SAML IDアサーション・プロバイダV2: アサーティング・パーティ: 構成
このSAML IDアサーション・プロバイダによって消費されるSAMLアサーションを生成するアサーティング・パーティを構成します。
構成オプション
名前 説明 パートナID アサーティング・パーティID。
説明 このアサーティング・パーティの簡単な説明。
有効 SAMLアサーションの取得にこのアサーティング・パーティを使用できるかどうかを指定します。
プロファイル Browser/Artifact、Browser/POST、WSS/sender-vouches、WSS/Holder-of-KeyまたはWSS/Bearerのうちのいずれか1つのパートナとともに使用されるSAMLプロファイル。
ターゲットURL このSAMLアサーティング・パーティのターゲットURL。
POST署名用証明書別名 このアサーティング・パーティからのSAMLプロトコル要素のシグネチャを検証する、信頼性のある証明書の別名。証明書は、SAML IDアサーション・プロバイダの証明書レジストリに登録されている必要があります。Browser/POSTプロファイル用に設定する必要があります。
パートナ・ソース・サイトID このアサーティング・パーティによって表されるSAMLソース・サイトのソースID。Browser/Artifactプロファイルでのみ使用され、受信したアーティファクトに対応するパートナ構成をルックアップします。
アサーション取得用URL この構成によって表されるSAMLソース・サイトのアサーション取得サービス(ARS) URL。Browser/Artifactプロファイルでのみ使用され、アーティファクトに対応するアサーションを取得します。
アサーション取得用ユーザー名 ARS URLに接続するときに認証される、任意指定のユーザー名。
アサーション取得用パスワード ARS URLに接続するときに認証される、任意指定のパスワード。
ソース・サイトのリダイレクトURI 未認証ユーザーを、構成済みのITS URLにリダイレクトするための任意指定のURIセット。これを設定した場合、サイト間転送URLも設定する必要があります。
ソース・サイトITS URL このアサーティング・パーティのSAMLソース・サイトのサイト間転送サービス(ITS) URL。
SSOプロファイルでのみ使用されます。宛先サイトに先にアクセスするシナリオ、つまり、ユーザーが認証を行う前に宛先サイトURLにアクセスしようとしたが、認証のためにソース・サイトにリダイレクトされ、SAMLアサーションを取得するようなシナリオをサポートします。ソース・サイト・リダイレクションが機能するためには、リダイレクトURI属性も構成されている必要があります。
ソース・サイトのITSパラメータ ソース・サイトにリダイレクトする際にITS URLに付加される、name=valueという形式の0個以上の任意指定問合せパラメータ。
発行者URI このSAMLアサーティング・パーティのアサーションを発行するSAMLオーソリティの発行者URI。
オーディエンスのURI 任意指定のSAMLオーディエンスURIのセット。これを設定した場合、受信するアサーションが有効であるとみなされるには、指定したURIが、受信するアサーションに少なくとも1つ含まれる必要があります。
署名が必要 trueの場合、アサーションは署名される必要があります。falseの場合、署名要素は必須ではありません。ただし、署名要素を指定した場合は検証されます。
アサーション署名用証明書別名 このアサーティング・パーティからのアサーションのシグネチャを検証する、信頼性のある証明書の別名。「署名が必要」がtrueの場合に設定する必要があります。また、SAML IDアサーション・プロバイダの証明書レジストリに証明書を登録する必要があります。
名前マッパー・クラス このSAML IDアサーション・プロバイダ・バージョン2のアサーティング・パーティの名前マッパー・クラス。
Groups属性の処理 SAML IDアサーション・プロバイダが受信アサーションを処理するときに、グループ名を含むSAML AttributeStatementを検索するかどうかを示します。デフォルト値はfalseです。
仮想ユーザーの許可 SAML IDアサーション・プロバイダが、受信アサーションによって表されるユーザーに対してユーザー/グループ・プリンシパルを作成することが許可されるかどうかを示します。
trueの場合、レルムのSAML認証プロバイダを構成する必要があります。この設定ではSAML IDアサーション・プロバイダはユーザー/グループ・プリンシパルを作成できますが、その結果ユーザーは仮想ユーザー(既存のどのローカル・ユーザーにも対応しないユーザー)としてログインする可能性があります。falseの場合、ユーザーに対するユーザー/グループ・プリンシパルは作成されず、ユーザーが他の認証プロバイダによって認証されないと(つまり、ユーザー名が既存のローカル・ユーザーに対応しないと) IDアサーションは失敗します。