前のトピック: AFM ログ ファイル次のトピック: 認証 Shim プロパティ ファイル

CA Adapter インストール ガイド(Windows 用)設定ファイルおよびオプションSAML プロパティ ファイル

SAML プロパティ ファイル

SAML プロパティを手動で設定するには、以下の手順に従います。

  1. AFM をインストールしたシステム上の以下のディレクトリに移動します。 
    AFM_HOME\conf\afm\
  2. テキスト エディタで saml_config.properties ファイルを開きます。
  3. 以下の表の説明に従って、パラメータを設定してプロパティ ファイルを変更します。

パラメータ

必須/
オプション

説明

SamlIssuer

Required

アサーションでクレームを作成している SAML レスポンスの発行者の識別子を指定します。 このプロパティは SAML <ISSUER> タグを設定します。 たとえば、ArcotCSSO などです。

SamlStartLag

オプション

アサーションの NotBefore 時間を計算する時間(ミリ秒単位)を指定します。 これは、有効なアサーションが IdP と SP の間のタイム クロックのスキューが原因で拒否される状況で使用されます。

デフォルト値: 0

SamlResponseValidity

オプション

AFM によって発行された SAML レスポンスが有効な時間(ミリ秒単位)を指定します。

デフォルト値: 300000 (5 分)

SignSamlAssertionOnly

オプション

完全な SAML レスポンスまたはレスポンスのアサーション部分のみのどちらに署名する必要があるのかを指定します。

 

完全なレスポンスに署名する必要がある場合は、このプロパティを false に設定します。

デフォルト値: true (SAML アサーションのみが署名されます)

CanonicalizationMethod

オプション

署名する前に SAML レスポンスに適用される正規化メソッドを指定します。

デフォルト値: ALGO_ID_C14N_EXCL_WITH_COMMENTS

SignatureMethod

オプション

SAML レスポンスに署名するために使用する署名アルゴリズムを指定します。

デフォルト値: ALGO_ID_SIGNATURE_RSA_SHA1

オーディエンス

オプション

アクセスの決定を行うために SAML レスポンスを使用できる識別子のカンマ区切り(,)のリストを指定します。 指定しない場合、発行者のみが SAML レスポンスのオーディエンスに追加されます。

AssertionConsumerServiceURL

オプション

(認証の後に生成された) SAML レスポンスをリダイレクトする必要がある URL を指定します。 サービス プロバイダが SAML リクエストでこれを送信していない場合、このプロパティを設定する必要があります。 受信 SAML リクエストに AssertionConsumerServiceURL に対する値がある場合、それは設定された値よりも優先されます。

LogoutResponseRedirectURL

オプション

ログアウト手順を完了した後に SAML ログアウト レスポンスが送信される URL を指定します。 ログアウト リクエストが Web サービスによって処理される場合、これは必要ではありません。

SamlIDPKeyStore

Required

ファイル システム上のアイデンティティ プロバイダのキー ストア ファイルの絶対パスまたは相対パスを指定します。 このファイルには SAML レスポンスに署名するために使用される秘密キーおよび証明書の両方があります。

相対パスは以下の構文で指定します。

/samlcerts/IDP.keystore

SamlIDPKeyStoreAlias

Required

アイデンティティ プロバイダのキーストアに格納されている秘密キーおよび証明書のエイリアスを指定します。

デフォルト値: arcotadapter

SamlIDPKeyStorePassword

Required

アイデンティティ プロバイダのキーストアのパスワードを指定します。

デフォルト値: 123456

SamlSPTrustStore

オプション、

SamlSPSignVerifyCert が設定されている場合

サービス プロバイダのトラスト ストア ファイルの絶対パスまたは相対パスを指定します。 このファイルには、サービス プロバイダからの署名済み SAML リクエストを確認するために使用される証明書があります。

相対パスは以下の構文で指定します。

/samlcerts/SP.truststore

SamlSPTrustStoreAlias

オプション、

SamlSPTrustStore が設定されている場合のみ必須

証明書がサービス プロバイダのトラストストアに格納されるときのエイリアスを指定します。

デフォルト値: arcotadapter

SamlSPTrustStorePassword

オプション、

SamlSPTrustStore が設定されている場合のみ必須

サービス プロバイダのトラストストアのパスワードを指定します。

デフォルト値: 123456

SamlSPSignVerifyCert

オプション、

SamlSPTrustStore が設定されている場合

サービス プロバイダの X.509 証明書の絶対パスまたは相対パスを指定します。 これは、サービス プロバイダからの署名済み SAML リクエストを確認するために使用されます。

相対パスは以下の構文で指定します。

/samlcerts/spcert.cer