SAML または OIDC 認証用に SSL を有効にする

セキュアな SSL または HTTPS 接続を使用するように Validate ツールを設定するには、セキュアな Validate サーバー接続の使用にある説明に従ってください。

さらに、自己署名証明書を使用している場合は、証明書を Validate JVM またはマシンの信頼できるキーストアに追加する必要があります。

Validate JVM またはその他の信頼できるキーストアに証明書をインポートする

Validate JVM に証明書をインポートするためのコマンド例を以下に示します。

<install_dir>/_jvm/bin/keytool -import -alias <alias_name> -file <path_to_certificate>/server.crt -keystore <install_dir>/_jvm/lib/security/cacerts

ヒントとベストプラクティス

セキュアなサーバーの設定中に問題が発生した場合は、次のヒントを参考にしてください。

  • SSL が有効になったら、IdP のリダイレクト URL を必ず更新してください。Validate サーバーに関連するすべてのリダイレクト URL が HTTPS で修飾されていることを確認します。

  • (OIDC のみ): auth.properties のリダイレクト URL は、HTTPS でも正しく設定する必要があります。例:

    spring.security.oauth2.client.registration.<realm>.redirect-uri=https://url:1234/kwauthgateway/login/oauth2/code/kwopenid

トラブルシューティング

  • サーバー起動コマンドが完了せず、kwservice stop を使用してサーバーを停止することができません。

    回避策: この問題は、SSL サーバーが正しく構成されていない場合に発生する可能性があります。サーバーを手動で停止し、適切に構成されたら再起動します。

  • 認証の最後のステップで Validate エラーが発生し、klocwork.log に 「<host> と一致する DNS SAN がみつかりませんでした」というエラーが含まれます。

    回避策: 「pr/config/admin.conf」で指定されている「klocwork.host」が Validate SSL 証明書の CN と一致していることを確認してください。host は、通常は、Validate ホストの FQDN です。

  • 「アサーション [ASSERTION_ID] にサブジェクトがありません」というエラーが表示されます。

    回避策: SAML アサーションの Subject 要素にユーザーの一意の識別子 (idP 側で設定) を含む NameID が含まれていることを確認してください。