SAML 1.x 認証方式プロパティ
目次
casso127jpjp
目次
認証方式--SAML Artifact テンプレート
SAML 1.x 用の SAML Artifact 認証方式を設定できます。方式が設定された後、レルムに割り当てることができます。
casso127jpjp
認証方式ダイアログ ボックスの[一般]と[各方式共通セットアップ]のセクションには、次のフィールドが含まれます。
- 名前認証方式の名前を指定します。注: Active Directory Application Mode (ADAM)がポリシー ストアとして使用される場合、認証方式名の最大文字数は 22 文字です。
- 説明認証方式の説明を入力します。
[各方式共通セットアップ]により認証方式が識別されます。[一般]セクションのこの部分には以下のフィールドが含まれます。
- 認証方式タイプ認証方式に使用するテンプレートを指定します。
- 保護レベル同じポリシー ドメイン内の同等以下の保護レベルの認証方式に対するシングル サインオンを許可します。また、より高い保護レベルを持つリソースにアクセスする場合は、追加認証が要求されます。制限: 1 および 1000認証方式にはデフォルト保護レベルが設定されており、そのレベルは変更が可能です。重要なリソースに対しては高い保護レベルを使用し、一般にアクセス可能なリソースには低いレベルの方式を使用します。
- この認証方式に対してパスワードポリシーを有効にする設定されたパスワード ポリシーが認証方式と関連付けられることを示します。
ダイアログ ボックスの[方式のセットアップ]セクションで方式の詳細を設定します。
認証方式 - SAML POST テンプレート
SAML 1.x POST プロファイルに対する SAML POST 認証方式を設定できます。認証方式を設定した後、レルムに割り当てます。
casso127jpjp
認証方式ダイアログ ボックスの[一般]と[各方式共通セットアップ]のセクションには、次のフィールドが含まれます。
- 名前認証方式の名前を指定します。注: Active Directory Application Mode (ADAM)がポリシー ストアとして使用される場合、認証方式名の最大文字数は 22 文字です。
- 説明認証方式の説明を入力します。
[各方式共通セットアップ]により認証方式が識別されます。[一般]セクションのこの部分には以下のフィールドが含まれます。
- 認証方式タイプ認証方式に使用するテンプレートを指定します。
- 保護レベル同じポリシー ドメイン内の同等以下の保護レベルの認証方式に対するシングル サインオンを許可します。また、より高い保護レベルを持つリソースにアクセスする場合は、追加認証が要求されます。制限: 1 および 1000認証方式にはデフォルト保護レベルが設定されており、そのレベルは変更が可能です。重要なリソースに対しては高い保護レベルを使用し、一般にアクセス可能なリソースには低いレベルの方式を使用します。
- この認証方式に対してパスワードポリシーを有効にする設定されたパスワード ポリシーが認証方式と関連付けられることを示します。
ダイアログ ボックスの[方式のセットアップ]セクションで方式の詳細を設定します。
認証方式 - SAML Artifact テンプレート - 方式のセットアップ
SAML 1.x Artifact 認証方式の[方式のセットアップ]セクションでは以下を指定できます。
- コンシューマがアサーションを取得するためにプロデューサと通信する方法。
- アサーションを持つユーザを認証する方法。
- ターゲット リソースにユーザを指定する方法。
[方式のセットアップ]セクション内のフィールドは以下のとおりです。
- アフィリエイト名コンシューマを指名します。たとえば CompanyA のようなアルファベット文字列を入力します。入力する名前は、プロデューサで関連するアフィリエイト オブジェクトの[名前]フィールドの値に一致する必要があります。重要: SAML Artifact プロファイルでは、プロデューサは保護されたバック チャネルを介してコンシューマにアサーションを送信します。基本またはクライアント証明書認証でバック チャネルを保護します。以下の設定ガイドラインが HTTP Artifact シングル サインオンに対するこのフィールドに適用されます。
- Passwordプロデューサに自身を識別するためにコンシューマが使用するパスワードを定義します。このパスワードは、プロデューサ サイトでコンシューマに入力されるパスワードに一致する必要があります。
