システムレベルでのSAMLの設定
ポータルインスタンスで SAML 認証を有効にする前に、システムレベルで構成して、これらのインスタンスで作業するための基礎を作る必要がある。 たとえば、ポータルインスタンスでSAMLを構成しているときに、ファイルシステムからドキュメントライブラリにキーストアを移動しなければならないことに気づくことはないだろう。 これでは、誰もが設定に頭を悩ませることになる。 システムレベルのオプションを先に設定するのがよいでしょう。
キーストアマネージャーのターゲットを選ぶ
-
Liferay DXP に管理者資格でログインし、 コントロールパネル → システム設定 → セキュリティ → SSO → SAML KeyStoreManager 実装設定 .
-
ファイルシステム(デフォルト)または ドキュメントライブラリ のいずれかを選択します。
-
アップデート をクリックします。
必ずどちらかの場所にバックアップの設定をしてください。
SAMLを設定する
デフォルトの設定がお使いのシステムに適切であることを確認します。
-
コントロールパネル → システム設定 → セキュリティ → SSO → SAML 設定 にアクセスしてください。
-
キーストアのパスを設定します。 デフォルトでは、あなたの Liferay Home ディレクトリにあります。 ドキュメントライブラリをキーストアの場所として選択した場合、そのパスは現在のポータルインスタンスの
/saml/keystore.jks
にハードコードされており、ここに何かを入力しても何の効果もありません。 -
キーストアにアクセスするためのパスワードを設定します。
-
その他のオプション(下記参照)を確認し、適宜修正して、 Save をクリックします。
設定できるオプションは様々です。
キーストアタイプ。 キーストアタイプを設定します。 デフォルトは、 jks 、つまりJava Key Storeです。 Java でサポートされている任意のオプション を選択することができます 。
SSO Session Check Interval(SSOセッションのチェック間隔)。 ここに入力した分ごとに、IdPは期限切れのセッションをチェックする必要があります。
ランタイム・メタデータの更新間隔(Runtime Metadata Refresh Interval)。 ここに入力した秒数ごとにピアSAMLエンティティを更新する。
Replay Cache Duration(リプレイキャッシュ期間)。 ここに入力したミリ秒数が経過した時点でIdPメッセージキャッシュエントリーを失効させる。 メッセージをキャッシュすることで、メッセージリプレイ攻撃から保護することができます。
認証要求のチェック間隔。 SP は、期限切れの Authn リクエストがこの時間 (分) に達したときに削除します。
Authn Request Maximum Age: Authn リクエストが有効である時間をミリ秒単位で入力します。
メッセージチェック間隔。 SP は、この分数より古い場合、IdP メッセージキャッシュから期限切れのエントリを削除する必要があります。
Enable Identity Provider Role To Be Configured(アイデンティティプロバイダーロールを設定する)。 このボックスをチェックすると、この Liferay DXP インストール上のポータルインスタンスに IdP ロールを持たせることができます。