Red Hat Summit12.6. SAML v2.0 アイデンティティープロバイダー
Red Hat Single Sign-On は、SAML v2.0 プロトコルに基づいてブローカーアイデンティティープロバイダーを使用できます。
SAML v2.0 プロバイダーの設定を開始するには、左側のメニュー項目 Identity Providers に移動し、Add provider ドロップダウンリストから SAML v2.0 を選択します。これにより、Add identity provider ページが表示されます。
ID プロバイダーの追加
このページの初期設定オプションは、「一般的な IDP 設定」に記載されています。SAML 設定オプションも定義する必要があります。このユーザーは、基本的に通信している SAML IDP について説明しています。
| 設定 | 説明 |
|---|---|
| サービスプロバイダーエンティティー ID |
これは必須フィールドで、リモートアイデンティティープロバイダーがこのサービスプロバイダーからのリクエストを識別するために使用する SAML エンティティー ID を指定します。デフォルトでは、レルムベース URL |
| Single Sign-On Service URL | これは必須フィールドで、認証プロセスを開始する SAML エンドポイントを指定します。SAML IDP が IDP エンティティー記述子を公開する場合、このフィールドの値はそこで指定します。 |
| 単一のログアウトサービス URL | これは、SAML ログアウトエンドポイントを指定する任意のフィールドです。SAML IDP が IDP エンティティー記述子を公開する場合、このフィールドの値はそこで指定します。 |
| バックチャネルログアウト | SAML IDP がバックチャネルログアウトに対応しているかどうかを有効にします。 |
| NameID のポリシー形式 |
名前識別子の形式に対応する URI 参照を指定します。デフォルトは |
| プリンシパルタイプ | 外部ユーザー ID の特定および追跡に使用される SAML アサーションの一部を指定します。Subject NameID または SAML 属性のいずれかを指定できます (名前または分かりやすい名前のいずれか)。 |
| Principal 属性 | Principal が "Attribute [Name]" または "Attribute [Friendly Name]" のいずれかに設定されている場合、このフィールドは、識別属性の名前または分かりやすい名前を指定します。 |
| HTTP-POST バインディング応答 |
このレルムは外部 IDP によって送信された SAML 要求に応答すると、SAML バインディングを使用する必要があるか。 |
| AuthnRequest の HTTP-POST バインディング |
このレルムが外部 SAML IDP から認証を要求すると、SAML バインディングを使用する必要がありますか? |
| Want AuthnRequests Signed | true の場合、レルムのキーペアを使用して、外部 SAML IDP に送信される要求に署名します。 |
| 署名アルゴリズム |
|
| SAML 署名キー名 |
署名付き SAML ドキュメントには、POST バインディング経由で送信される署名済みのほか、 |
| 認証の強制 | ユーザーがすでにログインされていても、外部 IDP で認証情報の入力を強制されることを示します。 |
| 署名の検証 | レルムが外部 IDP からの SAML 要求および応答にデジタル署名されることが予想されるかどうか。有効にすることを強くお勧めします。 |
| X509 証明書の検証 | SAML 要求の署名および外部 IDP からの応答の検証に使用されるパブリック証明書。 |
OpenID プロバイダーメタデータをポイントする URL またはファイルを指定してこの設定データをすべてインポートすることもできます (OIDC 検出仕様を参照)。Red Hat Single Sign-On の外部 IDP に接続する場合は、URL <root>/auth/realms/{realm-name}/protocol/saml/descriptor から IDP 設定をインポートできます。このリンクは、IDP に関するメタデータを記述する XML ドキュメントです。
接続する外部 SAML IDP のエンティティー記述子を参照する URL または XML ファイルを指定して、この設定データをすべてインポートすることもできます。
12.6.1. SP 記述子
SAML プロバイダーを作成すると、そのプロバイダーを表示するときに表示される EXPORT ボタンがあります。このボタンをクリックすると、外部 SP へのインポートに使用できる SAML SP エンティティー記述子が削除されます。
このメタデータは、URL に移動することで公開されています。
http[s]://{host:port}/auth/realms/{realm-name}/broker/{broker-alias}/endpoint/descriptor
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}