SAML エンタープライズ ID プロバイダーの追加

オンラインで編集

SAML Enterprise」 IDプロバイダーとしては、 SAML プロトコルをサポートする任意のIDプロバイダーを使用できます。 VerifyIDプロバイダー は、アクセスを許可する前に、この IDプロバイダー内のデータと照合してユーザーの身元を認証します。

手順

  1. 「認証 」>「 IDプロバイダー 」を選択します。
  2. 「IDプロバイダーの追加」 を選択します。
  3. 「 SAML Enterprise」 を選択してください。
  4. 「次へ」 を選択します。
  5. [一般] ページで、以下の情報を入力してください。
    名前
    IDプロバイダー に分かりやすい名前を付けてください。
    レルム

    これは、同じユーザー名を持つ複数のIDプロバイダーのユーザーを区別するのに役立つIDプロバイダー属性です。

    サブスクリプション内の他のすべての構成済み ID ソースと異なる、固有の名前にする必要があります。 名前にはすべての英数字を使用できます。 ドット (.) とハイフン (-) 以外の特殊文字は使用できません。

    ドメイン名の最大長と類似し、許容される最大ストリング長は 253 です。
    注: 一度作成した名前は編集できません。
    ID
    この ID は、構成を保存した後に作成されます。
    有効
    このチェックボックスをオンにすると、このIDプロバイダーを使用してサインインできます。

    アイデンティティー・プロバイダーがアクティブで使用可能かどうかを示します。

    IDプロバイダーの設定と有効化が完了すると、ユーザーは選択したIDプロバイダーを使用して、権限のあるアプリケーションに対して Verify シングルサインオンを行うことができます。 アイデンティティー・プロバイダーが使用可能になっていない場合は、サインインページにオプションとして表示されません。
    注:
    • Verify にサインインするには、少なくとも 1 つのアイデンティティー・プロバイダーが使用可能になっている必要があります。
    • 使用可能になっているアイデンティティー・プロバイダーが 1 つのみの場合は、そのプロバイダーがユーザーのデフォルトのサインイン・オプションになります。
    固有の ID を使用
    このIDプロバイダーに一意の識別子を割り当てるには、このチェックボックスを選択してください。 この機能により、それぞれ固有のIDを持つ複数のIDプロバイダーを、同じプロバイダーIDで設定することができます。
    注: この値はランダムに生成されるものであり、IDプロバイダーの作成後は変更できません。
    • 一意の識別子が、サービス Verify プロバイダーのエンドポイントURLに埋め込まれています。
    • 有効にしていない場合、このIDプロバイダーのみがプロバイダーIDを使用して設定可能です。
  6. 「次へ」 を選択します。
  7. IDプロバイダー に、以下のサービスプロバイダー のメタデータプロパティを提供してください。 情報をコピーするか、メタデータ・ファイルをダウンロードすることができます。
    エンティティー ID
    SAML の認証リクエストにおける発行者を指定し、また、受信する SAML の認証レスポンスにおける対象者を指定します。
    注: エンティティIDはプライマリホスト名に基づいて決定されます。 バニティホスト名を使用しても、状況は変わりません。 メタデータファイルをダウンロードして、パートナーを独自のホスト名で手動設定する際に使用する適切な値を取得してください。
    Assertion Consumer Service URL

    サービスプロバイダー 側で、 SAML の認証応答を受信するエンドポイントを指定します。

    IDプロバイダー は、 SAML の認証応答をこの URL にリダイレクトします。 このエンドポイントは、 SAML アサーションを受信して処理します。

    シングル・ログアウト URL

    SAML ログアウト要求および SAML ログアウト応答を受信するサービス・プロバイダーのエンドポイントを指定します。

    アイデンティティー・プロバイダーは、SAML ログアウト要求および SAML ログアウト応答をこの URL にリダイレクトします。 このエンドポイントは、SAML ログアウト要求および SAML ログアウト応答を受け取り、処理します。

