Sun ONE Identity Server 6.1 管理ガイド |
第 5 章
連携管理この章では、SunTM ONE Identity Server の連携管理インタフェース機能について説明します。連携管理インタフェースでは、認証ドメインおよびプロバイダに関するメタデータを表示、管理、および設定する方法を備えています。
Liberty Alliance Project の仕様 1.0 に記述されている機能はサポートされなくなりました。実質的には 1.0 による配備はないため、深刻な影響はありません。
この章は、次の節で構成されています。
認証ドメインおよびプロバイダの概要連携管理モジュールでは、認証ドメイン、リモートプロバイダ、およびホストプロバイダを作成、修正、および削除するインタフェースを備えています。次の手順は、連携管理の基本モデルを示しています。
次の節では、認証ドメイン、リモートプロバイダ、およびホストプロバイダを作成し、設定する方法について説明します。
認証ドメインここでは、認証ドメインの作成、修正、および削除方法を説明します。
認証ドメインの作成
- 連携管理モジュールの「表示」メニューから「認証ドメイン」を選択します。
- ナビゲーションフレームで「新規」をクリックします。
「新規認証ドメイン」テンプレートがデータフレームに表示されます。
- 「新規認証ドメイン」ウィンドウで、認証ドメインの名前を入力します。
- 認証ドメインの説明に値を入力します。
- 「ライタサービス URL」の値を入力します。
「ライタサービス URL」は、共通ドメインからの cookie を書き込むサービスが行われる場所を指定します。たとえば example.com が共通ドメインの場合、URL は次のようになります。
http://example.com:8080/liberty/WriterServlet
- 「リーダサービス URL」の値を入力します。
「リーダサービス URL」は、共通ドメインからの cookie を読み込むサービスの場所を指定します。
- 「有効」または「無効」の状態を選択します。
デフォルトは「有効」です。これは、その認証ドメインの存続期間中であればいつでも、「プロパティ」アイコンを選択して変更できます。「無効」を選択すると、現在の Identity Server インストールに関して、認証ドメイン内での Liberty 通信が無効になります。
- 「作成」をクリックします。
新しい認証ドメインがナビゲーションフレームに表示されます。
認証ドメインの修正
認証ドメインの削除
認証ドメインを削除しても、そのドメインに属するプロバイダは削除されません。削除された認証ドメインにプロバイダが属している場合、そのプロバイダ自体を削除しないかぎり、プロバイダは認証ドメインに属したままとなります。削除された認証ドメインにプロバイダを追加することはできません。
プロバイダここでは、リモートおよびホストプロバイダの作成、修正、および削除方法を説明します。
リモートプロバイダの作成
リモートプロバイダとは、主体からのメタデータを受信するエンティティのことです。主体とは、システムとやりとりする組織や個人を指します。リモートプロバイダを作成するには、次の手順に従ってください。
- 連携管理モジュールの「表示」メニューから「リモートプロバイダ」を選択します。
プロバイダを作成すると、デフォルトではサービスプロバイダとなります。手順 15 の説明にあるオプションを選択すれば、リモートプロバイダをアイデンティティプロバイダとして作成することもできます。
- 「新規」をクリックします。「リモートプロバイダの作成」ウィンドウが表示されます。
- 「プロバイダ ID」の値を入力します。
「プロバイダ ID」には、プロバイダの URL 識別子を指定する必要があります。リモートプロバイダおよびホストプロバイダすべてに対して重複しない値にする必要があります。
- リモートプロバイダの詳細を入力します。
- 「セキュリティキー」を入力します。
「セキュリティキー」は、セキュリティ証明エイリアスを定義します。証明書はすべて、エイリアスに対する JKS キーストアに格納されています。このエイリアス (セキュリティキー) は、必要な証明書を取得するために使用します。
- 「SOAP エンドポイント URL」を入力します。
このフィールドは、SOAP 要求の受信者の場所を指定します。SOAP 経由のバックチャネルの通信 (ブラウザを使用しない通信) に使用されます。
- 「シングルログアウトサービス URL」を入力します。
「シングルログアウトサービス URL」は、サービスプロバイダまたはアイデンティティプロバイダがログアウト要求を送受信するために使用されます。
- 「シングルログアウトの返信 URL」を入力します。
この値は、ログアウト要求処理後に要求がリダイレクトされる URL を指定します。
- 「連携終了サービス URL」を入力します。
このフィールドは、連携の終了要求をどの URL に通知するかを指定します。
- 「連携終了の返信 URL」の値を入力します。
