目次    

プロバイダの作成と管理

このセクションで説明されているトピックの定義については、「連携管理の概念」を参照してください。

  1. プロバイダを作成するエンティティを選択します。
  2. データ区画で「アイデンティティプロバイダ」または「サービスプロバイダ」を選択します。
  3. 「新規プロバイダ」をクリックします。
  4. 「共通プロバイダ属性」フィールドに情報を入力します。フィールドは次のとおりです。
  5. プロバイダ ID : 「プロバイダ ID」には、プロバイダの URL 識別子を指定する必要があります。リモートプロバイダおよびホストプロバイダすべてに対して重複しない値にする必要があります。

    説明 : プロバイダの説明を入力します。

    プロバイダはホストまたはリモート: プロバイダをローカルのホストプロバイダまたはリモートプロバイダにするか選択します。

    有効期限 : このフィールドにより、プロバイダに関連するメタデータの有効期限を入力できます。次の形式を使用します。

    yyyy-mm-ddThh:mm:ss.SZ

    たとえば、 2004-12-31T12:30:00.0-0800 と入力します。

    キャッシュ期間 : このフィールドでは、メタデータがキャッシュされる期間を xs:duration 形式で定義します。

    プロトコルサポート Enum : このフィールドは、エンティティによってサポートされるプロトコルリリースを定義します。urn:liberty:iff:2003-08 はアイデンティティ連携フレームワーク (ID-FF) 1.2 を参照し、urn:liberty:iff:2002-12 は連携アイデンティティフレームワーク (ID-FF) 1.1 を参照します。

    サーバー名 ID のマッピングバインド : このフィールドは、識別子マッピングクエリが送信されるアイデンティティプロバイダの SAML オーソリティバインドを定義します。

    追加メタ位置 : このフィールドは、プロバイダに関連するその他のメタデータの場所を指定します。

    署名鍵のエイリアス: このフィールドでは、ローカルのホストプロバイダが要求と応答に署名するときに使用する証明書の署名鍵エイリアスを定義します。リモートプロバイダの場合は、プロバイダが署名を検証する公開鍵を定義します。

    暗号化鍵のエイリアス: このフィールドでは、セキュリティ証明書のエイリアスを定義します。証明書はすべて、エイリアスに対する JKS キーストアに格納されています。このエイリアス (セキュリティキー) は、必要な証明書を取得するために使用します。

    暗号化鍵のサイズ: このフィールドで、コンシューマが別のエンティティと対話するときに使用するキーの長さを制限します。

    暗号化方式 : このフィールドは暗号化設定 URI を定義します。

  6. 「次へ」をクリックします。
  7. 通信 URL、通信プロファイル、サービスプロバイダの属性値を入力します。プロバイダがアイデンティティプロバイダの場合、これらの属性は表示されません。さらに、プロキシ認証設定の属性値も入力します。フィールドは次のとおりです。
  8. 通信 URL

    SOAP エンドポイント URL : このフィールドは、SOAP 要求の受信者の場所を指定します。SOAP 経由のバックチャネルの通信 (ブラウザを使用しない通信) に使用されます。

    シングルサインオンサービス URL : シングルサインオンサービス URL は、アイデンティティプロバイダがシングルサインオン要求を送受信するときに使用されます。

    シングルログアウトサービス URL : 「シングルログアウトサービス URL」は、サービスプロバイダまたはアイデンティティプロバイダがログアウト要求を送受信するために使用されます。

    シングルログアウトの返信 URL : この値は、ログアウト要求処理後に要求がリダイレクトされる URL を指定します。

    連携終了サービス URL : このフィールドで、連携終了要求の送信先とする URL を指定します。

    連携終了の返信 URL : このフィールドで、連携終了要求の処理後に要求がリダイレクトされる URL を指定します。

    名前登録サービス URL : このフィールドでは名前登録プロトコルが使用されます。名前登録プロトコルは、アイデンティティプロバイダと通信する際に、独自の名前識別子を登録するためにサービスプロバイダが使用するものです。登録は連携セッションが確立した後のみ行われます。このフィールドでは、サービスプロバイダがアイデンティティプロバイダによる名前識別子を登録するために使用するサービス URL が定義されます。

