この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Security Assertion Markup Language(SAML)は、当事者間で認証および承認の情報データを交換するための XML ベースのオープン標準のデータ形式です。Prime Service Catalog には SAML が実装されているため、Prime Service Catalog と統合するその他のアプリケーションは、認証を提供して IDP からユーザ プロファイル情報をインポートする手段として SAML を使用できます。
(注) Prime Service Catalog では、ログイン時にユーザ認証を行う IDP 接続を 1 つのみサポートしています。
SAML シングル サインオンを実装するということは、サインイン プロセスとユーザ認証が完全に Prime Service Catalog の外部で処理されることを意味します。Prime Service Catalog は、SAML を IDP に対する認証を安全に行うための手段として使用します。承認は、Prime Service Catalog によって提供されます。システムに SAML が設定されている場合、ユーザはまず、IDP に対する認証を行う必要があります。正常に認証されると、ユーザは Prime Service Catalog にインポートされます。ユーザが存在せず、PSC にリダイレクトされた場合、そのユーザは、有効な権限があり、IDP が正しく設定されている場合のみ、アクセス権を付与されます。ユーザ セッションは、同一のブラウザ上で維持されます。
ログアウト動作は、newscale.properties ファイルで行う saml.enable.globalLogout プロパティの設定によって異なります。SAML 設定のためのプロパティを参照してください。
デフォルトでは、グローバル ログアウトは有効になっています。この場合、ユーザが Prime Service Catalog の 1 つのインスタンスからログアウトすると、そのユーザは、同じブラウザ上の他のインスタンスからもログアウトされます。
グローバル ログアウトが無効化されている場合、ユーザが Prime Service Catalog または Prime Service Catalog と統合されている他のアプリケーションからログアウトすると、SAML は、その特定のアプリケーションからのみユーザをログアウトします。これは、ローカル ログアウトと呼ばれます。
次のテーブルは、同じブラウザ上の 2 つの SP にグローバル ログアウトが設定されている場合のさまざまなログアウト動作を説明します。ここで、SP1 と SP2 は、2 つの Prime Service Catalog インスタンスです。
|
|
|
|
---|---|---|---|
SAML を有効にすると、すべてのユーザ管理および認証は、Prime Service Catalog の外部で処理されます。ただし、Prime Service Catalog の外部で行われた変更は、Prime Service Catalog に即時に同期されます。IDP に対して認証が最初に試行されたとき、およびユーザが Prime Service Catalog にログインするたびに、ユーザ情報がインポートされ、SAML がユーザ データを更新して IDP から Prime Service Catalog への同期を実行します。システムからユーザを削除すると、そのユーザは Prime Service Catalog にサインインできなくなります(ただし、そのアカウントは Prime Service Catalog 内に存続します)。
LDAP とは異なり、SAML は個人検索をサポートしていません。ただし、IDP でユーザ管理に LDAP が使用されている場合は、ユーザに対するすべての変更が Prime Service Catalog のデータベースに同期されます。管理者が個人検索 OOB、代理承認者、個人検索サービス フォーム、および個人インポート イベント用に LDAP 接続を設定するには、その接続のクレデンシャルが必要です。
次の表では、お使いのシステムに SAML を設定するための newscale.properties での設定を説明します。
|
|
---|---|
ループ バック アドレス(127.0.0.1 または localhost)ではないことを確認してください。LB またはリバース プロキシを使用する場合、公開されているエンドポイントの IP アドレスまたはドメイン名になります。 |
|
true に設定すると、ポートは、SP と IDP の間での SAML での交信の際に要求/応答を検証するために使用されます。 |
|
証明書検証の設定を指定します。詳細については、SAML 証明書の検証の設定を参照してください。 |
この項では、SAML 証明書の検証を設定する際に Prime Service Catalog で可能な SAML 証明書の検証の設定について説明します。
SAML 仕様では、メッセージを受信する際にはメッセージがデジタル署名されている必要があります。SAML では、署名は常に必要です。SAML 証明書を検証するには、次のプロパティを設定します。
true に設定すると、ルート証明書のみが許可されます。デフォルトは false です。 ![]() (注 |
|
---|---|
SAML の設定と、IDP の Prime Service Catalog へのマッピングの設定の詳細については、『 Cisco Prime Service Catalog Administration and Operation Guide 』の「SAML Configuration 」の項を参照してください。
SAML nsAPI にアクセスできるのは、サイト管理者および SAML 設定が可能なユーザのみです。SAML の設定および IDP マッピング に対する nsAPI 認証には、SAML が有効な場合でも、RC DB を使用します。したがって、ユーザは、RC DB のクレデンシャルを使用する必要があります。
エラー応答メッセージについては、「REST/Web サービスのエラー メッセージ」の表および「エラー メッセージ」を参照してください。