| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
|
前 |
次 |
SPが開始するSSOでは、SPがIdPに認証リクエストを送信すると、フェデレーテッドSSOプロセスが開始されます。IdPが開始するSSOでは、IdPがSPに非送信請求アサーション・レスポンスを送信します(SPからの認証リクエストがない場合)。両方のモードでサポートされているランタイム・フローには、SSO、ログアウト(リモート・フェデレーション・パートナまたはAccess Manager保護アプリケーションから開始)および属性問合せが含まれます。
この節では、以下のトピックについて説明します。
Identity Federation (IdPとして機能)がSPとフェデレーテッドSSOを実行している場合、Access Managerサーバーはユーザーを認証するか、認証済ユーザーが非アクティブを理由にしてチャレンジを受けることがないようにします。
また、Access Managerサーバーは、SPによって指定されている、要求されたフェデレーション認証方式が、認証レベルに基づいたチャレンジを必要としていないことを確認します。このことは、認証方式に対する認証スキーム・マッピングにより判断されます。(SPがフェデレーション認証方式を指定していない場合、IdPは、defaultschemeidプロパティでSPパートナに対して指定されている認証方式を使用します。)詳細は、「フェデレーションSSOの開始」を参照してください。
Identity Federationにより、ログアウト操作は認証操作から分離されています。ログアウトはユーザー(Access Managerサーバー)またはフェデレーション内のパートナによって開始できます。
Access Managerログアウト・サービスにアクセスしているユーザーによって開始された場合、Access ManagerがそのユーザーのAccess Managerセッションを中断し、ログアウト・ページを表示し、ここから、様々なWebゲート・エージェントにユーザーのCookieを削除するよう指示が出ます。そして、Access Managerは、ユーザーをIdentity Federationログアウト・サービスにリダイレクトし、このサービスが、ログアウト・リクエスト・メッセージとともにユーザーをHTTPリダイレクトまたはHTTP POST経由でリダイレクトするか、ログアウト・リクエスト・メッセージをSOAP経由で直接送信することにより、このセッションに関与する各パートナへの通知を行います。Identity FederationはOIFセッションを強制終了し、定義された戻りURLにユーザーをリダイレクトします。
フェデレーション内のパートナからWebサイト上のユーザーによって開始された場合、パートナがユーザーをIdentity Federationサーバーにリダイレクトし、ここで、ユーザー・セッションがログアウトとしてマークされます。次に、Identity FederationがユーザーをAccess Managerサーバーにリダイレクトし、ここでユーザーのAccess Managerセッションが強制終了されます。Access Managerは、ログアウト・ページを表示し、ここから、様々なWebゲート・エージェントにユーザーのCookieを削除するよう指示が出ます。そして、Access Managerは、ユーザーをリダイレクトによりIdentity Federationに戻し、ログアウト・リクエスト・メッセージとともにユーザーをHTTPリダイレクトまたはHTTP POST経由でリダイレクトするか、ログアウト・リクエスト・メッセージをSOAP経由で直接送信することにより、このセッションに関与する各パートナ(最初にユーザーをリダイレクトしたパートナを除く)への通知を行って、Federationログアウト・プロセスを再開します。Identity FederationはOIFセッションを強制終了し、最初にユーザーをIdentity Federationサーバーにリダイレクトしたパートナに、ユーザーをログアウト・レスポンス・メッセージとともにリダイレクトします。
Identity Federationサーバーは、IdPとして機能する場合、Federation SSO操作中、アイデンティティ・トークンをSPに発行する必要があります。
アイデンティティ・トークンは、ユーザー情報とセッション情報を含みます。デフォルトでは、認可機能は無効になっています。この機能は、configureFedSSOAuthz WLSTコマンドを使用して、有効にも無効にもできます。TokenServiceRPタイプのリソースと(リソースURLをSPパートナIDに設定)、リソースが追加されるトークン発行ポリシーを作成する必要もあります。トークン発行ポリシーは、トークンの発行条件を示します。
SAML 2.0とOpenID 2.0は、有効なユーザー・セッションがすでに存在している場合でもユーザーがIdPによってチャレンジを受ける必要があるかどうかを、フェデレーションSSO中にSPが示す方法を提供しています。
この場合、SPは、IdPがユーザーに対して再度チャレンジを渡す必要がある、つまり強制認証を行う必要があることを示すパラメータ付きの認証リクエストを送信します。
SAML 2.0とOpenID 2.0は、Identity Providerがユーザーと対話する必要があるかどうかを、フェデレーションSSO中にSPが示す方法を提供しています。
この場合、SPは、IdPがユーザーと対話する必要がない、つまりパッシブでいる必要があることを示すパラメータ付きの認証リクエストを送信します。IdPは、パラメータを認識し、それぞれ次の内容をSPに戻します。
エラー(IdPがユーザーと対話する必要があるが、このパラメータによりそれができない場合)。
ユーザーが有効なセッションを持っているかどうかを示すフェデレーション・アサーション。
Identity Federationでは、IdPパートナが作成したSAMLアサーションのSPによる検証が終わると、そのアサーションをローカル・ユーザーにマップできます。
次のいずれかの方法で、Identity FederationによってSAMLアサーションがローカル・ユーザーにマップされます。
ユーザー属性(mailなど)を持つユーザー・レコードにSAMLサブジェクトをマップする方法。
ユーザー属性を持つユーザー・レコードにSAMLアサーション属性をマップする方法(たとえば、SAMLアサーション属性emailAddressをmailにマップ)。
LDAP問合せを使用して、SAMLアサーションのAttributeStatement要素に含まれる1つ以上の属性またはSAMLサブジェクトをマップする方法。SAML属性名およびこのマップ先となるユーザー属性の両方を構成する必要があります。
