Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
この章には、Token Serviceパートナとパートナ・プロファイルの管理について説明する次のトピックが用意されています。
第34章「Oracle Access Managementセキュリティ・トークン・サービスの概要」
Oracle Access Managementコンソールを使用して実行できるタスクは、次のものを使用して実行することもできます。
関連項目: Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス |
この項では次のトピックを記載しています:
Token Serviceパートナは、セキュリティ・トークン・サービスで信頼されているパートナを表します。表39-1には、パートナ・タイプが説明されています。
表39-1 セキュリティ・トークン・サービス・パートナ
パートナ・タイプ | 説明 |
---|---|
リクエスタ |
トークンを発行または検証するためにセキュリティ・トークン・サービスと直接相互作用するWebサービス・クライアントを表します。 |
リライイング・パーティ |
セキュリティ・トークン・サービス・サーバーによって発行されるトークンの受信者になるWebサービス・プロバイダを示します。 |
発行局 |
アサーション発行者を表します。アサーションを検証する場合、発行者はセキュリティ・トークン・サービス内の既知の発行局パートナ・エントリであることが必要です。 |
セキュリティ・トークン・サービスでは、表39-2に示されたクライアント・タイプと相互作用できます。
パートナ・プロファイルには、パートナのセットに共通の構成プロパティが含まれており、各パートナ・エントリはパートナ・プロファイルに関連付けられます。パートナと同様に、パートナ・プロファイルには3つのタイプ(リクエスタおよび発行局パートナ・プロファイル)があります。
リクエスタ・プロファイル
リライイング・パーティ・プロファイル
発行局パートナ・プロファイル
パートナ・エントリには表39-3の情報が含まれます。
この項の内容は次のとおりです。
新しいパートナの作成を選択した場合、選択した特定のパートナ・タイプの新しいページが表示されます。図39-1に、Oracle Access Managementコンソールの「新規リクエスタ・パートナ」ページを示します。このページにはすべてのパートナ要素が含まれます。
ほとんどの要素(名前、説明およびこのパートナが信頼されているかどうか)はすべてのパートナに共通ですが、表39-5で説明されているとおり、特定の要素は特定のパートナ・タイプによって決まります。
表39-5 パートナ・タイプのパートナ要素
パートナ・タイプ | 説明 |
---|---|
リクエスタ・パートナ |
暗号化証明書、署名証明書、トークン認証およびアイデンティティ属性を指定できます。 |
リライイング・パーティ・パートナ |
暗号化証明書とリソースURLのみを指定できます。 図39-2を参照してください。 |
発行局パートナ |
署名証明書のみを指定できます。 |
表39-6に、セキュリティ・トークン・サービス・パートナの要素を示します。特に明記しないかぎり、すべての要素がすべてのパートナ・タイプに適用されます。
表39-6 セキュリティ・トークン・サービス・パートナの要素
要素 | 説明 |
---|---|
パートナ名 |
このパートナの名前を入力します。 |
発行者ID 発行局のみ |
「SAMLアサーションの発行者」フィールドで使用される、この発行局を示す一意の識別子。 |
パートナ・タイプ |
編集不可の記述で、作成または編集しているパートナのタイプに応じて異なります。
|
パートナ・プロファイル |
リストされたプロファイルから選択して、選択するパートナを定義します。 |
説明 |
オプション。 |
信頼 |
パートナが信頼されているかどうかを示すには、このボックスを選択します。選択しない場合、セキュリティ・トークン・サービス・サーバーでは、リクエストにそのようなエントリが含まれるときにエラーが報告されません。 |
証明書のロード |
要求された証明書を参照してアップロードしますが、これはパートナ・タイプによって異なります。
|
ユーザー名トークン認証 リクエスタのみ |
ユーザー名トークン認証の次のものについて値を入力できます。
