4 サーバー管理

この章では、Oracle Identity Federationの日常の管理タスクと、管理者が場合によって実行する必要があるその他のタスクについて説明します。内容は次のとおりです。

• 基本管理

• 一般的なタスク

• アイデンティティ・フェデレーションの管理

• アイデンティティの構成

• Oracle Identity Federationの資格証明の管理

4.1 基本管理

この項では、Oracle Identity Federationの基本的な管理について説明します。内容は次のとおりです。

• Oracle Identity Federationサーバー管理者について

• Oracle Identity Federationの管理

• Oracle Identity Federationのログ・ファイル

• バックアップ

4.1.1 Oracle Identity Federationサーバー管理者について

Oracle Identity Federationの管理者は、次の2つの主要なタスクを実行します。

• サーバー実行時の基本管理。サーバーの起動、停止、監視など

• フェデレーテッドID管理。ユーザー管理(ユーザーの作成、削除およびフェデレーション)、および信頼できるプロバイダやそのプロバイダと連携しているユーザーについての情報の維持

この項は次のトピックで構成されています。

• ロールについて

• デプロイメントの計画

• 他の計画タスク

4.1.1.1 ロールについて

Oracle WebLogic Serverでは、Oracle WebLogic Serverで設定されるセキュリティ・レルムに次のような特定のグローバル・ロールが定義されています。

• Admin(デフォルトでAdministratorsグループが含まれています)

• Operator(デフォルトでOperatorsグループが含まれています)

• Monitor(デフォルトでMonitorsグループが含まれています)

関連項目: Oracle Fusion Middleware Oracle WebLogic Serverのロールとポリシーを使用したリソースの保護のユーザー・ロール、グループ・ロール、およびセキュリティ・ロールに関する項

ドメイン管理者は、FederationAdminロールを作成して、Admin、Operator、Monitor以外のユーザーにOracle Identity Federation管理者アクセス権を付与できます。

注意: FederationAdminロールは、WLSTコマンドと他のJMX MBeanクライアントでのみ認識されます。Fusion Middleware Controlでは認識されません。これは、FederationAdminロールを持つユーザーは、Fusion Middleware Controlではなく、WLSTまたは他のJMXクライアントを使用した場合にのみOracle Identity Federationを構成できるということです。

4.1.1.2 デプロイメントの計画

信頼できるソースと宛先から構成されたネットワークにOracle Identity Federationをデプロイする場合、情報を他のサイト管理者と交換して、それに応じてアイデンティティ・プロバイダとサービス・プロバイダを構成する必要があります。

関連項目: サーバー・プロパティの詳細は、第5章「Oracle Identity Federationの構成」を参照してください。 信頼できるプロバイダの詳細は、第4.3項「アイデンティティ・フェデレーションの管理」を参照してください。

ユーザーIDの交換

フェデレーテッド環境では、最も単純な場合、サービス・プロバイダはID情報のコンシューマ、アイデンティティ・プロバイダ（ユーザー・リクエストの発生源）はID情報のサプライヤになります。アイデンティティ・プロバイダも、必要な資格証明を取得するために認証および認可メカニズム(AAAシステム)と通信する場面では、コンシューマの立場をとることがあります。必須ではありませんが、サービス・プロバイダもユーザーを宛先のIDにマップすると好都合なことがあります。IDサプライヤとコンシューマは実行時にデータを交換できる必要があります。このため、プリンシパルを一意に識別する手段として宛先が信頼することができる、プリンシパルに関するなんらかのID情報をソースが宣言することになります。

アイデンティティ・プロバイダは、パートナ・サイト管理者と連携する中で、自ドメインの関連ユーザーのリストを提供する場合があります。これはオプションの情報交換です。

クロスドメインの信頼の確立

Oracle Identity Federationでは、Libertyメタデータの仕様およびSAML 2.0メタデータの仕様に準拠したプロバイダ・メタデータを生成し使用できます。さらに、Oracle Identity Federationでは、SAML 2.0クエリ・リクエスタ用のメタデータ拡張機能を使用するプロバイダ・メタデータをインポートする機能をサポートしています。

クロスドメインの信頼を確立するには、認証を設定し、信頼できるソースと宛先のネットワークでキーや証明書を交換する必要があります。

初回の設定とテストでは、アイデンティティ・プロバイダおよびサービス・プロバイダはどちらもデフォルトの自己署名証明書を使用できます。ただし、本番に移行する際は、使用タイプを検討して自己署名の証明書で十分かどうかを決定してください。エンティティ間に事前の信頼関係がない場合、たとえばインターネット経由でSSLを使用してWebサイトにアクセスする場合は、CA発行の証明書が最も有効です。しかし、フェデレーション・ピア間の信頼関係がメタデータまたは同等のもの(ピア証明書などで、通常はピア証明書が使用される)の交換を必要とする場合、ピア証明書の取得方法を信頼できるかぎり、本番デプロイメントでも自己署名証明書で十分です。CA発行の証明書は、メタデータの交換、たとえば署名された電子メールやSSL経由でのWebサーバーからのダウンロードで使用されることがあるので注意してください。

メタデータを使用すると、クロスドメインの信頼を設定するプロセスを簡単にできます。Oracle Identity Federationではプロバイダ固有のメタデータを格納できます。これにより、グローバルなIdPおよびSP設定が、各ピア・プロバイダとの通信に固有なデータに上書きされます。

PKIおよびSSL暗号化

Oracle Identity Federationは、.509証明書認証を使用する、セキュアな通信を提供します。

Oracle Identity Federationでは、公開鍵と秘密鍵のペアを使用する技術である公開鍵暗号を使用してデータの整合性を確保します。データは送信元で、秘密鍵を使用して署名され、受信者はその署名を、送信者の公開鍵を使用して検証します。

Oracle Identity Federationは、証明書と呼ばれるドキュメントを使用して、ピア・プロバイダ同士が信頼を確立できるようにします。認証局(CA)が証明書を発行してユーザーのアイデンティティを保証します。受信者が使用する公開鍵も証明書に含まれています。

キー・ペアと証明書は、ローカル・キーストアを使用して構成します。アイデンティティ・プロバイダは、POSTプロファイルを使用する場合、公開鍵と秘密鍵のペアと証明書を構成します。公開鍵は認証局(CA)により検証されます。IdPが公開鍵を提示し、SPが証明書を取り込む過程は、パートナ間の信頼関係を管理する上での重要な局面です。

SSL接続を実装することもできます。SSL接続とクライアント証明書を構成する方法の詳細は、第8.1項「Oracle Identity FederationでのSSLの構成」を参照してください。

注意: SSL機能はOracle Identity Federationの外部から提供される機能です。

4.1.1.3 他の計画タスク

IDの交換やそれらのIDがかかわる通信の安全性を確保する他に、フェデレーテッド・ネットワークに関係する計画がある場合は、次のような項目についても合意する必要があります。

• フェデレーション・プロトコル

• サービス

• プロファイル

ネットワークの参加者と連携して、様々なIdPやSPがビジネス・パートナの設定を理解し、フェデレーションが正しく機能するようにする必要があります。

4.1.2 Oracle Identity Federationの管理

Oracle Identity Federationサーバーの管理にはOracle Fusion Middlewareの管理ツールを使用します。詳細は『Oracle Fusion Middleware管理者ガイド』の次の項を参照してください。

• Oracle Enterprise Manager Fusion Middleware Controlの使用の概要

• コマンドライン・ツールの使用の概要

• Fusion Middleware Control MBeanブラウザの使用

4.1.3 Oracle Identity Federationのログ・ファイル

$DOMAIN_HOME/servers/servername/logsディレクトリに置かれるOracle Identity Federationのログ・ファイルは、サーバー・インスタンスの管理と監視に関する有用な情報を提供します。次のようなログ・ファイルがあります。

表4-1 Oracle Identity Federationのログ・ファイル

ログ・ファイル名	説明
servername_diagnostics.log	Oracle Identity Federationサーバーの実行時ログ・レコードが含まれます。

注意: 以前のリリースでは、プロバイダ間で交換されたSAMLメッセージはfederation-msg.logに含まれていました。このログ・ファイルはすでに存在しません。これらのメッセージは、Oracle Fusion Middlewareの共通監査フレームワークで監査および使用できるようになりました。

