SAML 2.0 認証方式 -- [SSO]設定

目次
casso1283
HID_saml2-auth-sso
目次
SSO 設定では、シングル サインオン(SSO)がどのようにサービス プロバイダで処理されるかを設定します。
ページの[SSO]セクションには以下の設定が含まれます。
  • リダイレクト モード
    サービス プロバイダがユーザをターゲット リソースに向けるメソッドを指定します。[302 データなし]または[302 Cookie データ]を選択する場合、他の設定は必要ありません。[サーバ リダイレクト]または[永続属性]を選択する場合、追加の設定が必要です。
    • 302 データなし(デフォルト)
      セッション cookie で HTTP 302 リダイレクトを介してユーザをリダイレクトしますが、他のデータは使用しません。
    • 302 Cookie データ
      HTTP 302 リダイレクトを使用してユーザをリダイレクトします。このときに、セッション cookie および追加の cookie データを使用します。このデータは、
      SiteMinder
      が ID プロバイダにおいてサービス プロバイダに対して設定します。
    • casso1283
      サーバ リダイレクト
      アサーションで受信したヘッダおよび Cookie 属性をカスタム ターゲット アプリケーションに渡すことができます。SAML 2.0 アサーション コンシューマ サービスまたは WS-Federation セキュリティ トークン コンシューマ サービスは、ユーザの認証情報を収集し、サーバ側リダイレクトを使用してターゲット アプリケーションの URL にユーザを転送します。サーバ側リダイレクトは Java サーブレット仕様の一部です。標準に準拠しているサーブレット コンテナはすべてサーバ側リダイレクトをサポートします。
      このモードを使用するには、以下の要件に従います。
      • このモードに対して指定する URL はアサーションを消費しているサーブレットのコンテキストに関連する必要があり、通常 /affwebservices/public/ になります。コンテキストのルートはフェデレーション Web サービス アプリケーションのルートで、通常 /affwebservices/ です。
        すべてのターゲット アプリケーション ファイルはアプリケーション ルート ディレクトリに存在する必要があります。このディレクトリは以下のいずれかです。
        -- Web エージェント:
        web_agent_home
        \webagent\affwebservices
        Access Gateway
        :
        sps_home
        \secure-proxy\Tomcat\webapps\affwebservices
      • レルム、ルールおよびターゲット リソースを保護するポリシーを定義します。レルムは少なくともリソース フィルタ内の値 /affwebservices/ で定義します。
      • フェデレーション Web サービス アプリケーションを処理しているサーバ上にカスタム Java または JSP アプリケーションをインストールします。フェデレーション Web サービスは Web エージェント オプション パックまたは
        Access Gateway
        でインストールされます。
        Java サーブレット技術によって、アプリケーションは ServletRequest インターフェースの setAttribute メソッドを使用して、2 つのソース要求間で情報を渡すことができます。
        アサーションを消費するサービスは、ユーザをターゲットにリダイレクトする前にユーザ属性をターゲット アプリケーションに送信します。サービスは java.util.HashMap オブジェクトを作成することにより属性を送信します。SAML 属性の HashMap が含まれる属性は "Netegrity.AttributeInfo" です。
        アサーションを消費するサービスは、2 つの他の Java.lang.String 属性をカスタム アプリケーションに渡します。
        -- Netegrity.smSessionID 属性は
        SiteMinder
        セッション ID を表します。
        -- Netegrity.userDN 属性は
        SiteMinder
        ユーザ DN を表します。
        カスタム ターゲット アプリケーションは HTTP リクエストからこれらのオブジェクトを読み取り、見つかったデータを hashmap オブジェクトで使用します。
    • 永続属性
      セッション cookie で HTTP 302 リダイレクトを介してユーザをリダイレクトしますが、他のデータは使用しません。このモードはまた、HTTP ヘッダ変数として提供できるように、セッション ストア内のアサーションから抽出した属性を格納することをポリシー サーバに指示します。追加の設定については、SAML 属性を HTTP ヘッダとして使用するための手順を参照してください。
      このオプションを表示するには、
      SiteMinder
      ポリシー サーバ管理コンソールを使用して、セッション ストアを有効にします。
      casso1283
      永続属性を選択し、アサーションに空白のままの属性が含まれる場合、NULL の値がセッション ストアに書き込まれます。この値は空の属性のプレースホルダとして機能します。値は、属性を使用するすべてのアプリケーションに渡されます。
  • SSO サービス
    ID プロバイダで、シングル サインオン サービスの URI を指定します。この URI は、AuthnRequest サービスがサービス プロバイダ ID が含まれる authnrequest メッセージをリダイレクトする場所です。デフォルトの URL は以下のとおりです。
    http://
    idp_host:port
    /affwebservices/public/saml2sso
  • オーディエンス
    SAML アサーションのオーディエンスを指定します。オーディエンスは、ID プロバイダとサービス プロバイダの間のビジネス許諾契約の条件について説明するドキュメントの場所を識別する URL です。ID プロバイダ サイトの管理者がオーディエンスを決定し、このオーディエンスはサービス プロバイダのオーディエンスと一致します。
    オーディエンス値は 1K を超えず、大文字と小文字が区別されます。例: <nete:proxyrules xmlns:nete="http://www.ca.com/" debug="yes">
