Access ManagerがIdentity Managerをトラステッドサービスプロバイダとして認識することを保証するには、OSPのメタデータテキストを識別情報サーバに追加し、属性セットを設定します。このプロセスには次の作業が含まれます。
Access ManagerはOSPのメタデータテキストを必要とします。メタデータの.xmlファイルの内容を、Access Managerの識別情報サーバで開くことができるドキュメントにコピーする必要があります。
ブラウザで、OSPメタデータのURLに移動します。Identity Managerは、デフォルトでは次のURLを使用します。
https://server:port/osp/a/idm/auth/saml2/spmetadata
ここで、server:portはOSPをホストしているTomcatサーバを表します。
spmetadata.xmlファイルのページソースを表示します。
このファイルの内容をIdentity Managerをトラステッドサービスプロバイダとして追加でアクセスできるドキュメントにコピーします。
SAMLがAccess ManagerとOSPの間でアサーション交換を実行できることを保証するには、Access Managerで属性セットを作成します。属性セットは、交換の共通ネーミングスキームを提供します。OSPはアサーションの件名を特定する属性値を検索します。デフォルトでは、この属性はmailです。
詳細については、『NetIQ Access Manager Administration Guide』の「Configuring Attribute Sets」を参照してください。
Access Managerの管理コンソールを開きます。
[Devices (デバイス)]>[Identity Servers (識別情報サーバ)]>[Shared Settings (共有設定)]>[Attribute Sets (属性セット)]>[New (新規)]の順にクリックします。
属性セットの名前を指定します。たとえば、「IDM SAML Attributes」と指定します。
[Next (次へ)]をクリックし、[New (新規)]をクリックします。
[Local Attribute (ローカル属性)]では、[Ldap attribute: mail [LDAP Attribute Profile] (Ldap属性: mail [LDAP属性プロファイル])]を選択します。
[Remote Attribute (リモート属性)]では、[mail]を指定します。
[OK]をクリックし、[Finish (終了)]をクリックします。
Identity Managerをトラステッドサービスプロバイダとして認識するように、Access Managerを設定します。詳細については、『NetIQ Access Manager Administration Guide』の「Creating a Trusted Service Provider for SAML 2.0」を参照してください。
Access Managerの管理コンソールを開きます。
[Devices (デバイス)]>[Identity Servers (識別情報サーバ)]>[Edit (編集)]>[SAML 2.0 (SAML 2.0)]の順にクリックします。
[New (新規)]>[Service Provider (サービスプロバイダ)]の順にクリックします。
[Provider Type (プロバイダタイプ)]では、[General (一般)]を指定します。
[Source (ソース)]では、[Metadata Text (メタデータテキスト)]を指定します。
[Text (テキスト)]フィールドには、Identity Managerのメタデータのコピーでコピーしたspmetadata.xmlファイルの内容を貼り付けます。
新しいOSPサービスプロバイダの名前を指定します。
[次へ]をクリックし、[終了]をクリックします。
[SAML 2.0 (SAML 2.0)]タブでは、ステップ 7で作成したOSPサービスプロバイダを選択します。
[Attributes (属性)]をクリックします。
SAMLの属性セットの作成で作成した属性セットを選択します。たとえば、「IDM SAML Attributes」と指定します。
OSPサービスプロバイダセットで使用可能な属性を、ページの左側の[Send with authentication (認証時に送信)]パネルに移動します。
[Send with authentication (認証時に送信)]パネルに移動するのは、認証の際に取得する必要がある属性です。
[OK]を2回クリックします。
識別情報サーバを更新するには、[Devices (デバイス)]>[Identity Servers (識別情報サーバ)]>[Update (更新)]>[Update All Configuration (すべての設定を更新)]の順にクリックします。