目次    

SAML サービス属性

SAML (Security Assertion Markup Language) サービス属性はグローバル属性です。これらの属性に適用される値は Sun Java System Access Manager 設定全体に適用され、設定済みのすべての組織に継承されます。グローバル属性の目的は Access Manager アプリケーションのカスタマイズであるため、ロールまたは組織に直接適用することはできません。

SALM サービスのアーキテクチャに関する詳細は、『Access Manager Developer's Guide』を参照してください。

SAML 属性は次のとおりです。

サイト ID とサイト発行者名

この属性にはエントリの一覧が含まれ、各エントリにはインスタンス ID、サイト ID、およびサイト発行者名が含まれます。インストール時にはデフォルト値が割り当てられます。形式は次のとおりです。

instanceid=serverprotocol://servername:portnumber|siteid=site_id |issuerName=site_issuer_name

SSL の属性をソースおよび目的サイトで設定したら、instanceid プロトコルが HTTPS// であることを確認します。

SAML 要求署名

この属性は、配信前にすべての SAML 要求にデジタル署名 (XML DSIG) するかどうかを指定します。このオプションをクリックすると、この機能が有効になります。

SAML 応答署名

この属性は、配信前にすべての SAML 応答にデジタル署名 (XML DSIG) するかどうかを指定します。このオプションをクリックすると、この機能が有効になります。

このオプションを有効にするかどうかにかかわらず、SAML Web Post プロファイルが使用するすべての SAML 応答にデジタル署名が行われます。

署名アサーション

この属性は、配信前にすべての SAML アサーションにデジタル署名 (XML DSIG) するかどうかを指定します。このオプションをクリックすると、この機能が有効になります。

SAML アーティファクト名

この属性は、SAML サービス設定で定義されている SAML アーティファクトに変数名を割り当てます。SAML アーティファクトは境界付きのサイズデータであり、アサーションとソースサイトを特定します。URL の照会文字列の一部として送られ、目的サイトへのリダイレクトによって転送されます。デフォルト値は SAMLart です。たとえば、デフォルトの SAMLart サービス設定を使用して次の照会文字列をリダイレクトします。

http:/host:port/deploy_URI/SamlAwareServlet?TARGET=http://URL/&SAMLart=a rtifact123

ターゲット指定子

この属性は、リダイレクトに使用される目的サイトの URL に変数名を割り当てます。デフォルト値は Target です。

アーティファクトのタイムアウト

この属性は、アーティファクト用に作成したアサーションのタイムアウトを指定します。デフォルトは 400 です。

notBefore 時間のアサーションスキュー係数

この属性を使用して、アサーションの notBefore 時間を計算します。たとえば、IssueInstant が 2002-09-24T21:39:49Z で、「アサーションの notBefore 時間」の値が 300 秒 (デフォルト値は 180) に設定されている場合、アサーションの条件要素の notBefore 属性は 2002-09-24T21:34:49Z になります。

アサーションのタイムアウト

この属性は、アサーションのタイムアウトが発生するまでの秒数を指定します。デフォルトは 420 です。


アサーションの有効な持続時間の合計は、notBefore 時間のアサーションスキュー係数およびアサーションのタイムアウト属性値の両方で定義されます。


信頼パートナーサイト

この属性は、あるサイトが別のパートナーサイトと信頼関係を確立して通信できるように、パートナーの情報を保存します。

この属性にはエントリの一覧が含まれ、各エントリにはキーとその値が「|」記号で区切られた対の形で含まれます。各エントリにはソース ID が必要です。次に例を示します。

SourceID=siteid|SOAPURL=https://servername:portnumber/amserver/SAML SOAPReceiver|AuthType=SSL|hostlist=ipaddress (または、サーバー DNS 名や 証明書エイリアス)

パラメータは次のとおりです。

表 0-1 信頼パートナーサイトパラメータ 

SourceID

SiteID と発行者名で定義される 20 バイトのシーケンス

target

このパラメータは、特定のドメインとして定義される。ポート番号を含む場合と含まない場合とがある。特定のドメインにホスティングされている Web ページにアクセスしたい場合、target はその後の処理のためパラメータ SAMLUrl または POSTUrl で定義される URL へのリダイレクトを指定する

「信頼されたパートナーサイト」属性に指定された同一のドメインを持つエントリで、ポート番号を含むものと含まないものの 2 つのエントリがある場合、ポート番号を含むエントリが優先される

たとえば次のように、信頼されたパートナーサイトの定義が 2 つある場合を考える

target=sun.com|SAMLUrl=http://machine1.sun.com:8080/amserver/SAMLAwareServlet

および

target=sun.com:8080|SAMLUrl=httyp://machine2.sun.com:80/amserver/SAMLAwareServlet

