目次    

プロバイダプロファイル

プロバイダプロファイルを使用すると、表示された任意の属性を変更できます。ただし、一部の属性は、特定のプロバイダタイプだけに表示されます。属性フィールドは次のとおりです。

共通属性

有効期限 : このフィールドにより、プロバイダに関連するメタデータの有効期限を入力できます。次の形式を使用します。

yyyy-mm-dd hh:mm:ss.SZ

たとえば、 2004-12-31 12:30:00.0-0800 と入力します。

キャッシュ期間 : このフィールドでは、メタデータがキャッシュされる期間を xs:duration 形式で定義します。

プロトコルサポート Enum : このフィールドは、エンティティによってサポートされるプロトコルリリースを定義します。urn:liberty:iff:2003-08 はアイデンティティ連携フレームワーク (ID-FF) 1.2 を参照し、urn:liberty:iff:2002-12 は連携アイデンティティフレームワーク (ID-FF) 1.1 を参照します。

サーバー名 ID のマッピングバインド : このフィールドは、識別子マッピングクエリが送信されるアイデンティティプロバイダの SAML オーソリティバインドを定義します。

追加メタ位置 : このフィールドは、プロバイダに関連するその他のメタデータの場所を指定します。

署名鍵のエイリアス: このフィールドでは、ローカルのホストプロバイダが要求と応答に署名するさいに使用する証明書の署名鍵を定義します。リモートプロバイダの場合は、プロバイダが署名を検証する公開鍵を定義します。

暗号化鍵のエイリアス: セキュリティ証明書のエイリアスを定義します。証明書はすべて、エイリアスに対する JKS キーストアに格納されています。このエイリアス (セキュリティキー) は、必要な証明書を取得するために使用します。

暗号化鍵のサイズ: このフィールドで、コンシューマが別のエンティティと対話するときに使用するキーの長さを制限します。

暗号化方式 : このフィールドは暗号化設定 URI を定義します。

通信 URL

SOAP エンドポイント URL : このフィールドは、SOAP 要求の受信者の場所を指定します。SOAP 経由のバックチャネルの通信 (ブラウザを使用しない通信) に使用されます。

シングルサインオンサービス URL : シングルサインオンサービス URL は、アイデンティティプロバイダがシングルサインオン要求を送受信するときに使用されます。

シングルログアウトサービス URL : 「シングルログアウトサービス URL」は、サービスプロバイダまたはアイデンティティプロバイダがログアウト要求を送受信するために使用されます。

シングルログアウトの返信 URL : この値は、ログアウト要求処理後に要求がリダイレクトされる URL を指定します。

連携終了サービス URL : このフィールドで、連携終了要求の送信先とする URL を指定します。

連携終了の返信 URL : このフィールドで、連携終了要求の処理後に要求がリダイレクトされる URL を指定します。

名前登録サービス URL : このフィールドでは名前登録プロトコルが使用されます。名前登録プロトコルは、アイデンティティプロバイダと通信する際に、独自の名前識別子を登録するためにサービスプロバイダが使用するものです。登録は連携セッションが確立した後のみ行われます。このフィールドでは、サービスプロバイダがアイデンティティプロバイダによる名前識別子を登録するために使用するサービス URL が定義されます。

名前登録の返信 URL : このフィールドでは名前登録プロトコルが使用されます。名前登録プロトコルは、アイデンティティプロバイダと通信する際に、独自の名前識別子を登録するためにサービスプロバイダが使用するものです。登録は連携セッションが確立した後のみ行われます。「名前登録の返信 URL」は、アイデンティティプロバイダが登録の状態を返信する URL です。

通信プロファイル

連携終了のプロファイル : SOAP または HTTP リダイレクトを選択できます。このフィールドは、連携終了の通知に SOAP または HTTP リダイレクトプロファイルを使用するかどうかを指定します。対象プロバイダの存続期間中であればいつでも変更できます。

シングルログアウトのプロファイル : SOAP または HTTP リダイレクトを選択できます。このフィールドは、ログアウトイベントの通知に SOAP または HTTP リダイレクトを使用するかどうかを指定します。対象プロバイダの存続期間中であればいつでも変更できます。

名前登録のプロファイル : SOAP または HTTP リダイレクトを選択できます。このフィールドは、名前登録に SOAP または HTTP リダイレクトプロファイルを使用するかどうかを指定します。対象プロバイダの存続期間中であればいつでも変更できます。

