WS-フェデレーション エンティティの設定
casso1283
HID_wsfed-entity
以下の設定のほとんどは、ローカルおよびリモート WS-フェデレーション エンティティに共通しています。
- エンティティ IDパートナーに対してフェデレーション エンティティを識別します。エンティティ ID はドメイン名のような一般的な識別子です。エンティティ ID がリモート パートナーを表す場合、この値は一意である必要があります。エンティティ ID がローカル パートナーを表す場合、同じシステム上で再利用できます。たとえば、エンティティ ID がローカルのアサートするパーティーを表す場合、この同じ ID を複数のパートナーシップで使用できます。リモート パートナーを表すエンティティ ID は、単一のアクティブなパートナーシップにのみ属することができます。値:URI (URL を推奨)以下のガイドラインに注意してください。
- エンティティ ID は、URI である必要がありますが、絶対 URL をお勧めします。
- エンティティ ID が URL の場合
- URL のホスト部分は、組織のプライマリ DNS ドメインをルートとする名前である必要があります。
- URL には、ポート番号、クエリ文字列、またはフラグメント識別子を含めることはできません。
- アンパサンド(&)は独立したクエリ パラメータとして認識されるため、エンティティ ID で使用しないでください。
- URN を指定しないでください。
- リモート パートナーのエンティティ ID は、フェデレーション内での名前の衝突を回避するためにグローバルに一意である必要があります。有効なエンティティ ID の例
- CompanyA:portal1
- https://idp_name.example.edu/sp無効なエンティティ ID の例
- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (この URL でも機能しますが、この構文の使用は推奨されません)
- エンティティ名
ポリシー ストアに対するエンティティ オブジェクトに名前を付けます。エンティティ名は一意の値にする必要があります。このエンティティ名は、
SiteMinder
の内部で特定のサイトの特定のエンティティを識別するのに使用されます。この値は外部的には使用されず、リモート パートナーはこの値を認識しません。[エンティティ名]は[エンティティ ID]と同じ値にすることができますが、値はサイト上の他のエンティティとは共有されません。
値:
英数字文字列例:
Partner1- 説明
エンティティを説明するための追加の情報を指定します。
値:
1024 文字までの英数字文字列- ベース URL
フェデレーションを実行するユーザから見えるサーバのベース位置を指定します。このサーバには通常、
SiteMinder
がインストールされています。サーバは、フェデレーション サービスをホストするサーバの URL とすることもできます。ベース URL は SiteMinder
を有効にして、設定の他の部分に関連 URL を生成し、設定をより効率的にします。[ベース URL]は編集可能です。たとえば、
SiteMinder
システム用の仮想ホストを設定できる可能性があります。1 つの仮想ホストが管理 UI 通信を処理します。別の仮想ホストは、埋め込まれた Apache Web Server が処理したユーザ トラフィックを処理します。この場合、サーバおよび Apache Web Server の HTTP ポートのみを指すように[Base URL]を編集できます。値:
有効な URLこのフィールドを変更する場合の以下の重要なガイドラインを確認してください。
- ベース URL を変更する場合は、URL の最後にスラッシュを置かないでください。最後にスラッシュがあると、このベース URL を使用する他の URL にスラッシュが 2 つ追加されます。
- フェールオーバ サポートでは、このフィールドの値は他のシステムに対するフェールオーバを管理するシステムのホスト名およびポートです。このシステムはロード バランサまたはプロキシ サーバであることが可能です。
- 特定 ID (ローカル IP および RP エンティティ)この ID は、同じ IP および RP の間に複数のパートナーシップがある場合に限って設定します。組織内の複数のビジネス ユニットがリモートのパートナーと独自の関係を持っている場合、特定 ID が役立ちますが、各ユニットは共有のフェデレーション インフラストラクチャに依存します。同じ IP または RP ID による複数のパートナーシップは許可されません。リモートのパートナーが単一の RP ID を使用する場合は、SiteMinderがシングル サインオン リクエストを区別できる必要があります。特定 ID を使用すると、システムはフェデレーション サービス URL 用の一意の論理パス サフィックスにより、パートナーシップを区別できます(SSO サービスなど)。たとえば、営業および財務の部門で、ForwardInc.com とのパートナーシップが必要であるとします。両方のパートナーシップは ForwardInc.com に対して同じ RP ID を使用します。各パートナーシップ内のローカル エンティティについて、"販売" および "財務" の特定 ID をそれぞれ追加します。SSO URL の例:http://server:port/affwebservices/public/wsfeddispatcher?RPID=http://forwardinc.comは、2 つの別のパートナーシップにおいて以下の URL になります。http://server:port/affwebservices/public/wsfeddispatcher/sales?RPID=http://forwardinc.comhttp://server:port/affwebservices/public/wsfeddispatcher/finance?RPID=http://forwardinc.com1 つの SSO サービスのみが存在しますが、サフィックスおよび RP ID は一意のパートナーシップ検索キーを作成します。また、2 つのパートナーシップの存在は、RP によって提供されるアサーション コンシューマ URL に影響を与えます。以下のいずれかの方法でこの URL の設定を処理します。
- 両方のパートナーシップで同じ IP ID を使用します。1 つのローカル IP は複数のリモート RP にバインドできます。この設定について、RP は 2 つの別のアサーション コンシューマ URL を提供する必要があるので、アサーションがどのテナント向けかを識別しています。例:https://casales.salesforce.com/public/wsfedConsumerhttps://cafinance.salesforce.com/public/wsfedConsumer
