SAML サービス属性
SAML (Security Assertion Markup Language) サービス属性はグローバル属性です。これらの属性に適用される値は Sun Java System Access Manager 設定全体に適用され、設定済みのすべての組織に継承されます。グローバル属性の目的は Access Manager アプリケーションのカスタマイズであるため、ロールまたは組織に直接適用することはできません。
SALM サービスのアーキテクチャに関する詳細は、『Access Manager Developer's Guide』を参照してください。
SAML 属性は次のとおりです。
サイト ID とサイト発行者名
この属性にはエントリの一覧が含まれ、各エントリにはインスタンス ID、サイト ID、およびサイト発行者名が含まれます。インストール時にはデフォルト値が割り当てられます。形式は次のとおりです。
instanceid=serverprotocol://servername:portnumber|siteid=site_id
|issuerName=site_issuer_name
SSL の属性をソースおよび目的サイトで設定したら、instanceid プロトコルが HTTPS// であることを確認します。
SAML 要求署名
この属性は、配信前にすべての SAML 要求にデジタル署名 (XML DSIG) するかどうかを指定します。このオプションをクリックすると、この機能が有効になります。
SAML 応答署名
この属性は、配信前にすべての SAML 応答にデジタル署名 (XML DSIG) するかどうかを指定します。このオプションをクリックすると、この機能が有効になります。
このオプションを有効にするかどうかにかかわらず、SAML Web Post プロファイルが使用するすべての SAML 応答にデジタル署名が行われます。
署名アサーション
この属性は、配信前にすべての SAML アサーションにデジタル署名 (XML DSIG) するかどうかを指定します。このオプションをクリックすると、この機能が有効になります。
SAML アーティファクト名
この属性は、SAML サービス設定で定義されている SAML アーティファクトに変数名を割り当てます。SAML アーティファクトは境界付きのサイズデータであり、アサーションとソースサイトを特定します。URL の照会文字列の一部として送られ、目的サイトへのリダイレクトによって転送されます。デフォルト値は SAMLart です。たとえば、デフォルトの SAMLart サービス設定を使用して次の照会文字列をリダイレクトします。
http:/host:port/deploy_URI/SamlAwareServlet?TARGET=http://URL/&SAMLart=a
rtifact123
ターゲット指定子
この属性は、リダイレクトに使用される目的サイトの URL に変数名を割り当てます。デフォルト値は Target です。
アーティファクトのタイムアウト
この属性は、アーティファクト用に作成したアサーションのタイムアウトを指定します。デフォルトは 400 です。
notBefore 時間のアサーションスキュー係数
この属性を使用して、アサーションの notBefore 時間を計算します。たとえば、IssueInstant が 2002-09-24T21:39:49Z で、「アサーションの notBefore 時間」の値が 300 秒 (デフォルト値は 180) に設定されている場合、アサーションの条件要素の notBefore 属性は 2002-09-24T21:34:49Z になります。
アサーションのタイムアウト
この属性は、アサーションのタイムアウトが発生するまでの秒数を指定します。デフォルトは 420 です。
|
注
|
アサーションの有効な持続時間の合計は、notBefore 時間のアサーションスキュー係数およびアサーションのタイムアウト属性値の両方で定義されます。
|
|
信頼パートナーサイト
この属性は、あるサイトが別のパートナーサイトと信頼関係を確立して通信できるように、パートナーの情報を保存します。
この属性にはエントリの一覧が含まれ、各エントリにはキーとその値が「|」記号で区切られた対の形で含まれます。各エントリにはソース ID が必要です。次に例を示します。
SourceID=siteid|SOAPURL=https://servername:portnumber/amserver/SAML
SOAPReceiver|AuthType=SSL|hostlist=ipaddress (または、サーバー DNS 名や
証明書エイリアス)
パラメータは次のとおりです。
表 0-1 信頼パートナーサイトパラメータ
SourceID
|
SiteID と発行者名で定義される 20 バイトのシーケンス
|
target
|
このパラメータは、特定のドメインとして定義される。ポート番号を含む場合と含まない場合とがある。特定のドメインにホスティングされている Web ページにアクセスしたい場合、target はその後の処理のためパラメータ SAMLUrl または POSTUrl で定義される URL へのリダイレクトを指定する
「信頼されたパートナーサイト」属性に指定された同一のドメインを持つエントリで、ポート番号を含むものと含まないものの 2 つのエントリがある場合、ポート番号を含むエントリが優先される
たとえば次のように、信頼されたパートナーサイトの定義が 2 つある場合を考える
target=sun.com|SAMLUrl=http://machine1.sun.com:8080/amserver/SAMLAwareServlet
および
target=sun.com:8080|SAMLUrl=httyp://machine2.sun.com:80/amserver/SAMLAwareServlet
両方とも次のページを検索しているものとする
http://somemachine.sun.com:8080/index.html
上記の場合、一致するドメインとポートの両方が 2 番目の定義の target パラメータ内にあるので、2 番目の定義が SAML サービスプロバイダとして選択される
|
