Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
次の各トピックでは、Token Serviceパートナ・プロファイルについて説明します。
次のページの要素について、各トピックで説明します。
「リクエスタ・プロファイル」ページには「一般」タブがあり、すべてのプロファイル・タイプの「一般」要素が表示されます。
図46-4に、「一般」タブと「トークンと属性」タブの両方が表示されている、入力が完了した「リクエスタ・プロファイル」ページを示します。
表46-7に、すべてのプロファイル・タイプの「一般」要素を示します。
表46-7 プロファイル: 一般
要素 | 説明 |
---|---|
プロファイルID |
このプロファイルに対する一意の識別子。 |
説明 |
オプション。 |
プロファイル・タイプ |
プロファイルのタイプ(編集不可): 「リクエスタ」、「リライイング・パーティ」または「発行局」になります。 |
デフォルト・リライイング・パーティ・プロファイル リクエスタ・パートナ・プロファイルのみ |
WS-Trustリクエストがリライイング・パーティを参照しない(AppliesTo要素が存在しないなど)か、AppliesTo要素を既知のリライイング・パーティ・パートナ・プロファイルにマップできなかった場合、使用するリライイング・パートナ・プロファイルを参照します。 デフォルトとして使用するリライイング・パーティ・プロファイルを選択し、必要に応じて次の特性を有効または無効にします。
|
発行するデフォルト・トークン リライイング・パーティのみ |
この表は、このプロファイルにリンクされたリライイング・パーティのトークンの発行に使用する発行テンプレートを示します。 このプロファイルのデフォルトとしてトークン・タイプを選択します。
ポリシーをトークンに関連付けるには、「ポリシーのダウンロード」の横にあるボックスを選択します。選択した場合、セキュリティ・トークン・サービスでは実行時に、RST内のAppliesTo要素で参照されるリライイング・パーティのWS-Securityポリシーがダウンロードされます。存在する場合、セキュリティ・トークン・サービスではそのURLを使用してポリシーをダウンロードした後、ポリシーに存在する情報に基づいて返すトークンのタイプを決定します。 |
「トークン・タイプ構成」セクションは、トークン・タイプに基づいてWS-TrustリクエストのOnBelhalfOf要素に含まれるトークンの検証に使用するWS-Trust検証テンプレートを示します。
このセクションでは、クライアントによってリクエストされるWS-Trust要求とローカル属性名の間のマッピングが定義されます。
図46-5に、「トークンと属性」タブおよびリクエスタ・プロファイルに付随する表を示します。
表46-8に、リクエスタ・プロファイルの「トークンと属性」要素およびコントロールを示します。
図46-6に、リライイング・パーティ・プロファイルに対して定義されている「トークンと属性」を示します。
表46-8 リクエスタ・プロファイル: トークンと属性
要素 | 説明 |
---|---|
トークン・タイプ構成 |
表の上の「+」をクリックしてダイアログ・ボックスを表示し、次の各ドロップダウン・リストから1つずつ選択します。
|
属性名マッピング |
この表は、セキュリティ・トークン・サービスが名前およびオプションの「フォーマット/ネームスペース」で表される要求をローカル属性にマップする方法を定義します。 セキュリティ・トークン・サービスではInfocard要求言語がサポートされています。Infocard要求をローカル属性に変換するには、「着信属性」に要求名、「ローカル属性」にローカル名が含まれるマッピングを定義する必要があります(「フォーマット/ネームスペース」列は空になります)。 たとえば、あるマッピングは次のようになります。
別のマッピングは次のようになります。
別のマッピングは次のようになります。
|
管理者は、このプロファイルに関連付けられたリライイング・パーティのトークンの発行に使用される発行テンプレートを定義できます。
また、発行済のトークンに含まれる属性(名前別)、その属性のソース、クライアントがリクエストした場合のみ属性を発行済トークンに含めるか、または常に含めるかもリストされます。
このページでは、リライイング・パーティ・プロファイルにはトークン・タイプ以外に発行テンプレートも必要です。また、属性タイプは他のプロファイルとは異なります。
図46-6に、リライイング・パーティ・プロファイルに対して定義されている「トークンと属性」を示します。