- 企業ソース IDプロデューサのソース ID を指定します。SAML 仕様標準は、ソース ID を、プロデューサを識別する 20 バイト バイナリの 16 進数として定義しています。コンシューマは、アサーション発行者を識別するためにこの ID を使用します。プロデューサが帯域外の通信で提供する ID を入力します。CA Single Sign-onがプロデューサの場合、ソース ID は SAML 1.x アサーション生成プログラム プロパティ ファイル、AMAssertionGenerator.properties (ディレクトリ:policy_server_home/config/properties)にあります。デフォルトの企業ソース ID 値は次のとおりです: b818452610a0ea431bff69dd346aeeff83128b6a注:AMAssertionGenerator.properties は SAML 1.x プロファイルに対してのみ使用されます。
- アサーション検索 URLコンシューマが SAML アサーションを取得する、プロデューサのサービスの URL を定義します。具体的には、この URL はアサーション取得サービスの場所を識別します。この場所は SSL 接続を通してアクセスされる URL である必要があります。プロデューサでのアサーション取得サービスが、SSL を介した基本認証方式を使用するレルムの一部である場合、デフォルト URL は以下のようになります。https://idp_server:port/affwebservices/assertionretrieverプロデューサでのアサーション取得サービスが X.509 クライアント証明書認証方式を使用するレルムの一部である場合、デフォルトの URL は以下のとおりになります。https://idp_server:port/affwebservices/certassertionretrieveridp_server:portWeb エージェント オプション パックまたは SPS フェデレーション ゲートウェイをホストする Web サーバおよびポートを識別します。
- オーディエンス(オプション) SAML アサーションのオーディエンスを定義します。オーディエンスは、プロデューサとコンシューマの間のビジネス許諾契約の条件について説明するドキュメントの場所を識別します。管理者はプロデューサ サイトでオーディエンスを決定します。このフィールドでの値は、プロデューサで指定されるオーディエンスに一致する必要があります。オーディエンス値は 1K を超えることはできません。オーディエンスを指定するには、URL を入力します。このエレメントでは、大文字と小文字が区別されます。例: <nete:proxyrules xmlns:nete="http://www.ca.com/" debug="yes">http://www.companya.com/SampleAudience
- D 署名エイリアスアサーションのデジタル署名を検証するためにコンシューマが使用する証明書データ ストア内の証明書のエイリアスを指定します。このエイリアスは証明書に対応します。検証に使用される証明書のタイプは CertificateEntry または KeyEntry 証明書です。
- Authenticationアサーション取得サービスが含まれるプロデューサでレルムのための認証方式を指定します。このフィールドの値は、コンシューマでの SAML 認証情報コレクタが提供する必要があるクレデンシャルのタイプを決定します。これらのクレデンシャルは、コンシューマがアサーション取得サービスにアクセスし、SAML アサーションを取得するのを可能にします。アサーション取得サービスはプロデューサでポリシー サーバからのアサーションを取得し、SSL バック チャネルを通してコンシューマに送信します。アサーション取得サービスを保護することをお勧めします。以下のいずれかのオプションを選択します。
- 基本認証[基本]または[SSL を介した基本]認証方式によって保護されるレルムの一部であるアサーション取得サービス用。[基本認証]を選択する場合、追加の設定はプロデューサまたはコンシューマで必要ありません。例外は、SSL 接続を確立した[証明書権限]証明書がコンシューマの証明書データ ストアにない場合です。適切な証明書がデータ ストアにない場合はインポートします。
- クライアント証明書X.509 クライアント証明書認証方式によって保護されるレルムの一部であるアサーション取得サービス用。このオプションを選択する場合は、クライアント証明書を使用して、アサーション取得サービスへのアクセスを設定します。[クライアント証明書]を選択する場合、クライアント証明書を使用してアサーション取得サービスにアクセスするには、コンシューマおよびプロデューサでの設定手順を完了します。ポリシー サーバが FIPS のみのモードで稼動していても、バック チャネルをセキュアにするために非 FIPS 140 暗号化証明書を使用することができます。ただし、FIPS のみのインストールは、FIPS 140 と互換性を持つアルゴリズムで暗号化された証明書のみを使用します。
