SAML 2.0 サポートのセットアップ › Single Sign-On での SAML 2.0 サポート › SAML 2.0 の Single Sign-On サポートの仕組み

SAML 2.0 の Single Sign-On サポートの仕組み

Single Sign-On を使用する標準的な CA Performance Center 認証処理は、SAML 2.0 サポートを利用する認証とは異なります。 SAML 2.0 認証では、CA Performance Center ログイン ページが表示されません。 代わりに、IdP で提供されたインターフェースへリダイレクトされます。 他のすべてのサポート対象認証方式については、Single Sign-On でログイン ページが提供されています。

以下の図に、Single Sign-On、CA Performance Center、および SAML 2.0 標準をサポートする IdP （CA SiteMinder など）を使用した SAML 2.0 認証処理を示します。

以下の一般的なプロセスでは、CA Performance Center における SAML 2.0 認証のサポート方法について説明します。 デジタル署名証明書や転送バインディングなど、実装に固有のオプションは省略されています。

1. たとえば、http://mycapchost:8181/pc/desktop/page に移動することにより、ユーザは CA Performance Center へのアクセスを試行します。
2. CA Performance Center は、アイデンティティ プロバイダ （IdP）による認証用の SAML リクエストで応答します。
3. ブラウザはリクエストを処理し、IdP サーバ上で実行中の認証ソフトウェアと接続します。
4. IdP では、既存のログオン セキュリティ コンテキストがユーザにあるかどうか -- つまり、ユーザがすでにログオンされているかどうかが判別されます。
5. ユーザがログオンしていない場合、IdP は実装に固有の方法でユーザを認証します。

   たとえば、IdP はブラウザと通信してユーザに認証情報の提供を要求する場合があります。 認証のこの段階は CA Single Sign-On とは無関係です。

6. IdP は、ユーザのログオン セキュリティ コンテキストを表す SAML アサーションを作成してブラウザに送信します。

   アサーションには、必須属性 subjectNameId とオプションの属性 ClonedUser が含まれます。

   subjectNameId の値は承認されたユーザです。

   アサーションには、クローン ユーザ アカウントの名前を含めることができます。 この属性は、承認された SAML ユーザがマップされるユーザ アカウントを定義します。

7. ブラウザは SAML アサーションを CA Performance Center に送信します。
8. CA Performance Center はアサーションを取得して処理します。
9. アサーションが有効な場合、CA Performance Center でユーザ用のセッションが確立されます。 ブラウザはターゲット ページ（ユーザのホーム ダッシュボード ページ）へリダイレクトします。