WS フェデレーション認証方式 - 詳細設定
[詳細]セクションはメッセージ拡張コンシューマ プラグインを設定する場所です。また、認証中にエラーを処理するアサーションに対してオプションのリダイレクト URL を設定できます。
casso1283
[詳細]セクションはメッセージ拡張コンシューマ プラグインを設定する場所です。また、認証中にエラーを処理するアサーションに対してオプションのリダイレクト URL を設定できます。
このセクションには以下の設定項目があります。
メッセージ コンシューマ プラグイン
完全 Java クラス名
(オプション)認証方式に対するメッセージ コンシューマ プラグイン インターフェースを実装するクラスの完全修飾 Java クラス名を指定します。
- パラメータAPI が指定されたプラグインに渡すパラメータの文字列を指定します。[パラメータ]フィールドは、[完全 Java クラス名]フィールドに値を入力する場合のみ該当します。
ステータス リダイレクト URL およびモード
アサーション ベースの認証は、アサーションを消費するサイトで、さまざまな理由で失敗する場合があります。認証が失敗した場合、
SiteMinder
はさらなる処理のためにユーザを異なるアプリケーション(URL)にリダイレクトする機能を提供します。たとえば、ユーザの特定に失敗した場合、SiteMinder
はユーザをプロビジョニング システムにリダイレクトできます。このプロビジョニング システムは、SAML アサーションに存在する情報に基づくユーザ アカウントを作成できます。注
: システムがリクエストを正常に解析でき、アサーティング パートナーおよび依存パートナーを識別するのに必要な情報を取得できる場合に限り、エラー リダイレクトが発生します。以下のオプションは、失敗の原因となった条件に基づいて、ユーザを設定された URL にリダイレクトします。
ユーザが見つかりません URL
(オプション)ユーザが見つからない場合に
SiteMinder
がリダイレクトする URL を識別します。[ユーザが見つかりません]ステータスは、シングル サインオン メッセージに LoginID がない場合、またはユーザ ディレクトリに LoginID が含まれない場合に当てはまります。- 無効な SSO メッセージ URL(オプション)以下の条件のいずれかでSiteMinderがユーザをリダイレクトする URL を識別します。
- シングル サインオン メッセージが SAML スキーマによって指定されるルールに基づいて無効になっている。
- コンシューマは暗号化されたアサーションを必要とするが、シングル サインオン メッセージには暗号化されたアサーションが含まれない。
- 承認されないユーザ認証情報(SSO メッセージ) URL(オプション)ユーザが見つからないか、シングル サインオン メッセージが無効である場合以外のすべてのエラー状態に対するリダイレクト URL を識別します。アサーションは有効であっても、SiteMinderは以下のような特定の理由でメッセージを受け入れません。
- XML デジタル署名検証が失敗する
- XML 暗号化処理が失敗する
- 期限切れメッセージまたはオーディエンス不一致など、条件の XML 検証が失敗する。
- SSO メッセージ内のアサーションのいずれにも認証ステートメントが含まれていない。
モード
SiteMinder
がユーザをリダイレクト URL にリダイレクトするメソッドを指定します。オプションを以下に示します。- 302 データなし(デフォルト)セッション cookie で HTTP 302 リダイレクトを介してユーザをリダイレクトしますが、他のデータは使用しません。
- HTTP POSTHTTP Post プロトコルを使用してユーザをリダイレクトします。