第3章 アイデンティティープロバイダーインテグレーションシステムのデフォルト

SSO initiation type

Red Hat アイデンティティーシステム (sso.redhat.com) は、サービスプロバイダーが開始するシングルサインオンをサポートしています。IdP によるシングルサインオンはサポートされておらず、これを追加する予定もありません。

SSO binding

新しい IdP では POST のみが許可されます。

Name ID

Red Hat は認証ユーザーを識別できる ID を要求しますが、その種類は指定されていません。どの ID を使用するかはお客様が決定します。一般的に使用される ID は、UUID、メールアドレス、ユーザー名などです。

Other required attributes

ユーザーの認証に他の属性を指定する必要はありません。

ACS URL

これは、顧客が IdP の初期設定を完了した後に、アイデンティティープロバイダーインテグレーションツールにより提供されます。また、お客様が希望する場合にバインドできる SAML メタデータ URL へのリンクも提供します (これにより、設定された IdP を詳細に確認できるようになります)。

Assertion Signing

パートナーインテグレーションは、お客様のアサーションに署名する必要があります。IdP 設定中に、アサーション署名の検証に使用できる有効な x509 証明書を提供する必要があります。

Response/Assertion Encryption

暗号化は現在強制されていませんが、有効な x509 が提供されている限り、応答/アサーションを復号化できます。

Signing AuthN requests

Red Hat は AuthN リクエストに署名します。統合を行う方がこの署名を検証するようにしてください。これを行うために使用するキーは、当社が提供する SAML メタデータで検出できます (前述のように、これは IdP が作成された後に提示されます)。

Federated Logout

Red Hat は現在、フェデレーションログアウトオプションをサポートしていません。そうすると、ユーザーが Red Hat のサービスまたはアプリケーションからログアウトすると、Red Hat と会社の SSO の両方から “ログアウト“ されることになります。