Administration Console オンライン ヘルプ

  前 次 前/次ボタンと目次ボタンとの区切り線 目次  

パートナのルックアップ文字列の作成

始める前に


Web サービス ID プロバイダ パートナまたはサービス プロバイダ パートナをコンフィグレーションする場合、パートナのルックアップ文字列を指定する必要があります。この文字列 (エンドポイント URL を指定) は、生成や検証が必要な SAML 2.0 アサーションに関連付けられているパートナを WebLogic Server で検出する際に実行時に必要となります。

たとえば、Web サービス クライアントはアサーションが必要な場合に、ターゲット Web サービスのエンドポイントを SAML 2.0 資格マッピング プロバイダに渡します。SAML 2.0 資格マッピング プロバイダは、そのエンドポイントに一致するルックアップ文字列がコンフィグレーションされているパートナ エントリを検索して適切な Web サービス サービス プロバイダ パートナをルックアップしてから、検出されるパートナに必要なアサーションを生成します。

同様の方法で、サービス プロバイダの役割でコンフィグレーションされている WebLogic Server インスタンスは、Web サービス クライアントからの呼び出しを受け取ると、アサーションおよび呼び出されたエンドポイントを SAML 2.0 ID アサーション プロバイダに渡します。SAML 2.0 ID アサーション プロバイダは、そのエンドポイントに一致するルックアップ文字列がコンフィグレーションされているパートナを検索して適切な Web サービス ID プロバイダ パートナをルックアップしてから、検出されるパートナに対してアサーションを検証します。

また、WebLogic Server では、パートナのルックアップ文字列をコンフィグレーションして特定のエンドポイントがオーディエンスの URI として機能するように設定することもできます。そのため、オーディエンスの URI 属性は 2 つの関連する別々の機能 (アサーションに含まれる必要のあるオーディエンスの URI の指定と、パートナのルックアップ文字列の指定) を実行するためにオーバーロードされます (ID プロバイダ パートナをコンフィグレーションする場合、パートナのルックアップ文字列およびオーディエンスの URI は、エンドポイント URL が SAML 2.0 ID アサーション プロバイダに渡される方法のために、別々のエントリで指定する必要があります)。

パートナのルックアップ文字列が SAML 2.0 Web サービス パートナにコンフィグレーションされていない場合、そのパートナは実行時に検出されず、そのパートナに必要なアサーションを生成または検証することができません。

パートナのルックアップ文字列の一般的な構文は ID プロバイダ パートナとサービス プロバイダ パートナの両方で同じですが、構文の指定方法は、WebLogic Server による受信エンドポイント URL の処理方法のために異なります。WebLogic Server では、パートナのルックアップ文字列で以下の 2 つの基本形式がサポートされています。

  • 完全一致 : パートナのルックアップ文字列に指定した URL と、SAML 2.0 セキュリティ プロバイダに渡されるエンドポイント URL が完全に一致していないとパートナは選択されません。たとえば、パートナ A の完全一致のルックアップ文字列として http://www.abc.com/xxx/yyy/zzz を指定した場合、その URL と完全に同一のエンドポイントが適切な SAML 2.0 セキュリティ プロバイダに渡される場合にのみ、パートナ A が一致として選択されます。

    WebLogic Server では、完全一致のパートナのルックアップ文字列を 2 つの方法で指定できます。すなわち、特定の URL をオーディエンスの URI としてアサーションに含めたり、アサーションから除外することができます。このメカニズムにより、サービス プロバイダ パートナをコンフィグレーションする場合に、特定の URL をオーディエンスの URI として、およびパートナのルックアップ文字列として重複指定する必要がなくなります。

  • 最初の文字列一致 : パートナのルックアップ文字列に指定する URL には、そのパートナが選択されるために一致する必要のある URL の最初の文字列のみを含めます。たとえば、パートナ A で最初の文字列一致のルックアップ文字列として http://www.abc.com/xxx を指定した場合、http://www.abc.com/xxx で始まるエンドポイントが渡されるとパートナ A が一致として選択されます。http://www.abc.com/xxx/yyy/zzzhttp://www.abc.com/xxx/aaa/bbb などのエンドポイントも、このパートナに一致するものとされます。

パートナのルックアップ文字列の構文は次のとおりです。

[target:char:]<endpoint-url>

この構文の target:char: は、パートナのルックアップ文字列の指定に使用されるプレフィックスで、char はハイフン、正符号、アスタリスク (-、+、または *) の 3 つの特殊記号のうち 1 つを表します。このプレフィックスによりパートナのルックアップ方法が決まります。

  • target:-:<endpoint-url> は、パートナのルックアップが、URL <endpoint-url> の完全一致に対して実行されることを指定します。 この形式のパートナのルックアップ文字列では、アサーションに含まれるオーディエンスの URI としてそのエンドポイント URL を含めないことを指定します。
  • target:+:<endpoint-url> は、パートナのルックアップが、URL <endpoint-url> の完全一致に対して実行されること、およびそのエンドポイント URL がアサーションのオーディエンスの URI としても追加されることを指定します。注意 : ID プロバイダ パートナでこの形式のパートナのルックアップ文字列を指定すると、一致がほとんど発生しないため、この形式では指定しないでください。
  • target:*:<endpoint-url> は、パートナのルックアップが、URL <endpoint-url> の最初の文字列パターン一致に対して実行されることを指定します。
注意 :
  • サービス プロバイダの役割でコンフィグレーションされている WebLogic Server インスタンスは、SAML 2.0 ID アサーション プロバイダに渡されるエンドポイント URL の転送、ホスト、およびポートの部分を常に取り除きます。

    この動作により、サービス プロバイダ サイトをコンフィグレーションする場合に、ドメイン内の Web サービスをホストするすべてのマシンに渡って、転送プロトコルのバリエーション (HTTP か HTTPS など)、ホスト名、IP アドレス、およびポート情報に関係なく、同じ Web サービスのすべてのアサーションの検証に使用できる単一の ID プロバイダ パートナをコンフィグレーションすることができます。

    したがって、ID プロバイダ パートナのルックアップ文字列にコンフィグレーションするエンドポイント URL には、URL のホストとポートに続く部分のみを含める必要があります。たとえば、target:*:/myserver/xxx などと指定します。
  • デフォルト パートナ エントリのニーズをサポートするには、1 つまたは複数のデフォルト パートナのオーディエンス URI エントリに、あらゆるターゲットに対して機能するワイルドカードの一致を含める必要があります。実際のワイルドカード URI は、Web サービス ランタイムにより使用される形式に応じて異なる場合があります。次に例を示します。
    • target:*:/
    • target:*:http://
    • target:*:https://

 

Skip navigation bar ページの先頭