Security Assertion Markup Languag (SAML) シングル サインオン認証に指定する Identity Provider (IdP) は、以下を満たしていなければなりません:
- SAML 2.0 以降に対応している
- IdP メタデータ XML の取得と更新をプログラムによって行うため、Service Provider (SP) の URL を提供する
- SP によって送信された要求内の暗号化された NameId を扱う
- アサーションに署名し、暗号化する
- RSA SHA-256 に対応している詳細については、RFC 4051 を参照してください。
- SP から IdP へのメッセージを署名したり、IdP から SP へのデータを暗号化するための同一の SP 証明書の使用をサポートしている
- SP メタデータが署名され、署名が検証される必要がある
- アサーションのようなコンテンツが署名されている場合でも、メッセージに署名する
- 要求がセキュア チャネルを通じて (HTTPS) 送信された場合でも、要求内の NameId を暗号化する
- 公開された URL から SP メタデータを自動的に取得して更新し、validityPeriod と cacheDuration 値を遵守する
- 新しい X.509 証明書を SP メタデータから取得し、SP 証明書のロールオーバーをサポートする
- AttributeStatement を通じて認証されたユーザーが属するグループの包含をサポートするFirebox の構成では、属性名の既定値は MemberOf です。
- シングル ログアウト サービスの HTTP-Redirect バインディングをサポートする。IdP が HTTP-Post バインディングのみをサポートしている場合、Access Portal が IdP に追加されている場合はこの機能を有効化してはなりません。Okta は、HTTP-Post バインディングのみをサポートする IdP です。