IdP側のユーザ情報をSP側でロールとして使用する場合は、認証時に通知するアサーションの属性情報に設定します。
属性情報は、以下のように設定してください。
Attribute要素のName属性に“FJ_IS_SSO_ROLE”を指定する。
AttributeValue要素の値に、ロールとして使用するユーザ情報の値を指定する。複数の値を通知する場合は、AttributeValue要素が個数分含まれるように設定する。
アサーションの属性情報の設定方法については、他社シングル・サインオンシステムのドキュメントを参照してください。
複数の値(“Admin”と“Leader”)を通知する場合のアサーションの属性情報の例を示します。
<ns2:Assertion>
~中略~
<ns2:AttributeStatement>
<ns2:Attribute Name="FJ_IS_SSO_ROLE"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<ns2:AttributeValue>Admin</ns2:AttributeValue> |
本設定を行わない場合は、SP側にInterstage シングル・サインオンシステムで使用するロールは通知されません。この場合、SP側でユーザ情報のカスタマイズを行い、ロールを追加してください。