4.1.4 バックアップ

システムの通常のバックアップに使用するツールを使用して、構成/システムを日常的にバックアップする必要があります。

このトピックの詳細は、『Oracle Fusion Middleware管理者ガイド』の高度な管理: バックアップとリカバリに関する項を参照してください。

Windowsの場合

次のバックアップ規則を使用します。

• Windowsプラットフォーム上のバックアップとリストアのシステム・ツールを使用します。

• Oracle Identity Federation構成の中の全コンポーネント上にあるすべてのものをバックアップします。

Linux/solarisの場合

次のバックアップ規則を使用します。

• Oracle WebLogic ServerとOracle Identity Federationのすべてのコンポーネントをシャットダウンします。

• 管理対象サーバーのOracle Identity Federationフォルダ、およびOracle Identity Federationが使用しているRDBMSデータ・ファイルを含む、すべてのコンポーネントに対してtarコマンドを実行します。

  次に例を示します。

  tar cvzf oif11_backup oif_folder

4.2 一般的なタスク

この項では、Oracle Identity Federationで提供される、管理者およびピア・ユーザー向けの一般的なサービスについて説明します。次のタスクについて説明します。

• サーバー・メタデータの取得

• サーバー証明書の取得

• SPが開始するシングル・サインオンの実行

• IdPが開始するシングル・サインオンの実行

• IdPが開始するSSOでのリレー状態の使用

• ログアウト処理の起動

• 署名検証証明書プロパティの設定(SAML 1.x)

• SPが開始するシングル・サインオンの実行(SAML 1.x)

• 属性リクエストおよび問合せの送信(SAML 1.x)

• 認証問合せの送信(SAML 1.x)

4.2.1 サーバー・メタデータの取得

Oracle Identity Federationメタデータを取得するには、Oracle Enterprise Manager Fusion Middleware Controlから取得するか、URLに直接アクセスします。

Fusion Middleware Controlからメタデータを取得する手順は次のとおりです。

1. 「Oracle Identity Federation」→「管理」→「セキュリティおよび信頼」→「プロバイダ・メタデータ」の順に移動します。

2. 作成するプロバイダ・タイプおよびOracle Identity Federationメタデータのバージョンを選択します。

3. 「生成」をクリックします。

Oracle Identity Federation IdP メタデータを取得するには、次の形式のURLにアクセスします。

http://host:port/fed/idp/metadata

Oracle Identity Federation SPメタデータを取得するには、次の形式のURLにアクセスします。

http://host:port/fed/sp/metadata

IdPメタデータのサンプル

次に示すのは、SSOアイデンティティ・プロバイダ、属性認証局、認証問合せおよびアサーションIDレスポンダの機能が有効なサーバーのメタデータのサンプルです。

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="id-PmHsOU3mD8zEyjDo0QbyelE5oxY-" entityID="https://sta00534.us.oracle.com:7002/fed/idp" validUntil="2009-05-24T15:48:15Z">
   <md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
      <md:KeyDescriptor use="signing">
         <dsig:KeyInfo xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
            <dsig:X509Data>
               <dsig:X509Certificate>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
               </dsig:X509Certificate>
               <dsig:X509IssuerSerial>
                  <dsig:X509IssuerName>CN=sta00534.us.oracle.com Signing Certificate</dsig:X509IssuerName>
                  <dsig:X509SerialNumber>37</dsig:X509SerialNumber>
               </dsig:X509IssuerSerial>
               <dsig:X509SubjectName>CN=sta00534.us.oracle.com Signing Certificate</dsig:X509SubjectName>
            </dsig:X509Data>
         </dsig:KeyInfo>
      </md:KeyDescriptor>
      <md:KeyDescriptor use="encryption">
         <dsig:KeyInfo xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
            <dsig:X509Data>
               <dsig:X509Certificate>MIICPDCCAeYCEC5V26OFPaoDxzAazNs8UBwwDQYJKoZIhvcNAQEEBQAweTELMAkGA1UEBhMCVVMxEDAOBgNVBAgTB015U3RhdGUxDzANBgNVBAcTBk15VG93bjEXMBUG
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
               </dsig:X509Certificate>
               <dsig:X509IssuerSerial>
                  <dsig:X509IssuerName>CN=CertGenCAB, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown, ST=MyState, C=US</dsig:X509IssuerName>
                  <dsig:X509SerialNumber>61590287842211333696140797217026625564</dsig:X509SerialNumber>
               </dsig:X509IssuerSerial>
               <dsig:X509SubjectName>CN=sta00534.us.oracle.com, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown, ST=MyState, C=US</dsig:X509SubjectName>
            </dsig:X509Data>
         </dsig:KeyInfo>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5"/>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc"/>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes192-cbc"/>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc"/>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc"/>
      </md:KeyDescriptor>
      <md:ArtifactResolutionService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://sta00534.us.oracle.com:7002/fed/idp/soap" index="1" isDefault="true"/>
      <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://sta00534.us.oracle.com:7002/fed/idp/samlv20" ResponseLocation="https://sta00534.us.oracle.com:7002/fed/idp/samlv20"/>
      <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://sta00534.us.oracle.com:7002/fed/idp/samlv20" ResponseLocation="https://sta00534.us.oracle.com:7002/fed/idp/samlv20"/>
      <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://sta00534.us.oracle.com:7002/fed/idp/samlv20ss" ResponseLocation="https://sta00534.us.oracle.com:7002/fed/idp/samlv20ss"/>
      <md:ManageNameIDService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://sta00534.us.oracle.com:7002/fed/idp/samlv20" ResponseLocation="https://sta00534.us.oracle.com:7002/fed/idp/samlv20"/>
      <md:ManageNameIDService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://sta00534.us.oracle.com:7002/fed/idp/samlv20" ResponseLocation="https://sta00534.us.oracle.com:7002/fed/idp/samlv20"/>
      <md:ManageNameIDService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://sta00534.us.oracle.com:7002/fed/idp/samlv20ss" ResponseLocation="https://sta00534.us.oracle.com:7002/fed/idp/samlv20ss"/>
      <md:ManageNameIDService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://sta00534.us.oracle.com:7002/fed/idp/soap"/>
      <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
      <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
      <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName</md:NameIDFormat>
      <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
      <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://sta00534.us.oracle.com:7002/fed/idp/samlv20"/>
      <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://sta00534.us.oracle.com:7002/fed/idp/samlv20"/>
      <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://sta00534.us.oracle.com:7002/fed/idp/samlv20ss"/>
      <md:AssertionIDRequestService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://sta00534.us.oracle.com:7002/fed/idp/soap"/>
      <md:AssertionIDRequestService Binding="urn:oasis:names:tc:SAML:2.0:bindings:URI" Location="https://sta00534.us.oracle.com:7002/fed/idp/assertionid"/>
   </md:IDPSSODescriptor>
   <md:AuthnAuthorityDescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
      <md:KeyDescriptor use="signing">
         <dsig:KeyInfo xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
            <dsig:X509Data>
               <dsig:X509Certificate>MIICIzCCAYygAwIBAgIBJTANBgkqhkiG9w0BAQQFADA1MTMwMQYDVQQDEypzdGEwMDUzNC51cy5vcmFjbGUuY29tIFNpZ25pbmcgQ2VydGlmaWNhdGUwHhcNMDkwMTEzMjMwMTE2WhcNMTAwMTEzMjMwMTE2WjA1MTMwMQYDVQQDEypzdGEwMDUzNC51cy5vcmFjbGUuY29tIFNpZ25pbmcgQ2VydGlmaWNhdGUwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAI7X7J6A057NEBgTnCYussaz6E3IY6JsgAYOiXHfwunEv6zRZnpdVlZIRUyT+NNULSfk+PLbQU/NCg8yQdJeSNYkQ4BId+yyUDcYC447nhHa37uLKM7aWyAXc6AeffC6CSEs0yZltgU2nIxJh9tLhPe5hzf0QjSImyXR/vjS/6nDAgMBAAGjQzBBMA8GA1UdEwEB/wQFMAMBAf8wDwYDVR0PAQH/BAUDAwfwADAdBgNVHQ4EFgQUmZ8T7GkFv2VZB+FogX99DIvodTswDQYJKoZIhvcNAQEEBQADgYEAbMGoZzjo9Bfaua3wiRh3LyMeahdoHv5S67JPAWNXrvQUxKjvYH0QR2oTnD+Rf3hIhi6Tjwy4oP9YrcADiChp8tqckrBnR3L1aEErLXGau6r++a/PwslasuysNfbEoHrGJ1m+3K9DXGYYkGKdKgW9Dgg8MObZshDxd7xUm557QO8=
               </dsig:X509Certificate>
               <dsig:X509IssuerSerial>
                  <dsig:X509IssuerName>CN=sta00534.us.oracle.com Signing Certificate</dsig:X509IssuerName>
                  <dsig:X509SerialNumber>37</dsig:X509SerialNumber>
               </dsig:X509IssuerSerial>
               <dsig:X509SubjectName>CN=sta00534.us.oracle.com Signing Certificate</dsig:X509SubjectName>
            </dsig:X509Data>
         </dsig:KeyInfo>
      </md:KeyDescriptor>
      <md:KeyDescriptor use="encryption">
         <dsig:KeyInfo xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
            <dsig:X509Data>
               <dsig:X509Certificate>MIICPDCCAeYCEC5V26OFPaoDxzAazNs8UBwwDQYJKoZIhvcNAQEEBQAweTELMAkGA1UEBhMCVVMxEDAOBgNVBAgTB015U3RhdGUxDzANBgNVBAcTBk15VG93bjEXMBUG
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
               </dsig:X509Certificate>
               <dsig:X509IssuerSerial>
                  <dsig:X509IssuerName>CN=CertGenCAB, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown, ST=MyState, C=US</dsig:X509IssuerName>
                  <dsig:X509SerialNumber>61590287842211333696140797217026625564</dsig:X509SerialNumber>
               </dsig:X509IssuerSerial>
               <dsig:X509SubjectName>CN=sta00534.us.oracle.com, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown, ST=MyState, C=US</dsig:X509SubjectName>
            </dsig:X509Data>
         </dsig:KeyInfo>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5"/>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc"/>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes192-cbc"/>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc"/>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc"/>
      </md:KeyDescriptor>
      <md:AuthnQueryService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://sta00534.us.oracle.com:7002/fed/authnauth/soap"/>
      <md:AssertionIDRequestService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://sta00534.us.oracle.com:7002/fed/authnauth/soap"/>
      <md:AssertionIDRequestService Binding="urn:oasis:names:tc:SAML:2.0:bindings:URI" Location="https://sta00534.us.oracle.com:7002/fed/authnauth/assertionid"/>
      <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
      <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName</md:NameIDFormat>
      <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
   </md:AuthnAuthorityDescriptor>
   <md:AttributeAuthorityDescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
      <md:KeyDescriptor use="signing">
         <dsig:KeyInfo xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
            <dsig:X509Data>
               <dsig:X509Certificate>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
               </dsig:X509Certificate>
               <dsig:X509IssuerSerial>
                  <dsig:X509IssuerName>CN=sta00534.us.oracle.com Signing Certificate</dsig:X509IssuerName>
                  <dsig:X509SerialNumber>37</dsig:X509SerialNumber>
               </dsig:X509IssuerSerial>
               <dsig:X509SubjectName>CN=sta00534.us.oracle.com Signing Certificate</dsig:X509SubjectName>
            </dsig:X509Data>
         </dsig:KeyInfo>
      </md:KeyDescriptor>
      <md:KeyDescriptor use="encryption">
         <dsig:KeyInfo xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
            <dsig:X509Data>
               <dsig:X509Certificate>MIICPDCCAeYCEC5V26OFPaoDxzAazNs8UBwwDQYJKoZIhvcNAQEEBQAweTELMAkGA1UEBhMCVVMxEDAOBgNVBAgTB015U3RhdGUxDzANBgNVBAcTBk15VG93bjEXMBUG
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
               </dsig:X509Certificate>
               <dsig:X509IssuerSerial>
                  <dsig:X509IssuerName>CN=CertGenCAB, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown, ST=MyState, C=US</dsig:X509IssuerName>
                  <dsig:X509SerialNumber>61590287842211333696140797217026625564</dsig:X509SerialNumber>
               </dsig:X509IssuerSerial>
               <dsig:X509SubjectName>CN=sta00534.us.oracle.com, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown, ST=MyState, C=US</dsig:X509SubjectName>
            </dsig:X509Data>
         </dsig:KeyInfo>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5"/>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc"/>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes192-cbc"/>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc"/>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc"/>
      </md:KeyDescriptor>
      <md:AttributeService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://sta00534.us.oracle.com:7002/fed/aa/soap"/>
      <md:AssertionIDRequestService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://sta00534.us.oracle.com:7002/fed/aa/soap"/>
      <md:AssertionIDRequestService Binding="urn:oasis:names:tc:SAML:2.0:bindings:URI" Location="https://sta00534.us.oracle.com:7002/fed/aa/assertionid"/>
      <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
      <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName</md:NameIDFormat>
      <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
      <md:AttributeProfile>urn:oasis:names:tc:SAML:2.0:profiles:attribute:basic</md:AttributeProfile>
   </md:AttributeAuthorityDescriptor>
</md:EntityDescriptor>

