Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
次の各トピックでは、トークン発行ポリシーについて説明します。
トークン発行ポリシーは、クライアントがリクエスタ・パートナであるかエンド・ユーザーであるかにかかわらず、そのクライアントのアイデンティティに基づいて、リソース(リライイング・パーティ・パートナ)に対してトークンを発行する際に従うルールを定義します。
リクエスタが存在しない場合、(on-behalf-of (OBO)トークンまたはWSSトークンで表される)ユーザーがリライイング・パーティにアクセスしようとしていると想定されます。
トークンを発行する場合、セキュリティ・トークン・サービスはそのトークンが作成されるリライイング・パーティを判断し、クライアントがそのリライイング・パーティへのトークンのリクエストを認可されているかどうかを評価します。トークンを発行するために、操作に含まれるリソース、および場合によっては条件を使用してトークン発行ポリシーを作成する必要があります。実行時にポリシー評価が成功すると、トークンが発行されます。
このトークン発行ポリシーに、条件、ルールおよびレスポンスを追加できます。
トークン発行ポリシーを使用すると、管理者はポリシーの「許可」および「拒否」ルールとともに条件を定義できます。
各トークン発行ポリシーには、1つ以上の条件に加え、リクエストしたリソースへのアクセスを付与または拒否するかどうかを決定するルールを含めることができます。
保護されたリソースへのアクセスを認可されるユーザーを指定する許可タイプのルール。
「条件」にリストされているパートナおよびユーザーのみがアクセス権を付与され、他のユーザーはリソースへのアクセスを拒否されます。
保護されたリソースへのアクセスを拒否されるユーザーを明示的に指定する拒否タイプのルール。
「条件」にリストされているパートナおよびユーザーのみがアクセスを拒否され、他のユーザーはリソースへのアクセス権を付与されます。
ノート:
ユーザー条件を追加すると、ユーザーが選択に使用できるアイデンティティ・ストアがリストから選択されます。デフォルトのユーザー・アイデンティティ・ストアを選択したことを確認します。これは、セキュリティ・トークン・サービスでのみ使用されるアイデンティティ・ストアです。
トークン発行条件の管理は、認可条件とルールの管理に似ています。
図45-4には、「トークン発行ポリシー」の「条件」タブが示されています。
表45-13に、トークン発行条件の要件を示します。
関連項目:
Mobile and Social認証サービスのトークン発行ポリシー追加の詳細は、「Oracle Access Management Mobile and Socialの管理」を参照してください。
表45-13 「条件」タブ: トークン発行ポリシー
要素 | 説明 |
---|---|
「サマリー」タブ |
|
名前 |
このトークン発行ポリシーの一意の名前。 |
説明 |
オプション。 |
「条件」タブ |
表25-11は、「条件」タブの要素およびコントロールを示しています。 |
クラス |
トークン発行ポリシー条件にはトークン・リクエスタ・アイデンティティのみ許可されています。これは「条件の追加」ダイアログ・ボックスで選択します。 |
「ルール」タブ |
表25-22は、簡易モードの評価の「ルール」タブに表示される要素およびコントロールを示しています。 表25-23は、式モードの「ルール」タブに表示される要素を示しています。 |
条件詳細 |
|
追加 |
次の移入から選択します。
|
エンティティ名 |
選択した「ユーザー・アイデンティティ・ストア」に定義されている、ユーザーまたはグループの名前。 |
エンティティ・タイプ |
条件にアイデンティティを追加するために検索中に検索するエンティティのタイプ: 「ユーザー」または「グループ」 |
ストア名 |
条件を移入するユーザーまたはグループを検索する、「ユーザー・アイデンティティ・ストア」の名前を選択します。セキュリティ・トークン・サービスではデフォルトのアイデンティティ・ストアのみを使用することに注意してください。 |
有効な管理者の資格証明を持つユーザーは、トークン発行ポリシーおよび条件をアプリケーション・ドメインに追加できます。
このポリシーにリソースを追加するときに、UnknownRPおよびMissingRPリソースを追加できます。
次の前提条件を満たして、次のタスクを実行する必要があります。
トークン発行ポリシーの追加を始める前に、アプリケーション・ドメインを構成しておく必要があります。
ノート:
IAM Suiteアプリケーション・ドメインにトークン発行ポリシーを追加できます。
トークン発行ポリシーを作成後に、リソース、条件、条件詳細およびルールをポリシーに追加できます。
トークン発行ポリシーおよび条件を管理するには、次のようにします。
目的のドメインを検索します。
「既存のアプリケーション・ドメインの検索」を参照してください。
個々の「アプリケーション・ドメイン」ページで、「トークン発行ポリシー」タブを選択します。
トークン発行ポリシーの作成:
目的のドメインで、「トークン発行ポリシー」タブをクリックし、「トークン発行ポリシーの作成」ボタンをクリックして新しいページを開きます。
「サマリー」ページで、一意の名前とオプションの説明を入力します。
リソースの追加: このステップでは、アプリケーション・ドメインでリソースが定義されており、ポリシーへの追加準備ができていることを仮定しています。
「リソース」タブをクリックします。
「追加」(+)をクリックします。
「検索」ボタンをクリックして、追加可能な定義済リソースのリストを表示します。
結果の表内で目的のリソースをクリックし、「選択済の追加」をクリックします。
必要に応じて手順を繰り返して、他のリソースをこのポリシーに追加します。
ポリシーへの条件の追加: 使用可能なタイプは、「トークン・リクエスタ・アイデンティティ」または「True」のみです。
「条件」タブをクリックし、「条件」タブの「追加」ボタンをクリックして、「条件の追加」ウィンドウを表示します。
ダイアログ・ボックスにこの条件の一意の名前を入力します。
「タイプ」リストから「トークン・リクエスタ・アイデンティティ」を選択します。
「選択済の追加」をクリックします。
ステップ5に進んで、トークン・リクエスタ・アイデンティティの詳細を追加します。それ以外の場合は、ステップ6に進みます。
条件詳細の追加:
条件名をクリックして、「条件: 詳細」を表示します。
「選択したアイデンティティ」表で、「追加」ボタンをクリックして、次のいずれかを選択します。
パートナの追加: 「検索」フィールドに基準を入力(または、すべてのパートナを検索する場合はフィールドの横の矢印キーをクリック)した後、1つ以上の結果を選択し、「選択済の追加」をクリックして条件を移入します。
アイデンティティの追加: 「ストア名」→目的の「アイデンティティ・タイプ」を選択し、検索基準を入力して「検索」ボタンをクリックし、1つ以上の結果を選択して、「選択済の追加」をクリックして条件を移入します。
「条件: 詳細」パネルで「保存」ボタンをクリックします。
ルールの追加: 次のステップに従って、条件に基づいてアクセスを許可または拒否します。
「適用」をクリックして、確認ウィンドウを閉じます。
アプリケーション・ドメイン内のTokenServiceRPリソースの検索(または追加):
「TokenServiceRPタイプのリソースの管理」を参照してください。