サービスプロバイダのプロパティの設定

[Service Provider Properties (SAML only) (サービスプロバイダのプロパティ (SAML のみ))] ページを使用すると、SAML サービスプロバイダのメタデータファイル (Metadata.xml) に属性フィールドを入力および設定することができます。[Service Provider Properties (SAML only) (サービスプロバイダのプロパティ (SAML のみ))] リンクは、[SETTINGS (設定)] > [Security Policies (セキュリティポリシー)] > [User Auth (ユーザー認証)] > [Single Sign-on (シングルサインオン)] ページにあります。

図 1. SAML サービスプロバイダのプロパティ設定ページ (開くリンクがハイライトされています)

このセクションでは、WebUI の [Service Provider Properties (サービスプロバイダのプロパティ)] ページを使用して、SAML/Metadata.xml に入力する方法について説明し、以下の内容についても説明します。

  • 署名証明書の作成
  • 暗号化証明書の作成
  • 適切なアサーションコンシューマインターフェイスの設定
  • 適切なシングルログアウトインターフェイスの設定
図 2. サービスプロバイダのプロパティ (SAML のみ) ページ

署名証明書の作成

MOVEit サーバー (サービスプロバイダ) は ID プロバイダに要求を送信します。署名証明書の秘密部分により、その要求が MOVEit サーバーからであることが保証されます。ID プロバイダでは、公開部分を使用して署名を検証します。

[Create Certificate (証明書の作成)] をクリックして、[Signing Certificate (署名証明書)] ページを開きます。適切な値を入力し、[Create Certificate (証明書の作成)] をクリックします。必要なのは、コモンネーム (CN) だけです。

新しい証明書がリストに表示されます。

ユーザーはいつでも、既存の証明書を置換または削除するオプションを使用できます。

注: ほとんどのサーバーでは、要求に署名するための署名証明書はサービスプロバイダに必須とされていますが、暗号化証明書はセキュリティのために強く推奨されているにもかかわらずオプションです。

暗号化証明書の作成

ID プロバイダは MOVEit サーバーに「認証アサーション」やその他の応答を送信します。暗号化証明書の公開部分はアサーションの暗号化に使用されます。MOVEit では、秘密部分を使用してアサーションの暗号化を解除します。

[Create Certificate (証明書の作成)] をクリックして、[Encryption Certificate (暗号化証明書)] ページを開きます。適切な値を入力し、[Create Certificate (証明書の作成)] をクリックします。必要なのは、コモンネーム (CN) だけです。

新しい証明書がリストに表示されます。

ユーザーはいつでも、既存の証明書を置換または削除するオプションを使用できます。

適切なアサーションコンシューマインターフェイスの設定

このインターフェイスによって、MOVEit が ID プロバイダからの応答 (ユーザー認証) をどのように受信するかが決まります。複数のインターフェイスを有効にすることができます。その場合、ID プロバイダは、そのバインディングがサポート対象であるリスト内の最初のインターフェイスを使用します。

  • HTTP-Post: HTTP-Post バインディングは、MOVEit が HTTP POST 要求を使用して、クライアントブラウザを通じて ID プロバイダからセキュリティアサーションを受け取ることを意味します。これはアサーションコンシューマインターフェイスで最も頻繁に使用され、最も広くサポートされているバインディングです。これはデフォルトで有効になっています。
  • HTTP-Artifact: HTTP-Artifact バインディングは、MOVEit が HTTP GET 要求を使用して、クライアントブラウザを通じて ID プロバイダから、アサーションそのものではなくセキュリティアサーションへの参照 (この参照を「アーチファクト」と呼びます) を受け取ることを意味します。MOVEit は SOAP によって ID プロバイダと直接やり取りし、受け取ったアーチファクトを使用して実際のアサーションを要求します。

    HTTP-Post は、より広くサポートされており、ほとんどの状況に十分対応できますが、HTTP-Artifact に比べて安全性に欠けます。それは、アサーションデータがクライアントブラウザを通過することで、クライアントへの表示が適切でない可能性のあるデータにブラウザからアクセスできるためです。これは暗号化証明書を使用することで補うことができますが、ID プロバイダが応答メッセージの暗号化をサポートしている場合に限ります。

    HTTP-Artifact は、アサーションデータがクライアントブラウザを決して通過せず、参照の「アーチファクト」だけが通過するため、安全性が高くなります。ただし、あまり広くサポートされておらず、MOVEit と ID プロバイダが直接接続する必要があるため、一部のファイアウォールルールによって DMZ ネットワークセグメントからは許可されない場合があります。

適切なシングルログアウトインターフェイスを設定します。

このインターフェイスでは、ID プロバイダがログアウトの応答または要求を MOVEit に送信する方法を指定します。複数のインターフェイスを有効にすることができます。その場合、ID プロバイダは、そのバインディングがサポート対象であるリスト内の最初のインターフェイスを使用します。

注: Shibboleth はシングルログアウトを十分にサポートしていないため、Shibboleth を使用したシングルログアウトは推奨されません。Shibboleth ID プロバイダでは、デフォルトで有効になっていないため、MOVEit の管理者インターフェイスにログアウト機能は表示されません。ID プロバイダで有効になっている場合は、すべてのシングルログアウトインターフェイスの [Enabled (有効)] オプションをオフにして無効にすることをお勧めします。
  • HTTP-Post: HTTP-Post バインディングは、MOVEit が HTTP POST 要求を使用して、クライアントブラウザを通じて ID プロバイダからログアウトの要求または応答を受け取ることを意味します。これはデフォルトで有効になっています。
  • HTTP-Redirect: HTTP-Redirect バインディングは、MOVEit が HTTP GET 要求を使用して、クライアントブラウザを通じて ID プロバイダからログアウトの要求または応答を受け取ることを意味します。

ID プロバイダへのサービスプロバイダのメタデータファイルの提供

サービスプロバイダのメタデータファイルは、MOVEit サーバー組織をサービスプロバイダとして設定します。ID プロバイダは、サービスプロバイダメタデータ URL によりこのファイルにアクセスできます。

ID プロバイダを設定する際に、この URL を ID プロバイダに直接指定できます。これには、ID プロバイダがインターネット経由で MOVEit サーバーに直接アクセスできる必要があります。それ以外の場合は、ファイルをダウンロードし、そのファイルを ID プロバイダにアップロードすることができます。

注: このメタデータファイルは、証明書、アサーションコンシューマインターフェイス、またはシングルログアウトインターフェイスの設定を変更すると更新されます。ID プロバイダが新しいファイルで更新されていることを確認してください。