SAML 2.0 認証方式の詳細設定
Proxy
casso1283
HID_saml2-auth-advanced
casso1283
[詳細]ダイアログ ボックスでは、メッセージ拡張コンシューマ API 用の詳細設定を指定します。さらに、このダイアログ ボックスで、認証中にアサーション処理エラーが発生した場合のオプションのリダイレクト URL を設定します。
このダイアログ ボックスには、以下の設定項目があります。
メッセージ コンシューマ プラグイン
完全 Java クラス名
(オプション)認証方式に対するメッセージ コンシューマ プラグイン インターフェースを実装するクラスの完全修飾 Java クラス名を指定します。
- パラメータ
[完全 Java クラス名]フィールドに対する値を入力する場合、API はこのフィールドのパラメータ文字列を指定されたプラグインへ渡します。
ステータス リダイレクト URL およびモード
アサーション ベースの認証は、アサーションを消費するサイトで、さまざまな理由で失敗する場合があります。認証が失敗した場合、フェデレーション セキュリティ サービスは、さらなる処理のためにユーザを異なるアプリケーション(URL)にダイレクトする機能を提供します。たとえば、ユーザの特定に失敗した場合、
SiteMinder
はユーザをプロビジョニング システムにリダイレクトできます。このプロビジョニング システムは、SAML アサーションに存在する情報に基づくユーザ アカウントを作成できます。注
: システムがリクエストを正常に解析でき、アサーティング パートナーおよび依存パートナーを識別するのに必要な情報を取得できる場合に限り、エラー リダイレクトが発生します。以下のオプションは、失敗の原因となった条件に基づいて、ユーザを設定された URL にリダイレクトします。
ユーザが見つかりません URL
(オプション)ユーザが見つからない場合に
SiteMinder
がリダイレクトする URL を識別します。このステータスは、シングル サインオン メッセージに LoginID がないとき、または、ユーザ ディレクトリに LoginID が含まれていない場合に適用されます。- 無効な SSO メッセージ URL(オプション)以下の条件のいずれかでSiteMinderがユーザをリダイレクトする URL を識別します。
- シングル サインオン メッセージが、SAML スキーマによってリストされるルールに基づいて無効になっている。
- コンシューマは暗号化されたアサーションを必要とするが、シングル サインオン メッセージには暗号化されたアサーションが含まれない。
- 承認されないユーザ認証情報(SSO メッセージ) URL(オプション)ユーザが見つからないか、シングル サインオン メッセージが無効である場合以外のすべてのエラー状態に対するリダイレクト URL を識別します。アサーションは有効であっても、SiteMinderは以下のような特定の理由でメッセージを受け入れません。
- XML デジタル署名検証が失敗する
- XML 暗号化処理が失敗する
- 期限切れメッセージまたはオーディエンス不一致など、条件の XML 検証が失敗する。
- SSO メッセージ内のアサーションのいずれにも認証ステートメントが含まれていない。
モード
SiteMinder
がユーザをリダイレクト URL にリダイレクトするメソッドを指定します。オプションを以下に示します。- 302 データなし(デフォルト)セッション Cookie で HTTP 302 リダイレクトを介してユーザをリダイレクトしますが、他のデータは使用しません。
- HTTP POSTHTTP POST プロトコルを使用して、ユーザをリダイレクトします。
Proxy
- サーバWeb エージェント オプション パックが常駐するオペレーティング環境の前に存在するプロキシ サーバまたは Web サーバに対する URL のプロトコルおよび権限の部分を指定します。[サーバ]値は、SAML レスポンスが正しいターゲットに向けられることを確認します。[サーバ]値の構文は、protocol:authorityです。protocolは http: または https: で、authorityは //host.domain.com または //host.domain.com:port です。例: http://myproxy.ca.com。[サーバ]の値は、SiteMinderが XML メッセージ内の URL を検証するときにも使用されます。たとえば、SAML 2.0 の Destination 属性です。以下の状況で設定するサーバを構成します。
- プロキシ サーバは、フェデレーション Web サービスが実行されているクライアントとオペレーティング環境の間にあります。フェデレーション Web サービスは Web エージェント オプション パック でインストールされます。
- SiteMinderAccess Gatewayが環境内に存在します。Access Gatewayがフェデレーション ゲートウェイかどうかを問いません。
- Web エージェント オプション パックがインストールされるオペレーティング環境の前に存在する任意の Web サーバ。