SiteMinder 12.8.06 と認証ハブの統合の設定
統合の概要を理解し、「前提条件」 に記載されているすべての手順を完了した後にのみ、設定を実行してください。
統合設定プロセスの概要は以下のとおりです。
- リリース 12.8.06 インストーラをダウンロードします。
- 認証ハブ プロバイダを設定します。
- SiteMinder に証明書をインポートします。
- 統合のために SiteMinder で認証方式を設定します。
- SiteMinder がユーザ認証を認証ハブに委任する場合は、[VIP 認証ハブ テンプレート]認証方式タイプを使用します。
- SiteMinder でプライマリ認証を実行し、認証ハブでセカンダリ認証を実行する場合は、[多要素認証チェーン テンプレート]認証方式タイプを使用します。
- 認証方式をレルムにマッピングします。
インストーラのダウンロード
「Symantec SiteMinder (旧称: CA SSO)累積リリース インデックス」から SiteMinder リリース 12.8.06 インストーラをダウンロードします。
認証ハブ プロバイダの設定
SiteMinder と認証ハブ間の通信を確立するには、SiteMinder で認証ハブ プロバイダを設定します。これは一度限りのセットアップです。
注
: スコープされた管理者の場合、認証ハブ
ワークスペース コンテンツへのアクセス権と、[AuthHub Objects Administration (AuthHub オブジェクト管理)]
セキュリティ カテゴリで作業する権限があることを確認してください。スコープされた管理者については、「スコープされた管理者の作成」を参照してください。 以下の手順に従います。
- 管理 UI で、[インフラストラクチャ]、[認証]、[VIP 認証ハブ プロバイダ]の順に移動します。
- この接続を識別するための名前と説明を[プロバイダ名]と[説明]に入力します。
- 認証ハブ テナントの発行者 URLを入力します。前提条件の一部として指定された認証ハブ ホスト名を使用し、以下の形式で URL を入力します。https://ah_hostname/name_of_default_tenantこの URL は、認証ハブの許可およびトークン エンドポイントを収集し、統合固有の認証方式テンプレートに自動入力するのに使用されます。
- [管理クライアント ID]と[管理クライアント秘密キー]に、認証ハブでデフォルトテナント用に作成したアプリケーションのクライアント ID とクライアント秘密キーを入力します。前提条件の一部として指定されたテナントの詳細を使用します。
- (オプション) SiteMinder がプロキシを使用して認証ハブと通信できるようにするには、[プロキシの有効化]オプションを選択し、以下の追加手順を実行します。
- [プロキシ ホスト]と[プロキシ ポート]で、プロキシ サーバのホスト名とポート番号を指定します。
- [プロキシ ユーザ]と[プロキシ パスワード]で、プロキシ サーバにアクセスするためのユーザ認証情報を指定します。注: プロキシ通信を使用しない場合は、SiteMinder が認証ハブと通信可能であることを確認してください。
- (オプション) SiteMinder と認証ハブ間の通信を確立するときの SSL 証明書の検証を無効化するには、[SSL 証明書検証の無効化]を選択します。
- [保存]をクリックして、接続情報を保存します。
- [接続のテスト]をクリックして、SiteMinder と認証ハブ間の接続が確立されたかどうかをテストします。[SSL 証明書検証の無効化]オプションが選択されていない場合、接続をテストする前に、認証ハブの入口で SSL を有効化するために使用する証明書または証明書のルート CA をインポートする必要があります。詳細については、「証明書のインポート」を参照してください。接続に成功すると、ダイアログ ボックスの[エンドポイント]セクションに、認証ハブの許可およびトークン エンドポイントの情報が表示されます。
- (オプション)入力した詳細を変更するには、[変更]をクリックし、必要な変更を実行します。
- (オプション)認証ハブでこのプロバイダ用に作成した認証ポリシーを表示し、ポリシーのルールを作成するには、「認証ポリシーの管理」を参照してください。
証明書のインポート
- id_token_hint に署名するのに使用した署名キー ペア。これは、SiteMinder がプライマリ認証を実行した際に認証ハブに送信されます。この署名キー ペアは SiteMinder に存在する必要があります。既存の署名キー ペアを使用できます。新しい署名キー ペアを使用する場合は、以下の手順を使用してインポートします。
- SiteMinder の管理 UI で、[インフラストラクチャ]、[X509 証明書管理]、[信頼された証明書および秘密キー]の順に移動します。
- 新しい署名キー ペアをインポートします。証明書のインポートについては、「信頼された証明書およびキー/証明書ペアのインポート」を参照してください。
また、署名キー ペア内の公開証明書は認証ハブに存在する必要があります。公開証明書をすぐに用意できる場合は、手順 2に進んでください。SiteMinder から取得する必要がある場合は、手順 1 と手順 2を実行します。- SiteMinder の管理 UI で、[インフラストラクチャ]、[X509 証明書管理]、[信頼された証明書および秘密キー]の順に移動し、利用可能な証明書のリストから公開証明書を選択し、[エクスポート]をクリックします。
