リソース パートナー SAML プロファイル
[SAML プロファイル]ダイアログ ボックスは、アカウント パートナーとリソース パートナーの間のシングル サインオン(SSO)およびサインアウトを設定する場所です。
casso1283
HID_wsfed-rp-saml-profiles
[SAML プロファイル]ダイアログ ボックスは、アカウント パートナーとリソース パートナーの間のシングル サインオン(SSO)およびサインアウトを設定する場所です。
シングル サインオン設定は次のとおりです。
- 認証方法ユーザがアカウント パートナーでどのように認証したかを示します。ドロップダウン リストから認証メソッドを選択します。 アカウント パートナーには、アサーション内に認証メソッドが URI 文字列の形式で含まれます。このフィールドに対して選択する値は、認証 URL を保護する認証方式に対応する必要があります。このアカウント パートナーの[一般]設定で認証 URL を指定します。たとえば、認証 URL が X.509 証明書認証方式で保護されている場合は、このフィールドに対して[SSL/TLS 証明書]を選択します。選択する認証方式はまた、このページ上で設定する認証レベルに適切である必要があります。たとえば、認証 URL を保護する認証方式に対しては[X509 クライアント証明書および基本]テンプレートを選択します。このテンプレートのデフォルト保護レベルは 15 です。ただし、[リソース パートナー SSO]設定のためのデフォルト認証方式は[パスワード]です。[パスワード]を認証メソッドとして保持する場合、アカウント パートナーは以下の URL をアサーションに追加します。urn:oasis:names:tc:SAML:1.0:am:classes:password
- セキュリティ トークン コンシューマ サービスセキュリティ トークン レスポンス メッセージを受け取り、アサーションを抽出するリソース パートナーでのサービスの URL を指定します。SiteMinderサービスのデフォルトの場所は次のとおりです。https://rp_server:port/affwebservices/public/wsfeddispatchercasso1283rp_server:portWeb エージェント オプション パックまたはAccess Gatewayをホストするリソース パートナーで Web サーバとポートを識別します。これらのコンポーネントはフェデレーション Web サービス アプリケーションを提供します。WSFedDispatcher サービスは、着信 WS フェデレーション メッセージをすべて受信し、クエリ パラメータ データに基づいて、リクエスト処理を適切なサービスに転送します。wsfedsecuritytokenconsumer サービスがありますが、このフィールドでのエントリには wsfeddispatcher サービスをお勧めします。
- 有効期間秒数アサーションが有効な期間の秒数(正の整数)を指定します。デフォルトは 60 秒です。テスト環境で、以下のメッセージがポリシー サーバ トレース ログにある場合は、妥当性期間を 60 より大きい値とします。Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237) - current time (Fri Sep 09 17:28:33EDT 2011) is after SessionNotOnOrAfter time (Fri Sep 09 17:28:20 EDT 2006)
- 認証レベル [0-1000]ここで指定したレベル以上の認証を受けたユーザにSiteMinderレルムへのアクセスを許可します。ユーザがフェデレーション リソースをリクエストする場合、SiteMinderセッションがあることが必要です。ユーザがセッションを持たない場合、SiteMinderはセッションを確立するためにユーザを認証 URL にリダイレクトします。ユーザはセッションを持つことができる可能性がありますが、保護レベルはこのダイアログ ボックスで指定した認証レベルより低いものとなります。この場合、SiteMinderは、セッションを再確立するためにユーザを認証 URL にリダイレクトします。認証 URL を保護する認証方式は、特定の保護レベルに設定されます。保護レベルは、このページの[認証レベル]フィールドのレベル以上であることが必要です。ユーザがこのレベルで認証している場合、アカウント パートナーはユーザのためのアサーションを生成します。認証 URL 用の保護レベルが[認証レベル]フィールドのレベル未満である場合、SiteMinderはアサーションを生成しません。
[サインアウト]セクションでは、WS フェデレーション サインアウト機能を有効にできます。各リソース パートナーのユーザがセッションを持つ場所で、サインアウトは特定のユーザに対するすべてのセッションを終了します。
サインアウト設定は以下のとおりです。
- サインアウトの有効化リソース パートナーに対する WS フェデレーション サインアウト機能を有効にします。
- サインアウト クリーンアップ URLリソース パートナーのブラウザがユーザ セッションを終了するためにリダイレクトされる場所で URL を指定します。ユーザ セッションがアカウント パートナーおよびすべてのリソース パートナー サイトで削除された後、フェデレーション Web サービスはユーザをサインアウト クリーンアップ URL にリダイレクトします。サインアウトがリソース パートナーで開始する場合、ログアウト確認ページはリソース パートナーの保護されないリソースである必要があります。サインアウトがアカウント パートナー サイトで開始される場合、ログアウト確認ページはアカウント パートナー サイトの保護されないリソースである必要があります。
- サインアウト確認 URLSiteMinderからのサインアウト メッセージ送信先となる、アカウント プロバイダの URL を指定します。この URL には、リソース プロバイダ クリーンアップ ロケーションの場所が[SignoutConfirm JSP]ページに対してポスト データとして送られます。デフォルトの URL は以下のとおりです。http://ap_server:port/affwebservices/public/signoutconfirmurl.jspap_server:portアカウント パートナーでシステムのサーバおよびポート番号を指定します。システムは、フェデレーション ネットワークにどのコンポーネントがインストールされているかに応じて、Web エージェント オプション パックまたはフェデレーション ゲートウェイをホストしています。signoutconfirmurl.jsp は Web エージェント オプション パックまたはフェデレーション ゲートウェイで含まれています。このページはデフォルト ディレクトリから移動することができます。この場合、フェデレーション Web サービス用のサーブレット エンジンがページにアクセスできる場所に置きます。