SPメタデータのサンプル

次に示すのは、SSOサービス・プロバイダ、属性リクエスタの機能が有効なサーバーのメタデータのサンプルです。

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="id-f4-F2z4ncIOsHw5w6CkMjneSE7I-" entityID="http://sta00534.us.oracle.com:7499/fed/sp" validUntil="2009-05-24T15:39:48Z">
   <md:RoleDescriptor xmlns:query="urn:oasis:names:tc:SAML:metadata:ext:query" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" xsi:type="query:AttributeQueryDescriptorType">
      <md:KeyDescriptor use="signing">
         <dsig:KeyInfo xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
            <dsig:X509Data>
               <dsig:X509Certificate>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
               </dsig:X509Certificate>
               <dsig:X509IssuerSerial>
                  <dsig:X509IssuerName>CN=sta00534.us.oracle.com Signing Certificate</dsig:X509IssuerName>
                  <dsig:X509SerialNumber>37</dsig:X509SerialNumber>
               </dsig:X509IssuerSerial>
               <dsig:X509SubjectName>CN=sta00534.us.oracle.com Signing Certificate</dsig:X509SubjectName>
            </dsig:X509Data>
         </dsig:KeyInfo>
      </md:KeyDescriptor>
      <md:KeyDescriptor use="encryption">
         <dsig:KeyInfo xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
            <dsig:X509Data>
               <dsig:X509Certificate>MIICPDCCAeYCEC5V26OFPaoDxzAazNs8UBwwDQYJKoZIhvcNAQEEBQAweTELMAkGA1UEBhMCVVMxEDAOBgNVBAgTB015U3RhdGUxDzANBgNVBAcTBk15VG93bjEXMBUG
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
               </dsig:X509Certificate>
               <dsig:X509IssuerSerial>
                  <dsig:X509IssuerName>CN=CertGenCAB, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown, ST=MyState, C=US</dsig:X509IssuerName>
                  <dsig:X509SerialNumber>61590287842211333696140797217026625564</dsig:X509SerialNumber>
               </dsig:X509IssuerSerial>
               <dsig:X509SubjectName>CN=sta00534.us.oracle.com, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown, ST=MyState, C=US</dsig:X509SubjectName>
            </dsig:X509Data>
         </dsig:KeyInfo>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5"/>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc"/>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes192-cbc"/>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc"/>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc"/>
      </md:KeyDescriptor>
      <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName</md:NameIDFormat>
      <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
      <md:NameIDFormat>lastname</md:NameIDFormat>
   </md:RoleDescriptor>
   <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
      <md:KeyDescriptor use="signing">
         <dsig:KeyInfo xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
            <dsig:X509Data>
               <dsig:X509Certificate>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
               </dsig:X509Certificate>
               <dsig:X509IssuerSerial>
                  <dsig:X509IssuerName>CN=sta00534.us.oracle.com Signing Certificate</dsig:X509IssuerName>
                  <dsig:X509SerialNumber>37</dsig:X509SerialNumber>
               </dsig:X509IssuerSerial>
               <dsig:X509SubjectName>CN=sta00534.us.oracle.com Signing Certificate</dsig:X509SubjectName>
            </dsig:X509Data>
         </dsig:KeyInfo>
      </md:KeyDescriptor>
      <md:KeyDescriptor use="encryption">
         <dsig:KeyInfo xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
            <dsig:X509Data>
               <dsig:X509Certificate>MIICPDCCAeYCEC5V26OFPaoDxzAazNs8UBwwDQYJKoZIhvcNAQEEBQAweTELMAkGA1UEBhMCVVMxEDAOBgNVBAgTB015U3RhdGUxDzANBgNVBAcTBk15VG93bjEXMBUG
A1UEChMOTXlPcmdhbml6YXRpb24xGTAXBgNVBAsTEEZPUiBURVNUSU5HIE9OTFkxEzARBgNVBAMTCkNlcnRHZW5DQUIwHhcNMDgxMTE4MjAwNzE4WhcNMjMxMTE5MjAwNzE4WjCBhTELMAkGA1UEBhMCVVMxEDAOBgNVBAgWB015U3RhdGUxDzANBgNVBAcWBk15VG93bjEXMBUGA1UEChYOTXlPcmdhbml6YXRpb24xGTAXBgNVBAsWEEZPUiBURVNUSU5HIE9OTFkxHzAdBgNVBAMWFnN0YTAwNTM0LnVzLm9yYWNsZS5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMJCDgD00LDSUdWT0SznaU35ZkeQD2Ql6hvtoGcs8MfQpOM/yzM3C9GDlK9+0JpN+7EFGQsCCezFVEX6lMzWdkvdGhbTUJ8/FI32QZ6FPkFItZrnfOS6eDpxcPsnv33rPVQ+ccRvj7BK+sn24PEeV5rt3xF1cGuHGr57t/LtUa01AgMBAAEwDQYJKoZIhvcNAQEEBQADQQAChW8nbopN0FTyZRcVOTZKUlklHXf5X8Xi4gh2OIkkr7q9kjFlfI60SQZoD/nThn1sGZPPbtPGEwRevpqv7cI/
               </dsig:X509Certificate>
               <dsig:X509IssuerSerial>
                  <dsig:X509IssuerName>CN=CertGenCAB, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown, ST=MyState, C=US</dsig:X509IssuerName>
                  <dsig:X509SerialNumber>61590287842211333696140797217026625564</dsig:X509SerialNumber>
               </dsig:X509IssuerSerial>
               <dsig:X509SubjectName>CN=sta00534.us.oracle.com, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown, ST=MyState, C=US</dsig:X509SubjectName>
            </dsig:X509Data>
         </dsig:KeyInfo>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5"/>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc"/>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes192-cbc"/>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc"/>
         <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc"/>
      </md:KeyDescriptor>
      <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://sta00534.us.oracle.com:7002/fed/sp/samlv20" ResponseLocation="https://sta00534.us.oracle.com:7002/fed/sp/samlv20"/>
      <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://sta00534.us.oracle.com:7002/fed/sp/samlv20" ResponseLocation="https://sta00534.us.oracle.com:7002/fed/sp/samlv20"/>
      <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://sta00534.us.oracle.com:7002/fed/sp/samlv20ss" ResponseLocation="https://sta00534.us.oracle.com:7002/fed/sp/samlv20ss"/>
      <md:ManageNameIDService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://sta00534.us.oracle.com:7002/fed/sp/samlv20" ResponseLocation="https://sta00534.us.oracle.com:7002/fed/sp/samlv20"/>
      <md:ManageNameIDService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://sta00534.us.oracle.com:7002/fed/sp/samlv20" ResponseLocation="https://sta00534.us.oracle.com:7002/fed/sp/samlv20"/>
      <md:ManageNameIDService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://sta00534.us.oracle.com:7002/fed/sp/samlv20ss" ResponseLocation="https://sta00534.us.oracle.com:7002/fed/sp/samlv20ss"/>
      <md:ManageNameIDService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://sta00534.us.oracle.com:7002/fed/sp/soap"/>
      <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact" Location="https://sta00534.us.oracle.com:7002/fed/sp/art20" index="0" isDefault="true"/>
      <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://sta00534.us.oracle.com:7002/fed/sp/authnResponse20" index="1"/>
      <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://sta00534.us.oracle.com:7002/fed/sp/authnResponse20ss" index="2"/>
      <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS" Location="https://sta00534.us.oracle.com:7002/fed/sp/authnResponse20" index="4"/>
   </md:SPSSODescriptor>
</md:EntityDescriptor>