- https://ah_hostname/tenant_name/admin/v1/Certs/エンドポイントを使用して、この証明書を認証ハブにインポートします。たとえば、以下の例では、cURLを使用して証明書を認証ハブにインポートする方法を説明しています。重要:以下の手順を実行する前に、jq ツールがインストールされていることを確認してください。下記のコマンドは、テスト環境で jq ツール 1.6 をインストールしたときの使用例です。wget -O jq https://github.com/stedolan/jq/releases/download/jq-1.6/jq-linux64 chmod +x ./jq cp jq /usr/bina: 認証ハブからアクセス トークンを取得するexport HOSTNAME=ah_hostnameexport TENANT=ah_tenantexport CLIENTID=ah_tenant_clientidexport CLIENTSECRET=ah_tenant_clientsecretexport TOKENISSUER=sm_token_issuerexport TOKEN=$(curl -ks -X POST https://${HOSTNAME}/${TENANT}/oauth2/v1/token -u "${CLIENTID}:${CLIENTSECRET}" -d 'grant_type=client_credentials&scope=urn:iam:myscopes' | jq '.access_token' | sed 's/"//g')b: 認証ハブに署名キー ペア内の公開証明書をインポートするexport CERTDATA=$(cat<absolutepath_to_publickeycert>| tr -d '\r' | sed '1d;$d' | tr '\n' ' ' | tr -d ' ') curl -k --location --request POST "https://${HOSTNAME}/${TENANT}/admin/v1/Certs/" \ --header 'Content-Type: application/json' \ --header 'Accept: application/json' \ --header "Authorization: Bearer $TOKEN" \ --data "{ \"tokenIssuer\": "\"$TOKENISSUER\"", \"alias\": \"SSOCert\", \"b64CertData\": "\"$CERTDATA\"" }"
注: この証明書は、テスト中に[アイデンティティ トークン署名検証の無効化]オプションを選択して SiteMinder と認証ハブ間のユーザ認証フローをテストした後、実稼働環境で通常の安全な運用を行うために必要です。 - 認証ハブの入口ルート CA/入口サーバ証明書。これは、認証ハブの入口で SSL を有効化するために使用される証明書または証明書のルート CA を指します。証明書またはルート CA をすぐに用意できる場合は、手順 2に進んでください。そうではない場合、手順 1 と手順 2を実行します。
- OpenSSL がインストールされているマシンで以下のコマンドを実行します。openssl s_client -showcerts -servername server -connect $HOSTNAME:443 > cacert.pem上記のコマンドで、HOSTNAMEは認証ハブのホスト名を指します。
- 上記の証明書またはルート CA を SiteMinder にインポートします。SiteMinder の管理 UI で、[インフラストラクチャ]、[X509 証明書管理]、[認証機関]の順に移動し、証明書またはルート CA をインポートします。認証機関のインポートについては、「認証機関」を参照してください。
注: この証明書は、実稼働環境で通常の安全な運用を行うために必要です。 - 認証ハブ テナントが ID トークンに署名する際に使用される署名キーの公開証明書。
- https://ah_hostname/tenant_name/admin/v1/SigningCertAPI を使用して、認証ハブから証明書を取得します。たとえば、以下の例では、cURLを使用して認証ハブから証明書を取得する方法を説明しています。重要:以下の手順を実行する前に、jq ツールがインストールされていることを確認してください。下記のコマンドは、テスト環境で jq ツール 1.6 をインストールしたときの使用例です。