この値は、連携の終了要求処理後に要求がリダイレクトされる URL を指定します。
- 「シングルサインオンサービス URL」を定義します。
このフィールドは、連携と SSO の期間中にサービスプロバイダが要求を送信する、アイデンティティプロバイダの URL を定義します。このフィールドは、「アイデンティティプロバイダ」オプションが有効になっている場合のみ定義する必要があります。
- 「名前登録サービス URL」を入力します。
このフィールドは、サービスプロバイダがアイデンティティプロバイダと通信する間に、専用の名前識別子を登録するために用いる、名前登録プロトコルを使用します。連携セッションが確立した後でのみ、登録が行われます。このフィールドは、サービスプロバイダが名前識別子をアイデンティティプロバイダに登録するために使用するサービス URL を定義します。
- 「名前登録の返信 URL」を入力します。
このフィールドは、サービスプロバイダがアイデンティティプロバイダと通信する間に、専用の名前識別子を登録するために用いる、名前登録プロトコルを使用します。連携セッションが確立した後でのみ、登録が行われます。「名前登録の返信 URL」は、アイデンティティプロバイダが登録の状況を返信する URL です。
- 「アサーションコンシューマ URL」を入力します。
このフィールドは、アイデンティティプロバイダが SAML アサーションを送信するサービスプロバイダの終端点を定義します。
- リモートプロバイダをアイデンティティプロバイダとして定義するかどうかを決定します。デフォルトでは、すべてのプロバイダがサービスプロバイダとなります。「アイデンティティプロバイダ」オプションを選択すると、リモートプロバイダがアイデンティティプロバイダとしても定義されます。
- 「作成」をクリックします。
新しいプロバイダがナビゲーションフレームに表示されます。
リモートプロバイダの修正
リモートホストは、作成後いつでも修正できます。そのためには、次の手順を実行します。
- ナビゲーションフレームの「表示」メニューから「リモートプロバイダ」を選択します。
- 修正したいプロバイダのプロファイルを選択し、「編集」の矢印をクリックします。
デフォルトでは、ナビゲーションフレームは「一般」表示となっています。「一般」表示内のほとんどのフィールドには、リモートプロバイダの作成時に入力されたデータが入っています。次の追加フィールドを修正できます。
「プロバイダの簡潔な ID」: アイデンティティプロバイダに対してサービスプロバイダを一意に特定します。
「プロバイダの簡潔な ID」は、SHA1 で符号化された文字列にする必要があります。プロバイダ ID の文字列は、符号化する値として使用してください。こうすれば、重複を確実に避けられます。SHA1 符号化を生成するには、OpenSSL コマンド行ツールの構文を使用します。
$ echo プロバイダ ID | openssl sha1
フィールドを修正した場合、「保存」をクリックして変更を保存します。
「状態」: 有効状態にすると、リモートプロバイダが連携と SSO で使用できます。無効状態にすると、リモートプロバイダは使用不能となり、要求に応答しなくなります。
- 「サービスプロバイダ」フィールドを変更するには、「表示」メニューで「サービスプロバイダ」を選択します。
「アサーションコンシューマ URL」フィールドには、リモートプロバイダの作成時に入力されたデータが入っています。なお、次のフィールドも修正可能です。
「連携後の名前登録」: このオプションを有効にすると、サービスプロバイダでは連携後に名前登録に参加できます。名前登録とは、サービスプロバイダが主体の名前識別子を指定するためのプロファイルです。名前識別子は、アイデンティティプロバイダがサービスプロバイダと通信する際に使用します。
「署名済みの認証要求」: このオプションが有効になっている場合、署名済みの認証および連携の要求をリモートプロバイダが送信するように指定します。アイデンティティプロバイダは、サービスプロバイダから署名のない要求を受け取っても処理しません。
「アサーションコンシューマ URL」: このフィールドは、アイデンティティプロバイダが SAML アサーションを送信するプロバイダの終端点を定義します。
「連携終了のプロファイル」: SOAP または HTTP リダイレクトを選択できます。このフィールドは、連携終了の通知に SOAP または HTTP リダイレクトプロファイルを使用するかどうかを指定します。対象プロバイダの存続期間中であればいつでも変更できます。
「シングルログアウトのプロファイル」: SOAP または HTTP リダイレクトを選択できます。このフィールドは、ログアウトイベントの通知に SOAP または HTTP リダイレクトを使用するかどうかを指定します。対象プロバイダの存続期間中であればいつでも変更できます。
「名前登録のプロファイル」: SOAP または HTTP リダイレクトを選択できます。このフィールドは、名前登録に SOAP または HTTP リダイレクトプロファイルを使用するかどうかを指定します。対象プロバイダの存続期間中であればいつでも変更できます。
