「SAML」と「SAML およびパススルー」認証方法を Horizon で構成するには、ID プロバイダの SAML 証明書メタデータ XML ファイルを UAG (Unified Access Gateway) にアップロードする必要があります。アップロードにより、UAG は ID プロバイダのパブリック キーを使用してアサーションの署名を検証することにより、ID プロバイダを信頼できます。

前提条件

ID プロバイダから SAML メタデータ XML ファイルをダウンロードして、このファイルをアクセス可能なコンピュータに保存しておく必要があります。

手順

  1. UAG 管理コンソールの [手動構成] セクションで、[選択] をクリックします。
  2. [詳細設定] > [ID ブリッジの設定] セクションで、[ID プロバイダ メタデータのアップロード] ギア アイコンをクリックします。
  3. [エンティティ ID] テキスト ボックスに ID プロバイダのエンティティ ID を入力します。
    [エンティティ ID] テキスト ボックスに値を入力しない場合、メタデータ ファイル内の ID プロバイダ名が解析され、ID プロバイダのエンティティ ID として使用されます。
  4. [IDP メタデータ] セクションで、[選択] をクリックし、メタデータ ファイルを保存した場所を参照します。
  5. [暗号化証明書タイプ] ドロップダウン メニューから、証明書の形式タイプとして [PEM] を選択します。
    注: SAML 認証を検証するために暗号化アサーションを使用する場合は、PEM を選択する必要があります。アサーションの暗号化と復号化には、パブリック キーとプライベート キーの組み合わせが必要です。ID プロバイダはアサーションをパブリック キーで暗号化します。UAG はパブリック キーとプライベート キーの組み合わせでのみアサーションを復号することができるため、セキュリティが強化されます。
  6. [プライベート キー] では、[選択] をクリックして、PEM 形式で証明書のプライベート キーを保存した場所を参照します。
  7. [証明書チェーン] では、[選択] をクリックし、PEM 形式で証明書チェーンを保存した場所を参照します。
  8. [暗号化されていない SAML アサーションを許可] オプションを有効にするには、トグルをオンにします。トグルをオフにすると、SAML 認証中に暗号化されていないアサーションは許可されません。
  9. [常に SAML 認証を強制する] 機能を有効にするには、トグルをオンにします。トグルをオンにすると、ID プロバイダも SAML 認証を強制するように構成されている場合、この ID プロバイダが使用されると常に SAML 認証ページがユーザーに表示されます。
    注: [常に SAML 認証を強制する] 機能を有効にすると、 SAML ForceAuthn="true" が IdP に対する AuthnRequest の属性として設定されます。IdP には、ユーザーの認証中に以前のセキュリティ コンテキストを無視するように通知されます。
  10. [保存] をクリックします。
    設定が正常に保存されました」というメッセージが表示されます。

    UAG には、アップロードされた IDP メタデータ証明書の詳細が表示されます。

    未使用の IDP メタデータは削除できます。

次のタスク

UAG で Horizon の構成を行って、認証方法を選択し、必要な ID プロバイダを選択します。