Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
次の各トピックでは、WS-Trust通信のパートナ・キーの管理方法について説明します。
WS-Trustメッセージの処理中に、セキュリティ・トークン・サービスではパートナ証明書の使用が必要となる場合があります。
表44-3に、状況に応じて必要となる証明書を示します。
表44-3 WS-Trust通信のパートナ・キー
セキュリティ・トークン・サービス必須の実行内容 | OAMサーバーの対応 |
---|---|
リライイング・パーティ用に暗号化されたSAMLアサーションの発行 |
リライイング・パーティの暗号化証明書を使用して、送信トークンを暗号化します。 |
Holder of Key/非対称タイプのサブジェクト確認を使用したSAMLアサーションの発行 |
リクエスタ・パートナの署名証明書をアサーションに含まれる証明キーとして使用します。 ノート: 署名に使用されたSOAPヘッダー内のX.509バイナリ・セキュリティ・トークンを参照するUseKey要素がWS-Trust RSTに含まれている場合、セキュリティ・トークン・サービスではこの証明書を証明キーとして使用できます。 |
Holder of Key/対称タイプのサブジェクト確認を使用したSAMLアサーションの発行 |
リライイング・パーティの暗号化証明書を使用して、アサーションに含まれる秘密証明キーを暗号化します。 |
Holder of Key/対称タイプのサブジェクト確認を使用したSAMLアサーションの発行 |
リクエスタ、秘密またはサーバー・エントロピのRSTRで暗号化できます。 この場合、サーバーは次の処理を行います。
ノート: 署名に使用されたSOAPヘッダー内のX.509バイナリ・セキュリティ・トークンを参照するProofEncryption要素がWS-Trust RSTに含まれている場合、セキュリティ・トークン・サービスではこの証明書を使用して、クライアントに返された秘密またはエントロピを暗号化できます。 |
着信SAMLアサーションの検証 |
発行局の署名証明書を使用して、アサーションに存在するXMLデジタル署名を検証します。 |
セキュリティ・トークン・サービスは実行時に、RSTのAppliesToフィールドにリストされるサービスのリライイング・パーティWSSポリシーをダウンロードできます。
セキュリティ・トークン・サービスがリライイング・パーティのWS-Secポリシーをダウンロードするように構成されている場合は、セキュリティ・トークン・サービスがリライイング・パーティに接続できるように、必要に応じてプロキシ設定が正しく入力されていることを確認します。リライイング・パーティ・パートナ・プロファイルがそのように構成されている場合、セキュリティ・トークン・サービスに対してサービスからWS-Secポリシーをダウンロードするように指示されます。その後、セキュリティ・トークン・サービスではポリシーに存在する証明書を抽出し、必要に応じて暗号化操作に使用します。また、次の点にも注意が必要です。
セキュリティ・トークン・サービスがリライイング・パーティに対して暗号化されたSAMLアサーションを発行する場合、サーバーではリライイング・パーティのWS-Secポリシーからダウンロードされた証明書を使用して送信トークンが暗号化されます。
セキュリティ・トークン・サービスがHolder of Key/対称タイプのサブジェクト確認を使用してSAMLアサーションを発行する場合、セキュリティ・トークン・サービスではリライイング・パーティのWS-Secポリシーからダウンロードされた証明書を使用して、アサーションに含まれる秘密証明キーが暗号化されます。
実行時に証明書をダウンロードするようにリライイング・パーティ・パートナ・プロファイルを構成できます。
「パートナの署名証明書または暗号化証明書の設定」を参照してください。
「フェデレーション」コンソールを使用して、パートナの署名証明書または暗号化証明書を設定できます。
あるいは、WLSTパートナ・コマンドを使用して、特定のパートナの署名証明書または暗号化証明書を設定します。
パートナの署名証明書または暗号化証明書を設定するための前提条件については、表44-3を参照してください。
パートナの証明書を設定するには: