Oracle® Fusion Middleware Oracle WebLogic Server 12.1.3セキュリティの管理 12c (12.1.3) E57576-07 |
|
前 |
次 |
この章では、WebLogic Server 12.1.3に含まれるSAML認証プロバイダの構成方法について説明します。SAML認証プロバイダは、SAML 1.1またはSAML 2.0のIDアサーション・プロバイダと組み合せることで、以下の用途に使用できます。
仮想ユーザーがSAMLでログインできるようにします。
条件が満たされると、SAML IDアサーション・プロバイダによってユーザーまたはグループのプリンシパルが作成され、仮想ユーザー(ローカルに実在するどのユーザーにも対応しないユーザー)としてログインすることが可能になります。
SAML認証プロバイダを他の認証プロバイダよりも前に実行されるように構成し、JAAS制御フラグをSUFFICIENTに設定することで、SAML認証プロバイダによって認証済みのサブジェクトが作成されるようにします。作成時には、SAML IDアサーション・プロバイダV2またはSAML 2.0 IDアサーション・プロバイダによるSAMLアサーションから取得したユーザー名とグループが使用されます。
SAML認証プロバイダが構成されていないか、SAML認証プロバイダより前に別の認証プロバイダ(たとえばデフォルトのLDAP認証プロバイダ)が構成されており、そのJAAS制御フラグがSUFFICIENTに設定されている場合は、その別の認証プロバイダがSAML IDアサーション・プロバイダから返されるユーザー名を検証します。デフォルトのLDAP認証プロバイダの場合は、ユーザーがIDディレクトリ内に存在していないと認証が失敗します。
重要: SAML認証プロバイダを構成し、仮想ユーザーがログインしてリソースにアクセスできるようにするには、次の点に注意してください。
セキュリティ・ポリシーの構成の詳細は、『Oracle WebLogic Serverロールおよびポリシーによるリソースの保護』を参照してください。 |
グループをSAMLアサーションから取得する必要がある場合は、ユーザーの存在をLDAP認証プロバイダで検証する場合であっても、SAML認証プロバイダを構成する必要があります。そうしないと、アサーション内のグループではなく、LDAPディレクトリから派生したグループにユーザーが関連付けられます。
SAML認証プロバイダは、SAML IDアサーション・プロバイダV2またはSAML 2.0 IDアサーション・プロバイダによってアサートされたIDを持つユーザーのサブジェクトのみを作成します。それ以外の認証リクエストやIDアサーション・リクエストはすべて無視されます。