リソース パートナー SAML プロファイル

[SAML プロファイル]ダイアログ ボックスは、アカウント パートナーとリソース パートナーの間のシングル サインオン(SSO)およびサインアウトを設定する場所です。
casso1283
HID_wsfed-rp-saml-profiles
[SAML プロファイル]ダイアログ ボックスは、アカウント パートナーとリソース パートナーの間のシングル サインオン(SSO)およびサインアウトを設定する場所です。
シングル サインオン設定は次のとおりです。
  • 認証方法
    ユーザがアカウント パートナーでどのように認証したかを示します。ドロップダウン リストから認証メソッドを選択します。 アカウント パートナーには、アサーション内に認証メソッドが URI 文字列の形式で含まれます。
    このフィールドに対して選択する値は、認証 URL を保護する認証方式に対応する必要があります。このアカウント パートナーの[一般]設定で認証 URL を指定します。たとえば、認証 URL が X.509 証明書認証方式で保護されている場合は、このフィールドに対して[SSL/TLS 証明書]を選択します。
    選択する認証方式はまた、このページ上で設定する認証レベルに適切である必要があります。たとえば、認証 URL を保護する認証方式に対しては[X509 クライアント証明書および基本]テンプレートを選択します。このテンプレートのデフォルト保護レベルは 15 です。ただし、[リソース パートナー SSO]設定のためのデフォルト認証方式は[パスワード]です。[パスワード]を認証メソッドとして保持する場合、アカウント パートナーは以下の URL をアサーションに追加します。
    urn:oasis:names:tc:SAML:1.0:am:classes:password
  • セキュリティ トークン コンシューマ サービス
    セキュリティ トークン レスポンス メッセージを受け取り、アサーションを抽出するリソース パートナーでのサービスの URL を指定します。
    SiteMinder
    サービスのデフォルトの場所は次のとおりです。
    https://
    rp_server:port
    /affwebservices/public/wsfeddispatcher
    casso1283
    rp_server:port
    Web エージェント オプション パックまたは
    Access Gateway
    をホストするリソース パートナーで Web サーバとポートを識別します。
    これらのコンポーネントはフェデレーション Web サービス アプリケーションを提供します。
    WSFedDispatcher サービスは、着信 WS フェデレーション メッセージをすべて受信し、クエリ パラメータ データに基づいて、リクエスト処理を適切なサービスに転送します。wsfedsecuritytokenconsumer サービスがありますが、このフィールドでのエントリには wsfeddispatcher サービスをお勧めします。
  • 有効期間秒数
    アサーションが有効な期間の秒数(正の整数)を指定します。デフォルトは 60 秒です。
    テスト環境で、以下のメッセージがポリシー サーバ トレース ログにある場合は、妥当性期間を 60 より大きい値とします。
    Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237)  - current time (Fri Sep 09 17:28:33
    EDT 2011) is after SessionNotOnOrAfter time (Fri Sep 09 17:28:20 EDT 2006)
  • 認証レベル [0-1000]
    ここで指定したレベル以上の認証を受けたユーザに
    SiteMinder
    レルムへのアクセスを許可します。
    ユーザがフェデレーション リソースをリクエストする場合、
    SiteMinder
    セッションがあることが必要です。ユーザがセッションを持たない場合、
    SiteMinder
    はセッションを確立するためにユーザを認証 URL にリダイレクトします。ユーザはセッションを持つことができる可能性がありますが、保護レベルはこのダイアログ ボックスで指定した認証レベルより低いものとなります。この場合、
    SiteMinder
    は、セッションを再確立するためにユーザを認証 URL にリダイレクトします。
    認証 URL を保護する認証方式は、特定の保護レベルに設定されます。保護レベルは、このページの[認証レベル]フィールドのレベル以上であることが必要です。ユーザがこのレベルで認証している場合、アカウント パートナーはユーザのためのアサーションを生成します。認証 URL 用の保護レベルが[認証レベル]フィールドのレベル未満である場合、
    SiteMinder
    はアサーションを生成しません。
[サインアウト]セクションでは、WS フェデレーション サインアウト機能を有効にできます。各リソース パートナーのユーザがセッションを持つ場所で、サインアウトは特定のユーザに対するすべてのセッションを終了します。
サインアウト設定は以下のとおりです。
  • サインアウトの有効化
    リソース パートナーに対する WS フェデレーション サインアウト機能を有効にします。
  • サインアウト クリーンアップ URL
    リソース パートナーのブラウザがユーザ セッションを終了するためにリダイレクトされる場所で URL を指定します。
    ユーザ セッションがアカウント パートナーおよびすべてのリソース パートナー サイトで削除された後、フェデレーション Web サービスはユーザをサインアウト クリーンアップ URL にリダイレクトします。サインアウトがリソース パートナーで開始する場合、ログアウト確認ページはリソース パートナーの保護されないリソースである必要があります。サインアウトがアカウント パートナー サイトで開始される場合、ログアウト確認ページはアカウント パートナー サイトの保護されないリソースである必要があります。
  • サインアウト確認 URL
    SiteMinder
    からのサインアウト メッセージ送信先となる、アカウント プロバイダの URL を指定します。この URL には、リソース プロバイダ クリーンアップ ロケーションの場所が[SignoutConfirm JSP]ページに対してポスト データとして送られます。デフォルトの URL は以下のとおりです。
    http://
    ap_server:port
    /affwebservices/public/signoutconfirmurl.jsp
    ap_server:port
    アカウント パートナーでシステムのサーバおよびポート番号を指定します。システムは、フェデレーション ネットワークにどのコンポーネントがインストールされているかに応じて、Web エージェント オプション パックまたはフェデレーション ゲートウェイをホストしています。
    signoutconfirmurl.jsp は Web エージェント オプション パックまたはフェデレーション ゲートウェイで含まれています。このページはデフォルト ディレクトリから移動することができます。この場合、フェデレーション Web サービス用のサーブレット エンジンがページにアクセスできる場所に置きます。