Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
次の各トピックでは、フェデレーションのキーストア設定の定義方法について説明します。
フェデレーション・パートナ用に構成されたキーストアの表示と管理は、コンソールの「フェデレーション設定」ページで行います。
図39-2は、「フェデレーション設定」ページの、展開されたフェデレーション・プロキシ設定セクションを示しています。
表39-4では、「フェデレーション設定」ページのキーストア設定セクションに含まれる各要素について説明します。
表39-4 フェデレーションのキーストア設定
要素 | 説明 |
---|---|
キーストアの場所 |
この要素では、キーストアのパスを指定します。 |
キーID |
一意のキーIDです。 |
説明 |
この要素では、キーの簡単な説明(使用方法など)を指定します。 |
別名 |
この要素では、キーの別名を指定します。 ノート: ドロップダウンでは、キーストアで使用可能な別名の中からいずれか一つを選択できます。 |
パスワード |
この要素では、キー・パスワードを指定します。 |
「データ・ソースの管理」で説明されているように、Identity Federationでは、暗号化証明書および署名証明書を格納する際に次のキーストア内のキーを使用します。
$DOMAIN_HOME/config/fmwconfig/.oamkeystore
ノート:
この説明では、AMはAccess Manager、IFはIdentity Federationを表します。
キーストアおよびキーストアと同じパスワードを使用するキー・エントリを保護するパスワードをリセットできます。
キーストアはIM/OAMAMインストーラによって作成および構成されており、パスワードとキー・エントリのパスワードはランダムに生成されています。WLSTのresetKeystorePassword
メソッドを使用すると、.oamkeystoreパスワードおよび.oamkeystoreパスワードと同じパスワードが設定されたキー・エントリに新しい値を設定できます。このコマンドの更新対象は次のとおりです。
.oamkeystoreパスワード
.oamkeystore内でキーストアと同じパスワードを持つキー・エントリ
OAMAM/IFの構成(変更を反映する場合)
amtruststoreパスワード(キーストアが.oamkeystore(デフォルト)と同じパスワードで保護されている場合)
システム・キーストア(.oamkeystore)・パスワードを設定するには:
システム・キーストア(.oamkeystore)に新しいキー・エントリを追加するには、新しいキー・エントリを作成および追加するkeytool
コマンドを使用します。
エントリを追加したら、アサーションの署名および着信メッセージの復号化の際にそのエントリを使用できるように、Identity Federation設定の構成画面で定義する必要があります。
次の各トピックでは、新しいエントリをシステム・キーストアに追加し、SAMLアサーションの署名、またはWSSの対象とならないXML暗号化データの復号化を実行する方法について説明します。
このタスクに前提条件はありません。システム・キーストア(.oamkeystore)・パスワードをリセットしておきます。
.oamkeystoreで新しいエントリを追加するには、次のようにします。
「Identity Federation」設定で、「キーストア」表に新しい行を追加できます。
Identity Federation設定で新しいエントリを追加するには、次のようにします。
キーストア表にキーを追加したら、Identity Federationを構成してそのキーを使用できます。
署名および暗号化キーを構成するには、次のようにします。
これでIdentity Federationで前述のキーを使用してメッセージの署名および復号化を行えるようになりました。
Oracle Identity Federationでは、キー・トランスポート・アルゴリズムとしてRSA 1.5がデフォルトでサポートされます。WLSTコマンドを使用して新規プロパティdefaultkeytransportmethodをoam-config.xmlに追加すれば、要件に基づいてRSA 1.5からRSA-OAEPにキー・トランスポート・アルゴリズムを変更できます。
次のように、defaultkeytransportmethodパラメータをoam-config.xmlに構成できます。
<Setting Name=”defaultkeytransportmethod” Type=”xsd: xsd”> http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p </Setting>
updatePartnerProperty(partnerName=”OIFSP”, partnerType=”SP”, propName=”defaultkeytransportmethod”, propValue=”http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p”,type=”string”)
putStringProperty("/fedpartnerprofiles/saml20-sp-partner-profile/defaultkeytransportmethod","http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p");
putStringProperty("/idpglobal/defaultkeytransportmethod", “http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p”)
ノート:
これは、グローバルな変更です。