intra-mart Accel Platform SAML認証セットアップガイド 第4版 2019-08-01

4.1. OpenAM

OpenAM をIdP としてSAML 認証を行うための設定例を説明します。

4.1.1. バージョン

以下のバージョンを前提として説明します。

  • Tomcat Ver 8.x
  • OpenAM Ver 12.x.x あるいは 13.x.x

4.1.2. 前提条件

  • Tomcat にOpenAM のデプロイが完了していること
  • OpenAM の初期設定が完了していること

4.1.3. 設定方法

4.1.3.1. OpenAM をIdP に設定

OpenAM に管理者でログインしてホストアイデンティティプロバイダの作成を行います。

アイデンティティープロバイダ新規登録時の設定例
署名鍵
OpenAM のkeystore に登録したエイリアス名
トラストサークル
intra-mart Accel Platform
属性マッピング 表明内の名前
usercd
属性マッピング ローカル属性名
uid

コラム

  • 「属性マッピング ローカル属性名」の「uid」とはOpenAM のユーザコードのことです。
  • 署名、暗号化に関する設定はホストアイデンティティプロバイダ登録完了後、「連携」タブのエンティティープロバイダ項目のリンク先で設定可能です。

4.1.3.2. OpenAM のメタデータをダウンロード

OpenAM のメタデータをダウンロードします。以下のURL からメタデータを表示できます。
  • http://<ホスト名>:<ポート番号>/<OpenAM コンテキストパス>/saml2/jsp/exportmetadata.jsp

4.1.3.3. intra-mart Accel Platform にOpenAM を登録

IdP 新規登録画面からOpenAM を以下の設定で新規登録します。
記載のない項目はIdP の設定に応じて変更してください。
IdP 新規登録時の設定例
状態
有効
IdPメタデータ
OpenAM からダウンロードしたメタデータの内容
ユーザコード取得方法
属性名を指定して取得する
属性名
usercd
シングルサインオン
有効

コラム

  • 「属性名」にはOpenAM で登録した「属性マッピング 表明内の名前」の値と同じにしてください。

4.1.3.4. intra-mart Accel Platform のメタデータをダウンロード

IdP新規登録後、IdP 一覧画面からメタデータをダウンロードします。

4.1.3.5. OpenAM にメタデータをインポート

OpenAM の管理者でログインして intra-mart Accel Platform からダウンロードしたメタデータをインポートします。
  • メタデータのインポート
    「連携」タブにあるエンティティープロバイダ項目の「エンティティーのインポート」からインポート可能です。

4.1.3.6. トラストサークルの設定

OpenAM の管理者でログインして intra-mart Accel Platform をOpenAM と同じトラストサークルに設定してください。
  • トラストサークルの設定
    「連携」タブに登録されているトラストサークルのリンク先で設定可能です。

4.1.3.7. intra-mart Accel Platform ユーザとOpenAM ユーザをマッピング

テナント管理者でログインしてSAMLユーザマッピング(管理)画面から intra-mart Accel Platform のユーザコードとOpenAM のユーザコードをマッピングしてください。

4.1.4. OpenAM のユーザで intra-mart Accel Platform にログイン

上記設定が完了すると intra-mart Accel Platform の一般ユーザログイン画面にOpenAM のログイン画面に遷移するボタンが表示されます。
ボタンを押下してOpenAM のログイン画面でログインすると intra-mart Accel Platform にログインします。

4.1.5. 注意事項

4.1.5.1. 使用可能な署名アルゴリズム

2016年8月現在、intra-mart Accel Platform とOpenAM 間のSAML認証で使用可能な署名アルゴリズムを各鍵長、各バインディングごとに表した一覧は以下になります。
OpenAM Ver 12.x.x
    HTTP-REDIRECTバインディング HTTP-POSTバインディング
SHA1withDSA
1024bit
2048bit以上
×
SHA1withRSA
1024bit
2048bit以上
SHA256withRSA
1024bit
2048bit以上
×
×

OpenAM Ver 13.x.x
    HTTP-REDIRECTバインディング HTTP-POSTバインディング
SHA1withDSA
1024bit
2048bit以上
×
SHA1withRSA
1024bit
2048bit以上
SHA256withRSA
1024bit
2048bit以上

4.1.5.2. intra-mart Accel Platform のメタデータが変更された場合

IdPの設定を更新して intra-mart Accel Platform のメタデータに変更があった場合はOpenAM でメタデータのインポートとトラストサークルの設定を再度実行する必要があります。