SAML Web インバウンド TAI のカスタム・プロパティー

SAML Web インバウンド・トラスト・アソシエーション・インターセプター (TAI) のカスタム・プロパティーを使用して、Web インバウンド TAI の動作を指定したり、インバウンド Web 要求で受け取った SAML トークンを処理したりします。

SAML Web インバウンド TAI のカスタム・プロパティーを以下の表にまとめます。 これらのプロパティーは、管理コンソールを使用して、SAML Web インバウンド TAI の「カスタム・プロパティー」パネルで定義できます。

SAML Web インバウンド TAI は、複数のプロバイダーをサポートします。 複数のプロバイダーを構成するには、 provider_<id>を使用して各カスタム・プロパティーに接頭部を追加します ( provider_1.headerNameなど)。 複数のプロバイダーを構成する場合、接頭部のないカスタム・プロパティーは無視されます。

プロパティーは、次の 2 つのカテゴリーに分類されます。

  • 必須プロパティー: これらのプロパティーが定義されていない場合、SAML Web インバウンド TAI は初期化されません。
  • オプション・プロパティー: これらのプロパティーのデフォルトは、記載されている値です。 SAML Web インバウンド TAI の動作を微調整するために使用します。

必須プロパティー

表 1. SAML Web インバウンド TAI の必須プロパティー
プロパティー名 説明
headerName

任意のストリング値を指定できます。 このプロパティーに、デフォルト値はありません。

headerName または propertyName を指定する必要があります。

このプロパティーでは、TAI が SAML トークンを抽出するために検索する、インバウンド要求内のヘッダー名のリストを指定します。 1 つのヘッダー名を指定することも、複数のヘッダー名をコンマや縦棒で区切って指定することもできます。

例:

headerName=saml_token

headerName=header one, header two

headerName=saml1 token|saml2 token|saml3_token

headerNameparameterName の両方を指定すると、適用可能なすべてのヘッダーが、パラメーターの前の SAML トークンについて検査されます。

parameterName

任意のストリング値を指定できます。 このプロパティーに、デフォルト値はありません。

propertyName または headerName を指定する必要があります。

このプロパティーでは、TAI が SAML トークンを抽出するために検索する、インバウンド要求内のパラメーター名のリストを指定します。 1 つのパラメーター名を指定することも、複数のパラメーター名をコンマや縦棒で区切って指定することもできます。

例:

parameterName=saml_token

parameterName=param one, param two

parameterName=saml1 token|saml2 token|saml3_token

headerNameparameterName の両方を指定すると、適用可能なすべてのヘッダーが、パラメーターの前の SAML トークンについて検査されます。

オプション・プロパティー

表 2. SAML Web インバウンド TAI のオプション・プロパティー
プロパティー名 説明
setLtpaCookie 以下のいずれかの値を指定することができます。
  • true
  • false (デフォルト)
このプロパティーでは、SAML Web インバウンド TAI が応答内で LTPA トークンを設定する必要があるかどうかを指定します。 デフォルトの場合、TAI は応答内で LTPA Cookie を設定しません。
signatureAlgorithm 以下のいずれかの値を指定することができます。
  • SHA128 (デフォルト)
  • SHA256
このプロパティーでは、SAML トークンの署名に使用するアルゴリズムを指定します。 このプロパティーに SHA256 を指定した場合は、要求内の SAML トークンに SHA256 署名アルゴリズムで署名する必要があります。署名しないと、要求は拒否されます。
clockSkew 任意の正数を指定することができます。 デフォルトは 3 分です。 このプロパティーでは、SAML トークンの妥当性検査時の許容クロック・スキューをミリ秒単位で指定します。
userIdentifier デフォルトの場合、このプロパティーには、SAML サブジェクトの NameID 属性の値が設定されます。 このプロパティーでは、ユーザー ID として使用する値を持つ SAML 属性の名前を指定します。

例:

userIdentifier=RunAsUser

mapIdentityToRegistryUser 以下のいずれかの値を指定することができます。
  • true
  • false (デフォルト)
このプロパティーが falseに設定されている場合、 WebSphere® サブジェクトには、SAML アサーションで指定されたユーザーおよびグループが取り込まれます。

このプロパティーが trueに設定されている場合、SAML Web インバウンド TAI は、ユーザーを SAML トークンから WebSphere ユーザー・レジストリー内の同じユーザーにマップします。 これには、すべてのユーザーが WebSphere ユーザー・レジストリーで保守されている必要があります。

groupIdentifier 任意のストリング値を指定できます。 このプロパティーに、デフォルト値はありません。 このプロパティーでは、サブジェクト内にグループ・メンバーとして組み込む値を持つ SAML 属性の名前を指定します。
realmIdentifier デフォルトでは、このプロパティーは SAML 発行者名に設定されます。 このプロパティーでは、サブジェクトのレルムとして使用する値を持つ SAML 属性の名前を指定します。 このプロパティーを指定しなければ、SAML の発行者の名前がレルム名として使用されます。
realmName 任意のストリング値を指定できます。 このプロパティーに、デフォルト値はありません。 このプロパティーでは、SAML アサーションで使用するレルム名を指定します。 realmIdentifier プロパティーと realmName プロパティーの両方を指定した場合、realmName プロパティーのほうが realmIdentifier の値よりも優先されます。
filter このプロパティーの定義については、 SAML TAI フィルター・プロパティーを参照してください。 表 4 に、フィルター・プロパティーの演算子の詳細を示します。 このプロパティーでは条件を指定します。その条件に照らして Web 要求が検査され、SAML Web インバウンド TAI の処理対象としてその要求が選択されるかどうかが決まります。
audiences URI 値のコンマ区切りリストを指定できます。 このプロパティーに、デフォルト値はありません。 このプロパティーでは、許容対象者 URI のリストを指定します。そのリストが、SAML アサーションの <AudienceRestriction> エレメントで指定されている対象者 URI のリストと比較されます。 そのリストにある URI が SAML アサーションに 1 つも含まれていないと、SAML トークンの妥当性検査が失敗します。

例:

filter="request-url%=helloworld"

trustStore このプロパティーに、デフォルト値はありません。 このプロパティーは、SAML 署名を検証するためのトラストストアを指定します。 これは、管理対象鍵ストアの名前を指定します。
keyStore このプロパティーに、デフォルト値はありません。 このプロパティーは、暗号化された SAML アサーションを暗号化解除するための秘密鍵が入っている管理対象鍵ストアの名前を指定します。