WS フェデレーション認証方式 --SAML プロファイル

ページには以下のフィールドが含まれます。
casso1283
HID_wsfed-auth-scheme-saml-profiles
[SAML プロファイル]ダイアログ ボックスでは[リソース パートナー]がシングル サインオンおよびサインアウト通信をどのように処理するかを定義します。
ページには以下のフィールドが含まれます。
  • リダイレクト モード
    [リソース パートナー]がユーザをターゲット リソースにリダイレクトするメソッドを示します。[302 データなし]または[302 Cookie データ]を選択する場合、他の設定は必要ありません。[サーバ リダイレクト]または[永続属性]を選択する場合、追加の設定が必要です。
    • 302 データなし
      (デフォルト)。HTTP 302 リダイレクトがセッション cookie と共にターゲットにユーザを送信するが、他のデータは送信しないことを示します。
    • 302 Cookie データ
      HTTP 302 リダイレクトが、セッション cookie およびリソース パートナーに対する Cookie データと共にターゲットにユーザを送ることを示します。
    • casso1283
      サーバ リダイレクト
      アサーションで受信したヘッダおよび Cookie 属性をカスタム ターゲット アプリケーションに渡すことができます。SAML 2.0 アサーション コンシューマ サービスまたは WS-Federation セキュリティ トークン コンシューマ サービスは、ユーザの認証情報を収集し、サーバ側リダイレクトを使用してターゲット アプリケーションの URL にユーザを転送します。サーバ側リダイレクトは Java サーブレット仕様の一部です。標準に準拠しているサーブレット コンテナはすべてサーバ側リダイレクトをサポートします。
      このモードを使用するには、以下の要件に従います。
      • このモードに対して指定する URL はアサーションを消費しているサーブレットのコンテキストに関連する必要があり、通常 /affwebservices/public/ になります。コンテキストのルートはフェデレーション Web サービス アプリケーションのルートで、通常 /affwebservices/ です。
        すべてのターゲット アプリケーション ファイルはアプリケーション ルート ディレクトリに存在する必要があります。このディレクトリは以下のいずれかです。
        -- Web エージェント:
        web_agent_home
        \webagent\affwebservices
        Access Gateway
        :
        sps_home
        \secure-proxy\Tomcat\webapps\affwebservices
      • レルム、ルールおよびターゲット リソースを保護するポリシーを定義します。レルムは少なくともリソース フィルタ内の値 /affwebservices/ で定義します。
      • フェデレーション Web サービス アプリケーションを処理しているサーバ上にカスタム Java または JSP アプリケーションをインストールします。フェデレーション Web サービスは Web エージェント オプション パックまたは
        Access Gateway
        でインストールされます。
        Java サーブレット技術によって、アプリケーションは ServletRequest インターフェースの setAttribute メソッドを使用して、2 つのソース要求間で情報を渡すことができます。
        アサーションを消費するサービスは、ユーザをターゲットにリダイレクトする前にユーザ属性をターゲット アプリケーションに送信します。サービスは java.util.HashMap オブジェクトを作成することにより属性を送信します。SAML 属性の HashMap が含まれる属性は "Netegrity.AttributeInfo" です。
        アサーションを消費するサービスは、2 つの他の Java.lang.String 属性をカスタム アプリケーションに渡します。
        -- Netegrity.smSessionID 属性は
        SiteMinder
        セッション ID を表します。
        -- Netegrity.userDN 属性は
        SiteMinder
        ユーザ DN を表します。
        カスタム ターゲット アプリケーションは HTTP リクエストからこれらのオブジェクトを読み取り、見つかったデータを hashmap オブジェクトで使用します。
    • PersistAttributes
      HTTP 302 リダイレクトがセッション cookie と共にターゲットにユーザを送信するが、他のデータは送信しないことを示します。このモードはまた、HTTP ヘッダ変数として提供できるように、セッション ストア内のアサーションから抽出した属性を格納することをポリシー サーバに指示します。追加の設定については、SAML 属性を HTTP ヘッダとして使用するための手順を参照してください。
