ユーザーのログインリクエストを IdP にリダイレクトする PingFederate の設定

中央認証サーバーとしての PingFederate > 中央認証サーバーの設定 - PingFederate > サードパーティ IdP 用の認証の手動設定 > ユーザーのログインリクエストを IdP にリダイレクトする PingFederate の設定

サービスプロバイダコンフィギュレーションで、PingFederate 用の ID プロバイダ (IdP) 接続を設定します。サードパーティ IdP の場合、PingFederate はサービスプロバイダとして機能します。

このプロセスでは、以下の操作も行わなければなりません。

• サービスプロバイダ用のアプリケーションレイヤー暗号化証明書を設定する。詳細については、アプリケーションレイヤーの暗号化および署名用の SSL 証明書の設定を参照してください。

• サービスプロバイダのメタデータファイルをエクスポートする。

• メタデータファイルを IdP からインポートする。

PTC がテストして推奨する SSO アーキテクチャでは、ユーザー認証リクエストをエンタープライズディレクトリサービス (サードパーティ ID プロバイダ (IdP)) にリダイレクトするように PingFederate が設定されていなければなりません。これにより、ブラウザがリダイレクトされて IdP で認証するため、ユーザーのログイン資格証明を処理する必要がある SSO アーキテクチャ内のノードが削減されます。PingFederate をフェデレーションハブとして設定するには、PingFederate で少なくとも 2 つの接続を作成しなければなりません。

• PingFederate のサービスプロバイダコンフィギュレーションで IdP 接続を作成します。PingFederate は、この接続を使用して IdP に接続します。

• PingFederate の IdP コンフィギュレーションでサービスプロバイダ接続を作成します。PingFederate は、この接続を使用してサービスプロバイダに接続します。

詳細については、PingFederate ドキュメンテーションの以下のトピックを参照してください。

• 「Service provider SSO configuration」

• 「Bridging an IdP to an SP」

• 「Federation hub and authentication policy contracts」

Browser SSO Profiles 接続テンプレートは、SSO 接続を設定するためにのみ使用します。SSO 接続用の SP アダプタを作成してはなりません。

ユーザープロビジョニングは、PingFederate の SSO 設定における高度なコンフィギュレーションです。ユーザープロビジョニングは、選択される IdP の選択肢によって異なります。その動作は IdP ごとに異なります。ユーザープロビジョニングの詳細については、ThingWorx ヘルプセンターの「プロビジョニング」を参照してください。

認証ポリシー契約

さらに、サービスプロバイダ接続と IdP 接続の間にブリッジを作成する認証ポリシー契約を PingFederate で作成しなければなりません。認証ポリシー契約は、IdP から取得してサービスプロバイダアプリケーションに渡すユーザー属性を指定するために使用されます。必要な属性については、IdP のドキュメンテーションを参照してください。

PTC 製品の SSO を設定する際、以下の属性がユーザー認証に必要であり、IdP で公開され、認証ポリシー契約でマッピングされていなければなりません。

• uid

• subject

• email

• group

たとえば、Active Directory フェデレーションサービス (ADFS) に対しては以下の値を入力できます。ただし、マッピングは IdP の選択肢によって異なる場合があります。ユーザーの要件に基づいてマッピングを決定しなければなりません。

属性	値
subject	SAML_SUBJECT (アサーション)
uid	http://schemas.xmlsoap.org/ws/2005/05/Identity/claims/name (アサーション)
email	http://schemas.xmlsoap.org/claims/EmailAddress (アサーション)
group	http://schemas.xmlsoap.org/claims/Group (アサーション)

認証ポリシー契約を実装するには、以下の操作を行います。

1. PingFederate 管理コンソールに管理者としてログインします。

2. 「SP Configuration」メニューの「AUTHENTICATION POLICIES」セクションの「Policy Contracts」をクリックします。

3. 「Authentication Policy Contracts」ページで、「Create New Contract」をクリックします。

4. 必要な属性 (前述の PTC が必須とする属性と、IdP が必須とする属性) を追加し、「Done」をクリックします。

5. エンタープライズディレクトリサービスへの IdP 接続を設定する際、このポリシー契約を使用します。

IdP 接続を作成した後、IdP 接続の「Activation & Summary」タブの「Contract Fulfillment」セクションをレビューして、交換される属性を確認できます。

これは役に立ちましたか?