他社連携時は、認証サーバ間連携時に行うカスタマイズと同様に、IdP側から通知されたユーザ情報をカスタマイズすることができます。
カスタマイズ方法の詳細については、認証サーバ間連携の“7.4.1 ユーザ情報のカスタマイズ”を参照してください。
また、SP側の認証サーバを構築するマシンのInterstage管理コンソールを使用して、以下の手順で、ユーザ情報のカスタマイズを有効にする設定を行ってください。
[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブを選択してください。
[認証サーバ間連携サービス詳細設定[表示]]をクリックしてください。
[相手シングル・サインオンシステムの情報]の[相手シングル・サインオンシステムの設定]で、ユーザ情報をカスタマイズする相手シングル・サインオンシステムの[相手システムと送受信するユーザ情報]の[変換する]をチェックしてください。
なお、変換前のユーザ情報は、以下の値となります。
属性名 | 属性値 |
AUTH_METHOD | 以下のいずれかの値が通知されます。(注1)
|
USER_DN | 通知されません。(注2) |
EXPIRATION_TIME | “8.5.5.6 再認証”で記述されている手順に従い、認証サーバ間連携の定義を変更している場合、認証した日時に、定義値として設定した時間を加えた時刻が通知されます。認証サーバ間連携の定義を変更していない場合、認証した日時に、30分を加えた時刻が通知されます。 |
FIRST_ACCESS_TIME | 認証した日時が通知されます。 |
IP_ADDRESS | クライアントのIPアドレスが通知されます。 |
ROLE_LIST | IdP側で通知するように設定したロール情報が通知されます。 |
USER_ID | IdPから通知される値が通知されます。(注3) |
LAST_SIGNON_TIME | 通知されません。 |
拡張ユーザ情報 | IdPから通知される値が通知されます。(注4) |
注1)認証時にIdPから通知されるアサーションのAuthnContextClassRef要素の値によって、以下の属性値が通知されます。AuthnContextClassRef要素の値にどのような値を通知するかは、事前にIdP側に確認してください。
AuthnContextClassRef要素の値 | 属性値 |
urn:oasis:names:tc:SAML:2.0:ac:classes:Password | basicAuth |
urn:oasis:names:tc:SAML:2.0:ac:classes:X509 | certAuth |
上記以外 | unknown |
注2) ユーザ情報のカスタマイズを行わない場合、環境変数には、“unknown”が通知されます。また、シングル・サインオンJavaAPIを利用する場合は、DN(識別名)の形式にカスタマイズする必要があります。
注3)認証時にIdPから通知されるアサーションのNameID要素の値が通知されます。NameID要素の値にどのような値を通知するかは、事前にIdP側と取り決めてください。
注4)認証時にIdPから通知されるアサーションのAttributeStatement要素の値が通知されます。AttributeStatement要素にどのような値を通知するかは、事前にIdP側と取り決めてください。
