SAML サブジェクト属性およびマッピング属性の構成

オンラインで編集

サービスプロバイダーSAML アサーションを送信すると Verify 、は Verify ユーザーが認証済みであることを主張します。 認証ユーザーは、<saml:Subject> 要素で識別されます。 「 SAML 」アサーションには [Applications] > [Applications ] 編集 > [Sign-on] ページの [Attribute Mappings ] セクションで指定した情報に応じて、要素 <saml:AttributeStatement> を含めることもできます。 <saml:AttributeStatement> は、特定の属性が認証ユーザーに関連付けられていることをアサートします。 これらの要素は、サービス・プロバイダー 要件に基づいて構成します。

始める前に

このタスクについて

Verify 複数の対象アプリケーションの IDプロバイダー として利用できます。 それらのアプリケーションまたはサービス・プロバイダー には、独自のユーザー属性およびグループ属性のセットがあります。 属性は、エンティティーの特性または特質であり、エンティティーを記述するものです。 属性は name:value のペアです。

SAML アサーションに含まれる属性は、サービスプロバイダー の特定の属性に対応しています
  • Verify からサービス・プロバイダーにユーザー情報を伝達します。
  • ユーザーのアカウントをサービス・プロバイダー に作成します。
  • 特定のサービスをサービス・プロバイダー で許可します。

手順

  1. Verifyが とは異なるユーザー サービスプロバイダー ID を使用または必要とする場合は、の SAML 主張 サブジェクトを設定してください。 SAML フィールドは、認証済みのユーザーを識別します。
    表 1. SAML 件名
    情報 説明
    NameID 形式
    注: このオプションは、カスタムアプリケーションテンプレートでのみ利用可能です。

    アイデンティティー・プロバイダーサービス・プロバイダー との間で、やり取りされるユーザー ID についての想定を統一します。 ID プロバイダー は、NameID属性を使用して、認証済みユーザーのユーザー名または ID を指定します。

    以下の形式がサポートされています。
    urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    名前 ID がNot Specifiedとして選択されている場合、サブジェクトNameIDはランダムに生成された固有 ID であり、そのアプリケーション連携の同じ値を保持します。

    urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    ID プロバイダーSubjectNameID値は、E メール・アドレス・フォーマットを使用します。

    これはデフォルト形式です。

    urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

    ID プロバイダーからのSubjectNameID値は、任意の形式にすることができます。

    アイデンティティー・プロバイダー は形式を定義し、サービス・プロバイダー はその形式を受け入れ、必要なサービスをユーザーに提供します。

    urn:oasis:names:tc:SAML:2.0:nameid-format:transient
    サブジェクトNameIDは、一時使用のためにランダムに生成される属性です。 サービス・プロバイダーは、この値を一時的なものとして受け入れます。

    名前 ID がNot Specifiedとして選択されている場合、サブジェクトNameIDは、各フェデレーテッド SSO フローで固有の、ランダムに生成された固有 ID です。

    IBM Verify注: この形式で使用される属性がによって認識されない場合は、カスタム属性を使用し、ランダムなUUIDを生成する属性ルールを定義してください。 それ以外の場合は、一時的として処理できる現在のタイム・スタンプ (ミリ秒) を送信してください。 「 属性の管理 」のステップ3「 属性の作成 」を参照してください。
    名前 ID

    SAML アサーションの対象を特定します。通常、これは認証対象のユーザーです。

    これは、 SAML アサーション内の要素に対応します <saml:Subject><saml:NameID>

    デフォルト値は preferred_username です。 ほとんどのサービス・プロバイダー は、名前 ID としてユーザー名を使用します。

    場合によっては、サービス・プロバイダーアイデンティティー・プロバイダーから異なる名前 ID を要求する可能性があります。 したがって、 サービスプロバイダー の要件に合致する「 IDプロバイダーの認証情報 」属性または「 固定値 」属性を選択して、この <saml:Subject><saml:NameID> 要素を設定してください。

