プライマリ・コンテンツに移動
Oracle® Fusion Middleware Oracle Access Management管理者ガイド
11g リリース2 (11.1.2.3) for All Platforms
E61950-08
目次へ移動
目次
前
 		次

43.4 「Security Token Serviceの設定」の定義

内容は次のとおりです。

43.4.1 「Security Token Serviceの設定」について

「セキュリティ・トークン・サービス」は、「システム構成」タブの「セキュリティ・トークン・サービス」セクションから表示または変更できます。

これらの設定を図43-3に示します。

図43-3 「セキュリティ・トークン・サービス」ページ

図43-3の説明が続きます
「図43-3 「セキュリティ・トークン・サービス」ページ」の説明

表43-1に、「セキュリティ・トークン・サービスの設定」ページの要素を示します。

表43-1 Security Token Serviceの設定

要素 説明

パートナ識別属性

「パートナ」ページの「アイデンティティ属性」表で使用できる必要がある、デフォルトで使用可能な属性以外の属性をリストするフィールド。これらの属性を使用すると、属性の値を着信リクエストに含まれる値と照合することでパートナを識別できます。

リクエスタがセキュリティ・トークン・サービスにWS-Trustリクエストを送信すると、サーバーはリクエスタのアイデンティティを含む着信トークンを、セキュリティ・トークン・サービス・パートナ・ストアのパートナ・エントリにマップできます。

そのために、セキュリティ・トークン・サービスでは検証テンプレートで構成されているマッピング設定を使用し、トークン・データをパートナ・アイデンティティ属性と照合することで参照を実行して、トークン・データをパートナ・エントリにマップします。

デフォルトでは、各リクエスタ・パートナには、ユーザー名、HTTP Basicユーザー名、SSLクライアント証明書DNの3つのアイデンティティ属性が含まれています。

リクエスタ・パートナ・エントリごとに設定できる追加のアイデンティティ属性を定義できます。

このセクションでは、新しい属性を設定できます。新しい属性を定義すると、その属性は「リクエスタ・パートナ」エントリ・セクションで使用可能になり、WSS検証テンプレートのマッピング・ルールで使用できます。

カスタム信頼アンカー・ファイル

デフォルトでは、Access Managerおよびセキュリティ・トークン・サービスでは、X.509トークンの検証時またはSAMLアサーション署名で使用される証明書の検証時に、セキュリティ・トークン・サービスによる証明書検証に使用される信頼アンカーを格納するデフォルトの $DOMAIN_HOME/config/fmwconfig/amtruststoreキーストアが使用されます。

必要に応じて、セキュリティ・トークン・サービスの操作および検証にのみ使用される信頼アンカーを含む特定の信頼アンカー・ファイルを使用するように、セキュリティ・トークン・サービスを構成できます。この場合、このフィールドには使用するJKSキーストアの場所を指定する必要があります。

次の点に注意してください。

  • カスタム信頼アンカー・キーストアを使用する場合、クラスタ全体に自動的に複製されることはありません。複製を管理する必要があります。

  • ほとんどの場合、デフォルトのAccess ManagerおよびSecurity Token Service信頼アンカーで十分です。

関連項目: セキュリティ・トークン・サービスの証明書とキーの管理

デフォルト暗号化テンプレート

セキュリティ・トークン・サービス暗号化用のデフォルト・テンプレートを選択できるリストを次に示します。

  • osts_encryption

  • osts_signing

関連項目: 「デフォルトの暗号化キーの設定」

プロキシ

「アウトバウンド接続のプロパティ」、HTTPプロキシ設定: このセクションを使用して、オプションで実行時にリライイング・パーティのWS-Secポリシーを取得する場合、送信HTTP接続にプロキシを使用するようにセキュリティ・トークン・サービスを構成します。

  • 有効: このボックスが選択されている場合、プロキシ機能が有効になっており、リライイング・パーティのWS-Securityポリシーを取得するときに使用されます。このボックスが選択されていない場合、プロキシ機能は無効になっており、関連するフィールドにアクセスして編集することはできません。

  • ホスト: プロキシ・ホスト名。

  • ポート: プロキシ・ポート番号。デフォルトは8080です。

  • 非プロキシ・ホスト: プロキシを使用しないホストのリスト。複数のホストを区切るには、「;」を使用します。

  • ユーザー名: プロキシに接続するときに使用するユーザー名。

  • パスワード: プロキシに接続するときに使用するパスワード。

キーストア

ロケーション: セキュリティ・トークン・サービスのインストール時に設定されたアクティブなキーストアのパス。

キーストア表には、表内のテンプレートごとに次の情報が含まれており、各テンプレートは、デフォルト暗号化テンプレートとして使用できます。

  • テンプレートID: キーストアにアクセスできるテンプレートの名前。

  • 別名: テンプレートの別名を識別します。テンプレートを追加するときに、リストされている別名から選択できます。

  • パスワード: 選択した別名のパスワード。

  • 説明: オプション。

キーストア・セクションでは、Security Token Serviceキーストア($DOMAIN_HOME/config/fmwconfig/.oamkeystore)にあるキー・エントリが定義されます。

エントリが定義されると、そのエントリを(SAML発行テンプレートのように)他のSecurity Token Serviceテンプレートで使用できます。

43.4.2 「Security Token Serviceの設定」の管理

有効な管理者の資格証明を持つユーザーは、セキュリティ・トークン・サービス設定を確認または変更できます。

43.4.2.1 セキュリティ・トークン・サービス設定を管理するための前提条件

Access Managerサービスとセキュリティ・トークン・サービスの両方が有効になっている必要があります。

43.4.2.2 セキュリティ・トークン・サービス設定の表示または編集

Oracle Access Managementコンソールで、「構成」コンソールからセキュリティ・トークン・サービスの設定を表示または編集できます。

セキュリティ・トークン・サービス設定を表示または編集するには、次のようにします。

  1. Oracle Access Managementコンソールで、ウィンドウの上部にある「構成」をクリックします。
  2. 「構成」コンソールで、「設定」セクションの「表示」ドロップダウン・メニューから「Security Token Service」を選択します。
  3. 「Security Token Serviceの設定」ページで、次の情報を表示または変更します。

    表43-1を参照してください。

    • パートナ識別属性

    • カスタム信頼アンカー・ファイル

    • プロキシの詳細

  4. キーストア表: 新しい暗号化テンプレートを表示、追加または削除します。
  5. 「適用」をクリックして変更を送信します(または、「元に戻す」をクリックして変更を取り消します)。
  6. 終了したらページを閉じます。
前
 		次
目次へ移動
目次