新規リクエスタ・パートナのアイデンティティ属性を「Security Token Serviceの設定」セクションで定義し、リクエスタ・パートナの「アイデンティティ属性」表に表示できます。 注意: ユーザー名とパスワードのデータは、ユーザー名トークンの資格証明を検証するために使用されます。ユーザー名を使用したリクエスタ・パートナへの着信トークンのマップのみにデータが使用される場合、ユーザー名のみを入力し、パスワードを入力しないこともできます。 |
アイデンティティ属性 リクエスタのみ |
実行時にセキュリティ・トークン・サービスでは、セクションに定義されたデータを使用して、着信リクエストをリクエスタ・パートナ・エントリにマップします。次のものが使用されます。
新しいマッピングを「リライイング・パーティ・パートナ」セクションにhttp://relying.party.test.com/testing.serviceのように追加できます。実行時にセキュリティ・トークン・サービス・サーバーではそのURLを使用して、WS-Trustリクエストに含まれるAppliesToサービス・ロケーションをリライイング・パーティ・パートナにマップします。 |
リソースURL リライイング・パーティのみ |
表のリソース・パターン列にリソースURLを入力し、その横に説明を入力します。次に例を示します。 パターン: http://relying.party.test.com/testing/service 表にリストされるリソースURLは、WS-Trustリクエストからこのリライイング・パーティ・パートナにAppliesToロケーション要素をマップするときに使用されます。 AppliesToロケーション値は、このリライイング・パーティ・パートナにマップされます。
|
図39-3に、入力する「リクエスタ・パートナ」ページを示します。
有効な管理者の資格証明を持つユーザーは、次の手順に従って、Oracle Access Managementコンソールを使用してトークン・サービス・パートナを作成、検索、編集または削除できます。
前提条件
作成するパートナのタイプのパートナ・プロファイルを定義する必要があります。
Token Serviceパートナを管理する手順
Oracle Access Managementコンソールで、「パートナ」をクリックします。
「パートナ」ノードで、目的のパートナ・タイプをダブルクリックし、必要に応じて次の手順に進みます。
リクエスタ
リライイング・パーティ
発行局
新規パートナ:
新規のPartnerTypeボタンをクリックして、定義に使用する新しいページを表示します。
選択したパートナ・タイプの一般情報(表39-6)を入力します。
信頼: クリックして選択します(これが信頼できるパートナではない場合は、空白のままにします)。
証明書: 必要な証明書をロードします。
リライイング・パーティ: 必要に応じてリソースURLを入力します。
発行局: この発行局の発行者IDを入力します。
リクエスタ: 必要に応じてユーザー名トークン資格証明を入力します。
「保存」をクリックして送信(または「取消」をクリックしてページを閉じます)し、確認ウィンドウを閉じます。
パートナ検索の絞込み: 「パートナ検索の絞込み」
ステップ1および2を実行します。
問合せを定義し、「検索」ボタンをクリックします。
「検索結果」表で、表示、編集または削除するパートナの名前をクリックします。
パートナの編集:
「検索結果」表で、編集するパートナの名前をクリックし、「編集」ボタンをクリックします(または「アクション」メニューから「編集」を選択します)。
パートナ情報に必要な変更を加えます(表39-6)。
「適用」をクリックして変更を送信(または「元に戻す」をクリックして変更を取り消します)し、確認ウィンドウを閉じます。
パートナの削除: 必要に応じて、検索コントロールを使用して問合せを絞り込んで送信します。
「検索結果」表で、削除するパートナを含む行を強調表示します。
「削除」(X)ボタンをクリック(または「アクション」メニューから「選択項目の削除」を選択します)し、確認ウィンドウを閉じます。
コンソールの起動パッドで「パートナ」をクリックすると、タブにすべてのパートナ・タイプが表示されます。特定のパートナを選択すると、関連する検索コントロールと「検索結果」表が使用可能になります。図39-4にリクエスタ・パートナを示します。結果は他のパートナ・タイプの結果とは異なります。
「検索」ページから「検索結果」表の名前を選択するか、コントロールを使用して検索を絞り込み、特定のパートナまたは特定の特性を持つパートナを検索します。
この項では、Token Serviceパートナ・プロファイルに関する情報を示します。
