Verify が SAML アサーション を サービス・プロバイダーに送信すると、 Verify はユーザーが認証されたことを表明します。 認証ユーザーは、<saml:Subject>
要素で識別されます。 SAML アサーション には、 ページの 「属性マッピング」 セクションで指定する情報に応じて、 <saml:AttributeStatement>
エレメントを含めることもできます。 <saml:AttributeStatement>
は、特定の属性が認証ユーザーに関連付けられていることをアサートします。 これらの要素は、サービス・プロバイダー 要件に基づいて構成します。
このタスクについて
Verify は、いくつかのターゲット・アプリケーションの アイデンティティー・プロバイダー として使用できます。 それらのアプリケーションまたはサービス・プロバイダー には、独自のユーザー属性およびグループ属性のセットがあります。 属性は、エンティティーの特性または特質であり、エンティティーを記述するものです。 属性は name:value
のペアです。
SAML アサーション に含まれる属性は、以下のように
サービス・プロバイダー の特定の属性に対応します。
- Verify からサービス・プロバイダーにユーザー情報を伝達します。
- ユーザーのアカウントをサービス・プロバイダー に作成します。
- 特定のサービスをサービス・プロバイダー で許可します。
手順
- サービス・プロバイダー が Verifyとは異なるユーザー ID を使用または必要とする場合は、 SAML アサーション ・サブジェクトを構成します。 SAML サブジェクトは、認証済みユーザーを識別します。
表 1. SAML サブジェクト
情報 |
説明 |
NameID 形式 |
注: このオプションは、カスタム・アプリケーション・テンプレートでのみ使用可能です。
アイデンティティー・プロバイダー とサービス・プロバイダー との間で、やり取りされるユーザー ID についての想定を統一します。 ID プロバイダー は、NameID 属性を使用して、認証済みユーザーのユーザー名または ID を指定します。
以下の形式がサポートされています。
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
- 名前 ID が
Not Specified として選択されている場合、サブジェクトNameID はランダムに生成された固有 ID であり、そのアプリケーション連携の同じ値を保持します。
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
ID プロバイダーのSubject NameID 値は、E メール・アドレス・フォーマットを使用します。
これはデフォルト形式です。
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
ID プロバイダーからのSubject NameID 値は、任意の形式にすることができます。
アイデンティティー・プロバイダー は形式を定義し、サービス・プロバイダー はその形式を受け入れ、必要なサービスをユーザーに提供します。
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
- サブジェクト
NameID は、一時使用のためにランダムに生成される属性です。 サービス・プロバイダーは、この値を一時的なものとして受け入れます。名前 ID がNot Specified として選択されている場合、サブジェクトNameID は、各フェデレーテッド SSO フローで固有の、ランダムに生成された固有 ID です。
注: この形式で使用される属性が
IBM Security Verifyに認識されない場合は、カスタム属性を使用し、属性ルールを定義してランダム UUID を生成します。 それ以外の場合は、一時的として処理できる現在のタイム・スタンプ (ミリ秒) を送信してください。 「 属性の管理」のステップ 3 属性の作成 を参照してください。
|
名前 ID |
SAML アサーションのサブジェクトを識別します。これは通常、認証されるユーザーです。
これは、 SAML アサーションの <saml:Subject><saml:NameID> エレメントに対応します。
デフォルト値は preferred_usernameです。 ほとんどのサービス・プロバイダー は、名前 ID としてユーザー名を使用します。
場合によっては、サービス・プロバイダー はアイデンティティー・プロバイダーから異なる名前 ID を要求する可能性があります。 そのため、 「ID プロバイダー資格情報」 属性、または サービス・プロバイダーの要件に対応する 「固定値」 属性を選択して、 <saml:Subject><saml:NameID> エレメントを設定します。
これらの 「ID プロバイダー資格情報」 属性および 「固定値」 属性は、 で定義されています。
|
- サービス・プロバイダー が Verify にその SAML アサーションで特定の属性を送信することを要求する場合は、属性マッピングを定義します。 サービス・プロバイダー の既知のユーザー属性またはその他の属性を Verify 属性にマップします。