wget -O jq https://github.com/stedolan/jq/releases/download/jq-1.6/jq-linux64 chmod +x ./jq cp jq /usr/bina: 認証ハブからアクセス トークンを取得するexport HOSTNAME=ah_hostname_valueexport TENANT=ah_tenantexport CLIENTID=ah_tenant_clientidexport CLIENTSECRET=ah_tenant_clientsecretexport TOKENISSUER=sm_token_issuerexport TOKEN=$(curl -ks -X POST https://${HOSTNAME}/${TENANT}/oauth2/v1/token -u "${CLIENTID}:${CLIENTSECRET}" -d 'grant_type=client_credentials&scope=urn:iam:myscopes' | jq '.access_token' | sed 's/"//g')b: 認証ハブから証明書を取得するcurl -ks --location --request GET "https://${HOSTNAME}/${TENANT}/admin/v1/SigningCert" --header "Authorization: Bearer ${TOKEN}" | jq '.b64CertData' | sed 's/"//g' > chk.crt
- SiteMinder の管理 UI で、[インフラストラクチャ]、[X509 証明書管理]、[信頼された証明書および秘密キー]の順に移動し、上記の手順で取得した認証ハブの公開証明書をインポートします。証明書のインポートについては、「信頼された証明書およびキー/証明書ペアのインポート」を参照してください。
認証方式の設定
- SiteMinder がユーザ認証を認証ハブに委任する場合は、[VIP 認証ハブ テンプレート]認証方式タイプを使用します。
- SiteMinder でプライマリ認証を実行し、認証ハブでセカンダリ認証を実行する場合は、[多要素認証チェーン テンプレート]認証方式タイプを使用します。SiteMinder では、以下のいずれかの認証方式を使用してプライマリ認証を実行できます。
- HTML フォーム
- X509 クライアント証明書
- X509 クライアント証明書または HTML フォーム
- X509 クライアント証明書および HTML フォーム
- Windows
- HTML フォームへの Windows フォールバック
- Kerberos
- HTML フォームへの Kerberos フォールバック
- RADIUS
以下の手順に従います。
- 管理 UI で、[インフラストラクチャ]、[認証]、[認証方式]の順に移動します。
- [認証方式の作成]をクリックし、[タイプ「認証方式」のオブジェクトの作成]を選択して、[OK]をクリックします。
- 認証方式の[名前]と[説明]を入力します。
- [保護レベル]を選択すると、さらに柔軟にアクセス制御を行うことができます。レベルは 1 ~ 1000 で定義します。
- 実装する統合シナリオに応じて、以下の手順のいずれかを実行します。SiteMinder でプライマリ認証を実行し、認証ハブでセカンダリ認証を実行する
- [認証方式タイプ]ドロップダウン リストから[多要素認証チェーン テンプレート]を選択します。
- [プライマリ認証方式]で、SiteMinder がプライマリ認証を実行する必要がある認証方式の詳細を指定します。プライマリ認証に使用できるサポート対象認証方式タイプから認証方式タイプを選択し、選択した認証方式タイプ用にすでに作成されている認証方式を選択します。
- (Windows または Kerberos 認証方式の場合のみ)プライマリ認証が失敗した場合に使用する必要があるフォールバック方式を[プライマリ認証フォールバック方式]ドロップダウン リストから選択します。
- [セカンダリ認証方式]で、認証ハブがセカンダリ認証を実行する必要がある認証方式の詳細を指定します。認証方式タイプとして[VIP 認証ハブ]を選択し、この認証方式タイプ用にすでに作成されている認証方式を選択します。この認証方式タイプを使用して実現される認証チェーン式が[式]に自動入力されます。また、[トークン発行者]には、選択したセカンダリ認証方式に関連付けられている、設定済みの認証ハブ アプリケーションの tokenIssuer 値が表示されます。
- [署名証明書エイリアス]で、SiteMinder の署名キー エイリアスを指定します。この値は、SiteMinder がプライマリ ユーザ認証を実行した際に認証ハブに送信される id_token_hint に署名するのに使用されます。
- [署名アルゴリズム]ドロップダウン リストから、SiteMinder が ID トークン ヒントの署名に使用する必要があるアルゴリズムを選択します。
- (オプション) ID トークン ヒントを暗号化するには、以下のフィールドを設定します。
- [暗号化証明書エイリアス]ドロップダウン リストで、ID トークン ヒントを暗号化するために使用される証明書のエイリアスを指定します。
- [暗号化アルゴリズム]ドロップダウン リストで、ID トークン ヒントを暗号化するために使用する必要がある JWE アルゴリズムを指定します。
- [暗号化方法]ドロップダウン リストで、ID トークン ヒントを暗号化するために使用する必要がある JWE 方式を指定します。
- [基本ユーザ属性ルックアップ]で、id_token_hint を生成するために SiteMinder ユーザ ストア内のユーザ検索に使用する必要があるユーザ属性を定義します。ユーザ属性で定義された値は、id_token_hint で使用されます。設定可能な値は、user_attribute、virtual_attribute、または SM_UNIVID です。
