SAML 2.0 リモート IdP エンティティ設定

目次
casso1283
HID_remote-idp-entity-configuration
目次
[エンティティ設定]手順には、フェデレーション エンティティの設定の詳細が含まれます。
SAML 2.0 リモート IdP エンティティの設定
[リモート SAML 2.0 IdP エンティティの設定]セクションではエンティティを識別します。以下のフィールドについて説明します。
  • casso1283
    エンティティ ID
    パートナーに対してフェデレーション エンティティを識別します。エンティティ ID はドメイン名のような一般的な識別子です。エンティティ ID が
    リモート パートナー
    を表す場合、この値は一意である必要があります。エンティティ ID が
    ローカル パートナー
    を表す場合、同じシステム上で再利用できます。たとえば、エンティティ ID がローカルのアサートするパーティーを表す場合、この同じ ID を複数のパートナーシップで使用できます。
     リモート パートナーを表すエンティティ ID は、単一のアクティブなパートナーシップにのみ属することができます。
    値:
    URI (URL を推奨)
    以下のガイドラインに注意してください。
    • エンティティ ID は、URI である必要がありますが、絶対 URL をお勧めします。
    • エンティティ ID が URL の場合
      • URL のホスト部分は、組織のプライマリ DNS ドメインをルートとする名前である必要があります。
      • URL には、ポート番号、クエリ文字列、またはフラグメント識別子を含めることはできません。
    • アンパサンド(&)は独立したクエリ パラメータとして認識されるため、エンティティ ID で使用しないでください。
    • URN を指定しないでください。
    • リモート パートナーのエンティティ ID は、フェデレーション内での名前の衝突を回避するためにグローバルに一意である必要があります。
    有効なエンティティ ID の例
    • CompanyA:portal1
    • http://idp_name.forwardinc.com/idp
    • https://idp_name.example.edu/sp
    無効なエンティティ ID の例
    • http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto&test=1
    • http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (この URL でも機能しますが、この構文の使用は推奨されません)
    エンティティ名
    ポリシー ストア内のエンティティ オブジェクトに名前を付けます。エンティティ名は一意の値にする必要があります。フェデレーションは、特定のサイトでエンティティを識別するためにエンティティ名を内部で使用します。この値は外部的には使用されず、リモート パートナーはこの値を認識しません。
    注:
    [エンティティ名]は[エンティティ ID]と同じ値にすることができますが、値はサイト上の他のエンティティとは共有されません。
    値:
    英数字文字列
    例:
    Partner1
    説明
    エンティティを説明するための追加の情報を指定します。
    値:
    1024 文字までの英数字文字列
    ベース URL
    フェデレーションを実行するユーザから見えるサーバのベース位置を指定します。このサーバは通常、
    SiteMinder
    がインストールされているサーバです。ただし、サーバは、シングル サインオン サービスなどフェデレーション サービスをホストするサーバの URL であることも可能です。ベース URL は
    SiteMinder
    を有効にして、設定の他の部分に関連 URL を生成し、設定をより効率的にします。
    [ベース URL]は編集可能です。たとえば、
    SiteMinder
    システムに対して仮想ホストを設定できます。1 つの仮想ホストが UI 通信を処理します。別の仮想ホストは、埋め込まれた Apache Web Server が処理するユーザ トラフィックを処理します。サーバおよび Apache Web Server の HTTP ポートのみを指すよう[ベース URL]を編集できます。
    値:
    有効な URL
    例:
    https://fedserver.ca.com:5555
    このフィールドを変更する場合の以下の重要なガイドラインを確認してください。
    ベース URL を変更する場合は、URL の最後にスラッシュを置かないでください。最後にスラッシュがあると、このベース URL を使用する他の URL にスラッシュが 2 つ追加されます。
    フェールオーバ サポートに対して複数の
    SiteMinder
    を使用している場合は、このフィールドを他のシステムに対するシステム管理フェールオーバのホスト名およびポートに設定します。このシステムはロード バランサまたはプロキシ サーバであることが可能です。
  • エンティティ名
    ポリシー ストア内のエンティティ オブジェクトに名前を付けます。エンティティ名は一意の値にする必要があります。フェデレーションは、特定のサイトでエンティティを識別するためにエンティティ名を内部で使用します。この値は外部的には使用されず、リモート パートナーはこの値を認識しません。
    [エンティティ名]は[エンティティ ID]と同じ値にすることができますが、値はサイト上の他のエンティティとは共有されません。
    : 英数字文字列
    例:
    Partner1
  • リモート SSO サービス URL
