SAML メタデータを Unified Access Gateway アプライアンスで生成し、メタデータをサーバと交換して、スマート カード認証に必要な相互信頼を確立する必要があります。

Security Assertion Markup Language (SAML) は、さまざまなセキュリティ ドメイン間で認証情報および権限情報を記述および交換するための XML ベースの標準です。SAML は、ID プロバイダとサービス プロバイダ間において、SAML アサーションと呼ばれる XML ドキュメントでユーザーに関する情報の受け渡しを行います。このシナリオでは、Unified Access Gateway が ID プロバイダでサーバがサービス プロバイダです。

前提条件

  • アプライアンスの時刻が正確になるように、Unified Access Gateway アプライアンスの時計 (UTC) を構成します。たとえば、Unified Access Gateway 仮想マシンでコンソール ウィンドウを開き、矢印ボタンを使用して正しいタイム ゾーンを選択します。また、ESXi ホストの時刻が NTP サーバと同期されていることを確認し、アプライアンス仮想マシンで実行されている VMware Tools が仮想マシンの時刻を ESXi ホストの時刻と同期することを確認します。
    重要: Unified Access Gateway アプライアンスの時計がサーバ ホストの時計と一致していないと、スマート カード認証が機能しない可能性があります。
  • Unified Access Gateway のメタデータに署名するために使用できる SAML 署名証明書を取得します。
    注: セットアップに複数の Unified Access Gateway アプライアンスがある場合、特定の SAML 署名証明書を作成して使用することを推奨します。この場合、すべてのアプライアンスを同じ署名証明書で構成し、サーバが任意の Unified Access Gateway アプライアンスからアサーションを受け入れるようにする必要があります。1 つの SAML 署名証明書を使用する場合、すべてのアプライアンスからの SAML メタデータが同じになります。
  • まだそのようにしていない場合、SAML 署名証明書を PEM 形式のファイルに変換し、.pem ファイルを 1 行形式に変換します。証明書ファイルの 1 行 PEM 形式への変換を参照してください。

手順

  1. 管理ユーザー インターフェイスの [手動構成] セクションで、[選択] をクリックします。
  2. [詳細設定] セクションで、[SAML 設定] ギア アイコンをクリックします。
  3. [SAML ID プロバイダ設定] セクションをクリックします。
  4. [証明書の提供] を選択します。
  5. プライベート キー ファイルを追加するには、[選択] をクリックして、証明書のプライベート キー ファイルを見つけます。
  6. 証明書チェーン ファイルを追加するには、[選択] をクリックして、証明書チェーン ファイルを見つけます。
  7. [保存] をクリックします。
  8. [ホスト名] テキスト ボックスに、ホスト名を入力します。
  9. (オプション)[ホスト ベースの発行者を有効にする] トグルをオンにして、ダウンロードした IDP メタデータの発行者ホストとして手順 8 で指定した [ホスト名] を使用します。このトグルをオフにすると、[AP.LOCAL] のデフォルト値が発行者ホストとして使用されます。
  10. [ダウンロード] をクリックして、ID プロバイダ設定メタデータを生成します。
    ID プロバイダ設定メタデータが提供されます。

次のタスク

他のサービス プロバイダによって使用される SAML 認証子の作成」と「 サービス プロバイダ SAML メタデータのコピー」を参照してください。