プライマリ・コンテンツに移動
Oracle® Fusion Middleware Oracle Access Management管理者ガイド
11g リリース2 (11.1.2.3) for All Platforms
E61950-08
目次へ移動
目次
前
 		次

44.4 WS-Trust通信のパートナ・キーの管理

次の各トピックでは、WS-Trust通信のパートナ・キーの管理方法について説明します。

44.4.1 パートナ証明書について

WS-Trustメッセージの処理中に、セキュリティ・トークン・サービスではパートナ証明書の使用が必要となる場合があります。

表44-3に、状況に応じて必要となる証明書を示します。

表44-3 WS-Trust通信のパートナ・キー

セキュリティ・トークン・サービス必須の実行内容 OAMサーバーの対応

リライイング・パーティ用に暗号化されたSAMLアサーションの発行

リライイング・パーティの暗号化証明書を使用して、送信トークンを暗号化します。

Holder of Key/非対称タイプのサブジェクト確認を使用したSAMLアサーションの発行

リクエスタ・パートナの署名証明書をアサーションに含まれる証明キーとして使用します。

ノート: 署名に使用されたSOAPヘッダー内のX.509バイナリ・セキュリティ・トークンを参照するUseKey要素がWS-Trust RSTに含まれている場合、セキュリティ・トークン・サービスではこの証明書を証明キーとして使用できます。

Holder of Key/対称タイプのサブジェクト確認を使用したSAMLアサーションの発行

リライイング・パーティの暗号化証明書を使用して、アサーションに含まれる秘密証明キーを暗号化します。

Holder of Key/対称タイプのサブジェクト確認を使用したSAMLアサーションの発行

リクエスタ、秘密またはサーバー・エントロピのRSTRで暗号化できます。

この場合、サーバーは次の処理を行います。

  • リクエスタの暗号化証明書を使用して秘密を暗号化(秘密がサーバー・エントロピのみを使用して生成された場合)

  • またはサーバー・エントロピを使用してRSTR内の秘密を暗号化(秘密がクライアントおよびサーバー・エントロピから導出された場合)

ノート: 署名に使用されたSOAPヘッダー内のX.509バイナリ・セキュリティ・トークンを参照するProofEncryption要素がWS-Trust RSTに含まれている場合、セキュリティ・トークン・サービスではこの証明書を使用して、クライアントに返された秘密またはエントロピを暗号化できます。

着信SAMLアサーションの検証

発行局の署名証明書を使用して、アサーションに存在するXMLデジタル署名を検証します。

44.4.2 実行時のリライイング・パーティの証明書のダウンロードについて

セキュリティ・トークン・サービスは実行時に、RSTのAppliesToフィールドにリストされるサービスのリライイング・パーティWSSポリシーをダウンロードできます。

セキュリティ・トークン・サービスがリライイング・パーティのWS-Secポリシーをダウンロードするように構成されている場合は、セキュリティ・トークン・サービスがリライイング・パーティに接続できるように、必要に応じてプロキシ設定が正しく入力されていることを確認します。リライイング・パーティ・パートナ・プロファイルがそのように構成されている場合、セキュリティ・トークン・サービスに対してサービスからWS-Secポリシーをダウンロードするように指示されます。その後、セキュリティ・トークン・サービスではポリシーに存在する証明書を抽出し、必要に応じて暗号化操作に使用します。また、次の点にも注意が必要です。

  • セキュリティ・トークン・サービスがリライイング・パーティに対して暗号化されたSAMLアサーションを発行する場合、サーバーではリライイング・パーティのWS-Secポリシーからダウンロードされた証明書を使用して送信トークンが暗号化されます。

  • セキュリティ・トークン・サービスがHolder of Key/対称タイプのサブジェクト確認を使用してSAMLアサーションを発行する場合、セキュリティ・トークン・サービスではリライイング・パーティのWS-Secポリシーからダウンロードされた証明書を使用して、アサーションに含まれる秘密証明キーが暗号化されます。

実行時に証明書をダウンロードするようにリライイング・パーティ・パートナ・プロファイルを構成できます。

「パートナの署名証明書または暗号化証明書の設定」を参照してください。

44.4.3 パートナの署名証明書または暗号化証明書の設定

「フェデレーション」コンソールを使用して、パートナの署名証明書または暗号化証明書を設定できます。

あるいは、WLSTパートナ・コマンドを使用して、特定のパートナの署名証明書または暗号化証明書を設定します。

パートナの署名証明書または暗号化証明書を設定するための前提条件については、表44-3を参照してください。

パートナの証明書を設定するには:

  1. Oracle Access Managementコンソールで、ウィンドウの上部にある「フェデレーション」をクリックします。
  2. 「フェデレーション」コンソールで、「Security Token Service」セクションの「表示」ドロップダウン・メニューから「パートナ」を選択します。
  3. 目的のタブ(「リクエスタ」「リライイング・パーティ」または「発行局」)を選択します。

    表44-3を参照してください。

  4. 証明書を設定する必要があるパートナを検索して開きます(または作成します)。
  5. 必要に応じて「パートナ」設定を編集します。

    「Token Serviceパートナの管理」を参照してください。「保存」をクリックします。

  6. 暗号化証明書: 「参照」ボタンをクリックし、暗号化証明書を検索して選択します。
  7. 署名証明書: 「参照」ボタンをクリックし、署名明書を検索して選択します。
  8. 情報を保存してページを閉じます。
  9. 「証明書検証の管理」に進みます。
前
 		次
目次へ移動
目次