- 「保存」をクリックします。
- 作成時にリモートプロバイダをアイデンティティプロバイダとして定義した場合、「表示」メニューの「アイデンティティプロバイダ」を選択して、フィールドを変更することができます。
「アイデンティティプロバイダ」: このフィールドは、リモートプロバイダをアイデンティティプロバイダとして定義するかどうかを指定します。デフォルトでは、すべてのプロバイダがサービスプロバイダとなります。「アイデンティティプロバイダ」オプションを選択すると、リモートプロバイダがアイデンティティプロバイダとしても定義されます。
「SSO 時の名前登録」: このオプションを有効にすると、アイデンティティプロバイダでは SSO 中に名前登録に参加できます。名前登録とは、サービスプロバイダが主体の名前識別子を指定するためのプロファイルです。名前識別子は、アイデンティティプロバイダがサービスプロバイダと通信する際に使用します。
「シングルサインオンサービス URL」: このフィールドは、連携と SSO の期間中にサービスプロバイダが要求を送信する、アイデンティティプロバイダの URL を定義します。このフィールドは、「アイデンティティプロバイダ」オプションが有効になっている場合のみ定義する必要があります。
- 「表示」メニューの認証ドメインを選択し、リモートプロバイダを所属させる認証ドメインを編集します。
矢印を使用して、選択した認証ドメインを「利用可能」リストに移動します。「保存」をクリックします。これによって、プロバイダが認証ドメインに割り当てられます。プロバイダは 1 つまたは複数の認証ドメインに属することができます。指定されたどの認証ドメインにも属さないプロバイダは、Liberty 通信を行うことができません。「保存」をクリックします。
ホストプロバイダの作成
ホストプロバイダとは、主体についてのアイデンティティを作成、維持、および管理し、認証ドメイン内のほかのサービスプロバイダに対して主体の認証を実行するエンティティのことです。ホストプロバイダを作成するには、次の手順に従ってください。
- 連携管理モジュールの「表示」メニューから「ホストプロバイダ」を選択します。
プロバイダを作成すると、デフォルトではサービスプロバイダとなります。手順 6 の説明にあるオプションを選択すれば、リモートプロバイダをアイデンティティプロバイダとして作成することもできます。
- 「新規」をクリックします。「ホストプロバイダの作成」ウィンドウが表示されます。
- 「プロバイダ ID」の値を入力します。
「プロバイダ ID」は、プロバイダの URL 識別子を指定します。リモートプロバイダおよびホストプロバイダすべてに対して重複しない値にする必要があります。
- ホストプロバイダの詳細を入力します。
- プロバイダの「エイリアス」を入力します。
それぞれのホストプロバイダに対して、このフィールドに入力されたエイリアスが、メタエイリアスと呼ばれる文字列に追加されます。続いてこの文字列は、ホストプロバイダに対して自動生成された URL に追加されます。この URL はメタデータ URL と呼ばれます。次の例では、sunAlias はプロバイダのエイリアスです。
連携終了サービス URL
http://www.example.com:58080/amserver/ProcessTermination/metaAlias/sunAlias
SOAP エンドポイント URL
http://www.example.com:58080/amserver/SOAPReceiver/metaAlias/sunAlias
- リモートプロバイダをアイデンティティプロバイダとして定義するかどうかを決定します。デフォルトでは、すべてのプロバイダがサービスプロバイダとなります。「アイデンティティプロバイダ」オプションを選択すると、リモートプロバイダがアイデンティティプロバイダとしても定義されます。
- 「セキュリティキー」を入力します。
「セキュリティキー」は、セキュリティ証明エイリアスを定義します。証明書はすべて、エイリアスに対する JKS キーストアに格納されています。このエイリアス (セキュリティキー) は、必要な証明書を取得するために使用します。
- 「プロバイダ URL」を入力します。
このフィールドは、メタデータを送信する URL を指定します。
- ホストプロバイダをアイデンティティプロバイダとして定義するかどうかを決定します。デフォルトでは、すべてのプロバイダがサービスプロバイダとなります。「アイデンティティプロバイダ」オプションを選択すると、ホストプロバイダがアイデンティティプロバイダとしても定義されます。
- 「作成」をクリックします。
新しいプロバイダがナビゲーションフレームに表示されます。
ホストプロバイダの修正
- 修正したいプロバイダのプロファイルを選択し、「編集」の矢印をクリックします。