表46-9に、リライイング・パーティ・プロファイルに必要な要素を示します。
表46-9 リライイング・パーティ・プロファイルの要件
要素 | 説明 |
---|---|
トークン・タイプ構成 |
表の上の「+」をクリックしてダイアログ・ボックスを表示し、各ドロップダウン・リストから1つずつ選択します。
|
属性 |
発行済トークンに含まれる属性は、次のとおりです。
関連項目: 「リライイング・パーティ・プロファイルの属性」 |
リライイング・パーティ・プロファイルの属性を定義し、属性のソースおよび値を指定できます。
属性を定義するときに、次のものを指定できます。
属性ソース: ユーザー・ストア(LDAP)、着信トークン・データまたは静的値。
クライアントがリクエストした場合のみトークンに属性を含めるか、またはすべてのトークンに属性を含めるか。
属性を暗号化するかどうか(SAML 2.0のみ、リライイング・パーティの暗号化証明書が必要)。
これが静的属性の場合は属性の値。
例: LDAPから取得されたmail属性をすべての送信トークンに含めるには:
属性名: mail
ストア・タイプ: ユーザーストア
トークンに含める: 選択
暗号化: 選択解除
値: 空
例: 着信ユーザー名トークンのusername要素をすべての送信トークンに含める場合
属性名: STS_SUBJECT_ID
ストア・タイプ: 着信トークン
トークンに含める: 選択
暗号化: 選択解除
値: 空
例: 静的属性をすべての送信トークンに含めるには:
属性名: rp-version
ストア・タイプ: 静的
トークンに含める: 選択
暗号化: 選択解除
値: 2.0
着信トークン・データから次の属性を使用できます。名前で参照されるSAML属性も、着信トークン・データとして使用できます。
サブジェクト識別子(ユーザー名トークンの場合はユーザー名、SAMLアサーションの場合は名前ID値、X.509証明書の場合はサブジェクトDN)を含みます。
SAML名前IDフォーマットを含みます。
SAML名前IDフォーマットを含みます。
SAML名前ID修飾子を含みます。
SAML名前ID SP修飾子を含みます。
セッション索引を含みます。
認証インスタントを含みます(ユーザー名トークン資格証明の検証の場合はcurrent after、SAMLアサーションの場合は認証文から、X.509検証の場合はcurrent、Kerberos検証の場合はcurrent、OAMセッション伝播トークンの場合は認証インスタント)。
設定されている場合、セッションの有効期間を含みます(存在する場合、SAMLアサーションおよびOAMセッション伝播トークンに適用されます)。
X.509証明書のサブジェクトDNのCNコンポーネントを含みます。
X.509証明書のサブジェクトDNのOUコンポーネントを含みます。
X.509証明書のサブジェクトDNのOコンポーネントを含みます。
X.509証明書のサブジェクトDNのLコンポーネントを含みます。
X.509証明書のサブジェクトDNのSTコンポーネントを含みます。
X.509証明書のサブジェクトDNのCコンポーネントを含みます。
X.509証明書のサブジェクトDNのDCコンポーネントを含みます。
X.509証明書のサブジェクトDNの*で識別されるコンポーネントを含みます。
X.509証明書のversion属性を含みます。
X.509証明書の発行者DNを含みます。
X.509証明書のnot after属性を含みます。
X.509証明書のnot before属性を含みます。
X.509証明書のサブジェクトDNを含みます。
X.509証明書のサブジェクト代替名拡張値を含みます。
X.509証明書のシリアル番号を含みます。
OAMセッション伝播トークンの最終アクセス時間を含みます。
OAMセッション伝播トークンの最終更新時間を含みます。
OAMセッション伝播トークンの作成時間を含みます。
KerberosトークンのPrincipal Short値を含みます。
KerberosトークンのPrincipal Full値を含みます。
KerberosトークンのPrincipal No Domain値を含みます。
SAMLアサーションのAssertionIDを含みます。
SAMLアサーションのサブジェクトDNS属性を含みます。
SAMLアサーションのサブジェクトIPアドレス属性を含みます。
SAMLアサーションの発行者を含みます。
SAMLアサーションの認証インスタンスを含みます。
SAMLアサーションの認証方式を含みます。
