ESA WebコンソールでのIDプロバイダーコネクター(IdPコネクタ)の設定

この設定には、IDプロバイダー(IdP)とサービスプロバイダー(SP)の両方の詳細が含まれます。

ESAC Webコンソールで、Components > Identity Provider Connectorに移動します。
Create New Identity Provider Configurationをクリックします。
Basic settings:
1. 任意のConfiguration Nameを入力します。これはIdPコネクター設定のリストで使用されます。
2. 任意のPath Nameを入力します。これは、この後の設定で使用されるConfiguration URLの一部になります。
2FA settings:
1. 二要素認証が設定されているユーザーに対して2番目の認証要素を要求するには、2FA enabledを選択したままにします。
2. どの2FAも設定されていないユーザーがこのIdPコネクター設定を使用してログインすることを許可するには、Allow non-2FAを選択したままにします。
Original Identity Provider:
1. Configuration from the Original Identity Provider

- - - Use metadata - IdPの設定メタデータがセキュアな接続(HTTPS)経由またはローカルファイルとして使用可能な場合は、このオプションを使用します。そのセキュアなURL (先頭がhttps://またはfile://)をメタデータURLフィールドに入力します。
    - Configure manually - このオプションを使用する場合は、IdPに関する次の詳細を手動で取得して入力する必要があります。
      - Single Sign-on Destination: 認証されたユーザーがログインするようにリダイレクトされます。一部のIDプロバイダーでは、ログインURLと呼ばれています。
      - Single Logout Destination: ユーザーはログアウトにリダイレクトされます。一部のIDプロバイダーでは、ログアウトURLと呼ばれています。
      - Signature Validation Certificate - IdP の署名証明書。

1. Configuration to the Original Identity provider

このセクションでは、ESA IdPコネクターと連携するように元のIDプロバイダーを設定するためのすべての重要な情報とデータについて説明します。

1. 1. IDプロバイダーがメタデータから設定を読み取ることができる場合は、Metadata URLに表示されるURLを指定します。それ以外の場合は、他のフィールド(Identifier、Sign-on response URL、Logout response URL、Logout URL)の情報を使用し、IDプロバイダーによって要求される場合は、署名証明書と復号証明書をエクスポートします。
  2. <username>@<domain>の形式でName ID要求を発行するようにIDプロバイダーを設定します(一般的なオプションは電子メールアドレスまたはUPNです)。ESA IdPコネクターは、<username>で識別されたユーザーを<domain>領域のESA認証サーバーに登録します。
任意で、またはIdPで必要な場合は、Advanced Security Settingsを調整します。

- Sign Requests to the original Identity Provider—選択した場合、ESAのSinging CertificateがIdPをホスティングしているコンピューターで信頼済みに設定される必要があります。
- Validate original Identity Provider certificate—選択した場合、IdPの署名証明書がESAをホスティングしているコンピューターで信頼済みに設定される必要があります。
- Check original Identity Provider certificate revocation—選択すると、ESAはIdPの署名証明書がまだ有効かどうかを確認します。

Add Service Providerをクリックし、任意のDisplay Nameを入力します。これは、設定中のIdPコネクター内の設定済みサービスプロバイダーのリストで使用されます。
1. Configuration from the Service Provider

1. 1. Use metadata - IDプロバイダーの設定メタデータがセキュアな接続(HTTPS)経由で使用可能な場合は、このオプションを使用します。そのセキュアなURL (先頭がhttps://)をサービスプロバイダーメタデータURLフィールドに入力します。
  2. Configure manually - このオプションを使用する場合は、サービスプロバイダーに関する次の詳細を手動で取得して入力する必要があります。
    - Issuer.一部のサービスプロバイダーでは、Audience URLまたはEntity IDと呼ばれています。
    - Single Sign-on Destination: 認証されたユーザーがリダイレクトされる場所。一部のサービスプロバイダーでは、アサーションコンシューマーURLと呼ばれています。
    - Single Logout Destination: ログアウト後にユーザーがリダイレクトされます。
    - Signature Validation Certificate—サービスプロバイダーの署名証明書。
2. Configuration to the Service Provider:

このセクションでは、ESA IdPコネクターと連携するように元のIDプロバイダーを設定するためのすべての重要な情報とデータについて説明します。

1. 1. 1. サービスプロバイダーがメタデータから設定を読み取ることができる場合は、Metadata URLに表示されるURLを指定します。それ以外の場合は、他のフィールド(Identifier、Sign-on URL、Logout URL)の情報を使用し、サービスプロバイダーによって要求される場合はSinging CertificateとDecryption Certificateをエクスポートします。
    2. 収集したID情報(要求)をサービスプロバイダーに転送する前に、その情報を削除、追加、または更新するには、Claims Translationセクションで必要なルールを作成します。以下の要求の翻訳の例を参照してください。
任意で、またはサービスプロバイダーで必要な場合は、Advanced Security Settingsを調整します。
1. Check signature of requests from the Service Provider—選択した場合、サービスプロバイダーの証明書をESAで設定する必要があります。
2. Validate Service Provider certificate—選択した場合、サービスプロバイダーの証明書がESAをホスティングしているコンピューターで信頼済みに設定される必要があります。
3. Check Service Provider certificate revocation—選択した場合、ESAはサービスプロバイダーの証明書がまだ有効かどうかを確認します。
Saveをクリックします。

要求の翻訳の例

次の例では、IdP経由でログインし、ESA IdPコネクターによって次の要求が受信されたと仮定しています。

http://original_identity_provider/claim/nameid: sample@user.com

http://original_identity_provider/claim/displayname: SU

http://original_identity_provider/claim/name: Sample User

http://original_identity_provider/claim/nameid: sample@user.com

http://original_identity_provider/claim/saml2nameid: sample@user.com

http://original_identity_provider/claim/samle2nameidformat: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

特定の要求を削除する

上記の要求のセットからhttp://original_identity_provider/claim/displayname: SUを削除するには、ESA IdPコネクターで次のルールを設定します。

Addをクリックします。
リストボックスからRemoveを選択します。
Typeの場合は、「http://original_identity_provider/claim/displayname」(引用符なし)と入力します。
Saveをクリックします。

カスタム値を使用して新しい要求を作成するか、既存の要求を更新する (値を置き換える) には

http://original_identity_provider/claim/displayname: SUの「SU」を「sampleuser」に置き換えるには、ESA IdPコネクターで次のルールを設定します。

Addをクリックします。
リストボックスからAddを選択します。
Typeの場合は、「http://original_identity_provider/claim/displayname」(引用符なし)と入力します。
Constant valueには、「sampleuser」と入力します。
Saveをクリックします。

受信した要求のセットにhttp://original_identity_provider/claim/displaynameが存在しない場合は、Constant valueで定義されている値で作成されます。

"http://original_identity_provider/claim/displayname: sampleuser"

既存の要求の値を使用して新しい要求を作成するには

http://original_identity_provider/claim/displayname要求の値を使用してhttp://original_identity_provider/claim/profilename要求を作成するには、ESA IdPコネクターで次のルールを設定します。

Addをクリックします。
リストボックスから[コピー]を選択します。
From typeの場合は、「http://original_identity_provider/claim/displayname」(引用符なし)と入力します。
To typeの場合は、「http://original_identity_provider/claim/profilename」(引用符なし)と入力します。
Saveをクリックします。

˄˅