| Oracle® Fusion Middleware Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理 12c (12.1.2) E47994-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理 12c (12.1.2) E47994-03 |
|
前 |
次 |
この章のユースケースは、OWSMでサポートされる3つのセキュリティ・トークン・サービス(Oracle STS、Microsoft ADFS 2.0 STS、OpenSSO STS)の使用方法を示します。ユースケースは、単純な信頼のフェデレーションとWebサービスのフェデレーションの両方を示しており、異なるタイプのSAMLポリシーを示します。
この章の構成は、次のとおりです。
次の各項では、Oracle STSおよびMicrosoft ADFS 2.0 STSを使用したWebサービスのフェデレーションについて、2つの高レベルなユースケースの例を示します。
最初の例では、Microsoft ADFS 2.0 STSをIP-STSとして使用し、Oracle STSをRP-STSとして使用します。サービスRP-STSおよびIP-STSを保護するには、SSL付きトランスポート・セキュリティを使用します。
2番目の例はSTSが逆で、Oracle STSをIP-STSとして使用し、Microsoft ADFS 2.0 STSをRP-STSとして使用します。エンドポイントを保護するには、SAML鍵所有者(HOK)メッセージ・セキュリティを使用します。
|
注意: 次の各項には、Oracle STSおよびMicrosoft ADFS 2.0 STSの高レベルな構成タスクが示されています。これらのタスクの実行方法の詳細は、特定のSTSのドキュメントを参照してください。
|
この高レベルのユースケースの例では、Microsoft ADFS 2.0 STSをIP-STSとして使用し、Oracle STSをRP-STSとして使用します。サービスRP-STSおよびIP-STSを保護するには、SSL付きトランスポート・セキュリティを使用します。
サービスを構成するには、次の手順を実行します。
次のポリシーをサービスにアタッチします。
oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policy
Oracle STS /wssbearerエンドポイントの署名証明書をOWSMキーストアにインポートします。
「SAML署名証明書の信頼できる発行者および信頼できる識別名リストの定義」の説明に従って、Oracle STSエンドポイントを信頼できる発行者および信頼できるDNとして定義します。
Oracle STSをRP-STSとして構成するには、次の手順を実行します。
(次のOracle STS構成タスクの実行の詳細は、http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oraclests-166231.htmlでOracle STSのドキュメントを参照してください。)
ポート14101で一方向SSLが有効になるようにWebLogic Serverを構成します。
Oracle STS /wssbearerエンドポイントを次のように構成します。
ポリシー(URI sts/wss_sts_issued_saml_bearer_token_over_ssl_service_policy)をアタッチします。
OWSM LRG SAML Validation検証テンプレートを作成して受信SAMLトークンを検証し、それをエンドポイントに適用します。
Oracle STSでサービスをリプライ・パーティ・パートナとして追加します。
IP-STSとして機能するMicrosoft ADFS 2.0 STSインスタンスを、信頼できるアイデンティティ・プロバイダとして追加します。
Microsoft ADFS 2.0 STSインスタンスの発行局パートナ・プロファイルを構成します。
Microsoft ADFS 2.0 STSインスタンスを発行局パートナとして追加します。パートナ名として、インスタンスのSAMLアサーションの発行者を指定します。
Microsoft ADFS 2.0 STSインスタンスの署名証明書をOWSMキーストアにインポートします。
Microsoft ADFS 2.0 STSをIP-STSとして構成するには、次の手順を実行します。
(次のMicrosoft ADFS 2.0 STS構成タスクの実行の詳細は、http://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspxでMicrosoft ADFS 2.0 STSのドキュメントを参照してください。)
/usernamemixedエンドポイントが有効であることを確認します。
ADFS 2.0管理コンソールを使用して、IP-STSとして機能するOracle STSインスタンスをリライイング・パーティとして追加します。
RP-STSのSAMLベアラー・トークンを発行するようにADFS 2.0 STSを構成します。
クライアントを構成するには、次の手順を実行します。
ポリシーoracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policyをアタッチし、サービスを参照するように構成します。
また、sts.in.orderを、Oracle STSエンドポイントのURIに設定し、その後にADFS 2.0 STSエンドポイントを続けます。次に例を示します。
http://m2.example.com:14100/sts/wssbearer; http://http://m1.example.com/adfs/services/trust/13/usernamemixed
oracle/sts_trust_config_client_templateからポリシーを作成し、それを次のように変更し、クライアントにアタッチします。
ポートURIをADFS 2.0 STSエンドポイントに設定します。次に例を示します。
http://m1.example.com/adfs/services/trust/13/usernamemixed
クライアント・ポリシーURI oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policyを設定します。
oracle/sts_trust_config_client_templateからポリシーを作成し、それを次のように変更し、クライアントにアタッチします。
ポートURIをOracle STSエンドポイントに設定します。次に例を示します。
http://m2.example.com:14100/sts/wssbearer
この高レベルのユースケースの例では、Oracle STSをIP-STSとして使用し、Microsoft ADFS 2.0 STSをRP-STSとして使用します。エンドポイントを保護するには、SAML鍵所有者(HOK)メッセージ・セキュリティを使用します。
サービスを構成するには、次の手順を実行します。
次のポリシーをサービスにアタッチします。
oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policy
ADFS 2.0 STS /issuedtokensymmetricbasic256エンドポイントの署名証明書をOWSMキーストアにインポートします。
「SAML署名証明書の信頼できる発行者および信頼できる識別名リストの定義」の説明に従って、ADFS 2.0 STSエンドポイントを信頼できる発行者および信頼できるDNとして定義します。
Microsoft ADFS 2.0 STSをRP-STSとして構成するには、次の手順を実行します。
(次のMicrosoft ADFS 2.0 STS構成タスクの実行の詳細は、http://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspxでMicrosoft ADFS 2.0 STSのドキュメントを参照してください。)
/issuedtokensymmetricbasic256エンドポイントが有効であることを確認します。
ADFS 2.0管理コンソールを使用して、サービスをリライイング・パーティとして追加します。
ADFS 2.0管理コンソールを使用して、IP-STSとして機能するOracle STSインスタンスを信頼できるクレーム・プロバイダとして追加します。
Oracle STSをIP-STSとして構成するには、次の手順を実行します。
(次のOracle STS構成タスクの実行の詳細は、http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oraclests-166231.htmlでOracle STSのドキュメントを参照してください。)
Oracle STS /wss11userエンドポイントを次のように構成します。
ポリシー(URI sts/wss11_username_token_with message_protection_service_policy)をアタッチします。
OWSM LRG UN Validation検証テンプレートを作成して受信トークンを検証し、それをエンドポイントに適用します。
Oracle STSで、RP-STSとして機能するMicrosoft ADFS 2.0 STSインスタンスを、リライイング・パートナ・パーティとして追加します。
Oracle STSでオーディエンス制限条件を有効にします。
ADFS 2.0では、クレーム・プロバイダのSAMLアサーションに対してAudienceRestrictionUriの設定を要求しますが、Oracle STSが発行するアサーションではこれがデフォルトで設定されないため、この手順が必要になります。
Oracle STSが使用する256バイトの証明鍵を発行する、個別の発行テンプレートを構成します。
クライアントを構成するには、次の手順を実行します。
oracle/wss11_sts_issued_saml_hok_with_message_protection_client_policyからポリシーを作成し、それを次のように変更します。
アルゴリズム・スイートをBasic128ではなくBasic256に設定します。
導出キーを有効に設定します。
sts.in.orderを、ADFS 2.0 STSエンドポイントのURIに設定し、その後にOracle STSエンドポイントを続けます。次に例を示します。
http://m1.example.com/adfs/services/trust/13/issuedtokensymmetricbasic256; http://m2.example.com:14100/sts/wss11user
oracle/sts_trust_config_client_templateからポリシーを作成し、それを次のように変更します。
ポートURIをADFS 2.0 STSエンドポイントに設定します。次に例を示します。
http://m1.example.com/adfs/services/trust/13/issuedtokensymmetricbasic256
クライアント・ポリシーURIを手順1で作成したポリシーに設定します。
oracle/wss11_sts_issued_saml_hok_with_message_protection_client_policy_adfs
oracle/sts_trust_config_client_templateからポリシーを作成し、それを次のように変更します。
ポートURIをOracle STSエンドポイントに設定します。次に例を示します。
http://m2.example.com:14100/sts/wss11user
次の各項では、様々なセキュリティのシナリオを構成するためにOpen SSO Security Token Service (STS)サーバーでWS-Trustを使用したエンドツーエンドの例を示します。
次に、ここで説明する各例のシナリオで使用するためのOpenSSO STSの構成に必要な手順を示します。
OpenSSO STSインスタンスにログインします。
「構成」→「グローバル」→「セキュリティ・トークン・サービス」に移動します。
「セキュリティ」→セキュリティ・メカニズム→「STSサービスによって受け入れられるセキュリティ・トークン」で、すべてのオプションを有効にします。
「ユーザー・トークンの資格証明」セクションで必要に応じて、名前とパスワードのセットを含むトークンの新しい資格証明を追加します。これには、test/testを設定します。
On Behalf ofトークン・セクションで、「On Behalf ofトークンの認証チェーン」ドロップダウンリストから「ldapService」eを選択します。
「署名」セクションで、次のオプションを有効にします。
- リクエストの署名は検証済
- レスポンスの署名は有効(「本文」および「タイムスタンプ」を選択します)
「暗号化」セクションで、次のオプションを有効にします。
- 「リクエストは復号化されているか」(「本文」および「ヘッダー」を選択します)
- レスポンスは暗号化されているか
「暗号化アルゴリズム」ドロップダウン・リストから「AES」を選択し、暗号化強度ドロップダウン・リストから128を選択します。
メッセージ保護要求者トークンとともにWS-Security 1.1 Kerberosトークンをサポートするには、「Kerberosの構成」セクションで次の値を構成します。
SSLをサポートするには、次の手順を実行します。
トークン発行属性セクションで、OpenSSOインスタンスに基づいてSSLエンドポイントを編集します。
「署名」で、「トランスポートがSSLにより保護されている場合に署名の検証を無効にする」オプションを有効にします。
「暗号化」で、「トランスポートがSSLにより保護されている場合に復号化を無効にする」オプションを有効にします。
OpenSSO STSをホストするサーバー上でSSLをサポートするには:
OpenSSO STSをホストするWebLogic ServerでSSLを構成する場合は、「SSLに関するキーストアの構成」に記載されている手順を実行します。
Open SSO STSをホストするGlassfishサーバーの場合は、次の手順を実行します。
次のコマンドを発行することによりアプリケーション・サーバーのための新しい鍵ペアを生成します。
keytool -genkey -keyalg <algorithm for generating the key pair> -keystore keystore.jks -validity <days> -alias <alias_name>
例:
keytool -genkey -keyalg RSA -keystore <glassfish_install_dir>/domains/<sts_deploy_domain>/config/keystore.jks -validity 365 -alias owsm
氏名の入力を求めるプロンプトが表示されたら、証明書を生成する対象のマシンのホスト名を入力します。また、他のプロンプトでも、該当する詳細を入力します。
次のコマンドを発行することにより証明書署名リクエスト(CSR)を生成します。
keytool -certreq -alias owsm -file owsm.csr -keystore keystore.jks -storepass changeit
有効な証明書を取得するために、生成後にowsm.csrファイルに書き込まれたリクエストを認証局に送信する必要があります。たとえば、OpenSSO QAチームによって維持されている証明書管理サーバー(https://mahogany.red.iplanet.com)に送信します。
証明書管理サーバー(https://mahogany.red.iplanet.com)にアクセスし、左側のペインでSSLサーバーをクリックし、.csrファイルの「BEGIN CERTIFICATE REQUEST」から「END CERTIFICATE REQUEST」までの内容をPKCS # 10リクエスト・フィールドに貼り付けます。
必要に応じてその他のフィールドに入力し、リクエストを送信します。リクエストが承認されると、同じページの取得タブから証明書を取得できます。
BEGIN CERTIFICATEからEND CERTIFICATEの証明書の内容(PKCS # 7形式)を.cert拡張子のファイルにコピーし、次のkeytoolコマンドを使用することによりサーバー証明書を<glassfish_install_dir>/domains/<sts_deploy_domain>/config/keystore.jksファイルにインポートします。
keytool -import -v -alias owsm -file owsm.cert -keystore keystore.jks -storepass changeit
証明書を信頼する場合は、プロンプトが表示されたら「YES」を入力します。
