Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
次の各トピックでは、フェデレーション・ポリシーに従ってAccess Managerでポリシー・レスポンスを使用する方法について説明します。
ポリシーには、1つ以上の認証レスポンスまたは認可レスポンスあるいはその両方をオプションで含めることができます。Identity FederationでAccess Managerのポリシー・レスポンスを設定する際に、アサーション属性を使用するよう構成できます。
アサーション属性は、次のように使用します。
認可ポリシーの条件
HTTPヘッダーのレスポンス属性
アイデンティティ・コンテキストのレスポンス属性
図40-7に、認可ポリシーの「レスポンス」構成タブを示します。
表40-6では、ポリシー・レスポンスの要素について説明します。
表40-6 ポリシー・レスポンスの要素
要素 | 説明 |
---|---|
名前 |
このレスポンスと同じメカニズム(タイプ)を使用する他のレスポンスを区別する一意の名前です。 |
タイプ |
値文字列を使用して実行されるアクションのレスポンス形式を伝達するために使用されるメカニズムです。「アサーション属性」を選択します。 |
値 |
変数として設定されるレスポンスの式です。認証または認可ポリシーでフェデレーション・データをレスポンス属性として指定する場合、次の値を参照できます。
|
Oracle Access Managementコンソールを使用して、アサーション属性を含むポリシー・レスポンスを構成します。
Identity Federationの条件とレスポンスは別々のタスクで使用されるため、個別に指定する必要があります。
たとえば、アイデンティティ・プロバイダでロール・アサーションを送信し、サービス・プロバイダでリソースへのアクセスをsales
というロールを持つユーザーのみに許可する場合、次のような条件を追加します。
条件ネームスペースを「セッション」にします。
「名前」を「fed.attr.role」にします。
「演算子」を「次と等しい」に設定します。
「値」を「sales」にします。
条件は、Access Manager内のリソースへのアクセスを制御するために使用されます。
ノート:
この例のロールを実際のSAMLでアサートされる属性に置き換えてください。
標準のSAML名前IDの値を条件として使用する場合、値は「attr.fed.nameidvalue」です。
これに対し、アサートされた属性をレスポンスによってアプリケーションに渡すことができます。たとえば、アサートされた属性role
をHTTPヘッダーでバックエンドのアプリケーションに渡す場合は次のようにします。
「レスポンス」タブに移動します。
Role
というヘッダー(HTTPヘッダーの名前)を追加します。
値は$session.attr.fed.attr.role
です。
この場合、この例のロールを対応するアサートされたSAML属性に置き換えてください。