グローバル設定の構成

オンラインで編集

これらの設定を使用して、テナントがユーザーを認証する方法を決定します。

手順

  1. 「認証 」>「 IDプロバイダー 」>「 グローバル設定 」を選択します。
  2. メニューから、ユーザーのログイン時にテナントがユーザーを認証するために使用する 1 次 ID プロバイダーを選択します。
    通常、テナントの 1 次 ID プロバイダーは、IBM® Verify Cloud Directory です。
  3. オプション: [ SAML ]( 2.0 ) の [Service provider configuration]( SAML ) で、[service provider federation]( 2.0 ) の設定を更新します。
    1. エンティティID を入力してください。
      https://Tenant-Name/saml/sps/saml20sp/saml20通常、このIDは次のように生成されます。 必要に応じて、独自のホスト名やドメインに合わせて変更できます。
      注: エンティティ ID が変更された場合、既存の「 SAML 」および「 2.0 」の ID ソースについて、パートナーの設定を最新のエンティティ ID 値に更新する必要があります。
    2. メッセージの有効期間を秒単位で指定してください。
      これは、受信した SAML メッセージ IssueInstant の検証を行う際の秒単位の許容誤差です。
    3. オプション: 証明書失効リスト(CRL)のチェックを有効にする場合は、「 CRLを有効にする 」チェックボックスを選択してください。

      CRLが有効になっている場合、証明書失効リストが確認されます。 外部証明書を使用する SAML EnterpriseのすべてのIDプロバイダーについて、暗号化機能のチェックが行われます。

      設定でCRLチェックが必要ない場合は、無効のままにしておくことができます。これがデフォルトの設定です。 CRLチェックを有効にしないほうがよい理由としては、次のようなものがあります
      • 内部の自己署名型認証局(CA)を使用する場合。
      • パフォーマンスに問題がある。 処理量が多いアプリケーションでは、パフォーマンスが大幅に低下する可能性があります。
      • ネットワーク接続に問題があります。 ファイアウォールによってCRLサーバーへのアクセスが遮断されたり、ネットワークがインターネットに接続されていないエアギャップ環境や隔離環境となったりする場合があります。
    4. 主な選択基準を選択してください。
      これは、さまざまなメッセージの署名、検証、暗号化、または復号化にどの鍵または証明書を使用するかを指定します。 指定されたエイリアスを持つキーまたは証明書と同じ SubjectDN 名前を持つキーや証明書が複数存在する場合、この設定によってどちらを使用するかが決まります。 以下の3つの選択方法があります。
      別名のみ
      指定の別名を持つ鍵または証明書を選択します。 この方法がデフォルトです。
      最短存続時間
      署名の際に、存続時間が最も短い有効な鍵が使用されます。 検証では、同じ SubjectDNキーが有効期間の可用性に基づいて並べ替えられます。 検証が成功するまで、存続時間が短いものから順に鍵が試されます。
      最長存続時間
      署名の際に、存続時間が最も長い有効な鍵が使用されます。 検証では、同じ SubjectDNキーが有効期間の可用性に基づいて並べ替えられます。 検証が成功するまで、存続時間が長いものから順に鍵が試されます。
    5. URL の検証をスキップする 」チェックボックスを選択します。
      SAML での検証を targetURL スキップするかどうかを示します。 デフォルト値は falseです。
    6. 許可されたターゲット URL を追加」 URL をクリックして、許可されたターゲット URL を追加します。
      複数のURLを追加できます。
    7. デフォルトのName ID形式 」を選択してください。
      • メール
      • 未指定。
    8. 署名アルゴリズムを選択してください。
      署名を行う際、アルゴリズムが SAMLAuthnRequest メッセージにデジタル署名を行います。 サポートされている値は、 RSA-SHA1、 RSA-SHA256、 RSA-SHA512、 ECDSA-SHA256、 ECDSA-SHA384、および ECDSA-SHA512 です。 空の場合、デフォルトの RSA-SHA256 が使用されます。
    9. 署名用証明書を選択してください。
      署名に関しては、この証明書はシングルサインオン時に SAMLAuthnRequest への署名に使用されます。 「デフォルトの選択」とは、 「セキュリティ 」>「証明書 」> 「個人用証明書」で設定したデフォルトの個人用証明書を指します。
    10. 復号用証明書を選択してください。
      シングルサインオン時に、受信した SAML レスポンスメッセージに暗号化された要素が含まれている場合は、この証明書を使用して復号化してください。 「デフォルトの選択」とは、 「セキュリティ 」>「証明書 」> 「個人用証明書」で設定したデフォルトの個人用証明書を指します。
    11. 「 AuthnRequest 」で、「 SPNameQualifier を除外する」のチェックボックスを選択します。

      これは、指定 nameid されていない形式が使用された場合に、in AuthnRequest を除外 SPNameQualifier するかどうかを示します。 SPNameQualifier.falseデフォルト値は であり、これは を包含することを意味します。

