SAMLサービスプロバイダー構成
サービスプロバイダー(Yellowfin SAML Bridge)を構成するためには、以下の属性を設定しなくてはいけません。属性ファイルには、各オプションの詳細な情報を提供するインラインコメントが含まれています。
以下のシナリオに配慮してください。
- 「http://yellowfin:8080/」を介してYellowfinへアクセスします。
- 「Yellowfin/appserver/webapps/samlbridge」フォルダーに、SAML Bridgeをインストールします。
- Active Directoryフェデレーションサービスの名前は、「adfs.local」です。
こちらは、上記のシナリオに基づきサービスプロバイダーを構成する方法です。
| 属性 | 説明 |
| onelogin.saml2.sp.entityid | SAML BridgeサービスプロバイダーのエンティティIDです。これは、SAML BridgeのメタデータURLになります。URLは、次のような形式になります:<scheme>://<host>:<port>/<context>/metadata.jsp。metadata.jspファイルは、「samlbridge」フォルダーに格納されています。これは、Active Directoryフェデレーションサービスに、SAML Bridgeサービスプロバイダーを登録するために使用します。 例:http://yellowfin:8080/samlbridge/metadata.jsp 注意:このURLは、Active Directoryフェデレーションサービスからアクセス可能でなくてはいけません。 |
| onelogin.saml2.sp.assertion_consumer_service.url | このURLは、認証成功を制御します。 Yellowfinはこれを、「samlbridge/acs.jsp」を介して行います。 例:http:// yellowfin:8080/samlbridge/acs.jsp 注意:ユーザーにこのサービスへのアクセスを許可するためには、Active DirectoryフェデレーションサービスにサービスプロバイダーエンティティIDを登録しなくてはいけません。登録方法の詳細については、こちらを確認してください。 |
| onelogin.saml2.sp.single_logout_service.url | このURLは、ログオフを制御します。「samlbridge/sls.jsp」ファイルは、こちらの目的に使用されます。 例:http:// yellowfin:8080/samlbridge/sls.jsp |
| onelogin.saml2.sp.x509cert | これは、セキュリティ証明書のテキスト表現です。自署証明書は、以下を使用して生成することができます。 このオプションには、上記コマンドのsp.crtのテキスト表現が必要です。 |
| onelogin.saml2.sp.privatekey | 証明書の秘密鍵のテキスト表現です。これは、上記自署証明書プロセスにより作成されたsp.pemファイルのテキスト表現です。 |
| onelogin.saml2.sp.nameidformat | これは、OneLogin SAMLに必要です。これは、Active Directoryフェデレーションサービスの名前ID形式と対応していなくてはいけません。以下のいずれかになります。 NAMEID_EMAIL_ADDRESS = 'urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress'; NAMEID_X509_SUBJECT_NAME = 'urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName'; NAMEID_WINDOWS_DOMAIN_QUALIFIED_NAME = 'urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName'; NAMEID_UNSPECIFIED = 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified'; NAMEID_KERBEROS = 'urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos'; NAMEID_ENTITY = 'urn:oasis:names:tc:SAML:2.0:nameid-format:entity'; NAMEID_TRANSIENT = 'urn:oasis:names:tc:SAML:2.0:nameid-format:transient'; NAMEID_PERSISTENT = 'urn:oasis:names:tc:SAML:2.0:nameid-format:persistent'; NAMEID_ENCRYPTED = 'urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted'; 注意:「onelogin.saml.properties」ファイルを変更した場合は、新しい設定を反映するために、Yellowfin SAML Bridgeを再起動しなくてはいけません。 |
SAMLアイデンティティプロバイダー(IDP)構成
Yellowfin SAML Bridgeは、SAMLアイデンティプロバイダー(IDP)とインターフェイスするために、OneLogin Java APIを使用します。SAML IDP構成の設定をするためには、「WEB-INF/classes/onelogin.saml.properties」ファイルも使用されます。
各SAMLアイデンティティプロバイダーは、属性ファイルを満たすために異なるオプションを要求します。以下は、Active Directoryフェデレーションサービスが要求する項目の一覧です。
| 属性 | Active Directory要件 |
| onelogin.saml2.idp.entityid | https://adfs.local/adfs/ls/IdpInitiatedSignon.aspx?loginToRp=Yellowfin 注意:より詳細な情報は、こちらのガイドの「SSOサービス(IdpInitiatedSignOnPage)」項目を参照してください。 |
| onelogin.saml2.idp.single_sign_on_service.url | https://adfs.local/adfs/ls/IdpInitiatedSignon.aspx?loginToRp=Yellowfin 注意:記載していますが、要求されない場合もあります。 |
| onelogin.saml2.idp.single_logout_service.url | https://adfs.local/adfs/ls?wa=wsignout1.0 |
| onelogin.saml2.idp.x509cert | これは、SAMLリクエストをActive Directoryへ送付する前に署名するために必要です。より詳細な情報は、こちらのガイドのActive Directory公開鍵項目を参照してください。 注意:鍵のサイズに問題がある可能性があります。トラブルシューティングの「不正な鍵サイズ」の項目を参照してください。 |
注意:「onelogin.saml.properties」ファイルを変更した場合は、新しい設定を反映するために、Yellowfin SAML Bridgeを再起動しなくてはいけません。