- SiteMinder で認証コンテキストおよびアイデンティティ属性のセットが認証ハブに伝播されるようにするには、[ID トークン ヒントでの拡張ユーザ属性の伝播の有効化]を選択します。アイデンティティの伝播については、「SiteMinder におけるアイデンティティ伝播」を参照してください。
SiteMinder でユーザ認証を認証ハブに委任する- [認証方式タイプ]ドロップダウン リストから[VIP 認証ハブ テンプレート]を選択します。
- [プロバイダ]ドロップダウン リストから、認証ハブ プロバイダを選択します。発行者 URL の値は、選択した認証ハブ プロバイダの設定時に指定した値に基づいて自動入力されます。
- [アプリケーション]ドロップダウン リストから、認証ハブで SiteMinder 用に作成されたアプリケーションを選択します。認証ハブ プロバイダ設定によって、認証ハブで SiteMinder 用に設定されたすべてのアプリケーションが取得され、[アプリケーション]ドロップダウン リストに表示されます。
- [Access Gateway リダイレクト URL]ドロップダウン リストから、認証ハブが SiteMinder に許可コードを送信するために使用するリダイレクト URL を選択します。このドロップダウン リストには、選択したアプリケーションで設定されているすべてのリダイレクト URL が表示されます。[Access Gateway リダイレクト URL]の値は、選択したリダイレクト URL に基づいて表示されます。
- [検証証明書エイリアス]ドロップダウン リストから、認証ハブの公開証明書のエイリアスを選択します。このリストには、SiteMinder で利用可能なすべての公開証明書が表示されます。
- (ID トークン ヒントが暗号化されている場合)[復号化秘密キー エイリアス]ドロップダウン リストから、ID トークン ヒントを復号化するために使用する必要がある秘密キーのエイリアスを選択します。
- (オプション)[ID トークン クレーム ルックアップ]で、受信した ID トークンを検証するために使用する必要がある JWT クレームのユーザ属性ルックアップを定義します。user_loginid、または認証されたユーザの情報を含むその他のクレームを指定できます。このパラメータが指定されていない場合、受信した ID トークンに含まれる user_loginid クレームが検証に使用されます。
- (オプション)[スキュー時間]で、SiteMinder と認証ハブがインストールされているマシンのシステム クロックの差異を考慮して、現在の時刻から差し引かれる秒数を定義します。
- [ACR]で、さまざまな認証フロー用の ACR 値を選択します。[選択]をクリックすると、選択したアプリケーションの認証ポリシー ルールで設定された ACR 値と対応する要件が表示されます。必須値を選択して、[OK]をクリックします。[ACR]の表に、選択した ACR が表示されます。複数の ACR が同じ名前で存在する場合、1 つの ACR を選択すると、他の ACR も自動的に選択されます。実行時に使用される ACR は、ID トークン ヒントで送信されます。表の矢印ボタンを使用して、ACR を実装する必要がある優先順位を並べ替えます。注: HTML フォームなどのパスワードベース認証方式はすでにサポートされているため、SiteMinder は認証ハブでのパスワードベース認証要素をサポートしていません。ACR の基本情報については、統合の概要の「より強力な認証のための認証コンテキスト クラス参照のサポート」を参照してください。認証ハブでの ACR の設定については、限定リリースで提供されている認証ハブのドキュメントを参照してください。さらに詳しい情報が必要な場合は、アカウント担当者にお問い合わせください。
- (オプション)後で認証の決定で使用できるように、ID トークンで取得される認証コンテキスト データをセッション ストアに保存するには、[認証セッション変数を保持]オプションを選択します。
- (オプション)バックチャネル通信中に SSL 証明書検証を無視するには、[許可コード フローでの SSL 証明書検証の無効化]オプションを選択します。
- 認証ハブによって生成される ID トークンの署名検証を無視するには、[アイデンティティ トークン署名検証の無効化]を選択します。
- [保存]をクリックします。
注
: XPSExplorer を使用して多要素認証チェーン テンプレート認証方式を設定するには、AuthChaining
オプションを使用します。 レルムへの認証方式のマッピング
以下の手順に従います。
- [ポリシー]、[ドメイン]、[レルム]の順に移動します。
- レルムを作成または変更します。
- [認証方式]ドロップダウン リストから、新しい認証方式を選択します。
SiteMinder が認証ハブと統合するように設定されました。これで、SiteMinder と認証ハブの統合に必要な設定が完了しました。トランザクションの実行を開始できます。ランタイム トランザクションが実行されると、設定された認証タイプに応じた認証方式が呼び出されます。
問題が発生した場合は、「トラブルシューティング」を参照してください。