この章では、Oracle Access Managementコンソールから使用可能なアイデンティティ・フェデレーション機能について説明します。この章の内容は次のとおりです。
この章では、11gリリース2(11.1.2)のOracle Access Managementで使用可能なIdentity Federationの機能について説明します。
この章の内容は、Identity Federationについて、ある程度の知識が前提になります。バックグラウンドおよび概念の情報は、「フェデレーテッド・アイデンティティの管理」を参照してください。
Oracle Identity Managementフレームワークは、クロスドメインのシングル・サインオンで次の2つの方法をサポートしています。
Oracle Access Management Access Managerサーバー(OAMサーバー)に組み込まれているOracle Access Management Identity Federationサーバー。Identity Federationサーバーの構成はすべてOracle Access Managementコンソールで実行します。
この新しい方法は、11gリリース2(11.1.2)で導入されました。このドキュメントではこの方法について説明します。
注意: このリリースではサービス・プロバイダ機能のみが提供されます。 |
フェデレーション機能を使用するために統合可能なOracle Identity Federationリリース1(11.1.1)とOracle Access Managerの個別のサーバー。この統合用に両方のサーバーを構成し、管理する必要があります。
この方法は11gリリース1(11.1.1)の時点ですでに存在しており、引き続き使用できます。このアプローチの詳細は、『Oracle Fusion Middleware Oracle Identity Federation管理者ガイド』を参照してください。
注意: それぞれの統合は独立しているため、前述の方法を組み合せることはできません。ご使用のインストールに最適な方法を選択してください。 最新のドキュメントでは、11gリリース2(11.1.2)の機能に限定して説明します。 |
11gリリース2(11.1.2)のAccess ManagerとIdentity Federationサーバーを併用すると、次のような利点があります。
これにより、各サーバーへの個別のインストールや管理は不要になります。
インストール後のフェデレーション機能の構成が簡略化されます。具体的には、Oracle Access Managementコンソールからこれらのフェデレーション機能にアクセスできるようになります。
連携する2つのサーバーのスケーラビリティが向上します。
診断およびトラブルシューティングの機能が強化されます。
機能的観点から、このシナリオにおけるフェデレーテッド・アクセスの主要な構成要素は次のようになります。
ユーザーがブラウザでログインを試みます。コールは通常のHTTPコールです。
Access Managerサーバーには、フェデレーテッド・コンテキストで管理サービスにアクセスする際に必要なコンポーネントがすべて含まれています。コンポーネントは次のとおりです。
資格証明コレクタ
フェデレーション認証プラグイン
アサーションを処理するフェデレーション・エンジン
フェデレーション・データ・キャッシュ
Oracle WebLogic Serverは、次のような主要なインフラストラクチャ・サービスをホストし、提供します。
Oracle Entitlement Serverと相互作用する認可エンジン
トラスト・サークルの詳細や他の構成を含むフェデレーション・データ
Coherenceマップ・ストア
認証タスクに必要なアイデンティティ・データは、アイデンティティ・ストアやCoherenceデータベースなどのデータ・ストアで保持されます。
この項では、Identity FederationとAccess Managerの統合で使用できる主な機能について説明します。
Identity Federationは次のモードで動作します。
シングル・サインオン(SSO)モード
サーバーは、サービス・プロバイダ(SP)として機能するフェデレーテッドSSOをサポートします。このモードには次の2つのバリエーションがあります。
SPが開始するSSO。SPがIdPに認証リクエストを送信すると、フェデレーテッドSSOフローが開始されます。
IdPが開始するSSO。IdPがSPに非送信請求アサーション・レスポンスを送信します(SPからの認証リクエストがない場合)。
ログアウト・モード
ログアウトは次の場所から開始できます。
リモート・フェデレーション・パートナ
Access Managerで保護されたアプリケーション
注意: 管理者がOracle Access Managementコンソールからユーザー・セッションを終了すると、そのセッションに関与するリモート・アイデンティティ・プロバイダにはログアウトが伝播されません。そのため、ログアウト済のユーザーは、Identity Federationを通じて自動的にAccess Managerに再認証されるようになります。 |
Identity Federationは、11gリリース2(11.1.2)のAccess Managerで次のフェデレーション・プロトコルをサポートしています。
表27-1 サポートされているプロトコル
プロトコル | モード/拡張 | バインディング | 名前IDフォーマット |
---|---|---|---|
SAML 1.1 |
シングル・サインオン(SSO) |
POST、アーティファクト |
電子メール、サブジェクトDN、Kerberos、Windows、未指定、カスタム |
SAML 2.0 |
