IBM Marketing Platform | セキュリティー | ログイン方法の詳細 | SAML 2.0
このカテゴリーのプロパティーは、SAML 2.0 IdP サーバーによるシングル・サインオンを構成します。
シングル・サインインの IdP サーバー URL
- 説明
- ユーザーが IBM® Marketing Software へのシングル・サインオン URL を開いたときに表示されるページの URL です。
- デフォルト値
- [CHANGE ME]
シングル・サインアウトの IdP サーバー URL
- 説明
- オプションです。ユーザーがログアウトした場合に、ここで設定したページにユーザーをリダイレクトして、IdP サーバーからもログアウトさせることができます。IdP サーバーが、この目的のための URL を渡す場合もあります。
- デフォルト値
- [CHANGE ME]
SSO エラーのエラー・ページ URL
- 説明
- 構成または統合に関する問題のためにシングル・サインオン中にエラーが発生した場合に、ユーザーを、ここで指定したページにリダイレクトすることができます。この設定は、Marketing Platform に用意されているデフォルトのエラー・ページをオーバーライドします。
- デフォルト値
- [CHANGE ME]
宛先 URL
- 説明
- IdP サーバーで認証に成功した場合にユーザーをリダイレクトするサービス・プロバイダー (アプリケーション) の URL。この URL は、すべての SAML 要求の <AuthnRequest Destination> タグの下に現れます。
- デフォルト値
- [CHANGE ME]
コンシューマー・サービス URL
- 説明
- SAML アサーションでサービス・プロバイダー (アプリケーション) が使用および構文解析する Assertion Consumer Service URL。この URL は、すべての SAML 要求の <AuthnRequest AssertionConsumerServiceURL> タグの下に現れます。この値は、「宛先 URL」プロパティーと同じ値にすることができます。
- デフォルト値
- [CHANGE ME]
アプリケーション ID
- 説明
- IdP サーバーの Marketing Platform に割り当てられたアプリケーション ID。この ID は、IdP サーバーへのすべての SAML 要求に組み込まれます。この ID は、すべての SAML 要求の <Issuer> タグの下に現れます。
- デフォルト値
- [CHANGE ME]
サービス・プロバイダーの名前修飾子
- 説明
- サービス・プロバイダーの名前修飾子。この名前修飾子は、すべての SAML 要求の <NameIDPolicy SPNameQualifier> タグの下に現れます。
- デフォルト値
- [CHANGE ME]
メタデータ・パス
- 説明
- Marketing Platform サーバー上のメタデータ・ファイルの場所。
- デフォルト値
- [CHANGE ME]
エンティティー ID
- 説明
- IdP サーバーのエンティティー ID。このプロパティーには、IdP サーバーによって生成されたメタデータ・ファイルの最初の XML 宣言に含まれている entityID の値を設定してください。
Marketing Platform は、アサーション検証時に、この ID を使用して IdP 構成とデジタル証明書をロードします。
- デフォルト値
- [CHANGE ME]
応答構文解析の属性 NVP
- 説明
- IdP サーバーは、ユーザー・アカウント属性を Marketing Platform に送信します。「認証されたユーザーを Marketing Platform に追加する」プロパティーを有効にした場合は、この構成プロパティーを使用して、Marketing Platform に自動作成されるユーザーの属性を取り込むことができます。
IdP サーバーで使用されている属性名は、Marketing Platform で使用されているものとは異なる場合があります。このプロパティーを使用すると、IdP の属性を Marketing Platform の対応する属性にマップできます。これにより、コードを変更する必要がなくなります。
例えば、Marketing Platform の Email という属性に対して、IdP サーバーでは emailAddress という名前が使用されている場合があります。この属性をマップするには、このプロパティーの値として Email=emailAddress と入力します。
Marketing Platform では、ユーザー属性に以下の値を使用します。
- FirstName
- LastName
- 部門
