SAML アフィリエーション ダイアログ ボックス

casso1283
HID_saml-affiliations-general
目次
[SAML アフィリエーション]ダイアログ ボックスでは SAML アフィリエーションを設定します。SAML アフィリエーションは、単一のプリンシパル、通常はユーザの名前識別子を共有する SAML エンティティのグループです。
注:
アフィリエーションの設定はオプションです。
アフィリエーション ダイアログ ボックスにはいくつかのセクションがあります。
SAML アフィリエーションの一般設定
[アフィリエーション]ダイアログ ボックスの[一般]セクションには以下のフィールドが含まれます。
  • 名前
    アフィリエーションに命名します。一意の名前を入力します。この名前はすべてのアフィリエイト ドメインにわたって一意である必要があります。
  • アフィリエーション ID
    アフィリエーションを一意に識別する URI を指定します。
  • 説明
    (オプション)アフィリエーションを説明します。
  • SAML バージョン
    SAML バージョンを指定します。アフィリエーションのメンバーに送られたアサーションが SAML バージョン 2.0 と互換性を持つ必要があることを示します。
    デフォルト:
    2.0
SAML アフィリエーション ユーザ設定
[アフィリエーション]ダイアログ ボックスの[ユーザ]セクションでは、アフィリエーション内のサービス プロバイダに対してユーザまたはユーザ グループを設定できます。設定されたユーザは、サービス プロバイダのリソースへのアクセスに対して認証できます。アサーション生成プログラムは、これらのユーザのための権限付与情報が含まれる SAML アサーションを作成できます。
エンティティがサービス プロバイダである場合、ユーザ情報は、サービス プロバイダを有効にして、アサーションからユーザ レコードを検索するための情報を取得します。ユーザ レコードが検出されたら、サービス プロバイダはユーザを認証できます。
アイデンティティ プロバイダとしてのみ機能するエンティティに対しては、ユーザ情報は関係ありません。フィールドに入力する必要はありません。
  • Xpath クエリ
    LoginID を取得するためにアサーションに認証方式が適用する XPath クエリを指定します。
    何も設定されない場合に使用されるデフォルトの XPath クエリは以下のとおりです。
    /Assertion/Subject/NameID/text()
    認証のためにアサーションから属性 “FirstName” を取得する XPath クエリは以下のとおりです。
    /Assertion/AttributeStatement/Attribute[@Name=”FirstName”]/AttributeValue/text()
    SAML アサーションで最初の[ユーザ名]エレメントのテキストを抽出するには、簡略形の構文 "//Username/text()" を使用します。
  • ネームスペースの仕様
    ネームスペース タイプの選択可能なリストを表示します。指定されたネームスペース(ユーザ ディレクトリ)に対する検索指定を定義します。検索仕様は、認証方式がネームスペースを検索するために使用する属性を定義します。LoginID を表すエントリとして %s を使用します。
    たとえば、LoginID が user1 であるとします。[検索仕様]フィールドで Username=%s と指定すると、文字列は Username=user1 となります。この文字列は、認証の正しい記録を見つけるためにユーザ ストアと比較されます。
SAML アフィリエーション名前 ID 設定
[名前 ID]セクションではプリンシパルの名前 ID を設定します。アフィリエーションのサービス プロバイダは、ユーザの不明瞭解消のためにこの情報を使用します。
  • 名前 ID
    プリンシパルのための名前識別子を指定します。アフィリエーションのメンバーであるサービス プロバイダは、アフィリエーションのメンバーである SAML サービス プロバイダと通信する場合にこの名前を使用します。
  • 名前 ID 形式
    名前識別子形式の形式を指定します。たとえば、名前 ID は、[email protected] など電子メール アドレスの形式をとることができます。
    ドロップダウン リストからオプションを選択します。
名前 ID タイプ
[名前 ID]セクションには、名前識別子タイプを指定するオプションが含まれます。以下のいずれかのオプションを選択します。
スタティック
名前識別子が[スタティック値]フィールドの値であることを示します。[スタティック値]フィールドをアクティブにし、他のコントロールを無効にします。
  • ユーザ属性
    名前識別子が[属性名]フィールドの値であることを示します。[属性名]フィールドをアクティブにし、他のコントロールを無効にします。
  • DN 属性
    DN に関連付けられた属性として名前識別子を指定します。[ユーザ属性]フィールド、[DN 仕様]フィールドおよび[ネストされたグループの許可]チェック ボックスをオンにしますが、[スタティック値]フィールドを無効にします。
  • ネストされたグループの許可
    DN 仕様を選択する場合にネストされたグループを有効にします。[DN 属性]オプションが選択されている場合は有効になります。
名前 ID フィールド
選択された名前識別子に関する情報を指定するフィールドが含まれています。フィールドはコンテキスト依存で、[名前 ID タイプ]の選択内容に応じて変わります。
オプションを以下に示します。
スタティック値
このサービス プロバイダに対するすべての名前識別子に使用されるスタティックなテキスト値を指定します。
  • 属性名
    ユーザ ディレクトリからのユーザ属性の名前を指定します。この属性には名前識別子、またはグループまたは組織単位の DN と関連付けられる属性が含まれます。
  • DN 仕様
    名前識別子として使用される関連する属性を取得するために使用されるグループまたは組織単位 DN を指定します。
    このフィールドおよび[属性名]フィールドに入力します。
SAML サービス プロバイダと認証方式の関連付け
 
  • SAML サービス プロバイダの関連付け
    アフィリエーションのメンバであるすべてのサービス プロバイダの読み取り専用リストを提供します。ID プロバイダの管理者は、アフィリエーションにサービス プロバイダを追加またはアフィリエーションからサービス プロバイダを削除します。ID プロバイダでサービス プロバイダ オブジェクトを設定するとき、サービス プロバイダは名前 ID 設定でアフィリエーションと関連付けられます。
  • SAML 認証方式アソシエーション
    アフィリエーションのメンバーであるすべての SAML 2.0 認証方式の読み取り専用リストを提供します。認証方式は、サービス プロバイダでの SAML 2.0 認証方式オブジェクトの[一般]設定内のアフィリエーションと関連付けられます。