SAML サービス プロバイダ -- 一般設定
このダイアログ ボックスの設定では、アイデンティティ プロバイダが生成するアサーションの対象となるサービス プロバイダを識別します。
casso1283
HID_service-provider-general
このダイアログ ボックスの設定では、アイデンティティ プロバイダが生成するアサーションの対象となるサービス プロバイダを識別します。
一般設定
一般設定では、サービス プロバイダに関する一般情報を指定できます。
このタブ内の設定は以下のとおりです。
- 名前サービス プロバイダを指定します。この名前はすべてのアフィリエイト ドメインにわたって一意である必要があります。
- SP IDsp.example.com など、一意にサービス プロバイダを識別する URI を指定します。
- 認証 URL: 保護リソースがリクエストされた場合にユーザを認証してセッションを作成するためにフェデレーションで使用される保護 URL を指定します。認証モードがローカルに設定され、ユーザがアサーティング パーティでログインしていない場合、ユーザはこの URL に送られます。 この URL は、[安全な URL の使用]を選択しない場合は redirect.jsp ファイルを指している必要があります。例: http://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyserverは、Web エージェント オプション パックまたはフェデレーション ゲートウェイが存在する Web サーバを識別します。redirect.jsp ファイルは、アサーティング パーティでインストールされる Web エージェント オプション パックまたはフェデレーション ゲートウェイに含まれています。アクセス制御ポリシーで認証 URL を保護します。ポリシーでは、認証方式、レルム、およびルールを設定します。アサーションにセッション ストア属性を追加するには、[認証セッション変数を保持]チェック ボックス(認証方式の設定)を有効にします。
- casso1283アクティブレガシー フェデレーション設定が特定のパートナーシップのために使用中であるかどうかを示します。ポリシー サーバでレガシー フェデレーション設定を使用している場合は、このチェック ボックスがオンになっていることを確認します。ソース ID など ID 設定で同様の値を持つフェデレーション パートナーシップを再作成した場合、フェデレーション パートナーシップをアクティブにする前にこのチェック ボックスをオフにします。SiteMinderは、同じ ID 値を使用するレガシーおよびパートナーシップ設定では動作できません。動作した場合は名前衝突が発生します。
- Enabled (有効)サービス プロバイダ リソースの認証をサポートするためにポリシー サーバおよびフェデレーション Web サービスを有効化します。
- スキュー時間現在のクロック時間に追加または現在のクロック時間から差し引かれた秒数を(正の整数で)指定します。この調整は、ID プロバイダと同期されないクロックを持つサービス プロバイダに対応するものです。スキュー時間と妥当性期間は、アサーションが有効である合計時間をポリシー サーバが計算する方法を決定します。アサーション妥当性を判断するため、スキュー時間がアサーション生成時間(IssueInstant)から差し引かれ、NotBefore 時間が取得されます。この後、スキュー時間は妥当性期間および IssueInstant に追加され、NotOnOrAfter 時間が取得されます。以下の方程式は、スキュー時間が使用される方法を示しています。
- NotBefore=IssueInstant - スキュー時間
- NotOnOrAfter=有効期間 + スキュー時間 + IssueInstant
- SAML バージョンSAML バージョン(無効、値のデフォルトは、値がこの SP ID に送信されたアサーションが SAML バージョン 2.0 と互換性を持つ必要があることを示す 2.0)を指定します。
- 説明オプションの、サービス プロバイダの簡潔な説明。
- IdP IDidp.ca.com など、一意に ID プロバイダを識別する URI を指定します。この URI 値は、アサーションで[発行者]フィールドの値になります。
- アプリケーション URL(オプション) シングル サインオン サービスにユーザ属性を渡すのに使用される、カスタム Web アプリケーションに対する保護 URL を指定します。アプリケーションはネットワーク内の任意のホスト上に置くことができます。このフィールドで指定される Web アプリケーションからの属性は、アサーション生成プログラムから利用可能で、アサーション ジェネレータ プラグインによって SAML アサーションに置かれます。プラグインを作成してSiteMinderに統合してください。フェデレーション Web サービス アプリケーションは、Web アプリケーションの基盤として使用できる、サンプル Web アプリケーションを提供します。以下のとおりです。http://idp_server:port/affwebservices/public/sample_application.jsphttp://idp_server:port/affwebservices/public/unsolicited_application.jspidp_server:portWeb エージェント オプション パックまたはフェデレーション ゲートウェイをホストする Web サーバおよびポートを識別します。