    このリモート IdP でシングル サインオン サービスを識別します。テーブルにエントリを含めるには[行の追加]をクリックします。
    少なくとも 1 つの SSO サービスを定義します。
    テーブルには、以下の列が含まれています。
    • バインディング
      このエンティティのシングル サインオンに使用されるバインディングを指定します。
      デフォルト:
      HTTP リダイレクト
      制限:
      HTTP-Redirect、SOAP
    • URL
      IdP でシングル サインオン サービス用の URL を識別します。
      値:
      有効な URL
      SiteMinder
      がプロデューサである場合の例:
      http://
      federation_server
      :8054/affwebservices/public/saml2sso
    • Delete
      テーブルからエントリを削除します。
  • リモート SOAP Artifact 解決 URL
    (HTTP-Artifact にのみ必要)リモート IdP で Artifact 解決サービスを識別します。
    URL エントリには以下の設定が含まれます。
    • インデックス
      IdP で Artifact 解決サービスの URL を識別するインデックス番号を指定します。インデックスは、Artifact 解決サービス URL が複数定義されている場合の試行順序を決定します。
      デフォルト:
      0
      値:
      0 から 99999 までの一意の整数。
    • URL
      Artifact 解決サービスに対する URL を指定します。SSL がこのサービスに対して有効な場合、URL は
      https://
      で始まる必要があります。
  • リモート SLO サービス URL
    (オプション)リモート IdP で単一のログアウト サービスを識別します。テーブルには、以下の列が含まれています。
    • バインディング
      このエンティティによる SLO のバインディングを指定します。
      デフォルト:
      HTTP リダイレクト
      オプション:
      [HTTP-Redirect]、[SOAP]
    • ロケーション URL
      このリモート IdP でのシングル ログアウト サービスの URL を指定します。
      • URL は、http:/
        server:port
        /affwebservices/public/saml2slo です。
        server:port
        は、
        SiteMinder
        がインストールされているサーバです。
      • サードパーティ ベンダーに対して、URL はサービス処理シングル ログアウト レスポンスを表します。
    • レスポンス ロケーション URL
      (オプション)このリモート IdP でのシングル ログアウト サービスの URL を指定します。レスポンス ロケーション URL は、シングル ログアウト リクエストに対して 1 つのサービス、およびシングル ログアウト レスポンスに対して 1 つのサービスが存在する設定で役立ちます。
      • SiteMinder
        の場合は
        この値は常に SLO ロケーション URL と同じです。
        http://
        server:port
        /affwebservices/public/saml2slo
        server:port
        は、
        SiteMinder
        がインストールされているサーバです。
      • サードパーティ ベンダーに対して、URL はサービス処理シングル ログアウト レスポンスを表します。
名前 ID サービス URL の管理
(オプション)リモート Id で名前 ID サービスの管理を識別します。テーブルにエントリを含めるには[行の追加]をクリックします。
テーブルには、以下の列が含まれています。
  • バインディング
    このエンティティによって名前 ID サービスの管理に使用されるバインディングを指定します。
    デフォルト:
    SOAP
    オプション:
    HTTP-Redirect、HTTP-POST(読み取り、ただし使用されません)
  • ロケーション URL
    このリモート IdP での名前 ID サービスの管理の URL を指定します。
    SiteMinder
    の場合は
    この値は以下のとおりです。
    http://
    sp_server:port
    /affwebservices/public/saml2nidsoap
    sp_server:port
    では、SP にある、
    SiteMinder
    をホストしているサーバおよびポート番号を指定します
  • レスポンス ロケーション URL
    (オプション)レスポンス ロケーション URL を指定します。これは、リクエストに対して 1 つのサービス、およびレスポンスに対して 1 つのサービスが存在する場合に役立ちます。この設定は SOAP バインディングには適用されません。
    SiteMinder
    の場合は、この値は常にロケーション URL と同じです。
    http://
    stmndr_server:port
    /affwebservices/public/saml2nidsoap
    stmndr_server:port
    は、SP にある、
    SiteMinder
