SAML 1.1 リモート プロデューサ エンティティ
casso1283
HID_remote-saml1-producer-entity
SAML 1.1 リモート プロデューサ エンティティの設定
[リモート SAML 1.1 プロデューサ エンティティの設定]セクションではエンティティを識別できます。設定には以下のものがあります。
- casso1283エンティティ IDパートナーに対してフェデレーション エンティティを識別します。エンティティ ID はドメイン名のような一般的な識別子です。エンティティ ID がリモート パートナーを表す場合、この値は一意である必要があります。エンティティ ID がローカル パートナーを表す場合、同じシステム上で再利用できます。たとえば、エンティティ ID がローカルのアサートするパーティーを表す場合、この同じ ID を複数のパートナーシップで使用できます。リモート パートナーを表すエンティティ ID は、単一のアクティブなパートナーシップにのみ属することができます。値:URI (URL を推奨)以下のガイドラインに注意してください。
- エンティティ ID は、URI である必要がありますが、絶対 URL をお勧めします。
- エンティティ ID が URL の場合
- URL のホスト部分は、組織のプライマリ DNS ドメインをルートとする名前である必要があります。
- URL には、ポート番号、クエリ文字列、またはフラグメント識別子を含めることはできません。
- アンパサンド(&)は独立したクエリ パラメータとして認識されるため、エンティティ ID で使用しないでください。
- URN を指定しないでください。
- リモート パートナーのエンティティ ID は、フェデレーション内での名前の衝突を回避するためにグローバルに一意である必要があります。
有効なエンティティ ID の例無効なエンティティ ID の例- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto(この URL でも機能しますが、この構文の使用は推奨されません)
エンティティ名ポリシー ストアに対するエンティティ オブジェクトに名前を付けます。エンティティ名は一意の値にする必要があります。このエンティティ名は、SiteMinderの内部で特定のサイトの特定のエンティティを識別するのに使用されます。この値は外部的には使用されず、リモート パートナーはこの値を認識しません。注:[エンティティ名]は[エンティティ ID]と同じ値にすることができますが、値はサイト上の他のエンティティとは共有されません。値:英数字文字列例:Partner1説明エンティティを説明するための追加の情報を指定します。値:1024 文字までの英数字文字列ソース ID(SAML 1.1 HTTP-Artifact のみ)プロデューサを識別する SAML Artifact で一意の ID を指定します。コンシューマは、アサーション発行者を識別するためにこの ID を使用します。SAML 仕様は、ソース ID を、プロデューサを識別する 20 バイトのバイナリ、16 進数として定義しています。指定するソース ID 値は、その値の 40 バイト 16 進表現である必要があります。ソース ID 値としてエンティティ ID の SHA1 ハッシュを指定することをお勧めします。このパラメータに対する値を入力しない場合、製品はデフォルトでこの値を使用します。デフォルト:エンティティ ID の SHA1 ハッシュベース URLフェデレーションを実行するユーザから見えるサーバのベース位置を指定します。このサーバには通常、SiteMinderがインストールされています。サーバは、フェデレーション サービスをホストするサーバの URL とすることもできます。ベース URL はSiteMinderを有効にして、設定の他の部分に関連 URL を生成し、設定をより効率的にします。[ベース URL]は編集可能です。たとえば、SiteMinderシステム用の仮想ホストを設定できる可能性があります。1 つの仮想ホストが管理 UI 通信を処理します。別の仮想ホストは、埋め込まれた Apache Web Server が処理したユーザ トラフィックを処理します。この場合、サーバおよび Apache Web Server の HTTP ポートのみを指すように[Base URL]を編集できます。値:有効な URL例:https://fedserver.ca.com:5555このフィールドを変更する場合の以下の重要なガイドラインを確認してください。- ベース URL を変更する場合は、URL の最後にスラッシュを置かないでください。最後にスラッシュがあると、このベース URL を使用する他の URL にスラッシュが 2 つ追加されます。
- フェールオーバ サポートでは、このフィールドの値は他のシステムに対するフェールオーバを管理するシステムのホスト名およびポートです。このシステムはロード バランサまたはプロキシ サーバであることが可能です。
- アサーション取得サービス URL(HTTP-Artifact でのみ必要)アサーション取得サービスに対する URL を指定します。シングル サインオンに対して HTTP Artifact プロファイルを使用している場合、Artifact はコンシューマからプロデューサへ送信されます。プロデューサは Artifact を解決し、Artifact と関連付けられるアサーションをコンシューマでのサービスにリダイレクトします。このグループ ボックスでは、プロデューサでアサーション取得サービスを識別します。SSL がこのサービスに対して有効な場合、URL はhttps://で始まる必要があります。リモート プロデューサがSiteMinderを使用する場合は、以下の URL を使用します。
- SSL が有効にされない場合:http://producer_server:port/affwebservices/assertionretriever
- SSL が有効にされる場合:https://producer_server:ssl_port/affwebservices/assertionretriever
- SSO サービス URLプロデューサでシングル サインオン サービス用の URL を識別します。値:有効な URL
- : http://SiteMinderがプロデューサである場合のデフォルトproducer_server:port/affwebservices/public/intersitetransfer
署名オプション
[署名オプション]では、連係された通信に対する署名動作を定義します。このセクションには、以下の設定項目が含まれています。
- 検証証明書エイリアス(オプション)証明書データ ストアで特定の証明書(公開キー)と関連付けられているエイリアスを指定します。ここで入力するエイリアスは、署名されたアサーションおよびレスポンスの検証にどの証明書を使用するかをSiteMinderに指示するものです。エイリアスはプルダウン リストから選択します。また、必要なキーが利用可能でない場合は、[インポート]をクリックして証明書をインポートしてください。注:証明書に関連付けられたエイリアスを入力する前に、証明書がキーデータベースに保存されています。値:ドロップダウン リストから選択
サポートされる名前 ID 形式と属性
casso1283
[サポートされている名前 ID 形式および属性]セクションには 2 つの機能があります。
- エンティティがサポートする名前 ID 形式を指定します。名前識別子は、アサーション内でユーザを固有の方法で指定し、アサーションに含める属性を指定します。名前識別子の形式により、ID に使用されるコンテンツのタイプが規定されます。たとえば、形式がユーザ DN の場合、コンテンツは uid となります。
- アサーティング パーティの場合、アサーションに含める属性を指定します。アサーションに追加された属性により、ユーザの詳細な識別が可能となり、アサーションを使用するアプリケーションをユーザごとにカスタマイズすることもできます。
サポートされる名前 ID 形式と属性
オプションのリストから、適用する形式をすべて選択します。すべての形式を選択するには、[名前 ID 形式の選択]を選択します。
各形式の説明については、SAML または WS-Federation プロファイルの仕様を参照してください。
- サポートされるアサーション属性プロデューサがアサーションに含める属性を指定します。テーブルに属性を含めるには、[追加]をクリックします。テーブルには、以下の列が含まれています。
- アサーション属性アサーション内の個別の属性を示します。値:有効なアサーション属性の名前
- ネームスペース一意に名前を識別するコレクションを指定します。値:任意のネームスペースの名前
- Deleteアイコンをクリックすると、エントリがテーブルから削除されます。