Oracle OpenSSO Fedlet は、Java または .NET のサービスプロバイダアプリケーションに配備できる計量なサービスプロバイダ (SP) 実装で、アプリケーションは SAMLv2 プロトコルを使用して Oracle OpenSSO 8.0 Update 2 などのアイデンティティープロバイダ (IDP) とやりとりできるようになります。Fedlet には、お使いのプラットフォームに合わせて 2 つのバージョンが用意されています。
Java Fedlet は OpenSSO 8.0 で最初にリリースされました。詳しくは、『Sun OpenSSO Enterprise 8.0 Deployment Planning Guide』の第 5 章「Using the OpenSSO Enterprise Fedlet to Enable Identity Federation」を参照してください。
.NET Fedlet は OpenSSO 8.0 Update 1 でリリースされました。詳しくは、『Sun OpenSSO Enterprise 8.0 Update 1 Release Notes』の第 10 章「Using the ASP.NET Fedlet with OpenSSO Enterprise 8.0 Update 1」を参照してください。
Oracle OpenSSO 8.0 Update 2 では、次の Fedlet が利用できます。
Oracle OpenSSO 8.0 Update 2 の ZIP ファイルを解凍したあと、Java Fedlet および .NET Fedlet の両方が次のファイルから取得できます。
zip-root/opensso/fedlet/fedlet-unconfigured.zip。zip-root は、Oracle OpenSSO 8.0 Update 2 の ZIP ファイルを解凍した場所です。
Oracle OpenSSO 8.0 Update 2 をインストールしたあと、OpenSSO 8.0 管理コンソールで「Common Tasks」の下にある「Create Fedlet」ワークフローを使用して Java Fedlet を作成できます。
Fedlet には次の要件があります。
fedlet.war または、Fedlet と統合された Java サービスプロバイダアプリケーションを配備する場合は、Oracle OpenSSO 8.0 Update 2 がサポートする Web コンテナ。「OpenSSO 8.0 Update 2 のハードウェアおよびソフトウェア要件」を参照してください。
.NET Fedlet を配備する場合は、Microsoft Internet Information Server (IIS) 7.0 以降
JDK 1.6.x 以降
この節では、サービスプロバイダアプリケーションで Fedlet を最初に設定する方法を説明します。
Fedlet の初回設定が終わったあと、ほかに実施する設定があれば続けます。いくつかの留意点を次に示します。
Fedlet の sp.xml ファイルを編集する場合は、このファイルをアイデンティティープロバイダに再インポートする必要があります。
サービスプロバイダ側でほかの Fedlet 設定も変更する場合は、その情報をアイデンティティープロバイダの管理者に伝えて、アイデンティティープロバイダ側で必要な設定を変更できるようにします。
アイデンティティープロバイダ側で、アイデンティティープロバイダの XML メタデータを生成し、idp.xml という名前のファイルにそのメタデータを保存します。
Oracle OpenSSO 8.0 Update 2 の場合、exportmetadata.jsp を使用します。例:
http://opensso-idp.example.com:8080/opensso/saml2/jsp/exportmetadata.jsp
必要な場合は、サービスプロバイダ側で Fedlet の ZIP ファイルを解凍します。
Fedlet のホームディレクトリを作成します。Fedlet は、メタデータ、トラストサークル、設定プロパティーファイルをこのディレクトリから読み取ります。
デフォルトの場所は、Feldet の Web コンテナを実行しているユーザーのホームディレクトリ下にある Fedlet サブディレクトリです。この場所は user.home JVM プロパティーで示されています。たとえば、このホームディレクトリが /home/webservd の場合、Fedlet のホームディレクトリは次のようになります。
/home/webservd/fedlet
Fedlet のデフォルトホームディレクトリを変更するには、JVM ランタイム com.sun.identity.fedlet.home プロパティーの値を希望する場所に設定します。例:
-Dcom.sun.identity.fedlet.home=/export/fedlet/conf
このように変更すると、Fedlet はそのメタデータ、トラストサークル、設定ファイルを /export/fedlet/conf ディレクトリから読み取るようになります。
Java Fedlet の java/conf ディレクトリから次のファイルを Fedlet ホームディレクトリにコピーします。
sp.xml-template
sp-extended.xml-template
idp-extended.xml-template
fedlet.cot-template
Fedlet ホームディレクトリで、コピーしたファイルの名前を変更して、各ファイルの名前から -template を取り除きます。
Fedlet ホームディレクトリにコピーして名前を変更した各ファイルで、次の表に示すとおりにタグを置き換えます。
タグ |
置き換え後のタグ |
---|---|
FEDLET_COT |
