SAML サブジェクト属性およびマッピング属性の構成

VerifySAML アサーションサービス・プロバイダーに送信すると、 Verify はユーザーが認証されたことを表明します。 認証ユーザーは、<saml:Subject> 要素で識別されます。 SAML アサーション には、 「アプリケーション」 > 「アプリケーション」 > 編集 > 「サインオン」 ページの 「属性マッピング」 セクションで指定する情報に応じて、 <saml:AttributeStatement> エレメントを含めることもできます。 <saml:AttributeStatement> は、特定の属性が認証ユーザーに関連付けられていることをアサートします。 これらの要素は、サービス・プロバイダー 要件に基づいて構成します。

始める前に

このタスクについて

Verify は、いくつかのターゲット・アプリケーションの アイデンティティー・プロバイダー として使用できます。 それらのアプリケーションまたはサービス・プロバイダー には、独自のユーザー属性およびグループ属性のセットがあります。 属性は、エンティティーの特性または特質であり、エンティティーを記述するものです。 属性は name:value のペアです。

SAML アサーション に含まれる属性は、以下のように サービス・プロバイダー の特定の属性に対応します。
  • Verify からサービス・プロバイダーにユーザー情報を伝達します。
  • ユーザーのアカウントをサービス・プロバイダー に作成します。
  • 特定のサービスをサービス・プロバイダー で許可します。

手順

  1. サービス・プロバイダー Verifyとは異なるユーザー ID を使用または必要とする場合は、 SAML アサーション ・サブジェクトを構成します。 SAML サブジェクトは、認証済みユーザーを識別します。
    表 1. SAML サブジェクト
    情報 説明
    NameID 形式
    注: このオプションは、カスタム・アプリケーション・テンプレートでのみ使用可能です。

    アイデンティティー・プロバイダーサービス・プロバイダー との間で、やり取りされるユーザー ID についての想定を統一します。 ID プロバイダー は、NameID属性を使用して、認証済みユーザーのユーザー名または ID を指定します。

    以下の形式がサポートされています。
    urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    名前 ID がNot Specifiedとして選択されている場合、サブジェクトNameIDはランダムに生成された固有 ID であり、そのアプリケーション連携の同じ値を保持します。

    urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    ID プロバイダーSubjectNameID値は、E メール・アドレス・フォーマットを使用します。

    これはデフォルト形式です。

    urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

    ID プロバイダーからのSubjectNameID値は、任意の形式にすることができます。

    アイデンティティー・プロバイダー は形式を定義し、サービス・プロバイダー はその形式を受け入れ、必要なサービスをユーザーに提供します。

    urn:oasis:names:tc:SAML:2.0:nameid-format:transient
    サブジェクトNameIDは、一時使用のためにランダムに生成される属性です。 サービス・プロバイダーは、この値を一時的なものとして受け入れます。

    名前 ID がNot Specifiedとして選択されている場合、サブジェクトNameIDは、各フェデレーテッド SSO フローで固有の、ランダムに生成された固有 ID です。

    注: この形式で使用される属性が IBM Security Verifyに認識されない場合は、カスタム属性を使用し、属性ルールを定義してランダム UUID を生成します。 それ以外の場合は、一時的として処理できる現在のタイム・スタンプ (ミリ秒) を送信してください。 「 属性の管理」のステップ 3 属性の作成 を参照してください。
    名前 ID

    SAML アサーションのサブジェクトを識別します。これは通常、認証されるユーザーです。

    これは、 SAML アサーション<saml:Subject><saml:NameID> エレメントに対応します。

    デフォルト値は preferred_usernameです。 ほとんどのサービス・プロバイダー は、名前 ID としてユーザー名を使用します。

    場合によっては、サービス・プロバイダーアイデンティティー・プロバイダーから異なる名前 ID を要求する可能性があります。 そのため、 「ID プロバイダー資格情報」 属性、または サービス・プロバイダーの要件に対応する 「固定値」 属性を選択して、 <saml:Subject><saml:NameID> エレメントを設定します。