認証局のSSL証明書にアクセスします。https://mahogany.red.iplanet.comにアクセスし、SSLサーバー→取得タブ→証明書のリスト→「検索」に移動します。ページの最初の「詳細」ボタンをクリックし、BASE64でエンコードされた証明書を別の.certファイルにコピーします(例: mahogany.cert)。
次のコマンドを使用して、この証明書を別名「rootca」として<glassfish_install_dir>/domains/<sts_deploy_domain>/config/cacerts.jksファイルにインポートします。
keytool -import -v -alias rootca -file mahogany.cert -keystore cacerts.jks -storepass changeit
クライアント側のtruststore.jksファイルについても、前述の手順を繰り返すことが必要になる場合があります。該当ファイルから既存のrootca別名を削除し、前述のように新たにインポートします(キーストア・ファイルの場所を変更します)。
新しい証明書でGlassFishを構成するために、http://hostname:admin-port/で管理コンソールにアクセスします。「構成」→HTTPサービス→http-listener2 (デフォルトSSL対応ポート)→「SSL」に移動し、証明書のニックネームをs1as(自己署名証明書)からowsmに変更します。
Glassfishを再起動します。
次の手順では、OpenSSO STSでWS-Trustを使用してメッセージ保護付きでSAML鍵所有者を構成する方法について説明します。この例のシナリオでは、WebLogic WebサービスおよびSOAコンポジット・クライアントを使用します。
OpenSSO STSでWS-Trustを使用してメッセージ保護付きでSAML鍵所有者を構成するには:
「OpenSSO STSの構成」の説明に従って、OpenSSO STSを構成します。
「自動ポリシー構成のためのポリシーの構成」の手順に従ってSTSサービス・ポリシーを構成します。
後述するように、oracle/sts_trust_config_service_policyをコピーし、要求者トークン・タイプに基づいてポリシー構成を編集します。
メッセージ保護要求者トークンでWS-Security 1.0ユーザー名トークンをサポートするには:
orasp:port-uri="http://<host>:<port>/openssosts/sts/wss10un"
orasp:wsdl-uri="http://<host>:<port>/openssosts/sts/wss10un?wsdl"(オプション)
メッセージ保護要求者トークンでSSL経由でWS-Security 1.0ユーザー名トークンをサポートするには:
orasp:port-uri="https://<host:ssl_port>/openssosts/sts/tlswss10un"
orasp:wsdl-uri="https://<host:ssl_port>/openssosts/sts/tlswss10un?wsdl"(オプション)
メッセージ保護要求者トークンでWS-Security 1.0 X509トークンをサポートするには:
orasp:port-uri="http://<host>:<port>/openssosts/sts/wss10x509"
orasp:wsdl-uri="http://<host>:<port>/openssosts/sts/wss10x509?wsdl"(オプション)
メッセージ保護要求者トークンでWS-Security 1.1 Kerberosトークンをサポートするには:
orasp:port-uri="http://<host>:<port>/openssosts/sts/wss11kerberos"
orasp:wsdl-uri="http://<host>:<port>/openssosts/sts/wss11kerberos?wsdl"(オプション)
「自動ポリシー構成のためのWebサービスの構成」の手順に従ってWebサービス・ポリシーを構成します。
手順2で作成したポリシー、その後でoracle/wss11_sts_issued_saml_hok_with_message_protection_service_policyをWebLogic Webサービスにアタッチします。詳細は、「Fusion Middleware Controlを使用した単一サブジェクトへのポリシーを直接アタッチする」を参照してください。
|
注意: デフォルトでは、oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policyポリシーはトークン・タイプSAML 1.1により構成されています。トークン・タイプをSAML 2.0として構成するには、ポリシーをコピーして編集する必要があります。詳細は、「Webサービス・ポリシーのクローンの作成」を参照してください。(この値はクライアント・ポリシーに一致する必要があります。) |
「自動ポリシー構成のためのWebサービス・クライアントの構成」の手順に従ってWebサービス・クライアント・ポリシーを構成します。
SOAコンポジット・クライアントにoracle/wss11_sts_issued_saml_hok_with_message_protection_client_policyポリシーをアタッチし、要求者トークンの必要に応じて、表19-99「oracle/wss11_sts_issued_saml_hok_with_message_protection_client_templateのプロパティ」に記載されているクライアント構成プロパティをオーバーライドします。
