SAML 2.0 リモート SP エンティティ設定
casso1283
HID_remote-sp-entity-config
[エンティティ設定]手順には、フェデレーション エンティティの設定の詳細が含まれます。
SAML 2.0 リモート SP エンティティの設定
[SAML 2.0 リモート SP エンティティの設定]セクションではエンティティを識別できます。
- エンティティ IDパートナーに対してフェデレーション エンティティを識別します。エンティティ ID はドメイン名のような一般的な識別子です。エンティティ ID がリモート パートナーを表す場合、この値は一意である必要があります。エンティティ ID がローカル パートナーを表す場合、同じシステム上で再利用できます。たとえば、エンティティ ID がローカル IdP を表す場合、この同じ ID を複数の IdP 対 SP のパートナーシップで使用できます。
- リモート パートナーを表すエンティティ ID は、単一のアクティブなパートナーシップにのみ属することができます。値:URI (URL を推奨)以下のガイドラインに注意してください。
- エンティティ ID は、URI である必要がありますが、絶対 URL をお勧めします。
- エンティティ ID が URL の場合
- URL のホスト部分は、組織のプライマリ DNS ドメインをルートとする名前である必要があります。
- URL には、ポート番号、クエリ文字列、またはフラグメント識別子を含めることはできません。
- アンパサンド(&)は独立したクエリ パラメータとして認識されるため、エンティティ ID で使用しないでください。
- URN を指定しないでください。
- リモート パートナーのエンティティ ID は、フェデレーション内での名前の衝突を回避するためにグローバルに一意である必要があります。
有効なエンティティ ID の例- CompanyA:portal1
- http://idp_name.forwardinc.com/idp
- https://idp_name.example.edu/sp
無効なエンティティ ID の例- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto&test=1
- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (この URL でも機能しますが、この構文の使用は推奨されません)
- エンティティ名データベース内のエンティティ オブジェクトに名前を付けます。エンティティ名は一意の値にする必要があります。システムは、特定のサイトでエンティティを識別するためにエンティティ名を内部で使用します。この値は外部的には使用されず、リモート パートナーはこの値を認識しません。 [エンティティ名]は[エンティティ ID]と同じ値にすることができますが、値はサイト上の他のエンティティとは共有されません。値:英数字文字列例:Partner1
- 説明エンティティを説明するための追加の情報を指定します。値:1024 文字までの英数字文字列
アサーション コンシューマ サービス URL
[アサーション コンシューマ サービス URL]セクションは、アサーションを消費するこのリモート SP でサービスを指定します。テーブルにエントリを含めるには[行の追加]をクリックします。
必ず少なくとも 1 つの[アサーション コンシューマ サービス]エントリを定義します。
テーブルには、以下の列が含まれています。
- インデックス[アサーション コンシューマ サービス]の URL と関連付けられるインデックス番号を指定します。デフォルト:0値:0 から 99999 までの一意の整数。
- バインディングこのエンドポイントがシングル サインオンに使用するバインディングを指定します。IdP は未承認リクエストでシングル サインオンを開始できます。リクエストに ProtocolBinding クエリ パラメータが含まれる場合、クエリ パラメータで指定されたバインディングは、このフィールドに対して選択される値を上書きします。オプション:HTTP-Artifact、HTTP-POST、SOAP
- URLアサーション コンシューマ サービス用の URL を指定します。SSL がサービスに有効な場合、URL はhttps://で始まる必要があります。
- デフォルト値選択したアサーション コンシューマ サービス エントリが消費するアサーションに対するデフォルト URL として機能することを示します。1 つのエントリのみをデフォルトとして設定できます。
SLO サービス URL
(オプション)このセクションでは、このリモート SP でのシングル ログアウト サービスを識別します。テーブルにエントリを含めるには[行の追加]をクリックします。
テーブルには、以下の列が含まれています。
- バインディングこのエンティティの SLO に使用されるバインディングを指定します。デフォルト:HTTP リダイレクトオプション:[HTTP-Redirect]、[SOAP]
- ロケーション URLこのリモート SP でのシングル ログアウト サービスの URL を指定します。
- SiteMinderの場合は、この値は以下のとおりです。http://sp_server:port/affwebservices/public/saml2slosp_server:portでは、SP にある、SiteMinderをホストしているサーバおよびポート番号を指定します。
- サードパーティ ベンダーに対して、URL はシングル ログアウト サービスを表します。
- レスポンス ロケーション URL(オプション)このリモート SP でのシングル ログアウト サービスの URL を指定します。シングル ログアウト リクエストに対して 1 つのサービス、およびシングル ログアウト レスポンスに対して 1 つのサービスが存在する場合、[レスポンス ロケーション URL]は役立ちます。
- SiteMinderの場合は、この値は常に SLO ロケーション URL と同じです。http://sp_server:port/affwebservices/public/saml2slosp_server:portは、SP にある、SiteMinderがインストールされているサーバです。
- サードパーティ ベンダーに対して、URL はサービス処理シングル ログアウト レスポンスを表します。