デフォルトでは、ナビゲーションフレームは「一般」表示となっています。「一般」表示内のほとんどのフィールドには、ホストプロバイダの作成時に入力されたデータが入っています。次の追加フィールドを修正できます。
「SOAP エンドポイント URL」: このフィールドは、SOAP 要求の受信者の場所を指定します。SOAP 経由のバックチャネルの通信 (ブラウザを使用しない通信) に使用されます。
「シングルログアウトサービス URL」: 「シングルログアウトサービス URL」は、サービスプロバイダまたはアイデンティティプロバイダがログアウト要求を送受信するために使用されます。
「シングルログアウトの返信 URL」: この値は、ログアウト要求処理後に要求がリダイレクトされる URL を指定します。
「連携終了サービス URL」: このフィールドは、連携の終了要求をどの URL に通知するかを指定します。
「連携終了の返信 URL」: この値は、連携の終了要求処理後に要求がリダイレクトされる URL を指定します。
「名前登録サービス URL」: このフィールドは、サービスプロバイダがアイデンティティプロバイダと通信する間に、専用の名前識別子を登録するために用いる、名前登録プロトコルを使用します。連携セッションが確立した後でのみ、登録が行われます。このフィールドは、サービスプロバイダが名前識別子をアイデンティティプロバイダに登録するために使用するサービス URL を定義します。
「名前登録の返信 URL」: このフィールドは、サービスプロバイダがアイデンティティプロバイダと通信する間に、専用の名前識別子を登録するために用いる、名前登録プロトコルを使用します。連携セッションが確立した後でのみ、登録が行われます。「名前登録の返信 URL」は、アイデンティティプロバイダが登録の状況を返信する URL です。
フィールドを修正した場合、「保存」をクリックします。
- 「サービスプロバイダ」フィールドを変更するには、「表示」メニューで「サービスプロバイダ」を選択します。
「アサーションコンシューマ URL」フィールドには、リモートプロバイダの作成時に入力されたデータが入っています。次の追加フィールドを修正できます。
「連携後の名前登録」: このオプションを有効にすると、サービスプロバイダでは連携後に名前登録に参加できます。名前登録とは、サービスプロバイダが主体の名前識別子を指定するためのプロファイルです。名前識別子は、アイデンティティプロバイダがサービスプロバイダと通信する際に使用します。
「署名済みの認証要求」: このオプションが有効になっている場合、署名済みの認証および連携の要求をホストプロバイダが送信するように指定します。アイデンティティプロバイダは、サービスプロバイダから署名のない要求を受け取っても処理しません。
「連携終了のプロファイル」: SOAP または HTTP リダイレクトを選択できます。このフィールドは、連携終了の通知に SOAP または HTTP リダイレクトプロファイルを使用するかどうかを指定します。対象プロバイダの存続期間中であればいつでも変更できます。
「シングルログアウトのプロファイル」: SOAP または HTTP リダイレクトを選択できます。このフィールドは、ログアウトイベントの通知に SOAP または HTTP リダイレクトを使用するかどうかを指定します。対象プロバイダの存続期間中であればいつでも変更できます。
「名前登録のプロファイル」: SOAP または HTTP リダイレクトを選択できます。このフィールドは、名前登録に SOAP または HTTP リダイレクトプロファイルを使用するかどうかを指定します。対象プロバイダの存続期間中であればいつでも変更できます。
「認証コンテキスト」: 使用される認証コンテキストの認証レベルを指定します。
フィールドを修正した場合、「保存」をクリックします。
- 作成時にホストプロバイダをアイデンティティプロバイダとして定義した場合、「表示」メニューの「アイデンティティプロバイダ」を選択して、フィールドを変更することができます。このフィールドの値のほとんどは、作成時に入力されたものです。次のフィールドを修正できます。
「アイデンティティプロバイダ」: このフィールドは、リモートプロバイダをアイデンティティプロバイダとして定義するかどうかを指定します。デフォルトでは、すべてのプロバイダがサービスプロバイダとなります。「アイデンティティプロバイダ」オプションを選択すると、リモートプロバイダがアイデンティティプロバイダとしても定義されます。
「SSO 時の名前登録」: このオプションを有効にすると、アイデンティティプロバイダでは SSO 中に名前登録に参加できます。名前登録とは、サービスプロバイダが主体の名前識別子を指定するためのプロファイルです。名前識別子は、アイデンティティプロバイダがサービスプロバイダと通信する際に使用します。
「シングルサインオンサービス URL」: このフィールドは、連携と SSO の期間中にサービスプロバイダが要求を送信する、アイデンティティプロバイダの URL を定義します。このフィールドは、「アイデンティティプロバイダ」オプションが有効になっている場合のみ定義する必要があります。