    がインストールされているサーバです。
  • リモート属性サービス URL
    (オプション)。この IdP のさまざまな属性サービスの URL をリスト表示します。SP からの属性クエリをサポートできる属性サービスの URL を入力します。行をテーブルに追加することにより複数のエントリを追加できます。
    例:
    http://host.forwardinc.com/affwebservices/public/saml2attrsvc
署名と暗号化のオプション
[署名および暗号化オプション]セクションでは、フェデレーション トランザクションの署名および暗号化動作を定義できます。このセクションには以下のフィールドがあります。
  • 検証証明書エイリアス
    (オプション)証明書データ ストアで特定の証明書と関連付けられるエイリアスを指定します。入力するエイリアスによって、署名されたアサーションおよび SLO レスポンスの検証に使用する証明書がポリシー サーバに指定されます。
    プルダウン リストからエイリアスを選択します。証明書データ ストアに証明書がない場合は、[インポート]をクリックして証明書をインポートできます。
    このフィールドで証明書に関連付けられたエイリアスを指定する前に、その証明書が証明書データ ストアに存在する必要があります。
    値:
    ドロップダウン リストから選択
  • セカンダリ検証証明書エイリアス
    (オプション)証明書データ ストアで証明書の 2 つ目の検証証明書エイリアスを指定します。設定された検証証明書エイリアスを使用してリクエストまたはレスポンスの署名検証に失敗した場合、ローカル SP はこのセカンダリ証明書エイリアスを使用します。リモート IdP は、メタデータまたはその他の手段を使用して、トランザクションが発生する前に、SP に検証証明書を送信します。 セカンダリ エイリアスの指定は、IdP が署名証明書をロールオーバーする場合に有用です。証明書の有効期限切れ、秘密キーの侵害、秘密キーのサイズ変更があった場合など、ロール オーバーは何らかの理由で発生します。証明書データ ストアに証明書が存在しない場合は、[
    インポート
    ]をクリックしてインポートしてください。
    値:
    ドロップダウン リストから選択
  • 署名された認証リクエストが必要
    AuthnRequest メッセージが署名され、署名されない場合は IdP はメッセージを受け付けないことを示します。
サポートされる名前 ID 形式および属性(SAML 2.0 IdP)
casso1283
casso1283
[サポートされる名前 ID 形式および属性]セクションでは、エンティティがサポートする名前 ID 形式を指定することができます。さらに、ID プロバイダに対して、アサーションに追加する属性を示します。
名前識別子は、アサーション内でユーザを固有の方法で指定し、アサーションに含める属性を指定します。名前識別子の形式により、ID に使用されるコンテンツのタイプが規定されます。たとえば、形式がユーザ DN の場合、コンテンツは uid となります。
アサーションに追加された属性により、ユーザの詳細な識別が可能となり、アサーションを使用するアプリケーションをユーザごとにカスタマイズすることもできます。
  • サポートされる名前 ID 形式
    エンティティがサポートする名前 ID 形式をすべてリスト表示します。適用される形式をすべて選択します。
    各形式の説明については、「
    Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0
    」仕様を参照してください。
  • サポートされるアサーション属性(ローカルおよびリモート IdP)
    アサートするパーティーがアサーションに含める属性を指定します。テーブルには、以下の列が含まれています。
    • アサーション属性
      アサーションに含まれている特定のユーザ ディレクトリ属性を示します。
      値:
      有効なユーザ ディレクトリ属性名
    • サポートされる形式
      属性の形式を指定します。
      オプション:
      未指定、基本、URI
(リリース 12.8.06 以降)[Tags Configuration (タグ設定)]セクション
[Tags Configuration (タグ設定)]セクションでは、追加情報やコンテキストをタグとしてエンティティに追加できます。タグは、共通のメタデータを使用して類似のオブジェクトをグループ化したり、追加の組織固有のコンテキストを維持したりするのに役立ちます。これによって、オブジェクトを簡単に識別および取得することができます。キーと値のペア形式で、タグに複数の値を割り当てることができます。
このセクションには以下のフィールドがあります。
  • 追加
    1 回目のクリックでは、[タグ]ダイアログ ボックスを使用して、
    [フェデレーション エンティティ]
    オブジェクト カテゴリに割り当てられているタグが表示されます。さらにクリックすると、別の行が追加され、複数のタグとタグ値が追加されます。
  • 名前
    [フェデレーション エンティティ]
    オブジェクト カテゴリに割り当てられているタグの名前が表示されます。タグ名は <
    tag_name
    >[<
    data_type
    >] 形式で表示されます。
  • 選択したタグの値を指定します。値に文字 *、<、=、>、! を入力しないでください。選択したタグのデータ型が
    日付
    の場合、タグ値は
    yyyy-mm-dd
    形式で、1970 年 1 月 1 日から 3000 年 12 月 31 日までの範囲内にある必要があります。
変更が送信されると、表の
[タグ]
列にタグが <
tag_name
>=<
tag_value
> 形式で表示されます。