SAMLUrl
|
SAML サービスを提供する URL を定義する。URL に定義されたサーブレットは、「OASIS-SAML Bindings and Profiles」仕様に定義された「Web-browser SSO with Artifact」プロファイルを実装する
|
POSTUrl
|
SAML サービスを提供する URL を定義する。URL に定義されたサーブレットは、「OASIS-SAML Binding and Profiles」仕様に定義された「Web-browser SSO with POST」プロファイルを実装する
|
issuer
|
Access Manager 内で生成されたアサーションの作成者を定義する。構文は hostname:port
|
SOAPUrl
|
SOAP 受信者サービス URL を指定する
|
AuthType
|
SAML で使用する認証タイプを定義します。次のいずれかになる
- NOAUTH
- BASICAUTH
- SSL
- SSLWITHBASICAUTH
このパラメータは省略可能。指定しない場合、デフォルトは NOAUTH
BASICAUTH または SSLWITHBASICAUTH が指定されている場合、ユーザーパラメータは必須で、SOAPUrl は HTTPS でなければならない
|
User
|
パートナーの SOAP 受信者の保護に使用するパートナーの uid を定義する
|
version
|
SAML 要求の送信に使用する SAML バージョンを定義する。SAML バージョンに 1.0 または 1.1 を指定する。このパラメータが定義されていない場合、AMConfig.properties から次のデフォルト値が使用される
com.example.identity.saml.asertion.version-1.1
com.example.identity.saml.protocol.version=1.1
|
hostlist
|
この属性は、特定のパートナーサイトに対して要求を送信可能なすべてのホストの IP アドレスと certAlias の両方または一方をリストする。これによって、要求の送信者が確実に SAML アーティファクトの本来の受信者であると保証される
要求者のホストまたはクライアントの証明書が受信者サイトのこのリストにある場合、サービスが継続される。ホストまたはクライアント証明書がホストリストのホストまたは証明書のいずれにも一致しない場合、SAML サービスは要求を拒否する
|
AccountMapper
|
アサーションのサブジェクトと目的サイトにおける位置付けとを関連付ける方法を定義する、プラグイン可能なクラスを指定する。デフォルトでは、次のようになる
com.sun.identity.saml.plugins.DefaultAccou
ntMapper
|
attributeMapper
|
attributeMapper がある場所へのパスを持つクラスを指定する。アプリケーションは、attributeMapper を展開して、SSOToken ID または AuthenticationStatement を含むアサーションを照会から取得できる。その後、マッパーを使用してサブジェクトの属性を取得する。attributeMapper が指定されていない場合は、DefaultAttributeMapper が使用される
|
actionMapper
|
actionMapper がある場所へのパスを持つクラスを指定する。アプリケーションは、actionMapper を展開して、SSOToken ID または AuthenticationStatement を含むアサーションを照会から取得できる。その後、マッパーを使用して、照会に定義されているアクションの認証決定を取得する。actionMapper が指定されていない場合は、DefaultActionMapper が使用される
|
siteAttributeMapper
|
siteAttributeMapper がある場所へのパスを持つクラスを指定する。アプリケーションは、siteAttributeMapper を展開して、SSO 中にアサーションに組み込む属性を取得できる。siteAttributeMapper が見つからない場合、属性は SSO 中にアサーションに組み込まれない
|
certAlias=aliasName
|
パートナーがアサーションに署名しているのに、署名されたアサーションの KeyInfo 部分にパートナーの証明書が見つからない場合に、アサーションで署名を検証するために使用する certAlias 名を指定する
|
信頼されたパートナーサイトに対する設定例を、以下の表に示します。必ずしもすべてのパラメータを指定する必要はありません。省略可能なパラメータはカギかっこ ([]) で示しています。
|
送信者
|
受信者
|
|
|
|
アーティファクト
|
sourceid
|
sourceid
|
|
target
|
SOAPUrl
|
|
SAMLUrl
|
[accountMapper]
|
|
hostlist
|
[AuthType]
|
|
[siteAttributeMapper]
|
[User]
|
|
|
[certAlias]
|
|
|
|
POST プロファイル
|
sourceid
|
sourceid
|
|
target
|
issuer
|
|
POSTUrl
|
[accountMapper]
|
|
[siteAttributeMapper]
|
[certAlias]
|
|
|
|
SOAP 要求
|
|
sourceid
|
|
|
hostlist
|
|
|
[attributeMapper]
|
|
|
[actionMapper]
|
|
|
[certAlias]
|
|
|
[issuer]
|
|
|
|
ターゲット URL への POST
アーティファクトプロファイルまたは POST プロファイルの SSO 経由で受信したターゲット URL がこの属性に含まれている場合、SSO から受信したアサーションはhttp:FORM POST によってターゲット URL に送信されます。POST 内のテスト URL やその他の追加 URL は使用しないでください。