SAML 2.0 認証方式の詳細設定

Proxy
casso1283
HID_saml2-auth-advanced
casso1283
[詳細]ダイアログ ボックスでは、メッセージ拡張コンシューマ API 用の詳細設定を指定します。さらに、このダイアログ ボックスで、認証中にアサーション処理エラーが発生した場合のオプションのリダイレクト URL を設定します。
このダイアログ ボックスには、以下の設定項目があります。
メッセージ コンシューマ プラグイン
完全 Java クラス名
(オプション)認証方式に対するメッセージ コンシューマ プラグイン インターフェースを実装するクラスの完全修飾 Java クラス名を指定します。
  • パラメータ
[完全 Java クラス名]フィールドに対する値を入力する場合、API はこのフィールドのパラメータ文字列を指定されたプラグインへ渡します。
ステータス リダイレクト URL およびモード
アサーション ベースの認証は、アサーションを消費するサイトで、さまざまな理由で失敗する場合があります。認証が失敗した場合、フェデレーション セキュリティ サービスは、さらなる処理のためにユーザを異なるアプリケーション(URL)にダイレクトする機能を提供します。たとえば、ユーザの特定に失敗した場合、
SiteMinder
はユーザをプロビジョニング システムにリダイレクトできます。このプロビジョニング システムは、SAML アサーションに存在する情報に基づくユーザ アカウントを作成できます。
: システムがリクエストを正常に解析でき、アサーティング パートナーおよび依存パートナーを識別するのに必要な情報を取得できる場合に限り、エラー リダイレクトが発生します。
以下のオプションは、失敗の原因となった条件に基づいて、ユーザを設定された URL にリダイレクトします。
ユーザが見つかりません URL
(オプション)ユーザが見つからない場合に
SiteMinder
がリダイレクトする URL を識別します。このステータスは、シングル サインオン メッセージに LoginID がないとき、または、ユーザ ディレクトリに LoginID が含まれていない場合に適用されます。
  • 無効な SSO メッセージ URL
    (オプション)以下の条件のいずれかで
    SiteMinder
    がユーザをリダイレクトする URL を識別します。
    • シングル サインオン メッセージが、SAML スキーマによってリストされるルールに基づいて無効になっている。
    • コンシューマは暗号化されたアサーションを必要とするが、シングル サインオン メッセージには暗号化されたアサーションが含まれない。
  • 承認されないユーザ認証情報(SSO メッセージ) URL
    (オプション)ユーザが見つからないか、シングル サインオン メッセージが無効である場合以外のすべてのエラー状態に対するリダイレクト URL を識別します。アサーションは有効であっても、
    SiteMinder
    は以下のような特定の理由でメッセージを受け入れません。
    • XML デジタル署名検証が失敗する
    • XML 暗号化処理が失敗する
    • 期限切れメッセージまたはオーディエンス不一致など、条件の XML 検証が失敗する。
    • SSO メッセージ内のアサーションのいずれにも認証ステートメントが含まれていない。
モード
SiteMinder
がユーザをリダイレクト URL にリダイレクトするメソッドを指定します。オプションを以下に示します。
  • 302 データなし(デフォルト)
    セッション Cookie で HTTP 302 リダイレクトを介してユーザをリダイレクトしますが、他のデータは使用しません。
  • HTTP POST
    HTTP POST プロトコルを使用して、ユーザをリダイレクトします。
Proxy
    • サーバ
      Web エージェント オプション パックが常駐するオペレーティング環境の前に存在するプロキシ サーバまたは Web サーバに対する URL のプロトコルおよび権限の部分を指定します。[サーバ]値は、SAML レスポンスが正しいターゲットに向けられることを確認します。
      [サーバ]値の構文は、
      protocol:authority
      です。
      protocol
      は http: または https: で、
      authority
      は //host.domain.com または //host.domain.com:port です。
      例: http://myproxy.ca.com。
      [サーバ]の値は、
      SiteMinder
      が XML メッセージ内の URL を検証するときにも使用されます。たとえば、SAML 2.0 の Destination 属性です。
      以下の状況で設定するサーバを構成します。
      • プロキシ サーバは、フェデレーション Web サービスが実行されているクライアントとオペレーティング環境の間にあります。フェデレーション Web サービスは Web エージェント オプション パック でインストールされます。
      • SiteMinder
        Access Gateway
        が環境内に存在します。
        Access Gateway
        がフェデレーション ゲートウェイかどうかを問いません。
      • Web エージェント オプション パックがインストールされるオペレーティング環境の前に存在する任意の Web サーバ。