- パスワードの確認[パスワード]フィールドに指定したパスワードを確認します。
- SAML バージョンアサーションが生成される SAML 指定のバージョンを指定します。1.0 または 1.1 のバージョンが存在します。デフォルトは SAML 1.1 です。プロデューサまたはコンシューマが使用する SAML プロトコルとアサーションのバージョン間に一致が存在する必要があります。たとえば、SAML 1.1 を使用するプロデューサが、SAML 1.0 リクエストを受け取る場合、エラーを返します。SAML 1.1 を使用するコンシューマが、SAML 1.1 プロトコル エレメントに埋め込まれた SAML 1.0 アサーションを受け取る場合、エラーを返します。
- リダイレクト モードSAML 認証情報コレクタがユーザをターゲット リソースに向けるメソッドを示します。[302 データなし]または[302 Cookie データ]を選択する場合、他の設定は必要ありません。[サーバ リダイレクト]または[永続属性]を選択する場合、追加の設定が必要です。
- 302 データなし(デフォルト)セッション cookie で HTTP 302 リダイレクトを介してユーザをリダイレクトしますが、他のデータは使用しません。
- 302 Cookie データセッション cookie と、アサーションを生成したサイトで設定された追加の cookie データを使用してユーザを HTTP 302 リダイレクトを介してリダイレクトします。
- casso127jpjpサーバ リダイレクトSAML アサーションの一部として受信される、ヘッダおよび Cookie 属性情報を、カスタム ターゲット アプリケーションに渡せるようにします。SAML 認証情報コレクタはサーバ側のリダイレクト技術を使用することにより、ターゲット アプリケーション URL にユーザを転送します。サーバ側リダイレクトは Java サーブレット仕様の一部です。標準に準拠しているサーブレット コンテナはすべてサーバ側リダイレクトをサポートします。サーバ リダイレクト モードを使用するには、以下の要件を満たす必要があります。
- アサーションを消費しているサーブレットのコンテキストに関連する、このモードの URL 指定します。通常は、「/affwebservices/public/」です。コンテキストのルートはフェデレーション Web サービス アプリケーションのルートで、通常 /affwebservices/ です。すべてのターゲット アプリケーション ファイルはアプリケーションのルート ディレクトリに格納されている必要があります。このディレクトリは以下のいずれかです。
- Web エージェント:web_agent_home\webagent\affwebservices
- SPS フェデレーション ゲートウェイ:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- レルム、ルールおよびターゲット リソースを保護するポリシーを定義します。レルムは少なくともリソース フィルタ内の値 /affwebservices/ で定義します。
- フェデレーション Web サービス アプリケーションを実行しているサーバ上にカスタム Java または JSP アプリケーションをインストールします。アプリケーションは、Web エージェント オプション パックまたは SPS フェデレーション ゲートウェイでインストールされます。Java サーブレット技術によって、アプリケーションは ServletRequest インターフェースの setAttribute メソッドを使用して、2 つのソース要求間で情報を渡すことができます。アサーションを消費するサービスは、ターゲット アプリケーションにユーザ属性を送信します。サービスがユーザをターゲット アプリケーションにリダイレクトする前に、リクエスト オブジェクト内の別の属性オブジェクトが設定されます。サービスは 2 つの java.util.HashMap オブジェクトを作成します。1 つはすべてのヘッダ属性を格納するためのオブジェクト、もう 1 つはすべての Cookie 属性を格納するためのオブジェクトです。それぞれの hashmap オブジェクトを表すために、サービスは、別々の属性名を使用します。
- Netegrity.HeaderAttributeInfo 属性は、ヘッダ属性が含まれる hashmap を表します。
- Netegrity.CookieAttributeInfo 属性は、Cookie 属性が含まれる hashmap を表します。
アサーションを消費するサービスによって他の 2 つの Java.lang.String 属性が設定され、ユーザ ID がカスタム アプリケーションへ渡されます。- Netegrity.smSessionID 属性は、セッション ID を表します。
