SAML ID プロバイダと Sametime Community Server 間の SSO の有効化

このタスクについて

Sametime® コミュニティー・サーバーでは、Security Assertion Markup Language (SAML) シングル・サインオンがサポートされています。この機能が有効になっていると、Community Server では、SAML ID プロバイダ (idP) が生成した SAML アサーションを検証することができます。これにより、クライアントは idP に対してパスワードによる認証を行って SAML アサーションを受信できるようになり、パスワードを再入力しなくても、そのアサーションを使用して Sametime にログインすることができます。Community Server では、SAML トークンと LTPA (Lightweight Third-Party Authentication) トークンのいずれも検証できますが、生成できるのは LTPA トークンだけです。

手順

  1. Sametime.ini ファイルを更新します。
  2. Sametime コミュニティー・サーバーにリモート接続します。
  3. テキスト・エディターで sametime.ini ファイルを開きます。
  4. 以下の例に示すように、ST_AUTH_TOKEN 設定を追加または変更して SAML 認証がサポートされるようにします。
  5. ST_AUTH_TOKEN=Fork:Saml,Notes。
  6. sametime.ini ファイルを保存して閉じます。

SAML 署名の検証用に証明書のトラスト・ストアを設定する

Sametime コミュニティー・サーバーでは、SAML アサーションの署名が検証されます。SAML ID プロバイダー (IdP) では、アサーションの署名に秘密鍵を使用しますが、 コミュニティー・サーバーでの署名の検証に必要になるのは、対応する公開鍵だけです。検証は、 トラスト・ストア内の署名者証明書のリストに idP の公開証明書を追加することにより行われます。

トラスト・ストアは、P12 ファイル (PKCS#12)、JKS (Java™ 鍵ストア) のいずれでもかまいません。証明書ストアファイルは、既存のものを使用することも、新規に作成することも可能です。

トラスト・ストアを作成したら、 構成にトラスト・ストア・ファイルとパスワードを指定します。Sametime の他の領域を保護する場合は、同じ鍵ストアとトラスト・ストアをグローバル・スコープで使用できます。同じトラスト・ストアを使用する予定の場合は、「グローバル TLS スコープを実装する」のトピックを確認して完了してください。

SAML 専用のトラスト・ストアを実装するには、 sametime.ini 設定で STSAML_pre-fix を使用します。これらの設定は、 sametime.ini の [Config] セクションに表示されます。

STSAML_TRUST_STORE_FILE=トラスト・ストア・ファイル

STSAML_TRUST_STORE_TYPE=トラスト・ストア・タイプ

STSAML_TRUST_STORE_PASSWORD=トラスト・ストアのパスワード

STSAML_TRUST_STORE_PASSWORD_STASH_FILE=トラスト・ストアのパスワードの stash ファイル

暗号化された SAML アサーションのデコーディング用に証明書のトラスト・ストアを設定する

SAML 2.0 は、オプション機能として暗号化アサーションをサポートします。IdP がアサーションを暗号化していない場合、このステップは不要です。

Sametime コミュニティー・サーバーでは、アサーションを検証するために、暗号化された要素を暗号化解除する必要があります。この暗号化は、2 つの関連する鍵 (秘密鍵と公開鍵) を使用する、非対称暗号方式に基づいています。公開鍵と秘密鍵。IdP では通常、暗号化に公開鍵が使用され、 サーバーでは暗号化解除に秘密鍵が使用されます。

秘密鍵を使用して Sametime コミュニティー・サーバーを構成し、IdP は対応する公開鍵を暗号化に使用する必要があります。

鍵ストアの設定は、前述の「SAML 署名の検証用に証明書のトラスト・ストアを設定する」の説明に従ってトラスト・ストアを設定するのと似ています。トラストストアと鍵ストアの違いは、トラストストアは署名の検証に使用されるので秘密鍵が必要ないのに対し、鍵ストアは要素の暗号化解除に使用されるので秘密鍵を含んでいる必要があるという点です。鍵ストアの個人証明書で秘密鍵証明書を追加して、秘密鍵を指定します。

鍵ストアは、P12 ファイル (PKCS#12) または JKS (Java 鍵ストア) のいずれでもかまいません。証明書ストアファイルは、既存のものを使用することも、新規に作成することも可能です。

TLS と SAML で異なる鍵ストアを使用する計画がある場合は、sametime.ini ファイルの [Config] セクションに以下の SAM 固有の設定を使用して、鍵ストアを指定します。

STSAML_KEY_STORE_FILE=鍵ストア・ファイル

STSAML_KEY_STORE_TYPE=鍵ストア・タイプ

STSAML_KEY_STORE_PASSWORD=鍵ストア・パスワード

STSAML_KEY_STORE_PASSWORD_STASH_FILE=鍵ストア・パスワードの stash ファイル

STSAML_KEY_LABEL=鍵ストアの証明書エイリアス

sametime.ini ファイルを保存して閉じます。