39.5 フェデレーションのキーストア設定の定義

次の各トピックでは、フェデレーションのキーストア設定の定義方法について説明します。

39.5.1 Identity Federationのキーストア設定の管理について

フェデレーション・パートナ用に構成されたキーストアの表示と管理は、コンソールの「フェデレーション設定」ページで行います。

図39-2は、「フェデレーション設定」ページの、展開されたフェデレーション・プロキシ設定セクションを示しています。

図39-2 キーストア設定

「図39-2 キーストア設定」の説明

表39-4では、「フェデレーション設定」ページのキーストア設定セクションに含まれる各要素について説明します。

表39-4 フェデレーションのキーストア設定

要素	説明
キーストアの場所	この要素では、キーストアのパスを指定します。
キーID	一意のキーIDです。
説明	この要素では、キーの簡単な説明(使用方法など)を指定します。
別名	この要素では、キーの別名を指定します。ノート: ドロップダウンでは、キーストアで使用可能な別名の中からいずれか一つを選択できます。
パスワード	この要素では、キー・パスワードを指定します。

39.5.2 Identity Federationの暗号化/署名キーの管理

「データ・ソースの管理」で説明されているように、Identity Federationでは、暗号化証明書および署名証明書を格納する際に次のキーストア内のキーを使用します。

$DOMAIN_HOME/config/fmwconfig/.oamkeystore

39.5.2.1 タスクの概要: Identity Federationの暗号化/署名キーの管理

ノート:

この説明では、AMはAccess Manager、IFはIdentity Federationを表します。

39.5.2.2 システム(.oamkeystore)および信頼(amtruststore)キーストア・パスワードのリセット

キーストアおよびキーストアと同じパスワードを使用するキー・エントリを保護するパスワードをリセットできます。

キーストアはIM/OAMAMインストーラによって作成および構成されており、パスワードとキー・エントリのパスワードはランダムに生成されています。WLSTのresetKeystorePasswordメソッドを使用すると、.oamkeystoreパスワードおよび.oamkeystoreパスワードと同じパスワードが設定されたキー・エントリに新しい値を設定できます。このコマンドの更新対象は次のとおりです。

.oamkeystoreパスワード
.oamkeystore内でキーストアと同じパスワードを持つキー・エントリ
OAMAM/IFの構成(変更を反映する場合)
amtruststoreパスワード(キーストアが.oamkeystore(デフォルト)と同じパスワードで保護されている場合)

システム・キーストア(.oamkeystore)・パスワードを設定するには:

WLSTスクリプト環境を入力します。
connect()コマンドを使用してWebLogic Server AdminServerに接続します。
ドメイン実行時ツリーのdomainRuntime() に移動します。
次のコマンドを実行します。
```
resetKeystorePassword()
```
パスワードを入力および確認します。

39.5.2.3 システム・キーストア(.oamkeystore)への新しいキー・エントリの追加

システム・キーストア(.oamkeystore)に新しいキー・エントリを追加するには、新しいキー・エントリを作成および追加するkeytoolコマンドを使用します。

エントリを追加したら、アサーションの署名および着信メッセージの復号化の際にそのエントリを使用できるように、Identity Federation設定の構成画面で定義する必要があります。

39.5.2.3.1 タスクの概要: システム・キーストア(.oamkeystore)への新しいキー・エントリの追加

次の各トピックでは、新しいエントリをシステム・キーストアに追加し、SAMLアサーションの署名、またはWSSの対象とならないXML暗号化データの復号化を実行する方法について説明します。

39.5.2.3.2 .oamkeystoreへの新しいエントリの追加

このタスクに前提条件はありません。システム・キーストア(.oamkeystore)・パスワードをリセットしておきます。

.oamkeystoreで新しいエントリを追加するには、次のようにします。

keytoolを探します。
keytoolを使用して次のようにします。
- 自己署名付き証明書を生成します。または、
- 証明書リクエストを生成してリクエストをリモート認証局(CA)にエクスポートし、さらにCAで発行された証明書をインポートします。

39.5.2.3.3 Identity Federation設定への新しいエントリの追加

「Identity Federation」設定で、「キーストア」表に新しい行を追加できます。

Identity Federation設定で新しいエントリを追加するには、次のようにします。

Oracle Access Managementコンソールで、ウィンドウの上部にある「フェデレーション」をクリックします。
「フェデレーション」コンソールで、「設定」セクションのドロップダウン・リストから「フェデレーション」を選択します。
「フェデレーション設定」ページで、「キーストア」表に移動します。
行を追加します。
Identity Federationの構成時にこのキーを参照するために使用するキーIDを入力します。
.oamkeystoreに格納されるキー・エントリの別名を選択します。
キー・パスワードを入力します。
「適用」をクリックします。

39.5.2.3.4 署名および暗号化キーの構成

キーストア表にキーを追加したら、Identity Federationを構成してそのキーを使用できます。

署名および暗号化キーを構成するには、次のようにします。

Oracle Access Managementコンソールで、ウィンドウの上部にある「フェデレーション」をクリックします。
「フェデレーション」コンソールで、「設定」セクションのドロップダウン・リストから「フェデレーション」を選択します。
「一般」セクションに移動します。
キーストア表に定義されている使用可能なキー・エントリのリストから署名キーを選択します。
キーストア表に定義されている使用可能なキー・エントリのリストから暗号キーを選択します。
「適用」をクリックします。

これでIdentity Federationで前述のキーを使用してメッセージの署名および復号化を行えるようになりました。

39.5.2.3.5 キー・トランスポート・アルゴリズムに対するWLSTの使用

Oracle Identity Federationでは、キー・トランスポート・アルゴリズムとしてRSA 1.5がデフォルトでサポートされます。WLSTコマンドを使用して新規プロパティdefaultkeytransportmethodをoam-config.xmlに追加すれば、要件に基づいてRSA 1.5からRSA-OAEPにキー・トランスポート・アルゴリズムを変更できます。

次のように、defaultkeytransportmethodパラメータをoam-config.xmlに構成できます。

<Setting Name=”defaultkeytransportmethod” Type=”xsd: xsd”>
http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p
</Setting>

次に例を示します。

特定のパートナ(この例ではOIFSP)のみのキー・トランスポート・アルゴリズムを更新するには、次のWLSTコマンドを使用します。

updatePartnerProperty(partnerName=”OIFSP”, partnerType=”SP”, propName=”defaultkeytransportmethod”, propValue=”http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p”,type=”string”)

特定のパートナ・プロファイル(この例ではsaml20-sp-partner-profile)を使用するすべてのパートナのキー・トランスポート・アルゴリズムを更新するには、次のWLSTコマンドを使用します。
```
putStringProperty("/fedpartnerprofiles/saml20-sp-partner-profile/defaultkeytransportmethod","http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p");
```
定義されているすべてのSPパートナのキー・トランスポート・アルゴリズムを更新するには、次のWLSTコマンドを使用します。
```
putStringProperty("/idpglobal/defaultkeytransportmethod", “http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p”)
```
ノート:
これは、グローバルな変更です。