サーバ : コンフィグレーション : フェデレーション サービス : SAML 2.0 : 全般
このページでは、各サーバの SAML 2.0 の全般的なプロパティをコンフィグレーションします
Web シングル サインオンに SAML 2.0 サービスをコンフィグレーションする場合は、以下の点に 注意してください。
- [メタ データの公開] をクリックするのは、SAML 2.0 ID プロバイダまたは サービス プロバイダのサービスをコンフィグレーションしてからにする。
- この SAML オーソリティ サイトが、一部のパートナを含む ID プロバイダ、 およびそれ以外のパートナを含むサービス プロバイダの役割を果たすようコンフィグレーション されている場合は、このメタデータ ファイルの 1 つのバージョンを保持する必要がある。 これにより、互換性のないシングル サインオンの設定のためにメッセージが 拒否されることがなくなります。
- ドメイン内の 2 つ以上のサーバ インスタンスで SAML 2.0 サービスをコンフィグレーションする場合は、 RDBMS セキュリティ ストアをコンフィグレーションする必要があります。
コンフィグレーション オプション
名前 説明 レプリケーションされたキャッシュの有効化 SAML 2.0 アーティファクトおよび認証リクエストの格納に、永続キャッシュ (LDAP または RDBMS) を使用するかどうかを指定します。
これが設定されていない場合、アーティファクトおよびリクエストはメモリ内に保存されます。
ドメイン内の 2 つ以上の WebLogic Server インスタンスに SAML 2.0 サービスをコンフィグレーションする場合は、レプリケートされたキャッシュを各サーバで個別に有効化する必要があります。また、クラスタ内で SAML 2.0 サービスをコンフィグレーションする場合は、各管理対象サーバで個別にコンフィグレーションする必要もあります。
連絡先 (名) 指定された連絡先の名前 (名)。
連絡先 (姓) 連絡先 (姓)。
連絡先の種類 連絡先のタイプ。
連絡先の勤務先 連絡先の会社名。
連絡先の電話番号 連絡先の電話番号。
MBean 属性:
SingleSignOnServicesMBean.ContactPersonTelephoneNumber
連絡先の電子メール アドレス 連絡先の電子メール アドレス。
MBean 属性:
SingleSignOnServicesMBean.ContactPersonEmailAddress
組織名 組織名。
この文字列には、ユーザがローカル サイトに関する追加情報を取得するために参照できる組織の名前を指定します。
組織 URL 組織の URL。
この文字列には、ユーザがローカル サイトに関する情報を参照できる場所を指定します。この文字列は、SAML 2.0 サービスでの実際のメッセージ処理には使用されません。
公開サイトの URL パブリッシュされるサイトの URL。
SAML 2.0 のメタデータをパブリッシュするときに、この URL がベース URL として使用されて、さまざまな SAML 2.0 サービスのエンドポイント URL が構築されます。パブリッシュされるサイトの URL は、さまざまな URL の生成または解析を行うリクエストの処理中にも使用されます。
URL のホスト名およびポート部分は、サーバを外部から参照可能とするホスト名およびポートである必要があります。これは、サーバをローカルで認識するためのホスト名およびポートと同一ではないこともあります。クラスタ内で SAML 2.0 サービスをコンフィグレーションする場合、クライアント リクエストをクラスタ内の複数のサーバに分散するロード バランサまたはプロキシ サーバにこのホスト名およびポートを対応させることも可能です。
URL の残りの部分は、SAML 2.0 サービス アプリケーションがデプロイされたアプリケーション コンテキスト (通常「
/saml2
」) に対応しているシングル パスのコンポーネントである必要があります。エンティティ ID ローカル サイトをユニークに特定する文字列。
MBean 属性:
SingleSignOnServicesMBean.EntityID
受信者チェックを有効化 宛先または送り先のチェックが有効化されるかどうかを指定します。true に設定されている場合、SAML リクエスト/応答の宛先は、HTTP リクエストの URL と一致している必要があります。
トランスポート層のクライアント認証を有効化 TLS/SSL クライアント認証が要求されるかどうかを指定します。