    名前登録の返信 URL: このフィールドでは名前登録プロトコルが使用されます。名前登録プロトコルは、アイデンティティプロバイダと通信する際に、独自の名前識別子を登録するためにサービスプロバイダが使用するものです。登録は連携セッションが確立した後のみ行われます。「名前登録の返信 URL」は、アイデンティティプロバイダが登録の状態を返信する URL です。

    通信プロファイル

    連携終了のプロファイル : SOAP または HTTP リダイレクトを選択できます。このフィールドは、連携終了の通知に SOAP または HTTP リダイレクトプロファイルを使用するかどうかを指定します。対象プロバイダの存続期間中であればいつでも変更できます。

    シングルログアウトのプロファイル : SOAP または HTTP リダイレクトを選択できます。このフィールドは、ログアウトイベントの通知に SOAP または HTTP リダイレクトを使用するかどうかを指定します。対象プロバイダの存続期間中であればいつでも変更できます。

    名前登録のプロファイル : SOAP または HTTP リダイレクトを選択できます。このフィールドは、名前登録に SOAP または HTTP リダイレクトプロファイルを使用するかどうかを指定します。対象プロバイダの存続期間中であればいつでも変更できます。

    関係終了通知プロファイル: このフィールドは、関係の終了をサポートするエンティティのプロファイルを記述する URI を定義します。

    シングルサインオン/連携プロファイル : このフィールドは、ホストプロバイダが認証要求送信のために使用するプロファイルを指定します。Access Manager では次のプロトコルが使用できます。

    • ブラウザ POST : フロントチャネル (HTTP POST ベースの) プロトコルを指定
    • ブラウザアーティファクト : バックチャネル (ブラウザを使用しない) SOAP ベースのプロトコル
    • LECP : Liberty 対応クライアントプロキシ
    • サービスプロバイダ

      以下の属性は、サービスプロバイダだけに表示されます。

      アサーションコンシューマ URL : このフィールドは、プロバイダが SAML アサーションを送信するプロバイダのエンドポイントを定義します。

      アサーションコンシューマサービス URL ID : この ID は、プロトコルサポート Enum が urn:liberty:iff:2002-12 の場合に必要です。

      アサーションコンシューマサービス URL をデフォルトとして設定 : このオプションは、アサーションコンシューマ URL をデフォルトとして設定します。

      認証要求に署名 : このオプションが有効になっている場合、署名済みの認証および連携の要求をプロバイダが送信するように指定します。アイデンティティプロバイダは、サービスプロバイダから署名のない要求を受け取っても処理しません。

      連携後の名前登録 : このオプションが有効になっている場合、サービスプロバイダを連携後に名前登録で使用できます。名前登録とは、サービスプロバイダが主体の名前識別子を指定するためのプロファイルです。名前識別子は、アイデンティティプロバイダがサービスプロバイダと通信する際に使用します。

      名前 ID ポリシー : この属性値は認証要求の一部を構成します。この属性値は、アイデンティティプロバイダが生成する名前 ID の形式を指定します。たとえば、名前 ID ポリシーに federated を指定すると、名前 ID 形式は、 urn:liberty:iff:2003:federated となります。

      アフィリエイト連携を有効 : この属性を有効にすると、アフィリエイト ID に基づいて連携が作成されます。

      Access Manager 設定

      以下の属性は、ローカルのホストプロバイダだけに表示されます。

      プロバイダ URL : ローカルプロバイダの URL を定義します。

      エイリアス : このフィールドにローカルプロバイダのエイリアス名を入力できます。

      認証タイプ : リモート / ローカル - ホストプロバイダが認証要求を受け取った場合に、リモートでは認証のためにアイデンティティプロバイダと通信し、ローカルではホストプロバイダ自体が認証します。

