SAML 2.0 認証方式 -- [一般]設定
SAML 2.0 認証方式用の[一般]設定は、サービス プロバイダがアサーションを取得するために ID プロバイダとどのように通信するか決定します。
casso1283
HID_sp-authscheme-general
SAML 2.0 認証方式用の[一般]設定は、サービス プロバイダがアサーションを取得するために ID プロバイダとどのように通信するか決定します。
このページ上のフィールドは以下のとおりです。
- SP IDサービス プロバイダを一意に識別する URI を指定します。対応するサービス プロバイダ オブジェクトに対して指定される ID の値に一致する値を入力します。この値は ID プロバイダで設定されます。
- SAML バージョンSAML バージョン(無効、値のデフォルトは、値がこの IdP ID に送信されたアサーションが SAML バージョン 2.0 と互換性を持つ必要があることを示す 2.0)を指定します。
- IdP IDこのサービス プロバイダ用のアサーションが発行される ID プロバイダを一意に識別する URI を指定します。サービス プロバイダはこの IdP のみからアサーションを受け入れます。発行者に入力する値は、ID プロバイダ サイトで設定された IdP ID の値に一致する必要があります。
- スキュー時間秒数現在の時間から差し引く秒数を決定します。この計算は、ID プロバイダとして機能するポリシー サーバと同期されないクロックを持つサービス プロバイダに対処するものです。
ユーザの特定
[ユーザの不明瞭解消]セクションでは、SAML 2.0 アサーションからユーザ情報を取得する方法を設定します。コンシューマはこの情報を使用してユーザを認証します。
- Xpath クエリXPath クエリを指定します。XPath クエリは、ユーザ ログイン ID として機能する特定のエントリをアサーションのどこで見つけるかを認証方式に通知します。クエリが取得する値は、ユーザ ストア エントリを検索するための検索指定の一部になります。クエリを指定しない場合、デフォルトの XPath クエリは以下のようになります。/Assertion/Subject/NameID/text()Xpath クエリにはネームスペース プレフィックスを含めることはできません。以下の例は無効な Xpath クエリです。/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()有効な Xpath クエリは次のとおりです。//Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()例アサーションから属性「FirstName」を取得する XPath クエリは以下のとおりです。/Assertion/AttributeStatement/Attribute[@Name=”FirstName”]/AttributeValue/text()
- casso1283アクティブレガシー フェデレーション設定が特定のパートナーシップのために使用中であるかどうかを示します。ポリシー サーバでレガシー フェデレーション設定を使用している場合は、このチェック ボックスがオンになっていることを確認します。ソース ID など ID 設定で同様の値を持つフェデレーション パートナーシップを再作成した場合、フェデレーション パートナーシップをアクティブにする前にこのチェック ボックスをオフにします。SiteMinderは、同じ ID 値を使用するレガシーおよびパートナーシップ設定では動作できません。動作した場合は名前衝突が発生します。
- ユーザの検索ユーザ ディレクトリ内でユーザ レコードを見つけるための検索指定を入力するネームスペース タイプを表示します。使用しているユーザ ストア タイプに対する検索仕様(条件)を入力します。検索仕様は、ユーザ ストア属性、および Xpath クエリが識別する値を組み合わせます。認証方式は、検索仕様を使用して、ユーザ ストア内のユーザ レコードを検出します。ログイン ID 値を表すには %s を使用します。たとえば、ログイン ID が user1 であるとします。[検索仕様]フィールドで Username=%s と指定すると、文字列は Username=user1 となります。この文字列は、認証の正しいレコードを検索するためにユーザ ディレクトリのレコードと比較されます。複数の %s 変数を持つフィルタを指定することもできます。例: <nete:proxyrules xmlns:nete="http://www.ca.com/" debug="yes">|(uid=%s)(email=%[email protected])|(abcAliasName=%s)(cn=%s)結果は次のとおりです。|(uid=user1)([email protected])|(abcAliasName=user1)(cn=user1)
- SAML アフィリエーション(オプション)参加する ID プロバイダに対して[SAML アフィリエーション]を指定します。任意の設定された[SAML アフィリエーション]オブジェクトから選択します。[アフィリエーション]が選択されている場合、残りのコントロールはグレーアウトされ、[アフィリエーション]設定が代わりに使用されます。