    NameID 運営 URL

    IDプロバイダーからの要求に応じて、ユーザーの識別子( NameID )への変更を同期するために使用される、サービスプロバイダー側のエンドポイントを指定します。

    IDプロバイダーは、 NameID へのマッピングの更新または終了リクエストを、この URL に送信します。 このエンドポイントは、ユーザーの一意の識別子が変更された場合でも、サービスプロバイダーとIDプロバイダー間のID同期が常に一貫性を保つようにします。

  8. 「次へ」 を選択します。
  9. サービスプロバイダーIDプロバイダー のどちらが SAML のシングルサインオンフローを開始するかを指定するために、ラジオボタンを選択してください。
    • サービスプロバイダー。
      注: このオプションを選択する場合、 IDプロバイダー のメタデータを指定 .xml された形式でアップロードする必要があります。
    • Identity provider
      このシナリオでは、以下のようになります。
      1. ユーザーは、アイデンティティー・プロバイダー・サイトにアカウントを持ちます。
      2. ユーザーはアイデンティティー・プロバイダー・サイトにサインインするか、またはアイデンティティー・プロバイダー・シングル・サインオン URL を使用して、サービス・プロバイダー の保護リソースにアクセスします。
      3. IDプロバイダー は、ユーザーが認証されたことを示す SAML 認証応答を送信します。
      4. サービスプロバイダー は、 SAML認証応答を検証します。
      5. ユーザーのブラウザーはサービス・プロバイダー のターゲット URL にリダイレクトされ、ユーザーは要求したリソースへのアクセスを許可されます。
      「IDプロバイダー」を選択した場合は、シングルサインオン用 URL を指定する必要があります。 これは、アイデンティティー・プロバイダー からサービス・プロバイダー へのシングル・サインオンを開始する URL です。
  10. 「次へ」 を選択します。
  11. オプション: [ シングルログアウト ] ページで、受信するログアウト要求および応答メッセージに署名が必要かどうかを指定します。
    • 着信ログアウト要求メッセージに署名が必要な場合は、「ログアウト要求署名の検証」を選択します。
    • 着信ログアウト応答メッセージに署名が必要な場合は、「ログアウト応答署名の検証」を選択します。
    注:
    • アップ SingleLogoutService ロードしたIDプロバイダーのメタデータファイルに、 HTTP のPOSTバインディングを持つ要素が含まれている場合、そのIDプロバイダーに対してシングルログアウトが有効になります。
    • https://<tenant-Host>/saml/sps/saml20sp/saml20/sloinitial?RequestBinding=HTTPPostサービスプロバイダー主導のシングルログアウトのための URL は、次のようなリクエストコールバックになります:
    • Verify現在のセッションにおける SAML のIDプロバイダー が、から送信されたログアウト要求に応答しない場合、シングルサインアウトはそのIDプロバイダー で停止します。 シングルログアウトを再開するには、ユーザーは再度シングルログアウトの手順を実行する必要があります。
  12. 「次へ」 を選択します。
  13. オプション: ジャストインタイム・プロビジョニングとIDリンク 」ページで、 ジャストインタイム・プロビジョニングと IDリンクを有効にするかどうかを指定します。
    1. ジャストインタイム・プロビジョニングを有効にするかどうかを選択してください。
      このオプションは、 SAML のIDに関連付けられているプライマリ IDプロバイダー のレルム内に、ユーザーアカウントを作成および更新します。 ジャストインタイムプロビジョニングがオフになっている場合、このIDプロバイダーを使用してログインを試みるユーザーは、ディレクトリ内に対応するユーザーレコードが存在しない場合、認証を行うことができません。
    2. 一意のユーザー識別子 」メニューから、IDプロバイダーのユーザー登録情報に基づいてユーザーを識別する属性を指定します。
      「このIDプロバイダーでIDリンクを有効にする」 を選択する場合は、UUIDを入力する必要があります。
    3. 一意のユーザー識別子を変換するには、変換値を選択するか、デフォルト値の「 なし 」のままにします。
    4. [ このIDプロバイダーでIDリンクを有効にする ] チェックボックスを選択します。
