アイデンティティプロバイダの要件
変更を提案
PDF
すべてのリモートユーザについてアイデンティティプロバイダ( IdP )を使用して SAML 認証を実行するように Unified Manager で設定するときは、 Unified Manager に正しく接続できるように、いくつかの必要な設定を確認しておく必要があります。
Unified Manager の URI とメタデータを IdP サーバに入力する必要があります。この情報は、Unified ManagerSAML認証ページからコピーできます。Unified Manager は、 Security Assertion Markup Language ( SAML )標準のサービスプロバイダ( SP )とみなされます。
サポートされる暗号化標準
-
Advanced Encryption Standard(AES):AES-128およびAES-256
-
Secure Hash Algorithm(SHA;セキュアハッシュアルゴリズム):SHA-1およびSHA-256
検証済みのアイデンティティプロバイダ
-
Shibboleth
-
Active Directoryフェデレーションサービス(ADFS)
ADFSの設定要件
-
3 つの要求ルールを次の順序で定義する必要があります。これらは、この証明書利用者信頼エントリに対する ADFS SAML 応答を Unified Manager で解析するために必要です。
要求規則 値 sam-account-name
名前ID
sam-account-name
URN:OID:0.9.2342.19200300.100.1.1
トークングループ—修飾されていない名前
URN:OID:1.3.6.1.4.1.5923.1.5.1.1
-
認証方法を「フォーム認証」に設定する必要があります。設定しないと、 Unified Manager からログアウトするときにユーザにエラーが表示されることがあります。次の手順を実行します。
-
ADFS管理コンソールを開きます。
-
左側のツリービューで[Authentication Policies]フォルダをクリックします。
-
右側の[Actions]で、[Edit Global Primary Authentication Policy]をクリックします。
-
イントラネット認証方式をデフォルトの「 Windows 認証」ではなく「フォーム認証」に設定します。
-
-
Unified Manager のセキュリティ証明書が CA 署名証明書の場合、 IdP 経由でのログインが拒否されることがあります。この問題を解決するには、次の2つの回避策があります。
-
リンクに示されている手順に従って、チェーンCA証明書に関連付けられている証明書利用者についてADFSサーバで失効チェックを無効にします。
-
ADFS サーバ内にある CA サーバで Unified Manager サーバ証明書要求に署名します。
-
その他の設定要件
-
Unified Manager のクロックスキューは 5 分に設定されているため、 IdP サーバと Unified Manager サーバの時間の差が 5 分を超えないようにします。時間の差が 5 分を超えると認証が失敗します。