発行局パートナ・プロファイルでは、異なる発行局パートナに共通の設定が定義されます。
「トークンと属性」セクションを使用すると、管理者は属性の名前および値をローカル名および値に変換するために使用するマッピング・ルールを定義できます。
図46-7に、「トークンと属性: 発行局」セクションを示します。
トークンから属性を抽出するときに、アサーションに含まれる属性に適用される属性マッピング・ルールを定義できます。2つのルールのセットがあります。
SAML属性の名前をローカル名に変換できる属性名マッピング(たとえば、firstnameをgivennameに変換できます)。
SAML属性の値をローカル値に変換できる属性名マッピング(たとえば、PresidentをCEOに変換できます)。
表46-10に、発行局の「トークンと属性」要素を示します。
表46-10 「トークンと属性」要素: 発行局
要素 | 説明 |
---|---|
属性名マッピング |
SAML属性の名前と属性のローカル名の間のオプション・マッピングを定義します。 マッピングはオプションです。属性にマッピングが定義されていない場合は、SAML属性名が使用されます。
|
値マッピング |
SAML属性のオプションの値マッピングを定義します。これは、必要に応じて属性値をローカル値に変換する方法を示します。 ノート: この属性値マッピングは、属性名マッピングに適用されます。属性の属性マッピングを定義するには、まずその属性の属性名マッピングを定義する必要があります。
|
管理者は、SAML検証テンプレートに定義されているマッピング・ルールを、発行局パートナ・プロファイルに定義されているマッピング・ルールでオーバーライドできます。このようにして、セキュリティ・トークン・サービスでは、アサーション発行者のセットに固有のルールに基づいてSAMLアサーションをマップできます。
「トークン・マッピング」タブを使用すると、管理者はマッピング・ルールをオーバーライドできます。詳細は、図46-8を参照してください。
表46-10に、発行局の「トークン・マッピング」の要素を示します。
表46-11 発行局の「トークン・マッピング」要素
要素 | 説明 |
---|---|
トークン・マッピングのオーバーライド |
このセクションに定義されているマッピング・ルールが、アサーションの処理に使用されるSAML検証テンプレートにリストされているマッピング・ルールをオーバーライドするかどうかを示します。これによってセキュリティ・トークン・サービスは、アサーション発行者に固有のマッピング・ルールを使用できます。trueの場合、すべてのマッピング・ルールがこのセクションにリストされている設定でオーバーライドされます。 |
簡易ユーザー・マッピングのオーバーライド |
簡易ユーザー・マッピングでは、単一のトークン属性を使用して、単一のユーザー・レコード属性と照合することで、着信トークンをユーザー・レコードにマップします。
|
ユーザー名識別子マッピングのオーバーライド |
有効な場合、名前IDユーザー・マッピング操作を定義します。この操作では、名前IDフォーマットに基づいて名前ID値を単一のユーザー・レコード属性にマップすることで、着信SAMLアサーションをユーザーにマップします。 有効な場合、セキュリティ・トークン・サービスでは名前IDフォーマットが評価され、ユーザー・レコード属性が照合される「名前識別子」マッピング表に基づいて、名前ID値がアサーションに含まれます。「名前識別子」マッピング表は、マッピング操作に使用されるユーザー・レコード属性を保持します。標準の名前IDフォーマットを含みますが、カスタム名前IDフォーマットを定義してカスタマイズすることもできます。
|
属性ベース・ユーザー・マッピングのオーバーライド |
属性ベース・ユーザー・マッピング操作では、LDAP問合せおよびトークン属性を使用することで、着信トークンをユーザー・レコードにマップします。 LDAP問合せのフォーマットによりマッピング・ルールが定義され、使用するトークン属性が指定されます。トークン属性は%文字で囲みます。たとえば、2つのトークン属性(firstnameおよびlastname)に基づいてトークンをマップするLDAP問合せは次のようになります。 (&(sn=%lastname)(givenname=%firstname%)) STS_SUBJECT_IDには名前ID値が含まれます。 STS_NAMEID_FORMATには名前IDフォーマットが含まれます。 STS_NAMEID_QUALIFIERには名前ID修飾子が含まれます。 STS_SAML_ASSERTION_ISSUERにはアサーションの発行者が含まれます。 アサーションのAttributeStatementに含まれる属性 |
簡易パートナ・マッピングのオーバーライド |
簡易パートナ・マッピング操作では、単一のトークン属性を使用して、パートナ識別属性と照合することで、着信トークンをパートナ・リクエスタにマップします。
|
パートナ名識別子マッピングのオーバーライド |
有効な場合、名前IDユーザー・マッピング操作では、名前IDフォーマットに基づいて名前ID値を単一のリクエスタ・パートナ識別属性にマップすることで、着信SAMLアサーションをユーザーにマップします。 有効な場合、セキュリティ・トークン・サービスでは名前IDフォーマットが評価され、パートナ識別属性が照合される「名前識別子」マッピング表に基づいて、名前ID値がアサーションに含まれます。「名前識別子」マッピング表は、マッピング操作に使用されるリクエスタ・パートナ識別属性を保持します。標準の名前IDフォーマットを含みますが、カスタム名前IDフォーマットを定義してカスタマイズすることもできます。
|
有効な管理者の資格証明を持つユーザーは、トークン・サービス・パートナ・プロファイルを作成、検索、表示、編集または削除できます。
前提条件
リクエスタ・パートナ・プロファイルの前提条件は、次のとおりです。
デフォルト・リライイング・パートナ・プロファイルを定義するために、リライイング・パートナ・プロファイルが存在する必要があります。
OnBehalfOf要素に存在するトークンの検証に使用されるテンプレートを設定するために、WS-Trust検証テンプレートが存在する必要があります。
リライイング・パートナ・プロファイルの前提条件は、次のとおりです。
トークン発行操作に使用するテンプレートを構成するために、発行テンプレートが存在する必要があります。
発行局パートナ・プロファイルの前提条件はありません。
パートナ・プロファイルを作成、検索、編集または削除する手順
Oracle Access Managementコンソールで、ウィンドウの上部にある「フェデレーション」をクリックします。
「フェデレーション」コンソールで、「Security Token Service」セクションの「表示」ドロップダウン・メニューから「パートナ・プロファイル」を選択します。
目的のプロファイル・タイプ・タブを選択し、必要に応じて次のステップに進みます。
リクエスタ・プロファイル
リライイング・パーティ・プロファイル
発行局プロファイル
プロファイルの新規作成:
プロファイル検索の絞込み:
「プロファイル検索の絞込み」を参照してください。
ステップ1および2を実行します。
問合せを定義し、「検索」ボタンをクリックします。
「検索結果」表で、表示、編集または削除するパートナの名前をクリックします。
プロファイルの編集:
プロファイルの削除: プロファイルを削除するには、プロファイルが他の場所で参照されていない状態にする必要があります。
リクエスタ・パートナ・プロファイルを削除するには、次のことが必要です。
リクエスタ・パートナがプロファイルを参照していないこと。
WS-Security検証テンプレートがプロファイルを参照していないこと。
リライイング・パーティ・パートナ・プロファイルを削除するには、次のことが必要です。
リライイング・パーティ・パートナがプロファイルを参照していないこと。
リクエスタ・パートナ・プロファイルがプロファイルを参照していないこと。
発行局パートナ・プロファイルを削除するには、次のことが必要です。
発行局パートナがプロファイルを参照していないこと。
これらの前提条件が満たされている場合は、次の作業を実行します。
「検索結果」表で、削除するプロファイルを含む行を強調表示します。
「削除」(X)ボタンをクリック(または「アクション」メニューから「選択項目の削除」を選択します)し、確認ウィンドウを閉じます。
パートナ定義と同様に、「パートナ・プロファイル」ノードを開くと、すべての「パートナ・プロファイル」ノードが使用可能になります。特定のタイプの「パートナ・プロファイル」ノードを選択すると、関連する検索コントロールと「検索結果」表が使用可能になります。
これはリクエスタ・プロファイルの場合です。ただし、コントロールはすべて同じです。異なるプロファイル・タイプでは結果のみが異なります。
図46-3に、一般的な「プロファイルの検索」ページを示します。
「検索」ページから「検索結果」表の名前を選択してプロファイルを表示または編集するか、コントロールを使用して検索を絞り込み、特定のプロファイルまたは特定の特性を持つプロファイルを検索します。