ID プロバイダの設定

前提条件サービス・プロバイダの設定

この項では、[ID プロバイダの登録]ステップを完了することで IdP を設定する方法について説明します。

このトピックの内容:

概要

IdP を設定する前に、次のことを考慮してください。

  • 最初に標準設定の alm IdP を設定します。

  • 他の IdP を追加する前に、alm IdP が正常に検証され、SSO が有効になっていることを確認します。詳細については、ID プロバイダの検証と SSO の有効化を参照してください。

  • IdP の[IDプロバイダの登録]ステップが完了すると、設定ファイルが次のリポジトリに保存されます。

    {リポジトリ}\sa\DomsInfo\osp\<idp 名>.properties

先頭に戻る

基本プロパティ

IDプロバイダの登録]>[基本プロパティ]タブで、次の設定を完了します。

フィールド 説明

フェデレーション・プロトコル

OpenText Application Quality Management が IdP との通信に使用するフェデレーション・プロトコル(SAML2 または OIDC)を選択します。

OIDC プロトコルを使用するには、サーバが IdP とネットワーク接続を確立する必要があります。
名前 ID の形式

フェデレーション・プロトコルとして SAML2 を選択した場合にのみ利用できます。

IdP でサポートされる名前 ID 形式。
IDP メタデータが利用可能

フェデレーション・プロトコルとして SAML2 を選択した場合にのみ利用できます。

実際の IdP メタデータを SP と共有できるかどうかを指定します。

  • いいえ:IdP メタデータをまだ取得していない場合は、[いいえ]を選択します。一時的なモック IdP メタデータが SP に提供され、システムがサービスを開始して SP メタデータをロードできるようにします。

    実際の IdP メタデータを取得したら、値を[はい]に変更し、URL または XML テキストでメタデータを提供し、サーバを再起動します。

  • はい:IdP メタデータをすでに取得している場合は、[はい]を選択します。URL または XML テキストでメタデータを提供してください。
IDP メタデータのプロビジョニングモード

IDPメタデータが利用可能]フィールドで[はい]を選択した場合にのみ使用できます。

  • メタデータの URL の入力:このオプションを選択した場合は、IdP メタデータの URL を入力します。

    これを選択するのは、サーバから IdP メタデータの URL にアクセスできる場合のみです。

  • メタデータの内容の入力/アップロード:このオプションを選択した場合は、SAML メタデータ記述子のプレーン・テキスト XML を IdP から手動で入力するか、アップロード・アイコンをクリックしてメタデータ・ファイルをアップロードします。

    IdP メタデータの URL がサーバからアクセスできない場合に、このオプションを選択してください。

OpenID 発行者

OpenID クライアント ID

OpenID クライアント・シークレット

フェデレーション・プロトコルとして OIDC を選択する場合にのみ指定可能であり、そのときは必須です。

発行者、クライアント ID、およびクライアント・シークレットを入力します。これらは、IdP のプロトコルとして OIDC を使用するクライアントを作成する場合に指定します。

制限:OpenID クライアントには単純な名前を使用することをお勧めします。そうしないと、SSO 検証が失敗します。

シングル・サインアウトを有効にする

このオプションは、シングル・サインアウトがサポートされるかどうかを制御します。SSO を有効にした後でこのオプションの値を変更した場合は、サーバを再起動して、変更を有効にします。

  • はい:シングル・サインアウト機能が有効になります。有効になっている場合は、次のように動作します。

    • シングル・サインアウトへのリンクが、Application Lifecycle Management のオプション・ウィンドウの右下隅に表示されます。IdP ユーザがこのリンクをクリックすると、そのユーザは IdP からログアウトし、ウィンドウにセッション終了メッセージが表示されてすべてのセッションが閉じられます。
    • IdP ユーザがデスクトップ・クライアントで[プロジェクトを閉じる]をクリックすると、ユーザが希望するのが IdP からのシングル・サインアウトなのか、または単にプロジェクトを閉じるだけかなのかを確認するウィンドウがポップアップ表示されます。ユーザが[いいえ]または[X]をクリックして確認ウィンドウを閉じると、単にプロジェクトが閉じて、ユーザは IdP セッション内でアクティブなままになります。ユーザが[はい]をクリックすると、IdP とクライアントの両方でセッションが閉じられます。同じユーザの接続がほかにもあった場合は、アクセス・トークンの有効期限が切れるまで接続が続きます。
    • IdP ユーザがサイト管理で[ログアウト]をクリックすると、そのユーザは IdP からログアウトします。次に、サイト管理が自動的に閉じられ、すべてのセッションがクリアされます。同じユーザの接続がほかにもあった場合は、アクセス・トークンの有効期限が切れるまで接続が続きます。
  • いいえ:シングル・サインアウト機能が無効になります。IdP ユーザがページからログアウトしても、ユーザのセッションは IdP 内で引き続きアクティブです。

注:シングル・サインアウトは SAML でのみサポートされ、OIDC の制限により OIDC ではサポートされません。

先頭に戻る

属性マッピング

IDプロバイダの登録]>[属性マッピング]タブで、IdP ユーザ属性を OpenText Application Quality Management ユーザ属性にマップします。

フィールド 説明

ID キー

ID キーは、ユーザを区別し、重複するユーザ・アカウントの作成を防ぐために使用される一意の属性であり、この値に基づいて各ユーザが一意に識別されることを保証します。

