ローカルの IdP から SP へのパートナーシップでの認証コンテキス処理の有効化
IdP は、以下の 2 つの方法でアサーションの認証コンテキストを取得できます。
casso1283
IdP は、以下の 2 つの方法でアサーションの認証コンテキストを取得できます。
- 事前定義済み認証クラスを使用します認証クラスに対して URI を指定し、SP のコンテキスト リクエストを無視します。ハードコードされたエントリは、IdP によって開始されたシングル サインオンのデフォルト認証コンテキストとして機能できます。
- 認証クラスを自動的に検出します。システムは認証コンテキスト テンプレートを使用して、自動的に認証コンテキストを検出します。SP の認証リクエストに <RequestedAuthnContext> 要素が含まれていなくても、IdP はテンプレートを使用します。要素が存在すると、IdP による追加の評価がトリガされて、IdP がアサーションに追加できる選択肢が制限されます。認証コンテキスト処理のフローに関する詳細を参照できます。
以下の手順に従います。
- IdP から SP へのパートナーシップ ウィザードの[SSO と SLO]手順に移動します。
- [認証]セクションで、認証コンテキストの取得方法を指定します。事前定義済み認証クラスまたは認証コンテキスト テンプレートで自動検出されたクラスを使用します。
- 先の手順で選択した方法の手順に従います。事前定義済みクラスをアサーションに含めるには、[認証クラス]プルダウン メニューから URI を選択します。セッション コンテキストおよびテンプレートに基づくクラスを含めるには、[認証コンテキスト テンプレート]フィールドからテンプレートを選択するか、[テンプレートの作成]をクリックします。
- (オプション)。認証コンテキストの取得方法によっては、[RequestedAuthnContext を無視]チェック ボックスをオンにすることもできます。
以下の表では、[AuthnContext の設定]および[RequestedAuthnContext を無視]設定がどのように連携するかを示します。
ConfigureAuthnContext | リクエストされた AuthnContext の無視 | SP requestsAuthnContext | [Result] |
事前定義済みクラス | 選択 | はい | IdP は <RequestedAuthnContext> を無視してアサーション内の定義された値を使用します。 |
事前定義済みクラス | 選択 | いいえ | デフォルトによって、IdP は定義された値をアサーション内に返します。 |
事前定義済みクラス | 選択なし | はい | IdP が認証コンテキスト リクエストを処理するように設定されていないので、トランザクションは失敗します。 IdP はエラー メッセージを SP に返します。 |
事前定義済みクラス | 選択なし | いいえ | デフォルトによって、IdP は定義されたクラス値をアサーション内に返します。 |
自動検出クラス | 選択 | はい | IdP は認証方式の保護レベルを認証コンテキスト テンプレートと比較し、 一致する認証 URI をアサーション内に返します。IdP は SP リクエストの値を無視します。 |
自動検出クラス | 選択 | いいえ | IdP は認証方式の保護レベルを認証コンテキスト テンプレートと比較し、 一致する認証 URI をアサーション内に返します。IdP は SP リクエストの値を無視します。 |
自動検出クラス | 選択なし | はい | IdP は保護レベルを SP が送信する認証コンテキスト クラスと比較します。 IdP は認証コンテキスト テンプレートを使用して、アサーションに配置する認証 URI を決定 します。 |
自動検出クラス | 選択なし | いいえ | IdP は認証方式の保護レベルを認証コンテキスト テンプレートと比較し、 一致する認証 URI をアサーション内に 返します。 |