Configuring SAML at the System Level
ポータル インスタンスで SAML 認証を有効にできるようにする前に、それらのインスタンスが動作するための基盤となるようにシステム レベルで SAML 認証を構成する必要があります。 たとえば、ポータル インスタンスで SAML を構成した後で、キー ストアをファイル システムからドキュメント ライブラリに移動する必要があることに気付くことは望ましくありません。 これにより、誰にとっても設定上の頭痛の種となります。 最初にシステム レベルのオプションを構成することをお勧めします。
キーストアマネージャーターゲットを選択する
-
管理者の資格情報を使用してLiferay DXPにログインし、 コントロールパネル → システム設定 → セキュリティ → SSO → SAML KeyStoreManager実装構成に移動します。
-
ファイル システム (既定値) または ドキュメント ライブラリのいずれかを選択します。
-
更新をクリックします。
どちらの場所にも必ずバックアップを設定してください。
SAMLを構成する
デフォルト構成がシステムに適切であることを確認します。
-
コントロール パネル → システム設定 → セキュリティ → SSO → SAML 構成に移動します。
-
キーストアのパスを設定します。 デフォルトでは、 Liferay Home ディレクトリにあります。 キー ストアの場所としてドキュメント ライブラリを選択した場合、そのパスは現在のポータル インスタンスの
/saml/keystore.jksにハードコードされており、ここに何かを入力しても効果はありません。 -
キーストアにアクセスするためのパスワードを設定します。
-
他のオプション(下記参照)を確認し、それに応じて変更して、 [保存]をクリックします。
設定できるオプションはさまざまです。
キーストアの種類: キーストアの種類を設定します。 デフォルトは jks、つまり Java キーストアです。 Javaでサポートされている任意のオプション を選択できます。
SSO セッション チェック間隔: IdP は、ここで入力した 1 分ごとに期限切れのセッションをチェックする必要があります。
ランタイムメタデータ更新間隔: ここで入力した秒ごとにピア SAML エンティティを更新します。
再生キャッシュ期間: ここで入力したミリ秒数が経過すると、IdP メッセージ キャッシュ エントリが期限切れになります。 メッセージをキャッシュすると、メッセージ リプレイ攻撃から保護されます。
認証要求チェック間隔: SP は、期限切れの認証要求がこの時間 (分) に達すると削除します。
認証リクエストの最大有効期間: 認証リクエストが有効であるべき時間をミリ秒単位で入力します。
メッセージ チェック間隔: SP は、この分数より古い期限切れのエントリを IdP メッセージ キャッシュから削除する必要があります。
アイデンティティプロバイダのロールの設定を有効にする: このボックスをチェックすると、この Liferay DXP インストール上のポータルインスタンスに IdP ロールを許可します。