- Netegrity.userDN 属性は、ユーザ DN を表します。
カスタマのカスタム ターゲット アプリケーションは HTTP 要求オブジェクトからこれらのオブジェクトを読み取ることができ、hashmap オブジェクトで検出されたデータを使用します。 - 永続属性セッション cookie で HTTP 302 リダイレクトを介してユーザをリダイレクトしますが、他のデータは使用しません。さらに、このモードは、セッション ストアのアサーションから抽出する属性を格納するようにポリシー サーバに指示します。その後、属性は HTTP ヘッダ変数として提供できます。追加の設定については、SAML 属性を HTTP ヘッダとして使用するための手順を参照してください。casso127jpjp注:PersistAttributes を選択し、アサーションに空白のままの属性が含まれる場合、NULL の値がセッション ストアに書き込まれます。この値は空の属性のプレースホルダとして機能します。値は、属性を使用するすべてのアプリケーションに渡されます。
- 発行者コンシューマに対するアサーションを発行するプロデューサを識別します。このエレメントでは、大文字と小文字が区別されます。コンシューマはこの発行者からのみアサーションを受け入れます。プロデューサの管理者は発行者を決定します。注: 発行者に入力する値は、プロデューサで AssertionIssuerID の値に一致する必要があります。この値は、siteminder_home/Config/properties/AMAssertionGenerator.properties に置かれる AMAssertionGenerator.properties ファイルで指定されます。
- 検索データ XPATHXPath クエリは、ユーザ ログイン ID として機能する特定のエントリをアサーションのどこで見つけるかを認証方式に通知します。クエリが取得する値は、ユーザ ストア エントリを検索するためのネームスペース指定の一部になります。casso127jpjpXpath クエリにはネームスペース プレフィックスを含めることはできません。以下の例はXpath クエリです。無効な/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()有効な Xpath クエリは次のとおりです。//Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()例:以下のクエリは、アサーションから[ユーザ名]属性のテキストを抽出します。"/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()""/Username/text()" extracts the text of first Username element in the SAML assertion using abbreviated syntax.他の例:"substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMprofile/NVpair[1]/text(),"header:uid=")"このクエリ文字列は、プロデューサ サイトにリストされる最初の属性として設定される「uid」という名前のヘッダ属性のテキストを抽出します。以下の簡略された構文は、uid という名前のヘッダ属性のテキストを抽出します。"substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")"
- 認証セッション変数を保持(オプション)認証コンテキスト データがセッション変数としてセッション ストアに保存されることを指定します。ポリシー サーバは認証決定で使用されるこれらの変数にアクセスできます。たとえば、アクティブなレスポンスまたはポリシー式に認証コンテキスト変数を含めることができます。
- casso127jpjpアクティブレガシー フェデレーション設定が特定のパートナーシップのために使用中であるかどうかを示します。ポリシー サーバでレガシー フェデレーション設定を使用している場合は、このチェック ボックスがオンになっていることを確認します。ソース ID など ID 設定で同様の値を持つフェデレーション パートナーシップを再作成した場合、フェデレーション パートナーシップをアクティブにする前にこのチェック ボックスをオフにします。Single Sign-Onは、同じ ID 値を使用するレガシーおよびパートナーシップ設定では動作できません。動作した場合は名前衝突が発生します。
[方式のセットアップ]設定用の他のセクションは次のとおりです。
- ネームスペースの仕様に入力して、コンシューマが認証に対する正しいユーザ レコードを見つけられるようにします。
