アイデンティティプロバイダの要件
すべてのリモートユーザについてアイデンティティプロバイダ( IdP )を使用して SAML 認証を実行するように Unified Manager で設定するときは、 Unified Manager に正しく接続できるように、いくつかの必要な設定を確認しておく必要があります。
Unified Manager の URI とメタデータを IdP サーバに入力する必要があります。この情報は、 Unified Manager の SAML 認証ページからコピーできます。Unified Manager は、 Security Assertion Markup Language ( SAML )標準のサービスプロバイダ( SP )とみなされます。
サポートされている暗号化標準
-
Advanced Encryption Standard ( AES ): AES-128 および AES-256
-
Secure Hash Algorithm ( SHA ): SHA-1 および SHA-256
検証済みのアイデンティティプロバイダ
-
Shibboleth
-
Active Directory フェデレーションサービス( ADFS )
ADFS の設定要件
-
3 つの要求ルールを次の順序で定義する必要があります。これらは、この証明書利用者信頼エントリに対する ADFS SAML 応答を Unified Manager で解析するために必要です。
要求規則 | 価値 |
---|---|
Sam - アカウント名 |
名前 ID |
Sam - アカウント名 |
urn : OID : 0.9.2342.19200300.100.1.1 |
トークングループ — 修飾されていない名前 |
urn : OID : 1.3.6.1.4.1.5923.1.5.1.1 |
-
認証方法を「フォーム認証」に設定する必要があります。設定しないと、 Unified Manager からログアウトするときにユーザにエラーが表示されることがあります。次の手順を実行します。
-
ADFS 管理コンソールを開きます。
-
左側のツリー・ビューで [Authentication Policies] フォルダをクリックします
-
右の [ アクション ] で、 [ グローバルプライマリ認証ポリシーの編集 ] をクリックします。
-
イントラネット認証方式をデフォルトの「 Windows 認証」ではなく「フォーム認証」に設定します。
-
-
Unified Manager のセキュリティ証明書が CA 署名証明書の場合、 IdP 経由でのログインが拒否されることがあります。この問題を解決する方法は 2 つあります。
-
次のリンクの手順に従って、 CA 証明書チェーンの関連する証明書利用者についての ADFS サーバでの失効チェックを無効にします。
-
-
ADFS サーバ内にある CA サーバで Unified Manager サーバ証明書要求に署名します。
その他の設定要件
-
Unified Manager のクロックスキューは 5 分に設定されているため、 IdP サーバと Unified Manager サーバの時間の差が 5 分を超えないようにします。時間の差が 5 分を超えると認証が失敗します。