有効化した場合、ローカル サイトの TLS/SSL バインドの呼び出し側でクライアント認証 (双方向 SSL) を指定する必要があります。また、指定された ID でバインド クライアント パートナの TLS 証明書に照らして検証する必要があります。
MBean 属性:
SingleSignOnServicesMBean.WantTransportLayerSecurityClientAuthentication
トランスポート層セキュリティ キー エリアス サーバのプライベート キーの格納および取得に使用される文字列エリアス。送信 TLS/SSL 接続の確立に使用されます。
エリアスを指定しない場合は、サーバの SSL コンフィグレーションに指定されているサーバのコンフィグレーション済み SSL プライベート キーのエリアスが、デフォルトの TLS エリアスとして使用されます。
MBean 属性:
SingleSignOnServicesMBean.TransportLayerSecurityKeyAlias
トランスポート層セキュリティ キー パスフレーズ サーバのプライベート キーをキーストアから取得するために使用されるパスフレーズ。
エリアスまたはパスフレーズのどちらかを指定しない場合は、サーバの SSL コンフィグレーションに指定されているサーバのコンフィグレーション済み SSL プライベート キーのエリアスとパスフレーズが、デフォルトの TLS エリアスおよびパスフレーズとして使用されます。
MBean 属性:
SingleSignOnServicesMBean.TransportLayerSecurityKeyPassPhrase
クライアントの基本認証を有効化 BASIC 認証によるクライアント認証が必要かどうかを指定します。
有効化されている場合、ローカル サイトの HTTPS バインドの呼び出し側で BASIC 認証ヘッダを指定する必要があります。また、ユーザ名およびパスワードでバインド クライアント パートナの BASIC 認証の値に照らして検証する必要があります。
MBean 属性:
SingleSignOnServicesMBean.WantBasicAuthClientAuthentication
基本認証ユーザ名 送信 HTTPS 接続に対する BASIC 認証資格の割り当てに使用されるユーザ名。
基本認証パスワード 送信 HTTPS 接続に対する BASIC 認証資格の割り当てに使用されるパスワード
署名済みアーティファクトの要求のみ受け入れる 受信アーティファクト リクエストが符号付きである必要があるかどうかを指定します。
この属性は、アーティファクト バインドが有効化されている場合に設定できます。
MBean 属性:
SingleSignOnServicesMBean.WantArtifactRequestsSigned
アーティファクト キャッシュ サイズ アーティファクト キャッシュの最大サイズ。
このキャッシュには、パートナによる参照を待機しているローカル サイトから発行されたアーティファクトが格納されます。「0」を指定すると、キャッシュに制限がないことが示されます。
アーティファクト キャッシュ タイムアウト ローカル キャッシュに格納されているアーティファクトの最大タイムアウト (秒単位)。
このキャッシュには、パートナによる参照を待機しているローカル サイトから発行されたアーティファクトが格納されます。アーティファクトはこの最大タイムアウト持続時間に達すると、パートナからの参照リクエストが受信されていない場合にもローカル キャッシュ内で期限切れとなります。その後でパートナからの参照リクエストが受信されると、キャッシュはそのアーティファクトが生成されていなかったかのように動作します。
シングル サインオン署名キー エリアス ドキュメントの署名時に使用するキー用のキーストアのエリアス。
このキーは、認証リクエストや応答など、あらゆる送信ドキュメントに対する署名の生成に使用されます。エリアスを指定しない場合は、サーバの SSL コンフィグレーションに指定されているサーバのコンフィグレーション済み SSL プライベート キーのエリアスがデフォルトで使用されます。
シングル サインオン署名キーのパスフレーズ ローカル サイトの SSO 署名キーをキーストアから取得するためのパスフレーズ。
キーストアのエリアスおよびパスフレーズかを指定しない場合は、サーバの SSL コンフィグレーションに指定されているサーバのコンフィグレーション済み SSL プライベート キーのエリアスとパスフレーズがデフォルトで使用されます。