第 36 章
SAML サービス属性
SAML (Security Assertion Markup Language) サービス属性はグローバル属性です。これらの属性に適用される値は Sun ONE Identity Server 設定全体に適用され、設定済みのすべての組織に継承されます。グローバル属性の目的は Identity Server アプリケーションのカスタマイズであるため、ロールまたは組織に直接適用することはできません。
SAML サービスのアーキテクチャの詳細は、『Sun ONE Identity Server Customization and API Guide』を参照してください。
SAML 属性は次のとおりです。
サイト ID とサイト発行者名
この属性にはエントリの一覧が含まれ、各エントリにはインスタンス ID、サイト ID、およびサイト発行者名が含まれます。インストール時にはデフォルト値が割り当てられます。形式は次のとおりです。
instanceid=serverprotocol://servername:portnumber|siteid=site_id
|issuerName=site_issuer_name
ソースサイトと目的サイトの両方で SSL 用にこの属性を設定したら、instanceid のプロトコルが HTTPS// であることを確認してください。
署名要求
この属性は、配信前にすべての SAML 要求にデジタル署名 (XML DSIG) するかどうかを指定します。このオプションをクリックすると、この機能が有効になります。
署名応答
この属性は、配信前にすべての SAML 応答にデジタル署名 (XML DSIG) するかどうかを指定します。このオプションをクリックすると、この機能が有効になります。
このオプションを有効にするかどうかにかかわらず、SAML Web Post プロファイルが使用するすべての SAML 応答にデジタル署名が行われます。
署名アサーション
この属性は、配信前にすべての SAML アサーションにデジタル署名 (XML DSIG) するかどうかを指定します。このオプションをクリックすると、この機能が有効になります。
アーティファクト名
この属性は、SAML サービス設定で定義されている SAML アーティファクトに変数名を割り当てます。SAML アーティファクトはサイズ制限付きのデータであり、アサーションとソースサイトを特定します。URL の照会文字列の一部として送られ、目的サイトへのリダイレクトによって転送されます。デフォルト値は SAMLart です。たとえば、デフォルトの SAMLart サービスを使用する場合、リダイレクトの照会文字列は次のようになります。
http:/ホスト:ポート/配備
URI/SamlAwareServlet?TARGET=http://URL/&SAMLart=artifact123
ターゲット指定子
この属性は、リダイレクトに使用される目的サイトの URL に変数名を割り当てます。デフォルト値は Target です。
アーティファクトのタイムアウト (秒)
この属性は、アーティファクト用に作成したアサーションのタイムアウトを指定します。デフォルトは 400 です。
notBefore 時間のアサーションスキュー
この属性を使用して、アサーションの notBefore 時間を計算します。たとえば、IssueInstant が 2002-09024T21:39:49Z で、「notBefore 時間のアサーションスキュー」の値が 300 秒 (180 秒がデフォルト値) に設定されている場合、アサーションの条件要素の notBefore 属性は 2002-09-24T21:34:49Z になります。
アサーションのタイムアウト (秒)
この属性は、アサーションのタイムアウトが発生するまでの秒数を指定します。デフォルトは 420 です。
|
|
注
|
アサーションの有効な総時間は、notBefore 時間のアサーションスキュー属性、およびアサーションのタイムアウト属性の両方の値に設定された値で決まります。
|
|
信頼パートナーサイト
この属性は、あるサイトが別のパートナーサイトと信頼関係を確立して通信できるように、パートナーの情報を保存します。
この属性にはエントリの一覧が含まれ、各エントリにはキーとその値が「|」記号で区切られたペアの形で含まれます。各エントリにはソース ID が必要です。次に例を示します。
SourceID=siteid|SOAPURL=https://servername:portnumber/amserver/SAMLSOAPReceiver|AuthType=SSL|hostlist=ipaddress (あるいは、サーバー の DNS 名または証明書エイリアス)
パラメータは次のとおりです。
表 36-1 信頼パートナーサイトのパラメータ
|
|
|
|
SourceID
|
「サイト ID とサイト発行者名」と同様に定義される 20 バイトのシーケンス
|
|
target
|
このパラメータは、特定のドメインとして定義されます。ポート番号を含む場合と含まない場合とがあります。特定のドメインにホスティングされている Web ページにアクセスしたい場合、target はその後の処理のためパラメータ SAMLUrl または POSTUrl で定義される URL へのリダイレクトを指定します。
「信頼パートナーサイト」属性に指定された同一のドメインを持つエントリで、ポート番号を含むものと含まないものの 2 つのエントリがある場合、ポート番号を含むエントリが優先されます。
たとえば次のように、信頼されたパートナーサイトの定義が 2 つある場合を考えます。
target=sun.com|SAMLUrl=http://machine1.sun.com:8080/amserver/SAMLAwareServlet
および
target=sun.com:8080|SAMLUrl=httyp://machine2.sun.com:80/amserver/SAMLAwareServlet
両方とも次のページを検索しているものとします。
http://somemachine.sun.com:8080/index.html