- 安全な URL を使用この設定は、SMPORTALURL クエリ パラメータのみを暗号化するようにシングル サインオン サービスに命じます。 暗号化された SMPORTALURL は、悪意のあるユーザが値を修正して認証ユーザを悪質な Web サイトへリダイレクトするのを防ぎます。 SMPORTALURL を認証 URL に付加してから、ブラウザがユーザをリダイレクトしてセッションを確立します。ユーザが認証された後、ブラウザはユーザを SMPORTALURL クエリ パラメータで指定される宛先にリダイレクトします。[安全な URL を使用]チェック ボックスをオンにした場合は、以下の手順に従います。1. 認証 URL フィールドを http(s)://idp_server:port/affwebservices/secure/secureredirect に設定します。2. ポリシーを使用して、secureredirect Web サービスを保護します。アサーティング パーティが複数の依存パートナーに対応する場合、アサーティング パーティはこれらの異なるパートナー用に異なるユーザを認証する場合があります。そのため、secureredirect サービスを使用する各認証 URL に対して、この Web サービスを各パートナーの異なるレルムに含めます。別のレルムと secureredirect サービスを関連付けるには、web.xml ファイルを変更して別のリソース マッピングを作成します。サーバ上の別の場所には secureredirect Web サービスをコピーしないでください。web_agent_home/affwebservices/WEB-INF ディレクトリで web.xml ファイルを見つけます。web_agent_homeは、Web エージェントのインストール場所です。
- 認証 URL保護リソースがリクエストされた場合にユーザを認証してセッションを作成するためにフェデレーションで使用される保護 URL を指定します。認証モードがローカルに設定され、ユーザがアサーティング パーティでログインしていない場合、ユーザはこの URL に送られます。 この URL は、[安全な URL の使用]を選択しない場合は redirect.jsp ファイルを指している必要があります。例: http:///siteminderagent/redirectjsp/redirect.jspmyserverは、Web エージェント オプション パックまたはフェデレーション ゲートウェイが存在する Web サーバを識別します。redirect.jsp ファイルは、アサーティング パーティでインストールされる Web エージェント オプション パックまたはフェデレーション ゲートウェイに含まれています。アクセス制御ポリシーで認証 URL を保護します。ポリシーでは、認証方式、レルム、およびルールを設定します。アサーションにセッション ストア属性を追加するには、[認証セッション変数を保持]チェック ボックス(認証方式の設定)を有効にします。
[一般]設定には以下のセクションも含まれます。
- 制限サービス プロバイダ用のアサーション生成ポリシー上の IP アドレスおよび時間制限を設定できます。
- Time
- Setリソース パートナーの可用性を設定できる[時間]ダイアログ ボックスを開きます。時間制限を追加すると、サービス プロバイダは指定された期間中にのみ機能します。
- クリア
- IP アドレス
- 追加IP アドレス制限を作成できる空の[IP アドレスの追加]ダイアログ ボックスを開きます。
- 詳細設定[詳細]セクションでは以下の機能を設定できます。
- アサーション ジェネレータ プラグイン[アサーション ジェネレータ プラグイン]API を使用して開発された、カスタムの アサーション ジェネレータ プラグインを識別します。[アサーション ジェネレータ プラグイン]はオプション機能です。
- Proxy該当する場合は、フェデレーション Web サービスが実行される、クライアントとシステム間のプロキシ サーバを識別します。
- 高度な SSO 設定HTTP ステータス エラーに対するカスタム リダイレクト URL を指定します。さらに処理を行うために、SiteMinderによってユーザをカスタム エラー ページにリダイレクトすることができます。カスタム URL はオプションです。
SAML サービス プロバイダ -- 詳細設定
アサーション ジェネレータ プラグイン設定
アサーション ジェネレータ プラグイン領域には以下の設定が含まれます。
- 完全 Java クラス名Assertion Generator Plugin の完全修飾 Java クラス名を指定します。
- [Parameters][完全 Java クラス名]フィールドに値が入力されている場合に、指定したプラグインにSiteMinderから渡される一連のパラメータを指定します。
- プロキシ サーバクライアントと 運用環境との間にプロキシ サーバがあるときに、URL の方式および権限の部分を指定します。たとえば、protocol:authorityです。方式は http: または https: で、権限は //または //host.domain.com:portです。たとえば、http://example.ca.com のようになります。
フェデレーション Web サービスは、Web エージェント オプション パックまたはフェデレーション ゲートウェイが存在するシステムで利用可能です。
SAML サービス プロバイダ -- 高度な SSO 設定
[高度な SSO 設定]セクションでは以下の機能を設定できます。
- リクエストされた認証コンテキスト。
- アサーションの一度だけの使用。
- エラー処理のための URL のリダイレクト。
- SAML アサーションでの SessionNotOnOrOAfter 属性の使用。
このダイアログ ボックスには、以下の設定があります。
