Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
セキュリティ・トークン・サービスは、構成されたポリシーに基づいてリソースへのアクセスを提供するアプリケーション・ドメインを定義することによって、Webサービス・プロバイダ(WSP)にアクセスできるユーザーを管理します。
アプリケーション・ドメインは、セキュリティ・トークンをリクエストできるユーザーを決定する認可ルールとともにWebサービスを識別します。
次の機能は、信頼発行ポリシーによって構築されます。信頼発行ポリシーは、Oracle Access Managementコンソールの起動パッドから「アプリケーション・ドメイン」リンクをクリックすることにより管理できます。
リライイング・パーティまたはWebサービス・プロバイダを表すTokenServiceRPタイプのリソース。
タイプがTokenServiceRPのリソースのセットに対してポリシーを定義するトークン発行ポリシー。
ポリシーにリストされているリソースのトークンの発行を許可または拒否されるクライアントのアイデンティティを定義する条件。クライアントは、リクエスタ・パートナまたはデフォルト・アイデンティティ・ストアからのユーザーです。
セキュリティ・トークン・サービスでは、セキュリティ・トークン・サービスにより発行されるセキュリティ・トークンのコンシューマになるリモートWebサービス・プロバイダを表す、リライイング・パーティ・パートナの作成がサポートされています。
WS-Trustリクエストに指定されているWS-Addressingエンドポイントがセキュリティ・トークン・サービスのリライイング・パーティ・パートナにマップされるように、リライイング・パーティ・パートナごとに、パートナにマップされるURLを定義できます。
実行時に、クライアントがトークンの発行を要求すると、セキュリティ・トークン・サービスでは信頼発行ポリシーを評価し、トークンを発行できるかどうかを判断します。
クライアントはリクエスタ・パートナまたはエンド・ユーザーとして識別されます。
WS-TrustリクエストにAppliesTo要素が存在し、リライイング・パーティ・パートナにマップされた場合、信頼発行ポリシー評価のTokenServiceRPリソースはセキュリティ・トークン・サービスのリライイング・パートナのパートナIDになります。
WS-TrustリクエストにAppliesTo要素が存在し、リライイング・パーティ・パートナにマップできなかった場合、信頼発行ポリシー評価のTokenServiceRPリソースはAccess Managerアプリケーション・ドメインに定義されているUnknownRPになります。
WS-TrustリクエストにAppliesTo要素がない場合、信頼発行ポリシー評価のTokenServiceRPリソースはAccess Managerアプリケーション・ドメインに定義されているMissingRPになります。
セキュリティ・トークン・サービスでは、(少なくとも)次の項目がリクエストを処理し、着信リクエスト(RST)に基づいてトークンを発行する必要があります。
エンドポイント
1つの発行テンプレート
1つの検証テンプレート
トークンを含む1つのリクエスタ・パートナ・プロファイル
1つのリライイング・パーティ・パートナ・プロファイル
ノート:
パートナのプロビジョニングが必要な場合があります。
ユーザーを参照するユーザー名トークンをLDAPユーザー・レコードにマップし、その後そのレコードを使用して送信トークンを移入するために、セキュリティ・トークン・サービスにはLDAPサーバーが必要です。パートナが使用可能になる前に、移入が必要な場合があります。