- ページの[追加構成]セクション内のターゲットのフェデレーション リソースを指定します。オプションで、メッセージ コンシューマ プラグインと認証が失敗した場合にユーザが送られるリダイレクト URL を設定します。
認証方式 - SAML POST テンプレート - 方式のセットアップ
[方式のセットアップ]セクションでは以下の情報を指定します。
- コンシューマがアサーションを取得するためにプロデューサと通信する方法
- そのアサーションに基づくユーザを認証する方法。
- ターゲット リソースにユーザを指定する方法。
SAML POST 認証テンプレート用のフィールドを以下に示します。
- アフィリエイト名コンシューマを指名します。たとえば CompanyA のようなアルファベット文字列を入力します。入力する名前は、プロデューサ サイトのアフィリエイト ドメインでコンシューマの名前に一致する必要があります。
- オーディエンスSAML アサーションのオーディエンスを定義します。プロデューサとコンシューマの間のビジネス許諾契約の条件について説明するドキュメントの場所を識別します。管理者はプロデューサ サイトでオーディエンスを決定します。値は、プロデューサ サイトのコンシューマに対するオーディエンスにも一致する必要があります。オーディエンスを指定するには、URL を入力します。このエレメントでは、大文字と小文字が区別されます。オーディエンス値は 1K を超えることはできません。例: http://www.ca.com/SampleAudience
- アサーション コンシューマ URLアサーション コンシューマの URL を指定します(SAML 認証情報コレクタと同義) この URL では、ブラウザが生成されたアサーションを POST する必要があります。デフォルトの URL は以下のとおりです。http://consumer_server:port/affwebservices/public/samlccconsumer_server:portWeb エージェント オプション パックまたは SPS フェデレーション ゲートウェイをホストする Web サーバおよびポートを識別します。例: http://www.discounts.com:85/affwebservices/public/samlcchttp://www.discounts.com:85/affwebservices/public/samlcc
- Dsig 発行者 DNSAML POST レスポンスに署名する証明書発行者の識別名を指定します。プロデューサは POST レスポンスに署名する必要があります。コンシューマがレスポンスを受信する場合、このパラメータ内のデータおよび[シリアル番号]パラメータを使用して署名を検証します。これらの 2 つのパラメータは、レスポンスを署名した証明書の発行者を示します。署名を検証する証明書が証明書データ ストアに存在する必要があります。
- 検索データ XPATHXPath クエリは、ユーザ ログイン ID として機能する特定のエントリをアサーションのどこで見つけるかを認証方式に通知します。クエリが取得する値は、ユーザ ストア エントリを検索するためのネームスペース指定の一部になります。Xpath クエリにはネームスペース プレフィックスを含めることはできません。以下の例は無効な Xpath クエリです。/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()有効な Xpath クエリは次のとおりです。//Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()例以下のクエリは、アサーションから[ユーザ名]属性のテキストを抽出します。"/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()""//Username/text()" extracts the text of first Username element in the SAML assertion using abbreviated syntax.他の例:"substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMprofile/NVpair[1]/text(),"header:uid=")"このクエリは、プロデューサ サイトでアフィリエイト オブジェクトに対する最初の属性として設定される、「uid」という名前のヘッダ属性のテキストを抽出します。"substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")" という文字列は、「uid」という名前のヘッダ属性のテキストを抽出します。この属性は簡略形の構文を使用してプロデューサ サイトのアフィリエイト オブジェクトに対して設定される最初の属性です。
