8 信頼できるプロバイダへのシングル・サインオンについてのOracle Identity Federationの構成

この一連の演習では、Fusion Middleware Controlを使用してOracle Identity Federationで信頼できるプロバイダを作成します。演習の手順は次のとおりです。

• サービス・プロバイダ・メタデータのエクスポート

• 信頼できるプロバイダの作成

• プロバイダへのシングル・サインオンの実行

8.1 サービス・プロバイダ・メタデータのエクスポート

この演習では、サービス・プロバイダの管理者がSAML 2.0メタデータをファイルにエクスポートします。

1. 「Fusion Middleware Controlへのアクセス」の説明に従って、Oracle Enterprise Manager Fusion Middleware Controlにアクセスします。

2. 左側のナビゲーション・ペインでOracle Identity Federationインスタンスを選択します。

3. 「Oracle Identity Federation」→「管理」→「セキュリティおよび信頼」の順にナビゲートします。

4. 「プロバイダ・メタデータ」タブをクリックします。

5. 「メタデータ設定」で次の操作を実行します。

   • 「署名付メタデータが必要」ボックスを選択します。

   • 「メタデータの署名」ボックスを選択します。

6. 「適用」をクリックします。

7. このページの「メタデータの生成」領域で次の操作を実行します。

   • 「プロバイダ・タイプ」ドロップダウンで、「サービス・プロバイダ」を選択します。

   • 「プロトコル」ドロップダウンでSAML 2.0を選択します。

8. 「適用」をクリックします。

9. 「生成」をクリックします。

10. ファイルのダイアログ・ボックスで「保存」をクリックします。

11. 「オープン」をクリックして、生成されたフXMLァイルを表示します。

12. ファイルのエンティティIDタグとロケーション・タグのサービス・プロバイダURLに注意してください。

8.2 信頼できるプロバイダの作成

この演習では、管理者はOracle Identity Federationサーバーの信頼できるプロバイダに新しいサービス・プロバイダを追加します。

1. 「Fusion Middleware Controlへのアクセス」の説明に従って、Oracle Enterprise Manager Fusion Middleware Controlにアクセスします。

2. 左側のナビゲーション・ペインでOracle Identity Federationインスタンスを選択します。

3. ホームページ上で、次のようなサーバーの主要な統計を確認します。

   • SOAPリクエスト

   • SOAPレスポンス

4. 「Oracle Identity Federation」→「管理」→「フェデレーション」の順にナビゲートします。

5. 「追加」をクリックします。

6. 「信頼できるプロバイダの追加」ダイアログで、次の操作を実行します。

   • 「プロバイダの有効化」を選択します。

   • 「メタデータのロード」を選択します。

7. 「メタデータのロケーション」フィールドの横の「参照」ボタンをクリックします。

8. 「参照」ダイアログ・ボックスで、サービス・プロバイダ・メタデータが含まれるフォルダに移動します。

   サービス・プロバイダ・メタデータが生成されています。

9. メタデータを含むXMLファイルを選択します。「オープン」をクリックします。

10. 「信頼できるプロバイダの追加」ダイアログの「メタデータのロケーション」フィールドに、選択したメタデータ・ファイルのパスが入力されます。

11. 「OK」をクリックします。「フェデレーション」ページが表示されます。

12. 新しく追加されたプロバイダが、正しいプロトコル・バージョンで「信頼できるプロバイダ」表にリストされます。

8.3 プロバイダへのシングル・サインオンの実行

この演習では、ユーザーがHTTPリダイレクト/アーティファクト処理を使用して、SP主導のシングル・サインオン操作を実行する方法を実例で示します。

開始する前に

この演習では、次のことが前提になります。

• 以前の演習で実証したように、IdPおよびSPがメタデータを交換していること。

• 以前の演習で実証したように、IdP管理者が信頼できるプロバイダにSPを追加していること。

演習を実行する手順は次のとおりです。

1. ブラウザ・ウィンドウを開きます。

2. 次のURL形式を使用してSSOフローを開始します。

   HTTP://OIF-SP-HOST:OIF-SP-PORT/fed/user/testspsso
   

3. フェデレーションSSO/認証ページが表示されます。

4. このページで次の情報を指定します。

   • 「IdPプロバイダID」ドロップダウンで、IdP URLを選択します。

   • 「認証リクエスト・バインディング」で、「HTTPリダイレクト」を選択します。

   • 「フェデレーション作成を許可」を選択します。

   • 「SSOレスポンス・バインディング」ドロップダウンで、「アーティファクト」を選択します。

5. 「SSOの開始」をクリックします。リクエストがサービス・プロバイダに送信され、シングル・サインオンが開始されます。

6. ログイン・ページが表示されます。ユーザー名とパスワードを入力します。

7. 「サインイン」をクリックします。

8. SSO操作が完了し、結果ページが表示されます。

9. ページに表示されるユーザーID、IdPプロバイダID、セッション開始日や終了日などの情報に注意してください。