SAML 2.0 リモート SP エンティティ設定

casso1283
HID_remote-sp-entity-config
[エンティティ設定]手順には、フェデレーション エンティティの設定の詳細が含まれます。
SAML 2.0 リモート SP エンティティの設定
[SAML 2.0 リモート SP エンティティの設定]セクションではエンティティを識別できます。
  • エンティティ ID
    パートナーに対してフェデレーション エンティティを識別します。エンティティ ID はドメイン名のような一般的な識別子です。エンティティ ID が
    リモート パートナー
    を表す場合、この値は一意である必要があります。エンティティ ID が
    ローカル パートナー
    を表す場合、同じシステム上で再利用できます。たとえば、エンティティ ID がローカル IdP を表す場合、この同じ ID を複数の IdP 対 SP のパートナーシップで使用できます。
  • リモート パートナーを表すエンティティ ID は、単一のアクティブなパートナーシップにのみ属することができます。
    値:
    URI (URL を推奨)
    以下のガイドラインに注意してください。
    • エンティティ ID は、URI である必要がありますが、絶対 URL をお勧めします。
    • エンティティ ID が URL の場合
      • URL のホスト部分は、組織のプライマリ DNS ドメインをルートとする名前である必要があります。
      • URL には、ポート番号、クエリ文字列、またはフラグメント識別子を含めることはできません。
    • アンパサンド(&)は独立したクエリ パラメータとして認識されるため、エンティティ ID で使用しないでください。
    • URN を指定しないでください。
    • リモート パートナーのエンティティ ID は、フェデレーション内での名前の衝突を回避するためにグローバルに一意である必要があります。
    有効なエンティティ ID の例
    • CompanyA:portal1
    • http://idp_name.forwardinc.com/idp
    • https://idp_name.example.edu/sp
    無効なエンティティ ID の例
    • http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto&test=1
    • http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (この URL でも機能しますが、この構文の使用は推奨されません)
  • エンティティ名
    データベース内のエンティティ オブジェクトに名前を付けます。エンティティ名は一意の値にする必要があります。システムは、特定のサイトでエンティティを識別するためにエンティティ名を内部で使用します。この値は外部的には使用されず、リモート パートナーはこの値を認識しません。 [エンティティ名]は[エンティティ ID]と同じ値にすることができますが、値はサイト上の他のエンティティとは共有されません。
    値:
    英数字文字列
    例:
    Partner1
  • 説明
    エンティティを説明するための追加の情報を指定します。
    値:
    1024 文字までの英数字文字列
アサーション コンシューマ サービス URL
[アサーション コンシューマ サービス URL]セクションは、アサーションを消費するこのリモート SP でサービスを指定します。テーブルにエントリを含めるには[行の追加]をクリックします。
必ず少なくとも 1 つの[アサーション コンシューマ サービス]エントリを定義します。
テーブルには、以下の列が含まれています。
  • インデックス
    [アサーション コンシューマ サービス]の URL と関連付けられるインデックス番号を指定します。
    デフォルト:
    0
    値:
    0 から 99999 までの一意の整数。
  • バインディング
    このエンドポイントがシングル サインオンに使用するバインディングを指定します。
    IdP は未承認リクエストでシングル サインオンを開始できます。リクエストに ProtocolBinding クエリ パラメータが含まれる場合、クエリ パラメータで指定されたバインディングは、このフィールドに対して選択される値を上書きします。
    オプション:
    HTTP-Artifact、HTTP-POST、SOAP
  • URL
    アサーション コンシューマ サービス用の URL を指定します。SSL がサービスに有効な場合、URL は
    https://
    で始まる必要があります。
  • デフォルト値
    選択したアサーション コンシューマ サービス エントリが消費するアサーションに対するデフォルト URL として機能することを示します。1 つのエントリのみをデフォルトとして設定できます。
SLO サービス URL
(オプション)このセクションでは、このリモート SP でのシングル ログアウト サービスを識別します。テーブルにエントリを含めるには[行の追加]をクリックします。
テーブルには、以下の列が含まれています。
  • バインディング
    このエンティティの SLO に使用されるバインディングを指定します。
    デフォルト:
    HTTP リダイレクト
    オプション:
    [HTTP-Redirect]、[SOAP]
  • ロケーション URL
    このリモート SP でのシングル ログアウト サービスの URL を指定します。
    • SiteMinder
      の場合は、この値は以下のとおりです。
      http://
      sp_server:port
      /affwebservices/public/saml2slo
      sp_server:port
      では、SP にある、
      SiteMinder
      をホストしているサーバおよびポート番号を指定します。
    • サードパーティ ベンダーに対して、URL はシングル ログアウト サービスを表します。
  • レスポンス ロケーション URL
    (オプション)このリモート SP でのシングル ログアウト サービスの URL を指定します。シングル ログアウト リクエストに対して 1 つのサービス、およびシングル ログアウト レスポンスに対して 1 つのサービスが存在する場合、[レスポンス ロケーション URL]は役立ちます。
    • SiteMinder
      の場合は、この値は常に SLO ロケーション URL と同じです。
      http://sp
      _server:port
      /affwebservices/public/saml2slo
      sp_server:port
      は、SP にある、
      SiteMinder
      がインストールされているサーバです。
