Denodo Security Token の構成ファイル¶
Denodo Security Token はすべての Denodo Platform インストールとともに配布されます。サポートされている外部 ID プロバイダーによるシングルサインオン認証を有効にするには、以下のいずれかの方法でこのトークンを構成します。
インストールされている Solution Manager を使用して、具体的な構成のページ の手順を実行します。
Solution Manager を使用していない場合は (Denodo Express を使用しているか、AWS Maketplace または Azure Marketplace から Denodo を購入した場合)、
<DENODO_HOME>/conf/denodo-sso/SSOTokenConfiguration.propertiesにある構成ファイルを編集する必要があります。以降のセクションで、構成できる設定について説明します。
一般的な設定¶
authorization.token.enabled : トークン承認機能を有効または無効にします。"false" の場合、トークンによるシングルサインオンフローは使用できません。
authorization.type : 委任認証の種類を示すプロパティ。指定できる値は、 saml 、 oauth 、 openid です。それぞれの種類に固有の構成モジュールセクションがあります。これらのモジュールは、対応するプロパティ {authorization.type}.enabled=true (たとえば、SAML 認証の場合は saml.enabled=true) によって有効にします。この対応するプロパティの値は、authorization.type の値と一致している必要があります。
トークン署名資格情報¶
authorization.token.signing.kid : 使用する暗号化キーの識別に使用するキー ID。サーバーの初回起動時に自動生成されます。
authorization.token.signing.auto-generated : キーストアがサーバーの初回起動時に自動生成されたかどうかを示します。
authorization.token.signing.store-file : トークンに署名するためのキーペアが格納されているキーストアファイルの場所。このキーストアファイルには、以下の前提条件があります。
1 つのキーペアのみを格納
キーペアでは RSA アルゴリズムを使用
authorization.token.signing.store-pass : キーストアのパスワード。格納されているキーペアも保護されている場合、そのキーペアでも同じパスワードを使用する必要があります。
システムによって自動生成された資格情報の簡単な例 :
authorization.token.enabled=true
authorization.token.signing.auto-generated=true
認証モジュール¶
委任できる認証の種類は、 SAML 、 OAuth 、および OpenID Connect の 3 つです。以下のセクションで、各認証モジュールを構成する方法を詳しく説明します。
SAML 2.0 の委任¶
saml.enabled : SAML 認証モジュールを有効/無効にします。
saml.use-general-signing : 「 トークン署名資格情報 」に示されている一般的なキーストアを使用して SAMLRequest に署名します。
saml.sp-entityid : SAML サービスプロバイダーのエンティティ ID を示します。
saml.idp-metadata-url : URL で表した SAML ID プロバイダーのメタデータを示します。
注釈
この URL が「https」で、このサービスの SSL 証明書が Verisign や Comodo といった既知の証明機関 (CA) によって署名されていない場合、その SSL 証明書をサーバーの TrustStore に追加する必要があります。これを実行する方法については、『インストールガイド』の「 データソースの証明書のインポート (SSL/TLS 接続) 」を参照してください。証明書を追加しておかないと、サーバーがこのサービスに接続した際に、証明書が信頼されていないため、接続が失敗します。
saml.idp-metadata-file : ファイルで表した SAML ID プロバイダーのメタデータを示します。URL で表した SAML ID プロバイダーのメタデータにアクセスできない場合に便利です。
注釈
ID プロバイダーのメタデータ saml.idp-metadata-url または saml.idp-metadata-file では、いずれか 1 つの設定のみを使用してください。
saml.extract-role.delegate : アサーションから役割を抽出するのを避け、Virtual DataPort Server での LDAP 検索に役割を委任します。この場合、Virtual DataPort Server に グローバル LDAP 認証 が必要です。デフォルト値は "false" です。
saml.extract-role.field : 役割の抽出に使用する SAML アサーションの属性の名前。たとえば、以下のコードは、controller の役割を表す Group という名前の SAML 属性を示しています。
<Attribute Name="Group" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"> <AttributeValue>controller</AttributeValue> </Attribute>
重要
ダウンロードする XML サービスプロバイダーのメタデータエンドポイントは /sso/sso-saml/metadata です。このメタデータは、外部 ID プロバイダーに Denodo SSO Server を登録する際に便利です。
OAuth 2.0 の委任¶
oauth.enabled : OAuth 認証モジュールを有効/無効にします。
oauth.defaultProcessUri : アプリケーションのコールバックエンドポイントの相対パス (URI)。ID プロバイダーはこの URI に承認応答を送信します。フルパス (URL) は、Idp (通常、リダイレクト URI と呼ばれる) に登録されている URL に一致する必要があります。デフォルト値は、 /sso-oauth/oauth-login です。
oauth.clientId : アプリケーションの登録プロセスで生成されるクライアント ID。
oauth.clientSecret : アプリケーションの登録プロセスで生成されるクライアントシークレット。
oauth.userAuthorizationUri : 認証と同意を要求します。承認コードの取得に使用します。
oauth.accessTokenUri : アクセストークン用の承認コードを交換します。
oauth.issuer : 承認サーバーの発行者 ID。
oauth.jwkUrl : アクセストークンの真正性の検証に使用するパブリックサーバーの JSON Web Key (JWK) を取得するための URL。
oauth.scopes : OAuth 承認サーバーに要求を送信する際のコンマ区切りのスコープ。
oauth.extract-role.delegate : アクセストークンから役割を抽出するのを避け、Virtual DataPort Server での LDAP 検索に役割を委任します。この場合、Virtual DataPort Server に グローバル LDAP 認証 が必要です。デフォルト値は "false" です。
oauth.extract-role.field : アクセストークンから役割を取得するために要求の名前が抽出されます。
OpenID Connect の委任¶
openid.enabled : OpenID Connect 認証モジュールを有効/無効にします。
openid.defaultProcessUri : アプリケーションのコールバックエンドポイントの相対パス (URI)。ID プロバイダーはこの URI に承認応答を送信します。フルパス (URL) は、Idp (通常、リダイレクト URI と呼ばれる) に登録されている URL に一致する必要があります。デフォルト値は、 /sso-openid/openid-login です。
openid.clientId : アプリケーションの登録プロセスで生成されるクライアント ID。
openid.clientSecret : アプリケーションの登録プロセスで生成されるクライアントシークレット。
openid.userAuthorizationUri : 認証と同意を要求します。承認コードの取得に使用します。
openid.accessTokenUri : アクセストークン用の承認コードを交換します。
openid.issuer : 承認サーバーの発行者 ID。
openid.jwkUrl : アクセストークンの真正性の確認に使用するパブリックサーバーの JSON Web Key (JWK) を取得するための URL。
openid.scopes : 承認サーバーに要求を送信する際のコンマ区切りのスコープ。
openid.extract-role.delegate : アクセストークンから役割を抽出するのを避け、Virtual DataPort Server での LDAP 検索に役割を委任します。この場合、Virtual DataPort Server に グローバル LDAP 認証 が必要です。デフォルト値は "false" です。
openid.extract-role.field : アクセストークンから役割を取得するために要求の名前が抽出されます。