sts.auth.user.csf.keyには、デフォルトのOpenSSO STS構成で使用可能なユーザー資格証明を設定する必要があります。つまり、ユーザー名test、パスワードtestです。ただし、X509要求者トークンでは設定する必要はありません。
|
注意: ポリシーをアタッチする場合のクライアント構成プロパティのオーバーライドの詳細は、「Fusion Middleware Controlを使用したWebサービス・クライアントへのポリシーのアタッチ」を参照してください。 デフォルトでは、 oracle/wss11_sts_issued_saml_hok_with_message_protection_client_policyポリシーはトークン・タイプSAML 1.1により構成されています。トークン・タイプをSAML 2.0として構成するには、ポリシーをコピーして編集する必要があります。詳細は、「Webサービス・ポリシーのクローンの作成」を参照してください。(この値はサービス・ポリシーに一致する必要があります。) |
次の手順では、OpenSSO STSでWS-Trustを使用してメッセージ保護付きでSAML送信者保証を構成する方法について説明します。この例のシナリオでは、WebLogic WebサービスおよびSOAコンポジット・クライアントを使用します。
OpenSSO STSでWS-Trustを使用してメッセージ保護付きでSAML送信者保証を構成するには:
「OpenSSO STSの構成」の説明に従って、OpenSSO STSを構成します。
「Webサービス・クライアントからのSTS構成ポリシーの手動による構成: メイン手順」の手順に従って、クライアント側のSTSポリシーを構成します。
oracle/sts_trust_config_client_policyをコピーし、要求者トークン・タイプに基づいてポリシー構成を編集します。
メッセージ保護要求者トークンでWS-Security 1.0ユーザー名トークンをサポートするには:
orasp:policy-reference-uri="oracle/wss10_username_token_with_message_protection_client_policy"
orasp:port-endpoint="http://<host>:<port>/openfm/SecurityTokenService/#wsdl.endpoint(SecurityTokenService/ISecurityTokenService_Port_UN_WSS10_SOAP12):
orasp:port-uri="http://<host>:<port>/openssosts/sts/wss10un"
orasp:sts-keystore-recipient-alias="test"
メッセージ保護要求者トークンでSSL経由でWS-Security 1.0ユーザー名トークンをサポートするには:
orasp:policy-reference-uri="oracle/wss_username_token_over_ssl_client_policy"
orasp:port-endpoint="http://localhost:8080/openfm/SecurityTokenService/#wsdl.endpoint(SecurityTokenService/ISecurityTokenService_Port_TLS_UN_WSS10_SOAP12)"
orasp:port-uri="https://<host:ssl_port>/openssosts/sts/tlswss10un"
orasp:sts-keystore-recipient-alias="test"
メッセージ保護要求者トークンでWS-Security 1.0 X509トークンをサポートするには:
orasp:policy-reference-uri="oracle/wss10_x509_token_with_message_protection_client_policy"
orasp:port-endpoint="http://localhost:8080/openfm/SecurityTokenService/#wsdl.endpoint(SecurityTokenService/ISecurityTokenService_Port_X509_WSS10_SOAP12)"
orasp:port-uri="http://<host>:<port>/openssosts/sts/wss10x509"
orasp:sts-keystore-recipient-alias="test"
WebLogic Webサービスにoracle/wss11_saml_token_with_message_protection_service_policyポリシーをアタッチし(SAML送信者保証のシナリオでは対応する発行済トークン・ポリシーはありません)、サービスの暗号化鍵の別名およびパスワードを指定するためにkeystore.enc.csf.keyをオーバーライドします。
|
注意: デフォルトでは、oracle/wss11_saml_hok_with_message_protection_service_policyポリシーはトークン・タイプSAML 1.1により構成されています。トークン・タイプをSAML 2.0として構成するには、ポリシーをコピーして編集する必要があります。詳細は、「Webサービス・ポリシーのクローンの作成」を参照してください。 |
手順2で作成したポリシー、その後でoracle/ws11_sts_issued_saml_with_message_protection_client_policyポリシーをSOAコンポジット・クライアントにアタッチし、要求者トークンの必要に応じて、表19-101「wss11_sts_issued_saml_with_message_protection_client_templateの設定」に記載されているクライアント構成プロパティをオーバーライドします。