- SAML バージョンSAML バージョン(非アクティブ、値はデフォルトで 1.1。このことは POST プロファイル アサーションが SAML バージョン 1.1 と互換性があることを示しています)。SAML プロデューサおよびコンシューマは、同じバージョンであるアサーションおよびレスポンスを生成しており消費している必要があります。
- リダイレクト モードSAML 認証情報コレクタ サーブレットがユーザをターゲット リソースに向けるメソッドを指定します。[302 データなし]または[302 Cookie データ]を選択する場合、他の設定は必要ありません。[サーバ リダイレクト]または[永続属性]を選択する場合、追加の設定が必要です。
- 302 データなし(デフォルト)。セッション cookie で HTTP 302 リダイレクトを介してユーザをリダイレクトしますが、他のデータは使用しません。
- 302 Cookie データセッション cookie と、アサーションを生成したサイトで設定された追加の cookie データを使用してユーザを HTTP 302 リダイレクトを介してリダイレクトします。
- casso127jpjpサーバ リダイレクトSAML アサーションの一部として受信される、ヘッダおよび Cookie 属性情報を、カスタム ターゲット アプリケーションに渡せるようにします。SAML 認証情報コレクタはサーバ側のリダイレクト技術を使用することにより、ターゲット アプリケーション URL にユーザを転送します。サーバ側リダイレクトは Java サーブレット仕様の一部です。標準に準拠しているサーブレット コンテナはすべてサーバ側リダイレクトをサポートします。サーバ リダイレクト モードを使用するには、以下の要件を満たす必要があります。
- アサーションを消費しているサーブレットのコンテキストに関連する、このモードの URL 指定します。通常は、「/affwebservices/public/」です。コンテキストのルートはフェデレーション Web サービス アプリケーションのルートで、通常 /affwebservices/ です。すべてのターゲット アプリケーション ファイルはアプリケーションのルート ディレクトリに格納されている必要があります。このディレクトリは以下のいずれかです。
- Web エージェント:web_agent_home\webagent\affwebservices
- SPS フェデレーション ゲートウェイ:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- レルム、ルールおよびターゲット リソースを保護するポリシーを定義します。レルムは少なくともリソース フィルタ内の値 /affwebservices/ で定義します。
- フェデレーション Web サービス アプリケーションを実行しているサーバ上にカスタム Java または JSP アプリケーションをインストールします。アプリケーションは、Web エージェント オプション パックまたは SPS フェデレーション ゲートウェイでインストールされます。Java サーブレット技術によって、アプリケーションは ServletRequest インターフェースの setAttribute メソッドを使用して、2 つのソース要求間で情報を渡すことができます。アサーションを消費するサービスは、ターゲット アプリケーションにユーザ属性を送信します。サービスがユーザをターゲット アプリケーションにリダイレクトする前に、リクエスト オブジェクト内の別の属性オブジェクトが設定されます。サービスは 2 つの java.util.HashMap オブジェクトを作成します。1 つはすべてのヘッダ属性を格納するためのオブジェクト、もう 1 つはすべての Cookie 属性を格納するためのオブジェクトです。それぞれの hashmap オブジェクトを表すために、サービスは、別々の属性名を使用します。
- Netegrity.HeaderAttributeInfo 属性は、ヘッダ属性が含まれる hashmap を表します。
- Netegrity.CookieAttributeInfo 属性は、Cookie 属性が含まれる hashmap を表します。
アサーションを消費するサービスによって他の 2 つの Java.lang.String 属性が設定され、ユーザ ID がカスタム アプリケーションへ渡されます。- Netegrity.smSessionID 属性は、セッション ID を表します。
- Netegrity.userDN 属性は、ユーザ DN を表します。