    • サードパーティ ベンダーに対して、URL はサービス処理シングル ログアウト レスポンスを表します。
名前 ID サービス URL の管理
(オプション)リモート SP で名前 ID サービスの管理を識別します。テーブルにエントリを含めるには[行の追加]をクリックします。
テーブルには、以下の列が含まれています。
  • バインディング
    このエンティティによって名前 ID サービスの管理に使用されるバインディングを指定します。
    デフォルト:
    SOAP
    オプション:
    HTTP-Redirect、HTTP-POST(読み取り、ただし使用されません)
  • ロケーション URL
    このリモート SP での名前 ID サービスの管理の URL を指定します。
    • SiteMinder
      の場合は、この値は以下のとおりです。
      http://
      sp_server:port
      /affwebservices/public/saml2nidsoap
      sp_server:port
      では、SP にある、
      SiteMinder
      をホストしているサーバおよびポート番号を指定します。
  • レスポンス ロケーション URL
    (オプション)レスポンス ロケーション URL を指定します。これは、リクエストに対して 1 つのサービス、およびレスポンスに対して 1 つのサービスが存在する場合に役立ちます。SOAP バインディングには適用されません。
    • SiteMinder
      の場合は、この値は常にロケーション URL と同じです。
      http://
      sp_server:port
      /affwebservices/public/saml2nidsoap
      sp_server:port
      は、SP にある、
      SiteMinder
      がインストールされているサーバです。
署名と暗号化のオプション
[署名および暗号化オプション]では、連係したトランザクションに対する署名および暗号化の動作を定義します。このセクションには、以下の設定項目が含まれています。
  • 検証証明書エイリアス
    (オプション)証明書データ ストアで特定の証明書と関連付けられるエイリアスを指定します。入力するエイリアスによって、署名されたアサーションおよび SLO レスポンスの検証に使用する証明書がポリシー サーバに指定されます。
    プルダウン リストからエイリアスを選択します。証明書が使用できない場合は、
    [インポート]
    をクリックして証明書をインポートしてください。 このフィールドで証明書に関連付けられたエイリアスを指定する前に、その証明書が証明書データ ストアに存在する必要があります。
    値:
    ドロップダウン リストから選択
  • セカンダリ検証証明書エイリアス
    (オプション)証明書データ ストアで 2 番目の検証証明書エイリアスを指定します。検証証明書エイリアスを使用してリクエストまたはレスポンスの署名検証に失敗した場合、IdP はこのセカンダリ検証エイリアスを使用して署名を検証します。リモート SP は、メタデータまたはその他の手段を使用して、トランザクションが発生する前に、IdP に検証証明書を送信します。セカンダリ エイリアスの指定は、SP が署名証明書をロールオーバーする場合に有用です。証明書の有効期限切れ、秘密キーの侵害、秘密キーのサイズ変更があった場合など、ロール オーバーは何らかの理由で発生します。 証明書データ ストアに証明書が存在しない場合は、
    [インポート]
    をクリックしてインポートします。
    値:
    ドロップダウン リストから選択。
  • 暗号化証明書エイリアス
    (オプション)証明書データ ストアで特定の証明書と関連付けられるエイリアスを指定します。このフィールドの入力によって、リモート SP が IdP 提供し、IdP が暗号化に使用する証明書が指定されます。SP は、その秘密キーを使用して復号を実行します。
    エイリアスはプルダウン リストから選択します。また、必要なキーが利用可能でない場合は、[インポート]をクリックして証明書をインポートしてください。 このフィールドで証明書に関連付けられたエイリアスを指定する前に、その証明書が証明書データ ストアに存在する必要があります。
    値:
    ドロップダウン リストから選択
  • 認証要求の署名
    SP が送信する認証要求メッセージに署名が必要であることを示します。要求に署名することにより、両側のパートナーシップの間の信頼が確実になります。
サポートされる名前 ID 形式
casso1283
[サポートされている名前 ID 形式]セクションでは、エンティティがサポートする名前 ID 形式を指定できます。
名前識別子は、アサーション内でユーザを固有の方法で指定し、アサーションに含める属性を指定します。名前識別子の形式により、ID に使用されるコンテンツのタイプが規定されます。たとえば、形式がユーザ DN の場合、コンテンツは uid となります。
  • サポートされる名前 ID 形式
    エンティティがサポートする名前 ID 形式をすべてリスト表示します。適用される形式をすべて選択します。
    各形式の説明については、「
    Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0
    」仕様を参照してください。
 
 
(リリース 12.8.06 以降)[Tags Configuration (タグ設定)]セクション
[Tags Configuration (タグ設定)]セクションでは、追加情報やコンテキストをタグとしてエンティティに追加できます。タグは、共通のメタデータを使用して類似のオブジェクトをグループ化したり、追加の組織固有のコンテキストを維持したりするのに役立ちます。これによって、オブジェクトを簡単に識別および取得することができます。キーと値のペア形式で、タグに複数の値を割り当てることができます。
このセクションには以下のフィールドがあります。
  • 追加
    1 回目のクリックでは、[タグ]ダイアログ ボックスを使用して、
    [フェデレーション エンティティ]
    オブジェクト カテゴリに割り当てられているタグが表示されます。さらにクリックすると、別の行が追加され、複数のタグとタグ値が追加されます。
  • 名前
    [フェデレーション エンティティ]
    オブジェクト カテゴリに割り当てられているタグの名前が表示されます。タグ名は <
    tag_name
    >[<
    data_type
    >] 形式で表示されます。
  • 選択したタグの値を指定します。値に文字 *、<、=、>、! を入力しないでください。選択したタグのデータ型が
    日付
    の場合、タグ値は
    yyyy-mm-dd
    形式で、1970 年 1 月 1 日から 3000 年 12 月 31 日までの範囲内にある必要があります。
変更が送信されると、表の
[タグ]
列にタグが <
tag_name
>=<
tag_value
> 形式で表示されます。