      特定のプロバイダーに対してIDリンクを有効にします。 このIDプロバイダーに指定されたレルムでは、Cloud Directoryにシャドウアカウントは作成されません。
      注:
      1. デフォルトのIDプロバイダーとして設定されているIDプロバイダーでは、リンク機能を有効にすることはできません。
      2. デフォルトのリンク用IDプロバイダーを無効化したり削除したりすることはできません。
      ID リンクを有効にする場合は、アカウントに使用する固有 ID を選択します。 この一意の識別子は、Cloud Directory アカウントの属性 Username と比較されます。
    5. 外部ID 」メニューから、IDプロバイダーのユーザー登録情報に基づいてユーザーを識別する属性、またはカスタム外部ID を指定します。
      デフォルト値はユーザー IDです。
    6. 外部ID の値を変換するには、変換値を選択するか、デフォルト値の「 なし 」のままにします。
    7. アカウントの連携を行うために「認証を強制する」 を有効にするかどうかを選択してください。
      このオプションは、永続 nameid 的な SAML 形式のトークンを使用するフローにのみ適用されます。 選択された場合、認証済みユーザーアカウントを SAML トークンのサブジェクトと関連付けるために、ユーザーはまずリンク先のレルムへの認証を求められます。 選択されていない場合、 nameidSAML Enterprise IDプロバイダーでは管理操作はサポートされません。
  14. 「次へ」 を選択します。
  15. (任意) [ 属性マッピング ] ページで、 SAML Enterprise IDプロバイダーの属性をCloud Directoryに IBM® Verify マッピングします。
    注: 何も選択しない場合、グローバル設定で指定された属性マッピングが適用されます。 それ以外の場合、 SAML Enterprise IDプロバイダーで指定された属性マッピングが、グローバル設定での選択内容よりも優先されます。 グローバル設定の詳細については、 「グローバル設定の構成」 を参照してください。
    1. 「属性マッピングの追加」 を選択します。
    2. 以下のいずれかのオプションを使用して、 SAML EnterpriseのIDプロバイダー 属性を指定します。
      1. 以下のリストから選択してください。
        属性名 説明
        company ユーザーの会社。
        country ユーザーの国。
        displayName ユーザーの表示名。
        email 通知が送信されるユーザーの E メール・アドレス。
        family_name ユーザーの姓。
        given_name ユーザーの名。
        mobile_number 通知が送信されるユーザーの携帯電話番号。
        userID ユーザーの固有 ID。
        Custom rule SAML EnterpriseのカスタムIDプロバイダー属性。 「カスタムルール」 を選択し、ルールエディタにカスタムルールを入力して、 「OK」 をクリックして保存します。
      2. 属性の選択フィールドに属性名を入力します。 これは、オプションのリストで使用できない属性名です。
    3. SAMLエンタープライズIDプロバイダー 属性を変換するには、変換値を選択するか、デフォルト値の「 なし 」のままにします。
      属性名 説明
      Uppercase 属性を大文字に変換します。
      Lowercase 属性を小文字に変換します。
      Base64 Encode base64 エンコードアルゴリズムを使用する transforms属性。
      Base64 Decode base64 デコードアルゴリズムを使用する Transforms属性。
      Encode URI URIエンコード方式を使用する Transforms属性。
      Encode URI Component URIコンポーネントのエンコードメソッドを使用する transforms属性。
      Decode URI URIのデコードメソッドを使用する transforms属性。
      Decode URI Component URIコンポーネントのデコードメソッドを使用するTransforms属性。
      Generate UUID if no value is evaluated 汎用固有 ID を生成するために属性を変換します。
