インスタンスレベルでのSAML設定
変更通知を受け取る(購読する)
各ポータルインスタンスは、アイデンティティ・プロバイダー(IdP)またはサービス・プロバイダー(SP)であるSAMLプロバイダーにすることができます。 DXPインスタンスがどのロールを担っていても、同じ場所で設定できます。
-
コントロール パネル → インスタンス設定 → セキュリティ → SSO → SAML プロバイダー設定 に移動します。
-
フォームに入力し、下部にある[更新]をクリックします。
キーストア認証パスワード:キーストア認証パスワードは、キーストアへのアクセスに使用します。
キーストア暗号化認証パスワード:キーストア暗号化認証情報により、キーストアでこのSAMLプロバイダー設定が保護されます。
アサーション署名を必須にする: SAMLメッセージ全体に加えて、SAMLアサーションにIdPによる個別の署名を要求する場合は、このボックスをオンにします。
Authnリクエスト署名を要求する: このボックスをオンにすると、各Authnリクエストに送信元のサービス・プロバイダーによる署名が必要となります。 ほとんどの場合、これは有効になっているはずです。
許容時刻誤差(クロックスキュー): SPとIdPの時差の許容誤差をミリ秒単位で設定します。
デフォルトのアサーション有効時間:IdPアサーションの継続時間を秒単位で定義します。
有効: このSAMLプロバイダーを有効にするには、このボックスをオンにします。
エンティティ ID: この SP または IdP に名前を付けます。
LDAPインポートを有効にする:このボックスをオンにすると、このSPのインスタンス設定で宣言されたLDAPサーバーからユーザー属性をインポートします。
SAML ロール: このプロバイダーのロールを選択してください。 各ポータルインスタンスは、IDプロバイダー(IdP)、サービスプロバイダー(SP)、またはIDブローカーとして構成できます。 同時にアクティブにできる役割は1つだけです。 役割の詳細については、 SAML 管理者 を参照してください。
セッション有効期間: IdPが管理するSSOセッションが継続する時間(秒)です。
セッション・アイドル・タイムアウト: アイドルセッションが期限切れとなるまでの時間(秒)。
Authnリクエストに署名しますか?: SP として設定されている場合、Authn リクエストに電子署名をします。
メタデータに署名しますか?: ピアSAMLエンティティに送信されるメタデータに署名します。
SSLを必須にする: このボックスをオンにすると、すべてのSAMLメッセージの転送にSSLが必要になります。 ピアに送信されるメタデータ内のすべてのURLは、 https プロトコルがプレフィックスとして付くようになります。
ログインポートレットの表示を許可する: ログインリクエストにSAML IdPがマッチしない場合に、ログインポートレットの表示を許可します。 このシナリオのユーザーは、Liferay DXPにローカルでログインします。