Oracle® Fusion Middleware Oracle Web Services ManagerによるWebサービスの保護のユース・ケース 12c (12.1.3) E59408-02 |
|
前 |
次 |
この章では、Identity Provided STS (IP-STS)としてOracle STS、Replying Party (RP-STS)としてMicrosoft ADFS 2.0 STSを使用したWebサービス・フェデレーションの構成方法について説明します。
実行サマリー
ユース・ケース | IP-STSとしてOracle STS、RP-STSとしてMicrosoft ADFS 2.0 STSを使用したWebサービス・フェデレーションを構成します。 |
解決策 | Oracle Web Services Manager (OWSM) WS-TrustポリシーをWebサービスおよびクライアントにアタッチして、Oracle STSおよびMicrosoft ADFS 2.0 STSを構成してセキュリティ・ドメイン間の信頼を確立します。 |
コンポーネント |
|
この章には、次のセクションがあります。
このユース・ケースは、次の操作に必要な手順を示します。
SAML鍵所有者(HOK)認証を使用してメッセージ・レベルの保護を実行するため、適切なOWSMセキュリティ・ポリシーをアタッチします。
特に、次のポリシーをクライアントおよびサービスにそれぞれアタッチします。
oracle/wss11_sts_issued_saml_hok_with_message_protection_client_policy
およびoracle/sts_trust_config_client_template
に基づくポリシー
oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policy
IP-STSとしてOracle STS、RP-STSとしてMicrosoft ADFS 2.0 STSを使用して、Webサービス・フェデレーションを構成します。
この使用例は、次のタスクで構成されています。
Webサービスを構成するには:
oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policy
をWebサービスにアタッチします。完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する項を参照してください。
ADFS 2.0 STS /issuedtokensymmetricbasic256
エンドポイントの署名証明書をOWSMキーストアにインポートします。
信頼する発行者および信頼するDNとしてADFS 2.0 STSエンドポイントを定義します。完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のSAML署名証明書の信頼できる発行者および信頼できる識別名リストの定義に関する項を参照してください。
RP-STSとしてMicrosoft ADFS 2.0 STSを構成するには、次の手順を実行します。完全な手順は、http://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspx
のOracle STSドキュメントを参照してください。
/issuedtokensymmetricbasic256
エンドポイントが有効であることを確認します。
ADFS 2.0管理コンソールを使用して、サービスをリライイング・パーティとして追加します。
ADFS 2.0管理コンソールを使用して、IP-STSとして機能するOracle STSインスタンスを信頼できるクレーム・プロバイダとして追加します。
IP-STSとしてOracle STSを構成するには、次の手順を実行します。完全な手順は、http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oraclests-166231.html
のOracle STSドキュメントを参照してください。
Oracle STS /wss11user
エンドポイントを次のように構成します。
ポリシー(URI sts/wss11_username_token_with message_protection_service_policy
)をアタッチします。
OWSM LRG UN Validation
検証テンプレートを作成して受信トークンを検証し、それをエンドポイントに適用します。
Oracle STSで、RP-STSとして機能するMicrosoft ADFS 2.0 STSインスタンスを、リライイング・パートナ・パーティとして追加します。
Oracle STSでオーディエンス制限条件を有効にします。
ADFS 2.0では、クレーム・プロバイダのSAMLアサーションに対してAudienceRestrictionUriの設定を要求しますが、Oracle STSが発行するアサーションではこれがデフォルトで設定されないため、この手順が必要になります。
Oracle STSが使用する256バイトの証明鍵を発行する、個別の発行テンプレートを構成します。
Webサービス・クライアントを構成するには:
oracle/wss11_sts_issued_saml_hok_with_message_protection_client_policy
からポリシーを作成し、次のように変更して、クライアントにアタッチします。
アルゴリズム・スイートをBasic128ではなくBasic256に設定します。
導出キーを有効に設定します。
sts.in.order
を、ADFS 2.0 STSエンドポイントのURIに設定し、その後にOracle STSエンドポイントを続けます。次に例を示します。
http://m1.example.com/adfs/services/trust/13/issuedtokensymmetricbasic256; http://m2.example.com:14100/sts/wss11user
oracle/sts_trust_config_client_template
からポリシーを作成し、それを次のように変更し、クライアントにアタッチします。
ポートURIをADFS 2.0 STSエンドポイントに設定します。次に例を示します。
http://m1.example.com/adfs/services/trust/13/issuedtokensymmetricbasic256
クライアント・ポリシーURIを手順1で作成したポリシーに設定します。
oracle/wss11_sts_issued_saml_hok_with_message_protection_client_policy_adfs
oracle/sts_trust_config_client_template
からポリシーを作成し、それを次のように変更し、クライアントにアタッチします。
ポートURIをOracle STSエンドポイントに設定します。次に例を示します。
http://m2.example.com:14100/sts/wss11user
この章のソリューションが実装されているその他のテクノロジおよびツールの詳細は、次の参考資料を参照してください。
Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理
Oracle Web Services Managerの理解
http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oraclests-166231.html
のOracle STSドキュメント
Microsoft ADFS 2.0 STS: http://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspx