この章では、Oracle Access Management Identity Federation用に構成が必要な設定について説明します。この章の内容は次のとおりです。
この章に記載されている内容は、第28章「Oracle Access Managementコンソールを使用したIdentity Federation用パートナの管理」のタスクが実行されていることを前提としています。
この項では、Oracle Access Managementコンソールで使用可能なIdentity Federationの機能を有効にする際に構成が必要なフェデレーション設定について説明します。
図29-1に、Oracle Access Managementコンソールで表示される「フェデレーション設定」ページを示します。このページは、「ようこそ」ページの「構成」パネルから「Identity Federationサービスの設定」を選択した場合、または「システム構成」タブの「フェデレーション」セクションを表示して「フェデレーション設定」を選択した場合と同じです。
表29-1に、構成可能なフェデレーション設定の種類の概要を示します。
表29-1 コンソールの「フェデレーション設定」
要素 | 説明 |
---|---|
一般 |
フェデレーションの一般設定には、アサーションの送信に使用されるプロバイダやキーに関する基本情報が含まれます。 関連項目: フェデレーションの一般設定の管理 |
プロキシ |
プロキシ設定では、フェデレーションのプロキシ・サーバーを設定できます。 |
キーストア |
キーストア設定では、キーストア内のキーに対して別名(略称)を作成できます。 |
この項の内容は次のとおりです。
フェデレーションの一般的なプロパティの表示と管理は、コンソールの「フェデレーション設定」ページで行います。
図29-2に、「フェデレーション設定」ページの「一般」セクションを示します。
表29-2では、「フェデレーション設定」ページの「一般」セクションに含まれる各要素について説明します。
表29-2 フェデレーションの一般設定
要素 | 説明 |
---|---|
プロバイダID |
このフェデレーション・サーバーのプロバイダIDです。たとえば、 |
署名鍵 |
この鍵を使用して、アサーションに署名します。 |
暗号化鍵 |
この鍵を使用して、着信メッセージの復号化を行います。 |
カスタム信頼アンカー・ファイル |
フェデレーションで使用する信頼できるルート証明書を含むキーストアを指定します。デフォルトの信頼ストアは、 ほとんどの場合、デフォルトの信頼アンカーで十分です。必要に応じて、使用する別のキーストアの場所を指定します。 注意: カスタム信頼アンカー・キーストアを使用する場合、クラスタ全体に自動的に複製されることはありません。このキーストアの複製を管理する必要があります。 |
SAML 2.0メタデータのエクスポート |
「一般」設定の変更後に、フェデレーション・パートナ用のメタデータをエクスポートする必要があります。 関連項目: メタデータのエクスポート |
「一般」設定には、プロバイダに関する基本情報が含まれます。
前提条件
ありません。
フェデレーションの「一般」設定を設定または変更する手順
Oracle Access Managementコンソールで、次のように「フェデレーション設定」に移動します。
「システム構成」タブ
「フェデレーション」セクション
「フェデレーション設定」ノード
別のアクセス方法: 「ようこそ」ページの「構成」パネルで、「Identity Federationサービスの設定」をクリックします。
「フェデレーション設定」ページで、使用する「一般」設定の値(表29-2)を入力します。
「適用」をクリックして、変更を保存します。
この項の内容は次のとおりです。
Identity Federationでフェデレーション・パートナに直接接続する必要がある場合(SAMLアーティファクトのSSO操作などで)、プロキシが必要になる場合があります。
フェデレーション・パートナ用に構成されたプロキシの表示および管理は、コンソールの「フェデレーション設定」ページで行います。
図29-3に、「フェデレーション設定」ページのフェデレーションのプロキシ設定セクションを示します。続いて、表29-3では、このページのこのセクションに含まれる各要素について説明します。
表29-3では、「フェデレーション設定」ページのフェデレーションのプロキシ設定セクションに含まれる各要素について説明します。
表29-3 フェデレーションのプロキシ設定
要素 | 説明 |
---|---|
プロキシの有効化 |
このボックスを選択すると、プロキシ・サーバーが有効になります。 このボックスが選択されていない場合、プロキシ機能は無効になっており、関連するフィールドにアクセスして編集することはできません。 |
ホスト |
この要素では、プロキシのホスト名を指定します。 |
ポート |
この要素では、プロキシのポート番号を指定します。 |
非プロキシ・ホスト |
プロキシを使用してはならないホストのリストです。複数のホストを区切るには、「;」を使用します。 |
ユーザー名 |
プロキシへの接続時に使用するプロキシ・ユーザー名です。 |
パスワード |
プロキシへの接続時に使用するプロキシ・パスワードです。 |
「フェデレーション設定」ページを表示している場合、ステップ1は省略します。
前提条件
ありません。
フェデレーションの「プロキシ」設定を設定または変更する手順
Oracle Access Managementコンソールで、「フェデレーション設定」を次のように見つけて開きます。
「システム構成」タブ
「フェデレーション」セクション
「フェデレーション設定」ノード
「フェデレーション設定」ページで、使用環境に必要な値に対して現在のプロキシ設定値を評価します。