カスタマのカスタム ターゲット アプリケーションは HTTP 要求オブジェクトからこれらのオブジェクトを読み取ることができ、hashmap オブジェクトで検出されたデータを使用します。 - 永続属性セッション Cookie で HTTP 302 リダイレクトを介してユーザをリダイレクトしますが、他のデータは使用しません。このモードはまた、HTTP ヘッダ変数として提供できるように、セッション ストア内のアサーションから属性を格納することをポリシー サーバに指示します。追加の設定については、SAML 属性を HTTP ヘッダとして使用するための手順を参照してください。casso127jpjp注:PersistAttributes を選択し、アサーションに空白のままの属性が含まれる場合、NULL の値がセッション ストアに書き込まれます。この値は空の属性のプレースホルダとして機能します。値は、属性を使用するすべてのアプリケーションに渡されます。
- 発行者コンシューマに対するアサーションを発行するプロデューサを識別します。このエレメントでは、大文字と小文字が区別されます。コンシューマはこの発行者からのみアサーションを受け入れます。管理者はプロデューサ サイトで発行者を決定します。注: 発行者に入力する値は、プロデューサ サイトで AssertionIssuerID の値に一致する必要があります。この値は、policy_server_home/Config/properties/AMAssertionGenerator.properties に置かれる AMAssertionGenerator.properties ファイルで指定されます。
- シリアル番号証明書データ ストアでコンシューマの証明書のシリアル番号(16 進の文字列)を指定します。この値は、SAML POST レスポンスにデジタル署名する証明書を見つけるために Dsig 発行者 DN と併用されます。
- casso127jpjpアクティブレガシー フェデレーション設定が特定のパートナーシップのために使用中であるかどうかを示します。ポリシー サーバでレガシー フェデレーション設定を使用している場合は、このチェック ボックスがオンになっていることを確認します。ソース ID など ID 設定で同様の値を持つフェデレーション パートナーシップを再作成した場合、フェデレーション パートナーシップをアクティブにする前にこのチェック ボックスをオフにします。Single Sign-Onは、同じ ID 値を使用するレガシーおよびパートナーシップ設定では動作できません。動作した場合は名前衝突が発生します。
- 認証セッション変数を保持(オプション)認証コンテキスト データがセッション変数としてセッション ストアに保存されることを指定します。ポリシー サーバは認証決定で使用されるこれらの変数にアクセスできます。たとえば、アクティブなレスポンスまたはポリシー式に認証コンテキスト変数を含めることができます。
[方式のセットアップ]設定用の他のセクションは次のとおりです。
- ネームスペースの仕様に入力して、コンシューマが認証に対する正しいユーザ レコードを見つけられるようにします。
- ページの[追加構成]セクション内のターゲットのフェデレーション リソースを指定します。オプションで、メッセージ コンシューマ プラグインと認証が失敗した場合にユーザが送られるリダイレクト URL を設定します。
認証方式 - ネームスペースの指定
[ネームスペースの指定]セクションは、ネームスペースのタイプおよび関連する検索仕様をリストします。
CA Single Sign-on
は、ユーザをユーザ ストア内で見つけるためにこの情報を使用します。検索指定は、XPath クエリがアサーションから取得するデータを使用し、ユーザ ストア エントリの属性にマップします。XPath クエリは、ユーザ ログイン ID として機能する特定のエントリをアサーションで見つけます。[データ XPATH の検索]フィールドでクエリを定義します。
検索指定の一部として、XPath クエリがアサーションから取得する値を表すために %s を代用できます。たとえば、XPATH クエリは SAML アサーションから値
user1
を取得します。LDAP フィールドに検索指定 uid=%s
を入力すると、結果の文字列は uid=user1 です。認証の正しいレコードを見つけるために、この文字列はユーザ ディレクトリに対して検証されます。複数の %s 変数を持つフィルタを指定することもできます。例: <nete:proxyrules xmlns:nete="http://www.ca.com/" debug="yes">
|(uid=%s)(email=%[email protected])|(abcAliasName=%s)(cn=%s)
結果は次のとおりです。
|(uid=user1)([email protected])|(abcAliasName=user1)(cn=user1)
環境内の各ネームスペース タイプに対して検索仕様を入力します。
認証方式 -- 追加構成(SAML 1.x Artifact、POST)
認証方式の[追加構成]セクションでは、メッセージ コンシューマ プラグインを設定し、認証中にエラーを処理するアサーションの URL をリダイレクトできます。さらに、コンシューマ サイトでターゲット リソースを指定します。
[追加設定]セクションには、以下のフィールドがあります。
メッセージ コンシューマ プラグイン完全 Java クラス名
(オプション)認証方式に対するメッセージ コンシューマ プラグイン インターフェースを実装するクラスの完全修飾 Java クラス名を指定します。
パラメータ
[完全 Java クラス名]フィールドで指定されたプラグインに API が渡す一連のパラメータを指定します。
ステータス リダイレクト URL およびモード
アサーション ベースの認証は、アサーションを消費するサイトで、さまざまな理由で失敗する場合があります。認証が失敗した場合、さらなる処理のためにユーザが別のアプリケーション(URL)にリダイレクトされます。たとえば、ユーザの特定に失敗した場合、ポリシー サーバはユーザをプロビジョニング システムにリダイレクトします。このプロビジョニング システムは、SAML アサーションに存在する情報に基づくユーザ アカウントを作成できます。
注
: システムがリクエストを正常に解析でき、アサーティング パートナーおよび依存パートナーを識別するのに必要な情報を取得できる場合に限り、エラー リダイレクトが発生します。以下のオプションは、失敗の原因となった条件に基づいて、ユーザを設定された URL にリダイレクトします。
ユーザが見つからなかった状態のためのリダイレクト URL
(オプション)ユーザが見つからない場合にポリシー サーバがリダイレクトする URL を識別します。User Not Found ステータスは、シングル サインオン メッセージが LoginID を持たない場合、またはユーザ ディレクトリに LoginID が含まれない場合に適用されます。
- 無効な SSO メッセージステータスのリダイレクト URL(オプション)以下の条件のいずれかが満たされた場合にユーザがリダイレクトされる URL を識別します。
- シングル サインオン メッセージは、SAML スキーマによって指定されるルールに基づいて無効になっている。
- コンシューマは暗号化されたアサーションを必要とするが、シングル サインオン メッセージには暗号化されたアサーションが含まれない。
- 承認されなかったユーザ認証情報 (SSO メッセージ) ステータスのリダイレクト URL(オプション) User Not Found または Invalid Sign-on Message 以外のエラー条件に対してユーザがリダイレクトされる URL を識別します。アサーションは有効であっても、ポリシー サーバは以下のような特定の理由でメッセージを受け入れません。
- XML デジタル署名検証が失敗する
- XML 暗号化処理が失敗する
- 期限切れメッセージまたはオーディエンス不一致など、条件の XML 検証が失敗する。
- SSO メッセージ内のアサーションのいずれにも認証ステートメントが含まれていない。
- モードユーザをリダイレクト URL にリダイレクトするためのメソッドを指定します。オプションを以下に示します。
- 302 データなし(デフォルト)セッション cookie で HTTP 302 リダイレクトを介してユーザをリダイレクトしますが、他のデータは使用しません。
- HTTP POSTHTTP Post プロトコルを使用してユーザをリダイレクトします。
ターゲット ページ設定
ダイアログ ボックスのこのセクションでは、コンシューマ サイトでターゲット リソースの URL を指定できます。クエリ パラメータが存在する場合、ポリシー サーバが認証レスポンス URL 内の TARGET クエリ パラメータの値で URL を置き換えるかどうかを判断します。
- デフォルト ターゲット URL(オプション)コンシューマに存在するターゲット リソースの URL を指定します。このターゲットは、ユーザがリクエストできる保護されたフェデレーション リソースです。コンシューマは、デフォルト ターゲットを使用する必要はありません。シングル サインオンを開始するリンクには、ターゲットを指定するクエリ パラメータを含めることができます。
- クエリ パラメータ TARGET はデフォルトのターゲット URL を上書き(オプション)[デフォルト ターゲット URL]フィールドに指定された値を、レスポンス内の TARGET クエリ パラメータの値で置き換えます。TARGET クエリ パラメータを使用すると、ターゲットを動的に定義できます。各認証レスポンスに対してターゲットを変更できます。TARGET クエリ パラメータの柔軟性により、ターゲット制御の幅が増加します。一方、[デフォルト ターゲット URL]値はスタティックな値です。このチェックボックスは、デフォルトでオンになっています。