名前 ID サービス URL の管理
(オプション)リモート SP で名前 ID サービスの管理を識別します。テーブルにエントリを含めるには[行の追加]をクリックします。
テーブルには、以下の列が含まれています。
- バインディングこのエンティティによって名前 ID サービスの管理に使用されるバインディングを指定します。デフォルト:SOAPオプション:HTTP-Redirect、HTTP-POST(読み取り、ただし使用されません)
- ロケーション URLこのリモート SP での名前 ID サービスの管理の URL を指定します。
- SiteMinderの場合は、この値は以下のとおりです。http://sp_server:port/affwebservices/public/saml2nidsoapsp_server:portでは、SP にある、SiteMinderをホストしているサーバおよびポート番号を指定します。
- レスポンス ロケーション URL(オプション)レスポンス ロケーション URL を指定します。これは、リクエストに対して 1 つのサービス、およびレスポンスに対して 1 つのサービスが存在する場合に役立ちます。SOAP バインディングには適用されません。
- SiteMinderの場合は、この値は常にロケーション URL と同じです。http://sp_server:port/affwebservices/public/saml2nidsoapsp_server:portは、SP にある、SiteMinderがインストールされているサーバです。
署名と暗号化のオプション
[署名および暗号化オプション]では、連係したトランザクションに対する署名および暗号化の動作を定義します。このセクションには、以下の設定項目が含まれています。
- 検証証明書エイリアス(オプション)証明書データ ストアで特定の証明書と関連付けられるエイリアスを指定します。入力するエイリアスによって、署名されたアサーションおよび SLO レスポンスの検証に使用する証明書がポリシー サーバに指定されます。プルダウン リストからエイリアスを選択します。証明書が使用できない場合は、[インポート]をクリックして証明書をインポートしてください。 このフィールドで証明書に関連付けられたエイリアスを指定する前に、その証明書が証明書データ ストアに存在する必要があります。値:ドロップダウン リストから選択
- セカンダリ検証証明書エイリアス(オプション)証明書データ ストアで 2 番目の検証証明書エイリアスを指定します。検証証明書エイリアスを使用してリクエストまたはレスポンスの署名検証に失敗した場合、IdP はこのセカンダリ検証エイリアスを使用して署名を検証します。リモート SP は、メタデータまたはその他の手段を使用して、トランザクションが発生する前に、IdP に検証証明書を送信します。セカンダリ エイリアスの指定は、SP が署名証明書をロールオーバーする場合に有用です。証明書の有効期限切れ、秘密キーの侵害、秘密キーのサイズ変更があった場合など、ロール オーバーは何らかの理由で発生します。 証明書データ ストアに証明書が存在しない場合は、[インポート]をクリックしてインポートします。値:ドロップダウン リストから選択。
- 暗号化証明書エイリアス(オプション)証明書データ ストアで特定の証明書と関連付けられるエイリアスを指定します。このフィールドの入力によって、リモート SP が IdP 提供し、IdP が暗号化に使用する証明書が指定されます。SP は、その秘密キーを使用して復号を実行します。エイリアスはプルダウン リストから選択します。また、必要なキーが利用可能でない場合は、[インポート]をクリックして証明書をインポートしてください。 このフィールドで証明書に関連付けられたエイリアスを指定する前に、その証明書が証明書データ ストアに存在する必要があります。値:ドロップダウン リストから選択
- 認証要求の署名SP が送信する認証要求メッセージに署名が必要であることを示します。要求に署名することにより、両側のパートナーシップの間の信頼が確実になります。
サポートされる名前 ID 形式
casso1283
[サポートされている名前 ID 形式]セクションでは、エンティティがサポートする名前 ID 形式を指定できます。
名前識別子は、アサーション内でユーザを固有の方法で指定し、アサーションに含める属性を指定します。名前識別子の形式により、ID に使用されるコンテンツのタイプが規定されます。たとえば、形式がユーザ DN の場合、コンテンツは uid となります。
- サポートされる名前 ID 形式エンティティがサポートする名前 ID 形式をすべてリスト表示します。適用される形式をすべて選択します。各形式の説明については、「Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0」仕様を参照してください。
(リリース 12.8.06 以降)[Tags Configuration (タグ設定)]セクション
[Tags Configuration (タグ設定)]セクションでは、追加情報やコンテキストをタグとしてエンティティに追加できます。タグは、共通のメタデータを使用して類似のオブジェクトをグループ化したり、追加の組織固有のコンテキストを維持したりするのに役立ちます。これによって、オブジェクトを簡単に識別および取得することができます。キーと値のペア形式で、タグに複数の値を割り当てることができます。
このセクションには以下のフィールドがあります。
- 追加1 回目のクリックでは、[タグ]ダイアログ ボックスを使用して、[フェデレーション エンティティ]オブジェクト カテゴリに割り当てられているタグが表示されます。さらにクリックすると、別の行が追加され、複数のタグとタグ値が追加されます。
- 名前[フェデレーション エンティティ]オブジェクト カテゴリに割り当てられているタグの名前が表示されます。タグ名は <tag_name>[<data_type>] 形式で表示されます。
- 値選択したタグの値を指定します。値に文字 *、<、=、>、! を入力しないでください。選択したタグのデータ型が日付の場合、タグ値はyyyy-mm-dd形式で、1970 年 1 月 1 日から 3000 年 12 月 31 日までの範囲内にある必要があります。
変更が送信されると、表の
[タグ]
列にタグが <tag_name
>=<tag_value
> 形式で表示されます。