次のサブトピックについて説明します。

• バージョン

• プロバイダ固有のメタデータ

4.2.1.1 バージョン

IdPおよびSPの操作でメタデータ・リクエストを発行する際に、メタデータのバージョンを指定するには、version問合せパラメータを指定します。

問合せパラメータに次のいずれかの値を指定する必要があります。

• saml10: SAML 1.0メタデータ

• saml11: SAML 1.1メタデータ

• saml20: SAML 2.0メタデータ

• lib11: Liberty 1.1

• lib12: Liberty 1.2

注意: Liberty 1.xのサポートは非推奨です。

次の問合せの例は、SAML 2.0バージョンのIdPメタデータをリクエストします。

http://host:port/fed/idp/metadata?version=saml20

注意: versionパラメータを指定しない場合は、バージョンはsaml20とみなされます。

4.2.1.2 プロバイダ固有のメタデータ

Oracle Identity Federationでは、グローバルな構成パラメータを定義できます。また、特定のリモート・プロバイダと通信する場合にこれらのグローバル・パラメータを上書きする方法も用意されています。一部のパラメータは、上書きするとメタデータが変更されます。

相互運用性を考慮して、Oracle Identity Federationは特定のプロバイダの構成に基づいたメタデータの生成、またはグローバル設定を使用したメタデータの生成をサポートしています。

特定のプロバイダのグローバル設定を上書きする場合は、通常、プロバイダ固有の構成に基づいてOracle Identity Federationメタデータを生成し、そのメタデータをリモート・プロバイダに提供します。

特定のリモート・プロバイダのOracle Identity Federationメタデータを生成するには、URLにproviderid問合せパラメータを追加して、パラメータにプロバイダIDを設定します。次に例を示します。

http://host:port/fed/idp/metadata?providerid=idp.com

注意: provideridパラメータを指定しない場合は、グローバル構成に基づいてメタデータが生成されます。

4.2.2 サーバー証明書の取得

Oracle Identity FederationのIdP証明書を取得するには、次の形式のURLにアクセスします。

http://host:port/fed/idp/cert

Oracle Identity FederationのSP証明書を取得するには、次の形式のURLにアクセスします。

http://host:port/fed/sp/cert

その他の内容は次のとおりです。

• 証明書の使用方法の指定

• 証明書タイプの指定

4.2.2.1 証明書の使用方法の指定

返される証明書の使用方法(署名または暗号化)を指定するには、次のいずれかの値をuseパラメータに含めます。

• enc: 暗号化証明書

• sign: 署名証明書

次に例を示します。

http://host:port/fed/idp/cert?use=enc

このリクエスト・フォーマットではOracle Identity Federation IdPの新しい暗号化証明書が返されます。

注意: useパラメータを指定しない場合は、デフォルトで署名証明書が返されます。

4.2.2.2 証明書タイプの指定

返される証明書のタイプ(新/旧)を指定するには、次のいずれかの値をtypeパラメータに含めます。

• new: 新しい証明書

• old: 古い証明書

次に例を示します。

http://host:port/fed/idp/cert?type=old&use=enc

このリクエスト・フォーマットではOracle Identity Federation IdPの旧暗号化証明書が返されます。

注意: typeパラメータを指定しない場合は、デフォルトで新しい証明書が返されます。

4.2.3 SPが開始するシングル・サインオンの実行

フェデレーションSSO処理を開始するには、Oracle Identity Federation/SPインスタンスでサービスを直接リクエストします。

Oracle Identity Federationで、http://host:port/fed/sp/initiatessoの形式のURLをリクエストします。

URLをリクエストする際に、次の問合せパラメータを指定できます。

• providerid: SSO処理を実行するために使用するIdPの識別子です(オプション)。指定しない場合は、デフォルトのSSOプロバイダが使用されます。

• federationid: SSOで使用するアフィリエーションの識別子です(オプション)。詳細は、第6.2項「アフィリエーション関連の作業」を参照してください。

• returnurl: SSO処理が成功した場合にユーザーが送られるURLです。「非送信請求SSOリレー状態」プロパティが指定されていない場合は必須です。

URLの形式の例を次に示します。

http://host:port/fed/sp/initiatesso?providerid=http%3A%2F%2Fidp.com&returnurl=ProtectedAppURL

注意: 問合せパラメータ値が正しくURLエンコードされていることを確認します。

4.2.4 IdPが開始するシングル・サインオンの実行

Oracle Identity Federationには、IdPとして動作するOracle Identity FederationインスタンスでURLを直接リクエストすることによってSSO処理を開始する機能が用意されています。

Oracle Identity Federationで、http://host:port/fed/idp/initiatessoの形式のURLをリクエストします。

次の問合せパラメータを指定できます。

• providerid: SSO処理を実行するために使用するSAML 2.0 SPの識別子です(オプション)。

• federationid: SSOで使用するアフィリエーションの識別子です(オプション)。詳細は、第6.2項「アフィリエーション関連の作業」を参照してください。