    これらの 「ID プロバイダー資格情報」 属性および 「固定値」 属性は、 「ディレクトリー」 > 「属性」で定義されています。
  2. サービス・プロバイダー Verify にその SAML アサーションで特定の属性を送信することを要求する場合は、属性マッピングを定義します。 サービス・プロバイダー の既知のユーザー属性またはその他の属性を Verify 属性にマップします。
    アプリケーションに応じて、 「属性マッピング」 セクションは以下のエレメントで構成されます。これらのエレメントについては、 表 2で説明しています。
    • 既知のすべてのユーザー属性を送信するためのチェック・ボックス・オプション。
    • 事前定義された属性名とフォーマット、および Verifyでそれらに対応する属性ソースを選択するオプション。
    • 他の属性名、その形式、および対応する属性ソースをアイデンティティー・プロバイダー で追加するためのオプション。
    表 2. 属性マッピング
    情報 説明
    すべての既知のユーザー属性を SAML アサーションで送信

    これを選択すると、 アイデンティティー・プロバイダー ID プロバイダーから使用可能なすべての既知のユーザー資格情報属性が SAML アサーションに自動的に組み込まれます。

    既知のユーザー資格情報属性は、次の項目で構成されます。
    標準属性
    これらの属性は、 「ディレクトリー」 > 「属性」に表示される組み込み属性を含む Verify Cloud Directoryからのものです。
    拡張属性
    これらの属性は、 認証 > ID プロバイダーで構成した SAML Enterprise ID プロバイダーからのものです。

    それ以外の場合は、 サービス・プロバイダーSAML アサーションで必要とする特定の属性のみを定義します。

    注: このオプションは、構成済みサービスの中断を回避するために、既に構成済みで使用中のアプリケーションに対してデフォルトで選択されています。
    Attribute Name

    サービス・プロバイダー が使用し、アイデンティティー・プロバイダー から要求する属性の名前。

    これは、 SAML アサーション<saml:Attribute Name=""> エレメントに対応します。

    サービス・プロバイダー によっては、「属性マッピング」セクションにリストされている必須属性またはオプション属性があります。 その対応する属性をアイデンティティー・プロバイダー から選択します。

    サービス・プロバイダー によっては、事前定義されたテンプレートに組み込まれていない追加属性をアイデンティティー・プロバイダー に要求することがあります。 追加属性は、アイデンティティー・プロバイダーサービス・プロバイダー の間の事業上の合意によって異なります。 この場合には、サービス・プロバイダー の文書から追加属性を取得し、追加属性をアイデンティティー・プロバイダー の属性にマップします。

    注: 属性が AuthnContextClassRef という名前とフォーマット urn:oasis:names:tc:SAML:2.0:assertionで構成されている場合、属性値は SSO フロー中に SAML トークンの AuthnContextClassRef エレメントに設定されます。
    属性名の形式

    属性名の解釈方法を示します。

    これは、 SAML アサーション<saml:Attribute NameFormat=""> エレメントに対応します。

    独自の値を定義するか、または以下のオプションから選択できます。
    urn:oasis:names:tc:SAML:2.0:attrname-format:basic
    属性名には、簡単なストリング値が使用されます。 形式が指定されない場合は、これがデフォルト形式となります。
    urn:oasis:names:tc:SAML:2.0:attrname-format:uri
    属性名はurn:oid名前空間を使用します。
    urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified

    属性名は、任意の形式にすることができます。 アイデンティティー・プロバイダー は形式を定義し、サービス・プロバイダー はその形式を受け入れ、必要なサービスをユーザーに提供します。
    属性

    「ディレクトリー」 > 「属性」でタイプごとに定義したすべての属性をリストします。

    選択した属性の値は、 SAML アサーションで定義された サービス・プロバイダー 属性名の属性値として割り当てられます。

    例:
    <saml:AttributeStatement>
   <saml:Attribute 
      Name="mail" 
      NameFormat="urn:oasis:names:tc:SAML:2.0:
         attrname-format:basic"  
      <saml:AttributeValue xsi:type="xs:string">
abc@example.com
      </saml:AttributeValue>
   </saml:Attribute> 
</saml:AttributeStatement>
    注:
    • 属性ソースの値にタグなしの属性が表示される場合、それは属性の用途が変更されたことに起因します。 その属性を使用する既存のアプリケーションは、変更された用途に合わせて別の属性を使用するようリマップされるまで、この属性を使用し続けることができます。 例えば、既存の属性で「シングル・サインオン (SSO)」チェック・ボックスがクリアされても、その属性を既に SSO に使用しているアプリケーションでは、その属性を SSO に使い続けることができます。 プロビジョニングの用途が削除された場合のプロビジョニング属性のマッピングも、同じ動作となります。