Configuring SAML at the System Level
変更通知を受け取る(購読する)
ポータルインスタンスがSAML認証を有効にすることを許可する前に、システムレベルでSAML認証を設定し、それらのインスタンスが動作するための基盤を構築する必要があります。 例えば、ポータルインスタンスでSAMLを設定した後に、キーストアをファイルシステムからドキュメントライブラリに移動する必要があることが判明するような事態は避けたいでしょう。 これは誰にとっても設定上の大きな問題となる。 まずはシステムレベルのオプションを設定しておく方が良いでしょう。
キーストアマネージャーをお選びください ターゲット
-
管理者資格情報を使用して Liferay DXP にログインし、 コントロール パネル → システム設定 → セキュリティ → SSO → SAML KeyStoreManager 実装構成 に移動します。
-
ファイルシステム(デフォルト)またはドキュメントライブラリのいずれかを選択します。
-
をクリックして を更新します。
どちらの場所にもバックアップを設定しておくようにしてください。
SAMLの設定
デフォルト設定がシステムに適していることを確認してください。
-
コントロール パネル → システム設定 → セキュリティ → SSO → SAML 設定 に移動します。
-
キーストアのパスを設定してください。 デフォルトでは、 Liferay Home ディレクトリにあります。 キー ストアの場所としてドキュメント ライブラリを選択した場合、現在のポータル インスタンスではパスが
/saml/keystore.jksにハードコードされているため、ここに何かを入力しても効果はありません。 -
キーストアにアクセスするためのパスワードを設定してください。
-
その他のオプションを確認し(下記参照)、必要に応じて変更して、 保存 をクリックします。
設定できるオプションはいくつかあります。
キーストアタイプ: キーストアタイプを設定します。 デフォルトは jks、つまり Java キー ストアです。 Java でサポートされているオプション のいずれかを選択できます。
SSOセッションチェック間隔: IdPは、ここに入力した1分ごとに期限切れのセッションをチェックする必要があります。
ランタイムメタデータ更新間隔: ここに入力した秒数ごとにピアSAMLエンティティを更新します。
リプレイキャッシュ期間: ここに入力したミリ秒数が経過すると、IdP メッセージキャッシュエントリが期限切れになります。 メッセージをキャッシュすることで、メッセージ再生攻撃から保護されます。
認証リクエストチェック間隔: SP は、この時間 (分) に達した期限切れの認証リクエストを削除します。
認証リクエストの最大有効期間: 認証リクエストが有効であるべき時間をミリ秒単位で入力します。
メッセージチェック間隔: SP は、この分数よりも古い期限切れのエントリを IdP メッセージ キャッシュから削除する必要があります。
設定可能なIDプロバイダーロールを有効にする: このボックスをオンにすると、このLiferay DXPインストールのポータルインスタンスにIdPロールを持たせることができます。