• returnurl: SSO処理が成功した場合にユーザーが送られるURLです。

このタイプのURLの例を次に示します。

http://host:port/fed/idp/initiatesso?providerid=http%3A%2F%2Fsp.com&returnurl=ProtectedAppURL

注意: 問合せパラメータ値が正しくURLエンコードされていることを確認します。

4.2.5 IdPが開始するSSOでのリレー状態の使用

IdPが非送信請求シングル・サインオン操作を実行するときに、リレー状態をサービス・プロバイダに通信できます。リレー状態は、シングル・サインオン処理が正常に終了した後にユーザーが送られる最終のターゲットURLとして使用できます。

IdPが開始するSSOでは次の使用方法が可能です。

シナリオ1: リレー状態を使用したIdPが開始するSSO

IdPが開始するURLの形式は次のとおりです。

http://host:port/fed/idp/initiatesso?providerid=providerA&returnURL=http://somelink

この場合、Oracle Identity Federationは、initiatessoディレクティブにreturnURLがあることを確認し、そのURLをrelayStateに設定してSPに送信します。

シナリオ2: SPでリレー状態を設定する場合のIdPが開始するSSO

IdPが開始するURLの形式は次のとおりです。

 http://host:port/fed/idp/initiatesso?providerid=providerA

この場合、returnURLがないため、サーバーはSP(providerA)の構成を確認します。非送信請求リレー状態に対して特定のURLが設定されている場合は、そのURLをRelayStateとして設定してSPに送信します。

シナリオ3: リレー状態がない場合のIdPが開始するSSO

シナリオ2と同様に、IdPが開始するURLの形式は次のとおりです。

 http://host:port/fed/idp/initiatesso?providerid=providerA

この場合、returnURLがないため、サーバーはproviderAの構成を確認します。非送信請求リレー状態に対してURLが設定されていない場合は、SPにRelayStateを送信しません。このシナリオでは、サーバーは、SSO処理完了後のユーザーの送信先はSPの構成/ロジックに基づいて決定されることを想定しています。

4.2.6 ログアウト処理の起動

ログアウト処理を起動するには、次の形式のURLにアクセスします。

http://hostname:port/fed/user/logout?returnurl=http%3A%2F%2Fanotherhostname%2Fpath

ログアウト・サービスは、returnurlパラメータを取ります。これは正確な処理に必要です。ログアウト処理が完了した後にユーザーがこのURLにリダイレクトされます。

Oracle Identity FederationログアウトURLの呼出し時にreturnurlパラメータを指定しない場合は、サインオフ処理が実行された後で、組込みのログアウト結果ページがサーバーに表示されます。

ログアウトは、次のプロトコルのすべてのピア・プロバイダに対して実行されます。

• SAML 2.0

• WS-Federation

• Liberty 1.1

• Liberty 1.2

SAML 1.xプロトコルでは、ローカルのOracle Identity Federationセッションのみが削除されます。ユーザーのセッションが終了したことは、SAML 1.xリモート・プロバイダには通知されません。

関連項目: ユーザーがグローバル・ログアウトを呼び出せるようにOracle Identity Federationを構成する方法の詳細は、第6.8.3項「オンデマンド・グローバル・ログアウトの構成」を参照してください。

4.2.7 署名検証証明書プロパティの設定(SAML 1.x)

SAML 1.xプロバイダのXMLメタデータをアップロードしておらず、そのプロバイダが署名付きメッセージを送信するように構成されている場合は、次を実行する必要があります。

• プロバイダがIdPの場合は、IdP Signature Verification Certificateプロパティを設定する必要があります。

• プロバイダがSPの場合は、SP Signature Verification Certificateプロパティを設定する必要があります。

関連項目: これらの証明書の取得方法の詳細は、第4.2.2項「サーバー証明書の取得」を参照してください。

4.2.8 SPが開始するシングル・サインオンの実行(SAML 1.x)

SPが開始するSSOを実行するには、特定のプロパティを設定する必要があります。

SPメタデータをIdPに追加し、そのメタデータを選択して「編集」をクリックします。「信頼できるプロバイダ設定」セクションで次のプロパティを設定します。

SPアサーション・コンシューマ・サービスURL: http://host:port/fed/sp/samlv11sso

IdPメタデータをSPに追加してから、そのメタデータを選択して「編集」をクリックします。「信頼できるプロバイダ設定」セクションで次のプロパティを設定します。

• IdPが開始するSSOのURL: http://host:port/fed/idp/samlv11sso(SAML 1.1の場合)またはhttp://host:port/fed/idp/samlv10sso(SAML 1.0の場合)

• IdPが開始するSSOのターゲット・パラメータ: ピア・プロバイダが目的のリソースを特定する際に使用する任意の妥当な文字列(Oracle Identity Federationでは"TARGET")。

• IdPが開始するSSOのプロバイダ・パラメータ: providerid

• IdP SOAPアーティファクト解決エンドポイント: http://host:port/fed/idp/soapv11

4.2.9 属性リクエストおよび問合せの送信(SAML 1.x)

SAML 1.xではユーザーの属性を取得するためのプロトコルが定義されています。SPとして動作するOracle Identity Federationインスタンスに属性リクエストを送信したり、IdPとして動作するOracle Identity FederationインスタンスにSAML 1.x属性問合せを送信したりできます。

第5.6項「Oracle Access Manager AuthZプラグインによる属性共有の構成」では、SPおよびIdPでSAMLの属性共有を構成する方法について説明しています。

属性リクエストを(SOAPエンベロープで)SPに送信するには、http://sphost:port/fed/ar/soapのURLの形式を使用します。

SAML 1.x属性問合せを(SOAPエンベロープで)IdPに送信するには、http://idphost:port/fed/aa/soapv11の形式のURLを使用します。

詳細は、次を参照してください。

• 第5.6項「Oracle Access Manager AuthZプラグインによる属性共有の構成」

• 第4.3.5項「SAML 1.xとWSフェデレーションに対するシングル・サインオンの設定」

また、属性の名前と値のマッピングおよび属性フィルタリングを構成することもできます。詳細は、第5.9項「属性マッピングおよびフィルタリングの構成」を参照してください。

アイデンティティ・プロバイダとして動作するOracle Identity FederationでSAML 1.x属性問合せを受信する場合、リクエスタを識別する必要があります。Oracle Identity Federationでリクエスタを識別するには、SSLクライアント証明書を指定する方法とHTTP Basic認証で認証する方法の2つがあります。

SSLクライアント証明書によってリクエスタを認証する場合、証明書サブジェクトのcnは、Oracle Identity Federationがリクエスタの識別に使用するプロバイダIDである必要があります。HTTP Basic認証によってリクエスタを認証する場合、リクエスタが使用するユーザー名は、Oracle Identity Federationがリクエスタの識別に使用するプロバイダIDである必要があります。

クライアント認証またはHTTP Basic認証によってSSLを設定する方法の詳細は、第6.9項「SOAPエンドポイントの保護」を参照してください。

4.2.9.1 属性リクエスタ・サービスを使用する場合の名前IDフォーマット文字列

属性リクエスタ・サービスを使用する場合に、NameIDフォーマットに使用される文字列は次のとおりです。

表4-2 属性リクエスタ・サービスの名前IDフォーマット

フォーマット	文字列
x509	oracle:security:nameid:format:x509
email	oracle:security:nameid:format:emailaddress
windows	oracle:security:nameid:format:windowsdomainqualifiedname
kerberos	oracle:security:nameid:format:kerberos
persistent	oracle:security:nameid:format:persistent
transient	oracle:security:nameid:format:transient
unspecified	oracle:security:nameid:format:unspecified
カスタム	oracle:security:nameid:format:custom
userid	oracle:security:nameid:format:userid

4.2.10 認証問合せの送信(SAML 1.x)

IdPとして動作するOracle Identity FederationインスタンスにSAML 1.x認証問合せを送信するには、次の形式のURLを使用します。

http://host:port/fed/authnauth/soapv11

アイデンティティ・プロバイダとして動作するOracle Identity FederationでSAML 1.x認証問合せを受信する場合、リクエスタを識別する必要があります。Oracle Identity Federationでリクエスタを識別するには、SSLクライアント証明書を指定する方法とHTTP Basic認証で認証する方法の2つがあります。

SSLクライアント証明書によってリクエスタを認証する場合、証明書サブジェクトのcnは、Oracle Identity Federationがリクエスタの識別に使用するプロバイダIDである必要があります。HTTP Basic認証によってリクエスタを認証する場合、リクエスタが使用するユーザー名は、Oracle Identity Federationがリクエスタの識別に使用するプロバイダIDである必要があります。