      デフォルト認証コンテキスト : アイデンティティプロバイダがサービスプロバイダの要求の一部として認証コンテキストを受け取らないようになっている場合、使用する認証コンテキストを指定します。また、保護されたリソースに未知のユーザーがアクセスしようとした場合に、サービスプロバイダが使用する認証コンテキストも指定します。デフォルト値は次のとおりです。

    • Previous-Session
    • Time-Sync-Token
    • Smartcard
    • MobileUnregistered
    • Smartcard-PKI
    • MobileContract
    • Password
    • Password-ProtectedTransport
    • MobileDigitalID
    • Software-PKI
    • アイデンティティプロバイダでの強制認証 : 認証要求を受信した場合に、アイデンティティプロバイダが (セッション継続中でも) 再認証する必要があるかどうかを示します。

      アイデンティティプロバイダをパッシブにするように要求 : 選択された場合、アイデンティティプロバイダが主体ではなくユーザーとやりとりする必要があることを指定します。

      組織 DN : 各ホストプロバイダが、ホスティングされたモデルまで別々の組織にわたってユーザーを管理する場合、組織の DN の格納場所を指定します。

      Liberty バージョン URI : Liberty 仕様のバージョンを指定します。

      名前 ID の実装 : サービスプロバイダが名前登録を行えるようにします。名前登録とは、サービスプロバイダが主体の名前識別子を指定するためのプロファイルです。名前識別子は、アイデンティティプロバイダがサービスプロバイダと通信する際に使用します。

      プロバイダホームページ URL : プロバイダのホームページを指定します。

      シングルサインオンエラー時のリダイレクト URL : プロバイダのホームページを指定します。

      名前 ID の暗号化を有効: この属性は、名前 ID のマッピング時に名前 ID の暗号化を指示する変数を受け取ります。

      ディスカバリブートストラップリソースオファリングを生成: このオプションを有効にすると、ローカルのホストアイデンティティプロバイダの ID-FF1.2 シングルサインオンのプロセス中に、ブートストラップディスカバリサービスリソースオファリングデータが生成されます。ただし、ブートストラップディスカバリサービスリソースオファリングデータは必須ではありません (例えば、Web サービス連携を実装しない場合)。このオプションを無効にするとデータは生成されず、Access Manager のパフォーマンスが向上します。デフォルトは有効です。

      SAML 属性

      以下の属性は、ローカルのホストプロバイダだけに表示されます。

      アサーション間隔 : アイデンティティプロバイダが発行するアサーションの有効期限を指定します。アサーションが期限切れになるまで、主体の認証はアイデンティティプロバイダによって維持されます。

      クリーンアップ間隔 : アイデンティティプロバイダに格納されているアサーションをクリアする時間間隔を指定します。

      アーティファクトのタイムアウト : アサーションアーティファクトに対するアイデンティティプロバイダのタイムアウト時間を指定します。

      アサーション限界 : アイデンティティプロバイダが発行または格納できるアサーション数を指定します。

      プロキシ認証設定

      以下の属性は、ローカルでホストするアイデンティティプロバイダには表示されません。

      プロキシ認証を有効 : サービスプロバイダのプロキシ認証を有効にします。

      プロキシのアイデンティティプロバイダのリスト : 認証にプロキシを使用するアイデンティティプロバイダの一覧を表示します。

      プロキシ最大数 : アイデンティティプロバイダに使用するプロキシの最大数を指定します。

      プロキシ用の導入 Cookie を使用: プロキシを使用するアイデンティティプロバイダを検索するさい、導入 Cookie を使用します。

  9. 「次へ」をクリックします。
  10. 組織と担当者の値を入力します。詳細については、「担当者と組織の追加」を参照してください。

  11. 「次へ」をクリックします。
  12. プロバイダが所属する認証ドメインを選択します。
  13. 矢印を使用して、選択した認証ドメインを「利用可能」リストに移動します。「保存」をクリックします。これによって、プロバイダが認証ドメインに割り当てられます。プロバイダは 1 つまたは複数の認証ドメインに属することができます。指定されたどの認証ドメインにも属さないプロバイダは、Liberty 通信を行うことができません。「保存」をクリックします。

  14. 「了解」をクリックします。

目次