SAML サービスプロバイダーの設定

Security Assertion Markup Language(SAML)は、エンタープライズドメインまたはハイブリッドドメインの認証を設定するときに選択できるオプションの 1 つです。SAML は主に複数ドメインにわたる SSO をサポートするときに使用されます。SAML を認証プロバイダーとして設定すると、ユーザーは、指定したサードパーティの ID プロバイダー(IDP)経由で LiveCycle にログインし、認証されます。

SAML について詳しくは、「Security Assertion Markup Language (SAML) V2.0 Technical Overview」を参照してください。

  1. Administration Console で、設定/User Management/設定/SAML サービスプロバイダーの設定をクリックします。

  2. 「サービスプロバイダーのエンティティ ID」ボックスに、LiveCycle サービスプロバイダー実装の識別子として使用する固有 ID を入力します。また、この固有 ID は、IDP(例えば、um.lc.com)を設定するときにも指定します。LiveCycle にアクセスする URL も使用できます(例えば、http://LiveCycleserver)。

  3. 「サービスプロバイダーの Base URL」ボックスに、LiveCycle サーバーのベース URL を入力します(例えば、http://LiveCycleserver:8080)。

  4. (オプション)LiveCycle で署名付き認証要求を IDP に送信する機能を有効にするには、以下のタスクを実行します。

    • Trust Manager を使用して、「Trust Store の種類」に「ドキュメント署名証明書」を選択した PKCS #12 形式の証明書を読み込みます。(ローカル秘密鍵証明書の管理を参照)。

    • 「サービスプロバイダーの証明書キーのエイリアス」リストから、Trust Store の証明書に割り当てたエイリアスを選択します。

    • 「書き出し」をクリックして URL コンテンツをファイルに保存し、そのファイルを IDP に読み込みます。

  5. (オプション)「サービスプロバイダーの名前 ID ポリシー」リストから、SAML アサーションでユーザーを識別するときに IDP で使用する名前の形式を選択します。選択肢は、「未指定」、「電子メール」、「X509 サブジェクト名」、「Kerberos プリンシパル」、「エンティティ」、「永続的」、「一過性」、または「Windows ドメイン修飾名」です。

    注意: 名前の形式では、大文字と小文字が区別されません。
  6. (オプション)「ローカルユーザーに対して認証プロンプトを有効にする」を選択します。このオプションを選択すると、次の 2 つのリンクが表示されます。

    • サードパーティの SAML ID プロバイダーのログインページへのリンク。このページでは、エンタープライズドメインに属しているユーザーが認証できます。

    • LiveCycle のログインページへのリンク。このページでは、ローカルドメインに属しているユーザーが認証できます。

    このオプションが選択されていない場合、サードパーティの SAML ID プロバイダーのログインページに直接リンクされ、エンタープライズドメインに属しているユーザーが認証できます。

  7. (オプション)「アーティファクトバインディングを有効にする」を選択して、アーティファクトバインディングのサポートを有効にします。デフォルトでは、SAML と共に POST バインディングが使用されます。ただし、アーティファクトバインディングを設定した場合は、このオプションを選択します。このオプションを選択すると、実際のユーザーアサーションはブラウザーの要求を通じては渡されません。代わりに、アサーションへのポインターが渡され、バックエンド Web サービス呼び出しを使用してアサーションが取得されます。

  8. (オプション)「リダイレクトバインディングを有効にする」を選択して、リダイレクトを使用する SAML バインディングをサポートします。

  9. (オプション)「カスタムプロパティ」で、追加のプロパティを指定します。追加のプロパティは name=value のペアで指定し、各ペアは新しい行によって区切られます。

    • SAML アサーション発行の有効期限がサードパーティのアサーションの有効期間に一致するよう、LiveCycle を設定できます。サードパーティ SAML アサーションのタイムアウトに従う場合は、「カスタムプロパティ」で次の行を追加します。

      saml.sp.honour.idp.assertion.expiry=true
    • RelayState を使用するための次のカスタムプロパティを追加して、ユーザーが正常に認証された後にリダイレクトされる URL を判断します。

      saml.sp.use.relaystate=true
    • 次のカスタムプロパティを追加して、カスタム Java Server Pages (JSP) のURLを設定します。これは ID プロバイダーの登録リストをレンダリングするのに使用されます。カスタム Web アプリケーションを展開しなかった場合は、デフォルトの User Management ページを使用してリストをレンダリングします。
      saml.sp.discovery.url=/custom/custom.jsp
  10. 「保存」をクリックします。