ユーザ名やメールなどの適切な一意の値を IdP から ID キーにマップします。

ALM ユーザ名

ALM ユーザ名属性は、ログインに使用される一意の属性です。

IdP 内の適切な一意の属性を ALM ユーザ名にマップします。

ALM ユーザ電子メール

ALM ユーザ電子メールにはユーザの電子メールが保存されます。

IdP の適切な電子メール属性を ALM ユーザ電子メールにマップします。

ALM ユーザの電話番号

ALM ユーザの電話番号にはユーザの電話番号が保存されます。

適切な IdP ユーザ属性を ALM ユーザの電話番号にマップします。

ALM ユーザの正式名

ALM ユーザの正式名には、ユーザの正式名が保存されます。

適切な IdP ユーザ属性を ALM ユーザの正式名にマップします。

ALM ユーザの説明

適切な IdP ユーザ属性を ALMDescription にマップします。
ID キーの大文字と小文字を区別する

ユーザ認証プロセス中に、IdP によって提供される ID キーを大文字と小文字を区別して照合するかどうかを制御します。

  • はい:大文字と小文字を区別します。
  • いいえ:大文字と小文字を区別しません。

先頭に戻る

ユーザの自動プロビジョニング

IDプロバイダの登録]>[ユーザの自動プロビジョニング]タブで、一致する OpenText Application Quality Management ユーザを更新または作成するためにユーザの自動プロビジョニングを有効にするかどうかを設定します。

フィールド 説明

ユーザ情報の自動更新

このオプションは、一致する OpenText Application Quality Management ユーザのユーザ属性を IdP ユーザのマップされたユーザ属性で自動的に更新するかどうかを制御します。

既存の ALM ユーザの一致に使用する属性]で選択した属性に基づいて、一致するユーザを見つけます。

  • このスイッチをオンにすると、一致するユーザの情報が自動的に更新されます。

  • このスイッチをオフにすると、一致するユーザの情報は自動的に更新されません。

既存の ALM ユーザの一致に使用する属性

ユーザ情報の自動更新]がオンになっている場合にのみ使用できます。

IdP ユーザと既存の OpenText Application Quality Management ユーザを照合するために使用される 1 つ以上の ALM ユーザ属性を選択します。

対応するユーザは次のように 1 つだけ見つかります。

  • 最初に選択された属性を使用して、対応するユーザを検索します。対応するユーザが 1 つだけ見つかった場合は、そのユーザに ID キーと ID 情報がアタッチされます。
  • 対応するユーザが複数見つかった場合は、2 番目に選択された属性を使用して、対応するユーザのフィルタリングが続行され、対応するユーザが 1 つだけ見つかるまでそのプロセスが続行されます。
  • 選択したすべての属性を使ってユーザをフィルタしても、対応するユーザを 1 つだけに絞れなかった場合、システムは、[ユーザの自動生成]の設定に応じて、IdP ユーザに対して新しい OpenText Application Quality Management ユーザを作成するかどうかを確認します。
ユーザの自動生成

このオプションは、IdP ユーザのユーザ属性に基づいて OpenText Application Quality Management ユーザを自動的に作成するかどうかを制御します。

ALM ユーザ名にマップされる属性

ユーザの自動生成]がオンになっている場合にのみ使用できます。

次の属性のいずれかを、新しい OpenText Application Quality Management ユーザの標準設定のユーザ名として選択します。

  • IdentityKey:ユーザの作成時に、ユーザ名として IdentityKey 値が使用されます。

  • ALMUsername:ユーザの作成時に、ユーザ名として ALMUsername 値が使用されます。

  • ALMEmail:ユーザの作成時に、ユーザ名として ALMEmail 値が使用されます。

注:ターゲット文字列に @ などの特殊文字が含まれている場合、ユーザ名の作成時にそれらの文字はアンダースコア(_)に変換されます。

標準設定 ALM ユーザ名は編集可能

ユーザの自動生成]が有効な場合にのみ使用できます。

このオプションは、ユーザの作成時に、新しい OpenText Application Quality Management ユーザが標準設定のユーザ名を変更できるかどうかを制御します。

通知の送信

ユーザの自動生成]が有効な場合にのみ使用できます。

このオプションは、以下の状況で関連ユーザに電子メール通知を送信するかどうかを制御します。

  • 自動ユーザ・プロビジョニングの実行時に新しいユーザが作成される場合に、このオプションは、その新しいユーザと指定されたサイト管理ユーザに通知を送信するかどうかを制御します。
  • このオプションは、IdP ユーザが SSO 検証 URL にアクセスして IdP を検証する場合に、指定したサイト管理ユーザに通知を送信するかどうかを制御します。

  • このオプションは、SSO 証明書の有効期限が近づいている場合に、指定したサイト管理ユーザに通知を送信するかどうかを制御します。

自動プロビジョニングの通知リスト

通知の送信]が有効になっている場合にのみ利用できます。

通知を受け取るサイト管理ユーザのユーザ名を指定します。

先頭に戻る

コンポーネントの準備

IDプロバイダの登録]>[コンポーネントの準備]タブで、画面の指示に従って SP をデプロイし、SP メタデータをフェッチします。

先頭に戻る

次のステップ: