所
    アイデンティティ プロバイダで属性サービスの URL を指定します。
    デフォルト:
    http://
    idp_server:port
    /affwebservices/public/saml2attrsvc
    idp_server:port
    フェデレーションをホストしているアイデンティティ プロバイダのサーバとポート番号を表します。
    値:
    この場合、ポリシー サーバがローカル エンティティを制御しているので、ポリシー サーバがこの URL を算出します。
  • 属性サービスが有効
    属性サービスが有効かどうかを示します。
    デフォルト
    : No
署名および暗号化オプション(SAML 2.0 IdP)
[署名および暗号化]セクションでは署名および暗号化動作を定義します。設定には以下のものがあります。
  • 検証と署名エイリアス
    (オプション)署名および検証に使用される、ローカル エンティティ証明書データ ストアの特定の秘密キー/証明書ペアに関連付けられるエイリアスを指定します。メタデータ ファイルの生成時に、このペアの証明書のみがメタデータ ファイルに含まれます。このメタデータ ファイルが ID プロバイダを作成するためにリモートサイトでインポートされる場合、証明書は証明書データ ストアへインポートされます。リモート SP は、このパートナーシップ内のアサーションおよびシングル ログアウト レスポンスの署名に使用される署名を検証するためにこの証明書を使用します。
    値:
    英数字文字列
  • 署名された認証リクエストが必要
    リモート SP が AuthnRequest メッセージを署名する必要があることをメタデータ ファイルで指定します。
    オプション:
    [はい]、[いいえ]
サポートされる名前 ID および属性(エクスポート SAML 2.0 IdP)
casso127jpjp
[サポートされる名前 ID および属性]セクションでは、名前 ID に対して使用される属性を確立します。
  • サポートされる名前 ID 形式
    パートナーシップが使用する名前識別子形式を示します。
  • サポートされるアサーション属性
    メタデータ ファイルに含まれるユーザ ディレクトリ属性を示します。
    テーブルには以下の情報が含まれます。
    • 属性
      アサーションに追加される属性を指定します。
    • 取得メソッド
      属性の使用目的を指定します。以下の値が使用されます。
      • SSO - 属性がシングル サインオンに使用されることを示します。
      • 属性サービス - 属性機関が属性クエリへの応答に属性を使用することを示します。
      • 両方 - 属性が、シングル サインオンと属性機関の両方で使用されることを示します。
    • Format
      アサーション属性の形式を指定します。
    • Type
      使用される[名前 ID]値用の値のタイプを決定します。以下の値が使用されます。
      スタティック:
      属性は[値]列で指定した定数値です。
      ユーザ属性:
      [値]列で指定されたユーザ ディレクトリへのクエリがこの属性を決定します。
      DN 属性
      : 属性は、[値]と[DN 仕様]のフィールドで指定した DN 属性です。
    • スタティック テキスト値またはユーザ/DN 属性値を指定します。
    • DN 仕様
      名前識別子として使用される関連属性を取得するのに使用されるグループまたは組織単位 DN を指定します。
メタデータ エクスポート オプション(SAML 2.0)
[メタデータ エクスポート オプション]は、メタデータ ファイルの特性を指定します。設定には以下のものがあります。
  • ドキュメント署名エイリアス
    リモート パートナーへの安全な通信に対するメタデータ ドキュメントを署名するキー用のエイリアスを識別します。リストからエイリアスを選択します。
    値:
    プルダウン リストから選択したエイリアス。
  • ドキュメント署名アルゴリズム
    メタデータ ドキュメントを署名するためにシステムが使用するアルゴリズムを指定します。
    デフォルト:
    RSAwithSHA1
    オプション:
    [RSAwithSHA1]、[RSAwithSHA256]
  • 有効日数
    メタデータ ドキュメントが有効な日数を示します。
    デフォルト:
    0
    値:
    0 から 9999 までの整数
  • cacheDuration
    メタデータを消費するエンティティのローカル サーバ上でメタデータをキャッシュできる時間の長さ。この時間が経過した場合、エンティティはメタデータを再ロードする必要があります。