使用環境に適した値(表29-3)を、「プロキシ」設定に入力します。
「適用」をクリックして、変更を保存します。
この項の内容は次のとおりです。
フェデレーション・パートナ用に構成されたキーストアの表示と管理は、コンソールの「フェデレーション設定」ページで行います。
表29-4では、「フェデレーション設定」ページのキーストア設定セクションに含まれる各要素について説明します。
Identity Federationは、次のことを実行する際にキーを使用します。
送信アサーションの署名
SAMLメッセージに含まれる着信XML暗号化データの復号化
Identity Federationは、暗号化証明書および署名証明書を格納する際に次のキーストアを使用します。
DOMAIN_HOME/config/fmwconfig/.oamkeystore
タスクの概要: Identity Federationの暗号化/署名鍵の管理
注意: この説明では、AMはAccess Manager、STSはSecurity Token Service、IFはIdentity Federationを表します。 |
次の手順を使用すると、キーストアおよびキーストアと同じパスワードを使用するキー・エントリを保護するパスワードがリセットされます。
キーストアはIM/OAMAM/OSTSインストーラによって作成および構成されており、パスワードとキー・エントリ・パスワードはランダムに生成されています。WLSTのresetKeystorePassword
メソッドを使用すると、.oamkeystoreパスワードおよび.oamkeystoreパスワードと同じパスワードが設定されたキー・エントリに新しい値を設定できます。このコマンドは次のことを実行します。
.oamkeystoreパスワードの更新
.oamkeystore内でキーストアと同じパスワードを持つキー・エントリの更新
OAMAM/STS/IFの構成の更新および変更の反映
amtruststoreパスワードの更新(キーストアが.oamkeystore(デフォルト)と同じパスワードで保護されている場合)
システム・キーストア(.oamkeystore)・パスワードを設定する手順
WLSTスクリプト環境を入力します。
connect()
コマンドを使用してWebLogic Server AdminServerに接続します。
ドメイン・ランタイム・ツリーdomainRuntime()
に移動します。
次のコマンドを実行します。
resetKeystorePassword()
パスワードを入力および確認します。
システム・キーストア(.oamkeystore)に新しいキー・エントリを追加するには、新しいキー・エントリを作成および追加するkeytool
コマンドを使用します。エントリを追加したら、アサーションの署名および着信メッセージの復号化の際にそのエントリを使用できるように、Identity Federation設定の構成画面で定義する必要があります。
このトピックでは、の手順を使用して新しいエントリをシステム・キーストアに追加し、SAMLアサーションの署名、またはWSSに含まれないXML暗号化データの復号化を実行します。
前提条件
システム・キーストア(.oamkeystore)・パスワードをリセットしておきます。
新しいエントリを構成する手順
keytoolを探します。
keytoolを使用して次のことを実行します。
自己署名付き証明書を生成します。または、
証明書リクエストを生成し、リクエストをリモート認証局(CA)にエクスポートして、さらにCAで発行された証明書をインポートします。
その手順は次のとおりです。
Oracle Access Managementコンソールで、「フェデレーション設定」を次のように見つけて開きます。
System Configuration tab Federation section Federation Settings node
「フェデレーション設定」ページで、「キーストア」表に移動します。
行を追加します。
Identity Federationの構成時にこのキーを参照するために使用するキーIDを入力します。
.oamkeystoreに格納されるキー・エントリの別名を選択します。
キー・パスワードを入力します。
「適用」をクリックします。
キーストア表にキーを追加したら、Identity Federationを構成してそのキーを使用できます。その手順は次のとおりです。
Oracle Access Managementコンソールで、「フェデレーション設定」を次のように見つけて開きます。
System Configuration tab Federation section Federation Settings node
「一般」セクションに移動します。
キーストア表に定義されている使用可能なキー・エントリのリストから署名鍵を選択します。
キーストア表に定義されている使用可能なキー・エントリのリストから暗号鍵を選択します。
「適用」をクリックします。
これでIdentity Federationで前述のキーを使用してメッセージの署名および復号化を行えるようになりました。
「一般」設定を変更した後で、フェデレーション・パートナ用のメタデータをエクスポートできます。
SAML 2.0メタデータをエクスポートする手順
メタデータをエクスポートするには、次の手順を実行します。
Oracle Access Managementコンソールで、「フェデレーション設定」を次のように見つけて開きます。
「システム構成」タブ
「フェデレーション」セクション
「フェデレーション設定」ノード
「フェデレーション設定」ページで、「SAML 2.0メタデータのエクスポート」をクリックします。
ダイアログ・ボックスが表示され、メタデータのエクスポート先ファイルの場所を指定するよう求められます。
「保存」をクリックして、新しいメタデータ・ファイルを保存します。