Administration Console オンライン ヘルプ

  前 次 前/次ボタンと目次ボタンとの区切り線 目次  

SAML 2.0 Web シングル サインオン ID プロバイダ パートナの作成

始める前に

SAML 2.0 ID プロバイダ パートナをコンフィグレーションする前に、次のタスクを実行します。

SAML 2.0 Web シングル サインオン ID プロバイダ パートナを作成するには、次の手順に従います。

  1. 左ペインで、[セキュリティ レルム] を選択します。
  2. [セキュリティ レルムの概要] ページで、レルムの名前 (myrealm など) を選択します。
  3. [(レルム名) の設定] ページで、[プロバイダ|認証] を選択します。
  4. [認証プロバイダ] テーブルで、SAML 2.0 ID アサーション プロバイダを選択します。
  5. 設定ページで、[管理] を選択します。
  6. [ID プロバイダ パートナ] 下のテーブルで、[新規作成|新しい Web シングル サインオン ID プロバイダ パートナ] をクリックします。
  7. [SAML 2.0 Web シングル サインオン ID プロバイダ パートナの作成] ページで、以下のタスクを実行します。
    1. ID プロバイダ パートナの名前を指定します。
    2. [パス] の横にあるフィールドで、フェデレーション パートナから受け取ったメタデータ パートナ ファイルの絶対パスを指定するか、参照して指定します。
    3. [OK] をクリックします。

    注意 : [OK] をクリックした後でブラウザの [戻る] ボタンをクリックすると、パートナ名がデフォルトの名前にリセットされます。

  8. 設定ページの [ID プロバイダ パートナ] テーブルで、新たに作成した Web シングル サインオン ID プロバイダ パートナの名前を選択します。
  9. [全般] ページで [有効] を選択し、このサーバと ID プロバイダ パートナ間の対話を有効にします。
  10. 必要に応じてその他の設定をコンフィグレーションします。たとえば、以下の 1 つまたは複数のタスクを実行できます。
    1. [仮想ユーザ] を選択し、アサーションのユーザ情報をセキュリティ レルムの仮想ユーザにマップします。このオプションを選択する場合、セキュリティ レルムに SAML 認証プロバイダ インスタンスを作成してコンフィグレーションする必要もあります。詳細については、SAML 認証プロバイダのコンフィグレーションを参照してください。
    2. [リダイレクト URI] に、認可されていないユーザが呼び出した場合に認証要求を生成し、その認証要求を ID プロバイダ パートナに送信する、ローカル サイトでホストされているリソースの URI を指定します。特定の URI の認証応答を生成可能な ID プロバイダ パートナが複数存在する場合、その認証要求は SAML 2.0 サービスが最初に検出したパートナに送信されます。

      URI にはワイルドカード パターンを含めることができますが、そのワイルドカード パターンには、ディレクトリ内の特定のファイルに一致するファイル タイプを指定する必要があります。たとえば、/targetapp ディレクトリ内のすべてのファイル (.jsp.html、および .htm ファイルをすべて含む) に対する一致を作成するには、次のワイルドカード パターンを指定します。

      /targetapp/*
/targetapp/*.jsp
/targetapp/*.html
/targetapp/*.htm

      また、SAML 2.0 には、特定のリソースに対する非認証要求がサービス プロバイダ サイトに届いたときに、Web シングル サインオン セッションを開始する代替メカニズムが用意されています。Web ブラウザと HTTP クライアントによるシングル サインオンのコンフィグレーションを参照してください。

    3. [属性の処理] を選択し、この ID プロバイダ パートナから受け取ったアサーションから属性情報を抽出します。WebLogic Server の属性には、マップされたサブジェクトが所属するグループが格納されています。

      注意 : アサーションから属性を抽出するには、セキュリティ レルムに SAML 認証プロバイダ インスタンスを作成してコンフィグレーションする必要があります。詳細については、認証および ID アサーション プロバイダのコンフィグレーションおよびSAML 認証プロバイダのコンフィグレーションを参照してください。

    4. 必要に応じて、[署名済みアーティファクトの要求のみ受け入れる] を有効化します。
    5. SAML アーティファクトを HTTP POST メソッドでこの ID プロバイダ パートナに配信するかどうかを指定します。この属性を選択する場合、この ID プロバイダ パートナへアーティファクト バインディングの SAML 応答を伝送するための POST フォームを生成するカスタム Web アプリケーションの URL を指定します。
    6. [保存] をクリックします。
  11. [サイト情報] を選択し、ID プロバイダ パートナのサイトに関する情報を表示します。この情報はパートナのメタデータ ファイルから導出されており、読み取り専用です。
  12. [シングル サインオン署名用証明書] を選択し、パートナの証明書を表示します。この情報は読み取り専用であり、証明書が含まれている ID プロバイダ パートナのメタデータ ファイルから導出されます。
  13. [トランスポート層クライアント証明書] を選択し、ID プロバイダ パートナのトランスポート層クライアント証明書をインポートまたは表示します。この証明書はパートナのメタデータ ファイルに含まれないため、安全に取得するために通常はパートナとの調整を行う必要があります。
  14. [シングル サインオン サービス エンドポイント] を選択し、ID プロバイダ パートナのシングル サインオン サービスの URI を表示します。
  15. [アーティファクト解決サービス エンドポイント] を選択し、ID プロバイダのアーティファクト解決サービスのエンドポイントを表示します。

    このパートナにアーティファクト バインディングが有効化されていない場合、アーティファクト解決サービスのエンドポイント情報は表示されません。

結果

ID プロバイダ パートナがローカル サーバ インスタンスに作成されます。このパートナのメタデータ ファイルから取得されたパートナ関連情報は、読み取り専用データとして Administration Console で表示できます。このデータの変更は予想外の結果を招く恐れがあり、お勧めしません。

完了した後に

フェデレーション パートナと調整し、この SAML オーソリティに対して有効化した SAML バインディングと、署名ドキュメントの要件がパートナと互換性を持つようにします。詳細については、Web ブラウザと HTTP クライアントによるシングル サインオンのコンフィグレーションを参照してください。

 

Skip navigation bar ページの先頭