クライアント認証またはHTTP Basic認証によってSSLを設定する方法の詳細は、第6.9項「SOAPエンドポイントの保護」を参照してください。

4.3 アイデンティティ・フェデレーションの管理

サーバーの信頼できるプロバイダを表示および管理するには、Fusion Middleware ControlでOracle Identity Federationサーバーの「フェデレーション」ページを使用します。

Fusion Middleware Controlでページを表示するには、対象のインスタンスを選択して、「Oracle Identity Federation」→「管理」→「フェデレーション」の順に移動します。

このセクションの内容は次のとおりです。

• プロバイダの検索

• 信頼できるプロバイダの追加

• 信頼できるプロバイダの更新

• 信頼できるプロバイダの削除

• SAML 1.xとWSフェデレーションに対するシングル・サインオンの設定

4.3.1 プロバイダの検索

この機能を使用して、信頼できるプロバイダからプロバイダを見つけます。

テキスト・ボックスで、プロバイダIDまたはプロバイダの説明を入力します。「検索」アイコンをクリックします。

プロバイダIDまたは説明の一部を入力することができます。たとえば、ポート番号を入力すると、指定したポートをリスニングするサーバーのみが表示されます。

4.3.2 信頼できるプロバイダの追加

サーバーの信頼できるプロバイダに信頼できるプロバイダを追加する手順は次のとおりです。

1. Fusion Middleware Controlで、左側のトポロジ・パネルでサーバー・インスタンスを選択します。

2. 「Oracle Identity Federation」→「管理」→「フェデレーション」の順にナビゲートします。

3. 「フェデレーション」ページで、「追加」をクリックします。

   「信頼できるプロバイダの追加」ダイアログが表示されます。プロバイダの詳細をここで指定するか、ファイル・システムからアップロードできます。

次の点に注意してください。

• メタデータをアップロードする場合は、関連するSPサイトまたはIdPサイトで同じプロトコルが使用されているかどうかを確認するための検証は行われません。プロトコルを検証する場合は、フェデレーテッド・シングル・サインオンを実行します。

• Firefoxブラウザを使用して、Fusion Middleware Controlの「フェデレーション」ページからプロバイダ・メタデータをアップロードすると、アップロードしたプロバイダ・メタデータ・ファイルはFirefoxを再起動するまで変更できません。

  これは、FirefoxのLive HTTP Headerアドオンに起因するものです。このアドオンを無効にしてFirefoxを再起動すると、「フェデレーション」ページでメタデータをアップロードした後にプロバイダ・メタデータ・ファイルを変更できるようになります。

4.3.3 信頼できるプロバイダの更新

信頼できるプロバイダを更新または削除する手順は次のとおりです。

1. Fusion Middleware Controlで、左側のトポロジ・パネルでサーバー・インスタンスを選択します。

2. 「Oracle Identity Federation」→「管理」→「フェデレーション」の順にナビゲートします。

3. プロバイダを選択して、「編集」をクリックします。

信頼できるプロバイダの制御プロパティが次のように表示されます。

「信頼できるプロバイダ設定」タブが次のように表示されます。

「Oracle Identity Federation設定」タブの最初のフィールド群は次のように表示されます。

「Oracle Identity Federation設定」タブの2番目および最後のフィールド群は次のように表示されます。

関連項目: 第4.3.5項「SAML 1.xとWSフェデレーションに対するシングル・サインオンの設定」

4.3.4 信頼できるプロバイダの削除

サーバーの信頼できるプロバイダを更新または削除する手順は次のとおりです。

1. Fusion Middleware Controlで、左側のトポロジ・パネルでサーバー・インスタンスを選択します。

2. 「Oracle Identity Federation」→「管理」→「フェデレーション」の順にナビゲートします。

3. プロバイダを選択して、「削除」をクリックします。

4.3.5 SAML 1.xとWSフェデレーションに対するシングル・サインオンの設定

SAML 1.xおよびWS-Federationプロトコルに対するSSOを設定するには、まず信頼できるプロバイダのリストにピア・プロバイダを追加し、続いてプロトコルの必須属性を入力します。

信頼できるプロバイダへのピア・プロバイダの追加

このタスクを実行するには、次の手順を実行します。

1. Fusion Middleware Controlで、左側のトポロジ・パネルでサーバー・インスタンスを選択します。

2. 「Oracle Identity Federation」→「管理」→「フェデレーション」の順に移動します。

3. 「フェデレーション」ページで、「追加」をクリックします。

4. 「プロバイダの手動追加」オプションを選択します。必須属性を入力したら、「OK」をクリックして信頼できるプロバイダを追加します。

SAML 1.xの必須属性の入力

SAML1.xメタデータをアップロードすることもできます。これは、Oracle Identity Federationで生成できます。ピア・プロバイダの署名証明書とアーティファクト解決SOAPエンドポイントのパラメータは自動的に入力されます。

このタスクを実行するには、次の手順を実行します。

1. 「フェデレーション」ページで、SAML 1.Xプロバイダを選択して「編集」をクリックします。

2. 「手動更新」オプションを選択します。

3. 「信頼できるプロバイダ設定」タブを選択します。

4. ピア・プロバイダがアイデンティティ・プロバイダの場合は、次の手順を実行します。

   1. 「アイデンティティ・プロバイダ/認証局設定」セクションで、「新規署名検証証明書」フィールドにピア・プロバイダの署名証明書を入力します。

   2. 「SSO URLの開始」フィールドに、ピア・プロバイダでSSOフローの開始に使用するURLを入力します。

   3. 「SSOターゲット・パラメータの開始」フィールドに、ピア・プロバイダで目的のリソースの識別に使用するパラメータを入力します(Oracle Identity FederationではTARGET)。

   4. 「SSOプロバイダIDパラメータの開始」フィールドに、ピア・プロバイダでサービス・プロバイダのプロバイダIDの識別に使用するパラメータの名前を入力します。Oracle Identity Federationピア・アイデンティティ・プロバイダの場合、パラメータ名はprovideridです。

   5. 「アーティファクト解決SOAPエンドポイント」フィールドに、ピア・プロバイダでSOAPリクエストを受信してアーティファクトを解決する際に使用するURLを入力します。

   6. 「アーティファクト・ソースID」フィールドに、ソースIDパラメータを入力します。Oracle Identity Federation/SPは、この値を使用して既知のIdPのリストからユーザーの優先アイデンティティ・プロバイダを検索します。

      ソースIDが指定されていない場合は、Oracle Identity FederationがプロバイダIDのSHA-1ダイジェストとして自動的にソースIDを生成します。

   たとえば、Oracle Identity Federationピア・アイデンティティ・プロバイダは、前述のステップb、c、dで入力した構成を使用する次の「SSO URLの開始」を持つ場合があります。

   http://saml.example.com/fed/idp/initiatesso?TARGET=<protected-resource-url>&providerid=<sp-provider-id-uri>

5. ピア・プロバイダがサービス・プロバイダの場合は、次の手順を実行します。

   1. 「サービス・プロバイダ/リクエスタ設定」セクションで、「新規署名検証証明書」フィールドにピア・プロバイダの署名証明書を入力します。

   2. 「アサーション・コンシューマ・サービスURL」フィールドに、ピア・プロバイダでアサーションの処理に使用するURLを入力します。

WS-Federation SSOの必須属性の入力

このタスクを実行するには、次の手順を実行します。

1. 「フェデレーション」ページで、WS-Fed 1.1プロバイダを選択して「編集」をクリックします。

2. 「手動更新」オプションを選択します。

3. 「ピア・プロバイダ設定」タブを選択します。

4. ピア・プロバイダがアイデンティティ・プロバイダの場合は、次の手順を実行します。

   1. 「アイデンティティ・プロバイダ/認証局設定」セクションで、「新規署名検証証明書」フィールドにピア・プロバイダの署名証明書を入力します。

   2. 「アイデンティティ・レルム・セキュア・トークンURL」フィールドに、認証リクエストの送信先となるピア・プロバイダのURLを追加します。

5. ピア・プロバイダがサービス・プロバイダの場合は、次の手順を実行します。

   1. 「リソース・レルム・セキュア・トークンURL」フィールドに、アサーションの送信先となるピア・プロバイダのURLを入力します。

   2. 「アサーション・タイプ/バージョン」ドロップダウン・リストから、このサービスプロバイダに送信されるアサーションのバージョンを選択します。

ピア・プロバイダに送信する必須プロパティ - WS-Federation

IdPの場合は次のものをピア・プロバイダ(SP)に送信する必要があります。

• プロバイダID http(s)://server_name:server_port/fed/idp

• 署名証明書

• アイデンティティ・レルム・セキュア・トークンURL(認証リクエストの送信先URL http(s)://server_name:server_port/fed/idp/wsfed11)