アプリケーションに応じて、
「属性マッピング」 セクションは以下のエレメントで構成されます。これらのエレメントについては、
表 2で説明しています。
- 既知のすべてのユーザー属性を送信するためのチェック・ボックス・オプション。
- 事前定義された属性名とフォーマット、および Verifyでそれらに対応する属性ソースを選択するオプション。
- 他の属性名、その形式、および対応する属性ソースをアイデンティティー・プロバイダー で追加するためのオプション。
表 2. 属性マッピング
情報 |
説明 |
すべての既知のユーザー属性を SAML アサーションで送信 |
これを選択すると、 アイデンティティー・プロバイダー ID プロバイダーから使用可能なすべての既知のユーザー資格情報属性が SAML アサーションに自動的に組み込まれます。
既知のユーザー資格情報属性は、次の項目で構成されます。
- 標準属性
- これらの属性は、 に表示される組み込み属性を含む Verify Cloud Directoryからのものです。
- 拡張属性
- これらの属性は、 で構成した SAML Enterprise ID プロバイダーからのものです。
それ以外の場合は、 サービス・プロバイダー が SAML アサーションで必要とする特定の属性のみを定義します。
注: このオプションは、構成済みサービスの中断を回避するために、既に構成済みで使用中のアプリケーションに対してデフォルトで選択されています。
|
Attribute Name |
サービス・プロバイダー が使用し、アイデンティティー・プロバイダー から要求する属性の名前。
これは、 SAML アサーションの <saml:Attribute Name=""> エレメントに対応します。
サービス・プロバイダー によっては、「属性マッピング」セクションにリストされている必須属性またはオプション属性があります。 その対応する属性をアイデンティティー・プロバイダー から選択します。
サービス・プロバイダー によっては、事前定義されたテンプレートに組み込まれていない追加属性をアイデンティティー・プロバイダー に要求することがあります。 追加属性は、アイデンティティー・プロバイダー とサービス・プロバイダー の間の事業上の合意によって異なります。 この場合には、サービス・プロバイダー の文書から追加属性を取得し、追加属性をアイデンティティー・プロバイダー の属性にマップします。
注: 属性が AuthnContextClassRef という名前とフォーマット urn:oasis:names:tc:SAML:2.0:assertion で構成されている場合、属性値は SSO フロー中に SAML トークンの AuthnContextClassRef エレメントに設定されます。
|
属性名の形式 |
属性名の解釈方法を示します。
これは、 SAML アサーションの <saml:Attribute NameFormat=""> エレメントに対応します。
独自の値を定義するか、または以下のオプションから選択できます。
urn:oasis:names:tc:SAML:2.0:attrname-format:basic
- 属性名には、簡単なストリング値が使用されます。 形式が指定されない場合は、これがデフォルト形式となります。
urn:oasis:names:tc:SAML:2.0:attrname-format:uri
- 属性名は
urn:oid 名前空間を使用します。
urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
属性名は、任意の形式にすることができます。 アイデンティティー・プロバイダー は形式を定義し、サービス・プロバイダー はその形式を受け入れ、必要なサービスをユーザーに提供します。
|
属性 |
でタイプごとに定義したすべての属性をリストします。
選択した属性の値は、 SAML アサーションで定義された サービス・プロバイダー 属性名の属性値として割り当てられます。
例: <saml:AttributeStatement>
<saml:Attribute
Name="mail"
NameFormat="urn:oasis:names:tc:SAML:2.0:
attrname-format:basic"
<saml:AttributeValue xsi:type="xs:string">
abc@example.com
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
注:- 属性ソースの値にタグなしの属性が表示される場合、それは属性の用途が変更されたことに起因します。 その属性を使用する既存のアプリケーションは、変更された用途に合わせて別の属性を使用するようリマップされるまで、この属性を使用し続けることができます。 例えば、既存の属性で「シングル・サインオン (SSO)」チェック・ボックスがクリアされても、その属性を既に SSO に使用しているアプリケーションでは、その属性を SSO に使い続けることができます。 プロビジョニングの用途が削除された場合のプロビジョニング属性のマッピングも、同じ動作となります。
|