      casso1283
      永続属性を選択し、アサーションに空白のままの属性が含まれる場合、NULL の値がセッション ストアに書き込まれます。この値は空の属性のプレースホルダとして機能します。値は、属性を使用するすべてのアプリケーションに渡されます。
  • ターゲット
    サービス プロバイダ送信先サイトでターゲット リソース URI を指定します。
  • シングル ユース ポリシーの施行
    ポリシーの一度だけの使用を適用します。このオプションを選択すると、リソース パートナーでアサーションが 2 番目のセッションを確立するために再使用されるのを防ぐことができます。
[サインアウト]セクションでは、リソース パートナーがサインアウト リクエストに応答する方法を設定することができます。
このセクション内の設定は以下のとおりです。
  • SignoutJava.lang.String 属性の有効化
    WS フェデレーション サインアウトを有効にします。
  • サインアウト URL
    アカウント パートナーでサインアウト サーブレットの URL を指定します。デフォルト URL をエントリに使用することをお勧めします。
    https://<ap_service:port>/affwebservices/public/wsfeddispatcher
    WSFedDispatcher サービスは、着信 WS フェデレーション メッセージをすべて受信し、クエリ パラメータ データに基づいて、リクエスト処理を適切なサービスに転送します。wsfedsignout サービスがありますが、SignoutURL 用の wsfeddispatcher URL を使用してください。
[ユーザの特定]セクションは、受信 <RequestSecurityTokenResponse> メッセージ内のアサーションからユーザ情報を取得する方法を定義します。
タブには以下のフィールドおよびコントロールが含まれます。
ユーザの特定
  • Xpath クエリ
    XPath クエリを指定します。XPath クエリは、ユーザ ログイン ID として機能する特定のエントリをアサーションのどこで見つけるかを認証方式に通知します。クエリが取得する値は、ユーザ ストア エントリを検索するための検索指定の一部になります。
    何も設定されない場合に使用されるデフォルトの XPath クエリは以下のとおりです。
    /Assertion/Subject/NameID/text()
    Xpath queries must not contain namespace prefixes. The following is an invalid Xpath query:
    /saml:Response/saml:Assertion/saml:AuthenticationStatement/
    saml:Subject/saml:NameIdentifier/text()
    The valid Xpath query is:
    //Response/Assertion/AuthenticationStatement/Subject/
    NameIdentifier/text()
    認証のためにアサーションから属性 “FirstName” を取得する XPath クエリは以下のとおりです。
    /Assertion/AttributeStatement/Attribute[@Name=”FirstName”]/AttributeValue/text()
  • ユーザの検索
    ユーザ ディレクトリ内でユーザ レコードを見つけるための検索指定を入力するネームスペース タイプを表示します。リスト表示されないネームスペースには[カスタム]フィールドを使用します。
    使用しているユーザ ストア タイプに対する検索仕様(条件)を入力します。検索仕様は、ユーザ ストア属性、および Xpath クエリが識別する値を組み合わせます。認証方式は、検索仕様を使用して、ユーザ ストア内のユーザ レコードを検出します。
    ログイン ID 値を表すには %s を使用します。
    たとえば、ログイン ID が user1 であるとします。[検索仕様]フィールドで Username=%s と指定すると、文字列は Username=user1 となります。この文字列は、認証の正しいレコードを検索するためにユーザ ディレクトリのレコードと比較されます。
    複数の %s 変数を持つフィルタを指定することもできます。例: <nete:proxyrules xmlns:nete="http://www.ca.com/" debug="yes">
    |(uid=%s)(email=%[email protected])
    |(abcAliasName=%s)(cn=%s)
    結果は次のとおりです。
    |(uid=user1)([email protected])
    |(abcAliasName=user1)(cn=user1)