SPの場合は次のものをピア・プロバイダ(IdP)に送信する必要があります。

• プロバイダID http(s)://server_name:server_port/fed/sp

• リソース・レルム・セキュア・トークンURL(アサーションの送信先URL http(s)://server_name:server_port/fed/sp/wsfed11)

• アサーション・タイプ/バージョン(送信されるアサーションのバージョン(オプション))

ピア・プロバイダに送信する必須プロパティ - SAML 1.x

IdPの場合は次のものをピア・プロバイダ(SP)に送信する必要があります。

• プロバイダID http(s)://server_name:server_port/fed/idp

• 署名証明書

• IdPが開始するSSOのURL(認証リクエストの送信先となるURL)

  SAML 1.1の場合:

  http(s)://server_name:server_port/fed/idp/samlv11sso
  

  SAML 1.0の場合:

  http(s)://server_name:server_port/fed/idp/samlv10sso
  

• IdPアーティファクト解決URL(アーティファクト問合せを送信するURL) http(s)://server_name:server_port/fed/idp/soapv11

• ターゲットURL問合せパラメータ(Oracle Identity FederationではTARGET)。このパラメータには、ユーザーのサインオンが成功した場合に表示されるURLを含めます。

• プロバイダID URL問合せパラメータ(Oracle Identity Federationではproviderid)。このパラメータには、SPでSAML1.x SSOを開始する際のSPプロバイダIDを含めます。

• アーティファクト・プロファイルに必要なソースID。この値はIdPメタデータ(タグ<saml1md:SourceID>)から取得されます。

SPの場合は次のものをピア・プロバイダ(IdP)に送信する必要があります。

• プロバイダID http(s)://server_name:server_port/fed/sp

• 署名証明書(SOAPリクエストに署名する場合)

• アサーション・コンシューマのURL(アサーションの送信先URL http(s)://server_name:server_port/fed/sp/samlv11sso)

4.4 アイデンティティの構成

このページは、ユーザーおよびフェデレーテッド・アイデンティティの検索と管理、および検索オプションのメンテナンスを行う場合に使用します。

• フェデレーテッド・アイデンティティについて

• アイデンティティ - フェデレーション

• アイデンティティ - ユーザー

• アイデンティティ - 検索オプション

注意: Liberty 1.xのサポートは非推奨です。

4.4.1 フェデレーテッド・アイデンティティについて

ユーザーが初めてSSOを実行するときに、Oracle Identity Federationがフェデレーション・データ・ストアで構成されている場合は、ユーザーのフェデレーテッド・アイデンティティに関する情報を含むフェデレーション・レコードが作成されます。内容は次のとおりです。

• ユーザー名: Oracle Identity Federationがユーザーを識別するユーザーID。

• ユーザーの説明: ユーザーの説明。

• IdP指定名前ID: SSO実行時にアイデンティティ・プロバイダで指定される名前ID。

• IdP指定名前IDフォーマット: アイデンティティ・プロバイダで指定される名前IDのフォーマット。このフィールドは、フォーマットが"persisent"の場合は空白になります。

• IdP指定名前ID修飾子: アイデンティティ・プロバイダで必要に応じて指定される名前ID修飾子。

• プロトコルのバージョン: SSO実行時に使用されるプロトコルのバージョン。

• SP指定名前ID: サービス・プロバイダで指定される名前ID。フェデレーションの作成時には空白になります。

• SP指定名前IDフォーマット: サービス・プロバイダで指定される名前IDのフォーマット。このフィールドは、フォーマットが"persisent"の場合は空白になります。

• SP指定名前ID修飾子: サービス・プロバイダで必要に応じて指定される名前ID修飾子。

• SP指定名前IDバージョン: SP名前IDのバージョン。

• プロバイダID: SSOが実行されたピア・プロバイダのプロバイダID。

• フェデレーション・タイプ: 作成されたフェデレーションのタイプ。次の値のいずれかになります。

  • 1: IdPとして動作するこのサーバーとSP間のフェデレーション

  • 2: IdPとして動作するこのサーバーとアフィリエーション間のフェデレーション

  • 3: SPとして動作するこのサーバーとIdP間のフェデレーション

  • 4: アフィリエーションとして動作するOracle Internet DirectoryサーバーとIdP間のフェデレーション

アイデンティティ・プロバイダで名前識別子管理(MNI)操作を実行してフェデレーションを更新すると、次のフィールドの値が更新されます。

• IdP指定名前ID

• IdP指定名前IDフォーマット

• IdP指定名前ID修飾子

• プロトコルのバージョン

サービス・プロバイダで名前識別子管理(MNI)操作を実行してフェデレーションを更新すると、次のフィールドの値が更新されます。

• SP指定名前ID

• SP指定名前IDフォーマット

• SP指定名前ID修飾子

• SP指定名前IDバージョン

次のフィールドは、フェデレーション・レコードの作成時には空白になります。

• SP指定名前IDフォーマット

• SP指定名前ID修飾子

• SP指定名前IDバージョン

4.4.2 アイデンティティ - フェデレーション

このページは、フェデレーテッド・アイデンティティ・レコードの検索およびメンテナンスを行う場合に使用します。

簡易検索

次の検索フィールドがあります。

• プロバイダID: プロバイダIDを入力して「参照」をクリックし、信頼できるプロバイダのリストから適切なIDを選択します。このフィールドにプロバイダIDを入力すると、指定したプロバイダで作成されたフェデレーテッド・アイデンティティのみに限定して検索が行われます。プロバイダIDを指定しない場合は、すべての信頼できるプロバイダで作成されたフェデレーテッド・アイデンティティを対象に検索が行われます。

• 検索値: 検索する値を入力します。値を指定しない場合は、すべてのフェデレーテッド・アイデンティティ・レコードが返されます。

検索によってフェデレーション・レコードの表が返されます。表に表示される列は、検索オプションの構成で構成されているデフォルト表示属性によって異なります。

関連項目: 第4.4.4項「アイデンティティ - 検索オプション」

拡張検索

拡張検索を実行するには、次の手順を実行します。

• 「プロバイダID」またはその一部を入力して「参照」をクリックし、信頼できるプロバイダのリストから適切なIDを選択します。このフィールドにプロバイダIDを入力すると、指定したプロバイダで作成されたフェデレーテッド・アイデンティティのみに限定して検索が行われます。プロバイダIDを指定しない場合は、すべての信頼できるプロバイダで作成されたフェデレーテッド・アイデンティティを対象に検索が行われます。

• 新規および旧名前IDの値をフェデレーション・レコードの検索に含めるには、「新規および旧名前IDを検索に含める」を選択します。

  
  

  注意: 新規および旧名前IDの各フィールドは、フェデレーション・レコードに対して以前に更新操作が実行されていて、プロトコルが有効になっている場合にのみ移入されます。 NameID登録が無効になっているか、これまでに更新操作が実行されていない場合は、検索操作でこれらのフィールドを含める必要はありません。

  
  

• 「演算子」ラジオ・ボタンを使用して、返されるレコードがすべての条件を満たしている必要がある(And)か、いずれかの条件を満たしていればよい(Or)かを指定します。

• 検索条件を追加するには、次の手順に従います。

  • 「属性の追加」をクリックします。

  • ポップアップ・ボックスが表示されます。ドロップダウン・リストを使用してフェデレーテッド・アイデンティティの属性を選択し、「OK」をクリックします。

  • 属性が検索オプションとして表示されます。使用するコンパレータおよび検索する値を選択します。

• 「検索」をクリックします。

レコードの管理

表示されたレコードを管理するには、対応する行を選択します。ページにあるボタンの機能は次のとおりです。

• 更新: 名前ID管理(MNI)操作を実行して、フェデレーテッド・アイデンティティの名前IDを更新します。詳細は、第4.4.1項「フェデレーテッド・アイデンティティについて」を参照してください。

• 削除: 名前ID管理(MNI)操作を実行して「Terminate」フラグをtrueに設定し、レコードを削除することによってフェデレーテッド・アイデンティティを終了します。

