Administration Console オンライン ヘルプ

  前 次 前/次ボタンと目次ボタンとの区切り線 目次  

SAML 2.0 資格マッピング プロバイダ : Web サービス サービス プロバイダ パートナ : 全般

コンフィグレーション オプション     関連タスク     関連トピック

SAML 2.0 Web サービス サービス プロバイダ パートナのプロパティを コンフィグレーションします。

コンフィグレーション オプション

名前 説明
名前

Web サービス サービス プロバイダ パートナの名前を表示します。

このパラメータに対する処理は、 com.bea.security.saml2.providers.registry.Partner インタフェースで行うことができます。
有効

このサーバ上でこのサービス プロバイダ パートナとの対話を 有効にするかどうかを指定します。

このパラメータに対する処理は、 com.bea.security.saml2.providers.registry.Partner インタフェースで行うことができます。
説明

このサービス プロバイダ パートナの簡単な説明。

このパラメータに対する処理は、 com.bea.security.saml2.providers.registry.Partner インタフェースで行うことができます。
オーディエンスの URI

1 つまたは複数のパートナ ルックアップ文字列、および任意指定の 1 つまたは複数の SAML オーディエンス URI。

SAML 2.0 の WebLogic Server 実装では、以下の 2 つの関連 (ただしそれぞれ独立した) 機能を実行するためにオーディエンスの URI 属性が オーバーロードされます。

  • このサービス プロバイダ パートナ用に生成されるアサーションに含める 必要のある 1 つまたは複数のオーディエンスの URI を指定する。
  • 1 つまたは複数のパートナ ルックアップ文字列を指定する。この文字列は、 アサーションの生成対象となるサービス プロバイダ パートナの検出に使用される エンドポイント URL を指定します。

この属性に指定される値に必要な構文は 次のとおりです。

[target:char:]<endpoint-url>

上記の構文において、target:char: は パートナ ルックアップ文字列の指定に使用されるプレフィックスです。ここで、 char はハイフン、プラス記号、アスタリスク (-、 +、*) の 3 つの特殊文字のいずれか 1 つを表します。このプレフィックスは パートナ ルックアップが実行される方法を以下のように判断します。

  • target:-:<endpoint-url> は、完全に一致する URL (<endpoint-url>) に対してパートナ ルックアップが 行われるように指定する。たとえば、 target:-:http://www.avitek.com:7001/myserver/myservicecontext/myservice-endpoint は、アサーションの生成対象にする必要のあるこのサービス プロバイダに 一致するエンドポイントを指定します。パートナ ルックアップ 文字列のこのフォームは、そのアサーションに格納されるオーディエンスの URI としてエンドポイント URL が含まれないように指定します。
  • target:+:<endpoint-url> は、 完全に一致する URL (<endpoint-url>) に 対してパートナ ルックアップが行われ、このサービス プロバイダ パートナ用に 生成されるアサーションのオーディエンスの URI としてもエンドポイント URL が 追加されるように指定する。
  • target:*:<endpoint-url> は、最初の文字列の パターンが一致する URL (<endpoint-url>) に対して パートナ ルックアップが行われるように指定する。たとえば、 target:*:http://www.avitek.com:7001/myserver は、 http://www.avitek.com:7001/myserver で 始まるすべてのエンドポイント URL ( http://www.avitek.com:7001/myserver/contextA/endpointA や http://www.avitek.com:7001/myserver/contextB/endpointB など) がこのサービス プロバイダに一致するように 指定します。 最初の文字列に一致するサービス プロバイダ パートナが複数検出される場合は、一致する 文字列が最も長いパートナが選択されます。

注意 : サービス プロバイダ パートナが実行時に検出されるようにするには、 そのパートナのパートナ ルックアップ文字列を 1 つまたは複数 コンフィグレーションする必要があります。このパートナを検出できない場合は、この パートナ用のアサーションを生成できません。

対象ルックアップのプレフィックスを使用せずにエンドポイント URL をコンフィグレーションする 場合は、このサービス プロバイダ パートナ用に生成されるアサーションに格納する必要のある、従来と 同様のオーディエンスの URI として処理されます。 (これにより、このパートナにコンフィグレーションされている既存のオーディエンスの URI との 下位互換性が提供されます。)

このパラメータに対する処理は、 com.bea.security.saml2.providers.registry.Partner インタフェースで行うことができます。
サービス プロバイダ名マッパーのクラス名

このサーバがコンフィグレーションされているデフォルトの SAML 2.0 資格マッピング プロバイダ名マッパーのクラスを オーバーライドする Java クラスの名前。

ここで指定したサービス プロバイダ名 マッパーのクラスは、 com.bea.security.saml2.providers.SAML2CredentialNameMapper インタフェースのカスタム実装であり、このサービス プロバイダ パートナに 使用されるようにここで指定されます。

