FedletサービスプロバイダとCA Siteminder IDプロバイダ

Question

サービスプロバイダとしてFedletを、IDプロバイダとしてCA Siteminderを使用した人はいますか？私たちのクライアントはCA Siteminder Federation Securityサービスを使用しており、属性マッピングを使用してSAMLv2アサーションを受け入れることができるサービスプロバイダとしてエンドを設定する必要があります。この設定では、IDPによるSSOの開始は可能ですか？

OpenSSO IDプロバイダでFedletを動作させることはできましたが、CA Siteminderではできませんでした。クライアントは使用するidpとsp ID、そのメタデータ、プロトコルとバインディングの標準だけを与えました。私はアサーションのコンシューマサービスのURL（Fedletのconfのsp.xmlから入手しました）とリレー状態のURLを与えました。ここで、ログインに成功するとユーザをリダイレクトします。

または、CAのsiteminder IDPのサービスプロバイダとして別の技術を使用することをお勧めしますか？

お知らせください。

Answer 1

Fedletはかなり裸であり、OpenSSOをIDPとして使用するようにSun（現在のOracle）によって設計されています。おそらくそれはある程度は準拠していますが、SAML 2.0 SP-Liteの完全な実装ではないかもしれないが、そのサブセットだと思います。

もっと頑強なオプションをお探しの場合は、PingIdentityからPingFederateをチェックします。 SAML 1.xおよび2.0を使用してCA SM FSSとIDP（およびその逆）を統合する数十のSPがあります。それは非常に軽いフットプリントを持ち、多数の開発言語/プラットフォームをサポートすることができ、非常に迅速にセットアップすることができます。

HTH - IanB

Answer 2

すでにSiteMinderのインストールを設定している場合は、SMFSSはIMHO、最も速く、最も簡単で堅牢なソリューションですが、その後、私はそれをサポートしています。 SAML 2.0 POCの新しい顧客を1日以内に稼働させることができました。すでにSiteMinderアーキテクチャが稼動しており、OpenSSOに関する既知の問題はありません。特定の問題がある場合は、HTTPS復号化を有効にしたフィディラートレースとログを提出してください。また、R12 SP3またはSM6 SMFSSのドキュメントには、一致する値の章の設定がある限り、どの設定を一致させる必要があるかに関する章と、SAML 2.0章のIDPとSPの設定2番目から最後の章と章番号は、ドキュメントのバージョンによって変わります。

SPがAttribute Query SAML仕様を実装している場合に提供するAttribute Authorityを使用して、SP側でAuthorizationを行うこともできます。つまり、属性権限がない場合は、後で使用するためにSP側に属性を格納する必要があります。 SMFSS（SiteMinder Federation Security Services）SPを使用した場合、SP側でセッションストアを使用し、認証時にそこにアサーション属性を格納することができます。これについてもう質問がある場合はお知らせください。 SMFSSについて私が気に入っていることは、実際にあなたがやっていることをよく知っていることです。他の多くの製品では多くのMetaDataを使用してUIを構成しています。彼らが設立し、管理している連合。

IanBがPingの私の昔の同僚Ian Barnettであるかどうか疑問に思っていますか？もしそうなら、こんにちは！

クリッシー・クルーガーストーン
SiteMinderのサポートEST。2000年5月1日