概要
IdP から Security Cloud Sign On への SAML 応答は、SAML 応答の要件 で説明されているいくつかのルールに従う必要があります。
また、必要な SAML メタデータを IdP から取得する必要があります。
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
重要 |
Enterprise Manager は廃止されました。Security Cloud Control を使用して ID プロバイダーの統合を管理できるようになりました。詳細については、ID プロバイダー統合ガイドを参照してください。 既存の ID プロバイダー統合データはすべて、Security Cloud Control を介して使用できます。 |
IdP から Security Cloud Sign On への SAML 応答は、SAML 応答の要件 で説明されているいくつかのルールに従う必要があります。
また、必要な SAML メタデータを IdP から取得する必要があります。
ID プロバイダーによる SAML 応答は、SHA-256 署名アルゴリズムで署名する必要があります。Security Cloud Sign On は、署名されていないアサーションまたは別のアルゴリズムで署名された応答を拒否します。
IdP によって送信される SAML 応答のアサーションには、次の属性名が含まれている必要があり、IdP の対応する属性にマッピングされている必要があります。
SAML アサーション属性名 |
IdP ユーザー属性 |
---|---|
firstName |
ユーザーの名。 |
lastName |
ユーザーの姓。 |
|
ユーザーの電子メール。これは、SAML 応答の <NameID> 要素と一致する必要があります。 |
<saml2:AttributeStatement>
<saml2:Attribute Name="firstName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">John
</saml2:AttributeValue>
</saml2:Attribute>
<saml2:Attribute Name="lastName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Doe
</saml2:AttributeValue>
</saml2:Attribute>
<saml2:Attribute Name="email" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">jdoe@example.com
</saml2:AttributeValue>
</saml2:Attribute>
</saml2:AttributeStatement>
IdP からの SAML 応答の <NameID> 要素には、その値として有効な電子メールアドレスが含まれている必要があり、電子メールは SAML 応答の属性 の email 属性の値と一致する必要があります。
<NameID> の Format 属性は、urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified または urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress に設定されている必要があります。
<NameID>
要素の例を次に示します。
<saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">jdoe@example.com</saml2:NameID>
Security Cloud Sign On と統合するには、IdP の SAML アプリケーションの次のメタデータが必要です。
シングルサインオンサービスの初期 URL – これは「SSO URL」または「ログイン URL」と呼ばれることもあります。この URL を使用して、IdP から Security Cloud Sign On への認証を開始できます。
エンティティ ID URI – IdP のグローバルな一意の名前。これは「発行元」と呼ばれることもあります。
X.509 署名証明書 – IdP が SAML アサーションに署名するために使用する公開キー/秘密キーのペアの公開キー。