SAML 2.0 ローカル SP エンティティ設定

casso1283
HID_local-sp-entity
[エンティティ設定]手順には、フェデレーション エンティティの設定の詳細が含まれます。
SAML 2.0 ローカル SP エンティティの設定
[ローカル SAML 2.0 SP エンティティの設定]セクションではエンティティを識別できます。設定には以下のものがあります。
  • casso1283
    エンティティ ID
    パートナーに対してフェデレーション エンティティを識別します。エンティティ ID はドメイン名のような一般的な識別子です。エンティティ ID が
    リモート パートナー
    を表す場合、この値は一意である必要があります。エンティティ ID が
    ローカル パートナー
    を表す場合、同じシステム上で再利用できます。たとえば、エンティティ ID がローカルのアサートするパーティーを表す場合、この同じ ID を複数のパートナーシップで使用できます。
     リモート パートナーを表すエンティティ ID は、単一のアクティブなパートナーシップにのみ属することができます。
    値:
    URI (URL を推奨)
    以下のガイドラインに注意してください。
    • エンティティ ID は、URI である必要がありますが、絶対 URL をお勧めします。
    • エンティティ ID が URL の場合
      • URL のホスト部分は、組織のプライマリ DNS ドメインをルートとする名前である必要があります。
      • URL には、ポート番号、クエリ文字列、またはフラグメント識別子を含めることはできません。
    • アンパサンド(&)は独立したクエリ パラメータとして認識されるため、エンティティ ID で使用しないでください。
    • URN を指定しないでください。
    • リモート パートナーのエンティティ ID は、フェデレーション内での名前の衝突を回避するためにグローバルに一意である必要があります。
    有効なエンティティ ID の例
    • CompanyA:portal1
    • http://idp_name.forwardinc.com/idp
    • https://idp_name.example.edu/sp
    無効なエンティティ ID の例
    • http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto&test=1
    • http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (この URL でも機能しますが、この構文の使用は推奨されません)
    エンティティ名
    ポリシー ストア内のエンティティ オブジェクトに名前を付けます。エンティティ名は一意の値にする必要があります。フェデレーションは、特定のサイトでエンティティを識別するためにエンティティ名を内部で使用します。この値は外部的には使用されず、リモート パートナーはこの値を認識しません。
    注:
    [エンティティ名]は[エンティティ ID]と同じ値にすることができますが、値はサイト上の他のエンティティとは共有されません。
    値:
    英数字文字列
    例:
    Partner1
    説明
    エンティティを説明するための追加の情報を指定します。
    値:
    1024 文字までの英数字文字列
    ベース URL
    フェデレーションを実行するユーザから見えるサーバのベース位置を指定します。このサーバは通常、
    SiteMinder
    がインストールされているサーバです。ただし、サーバは、シングル サインオン サービスなどフェデレーション サービスをホストするサーバの URL であることも可能です。ベース URL は
    SiteMinder
    を有効にして、設定の他の部分に関連 URL を生成し、設定をより効率的にします。
    [ベース URL]は編集可能です。たとえば、
    SiteMinder
    システムに対して仮想ホストを設定できます。1 つの仮想ホストが UI 通信を処理します。別の仮想ホストは、埋め込まれた Apache Web Server が処理するユーザ トラフィックを処理します。サーバおよび Apache Web Server の HTTP ポートのみを指すよう[ベース URL]を編集できます。
    値:
    有効な URL
    例:
    https://fedserver.ca.com:5555
    このフィールドを変更する場合の以下の重要なガイドラインを確認してください。
    ベース URL を変更する場合は、URL の最後にスラッシュを置かないでください。最後にスラッシュがあると、このベース URL を使用する他の URL にスラッシュが 2 つ追加されます。
    フェールオーバ サポートに対して複数の
    SiteMinder
    を使用している場合は、このフィールドを他のシステムに対するシステム管理フェールオーバのホスト名およびポートに設定します。このシステムはロード バランサまたはプロキシ サーバであることが可能です。
デフォルトの署名と暗号化オプション
[デフォルト署名および暗号化オプション]セクションでは、連係された通信に対する署名および暗号化の動作を定義します。
各フィールドのキー エイリアスを選択する前に、秘密キーが証明書データ ストアに存在する必要があります。
このセクションには以下の設定項目があります。
  • 署名秘密キー エイリアス
    (オプション)証明書データ ストアで特定の秘密キー/証明書ペアと関連付けられるエイリアスを指定します。このフィールドのエントリは、アサーション レスポンス、シングル ログアウト リクエスト、およびシングル ログアウト レスポンスの署名に SP が使用する秘密キー/証明書ペアを示します。 証明書データ ストアにキー/証明書ペアが存在しない場合は、
    [インポート]
    をクリックしてインポートします。
    値:
    ドロップダウン リストから選択
  • 復号秘密キー エイリアス
    (オプション)証明書データ ストアで特定の秘密キーと関連付けられているエイリアスを指定します。このフィールドのエントリは、復号アサーション、アサーション レスポンス、シングル ログアウト要求、およびシングル ログアウト レスポンスに SP が使用する秘密キーを示します。 証明書データ ストアにキーが存在しない場合は、
    [インポート]
    をクリックしてキーをインポートしてください。
    値:
    ドロップダウン リストから選択
  • 認証要求の署名
    エンティティが送信する認証要求のすべてにそのエンティティが署名することを示します。このチェック ボックスをオンにすると、IdP は未承認のレスポンスを送信しなくなり、2 つのパートナー間の信頼が保証されます。
サポートされる名前 ID 形式
casso1283
[サポートされている名前 ID 形式]セクションでは、エンティティがサポートする名前 ID 形式を指定できます。
名前識別子は、アサーション内でユーザを固有の方法で指定し、アサーションに含める属性を指定します。名前識別子の形式により、ID に使用されるコンテンツのタイプが規定されます。たとえば、形式がユーザ DN の場合、コンテンツは uid となります。
  • サポートされる名前 ID 形式
    エンティティがサポートする名前 ID 形式をすべてリスト表示します。適用される形式をすべて選択します。
    各形式の説明については、「
    Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0
    」仕様を参照してください。
 
 
(リリース 12.8.06 以降)[Tags Configuration (タグ設定)]セクション
[Tags Configuration (タグ設定)]セクションでは、追加情報やコンテキストをタグとしてエンティティに追加できます。タグは、共通のメタデータを使用して類似のオブジェクトをグループ化したり、追加の組織固有のコンテキストを維持したりするのに役立ちます。これによって、オブジェクトを簡単に識別および取得することができます。キーと値のペア形式で、タグに複数の値を割り当てることができます。
このセクションには以下のフィールドがあります。
  • 追加
    1 回目のクリックでは、[タグ]ダイアログ ボックスを使用して、
    [フェデレーション エンティティ]
    オブジェクト カテゴリに割り当てられているタグが表示されます。さらにクリックすると、別の行が追加され、複数のタグとタグ値が追加されます。
  • 名前
    [フェデレーション エンティティ]
    オブジェクト カテゴリに割り当てられているタグの名前が表示されます。タグ名は <
    tag_name
    >[<
    data_type
    >] 形式で表示されます。
  • 選択したタグの値を指定します。値に文字 *、<、=、>、! を入力しないでください。選択したタグのデータ型が
    日付
    の場合、タグ値は
    yyyy-mm-dd
    形式で、1970 年 1 月 1 日から 3000 年 12 月 31 日までの範囲内にある必要があります。
変更が送信されると、表の
[タグ]
列にタグが <
tag_name
>=<
tag_value
> 形式で表示されます。