    これらの「 IDプロバイダーの認証情報 」および「 固定値 」属性は、「ディレクトリ 」>「 属性」 で定義されています。
  2. サービスプロバイダーが、 SAML アサーション内で特定の属性を送信することを要求する場合は Verify 、属性のマッピングを定義してください。 サービスプロバイダー から提供される既知のユーザー属性やその他の属性を、これらの Verify 属性と照合してください。
    用途に応じて、「 属性マッピング 」セクションは、 表2 に示す以下の要素で構成される場合があります。
    • 既知のすべてのユーザー属性を送信するためのチェック・ボックス・オプション。
    • Verifyあらかじめ定義された属性名と形式、および. 内で対応する属性ソースを選択するオプション。
    • 他の属性名、その形式、および対応する属性ソースをアイデンティティー・プロバイダー で追加するためのオプション。
    表 2. 属性のマッピング
    情報 説明
    すべての既知のユーザー属性を SAML アサーションで送信

    これを選択すると、 IDプロバイダー から利用可能な既知のユーザー認証情報属性がすべて、自動的に SAML アサーションに含まれます。

    既知のユーザー資格情報属性は、次の項目で構成されます。
    標準属性
    これらの属性は Verify クラウドディレクトリには、 [ディレクトリ] > [属性] に表示される組み込み属性が含まれています。
    拡張属性
    これらの属性は、「 認証 」>「 IDプロバイダー 」で設定した SAML Enterprise IDプロバイダーからのものです。

    それ以外の場合は、 SAML アサーションにおいて、 サービスプロバイダー が必要とする特定の属性のみを定義してください。

    注: このオプションは、設定済みのサービスに支障をきたさないよう、すでに設定済みで稼働中のアプリケーションではデフォルトで選択されています。
    Attribute Name

    サービス・プロバイダー が使用し、アイデンティティー・プロバイダー から要求する属性の名前。

    これは、 SAML アサーション内の要素に対応します <saml:Attribute Name="">

    サービス・プロバイダー によっては、「属性マッピング」セクションにリストされている必須属性またはオプション属性があります。 その対応する属性をアイデンティティー・プロバイダー から選択します。

    サービス・プロバイダー によっては、事前定義されたテンプレートに組み込まれていない追加属性をアイデンティティー・プロバイダー に要求することがあります。 追加属性は、アイデンティティー・プロバイダーサービス・プロバイダー の間の事業上の合意によって異なります。 この場合には、サービス・プロバイダー の文書から追加属性を取得し、追加属性をアイデンティティー・プロバイダー の属性にマップします。

    urn:oasis:names:tc:SAML:2.0:assertion注: 属性に名前 AuthnContextClassRef と形式 が設定されている場合、SSOフロー中に、その属性値は SAML トークンの 要素 AuthnContextClassRef に設定されます。
    属性名の形式

    属性名の解釈方法を示します。

    これは、 SAML アサーション内の要素に対応します <saml:Attribute NameFormat="">

    独自の値を定義するか、または以下のオプションから選択できます。
    urn:oasis:names:tc:SAML:2.0:attrname-format:basic
    属性名には、簡単なストリング値が使用されます。 形式が指定されない場合は、これがデフォルト形式となります。
    urn:oasis:names:tc:SAML:2.0:attrname-format:uri
    属性名はurn:oid名前空間を使用します。
    urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified

    属性名は、任意の形式にすることができます。 アイデンティティー・プロバイダー は形式を定義し、サービス・プロバイダー はその形式を受け入れ、必要なサービスをユーザーに提供します。
    属性

    ディレクトリ > 属性で各タイプに対して定義したすべての属性を一覧表示します。

    選択した属性の値は、 SAML アサーションで定義されたサービスプロバイダーの属性名に対する属性値として割り当てられます。

    例:
    <saml:AttributeStatement>
   <saml:Attribute 
      Name="mail" 
      NameFormat="urn:oasis:names:tc:SAML:2.0:
         attrname-format:basic"  
      <saml:AttributeValue xsi:type="xs:string">
abc@example.com
      </saml:AttributeValue>
   </saml:Attribute> 
</saml:AttributeStatement>
    注:
    • 属性ソースの値にタグなしの属性が表示される場合、それは属性の用途が変更されたことに起因します。 その属性を使用する既存のアプリケーションは、変更された用途に合わせて別の属性を使用するようリマップされるまで、この属性を使用し続けることができます。 例えば、既存の属性で「シングル・サインオン (SSO)」チェック・ボックスがクリアされても、その属性を既に SSO に使用しているアプリケーションでは、その属性を SSO に使い続けることができます。 プロビジョニングの用途が削除された場合のプロビジョニング属性のマッピングも、同じ動作となります。