SAML エンタープライズ ID プロバイダーの追加

オンラインで編集

プロトコ SAML ルをサポートするあらゆる IDプロバイダー を、 SAML エンタープライズ IDプロバイダー として使用できます。 ID プロバイダー は、 Verifyへのアクセス権限を付与する前に、この ID プロバイダー 内のデータに対してユーザー ID を認証します。

手順

  1. 認証 > IDプロバイダー を選択します。
  2. 「ID プロバイダーの追加」を選択します。
  3. SAML Enterprise を選択してください。
  4. 「次へ」を選択します。
  5. 「一般」 ページで、以下の情報を指定します。
    名前
    アイデンティティー・ プロバイダーの認識可能な名前を指定します。
    レルム

    これは、同じユーザー名を持つ複数の ID プロバイダーからユーザーを区別するのに役立つ ID プロバイダー属性です。

    サブスクリプション内の他のすべての構成済み ID ソースと異なる、固有の名前にする必要があります。 名前にはすべての英数字を使用できます。 ドット (.) とハイフン (-) 以外の特殊文字は使用できません。

    ドメイン名の最大長と類似し、許容される最大ストリング長は 253 です。
    注: 作成後に名前を編集することはできません。
    ID
    この ID は、構成を保存した後に作成されます。
    有効
    この ID プロバイダーをサインインに使用するには、このチェック・ボックスを選択します。

    アイデンティティー・プロバイダーがアクティブで使用可能かどうかを示します。

    ID プロバイダーが構成され、有効になっている場合、ユーザーは、選択された ID プロバイダーを使用して、 Verify へのシングル・サインオンと、資格のあるアプリケーションへのシングル・サインオンを行うことができます。 アイデンティティー・プロバイダーが使用可能になっていない場合は、サインインページにオプションとして表示されません。
    注:
    • Verify にサインインするには、少なくとも 1 つのアイデンティティー・プロバイダーが使用可能になっている必要があります。
    • 使用可能になっているアイデンティティー・プロバイダーが 1 つのみの場合は、そのプロバイダーがユーザーのデフォルトのサインイン・オプションになります。
  6. 「次へ」を選択します。
  7. アイデンティティー・プロバイダー に、以下の サービス・プロバイダー ・メタデータ・プロパティーを指定します。 情報をコピーするか、メタデータ・ファイルをダウンロードすることができます。
    エンティティー ID
    認証 SAML 要求における発行者を指定し、受信する SAML 認証応答の受取人を指定します。
    注: エンティティー ID は、1 次ホスト名に基づいています。 バニティー・ホスト名が使用されても変更されません。 バニティー・ホスト名を使用してパートナーを手動で構成するときに使用する適切な値を取得するには、メタデータ・ファイルをダウンロードします。
    Assertion Consumer Service URL

    サービスプロバイダー 側で認証 SAML 応答を受信するエンドポイントを指定します。

    IDプロバイダー、認証応答 SAML をこの URL にリダイレクトします。 このエンドポイントは、 SAML アサーションを受信し処理します。

    シングル・ログアウト URL

    SAML ログアウト要求および SAML ログアウト応答を受信するサービス・プロバイダーのエンドポイントを指定します。

    アイデンティティー・プロバイダーは、SAML ログアウト要求および SAML ログアウト応答をこの URL にリダイレクトします。 このエンドポイントは、SAML ログアウト要求および SAML ログアウト応答を受け取り、処理します。

