SAML 認証に関連した構成設定

このタスクについて

SAML 認証には、以下のオプションの構成設定を使用します。

sametime.ini ファイルの設定や変更の際に Sametime® サーバーが実行されている場合、その設定が有効になるのは Sametime サーバーの再起動後です。

FIPS 140-2 準拠

デフォルトの Sametime 構成は、FIPS 140-2 準拠ではありません。ご使用の Sametime デプロイメントで FIPS 140-2 準拠が必要な場合は、「サーバーアプリケーション接続」列で、TLS 構成の「FIPS 140-2 準拠」を「はい」に設定します。これは、TLS と SAML の両方に反映されます。TLS 構成の設定の適用の詳細については、「グローバル TLS スコープを実装する」のトピックを参照してください。

セキュリティのレベル

デフォルトの構成では、暗号アルゴリズムの使用と証明書の強度に関する制限はありません。強力な暗号化が必要な場合は、[サーバーアプリケーション接続] 列で、TLS 構成の [最小セキュリティレベル] 設定を変更してください。これは、TLS と SAML の両方に反映されます。TLS 構成の設定の適用の詳細については、「グローバル TLS スコープを実装する」のトピックを参照してください。

代わりに、sametime.ini ファイルの [Config] セクションに、以下の SAML 固有の設定を使用して、SAML に特定の値を設定することができます。

STSAML_SECURITY_LEVEL=numeric value between 0 and 4, inclusive

値 0 は、暗号アルゴリズムや証明書の強度に制限がないことを意味します。この値が大きくなるほど、セキュリティレベルの強制は強くなります。SAML の署名検証に、最小セキュリティレベルに準拠しない弱い暗号化が含まれている場合、セキュリティ強度が 0 より大きくなると SAML 検証が失敗する原因となります。使用可能なセキュリティー・レベルのリストについては、「グローバル TLS スコープを実装する 」を参照してください。

信頼された対象者

SAML ID プロバイダー (IdP) は任意で、限定された一連の対象者に対してアサーションを行う場合があります。この情報は、SAML 標準に従ってアサーション要素に組み込まれており、通常は、信頼された対象者を識別する 1 つ以上の URL を含んでいます。デフォルトでは、 Sametime はこの情報を無視して、 コミュニティー・サーバーが指定された対象者のメンバーであるか否かにかかわらず、アサーションを検証します。構成内に信頼された対象者の設定が存在し、アサーションに信頼された対象者の条件が含まれている場合、Community Server はアサーション対象者の条件と信頼された対象者の設定を突き合わせて、一致がない場合、検証は失敗します。信頼された対象者は、以下のように sametime.ini ファイルの [Config] セクションで設定されます。

STSAML_TRUSTED_AUDIENCES=trusted-audiences

この設定の値は、1 つ以上のホスト名のコンマ区切りのリストです。アサーション条件内の各対象者と構成内の信頼された各対象者との突き合わせが行われます。条件に合格するためには、一致が少なくとも 1 つ必要です。対象者の突き合わせは、対象者 URL のホスト部分を構成内のホスト名と比較することにより行われます。ストリングが等しい (大/小文字の区別は無視されます) 場合は、一致が存在しています。ワイルドカードドメインコンポーネントを表すアスタリスク文字 (「*」)を使用して、信頼された対象者のストリングをワイルドカードドメインコンポーネントで設定することができます。例えば、次の設定ではアスタリスクが使用されています。 

STSAML_TRUSTED_AUDIENCES=*.example.com

SAML アサーションに次の対象者の条件があるとします。

<saml:Audience>https://sametime.example.com/saml/<saml:Audience>

この構成と、対象者の条件の場合、「sametime.example.com」が「*.example.com」に一致するため、突き合わせに合格します。別の例では、「sametime.example.com」は「"*.com」に一致しません。これは、ドメインコンポーネントの数が異なるためです (sametime.example.com に 3 つのコンポーネントが含まれているのに対し、*.com contains には 2 つしか含まれていません)。

応答署名の検証

SAML 認証トークンには SAML 応答要素が含まれており、この要素の中には子のアサーション要素が含まれています。SAML 標準によれば、どちらの要素にも署名できます。ベースとなるアサーションに有効な署名がある場合、デフォルトの Sametime 構成には、有効な応答署名は必要ありません。sametime.ini ファイルの [Config] セクションに次のフラグを設定すると、ベースとなるアサーション署名にかかわらず、有効な応答署名を要求するように、 Sametime コミュニティー・サーバーを変更できます。

STSAML_REQUIRE_SIGNED_RESPONSE=1