- Organization
- 国
- E メール
- Address1
- Address2
- Phone1
職場の電話に使用します。
- Phone2
携帯電話に使用します。
- Phone3
自宅の電話に使用します。
- AltLogin
- ExternalUsersGroup
「認証されたユーザーを Marketing Platform に追加する」プロパティーを有効にすると、IdP サーバーから認証されたユーザーの Marketing Platform アカウントがまだ存在しない場合に、そのユーザーが Marketing Platform に作成されます。それらのユーザーは、デフォルトのユーザー・グループ ExternalUsersGroup に自動的に追加されます。ただし、ユーザーを追加するカスタム・グループを指定することもできます。このオプションを実装する場合は、「ExternalUsersGroup」属性の値にカスタム・ユーザー・グループの名前を設定します。例えば、MyGroup というグループにユーザーを追加する場合は、この値に ExternalUserGroup=MyGroup を設定します。
複数の名前と値のペアは、セミコロンで区切ります。
- デフォルト値
- omit-xml-declaration=yes;
暗号化 IdP 応答の処理
- 説明
- 暗号化されたレスポンスを送信するように IdP サーバーが構成されている場合は、このプロパティーを有効にして、IdP サーバーからの SAML レスポンスを Marketing Platform で処理する前に、構成されている共有鍵を使用して暗号化解除する必要があることを示します。
このプロパティーを有効にする場合は、「共有秘密鍵 」の値に、レスポンスの暗号化解除に使用する秘密鍵を設定する必要もあります。
- デフォルト値
- 無効
鍵ストア資格情報ホルダー (Key store credential holder)
- 説明
- この値には、データ・ソースに SAML 共有秘密鍵を保持している IBM Marketing Software ユーザー・アカウントのログイン名を設定します。
- デフォルト値
- [CHANGE ME]
鍵ストア資格情報データ・ソース (Key store credential data source)
- 説明
- この値には、暗号化解除のために使用する共有秘密鍵を保持するために作成されたデータ・ソースの名前を設定します。データ・ソースのパスワードは、鍵ストア・ファイルのパスワードです。
- デフォルト値
- [CHANGE ME]
証明書別名
- 説明
- 「暗号化された IdP レスポンスの処理」オプションを有効にする場合は、このプロパティー値に、鍵ストア・ファイルに保管されている秘密鍵の証明書別名を設定します。これが、IDP サーバーから送信された、暗号化された SAML レスポンスを暗号化解除するときに使用されます。
- デフォルト値
- [CHANGE ME]
認証済みユーザーの Marketing Platform への追加
- 説明
- このオプションを有効にすると、IdP サーバーから認証されたユーザーの Marketing Platform アカウントがまだ存在しない場合に、そのユーザーが Marketing Platform に作成されます。
新たに作成されたユーザーは、デフォルトのグループ ExternalUsersGroup に自動的に追加されます。
ExternalUsersGroup には Marketing Platform UserRole しかありません。新たに作成されたユーザーが IBM Marketing Software 製品にアクセスして使用するためには、管理者が追加の権限を付与する必要があります。管理者は、さまざまなアプリケーション・アクセス・レベルのグループにユーザーをメンバーとして追加することで、追加の権限を付与できます。
あるいは、SAML レスポンスにカスタム・ユーザー・グループ名を含めることもできます。そうすると、新たに作成されたユーザーはそのグループに追加されます。
このオプションが無効になっていると、 IdP サーバーから認証されたユーザーのアカウントが Marketing Platform に存在しない場合、そのユーザーは Marketing Platform にアクセスできません。
- デフォルト値
無効
SSO にリダイレクト
- 説明
- この値が True になっている場合:
- IBM Marketing Software にログインするユーザーは、IdP シングル・サインオン・ページにリダイレクトされます。
- ユーザーがログインすると、通常の Marketing Platform ランディング・ページに移動します。
- 通常の Marketing Platform ログイン画面は使用できなくなります。