「サポート」: アイデンティティプロバイダがその認証コンテキストをサポートするかどうかを指定します。アイデンティティプロバイダは、少なくとも 1 つの認証コンテキストをサポートしている必要があります。
「コンテキスト参照」: 認証コンテキストの名前を定義します。Liberty プロトコルには 10 個のコンテキストが定義されています。
「キー」: /UI/Login (Identity Server 認証サーブレット) に送信されたクエリ文字列には、使用される認証メカニズムを識別するキーと値のペアが含まれます。次の値が使用できます。
- 「表示」メニューの認証ドメインを選択し、リモートプロバイダを所属させる認証ドメインを編集します。
矢印を使用して、選択した認証ドメインを「利用可能」リストに移動します。「保存」をクリックします。これによって、プロバイダが認証ドメインに割り当てられます。プロバイダは 1 つまたは複数の認証ドメインに属することができます。指定されたどの認証ドメインにも属さないプロバイダは、Liberty 通信を行うことができません。
- 「表示」メニューから「信頼プロバイダ」を選択します。
リモートプロバイダは、ここで選択されたプロバイダからの要求だけを受け付けます。その他のプロバイダからの要求は無視されます。信頼できるプロバイダのリストを作成するには、「利用可能」フィールドでプロバイダを選択し、「追加」ボタンを使用して「選択」フィールドに追加します。プロバイダを削除するには「削除」ボタンを使用します。「保存」をクリックします。
- Identity Server の設定属性を選択します。
フィールドは次のとおりです。
「認証タイプ」: リモートとローカルがあります。リモートでは、認証要求を受け取った場合に、ホストプロバイダが認証のためにアイデンティティプロバイダと通信する必要があるか指定します。また、ローカルでは、認証がホストプロバイダ自身によって行われる必要があるか指定します。
「シングルサインオン / 連携のプロファイル」: ホストプロバイダが認証要求送信のために使用するプロファイルを指定します。Identity Server では次のプロトコルが使用できます。
- ブラウザ POST - フロントチャネル (HTTP POST ベース) プロトコルを指定
- ブラウザアーティファクト - バックチャネル (ブラウザを使用しない) SOAP ベースのプロトコル
「デフォルト認証コンテキスト」: アイデンティティプロバイダがサービスプロバイダの要求の一部として認証コンテキストを受け取らないようになっている場合、使用する認証コンテキストを指定します。また、保護されたリソースに未知のユーザーがアクセスしようとした場合にサービスプロバイダが使用する、認証コンテキストも指定します。デフォルト値は次のとおりです。
- 以前のセッション
- 時間同期トークン
- スマートカード
- モバイル機器が未登録
- スマートカード PKI
- モバイル機器の契約
- パスワード
- パスワードで保護されたトランスポート
- モバイル機器のデジタル ID
- ソフトウェア PKI
「アイデンティティプロバイダでの強制認証」: 認証要求を受信した場合に、アイデンティティプロバイダが (セッション継続中でも) 再認証する必要があるかどうかを示します。
「アイデンティティプロバイダをパッシブにするように要求」: 選択された場合、アイデンティティプロバイダが主体ではなくユーザーとやりとりする必要があることを指定します。
「組織 DN」: 各ホストプロバイダが、ホスティングされたモデルまで別々の組織にわたってユーザーを管理する場合、組織の DN の格納場所を指定します。
「Liberty バージョン URI」: Liberty 仕様のバージョンを指定します。
「名前 ID の実装」: サービスプロバイダが名前登録を行えるようにします。名前登録とは、サービスプロバイダが主体の名前識別子を指定するためのプロファイルです。名前識別子は、アイデンティティプロバイダがサービスプロバイダと通信する際に使用します。
「プロバイダホームページ URL」: プロバイダのホームページを指定します。
「シングルサインオンエラー時のリダイレクト URL」: SSO がエラーになった場合のリダイレクト URL を指定します。
「アサーション間隔」: アイデンティティプロバイダが発行するアサーションの間隔の有効期限を指定します。アサーションが期限切れになるまで、主体の認証はアイデンティティプロバイダによって維持されます。
「クリーンアップ間隔」: アイデンティティプロバイダに格納されているアサーションをクリアする時間間隔を指定します。
「アーティファクトのタイムアウト」: アサーションアーティファクトに対するアイデンティティプロバイダのタイムアウト時間を指定します。
「アサーション限界」: アイデンティティプロバイダが発行または格納できるアサーション数を指定します。
- 「保存」をクリックします。
プロバイダの削除