SP から IdP へのパートナーシップでの認証コンテキスト リクエストの有効化

SP は、リソースへのアクセス権を付与する前にアサーションの信頼性を確認するために認証プロセスに関する情報を必要とする場合があります。
casso1283
SP は、リソースへのアクセス権を付与する前にアサーションの信頼性を確認するために認証プロセスに関する情報を必要とする場合があります。
SP が認証リクエストを送信する場合、特定の認証コンテキスト URI をリクエストできます。各 URI によって、SP が IdP に要求するアサーション内のコンテキストが特定されます。
SP の認証コンテキスト テンプレートによって以下の情報が定義されます。
  • SP が IdP から受信する必要がある URI。送信リクエストの場合、テンプレート内の URI は、要求されたリソースへのアクセスを許可する前に、SP が受理できる認証コンテキストを示します。
  • リクエスト内の URI を IdP で定義された URI と比較する方法。
  • SP が URI を使用する方法。SP は URI を送信認証リクエストに含めることができます。SP は受信アサーション レスポンス内の URI を検証することもできます。両方の機能に対して URI 使用状況を設定できます。
パートナーシップごとにテンプレートを選択することができ、かつ複数のパートナーシップで 1 つのテンプレートを使用できます。
IdP がアサーションで認証コンテキストを返すことを要求するには、SP は以下のいずれかの方法を使用できます。
  • 管理 UI を使用して SP から IdP へのパートナーシップでリクエストを有効にします。SP がすべてのリクエストで同じ認証コンテキスト URI をリクエストしたい場合は、この方法を使用します。
  • ReqAuthnContext および CompOP クエリ パラメータを認証リクエスト URL に追加することによって、リクエストする AuthnContext URI および比較演算子を動的に選択します。クエリ パラメータを使用することにより、リクエストごとに authncontext を決定できます。クエリ パラメータを優先させるには、[クエリ パラメータで設定をオーバーライドする]を選択します。クエリ パラメータは、設定よりも常に優先されます。
以下の手順は、UI を使用した環境設定の方法について説明します。最初に認証コンテキスト テンプレートを作成することをお勧めします。
以下の手順に従います。
  1. 管理 UI にログインします。
  2. 編集する SP から IdP へのパートナーシップを選択します。
  3. パートナーシップ ウィザードの[AuthnContext の設定]手順に移動します。
    [設定]ダイアログ ボックスが開きます。
  4. [認証コンテキスト処理の有効化]チェック ボックスをオンにします。
  5. ダイアログ ボックスの以下のフィールドに入力します。以下の情報に注意してください。
    • 認証コンテキスト テンプレートが存在しない場合は、[テンプレートの作成]を選択します。
    • [比較]フィールドでは、SP 認証リクエスト内の URI をアイデンティティ プロバイダで設定された URI と比較する方法を表します。
    • [使用可能な URI]リストから URI を選択している場合、使用可能な URI は選択されたテンプレートに対して設定された URI を反映します。事前定義済みテンプレートがない場合は、[テンプレートの作成]をクリックして設定します。
認証コンテキスト リクエストはアイデンティティ プロバイダに送信された認証リクエストに含まれています。