- リクエストされた AuthnContext の無視アサーションをリクエストする場合に、SP が AuthnRequest メッセージにエレメント <RequestedAuthnContext> を含める場合、トランザクションがどのように進行するかを決定します。「認証コンテキスト」という用語は、ユーザが IdP でどのように認証するかを示しています。このエレメントは、IdP がアサーション レスポンスに戻る必要がある、AuthnContext ステートメントに対する要件を示す SP からのリクエストです。チェック ボックスがオンになる場合、SP から受け取る AuthnRequest メッセージ内の <RequestedAuthnContext> エレメントを無視するように IdP に 指示します。レガシー フェデレーションは、AuthnRequest で <RequestedAuthnContext> エレメントの使用をサポートしません。ただし、このチェック ボックスをオンにすると、トランザクションの失敗を防止できます。このチェック ボックスが選択されておらず(デフォルト)、受信 AuthnRequest に <RequestedAuthnContext> エレメントがある場合、トランザクションは失敗します。
- OneTimeUseCondition の設定アサーションをすぐに使用し、将来の使用に対して保持しないように SP に指示します。アサーションは一度だけの使用を目的としています。アサーション内の情報は変更されるまたは期限切れになる場合があり、SP は最新情報を含むアサーションを使用するため、OneTimeUseCondition は便利です。アサーションを再利用する代わりに、SP は IdP から新しいアサーションをリクエストする必要があります。
- サーバ エラー URL の有効化サーバ エラー リダイレクトを有効にします
- サーバ エラー リダイレクト URL
例: http://www.redirectmachine.com/error_pages/server_error.html - 無効なリクエスト URL の有効化無効なリクエスト エラー リダイレクトを有効にします。
- 無効な リクエスト リダイレクト URL
例: http://www.redirectmachine.com/error_pages/invalidreq_error.html - 不正なアクセス URL の有効化不正なアクセス エラー リダイレクトを有効にします。
- 不正なアクセス リダイレクト URL
例: http://www.redirectmachine.com/error_pages/unauthorized_error.html
モード フィールド
各 URL に対して、ブラウザがユーザをリダイレクトするモードを選択できます。
302 データなし
HTTP 302 リダイレクトを使用して、ユーザをリダイレクトします。
SiteMinder
は、セッション cookie と共にユーザをリダイレクトします。SiteMinder
がそれ以外の情報をリダイレクト URL に追加することはありません。- HTTP POSTHTTP POST プロトコルを使用して、ユーザをリダイレクトします。ユーザがカスタム エラー ページ URL にリダイレクトされる場合、以下のデータが利用可能な場合はリダイレクト URL に追加され、カスタム エラー ページにポストされます。
- TARGET
- AUTHREASON
- CONSUMERURL
- SAMLRESPONSE
- IDPID
- SPID
- PROTOCOLBINDING
SP セッション妥当性期間
アサーションでの SessionNotOnOrOAfter 属性の使用を決定します。この値は、IdP が SAML アサーションに SessionNotOnOrOAfter 属性を追加するかどうかを決定するために設定します。
この設定を指定できるのは、
SiteMinder
IdP のみです。SiteMinder
は IdP に、アサーション内の SessionNotOnOrAfter パラメータに対してどの値を設定するかを指示します。設定は SP でタイムアウト値を設定しません。SiteMinder
は、SP として機能している場合、SessionNotOnOrAfter 値を無視します。代わりに、SiteMinder
SP はレルム タイムアウトに基づいてセッション タイムアウトを設定します。レルム タイムアウトは、ターゲット リソースを保護する、設定された SAML 認証方式に対応します。オプション:
アサーション有効期間の使用
アサーション有効期間に基づく SessionNotOnOrAfter 値を計算します。
省略
アサーションに SessionNotOnOrAfter パラメータを含めないように IdP に命じます。
IDP セッション
IdP セッション タイムアウトに基づく SessionNotOnOrAfter 値を計算します。タイムアウトは認証 URL 用の IdP レルムで設定されます。このオプションを使用すると、 IdP および SP セッション タイムアウト値を同期することができます。
カスタム
アサーションに SessionNotOnOrAfter パラメータのカスタム値を指定できます。このオプションを選択する場合は、[カスタム アサーション セッション期間]フィールドに時間を入力します。
カスタム アサーション セッション期間(分)
アサーションで SessionNotOnOrAfter パラメータに設定される期間(分単位)を設定します。属性がアサーション内にある場合、この設定はユーザと IdP の間のセッションの期間を決定します。環境に適した任意の期間を指定します。