SSO と SLO (SSO and SLO) WSFED
シングルサインオンおよびサインアウト
リモート依存パーティの作成またはインポート中に定義されるすべて の値が入力されます。
注:フィールド、コントロール、およびそれぞれの要件については、
[ヘルプ]をクリックしてください。
2. 以下の情報に注意して、[認証]セクションのフィールドに入力しま す。
■ [認証モード]フィールドに対して[ローカル]を選択した場合 は、redirect.jsp ファイルを指す認証 URL の URL を入力します。例:
http://webserver1.example.com/siteminderagent/redirectjsp/redirect.j sp
この例では、webserver1 によって Web エージェントオプション パックを持つ Web サーバが識別されます。 redirect.jsp ファイルは、
アイデンティティ プロバイダ サイトでインストールされた Web エージェントオプションパックに含まれています。
重要:アクセス制御ポリシーで認証 URL を保護します。ポリシー では、認証方式、レルム、およびルールを設定します。アサーショ ンにセッション ストア属性を追加するには、[認証セッション変 数を保持]チェックボックス(認証方式の設定)を有効にします。
■ [認証モード]に[委任済み]を選択する場合は、追加のフィー ルドを設定します。委任認証 (P. 219)について、より詳しく学習し ます。
3. [認証クラス]フィールド(SAML 1.1 および 2.0 のみ)に入力します。
このフィールドに静的な URI を指定します。さらに SAML 2.0 に限って は、ソフトウェアは認証クラスを自動検出できます。 URI は、ユーザ が認証される方法を示すアサーションの AuthnContextClassRef 要素に 配置されています。
シングル サインオン設定(アサーティング パーティ)
第 10 章:シングルサインオンの設定 127 4. [SSO]セクションのフィールドに入力します。 これらの設定によっ
て以下の機能を管理できます。
■ シングルサインオンバインディング
■ アサーション有効期間
[SSO 有効期間]および[スキュー時間]によって、アサーション が有効なときが決定します。これらの設定が連携する仕組みを理 解するには、アサーション有効期間 (P. 134)に関する情報を参照し てください。
SAML 2.0 については、以下の機能を設定できます。
■ シングル サインオンを開始するパートナー
■ SP セッション有効期間
■ SP セッション持続期間
■ SP と識別情報を共有するユーザ許可
注:フィールド、コントロール、およびそれぞれの要件については、
[ヘルプ]をクリックしてください。
5. アサーションコンシューマサービスまたはセキュリティトークン サービスの URL を指定します。このリモート依存パーティサービスは、
アサーションを消費して処理します。
パートナーは、この URL をユーザに提供する必要があります。
6. [HTTP-Artifact]を SAML バインディングとして選択した場合は、バッ
クチャネル設定(P. 137)を行います。
7. (オプション)。 SAML 2.0 については、以下のタスクを実行できます。
■ IDP ディスカバリプロファイル (P. 154)を有効にします。
■ 特定の HTTP エラー用のステータスリダイレクト URL (P. 133) を指
定します。
詳細情報:
シングル サインオンの開始(SAML 2.0) (P. 133)
HTTP エラー用ステータスリダイレクト(SAML 2.0 IdP) (P. 133) HTTP Artifact バック チャネルのレガシー Artifact 保護タイプ (P. 129)
シングル サインオン設定(アサーティング パーティ)
128 パートナーシップフェデレーションガイド
パートナーシップ フェデレーションの認証モード
パートナーシップフェデレーションでは、フェデレーションシングルサ インオンの認証モードを定義できます。
■ ローカル認証モード
ローカル認証は、主にローカルフェデレーションシステムで発生しま
す。 ローカル認証では、認証方式として[ベーシック]または[フォー
ム]を選択できます。ローカルで利用可能なメソッドは、この 2 つの オプションのみです。
外部のサードパーティがユーザを認証する場合も、認証モードにロー カルを選択できます。サードパーティからユーザ情報が返されると、
そのユーザ情報は、アサーションで後に使用するために、セッション ストアに格納されます。
■ 委任認証モード
委任認証は、認証タスクをサードパーティ Web アクセス管理(WAM) システムに転送します。サードパーティがユーザを認証する方法は、
サードパーティがサポートする認証方式によって異なります。サード パーティ WAM がユーザを認証した後、フェデレーション ユーザ ID が
SiteMinder に送信されます。
シングル サインオン設定(アサーティング パーティ)
第 10 章:シングルサインオンの設定 129
HTTP Artifact バック チャネルのレガシー Artifact 保護タイプ
HTTP Artifact シングルサインオンの場合、[Artifact 保護タイプ]フィール
ドに対してレガシーオプションを選択できます。レガシーオプションに より、アサーティングパーティの Artifact サービスへのバックチャネルを 保護するレガシー方式を使用することを示します。
レガシー保護方式を実装するには、以下を実行します。
■ FederationWebServicesAgentGroup エージェントグループに、FWS アプ リケーションを保護する Web エージェントを追加します。
– ServletExec の場合、このエージェントは、Web エージェントオプ
ションパックがインストールされている Web サーバにあります。
– WebLogic や JBOSS などのアプリケーションサーバの場合、この
Web エージェントは、アプリケーションサーバプロキシがインス トールされている場所にインストールされています。 Web エー ジェントオプションパックは別のシステムに存在することもあ ります。
■ Artifact サービスを保護するポリシーを適用します。ポリシーを適用す
るために、Artifact サービスへのアクセスが許可されているアサーティ ングパーティから依存パーティへのパートナーシップを示します。
Web エージェントをエージェントグループに追加するには、次の手順に従ってく ださい:
1. 管理 UI にログインします。
2. [インフラストラクチャ]-[エージェント]-[エージェントの作成]
を選択します。
3. 展開内の Web エージェントの名前を指定します。 [サブミット]を クリックします。
4. [インフラストラクチャ]-[エージェントグループ]を選択します。
5. [FederationWebServicesAgentGroup]エントリを選択します。
[エージェントグループ]ダイアログボックスが表示されます。
6. [追加/削除]をクリックします。[エージェントグループのメンバ]
ダイアログ ボックスが表示されます。
シングル サインオン設定(アサーティング パーティ)
130 パートナーシップフェデレーションガイド
7. Web エージェントを[使用可能なメンバ]リストから[選択されたメ
ンバ]リストに移動します。
8. [OK]ボタンをクリックして、[エージェントグループ]ダイアログ に戻ります。
9. [サブミット]クリックした後、[閉じる]クリックしてメインペー ジに戻ります。
取得サービスを保護するポリシーを適用するには、次の手順に従ってください:
1. 管理 UI で、Artifact 保護タイプのレガシー方式を使用してパートナー
シップを設定します。
2. このパートナーシップをアクティブ化します。
3. [ポリシー]-[ドメイン]-[ドメインポリシー]を選択します。
使用可能なドメインポリシーのリストが表示されます。
4. 鉛筆のアイコンを選択して該当する Artifact サービス ポリシーを編集 します。
SAML 1.1
FederationWSAssertionRetrievalServicePolicy