リモートアイデンティティープロバイダおよび Java Fedlet サービスプロバイダアプリケーションがメンバーとなっているトラストサークル (COT) の名前。 |
FEDLET_ENTITY_ID |
Java Fedlet サービスプロバイダアプリケーションの ID (名前)。例: fedletsp |
FEDLET_PROTOCOL |
Java Fedlet サービスプロバイダアプリケーションの Web コンテナのプロトコル (fedlet.war など)。例: https |
FEDLET_HOST |
Java Fedlet サービスプロバイダアプリケーションの Web コンテナのホスト名 (fedlet.war など)。例: fedlet-host.example.com |
FEDLET_PORT |
Java Fedlet サービスプロバイダアプリケーションの Web コンテナのポート番号 (fedlet.war など)。例: 80 |
FEDLET_DEPLOY_URI |
Java Fedlet サービスプロバイダアプリケーションの URL。例: http://fedletsp.example.com/myFedletApp |
IDP_ENTITY_ID |
リモートアイデンティティープロバイダの ID (名前)。例: openssoidp |
注: Fedlet サービスプロバイダまたはアイデンティティープロバイダのエンティティ ID にパーセント記号 (%) またはコンマ (,) が含まれている場合は、fedlet.cot ファイル内で置き換える前にその文字をエスケープする必要があります。 たとえば、「%」を「%25」に、「,」を「%2C」に変更します。 |
Java Fedlet の java/conf ディレクトリから、FedletConfiguration.properties ファイルを Fedlet のホームディレクトリにコピーします。
アイデンティティープロバイダの標準メタデータ XML ファイル (手順 1 のもの) を Fedlet ホームディレクトリにコピーします。このファイルは idp.xml という名前にする必要があります。
Java Fedlet XML メタデータファイル (sp.xml) をアイデンティティープロバイダにインポートします。
Oracle OpenSSO 8.0 Update 2 の場合、OpenSSO 8.0 管理コンソールで「Common Tasks」の下にある「Register Remote Service Provider」ワークフローを使用して、Java Fedlet サービスプロバイダのメタデータをインポートしたり、Java Fedlet サービスプロバイダをトラストサークルに追加したりできます。
要件によっては、Java Fedlet のその他の設定を続けます。
アイデンティティープロバイダ側で、アイデンティティープロバイダの XML メタデータを生成し、idp.xml という名前のファイルにそのメタデータを保存します。
Oracle OpenSSO 8.0 Update 2 の場合、exportmetadata.jsp を使用します。次に例を示します。
http://opensso-idp.example.com:8080/opensso/saml2/jsp/exportmetadata.jsp
必要な場合は、サービスプロバイダ側で Fedlet の ZIP ファイルを解凍します。
.NET Fedlet の asp.net/conf フォルダから次のファイルをアプリケーションの App_Data フォルダにコピーします。
sp.xml-template
sp-extended.xml-template
idp-extended.xml-template
fedlet.cot-template
App_Data フォルダで、コピーしたファイルの名前を変更して、各ファイルの名前から -template を取り除きます。
App_Data フォルダにコピーして名前を変更した各ファイルで、次の表に示すとおりにタグを置き換えます。
タグ |
置き換え後のタグ |
---|---|
FEDLET_COT |
リモートアイデンティティープロバイダおよび .NET Fedlet サービスプロバイダアプリケーションがメンバーとなっているトラストサークル (COT) の名前。 |
FEDLET_ENTITY_ID |
.NET Fedlet サービスプロバイダアプリケーションの ID (名前)。例: fedletsp |
FEDLET_DEPLOY_URI |
.NET Fedlet サービスプロバイダアプリケーションの URL。例: http://fedletsp.example.com/myFedletApp |
IDP_ENTITY_ID |
リモートアイデンティティープロバイダの ID (名前)。例: openssoidp |
アイデンティティープロバイダの標準メタデータ XML ファイル (手順 1 のもの) をアプリケーションの App_Data フォルダにコピーします。このファイルは idp.xml という名前にする必要があります。
.NET Fedlet asp.net/bin フォルダの Fedlet.dll ファイルおよび Fedlet.dll.config ファイルを、アプリケーションの bin フォルダにコピーします。
.NET Fedlet XML メタデータファイル (sp.xml) をアイデンティティープロバイダにインポートします。
Oracle OpenSSO 8.0 Update 2 の場合、OpenSSO 8.0 管理コンソールで「Common Tasks」の下にある「Register Remote Service Provider」ワークフローを使用して、.NET Fedlet サービスプロバイダのメタデータをインポートしたり、Java Fedlet サービスプロバイダをトラストサークルに追加したりできます。
要件によっては、.NET Fedlet のその他の設定を続けます。