  8. 「次へ」を選択します。
  9. シングルサインオンフロー SAML を開始する主体( サービスプロバイダー または IDプロバイダー )を選択するには、ラジオボタンを選択してください。
    • サービス・プロバイダー。
      注: このオプションを選択すると、 .xml 形式の アイデンティティー・プロバイダー ・メタデータをアップロードする必要があります。
    • Identity provider
      このシナリオでは、以下のようになります。
      1. ユーザーは、アイデンティティー・プロバイダー・サイトにアカウントを持ちます。
      2. ユーザーはアイデンティティー・プロバイダー・サイトにサインインするか、またはアイデンティティー・プロバイダー・シングル・サインオン URL を使用して、サービス・プロバイダー の保護リソースにアクセスします。
      3. IDプロバイダー は、ユーザーが認証済みであることを主張する認証 SAML 応答を開始する。
      4. サービスプロバイダー認証応答 SAML を検証する。
      5. ユーザーのブラウザーはサービス・プロバイダー のターゲット URL にリダイレクトされ、ユーザーは要求したリソースへのアクセスを許可されます。
      IDプロバイダーを選択した場合は、 URL を入力する必要があります。 これは、アイデンティティー・プロバイダー からサービス・プロバイダー へのシングル・サインオンを開始する URL です。
  10. 「次へ」を選択します。
  11. オプション: シングルログアウトページで、受信するログアウト要求メッセージと応答メッセージに署名が必須かどうかを指定します。
    • 着信ログアウト要求メッセージに署名が必要な場合は、「ログアウト要求署名の検証」を選択します。
    • 着信ログアウト応答メッセージに署名が必要な場合は、「ログアウト応答署名の検証」を選択します。
    注:
    • アップロードしたアイデンティティプロバイダーのメタデータファイルに HTTPの SingleLogoutService 要素が含まれている場合、このアイデンティティプロバイダーではシングル・ログアウトが有効になります。
    • サービスプロバイダーが開始するシングル・ログアウトURLは、次のリクエストコールバックのようになります。 https://<tenant-Host>/saml/sps/saml20sp/saml20/sloinitial?RequestBinding=HTTPPost
    • 現在のセッションにおける SAML IDプロバイダー が、 Verifyから送信されたログアウト要求に応答しない場合、シングルログアウトはそのIDプロバイダー で停止します。 シングル・ログアウトを再開するには、ユーザーがシングル・ログアウトを再度実行する必要があります。
  12. 「次へ」を選択します。
  13. オプション: ジャストインタイムプロビジョニングとIDリンク設定ページで、 ジャストインタイムプロビジョニングと IDリンクを有効にするかどうかを指定します。
    1. ジャストインタイム・プロビジョニングを有効にするかどうかを選択します。
      このオプションは、 SAML 識別情報に関連付けられたプライマリ ID プロバイダー 領域でユーザーアカウントを作成および更新します。 ジャストインタイム・プロビジョニングがオフになっている場合、この ID プロバイダーを使用してログインしようとするユーザーは、一致するユーザー・レコードがディレクトリーに存在しなければ認証できません。
    2. 「固有ユーザー ID」 メニューの 「ID プロバイダー」 ユーザー・レジストリーからユーザーを識別する属性を指定します。
      「この ID プロバイダーの ID リンクを有効にする」を選択した場合は、UUID を指定する必要があります。
    3. 変換値を選択して 「固有ユーザー ID」 値を変換するか、デフォルト値の 「なし」のままにします。
    4. 「この ID プロバイダーの ID リンクを有効にする」 チェック・ボックスを選択します。
      特定の ID プロバイダーの ID リンクをオンにします。 シャドー・アカウントは、この ID プロバイダーに指定されたレルムのクラウド・ディレクトリーには作成されません。
      注:
      1. デフォルトの ID プロバイダとして設定されている ID プロバイダでは、リンクを有効にでき ません。
      2. デフォルトのリンク ID プロバイダを無効にしたり削除したりすることはできません。
      ID リンクを有効にする場合は、アカウントに使用する固有 ID を選択します。 この固有 ID は、クラウド・ディレクトリー・アカウントの Username 属性と比較されます。
    5. 「外部 ID」 メニューまたはカスタム 「外部 ID」から、 「ID プロバイダー」 ユーザー・レジストリーからユーザーを識別する属性を指定します。
      デフォルト値は user IDです。
    6. 変換値を選択して 「外部 ID」 値を変換するか、デフォルト値の 「なし」のままにします。
    7. アカウント連携を実現するために強制認証を有効にするかどうかを選択してください。
      このオプションは、永続的な SAMLnameid トークンを使用するフローにのみ適用されます。 選択された場合、ユーザーはまずリンクされた領域への認証を求められ、認証済みユーザーアカウントを SAML トークン主体と関連付けます。 選択されていない場合、 SAML nameid Enterprise IDプロバイダーでは管理操作がサポートされません。
  14. 「次へ」を選択します。
  15. オプション: 属性マッピングページで、 SAML Enterprise IDプロバイダーの属性をCloud Directory IBM® Verify にマッピングします。
    注: 選択しない場合は、グローバル設定で指定された 属性マッピング が適用されます。 そうでない場合、 SAML エンタープライズ IDプロバイダーで指定された属性マッピングが、グローバル設定での選択を上書きします。 グローバル設定の詳細については、 「グローバル設定の構成」 を参照してください。
    1. 「属性マッピングの追加」を選択します。
    2. 次のいずれかのオプションを使用して、 SAML Enterprise Identity プロバイダー 属性を指定します。
      1. 以下のリストから選択します。
        属性名 説明
        company ユーザーの会社。