SSO、シングル・ログアウト(SLO) |
リダイレクト、POST、アーティファクト |
電子メール、サブジェクトDN、Kerberos、Windows、一時、未指定、カスタム |
OpenID 2.0 |
認証/SSO、Attribute Exchange (AX)、PAPE、UI拡張、検出/XRDS |
リダイレクト、POST |
主張識別子 |
Identity Federationは、Access Manager共通ユーザー・ストアをサポートしており、マルチIDストアのサポートも提供します。
データをリンクする永続的なアカウントのフェデレーション・データ・ストアはサポートされていません。
SPとして動作するIdentity Federationは、IdPパートナが作成したSAMLアサーションの検証を終えると、次の3つの方法のいずれかを使用して、ローカル・ユーザーにアサーションをマップできます。
UserID属性(uid
)にSAMLサブジェクトをマップする方法。
指定された別のユーザー・レコード属性にSAMLサブジェクトをマップする方法。
LDAP問合せを使用して、SAMLアサーションのAttributeStatement
要素に含まれる1つ以上の属性またはSAMLサブジェクトをマップする方法。SAML属性名およびこのマップ先となるユーザー・レコード属性の両方を構成する必要があります。
Access ManagerとIdentity Federationの統合は、次の組合せで管理されます。
Oracle Access Managementコンソール
このコンソールを使用すると、Identity Federationサービスを有効にしたり、アイデンティティ・プロバイダ(IdP)パートナーを管理したりできます。また、フェデレーテッド認証スキームおよびポリシーに対する作業を実行できます。
Oracle WebLogic Scripting Tool (WLST)コマンドライン・ツール
WLSTユーティリティを使用すると、追加のサーバーおよびパートナの構成プロパティを管理できます。
詳細は、この章の残りの各項および本ドキュメントのこの部の以降の章を参照してください。
管理者はOracle Access Managementコンソールを使用して、サーバーのフェデレーション・サービスとパートナに関連する構成を管理できます。表27-2に、Oracle Access ManagementコンソールでIdentity Federation用に構成できる情報の種類を要約します。
表27-2 Oracle Access ManagementコンソールのIdentity Federation構成
要素 | 説明およびこのドキュメント内での場所 |
---|---|
フェデレーション管理者 |
フェデレーテッド・パートナおよび関連する構成を管理できる管理者。「Oracle Access Managementコンソールおよびコントロールの概要」を参照してください。 |
フェデレーション・サービス |
Access ManagerのIdentity Federationサービスを有効または無効にします。「フェデレーション・サービスの管理」を参照してください。 |
フェデレーション設定 |
基本的なIdentity Federationサービス構成プロパティの管理。第29章「Oracle Access Managementコンソールを使用したIdentity Federationの設定の管理」を参照してください。 |
フェデレーションのアイデンティティ・プロバイダ |
フェデレーションIdPパートナの管理。「フェデレーション用のアイデンティティ・プロバイダ・パートナの管理」を参照してください。 |
フェデレーションの認証スキームおよび認証モジュール |
フェデレーションの認証スキームの管理。「Identity Federation 11gリリース2(11.1.2)の認証スキームおよび認証モジュールの使用」を参照してください。 |
フェデレーションで使用するポリシー |
フェデレーション・パートナに使用するポリシーの管理。「Identity Federationで使用するAccess Managerのポリシーの管理」を参照してください。 |
表27-3に、Oracle Access Managementコンソールを使用してIdentity Federationを実装する際に必要なタスクの概要を示します。
Identity Federationは、Oracle Access Managementに含まれる認証モジュールです。Identity Federationを使用するには、Access ManagerサービスとIdentity Federationサービスの両方を有効にする必要があります。
図27-1に、Oracle Access Managementコンソールの「使用可能なサービス」ページを示します。このページを使用して、Identity FederationサービスとAccess Managerサービスを有効にします。
Access ManagerでIdentity Federationサービスを管理する手順
通常どおり、Oracle Access Managementコンソールにログインします。
https://hostname:port/oamconsole/
「ようこそ」ページの「構成」で、「使用可能なサービス」をクリックします。
Identity Federationの有効化: 「Identity Federation」の横にある「有効化」をクリックします(または、「ステータス」に緑のチェック・マークが表示されていることを確認します)。
Access Managerの有効化: 「Access Manager」の横にある「有効化」をクリックします(または、「ステータス」に緑のチェック・マークが表示されていることを確認します)。