SAML 認証の追加に関する考慮事項
- 名前 ID 形式 — このフィールドを使用して、ID プロバイダーから要求するオプションの名前 ID 形式を指定できます。
- フェデレーション ID のクレーム — このフィールドを使用して、システム間でアカウントをリンクするためのフェデレーション ID として使用されるクレーム値を任意で指定します。デフォルト値は NameID です。
NameID 以外のクレームでメールアドレスを返すように IDP が設定されている場合は、このフィールドにクレームを指定する必要があります。このクレームには、一意で不変かつ永続的な値を使用する必要があります。たとえば、objectGUID や UUID などです。メールアドレスのように、一意ではなく変更される可能性がある値を使用することはお勧めしません。ユーザーがログインすると、Aurora Endpoint Security はフェデレーション ID クレームの値を使用してユーザーの一意の ID を作成し、両方のシステムに ID をマッピングします。
フェデレーション ID クレームとして使用するために指定した値は、ユーザーが初めてログインしたときに外部 ID プロバイダーおよび Aurora Endpoint Security でのユーザーのリンクに使用されるため、後から変更することはできません。
- Active Directory のクレーム — このフィールドを使用して、Active Directory の objectGUID をシステム間で一致させ、ユーザーを検証するために使用されるクレーム値を任意で指定できます。
- メールのクレーム — このフィールドを使用して、システム間でメールアドレスを一致させるために使用されるクレーム値を任意で指定できます。デフォルト値は emai です。
Aurora Endpoint Security では、すべての SAML 応答にユーザーの完全なメールアドレスが含まれ、そのメールアドレスが Aurora Endpoint Security に登録されているメールアドレスと一致していることを必要とします。email 以外のクレームでメールアドレスを返すように IDP が設定されている場合は、このフィールドにクレームを指定する必要があります。たとえば、IDP で設定されたクレームの名前が emailAddress である場合は、[メールのクレーム]フィールドで emailAddress と設定する必要があります。これらが一致しない場合、ユーザーはサインインできません。
- SP エンティティ ID — このフィールドを使用して、ID プロバイダーに送信するサービスプロバイダーエンティティ ID(発行者文字列)を任意で指定できます。
Entra SAML 認証の場合、このフィールドは必須です。入力する値は、Entra の SAML 構成の識別子(エンティティ ID)と一致する必要があります。
- IDP エンティティ ID — このフィールドを使用して、ID プロバイダーエンティティ ID(IDP 発行者)を任意で指定できます。指定した場合、すべての応答でその IDP 発行者が検証されます。
- 許容されるクロックドリフト — このフィールドを使用して、クライアントとサーバー間の許容可能なクロックドリフトをミリ秒単位で指定できます。
- 署名アルゴリズム — このフィールドを使用して、署名要求に対する署名アルゴリズムを指定できます。
- 署名のプライベートキー — このフィールドを使用して、送信されるすべての要求の署名に使用されるオプションのプライベートキーを PEM 形式で指定できます。