SSO の要件

IBM は、EF パートナーが SAML に関する適切な知識と、独自の ID プロバイダー (IdP) 構成を管理するために必要なスキルを持っていることを前提としています。

さらに、組織の IdP は、以下の技術要件を満たしている必要があります。
  1. 組織の ID プロバイダーは、SAML 2.0をサポートし、署名付き SAML アサーションをサポートできる必要があります。
  2. アイデンティティー・プロバイダーによって開始されるフローは許可され、サポートされますが、最適なユーザー・エクスペリエンスのためには、サービス・プロバイダーによって開始されるフローが非常に推奨されます。
  3. 一時および永続の名前 ID タイプはサポートされていません。
  4. 組織の ID プロバイダから返される SAML"NameID"」は、組織ユーザの有効な電子メー ル・アドレスと等しくなるように設定する必要があるformat:emailAddress
  5. 組織の E メール・アドレスは有効でなければなりません
  6. 以下の属性「uid」および「groupid」は無視され、SAML アサーションから削除されます。 IdP がそれらを使用していないことを確認してください。 これらの属性は大/小文字を区別しません。
  7. IBMid は、2 次 SAML SSO 証明書ローテーションをサポートしていません。 SAML SSO 証明書の更新の場合、 IBM側と組織の ID プロバイダー側の両方で、有効期限が切れるように設定されている 1 次 (デフォルト) 証明書を同時に更新して、SSO を介した IBMid ユーザー認証の問題を回避する必要があります。
  8. CA 発行の証明書は、CRL (証明書失効リスト) を持つ必要があります。 署名証明書にCRLがある場合、 IBM サーバーがアクセスできるよう、 URL は公開されていなければならない。
  9. 自己署名証明書では、基本制約を CA タイプに設定することはできません。
  10. CRL 検証- IBM セキュリティー標準の一部として、30 分ごとに実行される CRL (証明書失効リスト) 検証プロシージャーがあります。
  11. SAML アサーションでは、以下の 4 つの SAML 属性を、以下の正確な属性名で提供する必要がある。 注: これらの属性は大/小文字が区別されます。 国については、ISO Alpha-2 標準に従って 2 文字を受け取ることが期待されています。 (例: 米国の場合は US、オーストラリアの場合は AU、英国の場合は GB)。 これらの必須 SAML 属性は、OIDC 仕様に従って OpenID Connect 標準クレームにマップされます。以下の表を参照してください。 SAML アサーション内の組織によって提供された追加属性は、ユーザーによって使用されているエンド IBM クラウド・サービスに送信されますが、 IBMid システムではまったく保持されません。 国属性は除外できません。また、常に必須の値でなければなりません。 IBM はグローバルに運用されており、禁輸措置の各国に関する法律を遵守する必要があります。 これは、準拠するための方法の 1 つです。
    SAML アサーション属性 コメント OIDC ID トークン要求
    emailAddress 必須-最大長 80。 正規表現を使用して E メール形式として検証 (下記を参照) E メール、 ext.emailAddress
    lastName 必須-最大長 35 ファミリー名
    firstName 必須-最大長 35 GIF 名
    必須-2 文字。 例: 米国の場合は US address.country

    国別リストによるフォーマット

  12. IBMid は、ユーザー ID またはユーザー名の変更をサポートしていません。 この場合、統合組織は、組織の E メール・ドメインに一致する新しい IBMid アカウント (自動プロビジョンまたは手動登録) を作成する必要があります。
  13. 連携証明書が取り消されると、その証明書は認証局によって信頼できないと見なされます。 失効した証明書を使用したフェデレーション・ログインの許可を続行すると、セキュリティー・リスクが発生します。 署名証明書が取り消されていないか、誤って追加されていないかを確認できます。 署名証明書を所有しているため、以下を行うことができます。
    • フェデレーションを無効にするよう IBM に要求してください。これは、すべてのフェデレーテッド・ユーザーに影響を与え、いずれかの IBM 製品にアクセスする際に、自分の会社の資格情報で認証されないようにします。
    • その状態を維持することを決定し、CRL 妥当性検査が失敗した署名証明書を使用するリスクを想定します。
    • 新規証明書の提供中に、CRL 妥当性検査が失敗した現行の署名証明書を引き続き使用します。 IBM が連携を更新し、連携ユーザーに障害や問題が発生しないように、 IdP 環境に新しい証明書をデプロイする前に、少なくとも 5 営業日前に新しい証明書を送信してください。