On Behalf Ofユースケースは、表19-101「wss11_sts_issued_saml_with_message_protection_client_templateの設定」に記載されているsts.auth.on.behalf.of.csf.keyプロパティとon.behalf.ofプロパティに基づきます。詳細は、「On Behalf Ofユースケース」を参照してください。
on.behalf.ofプロパティをtrueに設定する必要があります。sts.auth.on.behalf.of.csf.keyには、「on behalf of」ユースケースをサポートするデフォルトのOpen SSO STS構成で使用可能なユーザー資格証明を設定する必要があります。つまり、demo、パスワードchangeitです。
|
注意: ポリシーをアタッチする場合のクライアント構成プロパティのオーバーライドの詳細は、「Fusion Middleware Controlを使用したWebサービス・クライアントへのポリシーのアタッチ」を参照してください。 |
ユーザーにかわって(on behalf of) OpenSSO STSからのトークンをリクエストする権限をクライアント・アプリケーションに付与するために、「WSIdentityPermission権限の設定」の説明に従って、WSIdentityPermissionをwsm-agent-core.jarに付与します。
次の手順では、OpenSSO STSでWS-Trustを使用してメッセージ保護付きでSAMLベアラーを構成する方法について説明します。この例のシナリオでは、WebLogic WebサービスおよびSOAコンポジット・クライアントを使用します。
OpenSSO STSでWS-Trustを使用してメッセージ保護付きでSAMLベアラーを構成するには:
「OpenSSO STSの構成」の説明に従って、OpenSSO STSを構成します。
「STSの自動ポリシー構成の設定」の手順に従ってSTSポリシーを構成します。
後述するように、oracle/sts_trust_config_service_policyをコピーし、要求者トークン・タイプに基づいてポリシー構成を編集します。
メッセージ保護要求者トークンでWS-Security 1.0ユーザー名トークンをサポートするには:
orasp:port-uri="http://<host>:<port>/openssosts/sts/wss10un"
orasp:wsdl-uri="http://<host>:<port>/openssosts/sts/wss10un?wsdl"(オプション)
メッセージ保護要求者トークンでSSL経由でWS-Security 1.0ユーザー名トークンをサポートするには:
orasp:port-uri="https://<host:ssl_port>/openssosts/sts/tlswss10un"
orasp:wsdl-uri="https://<host:ssl_port>/openssosts/sts/tlswss10un?wsdl"(オプション)
メッセージ保護要求者トークンでWS-Security 1.0 X509トークンをサポートするには:
orasp:port-uri="http://<host>:<port>/openssosts/sts/wss10x509"
orasp:wsdl-uri="http://<host>:<port>/openssosts/sts/wss10x509?wsdl"(オプション)
メッセージ保護要求者トークンでWS-Security 1.1 Kerberosトークンをサポートするには:
orasp:port-uri="http://<host>:<port>/openssosts/sts/wss11kerberos"
orasp:wsdl-uri="http://<host>:<port>/openssosts/sts/wss11kerberos?wsdl"(オプション)
「自動ポリシー構成のためのWebサービスの構成」の手順に従ってWebサービス・ポリシーを構成します。
手順2で作成したポリシー、その後でoracle/wss11_sts_issued_saml_bearer_token_over_ssl_service_policyをアタッチします。詳細は、「Fusion Middleware Controlを使用した単一サブジェクトへのポリシーを直接アタッチする」を参照してください。
「自動ポリシー構成のためのWebサービス・クライアントの構成」の手順に従ってWebサービス・クライアント・ポリシーを構成します。
SOAコンポジット・クライアントにoracle/ws11_sts_issued_saml_bearer_token_over_ssl_client_policyポリシーをアタッチし、要求者トークンの必要に応じて、表19-96「oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_templateのプロパティ」に記載されているクライアント構成プロパティをオーバーライドします。
sts.auth.user.csf.keyには、デフォルトのOpenSSO STS構成で使用可能なユーザー資格証明を設定する必要があります。つまり、ユーザー名test、パスワードtestです。ただし、X509要求者トークンでは設定する必要はありません。
|
注意: ポリシーをアタッチする場合のクライアント構成プロパティのオーバーライドの詳細は、「Fusion Middleware Controlを使用したWebサービス・クライアントへのポリシーのアタッチ」を参照してください。 |
