SAML 2.0 ローカル IdP エンティティ ダイアログ ボックス

目次
casso1283
HID_local-idp-entity
目次
SAML 2.0 ローカル IdP エンティティの設定
[ローカル SAML 2.0 IdP エンティティの設定]セクションではエンティティを識別できます。設定には以下のものがあります。
  • casso1283
    エンティティ ID
    パートナーに対してフェデレーション エンティティを識別します。エンティティ ID はドメイン名のような一般的な識別子です。エンティティ ID が
    リモート パートナー
    を表す場合、この値は一意である必要があります。エンティティ ID が
    ローカル パートナー
    を表す場合、同じシステム上で再利用できます。たとえば、エンティティ ID がローカルのアサートするパーティーを表す場合、この同じ ID を複数のパートナーシップで使用できます。
     リモート パートナーを表すエンティティ ID は、単一のアクティブなパートナーシップにのみ属することができます。
    値:
    URI (URL を推奨)
    以下のガイドラインに注意してください。
    • エンティティ ID は、URI である必要がありますが、絶対 URL をお勧めします。
    • エンティティ ID が URL の場合
      • URL のホスト部分は、組織のプライマリ DNS ドメインをルートとする名前である必要があります。
      • URL には、ポート番号、クエリ文字列、またはフラグメント識別子を含めることはできません。
    • アンパサンド(&)は独立したクエリ パラメータとして認識されるため、エンティティ ID で使用しないでください。
    • URN を指定しないでください。
    • リモート パートナーのエンティティ ID は、フェデレーション内での名前の衝突を回避するためにグローバルに一意である必要があります。
    有効なエンティティ ID の例
    • CompanyA:portal1
    • http://idp_name.forwardinc.com/idp
    • https://idp_name.example.edu/sp
    無効なエンティティ ID の例
    • http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto&test=1
    • http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (この URL でも機能しますが、この構文の使用は推奨されません)
    エンティティ名
    ポリシー ストア内のエンティティ オブジェクトに名前を付けます。エンティティ名は一意の値にする必要があります。フェデレーションは、特定のサイトでエンティティを識別するためにエンティティ名を内部で使用します。この値は外部的には使用されず、リモート パートナーはこの値を認識しません。
    注:
    [エンティティ名]は[エンティティ ID]と同じ値にすることができますが、値はサイト上の他のエンティティとは共有されません。
    値:
    英数字文字列
    例:
    Partner1
    説明
    エンティティを説明するための追加の情報を指定します。
    値:
    1024 文字までの英数字文字列
    ベース URL
    フェデレーションを実行するユーザから見えるサーバのベース位置を指定します。このサーバは通常、
    SiteMinder
    がインストールされているサーバです。ただし、サーバは、シングル サインオン サービスなどフェデレーション サービスをホストするサーバの URL であることも可能です。ベース URL は
    SiteMinder
    を有効にして、設定の他の部分に関連 URL を生成し、設定をより効率的にします。
    [ベース URL]は編集可能です。たとえば、
    SiteMinder
    システムに対して仮想ホストを設定できます。1 つの仮想ホストが UI 通信を処理します。別の仮想ホストは、埋め込まれた Apache Web Server が処理するユーザ トラフィックを処理します。サーバおよび Apache Web Server の HTTP ポートのみを指すよう[ベース URL]を編集できます。
    値:
    有効な URL
    例:
    https://fedserver.ca.com:5555
    このフィールドを変更する場合の以下の重要なガイドラインを確認してください。
    ベース URL を変更する場合は、URL の最後にスラッシュを置かないでください。最後にスラッシュがあると、このベース URL を使用する他の URL にスラッシュが 2 つ追加されます。
    フェールオーバ サポートに対して複数の
    SiteMinder
    を使用している場合は、このフィールドを他のシステムに対するシステム管理フェールオーバのホスト名およびポートに設定します。このシステムはロード バランサまたはプロキシ サーバであることが可能です。
デフォルトの署名と暗号化オプション
[デフォルト署名および暗号化]セクションは、フェデレーション通信に対する署名および暗号化の動作を定義します。このセクションには以下の設定項目があります。
  • 署名秘密キー エイリアス
    (オプション)証明書データ ストアで特定の秘密キーと関連付けられているエイリアスを指定します。このフィールドは、アサートするパーティーがアサーション、アサーション レスポンス、シングル ログアウト リクエスト、およびシングル ログアウト レスポンスの署名に使用する秘密キーを示します。 使用したいキーが証明書データ ストアにない場合、
    [インポート]
    をクリックしてインポートしてから次の手順に進みます。
    値:
    ドロップダウン リストから選択
  • 署名された認証リクエストが必要
    AuthnRequest メッセージが受け入れられるには署名されることが必要であることを示します。このチェック ボックスを選択すると、アサートするパーティーは未承認応答を送信できません。
サポートされる名前 ID 形式および属性(SAML 2.0 IdP)
casso1283
casso1283
[サポートされる名前 ID 形式および属性]セクションでは、エンティティがサポートする名前 ID 形式を指定することができます。さらに、ID プロバイダに対して、アサーションに追加する属性を示します。
名前識別子は、アサーション内でユーザを固有の方法で指定し、アサーションに含める属性を指定します。名前識別子の形式により、ID に使用されるコンテンツのタイプが規定されます。たとえば、形式がユーザ DN の場合、コンテンツは uid となります。
アサーションに追加された属性により、ユーザの詳細な識別が可能となり、アサーションを使用するアプリケーションをユーザごとにカスタマイズすることもできます。
  • サポートされる名前 ID 形式
    エンティティがサポートする名前 ID 形式をすべてリスト表示します。適用される形式をすべて選択します。
    各形式の説明については、「
    Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0
    」仕様を参照してください。
  • サポートされるアサーション属性(ローカルおよびリモート IdP)
    アサートするパーティーがアサーションに含める属性を指定します。テーブルには、以下の列が含まれています。
    • アサーション属性
      アサーションに含まれている特定のユーザ ディレクトリ属性を示します。
      値:
      有効なユーザ ディレクトリ属性名
    • サポートされる形式
      属性の形式を指定します。
      オプション:
      未指定、基本、URI
(リリース 12.8.06 以降)[Tags Configuration (タグ設定)]セクション
[Tags Configuration (タグ設定)]セクションでは、追加情報やコンテキストをタグとしてエンティティに追加できます。タグは、共通のメタデータを使用して類似のオブジェクトをグループ化したり、追加の組織固有のコンテキストを維持したりするのに役立ちます。これによって、オブジェクトを簡単に識別および取得することができます。キーと値のペア形式で、タグに複数の値を割り当てることができます。
このセクションには以下のフィールドがあります。
  • 追加
    1 回目のクリックでは、[タグ]ダイアログ ボックスを使用して、
    [フェデレーション エンティティ]
    オブジェクト カテゴリに割り当てられているタグが表示されます。さらにクリックすると、別の行が追加され、複数のタグとタグ値が追加されます。
  • 名前
    [フェデレーション エンティティ]
    オブジェクト カテゴリに割り当てられているタグの名前が表示されます。タグ名は <
    tag_name
    >[<
    data_type
    >] 形式で表示されます。
  • 選択したタグの値を指定します。値に文字 *、<、=、>、! を入力しないでください。選択したタグのデータ型が
    日付
    の場合、タグ値は
    yyyy-mm-dd
    形式で、1970 年 1 月 1 日から 3000 年 12 月 31 日までの範囲内にある必要があります。
変更が送信されると、表の
[タグ]
列にタグが <
tag_name
>=<
tag_value
> 形式で表示されます。