図39-5に、「一般」タブと「トークンと属性」タブの両方が表示されている、入力が完了した「リクエスタ・プロファイル」ページを示します。
表39-7に、すべてのプロファイル・タイプの「一般」要素を示します。
表39-7 プロファイル: 一般
要素 | 説明 |
---|---|
プロファイルID |
このプロファイルに対する一意の識別子。 |
説明 |
オプション。 |
プロファイル・タイプ |
プロファイルのタイプ(編集不可): 「リクエスタ」、「リライイング・パーティ」または「発行局」になります。 |
デフォルト・リライイング・パーティ・プロファイル リクエスタ・パートナ・プロファイルのみ |
WS-Trustリクエストがリライイング・パーティを参照しない(AppliesTo要素が存在しないなど)か、AppliesTo要素を既知のリライイング・パーティ・パートナ・プロファイルにマップできなかった場合、使用するリライイング・パートナ・プロファイルを参照します。 デフォルトとして使用するリライイング・パーティ・プロファイルを選択し、必要に応じて次の特性を有効または無効にします。
|
発行するデフォルト・トークン リライイング・パーティのみ |
この表は、このプロファイルにリンクされたリライイング・パーティのトークンの発行に使用する発行テンプレートを示します。 このプロファイルのデフォルトとしてトークン・タイプを選択します。
ポリシーをトークンに関連付けるには、「ポリシーのダウンロード」の横にあるボックスを選択します。選択した場合、セキュリティ・トークン・サービスでは実行時に、RST内のAppliesTo要素で参照されるリライイング・パーティのWS-Securityポリシーがダウンロードされます。存在する場合、セキュリティ・トークン・サービスではそのURLを使用してポリシーをダウンロードした後、ポリシーに存在する情報に基づいて返すトークンのタイプを決定します。 |
リクエスタ・プロファイル: トークンと属性
図39-6に、「トークンと属性」タブおよびリクエスタ・プロファイルに付随する表を示します。「トークン・タイプ構成」セクションは、トークン・タイプに基づいてWS-TrustリクエストのOnBelhalfOf要素に含まれるトークンの検証に使用するWS-Trust検証テンプレートを示します。このセクションでは、クライアントによってリクエストされるWS-Trust要求とローカル属性名の間のマッピングが定義されます。
表39-8に、リクエスタ・プロファイルの「トークンと属性」要素およびコントロールを示します。
表39-8 リクエスタ・プロファイル: トークンと属性
要素 | 説明 |
---|---|
トークン・タイプ構成 |
表の上の「+」をクリックして次のダイアログ・ボックスを表示した後、各リストから1つずつ選択します。 「トークン・タイプ」リストには、サポートされている(およびカスタム)デプロイ済のトークン・タイプがすべて表示されます。 「検証テンプレート」リストには、現在定義されているすべてのWS-Trust検証テンプレートが含まれています。 |
属性名マッピング |
この表は、セキュリティ・トークン・サービスが名前およびオプションの「フォーマット/ネームスペース」で表される要求をローカル属性にマップする方法を定義します。 セキュリティ・トークン・サービスではInfocard要求言語がサポートされています。Infocard要求をローカル属性に変換するには、「着信属性」に要求名、「ローカル属性」にローカル名が含まれるマッピングを定義する必要があります(「フォーマット/ネームスペース」列は空になります)。 たとえば、あるマッピングは次のようになります。
別のマッピングは次のようになります。
別のマッピングは次のようになります。
|
リライイング・パーティ・プロファイル: トークンと属性
図39-7に、リライイング・パーティ・プロファイルに対して定義されている「トークンと属性」を示します。この項により、管理者はこのプロファイルに関連付けられたリライイング・パーティのトークンの発行に使用される発行テンプレートを定義できます。
また、発行済のトークンに含まれる属性(名前別)、その属性のソース、クライアントがリクエストした場合のみ属性を発行済トークンに含めるか、または常に含めるかもリストされます。
このページでは、リライイング・パーティ・プロファイルにはトークン・タイプ以外に発行テンプレートも必要です。また、属性タイプは他のプロファイルとは異なります。
表39-9に、リライイング・パーティ・プロファイルに必要な要素を示します。
表39-9 リライイング・パーティ・プロファイルの要件
要素 | 説明 |
---|---|
トークン・タイプ構成 |
表の上の「+」をクリックして次のダイアログ・ボックスを表示した後、各リストから1つずつ選択します。 「トークン・タイプ」リストには、サポートされている(およびカスタム)デプロイ済のトークン・タイプがすべて表示されます。 「発行テンプレート」リストには、現在定義されているすべての発行テンプレートが表示されます。 |
属性 |
発行済トークンに含まれる属性は、次のとおりです。
関連項目: 「リライイング・パーティ・プロファイルの属性」 |
リライイング・パーティ・プロファイルの属性
属性を定義するときに、次のものを指定できます。
属性ソース: ユーザー・ストア(LDAP)、着信トークン・データまたは静的値。
クライアントがリクエストした場合のみトークンに属性を含めるか、またはすべてのトークンに属性を含めるか。
属性を暗号化するかどうか(SAML 2.0のみ、リライイング・パーティの暗号化証明書が必要)。
これが静的属性の場合は属性の値。
例: LDAPから取得されたmail属性をすべての送信トークンに含める場合
属性名: mail
ストア・タイプ: ユーザーストア
トークンに含める: 選択
暗号化: 選択解除
値: 空
例: 着信ユーザー名トークンのusername要素をすべての送信トークンに含める場合
属性名: STS_SUBJECT_ID
ストア・タイプ: 着信トークン
トークンに含める: 選択
暗号化: 選択解除
値: 空
例: 静的属性をすべての送信トークンに含める場合
属性名: rp-version
ストア・タイプ: 静的
トークンに含める: 選択
暗号化: 選択解除
値: 2.0
着信トークン・データから次の属性を使用できます。名前で参照されるSAML属性も、着信トークン・データとして使用できます。
サブジェクト識別子(ユーザー名トークンの場合はユーザー名、SAMLアサーションの場合は名前ID値、X.509証明書の場合はサブジェクトDN)を含みます。
SAML名前IDフォーマットを含みます。
SAML名前IDフォーマットを含みます。
SAML名前ID修飾子を含みます。
SAML名前ID SP修飾子を含みます。
セッション索引を含みます。
認証インスタントを含みます(ユーザー名トークン資格証明の検証の場合はcurrent after、SAMLアサーションの場合は認証文から、X.509検証の場合はcurrent、Kerberos検証の場合はcurrent、OAMセッション伝播トークンの場合は認証インスタント)。
設定されている場合、セッションの有効期間を含みます(存在する場合、SAMLアサーションおよびOAMセッション伝播トークンに適用されます)。
X.509証明書のサブジェクトDNのCNコンポーネントを含みます。
X.509証明書のサブジェクトDNのOUコンポーネントを含みます。
X.509証明書のサブジェクトDNのOコンポーネントを含みます。
X.509証明書のサブジェクトDNのLコンポーネントを含みます。
X.509証明書のサブジェクトDNのSTコンポーネントを含みます。
X.509証明書のサブジェクトDNのCコンポーネントを含みます。
X.509証明書のサブジェクトDNのDCコンポーネントを含みます。
X.509証明書のサブジェクトDNの*で識別されるコンポーネントを含みます。
X.509証明書のversion属性を含みます。
X.509証明書の発行者DNを含みます。
X.509証明書のnot after属性を含みます。
X.509証明書のnot before属性を含みます。
X.509証明書のサブジェクトDNを含みます。
X.509証明書のサブジェクト代替名拡張値を含みます。
X.509証明書のシリアル番号を含みます。
OAMセッション伝播トークンの最終アクセス時間を含みます。
OAMセッション伝播トークンの最終更新時間を含みます。
OAMセッション伝播トークンの作成時間を含みます。
KerberosトークンのPrincipal Short値を含みます。
KerberosトークンのPrincipal Full値を含みます。
KerberosトークンのPrincipal No Domain値を含みます。
SAMLアサーションのAssertionIDを含みます。
SAMLアサーションのサブジェクトDNS属性を含みます。
SAMLアサーションのサブジェクトIPアドレス属性を含みます。
SAMLアサーションの発行者を含みます。
SAMLアサーションの認証インスタンスを含みます。
SAMLアサーションの認証方式を含みます。
発行局プロファイル: トークンと属性
発行局パートナ・プロファイルでは、異なる発行局パートナに共通の設定が定義されます。
図39-8に示すように、「トークンと属性」セクションを使用すると、管理者は属性の名前および値をローカル名および値に変換するために使用されるマッピング・ルールを定義できます。
表39-10に、発行局の「トークンと属性」要素を示します。トークンから属性を抽出するときに、アサーションに含まれる属性に適用される属性マッピング・ルールを定義できます。2つのルールのセットがあります。
SAML属性の名前をローカル名に変換できる属性名マッピング(たとえば、firstnameをgivennameに変換できます)。
SAML属性の値をローカル値に変換できる属性名マッピング(たとえば、PresidentをCEOに変換できます)。
表39-10 「トークンと属性」要素: 発行局
要素 | 説明 |
---|---|
属性名マッピング |
SAML属性の名前と属性のローカル名の間のオプション・マッピングを定義します。 マッピングはオプションです。属性にマッピングが定義されていない場合は、SAML属性名が使用されます。
|
値マッピング |
SAML属性のオプションの値マッピングを定義します。これは、必要に応じて属性値をローカル値に変換する方法を示します。 注意: この属性値マッピングは、属性名マッピングに適用されます。属性の属性マッピングを定義するには、まずその属性の属性名マッピングを定義する必要があります。
|
発行局プロファイル: トークン・マッピング
図39-9に示すように、「トークン・マッピング」タブを使用すると、管理者はSAML検証テンプレートに定義されているマッピング・ルールを、発行局パートナ・プロファイルに定義されているマッピング・ルールでオーバーライドできます。このように、セキュリティ・トークン・サービスはアサーション発行者のセットに固有のルールに基づいてSAMLアサーションをマップできます。表39-10に、発行局の「トークン・マッピング」要素を示します。
表39-11 発行局の「トークン・マッピング」要素
要素 | 説明 |
---|---|
トークン・マッピングのオーバーライド |
このセクションに定義されているマッピング・ルールが、アサーションの処理に使用されるSAML検証テンプレートにリストされているマッピング・ルールをオーバーライドするかどうかを示します。これによってセキュリティ・トークン・サービスは、アサーション発行者に固有のマッピング・ルールを使用できます。trueの場合、すべてのマッピング・ルールがこのセクションにリストされている設定でオーバーライドされます。 |
簡易ユーザー・マッピングのオーバーライド |
簡易ユーザー・マッピングでは、単一のトークン属性を使用して、単一のユーザー・レコード属性と照合することで、着信トークンをユーザー・レコードにマップします。
|
ユーザー名識別子マッピングのオーバーライド |
有効な場合、名前IDユーザー・マッピング操作を定義します。この操作では、名前IDフォーマットに基づいて名前ID値を単一のユーザー・レコード属性にマップすることで、着信SAMLアサーションをユーザーにマップします。 有効な場合、セキュリティ・トークン・サービスでは名前IDフォーマットが評価され、ユーザー・レコード属性が照合される「名前識別子」マッピング表に基づいて、名前ID値がアサーションに含まれます。「名前識別子」マッピング表は、マッピング操作に使用されるユーザー・レコード属性を保持します。標準の名前IDフォーマットを含みますが、カスタム名前IDフォーマットを定義してカスタマイズすることもできます。
|
属性ベース・ユーザー・マッピングのオーバーライド |
属性ベース・ユーザー・マッピング操作では、LDAP問合せおよびトークン属性を使用することで、着信トークンをユーザー・レコードにマップします。 LDAP問合せのフォーマットによりマッピング・ルールが定義され、使用するトークン属性が指定されます。トークン属性は%文字で囲みます。たとえば、2つのトークン属性(firstnameおよびlastname)に基づいてトークンをマップするLDAP問合せは次のようになります。 (&(sn=%lastname)(givenname=%firstname%)) STS_SUBJECT_IDには名前ID値が含まれます。 STS_NAMEID_FORMATには名前IDフォーマットが含まれます。 STS_NAMEID_QUALIFIERには名前ID修飾子が含まれます。 STS_SAML_ASSERTION_ISSUERにはアサーションの発行者が含まれます。 アサーションのAttributeStatementに含まれる属性 |
