SAML シングルサインオンの設定
サービスプロバイダーでホストされているアプリケーション間でシングルサインオン機能を提供するには、SAML SP で SAML シングルサインオンを構成します。
コマンドラインインターフェイスを使用した SAML シングルサインオンの設定
-
SAML SSO プロファイルを設定します。
例
次のコマンドでは、SharePoint ポータルからの Web リンクを持つ負荷分散仮想サーバーの例を示します 。Nssp.example.com は、SharePoint サーバーの負荷分散を行うトラフィック管理の仮想サーバーです。
add tm samlSSOProfile tm-saml-sso -samlSigningCertName nssp -assertionConsumerServiceURL "https://nssp2.example.com/cgi/samlauth" -relaystateRule "\\"https://nssp2.example.com/samlsso.html\\"" -sendPassword ON -samlIssuerName nssp.example.com<!--NeedCopy--> -
SAML SSO プロファイルをトラフィックアクションに関連付けます。
例
次のコマンドは、SSO を有効にし、上記で作成した SAML SSO プロファイルをトラフィックアクションにバインドします。
add tm trafficAction html\_act -SSO ON -samlSSOProfile tm-saml-sso<!--NeedCopy--> -
アクションを実行する必要があるタイミングを指定するトラフィックポリシーを設定します。
例
次のコマンドは、トラフィックアクションをトラフィックポリシーに関連付けます。
add tm trafficPolicy html_pol "HTTP.REQ.URL.CONTAINS(\\"abc.html\\")" html_act<!--NeedCopy--> -
以前に作成したトラフィックポリシーをトラフィック管理仮想サーバ(負荷分散またはコンテンツスイッチング)にバインドします。また、トラフィックポリシーをグローバルに関連付けることもできます。
注
このトラフィック管理仮想サーバーは、SAML アクションに関連付けられた関連する認証仮想サーバーに関連付ける必要があります。
bind lb vserver lb1_ssl -policyName html_pol -priority 100 -gotoPriorityExpression END -type REQUEST<!--NeedCopy-->
GUI を使用した SAML シングルサインオンの設定
SAMLシングルサインオンを構成するには、SAML SSOプロファイル、トラフィックプロファイル、およびトラフィックポリシーを定義し、トラフィックポリシーをトラフィック管理仮想サーバーまたはCitrix ADCアプライアンスにグローバルにバインドする必要があります。
-
セキュリティ > AAA アプリケーショントラフィック > ポリシー > トラフィック > SAML SSO プロファイルに移動し 、[ 追加] をクリックします。
![SAML SSO プロファイルの [追加] をクリックします。]()
-
[ SAML SSO プロファイルの作成 ] ページで、次のフィールドに値を入力し、[ 作成] をクリックします。
- Name-SAML SSO プロファイルの名前
- アサーションコンシューマサービス URL-アサーションが送信される URL
- 署名証明書名-アサーションの署名に使用される SSL 証明書の名前
- SP 証明書名:アサーションが暗号化されるピア/受信側のSSL証明書の名前
- 発行者名-Citrix ADCからIdPに送信されるCitrix ADCを一意に識別するためのリクエストで使用される名前
- 署名アルゴリズム-SAML トランザクションの署名/検証に使用するアルゴリズム
- ダイジェストメソッド-IdP によって送信されたアサーションが適用可能なオーディエンス。これは通常、サービスプロバイダを表すエンティティ名または URL です。
- Audience-IdP によって送信されたアサーションが適用可能なオーディエンス。これは通常、サービスプロバイダを表すエンティティ名または URL です。
- スキュー時間 (分)-アサーションが有効になる現在の時刻の両側の分数
- アサーションの署名-Citrix ADC IDPがアサーションを送信するときにアサーションの一部に署名するオプション。ユーザーの選択に基づいて、[アサーション] または [応答]、または [両方] または [なし] のいずれかに署名できます。
- 名前 ID 形式-アサーションで送信される名前識別子の形式
- 名前 ID 式-アサーションで送信される NameIdentifier を取得するために評価される式
![SAML プロファイルの作成]()
-
セキュリティ > AAA アプリケーショントラフィック > ポリシー > トラフィック > トラフィックプロファイルに移動し 、[ 追加] をクリックします。
![クリックして、トラフィックプロファイルを追加します。]()
-
[ トラフィックプロファイルの作成 ] ページで、次のフィールドに値を入力し、[ 作成] をクリックします。
- Name-トラフィックアクションの名前。
- AppTimeout (分)-接続が閉じられるまでのユーザーの非アクティブ時間の間隔(分単位)。
- シングルサインオン-[オン] を選択します。
- SAML SSO プロファイル-作成した SAML SSO プロファイルを選択します。
- KCD アカウント-Kerberos 制約付き委任アカウント名
- SSO ユーザー式-SingleSignon のユーザー名を取得するために評価される式
- SSO パスワード式-SingleSignon のパスワードを取得するために評価される式
![トラフィックプロファイルの作成]()
-
セキュリティ > AAA アプリケーショントラフィック > ポリシー > トラフィック > トラフィックポリシーに移動し 、[ 追加] をクリックします。
![クリックして、トラフィックポリシーを追加します。]()
-
[ トラフィックポリシーの作成 ] ページで、次の値を入力し、[ 作成] をクリックします。
- Name — 作成するトラフィックポリシーの名前
- Profile — 作成したトラフィックプロファイルを選択します。
- 式 — ポリシーが特定のリクエストに応答するために使用する高度なポリシー式。たとえば、trueです。
![クリックして、トラフィックポリシーを作成します。]()
-
トラフィックポリシーをトラフィック管理仮想サーバーにバインドするには、仮想サーバーを選択します。
![クリックして仮想サーバーを選択します。]()
-
[ ポリシー] をクリックします。
![[ポリシー] をクリックします]()
-
[ ポリシーの選択 ] フィールドで [ トラフィック ] を選択し、[ タイプの選択] フィールドで [ **要求 ] を選択し** 、[ 続行] をクリックします。
![クリックしてポリシーを追加 (/en-us/citrix-adc/media/saml-9.png)
-
[ポリシーの選択 (Select Policy)] フィールドで、作成したトラフィックをクリックして選択します。
![クリックしてポリシーを選択します]()
-
[Select]をクリックします。
![[選択] をクリックします]()
-
[ バインド ] をクリックして、トラフィックポリシーを仮想サーバーにバインドします。
![トラフィックポリシーをバインドする]()
![SAML SSO プロファイルの [追加] をクリックします。](/en-us/citrix-adc/media/saml-1.png)
![[ポリシー] をクリックします](/en-us/citrix-adc/media/saml-8.png)
![[選択] をクリックします](/en-us/citrix-adc/media/saml-11.png)
