SAML シングルサインオンの設定
サービスプロバイダーでホストされているアプリケーション間でシングルサインオン機能を提供するには、SAML SP で SAML シングルサインオンを構成します。
コマンドラインインターフェイスを使用した SAML シングルサインオンの設定
-
SAML SSO プロファイルを設定します。
例
次のコマンドでは、SharePoint ポータルからの Web リンクを持つ負荷分散仮想サーバーの例を示します 。Nssp.example.com は、SharePoint サーバーの負荷分散を行うトラフィック管理の仮想サーバーです。
add tm samlSSOProfile tm-saml-sso -samlSigningCertName nssp -assertionConsumerServiceURL "https://nssp2.example.com/cgi/samlauth" -relaystateRule "\\"https://nssp2.example.com/samlsso.html\\"" -sendPassword ON -samlIssuerName nssp.example.com <!--NeedCopy--> -
SAML SSO プロファイルをトラフィックアクションに関連付けます。
例
次のコマンドは、SSO を有効にし、上記で作成した SAML SSO プロファイルをトラフィックアクションにバインドします。
add tm trafficAction html_act -SSO ON -samlSSOProfile tm-saml-sso <!--NeedCopy--> -
アクションをいつ実行する必要があるかを指定するトラフィックポリシーを構成します。
例
次のコマンドは、トラフィックアクションをトラフィックポリシーに関連付けます。
add tm trafficPolicy html_pol "HTTP.REQ.URL.CONTAINS(\\"abc.html\\")" html_act <!--NeedCopy--> -
以前に作成したトラフィックポリシーをトラフィック管理仮想サーバ(負荷分散またはコンテンツスイッチング)にバインドします。また、トラフィックポリシーをグローバルに関連付けることもできます。
注
このトラフィック管理仮想サーバーは、SAML アクションに関連付けられた関連する認証仮想サーバーに関連付ける必要があります。
bind lb vserver lb1_ssl -policyName html_pol -priority 100 -gotoPriorityExpression END -type REQUEST <!--NeedCopy-->
GUI を使用した SAML シングルサインオンの設定
SAMLシングルサインオンを構成するには、SAML SSOプロファイル、トラフィックプロファイル、およびトラフィックポリシーを定義し、トラフィックポリシーをトラフィック管理仮想サーバーに、またはNetScalerアプライアンスにグローバルにバインドする必要があります。
-
セキュリティ > AAA アプリケーショントラフィック > ポリシー > トラフィック > SAML SSO プロファイルに移動し 、[ 追加] をクリックします。
-
[ SAML SSO プロファイルの作成 ] ページで、次のフィールドに値を入力し、[ 作成] をクリックします。
- Name-SAML SSO プロファイルの名前
- アサーションコンシューマサービス URL-アサーションが送信される URL
- 署名証明書名-アサーションの署名に使用される SSL 証明書の名前
- SP 証明書名:アサーションが暗号化されるピア/受信側のSSL証明書の名前
- 発行者名-NetScalerからIdPに送信されるリクエストでNetScalerを一意に識別するために使用される名前
- 署名アルゴリズム-SAML トランザクションの署名/検証に使用するアルゴリズム
- Digest Method-SAML トランザクションのダイジェストを計算/検証するために使用されるアルゴリズム
- Audience-IdP によって送信されたアサーションが適用可能なオーディエンス。これは通常、サービスプロバイダを表すエンティティ名または URL です。
- Audience-IdP によって送信されたアサーションが適用可能なオーディエンス。これは通常、サービスプロバイダを表すエンティティ名または URL です。
- スキュー時間 (分)-アサーションが有効になる現在の時刻の両側の分数
- アサーションへの署名-NetScaler IdPがアサーションを送信するときにアサーションの一部に署名するオプション。ユーザーの選択に基づいて、[アサーション] または [応答]、または [両方] または [なし] のいずれかに署名できます。
- 名前 ID 形式-アサーションで送信される名前識別子の形式
- 名前 ID 式-アサーションで送信される NameIdentifier を取得するために評価される式
-
セキュリティ > AAA アプリケーショントラフィック > ポリシー > トラフィック > トラフィックプロファイルに移動し 、[ 追加] をクリックします。
-
[ トラフィックプロファイルの作成 ] ページで、次のフィールドに値を入力し、[ 作成] をクリックします。
- Name-トラフィックアクションの名前。
- AppTimeout (分)-接続が閉じられるまでのユーザーの非アクティブ時間の間隔(分単位)。
- シングルサインオン-[オン] を選択します。
- SAML SSO プロファイル-作成した SAML SSO プロファイルを選択します。
- KCD アカウント-Kerberos 制約付き委任アカウント名
- SSO ユーザー式-SingleSignOn のユーザー名を取得するために評価される式
- SSO パスワード式-SingleSignOn のパスワードを取得するために評価される式
-
セキュリティ > AAA アプリケーショントラフィック > ポリシー > トラフィック > トラフィックポリシーに移動し 、[ 追加] をクリックします。
-
[ トラフィックポリシーの作成 ] ページで、次の値を入力し、[ 作成] をクリックします。
- Name — 作成するトラフィックポリシーの名前
- Profile — 作成したトラフィックプロファイルを選択します。
- 式 — ポリシーが特定の要求に応答するために使用する高度なポリシー表現。例:true。
-
トラフィックポリシーをトラフィック管理仮想サーバーにバインドするには、[ 構成] > [トラフィック管理] > [負荷分散] > [仮想サーバー ] に移動し、仮想サーバーを選択します。
-
「 詳細設定」で、「 ポリシー」をクリックします。
-
[ ポリシーの選択 ] フィールドで [ トラフィック ] を選択し、[ タイプの選択] フィールドで [ **要求 ] を選択し** 、[ 続行] をクリックします。
-
[ポリシーの選択] で、作成したトラフィックをクリックして選択します。
-
[Select] をクリックします。
-
[ バインド ] をクリックして、トラフィックポリシーを仮想サーバーにバインドします。