  4. (任意) :「 属性マッピング 」で、IDプロバイダーの属性をCloud Directory IBM Verify にマッピングします。
    1. 「属性マッピングの追加」 を選択します。
    2. 以下のいずれかのオプションを使用して、アイデンティティー・プロバイダー属性を指定します。
      1. 以下の使用可能なオプションのリストから選択します。
        属性名 説明
        company ユーザーの会社。
        country ユーザーの国。
        displayName ユーザーの表示名。
        email 通知が送信されるユーザーの E メール・アドレス。
        family_name ユーザーの姓。
        given_name ユーザーの名。
        mobile_number 通知が送信されるユーザーの携帯電話番号。
        userID ユーザーの固有 ID。
        Custom rule カスタム ID プロバイダー属性。 「カスタムルール」 を選択し、ルールエディタにカスタムルールを入力して、 「OK」 をクリックして保存します。
      2. 属性の選択フィールドに属性名を入力します。 この名前は、オプションの一覧には含まれていない属性名です。
    3. IDプロバイダーの属性を変換するには、変換値を選択するか、デフォルト値の「 なし 」のままにします。
      属性名 説明
      Uppercase 属性を大文字に変換します。
      Lowercase 属性を小文字に変換します。
      Base64 Encode base64 エンコードアルゴリズムを使用して、attributeを変換します。
      Base64 Decode base64 デコードアルゴリズムを使用して、attributeを変換します。
      Encode URI URIエンコード方式を使用して、attributeを変換します。
      Encode URI Component encode URI コンポーネントのメソッドを使用して、attribute を変換します。
      Decode URI URIデコードメソッドを使用して、attributeを変換します。
      Decode URI Component URIコンポーネントのdecodeメソッドを使用して、attributeを変換します。
      Generate UUID if no value is evaluated 汎用固有 ID を生成するために属性を変換します。
      Current Time (seconds) 属性を時間 (秒) に変換します。
      Current Time (milliseconds) 属性をミリ秒単位の時間に変換します。
      SHA-256 Hash SHA-256 アルゴリズムを使用して、attributeを変換します。
      SHA-512 Hash SHA-512 アルゴリズムを使用して、attributeを変換します。
    4. 属性 を IBM Verify 指定します。 属性に関する詳細については、 「属性の管理」 を参照してください。
      注: 以下の予約済み組み込み属性は、IDプロバイダーの属性とマッピングされていないため、選択しないでください。
      • groupIds
      • preferred_username
      • realmName
      • tenantId
      • uid
    5. 属性をユーザー・プロファイルに保管する方法を指定します。
      • 常時 - ログインのたびに属性を保管または更新します。
      • ユーザー作成時のみ - アカウント作成時に属性を 1 回保管します。
      • 無効化 - 属性を保管または更新しません。
    6. マップする属性ごとにこのプロセスを繰り返します。
  5. (オプション): 以下のメニューから「 グループメンバーシップのソース 」を選択し、ユーザーアクセス権限グループのソースを指定してください:
    • クラウド・ディレクトリー - ユーザー・アクセス許可は、クラウド・ディレクトリー内のユーザー・グループから派生します。
    • クラウド・ディレクトリーと ID ソース - ユーザー・アクセス許可は、Cloud Directory 内のユーザー・グループと、groupIdsクレームを含む ID ソース・トークンから派生します。
    • ID ソース - ユーザー・アクセス許可は、groupIdsクレームを含む ID ソース・トークンから派生します。
      注: IDソーストークンにこの groupIds クレームが含まれていない場合、グループメンバーシップに関する権限は一切付与されません。
    • カスタムルール - 「カスタムルール」 を選択した場合は、ルールエディタにカスタムルールを入力し、 「OK」 をクリックして保存してください。 ユーザー・アクセス許可は、カスタム・ルールに基づいて導出されます。
  6. 「セッション交換」では、API Token Exchange に渡すことが許可されているリダイレクト URL を選択できます。
    この Token Exchange APIは、ログインセッションを含むブラウザのリダイレクトを返すようにするパラメータ redirect_url を受け付けます。 redirect_urlは、このリスト内のいずれかの正規表現と一致する必要があります。

    通常、URL は、ユーザーがアクセスする必要のある特定の URL、またはビジネス用にカスタマイズされた URL になります。 この機能は、リダイレクト先を指定した URL に限定します。

    以下の条件を満たす場合、このパラメータは redirect_url 自動的に許可されます
    • テナント名https://<tenantname>で始まります。
    • /」で始まります。これは、テナントへの相対 URL であることを意味します。
    それ以外の場合は、URL を正規表現として追加する必要があります。
    例えば、一般的な URL 文字を適切なエスケープとともに使用するには、以下のようにします。
    https://www\.example\.com\?key1=value1&key2=value2
    特定のドメインで始まるすべてのものを突き合わせるには、*ワイルドカードを使用します。
    https://www\.example\.com.*
  7. メニューから、モバイル・デバイスからの認証に使用されるデフォルトの ID プロバイダーを選択します。
  8. ユーザーの識別に使用する固有 ID をメニューから選択します。
  9. 自動アカウント・クリーンアップをセットアップします。
    1. 自動クリーンアップを有効にするには、このチェックボックスを選択してください。
    2. アカウントを非アクティブにできる日数を選択します。
    3. 母集団を選択します。
      • ユーザー集団全体
      • SCIMフィルターを指定してください。
  10. 「変更を保存」 をクリックします。