「SAML」と「SAML およびパススルー」認証方法を Horizon で構成するには、ID プロバイダの SAML 証明書メタデータ XML ファイルを UAG (Unified Access Gateway) にアップロードする必要があります。アップロードにより、UAG は ID プロバイダのパブリック キーを使用してアサーションの署名を検証することにより、ID プロバイダを信頼できます。
前提条件
ID プロバイダから SAML メタデータ XML ファイルをダウンロードして、このファイルをアクセス可能なコンピュータに保存しておく必要があります。
手順
- UAG 管理コンソールの [手動構成] セクションで、[選択] をクリックします。
- セクションで、[ID プロバイダ メタデータのアップロード] ギア アイコンをクリックします。
- [エンティティ ID] テキスト ボックスに ID プロバイダのエンティティ ID を入力します。
[エンティティ ID] テキスト ボックスに値を入力しない場合、メタデータ ファイル内の ID プロバイダ名が解析され、ID プロバイダのエンティティ ID として使用されます。
- [IDP メタデータ] セクションで、[選択] をクリックし、メタデータ ファイルを保存した場所を参照します。
- [暗号化証明書タイプ] ドロップダウン メニューから、証明書の形式タイプとして [PEM] を選択します。
注: SAML 認証を検証するために暗号化アサーションを使用する場合は、PEM を選択する必要があります。アサーションの暗号化と復号化には、パブリック キーとプライベート キーの組み合わせが必要です。ID プロバイダはアサーションをパブリック キーで暗号化します。UAG はパブリック キーとプライベート キーの組み合わせでのみアサーションを復号することができるため、セキュリティが強化されます。
- [プライベート キー] では、[選択] をクリックして、PEM 形式で証明書のプライベート キーを保存した場所を参照します。
- [証明書チェーン] では、[選択] をクリックし、PEM 形式で証明書チェーンを保存した場所を参照します。
- [暗号化されていない SAML アサーションを許可] オプションを有効にするには、トグルをオンにします。トグルをオフにすると、SAML 認証中に暗号化されていないアサーションは許可されません。
- [常に SAML 認証を強制する] 機能を有効にするには、トグルをオンにします。トグルをオンにすると、ID プロバイダも SAML 認証を強制するように構成されている場合、この ID プロバイダが使用されると常に SAML 認証ページがユーザーに表示されます。
注:
[常に SAML 認証を強制する] 機能を有効にすると、
SAML ForceAuthn="true"
が IdP に対する AuthnRequest の属性として設定されます。IdP には、ユーザーの認証中に以前のセキュリティ コンテキストを無視するように通知されます。
- [保存] をクリックします。
「
設定が正常に保存されました」というメッセージが表示されます。
UAG には、アップロードされた IDP メタデータ証明書の詳細が表示されます。
未使用の IDP メタデータは削除できます。
次のタスク
UAG で Horizon の構成を行って、認証方法を選択し、必要な ID プロバイダを選択します。