このパラメータに対する処理は、 com.bea.security.saml2.providers.registry.SPPartner インタフェースで行うことができます。
生存時間

このサービス プロバイダ パートナ用に生成される SAML 2.0 アサーションの 生存時間の値 (秒)。

この値は、SAML 2.0 資格マッピング プロバイダの デフォルト設定をオーバーライドします。

このパラメータに対する処理は、 com.bea.security.saml2.providers.registry.SPPartner インタフェースで行うことができます。
生存時間のオフセット

このサービス プロバイダ パートナ用に生成される SAML 2.0 アサーションの 生存時間のオフセット値 (秒)。

この値は、SAML 2.0 資格マッピング プロバイダの デフォルト設定をオーバーライドします。この値を指定すると、 ID プロバイダおよびサービス プロバイダのサイト間のクロックの 誤差を SAML 2.0 資格マッピングプロバイダで調整できます。 この値は、秒数を表す正または負の整数です。

通常のアサーションは、NotBefore の時刻 (デフォルトでは そのアサーションが生成されたおおよその時間に設定) から、NotOnOrAfter の 時刻 (NotBefore + TimeToLive により算出) まで有効です。 ただし、ID プロバイダのサイトとサービス プロバイダのサイトのクロック設定には 多少の誤差のある可能性があります。生存時間のオフセット値は、アサーションの NotBefore を「現在の時刻」の前後何秒に設定するかを示す正または負の整数です。アサーションの生存時間のオフセット値を設定しても、アサーションの有効期間は (NotBefore + TimeToLive) により算出されますが、NotBefore の値は、(現在の時刻 + アサーションの生存時間のオフセット) に設定されます。たとえば、アサーションの有効期間を 2 分 (120 秒) に設定し、その開始時刻を現在の時間の 30 秒前や 1 分後に設定することができます。このようにして、SAML 2.0 資格マッピング プロバイダでは、 ID プロバイダおよびサービス プロバイダのサイト間の クロックの誤差を補うことができます。

このパラメータに対する処理は、 com.bea.security.saml2.providers.registry.SPPartner インタフェースで行うことができます。
属性の生成

SAML 2.0 資格マッピング プロバイダが、 このサービス プロバイダ パートナ用に生成されるアサーションに グループ情報を追加するかどうかを指定します。

任意指定のグループ情報は <Attribute> 要素で 指定され、マップされたユーザが属するグループを判別するために、 サービス プロバイダの SAML 2.0 ID アサーション プロバイダによって 後から使用されます。

このパラメータに対する処理は、 com.bea.security.saml2.providers.registry.SPPartner インタフェースで行うことができます。
1 回の使用の条件を含める

このサービス プロバイダ パートナ用に生成されるアサーションの 使用可能回数を 1 回だけにするかどうかを指定します。

指定した場合、この属性は、アサーションを使用直後に 破棄する必要があり、再利用できないことを判断します。

このパラメータに対する処理は、 com.bea.security.saml2.providers.registry.SPPartner インタフェースで行うことができます。
キー情報を含む

このサーバの署名証明書が、このサービス プロバイダ パートナ用に 生成されるアサーションに含まれるかどうかを指定します。

WebLogic Server の SAML 2.0 実装では、パートナ レジストリで 参照される証明書だけが使用され、アサーションに含まれる証明書は 使用されません。

このパラメータに対する処理は、 com.bea.security.saml2.providers.registry.SPPartner インタフェースで行うことができます。
確認メソッド

SAML 2.0 アサーションを ID として使用するときに使われる 確認メソッドの種類を指定します。使用可能な確認メソッドは 以下のとおりです。

使用可能な確認メソッドは以下のとおりです。

  • sender-vouches (デフォルト)
  • holder-of-key
  • bearer

確認メソッドを指定するときは、メソッドの完全修飾 URN を指定してください。たとえば、 urn:oasis:names:tc:SAML:2.0:cm:sender-vouches のようになります。

WLST を使用してパートナをコンフィグレーションする場合、 WebLogic Server は、パートナ クラス オブジェクトで定義可能な 各確認メソッドの定数を提供します。たとえば、次の WLST コマンドでは、パートナの bearer 確認メソッドを 設定します。

p.setConfirmationMethod(p.ASSERTION_TYPE_BEARER)

このパラメータに対する処理は、 com.bea.security.saml2.providers.registry.WSSPPartner インタフェースで行うことができます。
署名されたアサーションのみ受け入れる

署名されたアサーションだけを受信するようにサービス プロバイダ パートナがコンフィグレーションされるかどうかを指定します。

true の場合は、このパートナ用に生成されるアサーションに 署名されます。

このパラメータに対する処理は、 com.bea.security.saml2.providers.registry.SPPartner インタフェースで行うことができます。

関連タスク

関連トピック

 

Skip navigation bar ページの先頭