SAML 2.0 認証方式 -- [一般]設定

SAML 2.0 認証方式用の[一般]設定は、サービス プロバイダがアサーションを取得するために ID プロバイダとどのように通信するか決定します。
casso1283
HID_sp-authscheme-general
SAML 2.0 認証方式用の[一般]設定は、サービス プロバイダがアサーションを取得するために ID プロバイダとどのように通信するか決定します。
このページ上のフィールドは以下のとおりです。
  • SP ID
    サービス プロバイダを一意に識別する URI を指定します。
    対応するサービス プロバイダ オブジェクトに対して指定される ID の値に一致する値を入力します。この値は ID プロバイダで設定されます。
  • SAML バージョン
    SAML バージョン(無効、値のデフォルトは、値がこの IdP ID に送信されたアサーションが SAML バージョン 2.0 と互換性を持つ必要があることを示す 2.0)を指定します。
  • IdP ID
    このサービス プロバイダ用のアサーションが発行される ID プロバイダを一意に識別する URI を指定します。
    サービス プロバイダはこの IdP のみからアサーションを受け入れます。
    発行者に入力する値は、ID プロバイダ サイトで設定された IdP ID の値に一致する必要があります。
  • スキュー時間秒数
    現在の時間から差し引く秒数を決定します。この計算は、ID プロバイダとして機能するポリシー サーバと同期されないクロックを持つサービス プロバイダに対処するものです。
ユーザの特定
[ユーザの不明瞭解消]セクションでは、SAML 2.0 アサーションからユーザ情報を取得する方法を設定します。コンシューマはこの情報を使用してユーザを認証します。
  • Xpath クエリ
    XPath クエリを指定します。XPath クエリは、ユーザ ログイン ID として機能する特定のエントリをアサーションのどこで見つけるかを認証方式に通知します。クエリが取得する値は、ユーザ ストア エントリを検索するための検索指定の一部になります。
    クエリを指定しない場合、デフォルトの XPath クエリは以下のようになります。
    /Assertion/Subject/NameID/text()
    Xpath クエリにはネームスペース プレフィックスを含めることはできません。以下の例は無効な Xpath クエリです。
    /saml:Response/saml:Assertion/saml:AuthenticationStatement/
    saml:Subject/saml:NameIdentifier/text()
    有効な Xpath クエリは次のとおりです。
    //Response/Assertion/AuthenticationStatement/Subject/
    NameIdentifier/text()
    アサーションから属性「FirstName」を取得する XPath クエリは以下のとおりです。
    /Assertion/AttributeStatement/Attribute[@Name=”FirstName”]/
    AttributeValue/text()
  • casso1283
    アクティブ
    レガシー フェデレーション設定が特定のパートナーシップのために使用中であるかどうかを示します。ポリシー サーバでレガシー フェデレーション設定を使用している場合は、このチェック ボックスがオンになっていることを確認します。ソース ID など ID 設定で同様の値を持つフェデレーション パートナーシップを再作成した場合、フェデレーション パートナーシップをアクティブにする前にこのチェック ボックスをオフにします。
    SiteMinder
    は、同じ ID 値を使用するレガシーおよびパートナーシップ設定では動作できません。動作した場合は名前衝突が発生します。
  • ユーザの検索
    ユーザ ディレクトリ内でユーザ レコードを見つけるための検索指定を入力するネームスペース タイプを表示します。
    使用しているユーザ ストア タイプに対する検索仕様(条件)を入力します。検索仕様は、ユーザ ストア属性、および Xpath クエリが識別する値を組み合わせます。認証方式は、検索仕様を使用して、ユーザ ストア内のユーザ レコードを検出します。
    ログイン ID 値を表すには %s を使用します。
    たとえば、ログイン ID が user1 であるとします。[検索仕様]フィールドで Username=%s と指定すると、文字列は Username=user1 となります。この文字列は、認証の正しいレコードを検索するためにユーザ ディレクトリのレコードと比較されます。
    複数の %s 変数を持つフィルタを指定することもできます。例: <nete:proxyrules xmlns:nete="http://www.ca.com/" debug="yes">
    |(uid=%s)(email=%[email protected])
    |(abcAliasName=%s)(cn=%s)
    結果は次のとおりです。
    |(uid=user1)([email protected])
    |(abcAliasName=user1)(cn=user1)
  • SAML アフィリエーション
    (オプション)参加する ID プロバイダに対して[SAML アフィリエーション]を指定します。任意の設定された[SAML アフィリエーション]オブジェクトから選択します。[アフィリエーション]が選択されている場合、残りのコントロールはグレーアウトされ、[アフィリエーション]設定が代わりに使用されます。