これらの機能は、SAML 2.0およびLiberty 1.xプロトコルの場合に使用できます。

注意: Liberty 1.xのサポートは非推奨です。

4.4.3 アイデンティティ - ユーザー

このページは、ユーザー・レコードの検索およびメンテナンスを行う場合に使用します。

簡易検索

ローカル・ユーザーのエントリで検索する値を入力し、「検索」をクリックします。値を指定しない場合は、すべてのユーザーが返されます。

検索によってユーザー・レコードの表が返されます。表に表示される列は、検索オプションの構成で構成されているデフォルト表示属性によって異なります。

関連項目: 第4.4.4項「アイデンティティ - 検索オプション」

拡張検索

拡張検索を実行するには、次の手順を実行します。

• 「演算子」ラジオ・ボタンを使用して、返されるレコードがすべての条件を満たしている必要がある(And)か、いずれかの条件を満たしていればよい(Or)かを指定します。

• 検索条件を追加するには、次の手順に従います。

  • 「属性の追加」をクリックします。

  • ポップアップ・ボックスが表示されます。リストからユーザーの属性を選択し、「OK」をクリックします。

    
    

    注意: このリストに表示される属性は、第4.4.4項「アイデンティティ - 検索オプション」の検索オプションの構成で構成した属性です。

    
    

  • 属性が検索条件として表示されます。使用するコンパレータおよび検索する値を選択します。

  • 「検索」をクリックします。

4.4.4 アイデンティティ - 検索オプション

このページは、ユーザーおよびフェデレーションのレコードの検索で使用する属性を構成する場合に使用します。

このページには、次の2つの表が表示されます。

• 「フェデレーション」表には、「アイデンティティ」ページのアイデンティティ - フェデレーション・レコードタブで使用可能な属性が表示されます。表示される内容は次のとおりです。

  • 属性の表示名

  • この属性が簡易検索のデフォルト検索属性かどうか、つまり、この属性に対して簡易検索が行われるどうか。

  • 簡易検索および拡張検索の結果にこの属性がデフォルトで表示されるかどうか。

  チェック・ボックスを使用して、デフォルトで使用できるようにする属性を検索用と表示用のそれぞれに指定します。「適用」をクリックして、変更を保存します。

• 「ローカル・ユーザー」表には、「アイデンティティ」ページのアイデンティティ - ユーザータブで使用可能な属性が表示されます。表示される内容は次のとおりです。

  • ユーザー・データ・ストアの属性の名前

  • 属性の表示名

  • この属性が簡易検索のデフォルト検索属性かどうか、つまり、この属性に対して簡易検索が行われるどうか。

  • 簡易検索および拡張検索の結果にこの属性がデフォルトで表示されるかどうか。

  チェック・ボックスを使用して、デフォルトで使用できるようにする属性を検索用と表示用のそれぞれに指定します。「適用」をクリックして、変更を保存します。

  「作成」をクリックして、別の属性をリストに追加します。次の値を入力します。

  • 属性名: ユーザー・データ・ストアの属性名。

  • 表示名: この属性を参照したときに表示される名前。

  • デフォルト検索属性: 簡易検索でこの属性を検索する場合に選択します。

  • デフォルト表示属性: この属性を検索結果に表示する場合に選択します。

  • ソート対象: この属性の値に基づいて検索結果をソートする場合に選択します。

  表示および検索で使用可能な属性のリストから属性を削除するには、その属性を選択して「削除」をクリックします。属性を削除すると、その属性は使用できなくなりますが、「作成」を使用して、その属性をリストに追加しなおすことができます。

フェデレーテッド・アイデンティティの属性

使用できる属性は、次のとおりです。

• ユーザー名

• ユーザーの説明

• IdP ID

• IdPフォーマット

• IdP修飾子

• プロトコルのバージョン

• SPプロバイダID

• SPプロバイダIDフォーマット

• SPプロバイダIDバージョン

• プロバイダID

• フェデレーション・タイプ

  フェデレーション・タイプには次の値を指定できます。

  • 1: IdPとして動作するこのサーバーとSP間のフェデレーション

  • 2: IdPとして動作するこのサーバーとアフィリエーション間のフェデレーション

  • 3: SPとして動作するこのサーバーとIdP間のフェデレーション

  • 4: アフィリエーションとして動作するOracle Internet DirectoryサーバーとIdP間のフェデレーション

新規および旧名前IDの値をフェデレーション・レコードの検索操作に含めるには、「新規および旧名前IDを検索に含める」を選択します。

新規および旧名前IDの各フィールドは、フェデレーション・レコードに対して以前に更新操作が実行されていて、NameID登録プロトコルが有効になっている場合にのみ移入されます。

プロトコルが無効になっているか、これまでに更新操作が実行されていない場合は、検索操作でこれらのフィールドを含める必要はありません。

ユーザーの属性

ローカル・ユーザーの検索を実行するには、「検索オプション」タブの「ローカル・ユーザー」表にユーザーの属性を追加する必要があります。ただし、ユーザー・データ・ストアのタイプがLDAPの場合は、次の属性があらかじめ追加されています。

• 電子メール・アドレス

• ユーザーID

• 姓

• 名

4.5 Oracle Identity Federationの資格証明の管理

Oracle Identity Federationで使用されるいくつかのプロパティは、資格証明ストアに格納されています。表4-3にプロパティのリストを示します。

注意: 引用符付きの値は、格納されているリテラル値です。

表4-3 資格証明ストアに格納されているOracle Identity Federationのプロパティ

キー	説明	Username	Password	別名
jcepwdsign	PKCS#12/JCE署名パスワード	"UniqueUserNameCredential"	password	ApplicationName
oldjcepwdsign	旧PKCS#12/JCE署名パスワード	"UniqueUserNameCredential"	password	ApplicationName
jcepwdenc	PKCS#12/JCE暗号化パスワード	"UniqueUserNameCredential"		ApplicationName
oldjcepwdenc	旧PKCS#12/JCE暗号化パスワード	"UniqueUserNameCredential"	password	ApplicationName
userldappassword	ユーザー・データ・ストアのLDAP資格証明	User Store Bind DN (userldapusername)	password	ApplicationName
fedldappassword	フェデレーション・データ・ストアのLDAP資格証明	Fed Store Bind DN (fedldapusername)	password	ApplicationName
ldappassword	LDAP認証エンジンのLDAP資格証明	Auth Engine Bind DN (ldapbinddn)	password	ApplicationName
ossopartnerkey	Oracle SSOパートナ・キー	"UniqueUserNameCredential"	password	ApplicationName
ossooldpartnerkey	旧Oracle SSOパートナ・キー	"UniqueUserNameCredential"	password	ApplicationName
proxypassword	Fusion Middleware Controlの「サーバー・プロパティ」ページのプロキシ・パスワード	プロキシ・ユーザー名(proxyuser)	password	ApplicationName
PROVIDER_ID	ピア・プロバイダ固有のページでのHTTP Basic認証用パスワード	HTTP Basic認証のユーザー名(authnbasicusername)	password	ApplicationName

次の点に注意してください。

• パスワードは構成時にユーザーが入力します。

• ApplicationNameは、Oracle Identity Federationのデプロイ時に使用される名前です(デフォルトではOIF)。

• Authn Engine Bind DNは、ユーザーがLDAP認証エンジンに指定したバインドDNです。

• Fed Store Bind DNは、ユーザーがLDAPフェデレーション・ストアに指定したバインドDNです。

• User Store Bind DNは、ユーザーがユーザー・アイデンティティ・ストアに指定したバインドDNです。

手動による資格証明の管理

注意: 次のWLSTコマンドを実行するときには、Oracle Identity Federationが実行されている管理対象サーバーではなく、管理サーバーに接続してください。

Fusion Middleware Controlを使用してOracle Identity Federationを構成すると、資格証明は自動的に資格証明ストアに格納されます。

必要に応じて、WLSTコマンドを使用するか、Fusion Middleware Controlを使用して、これらの資格証明を手動で更新できます。

関連項目: この2つのツールを使用した構成方法の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の資格証明ストアの構成に関する項を参照してください。

WLSTの対話モードの使用例として、Oracle Identity Federationにアクセスできるようにuserldappasswordを資格証明ストアに格納する場合は、次のコマンドを発行します。

この例では、LDAPバインドdnはcn=orcladminであり、passwordには正しいパスワードが代入されていて、Oracle Identity FederationがOIFというアプリケーション名でデプロイされていることを想定しています。

userldappassword資格証明を作成するには、次のようにします。

createCred(map="OIF", key="userldappassword", 
user="cn=orcladmin", password="password", desc="user ldap password")

userldappassword資格証明を更新するには、次のようにします。

updateCred(map="OIF", key="userldappassword", 
user="cn=orcladmin", password="password", desc="User ldap password")

userldappassword資格証明を削除するには、次のようにします。

deleteCred(map="OIF", key="userldappassword")