- 各パートナーシップに別の IP ID を使用します。その後、IP ID がアサーションの送信者を区別するので、RP は同じアサーション コンシューマ URL を提供できます。
値:英数文字列は使用できますが特殊文字は使用できません。
- リモート パッシブ リクエスタ サービス(リモート IP)リモート IP のパッシブ リクエスタ サービスの URL を識別します。パッシブ リクエスタは、HTTP プロトコルをサポートする Web ブラウザまたはアプリケーションです。このサービスは、リクエスタが正当であることを検証するセキュリティ トークンを提供します。
- サインアウト確認 URL (ローカル IP)サインアウトを実行するアイデンティティ プロバイダの URL を指定します。デフォルト:http://ip_server:port/affwebservices/signoutconfirmurl.jspip_server:portアイデンティティ プロバイダ システムのサーバおよびポート番号を指定します。システムは、フェデレーション ネットワークにどのコンポーネントがインストールされているかに応じて、Web エージェント オプション パックまたはフェデレーション ゲートウェイをホストしています。signoutconfirmurl.jsp は Web エージェント オプション パックまたはフェデレーション ゲートウェイで含まれています。このページを、デフォルト ディレクトリから、フェデレーション Web サービスのサーブレット エンジンがページにアクセスできる場所に配置できます。
- リモート サインアウト URL (リモート RP)リモート RP サインアウト サービスの URL を指定します。デフォルトの URL は以下のとおりです。https://rp_service:port/affwebservices/public/wsfeddispatcherWSFedDispatcher サービスは、着信 WS フェデレーション メッセージをすべて受信し、クエリ パラメータ データに基づいて、リクエスト処理を適切なサービスに転送します。wsfedsignout サービスがありますが、SignoutURL 用の wsfeddispatcher URL を使用してください。
- リモート セキュリティ コンシューマ トークン サービス URL (リモート RP)リモート リソース パートナーのトークン サービスの URL を指定します。このサービスは、セキュリティ トークン レスポンス メッセージを受信し、アサーションを抽出します。サービスのデフォルトの場所は以下です。https://rp_server:port/affwebservices/public/wsfeddispatcherrp_server:portWeb エージェント オプション パックまたはフェデレーション ゲートウェイをホストするリソース パートナーで Web サーバおよびポートを識別します。これらのコンポーネントはフェデレーション Web サービス アプリケーションを提供します。WSFedDispatcher サービスは、すべての受信 WS フェデレーション メッセージを受信し、クエリ パラメータ データに基づいてリクエスト処理を適切なサービスに転送します。wsfedsecuritytokenconsumer サービスがありますが、このフィールドでのエントリには wsfeddispatcher サービスをお勧めします。
署名設定
[署名オプション]では、シングル サインオンに対する署名動作を定義します。このセクションに含まれる設定は、エンティティに応じて異なります。
- 署名秘密キー エイリアス(ローカル IP のみ)(オプション)証明書データ ストアで特定の秘密キーと関連付けられているエイリアスを指定します。このフィールドの入力によって、アサーティング パーティがアサーションに署名するために使用する秘密キーを示します。使用したいキーが証明書データ ストアにない場合、[インポート]をクリックしてインポートしてから次の手順に進みます。注:このフィールドで秘密キーに関連付けられたエイリアスを指定する前に、秘密キーが証明書データ ストアに存在する必要があります。値:ドロップダウン リストから選択します。
- 検証証明書エイリアス(リモート IP および RP)(オプション)証明書データ ストアで特定の証明書(公開キー)と関連付けられているエイリアスを指定します。入力するエイリアスによって、署名されたアサーションの検証に使用する証明書がポリシー サーバに指示されます。必要なキーが利用可能でない場合に証明書をインポートするには、[インポート]をクリックするか、または、プルダウン リストからエイリアスを選択します。注:証明書に関連付けるエイリアスを指定する前に、その証明書が証明書データ ストアに存在する必要があります。値:ドロップダウン リストから選択します。
サポートされる名前 ID 形式と属性
casso1283
[サポートされている名前 ID 形式および属性]セクションには 2 つの機能があります。
- エンティティがサポートする名前 ID 形式を指定します。名前識別子は、アサーション内でユーザを固有の方法で指定し、アサーションに含める属性を指定します。名前識別子の形式により、ID に使用されるコンテンツのタイプが規定されます。たとえば、形式がユーザ DN の場合、コンテンツは uid となります。
- アサーティング パーティの場合、アサーションに含める属性を指定します。アサーションに追加された属性により、ユーザの詳細な識別が可能となり、アサーションを使用するアプリケーションをユーザごとにカスタマイズすることもできます。
サポートされる名前 ID 形式と属性
オプションのリストから、適用する形式をすべて選択します。すべての形式を選択するには、[名前 ID 形式の選択]を選択します。
各形式の説明については、SAML または WS-Federation プロファイルの仕様を参照してください。
- サポートされるアサーション属性プロデューサがアサーションに含める属性を指定します。テーブルに属性を含めるには、[追加]をクリックします。テーブルには、以下の列が含まれています。
- アサーション属性アサーション内の個別の属性を示します。値:有効なアサーション属性の名前
- ネームスペース一意に名前を識別するコレクションを指定します。値:任意のネームスペースの名前
- Deleteアイコンをクリックすると、エントリがテーブルから削除されます。