両方とも次のページを検索しているものとする

http://somemachine.sun.com:8080/index.html

上記の場合、一致するドメインとポートの両方が 2 番目の定義の target パラメータ内にあるので、2 番目の定義が SAML サービスプロバイダとして選択される

SAMLUrl

SAML サービスを提供する URL を定義する。URL に定義されたサーブレットは、「OASIS-SAML Bindings and Profiles」仕様に定義された「Web-browser SSO with Artifact」プロファイルを実装する

POSTUrl

SAML サービスを提供する URL を定義する。URL に定義されたサーブレットは、「OASIS-SAML Binding and Profiles」仕様に定義された「Web-browser SSO with POST」プロファイルを実装する

issuer

Access Manager 内で生成されたアサーションの作成者を定義する。構文は hostname:port

SOAPUrl

SOAP 受信者サービス URL を指定する

AuthType

SAML で使用する認証タイプを定義します。次のいずれかになる

  • NOAUTH
  • BASICAUTH
  • SSL
  • SSLWITHBASICAUTH

このパラメータは省略可能。指定しない場合、デフォルトは NOAUTH

BASICAUTH または SSLWITHBASICAUTH が指定されている場合、ユーザーパラメータは必須で、SOAPUrl は HTTPS でなければならない

User

パートナーの SOAP 受信者の保護に使用するパートナーの uid を定義する

version

SAML 要求の送信に使用する SAML バージョンを定義する。SAML バージョンに 1.0 または 1.1 を指定する。このパラメータが定義されていない場合、AMConfig.properties から次のデフォルト値が使用される

com.example.identity.saml.asertion.version-1.1

com.example.identity.saml.protocol.version=1.1

hostlist

この属性は、特定のパートナーサイトに対して要求を送信可能なすべてのホストの IP アドレスと certAlias の両方または一方をリストする。これによって、要求の送信者が確実に SAML アーティファクトの本来の受信者であると保証される

要求者のホストまたはクライアントの証明書が受信者サイトのこのリストにある場合、サービスが継続される。ホストまたはクライアント証明書がホストリストのホストまたは証明書のいずれにも一致しない場合、SAML サービスは要求を拒否する

AccountMapper

アサーションのサブジェクトと目的サイトにおける位置付けとを関連付ける方法を定義する、プラグイン可能なクラスを指定する。デフォルトでは、次のようになる

com.sun.identity.saml.plugins.DefaultAccou ntMapper

attributeMapper

attributeMapper がある場所へのパスを持つクラスを指定する。アプリケーションは、attributeMapper を展開して、SSOToken ID または AuthenticationStatement を含むアサーションを照会から取得できる。その後、マッパーを使用してサブジェクトの属性を取得する。attributeMapper が指定されていない場合は、DefaultAttributeMapper が使用される

actionMapper

actionMapper がある場所へのパスを持つクラスを指定する。アプリケーションは、actionMapper を展開して、SSOToken ID または AuthenticationStatement を含むアサーションを照会から取得できる。その後、マッパーを使用して、照会に定義されているアクションの認証決定を取得する。actionMapper が指定されていない場合は、DefaultActionMapper が使用される

siteAttributeMapper

siteAttributeMapper がある場所へのパスを持つクラスを指定する。アプリケーションは、siteAttributeMapper を展開して、SSO 中にアサーションに組み込む属性を取得できる。siteAttributeMapper が見つからない場合、属性は SSO 中にアサーションに組み込まれない

certAlias=aliasName

パートナーがアサーションに署名しているのに、署名されたアサーションの KeyInfo 部分にパートナーの証明書が見つからない場合に、アサーションで署名を検証するために使用する certAlias 名を指定する

信頼されたパートナーサイトに対する設定例を、以下の表に示します。必ずしもすべてのパラメータを指定する必要はありません。省略可能なパラメータはカギかっこ ([]) で示しています。

 

送信者

受信者

 

 

 

アーティファクト

sourceid

sourceid

 

target

SOAPUrl

 

SAMLUrl

[accountMapper]

 

hostlist

[AuthType]

 

[siteAttributeMapper]

[User]

 

 

[certAlias]

 

 

 

POST プロファイル

sourceid

sourceid

 

target

issuer

 

POSTUrl

[accountMapper]

 

[siteAttributeMapper]

[certAlias]

 

 

 

SOAP 要求

 

sourceid

 

 

hostlist

 

 

[attributeMapper]

 

 

[actionMapper]

 

 

[certAlias]

 

 

[issuer]

 

 

 

ターゲット URL への POST

アーティファクトプロファイルまたは POST プロファイルの SSO 経由で受信したターゲット URL がこの属性に含まれている場合、SSO から受信したアサーションはhttp:FORM POST によってターゲット URL に送信されます。POST 内のテスト URL やその他の追加 URL は使用しないでください。


目次