簡易パートナ・マッピングのオーバーライド |
簡易パートナ・マッピング操作では、単一のトークン属性を使用して、パートナ識別属性と照合することで、着信トークンをパートナ・リクエスタにマップします。
|
パートナ名識別子マッピングのオーバーライド |
有効な場合、名前IDユーザー・マッピング操作では、名前IDフォーマットに基づいて名前ID値を単一のリクエスタ・パートナ識別属性にマップすることで、着信SAMLアサーションをユーザーにマップします。 有効な場合、セキュリティ・トークン・サービスでは名前IDフォーマットが評価され、パートナ識別属性が照合される「名前識別子」マッピング表に基づいて、名前ID値がアサーションに含まれます。「名前識別子」マッピング表は、マッピング操作に使用されるリクエスタ・パートナ識別属性を保持します。標準の名前IDフォーマットを含みますが、カスタム名前IDフォーマットを定義してカスタマイズすることもできます。
|
有効な管理者の資格証明を持つユーザーは、次の手順を使用して、トークン・サービス・パートナ・プロファイルを作成、検索、表示、編集または削除できます。
前提条件
リクエスタ・パートナ・プロファイルの前提条件は、次のとおりです。
デフォルト・リライイング・パートナ・プロファイルを定義するために、リライイング・パートナ・プロファイルが存在する必要があります。
OnBehalfOf要素に存在するトークンの検証に使用されるテンプレートを設定するために、WS-Trust検証テンプレートが存在する必要があります。
リライイング・パートナ・プロファイルの前提条件は、次のとおりです。
トークン発行操作に使用するテンプレートを構成するために、発行テンプレートが存在する必要があります。
発行局パートナ・プロファイルの前提条件はありません。
パートナ・プロファイルを作成、検索、編集または削除する手順
Oracle Access Managementコンソールで、「パートナ・プロファイル」をクリックします。
「パートナ・プロファイル」ノードで、目的のプロファイル・タイプをダブルクリックし、必要に応じて次の手順に進みます。
リクエスタ・プロファイル
リライイング・パーティ・プロファイル
発行局プロファイル
新規プロファイル:
プロファイル検索の絞込み: 「プロファイル検索の絞込み」
ステップ1および2を実行します。
問合せを定義し、「検索」ボタンをクリックします。
「検索結果」表で、表示、編集または削除するパートナの名前をクリックします。
プロファイルの編集:
プロファイルの削除: プロファイルを削除するには、プロファイルが他の場所で参照されていない状態にする必要があります。
リクエスタ・パートナ・プロファイルを削除するには、次のことが必要です。
リクエスタ・パートナがプロファイルを参照していないこと。
WS-Security検証テンプレートがプロファイルを参照していないこと。
リライイング・パーティ・パートナ・プロファイルを削除するには、次のことが必要です。
リライイング・パーティ・パートナがプロファイルを参照していないこと。
リクエスタ・パートナ・プロファイルがプロファイルを参照していないこと。
発行局パートナ・プロファイルを削除するには、次のことが必要です。
発行局パートナがプロファイルを参照していないこと。
これらの前提条件が満たされている場合は、次の作業を実行します。
「検索結果」表で、削除するプロファイルを含む行を強調表示します。
「削除」(X)ボタンをクリック(または「アクション」メニューから「選択項目の削除」を選択します)し、確認ウィンドウを閉じます。
パートナ定義と同様に、「パートナ・プロファイル」ノードを開くと、すべての「パートナ・プロファイル」ノードが使用可能になります。特定のタイプの「パートナ・プロファイル」ノードを選択すると、関連する検索コントロールと「検索結果」表が使用可能になります。
図39-4に、一般的な「プロファイルの検索」ページを示します。これはリクエスタ・プロファイルの場合です。ただし、コントロールはすべて同じです。異なるプロファイル・タイプでは結果のみが異なります。
「検索」ページから「検索結果」表の名前を選択してプロファイルを表示または編集するか、コントロールを使用して検索を絞り込み、特定のプロファイルまたは特定の特性を持つプロファイルを検索します。