関係終了通知プロファイル: このフィールドは、関係の終了をサポートするエンティティのプロファイルを記述する URI を定義します。

シングルサインオン/連携プロファイル : このフィールドは、ホストプロバイダが認証要求送信のために使用するプロファイルを指定します。Access Manager では次のプロトコルが使用できます。

認証ドメイン

矢印を使用して、選択した認証ドメインを「利用可能」リストに移動します。「保存」をクリックします。これによって、プロバイダが認証ドメインに割り当てられます。プロバイダは 1 つまたは複数の認証ドメインに属することができます。指定されたどの認証ドメインにも属さないプロバイダは、Liberty 通信を行うことができません。「保存」をクリックします。

サービスプロバイダ

以下の属性は、サービスプロバイダだけに表示されます。

アサーションコンシューマ URL : このフィールドは、プロバイダが SAML アサーションを送信するプロバイダのエンドポイントを定義します。

アサーションコンシューマサービス URL ID : この ID は、プロトコルサポート Enum が urn:liberty:iff:2002-12 の場合に必要です。

アサーションコンシューマサービス URL をデフォルトとして設定 : このオプションは、アサーションコンシューマ URL をデフォルトとして設定します。

認証要求に署名 : このオプションが有効になっている場合、署名済みの認証および連携の要求をプロバイダが送信するように指定します。アイデンティティプロバイダは、サービスプロバイダから署名のない要求を受け取っても処理しません。

連携後の名前登録 : このオプションが有効になっている場合、サービスプロバイダを連携後に名前登録で使用できます。名前登録とは、サービスプロバイダが主体の名前識別子を指定するためのプロファイルです。名前識別子は、アイデンティティプロバイダがサービスプロバイダと通信する際に使用します。

名前 ID ポリシー : この属性値は認証要求の一部を構成します。この属性値は、アイデンティティプロバイダが生成する名前 ID の形式を指定します。たとえば、名前 ID ポリシーに federated を指定すると、名前 ID 形式は、 urn:liberty:iff:2003:federated となります。

名前 ID の暗号化を有効: この属性は、名前 ID のマッピング時に名前 ID の暗号化を指示する変数を受け取ります。

Access Manager 設定

以下の属性は、ローカルのホストプロバイダだけに表示されます。

プロバイダ URL : ローカルプロバイダの URL を定義します。

エイリアス : このフィールドにローカルプロバイダのエイリアス名を入力できます。

認証タイプ : リモート / ローカル - ホストプロバイダが認証要求を受け取った場合に、リモートでは認証のためにアイデンティティプロバイダと通信し、ローカルではホストプロバイダ自体が認証します。

デフォルト認証コンテキスト : アイデンティティプロバイダがサービスプロバイダの要求の一部として認証コンテキストを受け取らないようになっている場合、使用する認証コンテキストを指定します。また、保護されたリソースに未知のユーザーがアクセスしようとした場合に、サービスプロバイダが使用する認証コンテキストも指定します。デフォルト値は次のとおりです。

SAML 属性

以下の属性は、ローカルのホストプロバイダだけ表示されます。

アサーション間隔 : アイデンティティプロバイダが発行するアサーションの有効期限を指定します。アサーションが期限切れになるまで、主体の認証はアイデンティティプロバイダによって維持されます。

クリーンアップ間隔 : アイデンティティプロバイダに格納されているアサーションをクリアする時間間隔を指定します。

アーティファクトのタイムアウト : アサーションアーティファクトに対するアイデンティティプロバイダのタイムアウト時間を指定します。

アサーション限界 : アイデンティティプロバイダが発行または格納できるアサーション数を指定します。

プロキシ認証設定

以下の属性は、ローカルでホストするアイデンティティプロバイダには表示されません。

プロキシ認証を有効 : サービスプロバイダのプロキシ認証を有効にします。

プロキシのアイデンティティプロバイダのリスト : 認証にプロキシを使用するアイデンティティプロバイダの一覧を表示します。

プロキシ最大数 : アイデンティティプロバイダに使用するプロキシの最大数を指定します。

プロキシ用の導入 Cookie を使用: プロキシを使用するアイデンティティプロバイダを検索するさい、導入 Cookie を使用します。

組織

プロバイダ担当者

「新規」ボタンをクリックして担当者を追加し、次のフィールドを変更します。

名 : 担当者の名前です。

姓 : 担当者の姓です。

タイプ : 担当者のタイプです。次のいずれかになります。


目次