        country ユーザーの国。
        displayName ユーザーの表示名。
        email 通知が送信されるユーザーの E メール・アドレス。
        family_name ユーザーの姓。
        given_name ユーザーの名。
        mobile_number 通知が送信されるユーザーの携帯電話番号。
        userID ユーザーの固有 ID。
        Custom rule カスタム SAML エンタープライズIDプロバイダー属性 「カスタム・ルール」を選択した場合は、ルール・エディターでカスタム・ルールを入力し、 「OK」 をクリックして保存します。
      2. 属性の選択フィールドに属性名を入力します。 これは、オプションのリストで使用できない属性名です。
    3. SAML Enterprise Identity プロバイダーの属性を変換する変換値を選択するか、デフォルト値を「 なし 」のままにします。
      属性名 説明
      Uppercase 属性を大文字に変換します。
      Lowercase 属性を小文字に変換します。
      Base64 Encode 属性 使用する base64 エンコード・アルゴリズムを変換します。
      Base64 Decode 属性 使用する base64 のデコード・アルゴリズムを変換します。
      Encode URI 属性 使用する エンコード URI メソッドを変換します。
      Encode URI Component 属性 使用する エンコード URI コンポーネント・メソッドを変換します。
      Decode URI 属性 使用する デコード URI メソッドを変換します。
      Decode URI Component デコード URI コンポーネント・メソッドを使用する変換属性。
      Generate UUID if no value is evaluated 汎用固有 ID を生成するために属性を変換します。
      Current Time (seconds) 属性を時間 (秒) に変換します。
      Current Time (milliseconds) 属性をミリ秒単位の時間に変換します。
      SHA-256 Hash SHA-256 アルゴリズムを使用する変換属性。
      SHA-512 Hash SHA-512 アルゴリズムを使用する変換属性。
    4. IBM Verify 属性を指定します。 属性の詳細については、 「属性の管理」 を参照してください。
      注: 以下の予約済みの組み込み属性は、 アイデンティティー・プロバイダー 属性にマップされないため、選択しないでください。
      • groupIds
      • preferred_username
      • realmName
      • tenantId
      • uid
    5. 属性を user profileに保管する方法を指定します。
      • 常時 - ログインのたびに属性を保管または更新します。
      • ユーザー作成時のみ -アカウント作成以降の属性を保管します。
      • 無効化 - 属性を保管または更新しません。
    6. 必須: 追加およびマッピングする各属性について、この手順を繰り返す必要があります。
  16. オプション: ユーザーアクセス権限グループのソースを指定するには、以下のグループメンバーシップソースのいずれかを選択してください。
    注意: グループのメンバーシップソースを設定する際には注意してください。 Identity Sourceから派生するように構成されている場合、ユーザーのアクセス権限は、 groupIds クレームを含むアイデンティティプロバイダトークンから派生します。 groupIds のクレームが IBM Verify の予約済みシステムグループの値を持つ場合、ユーザは IBM Verify にログインした後、予約済みシステムグループのパーミッションが付与される。
    • クラウド・ディレクトリー - ユーザー・アクセス許可は、クラウド・ディレクトリー内のユーザー・グループから派生します。
    • クラウド・ディレクトリーおよび ID ソース -ユーザー・アクセス許可は、クラウド・ディレクトリー内のユーザー・グループと ID プロバイダー ・トークン ( groupIds クレームを含む) から派生します。
    • ID ソース -ユーザー・アクセス許可は、 groupIds クレームを含む ID プロバイダー ・トークンから派生します。
      注: ID プロバイダー ・トークンに groupIds クレームが含まれていない場合は、グループ・メンバーシップ許可を取得できません。
    • 「カスタム・ルール」「カスタム・ルール」を選択した場合は、ルール・エディターでカスタム・ルールを入力し、 「OK」 をクリックして保存します。 ユーザー・アクセス許可は、カスタム・ルールに基づいて導出されます。
    注: 選択しない場合は、 「グローバル設定」 で選択した 「グループ・メンバーシップ・ソース」 が適用されます。 それ以外の場合は、 SAML エンタープライズ IDプロバイダー で選択されたグループメンバーシップソースが、 グローバル設定での選択を上書きします。
  17. 「次へ」を選択します。
  18. オプション: プライバシープロファイルを作成した場合、メニューからプロファイルを選択してください。
    プライバシー・プロファイルでは、このディレクトリー内のユーザーは、一連のデータ使用目的、ユーザー使用許諾契約 (EULA)、またはその両方を確認して同意する必要があります。 プライバシープロファイルの管理を参照してください。
  19. 「次へ」を選択します。
  20. オプション: パブリックプレビューを有効にした場合 CI-108233、ユーザー招待を有効にするかどうかを選択します。
    招待は、 POST /v1.0/usc/user/invitation API を使用して作成および送信されます。 ユーザーを招待するを参照してください。 「ユーザーの招待を有効にする」 チェック・ボックスを選択して、新規ユーザーとして登録するように他のユーザーを招待します。 招待の受け入れの一環として、ユーザーが追加のデータを入力するためのユーザー・プロファイルを選択することもできます。 ユーザープロファイルの管理を参照してください。
  21. 「完了」を選択します。
    ID プロバイダー構成が編集モードで開きます。