上記の場合、一致するドメインとポートの両方が 2 番目の定義の target パラメータ内にあるので、2 番目の定義が SAML サービスプロバイダとして選択されます。
|
|
SAMLUrl
|
SAML サービスを提供する URL を定義します。URL に定義されたサーブレットは、「OASIS-SAML Bindings and Profiles」仕様に定義された「Web-browser SSO with Artifact」プロファイルを実装します
|
|
POSTUrl
|
SAML サービスを提供する URL を定義します。URL に定義されたサーブレットは、「OASIS-SAML Binding and Profiles」仕様に定義された「Web-browser SSO with POST」プロファイルを実装します。
|
|
issuer
|
Identity Server 内で生成されたアサーションの作成者を定義します。構文は hostname:port です。
|
|
SOAPUrl
|
SOAP 受信者サービス URL を指定します。
|
|
AuthType
|
SAML で使用する認証タイプを定義します。次のいずれかになります。
- NOAUTH
- BASICAUTH
- SSL
- SSLWITHBASICAUTH
このパラメータは省略可能です。指定しない場合、デフォルトは NOAUTH です。
BASICAUTH または SSLWITHBASICAUTH が指定されている場合、User パラメータは必須で、SOAPUrl には HTTPS を指定する必要があります。
|
|
User
|
パートナーの SOAP 受信者の保護に使用するパートナーの uid を定義します。
|
|
hostlist
|
この属性は、特定のパートナーサイトに対して要求を送信可能なすべてのホストの IP アドレスと certAlias の両方または一方をリストします。これによって、要求の送信者が確実に SAML アーティファクトの本来の受信者であると保証されます。
要求者のホストまたはクライアントの証明書が、受信者のサイトでこのリストに含まれている場合は、サービスが続行されます。ホストまたはクライアントの証明書が、このホストリストに含まれているどのホストや証明書にも一致しない場合、SAML サービスは要求を拒否します。
|
|
AccountMapper
|
アサーションのサブジェクトと目的サイトでの位置付けとを関連付ける方法を定義する、プラグイン可能なクラスを指定します。デフォルトでは、次のようになります。
com.sun.identity.saml.plugins.DefaultAccou
ntMapper
|
|
attributeMapper
|
attributeMapper がある場所へのパスを持つクラスを指定します。アプリケーションは、attributeMapper を展開して、SSOToken ID または AuthenticationStatement を含むアサーションを照会から取得できます。その後、マッパーを使用してサブジェクトの属性を取得します。attributeMapper が指定されていない場合は、DefaultAttributeMapper が使用されます。
|
|
actionMapper
|
actionMapper がある場所へのパスを持つクラスを指定します。アプリケーションは、actionMapper を展開して、SSOToken ID または AuthenticationStatement を含むアサーションを照会から取得できます。その後、マッパーを使用して、照会に定義されているアクションの認証決定を取得します。actionMapper が指定されていない場合は、DefaultActionMapper が使用されます。
|
|
siteAttributeMapper
|
siteAttributeMapper がある場所へのパスを持つクラスを指定します。アプリケーションは、siteAttributeMapper を展開して、SSO 中にアサーションに組み込む属性を取得できます。siteAttributeMapper が見つからない場合、属性は SSO 中にアサーションに組み込まれません。
|
|
certAlias=aliasName
|
パートナーがアサーションに署名しているのに、署名されたアサーションの KeyInfo 部分にパートナーの証明書が見つからない場合に、アサーションで署名を検証するために使用する certAlias 名を指定します。
|
信頼されたパートナーサイトに対する設定例を、以下の表に示します。必ずしもすべてのパラメータを指定する必要はありません。省略可能なパラメータはカギかっこ ([]) で示しています。
|
|
送信者
|
受信者
|
|
|
|
|
|
アーティファクト
|
sourceid
|
sourceid
|
|
|
target
|
SOAPUrl
|
|
|
SAMLUrl
|
[accountMapper]
|
|
|
hostlist
|
[AuthType]
|
|
|
[siteAttributeMapper]
|
[User]
|
|
|
|
[certAlias]
|
|
|
|
|
|
POST プロファイル
|
sourceid
|
sourceid
|
|
|
target
|
issuer
|
|
|
POSTUrl
|
[accountMapper]
|
|
|
[siteAttributeMapper]
|
[certAlias]
|
|
|
|
|
|
SOAP 要求
|
|
sourceid
|
|
|
|
hostlist
|
|
|
|
[attributeMapper]
|
|
|
|
[actionMapper]
|
|
|
|
[certAlias]
|
|
|
|
[issuer]
|
|
|
|
|
ターゲット URL への POST
アーティファクトプロファイルまたは POST プロファイルの SSO 経由で受信したターゲット URL がこの属性に含まれている場合、SSO から受信したアサーションは http:FORM POST によってターゲット URL に送信されます。POST にテストの URL またはその他の URL は使用しないでください。