    http://www.ca.com/SampleAudience
  • ターゲット
    (オプション)送信先サービス プロバイダ サイトでターゲット リソース URI を指定します。
    サービス プロバイダは、デフォルトのターゲットを使用する必要はありません。シングル サインオンを開始するリンクには、ターゲットを指定するクエリ パラメータを含めることができます。
  • IdP による新規ユーザ識別子の作成の許可
    サービス プロバイダがアサーションを取得するために ID プロバイダに AuthnRequest メッセージを送信する場合、このボックスをオンにすると、AuthnRequest メッセージで AllowCreate 属性が true に設定されます。AllowCreate 属性は、ID プロバイダに対して NameID の新しい値を生成するよう指示します。AllowCreate 機能は ID プロバイダで有効です。NameID 用のこの新しい値はアサーションに含まれています。
  • 拡張クライアントとプロキシ プロファイル
    SAML 2.0 拡張クライアントおよびプロキシ(ECP)プロファイルを使用して、リクエストの処理を有効にします。
  • 署名認証リクエスト
    AuthnRequest が生成された後に署名するようにサービス プロバイダのポリシー サーバに指示します。アイデンティティ プロバイダが署名された AuthnRequest を必要とする場合、このチェック ボックスが必要です。AuthnRequest サービスは、シングル サインオン サービス URL に署名された AuthnRequest をリダイレクトします。
  • リレー状態を使用してターゲットをオーバーライドする
    (オプション) [ターゲット]フィールドに指定された値を、SP 開始または IdP 開始のシングル サインオンに対するリレー状態クエリ パラメータの値で置き換えます。リレー状態クエリ パラメータを使用するとターゲットをダイナミックに定義できるため、このチェック ボックスによってターゲットに対する制御の幅が増します。
バインディング
[バインディング]セクションでは、サービス プロバイダによるサポートが必要な Artifact および POST シングル サインオン バインディングを設定します。
SAML 2.0 認証方式 - バインディング - Artifact
バインディング - Artifact
サービス プロバイダが Artifact バインディングをサポートする場合、このセクションで設定を構成します。SAML 2.0 Artifact シングル サインオンには以下の設定が含まれます。
  • Artifact
HTTP-Artifact プロファイル設定を定義します。
HTTP Artifact
Artifact バインディングを有効にします(有効な場合、以下の関連するコントロールがアクティブになります)。
  • アーチファクト解決の署名
    Artifact 解決メッセージに署名が必要なことを示します。リクエストは、サービス プロバイダからオリジナルの SAML メッセージを取得します。
    このチェック ボックスをオンにすると、ID プロバイダは署名された Artifact 解決メッセージを必要とするように設定されます。
    デジタル署名処理は Artifact 解決メッセージに署名するために有効化されます。
  • システム生成した IdP ソース ID の上書き
    関連するフィールドで IdP ソース ID を指定することを可能にします。デフォルトは IdP ID の SHA-1 ハッシュです。値は 40 桁の 16 進数である必要があります。
  • 署名されたアーチファクト レスポンスが必要
    サービス プロバイダが署名を必要とする Artifact レスポンスのみを受け入れることを示します。
    このチェック ボックスをオンにすると、ID プロバイダは Artifact レスポンスに署名するように設定されます。
    デジタル署名処理は、署名されたレスポンスを処理するために有効化されます。
  • インデックス
    [HTTP-Artifact]チェック ボックスを選択すると有効になるこのフィールドは、Artifact バインディングに AssertionConsumerServiceIndex パラメータを割り当てます。フェデレーション ネットワークの中に複数のエンドポイントがある場合は、アサーション コンシューマ サービスに対するインデックスを割り当てます。インデックス値は、レスポンスをどこに送信するかを ID プロバイダに示します。0 ~ 65535 の範囲の整数を入力します。
  • 解決サービス
    ID プロバイダの Artifact 解決サービスの URL を指定します。デフォルトの URL は以下のとおりです。
    http://
    host:port
    /affwebservices/saml2artifactresolution
  • ソース ID
    ID プロバイダのソース ID を定義します。
    SAML 仕様標準は、ソース ID を、アサーションを発行するパーティーを識別する 20 バイトのバイナリ、16 進エンコードの数値として定義しています。サービス プロバイダは、アサーション発行者を識別するためにこの ID を使用します。
    ソース ID の値は、IdP ID 値に基づいて自動的に生成されます。これは認証方式の[一般]設定に置かれます。[システムが生成した IdP ソース ID を上書きする]オプションを選択する場合、ID プロバイダが帯域外の通信でユーザに提供する値を入力します。
SAML 2.0 認証方式 - バインディング - POST
バインディング - POST
サービス プロバイダが POST バインディングをサポートする場合、このセクションで設定を構成します。SAML 2.0 POST には以下の設定が含まれます。
  • Post
    • HTTP POST
      POST バインディングが ID プロバイダで有効であることを示します。
    • シングル ユース ポリシーの施行
      シングル ユース ポリシーを施行し、SAML 2.0 アサーションがサービス プロバイダで 2 番目のセッションを確立するために再使用されるのを防ぎます。
    • インデックス
      [HTTP-Post]チェック ボックスを選択すると有効になるこのフィールドは、Artifact バインディングに AssertionConsumerServiceIndex パラメータを割り当てます。フェデレーション ネットワークの中に複数のエンドポイントがある場合は、アサーション コンシューマ サービスに対するインデックスを割り当てます。インデックス値は、レスポンスをどこに送信するかを ID プロバイダに示します。
      値:
      0 ~ 65535