      Current Time (seconds) 属性を時間 (秒) に変換します。
      Current Time (milliseconds) 属性をミリ秒単位の時間に変換します。
      SHA-256 Hash SHA-256 アルゴリズムを使用するtransforms属性。
      SHA-512 Hash SHA-512 アルゴリズムを使用するTransforms属性。
    4. 属性 を IBM Verify 指定します。 属性に関する詳細については、 「属性の管理」 を参照してください。
      注: 以下の予約済み組み込み属性は、 IDプロバイダー の属性とマッピングされていないため、選択しないでください。
      • groupIds
      • preferred_username
      • realmName
      • tenantId
      • uid
    5. user profile属性がどのように保存されるかを指定します。
      • 常時 - ログインのたびに属性を保管または更新します。
      • ユーザー作成時のみ - アカウント作成時からこの属性を保存します。
      • 無効化 - 属性を保管または更新しません。
    6. 必須: 追加およびマッピングする属性ごとに、この手順を繰り返す必要があります。
  16. (オプション): ユーザーアクセス権限グループのソースを指定するには、以下の「 グループメンバーシップのソース 」から1つを選択してください。
    注意: グループのメンバーシップソースを設定する際は、十分にご注意ください。 「Identity Source」を継承するように設定されている場合、ユーザーのアクセス権限は、クレーム groupIds を含むIDプロバイダーのトークンから取得されます。 IBM VerifyIBM Verifyクレームの groupIds 値が「reserved system groups」である場合、ユーザーはログイン後に「reserved system groups」の権限が付与されます。
    • クラウド・ディレクトリー - ユーザー・アクセス許可は、クラウド・ディレクトリー内のユーザー・グループから派生します。
    • クラウドディレクトリおよびIDプロバイダー - ユーザーのアクセス権限は、クラウドディレクトリ内のユーザーグループおよび IDプロバイダー のトークン(クレームを含む groupIds )に基づいて決定されます。
    • IDソース - ユーザーのアクセス権限は、クレーム groupIds を含む IDプロバイダー のトークンに基づいて決定されます。
      注: IDプロバイダー のトークンにこの groupIds クレームが含まれていない場合、グループメンバーシップに関する権限は一切付与されません。
    • カスタムルール「カスタムルール」 を選択した場合は、ルールエディタにカスタムルールを入力し、 「OK」 をクリックして保存してください。 ユーザー・アクセス許可は、カスタム・ルールに基づいて導出されます。
    注: 何も選択しない場合、「 グローバル設定 」で選択されているグループメンバーシップのソースが適用されます。 それ以外の場合、 SAML のエンタープライズIDプロバイダー で選択されたグループメンバーシップのソースが、 グローバル設定での選択内容よりも優先されます。
  17. 「次へ」 を選択します。
  18. (任意): プライバシープロファイルを作成している場合は、メニューからプロファイルを選択してください。
    プライバシープロファイルでは、このディレクトリ内のユーザーに対し、一連のデータ利用目的、またはエンドユーザー使用許諾契約(EULA)、あるいはその両方を確認し、同意することが求められます。 「プライバシープロファイルの管理」 を参照してください。
  19. 「次へ」 を選択します。
  20. オプション: CI-108233 のパブリックプレビューを有効にした場合は、ユーザーへの招待を有効にするかどうかを選択してください。
    招待状はAPIを使用して POST /v1.0/usc/user/invitation 作成・送信されます。 「ユーザーの招待」 を参照してください。 「ユーザー招待を有効にする」 チェックボックスをオンにすると、他のユーザーを新規ユーザーとして登録するよう招待できます。 また、招待を受け入れる際の一環として、ユーザーがさらに情報を入力できるよう、ユーザープロファイルを選択することもできます。 「ユーザープロファイルの管理」 を参照してください。
  21. 「完了」 を選択します。
    IDプロバイダーの設定が編集モードで開きます。