| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
|
前 |
次 |
統合Identity FederationがSPとして構成されている場合、各リモートIdPについての詳細を含むプロファイルを作成およぴ管理することにより、信頼できるパートナとしてリモートIdPパートナを定義する必要があります。
SPである統合Identity Federationサーバーの管理を開始するには、Oracle Access Managementコンソールの起動パッドからIdentity Federationの「サービス・プロバイダ管理」リンクをクリックします。この項の内容は次のとおりです。
「新規アイデンティティ・プロバイダ」ページを使用して、Access Managerのアイデンティティ・プロバイダ(IdP)パートナのレコードを定義します。サービスの詳細は、手動で指定することもメタデータ・ファイルからロードすることも可能です。
図38-1には、XMLメタデータ・ファイルがロードされてサービス詳細が構成されている「アイデンティティ・プロバイダ・パートナの作成」ページが示されています。
図38-1 サービスの詳細をメタデータからロードした場合の「新規アイデンティティ・プロバイダ」ページ
図38-2には、値が手動で入力されてサービス詳細が構成されている「アイデンティティ・プロバイダ・パートナの作成」ページが示されています。
表38-2は、「新規アイデンティティ・プロバイダ」ページの各要素について説明しています。
表38-2 アイデンティティ・プロバイダ・パートナの設定
| 要素 | 説明 |
|---|---|
名前 |
プロバイダ名です。 |
説明 |
プロバイダの簡単な説明です。(オプション)。 |
プロトコル |
プロバイダ・プロトコルです(SAML 1.1、SAML 2.0など)。 |
サービスの詳細 |
このドロップダウンを使用して、サービスの詳細を手動で入力するか、メタデータからロードするかを選択します。 |
メタデータ・ファイル |
このフィールドは、ファイルからメタデータをロードする場合に表示されます。「参照」をクリックして、使用するファイルを選択します。SAML 2.0にのみ適用されます。 |
発行者ID |
プロバイダの発行者IDです。SAML 2.0とSAML 1.1にのみ適用されます。 |
簡潔ID |
プロバイダの簡潔IDです。この要素は、アーティファクト・プロファイルを使用する場合は必須です。SAML 2.0とSAML 1.1にのみ適用されます。 |
SSOサービスURL |
SSOリクエストが送信されるURLアドレスです。 |
SOAPサービスURL |
SOAPサービス・リクエストが送信されるURLアドレスです。この要素は、アーティファクト・プロファイルを使用する場合は必須です。 |
ログアウト・リクエスト・サービスURL |
プロバイダからログアウト・リクエストが送信されるURLアドレスです。この要素はログアウト機能を使用する場合は必須です。SAML 2.0にのみ適用されます。 |
ログアウト・レスポンス・サービスURL |
ログアウト・レスポンスが送信されるURLアドレスです。この要素はログアウト機能を使用する場合は必須です。SAML 2.0にのみ適用されます。 |
署名証明書 |
プロバイダが使用する署名証明書です。 |
ユーザー・アイデンティティ・ストア |
IdPのユーザーが配置およびマップされるアイデンティティ・ストアです。Identity Federationは、パートナ単位で定義された複数のアイデンティティ・ストアをサポートします。また、ユーザー・アイデンティティ・ストアが選択されていない場合は、デフォルトのAccess Managerストアが使用されます。 |
ユーザー検索ベースDN |
ユーザー・レコードの参照時に使用される基本検索DNです。(オプション。)省略した場合は、選択したユーザー・アイデンティティ・ストア用に構成されているデフォルトのユーザー検索ベースDNが使用されます。) |
マッピング・オプション |
この設定では、アイデンティティ・ストア内のユーザーに着信アサーションをマップする方法を指定します。次のいずれかを選択します。
|
HTTP Basic認証の有効化 |
HTTP基本資格証明を受け入れる場合はこのボックスを選択します。(拡張要素。プロバイダの「Edit」モードのみで使用できます。) |
属性マッピング・プロファイル |
パートナが関連付けられる属性プロファイルを示します。 |
サービスの詳細 |
次のオプションのうち、Identity Federation (RP)がフェデレーションSSOをIdPとともに実行する際に使用するオプションを示します。OpenID 2.0にのみ適用されます。
|
検出URL |
IdPがXRDSメタデータを発行する場所を定義します。OpenID 2.0にのみ適用されます。 |
エンドポイントURL |
IdP SSOサービス・ロケーションを定義します。OpenID 2.0にのみ適用されます。 |
グローバル・ログアウトの有効化 |
ログアウト・フローで、ユーザーのサインオフ時にIdentity Federationがリモート・パートナに通知するかどうかを示します。SAML 2.0にのみ適用されます。 |
HTTP POST SSOレスポンス・バインディング |
IdPからSAMLアサーションを戻すのにHTTP POSTバインディングを使用するのか、アーティファクト・バインディングを使用するのかを示します。SAML 2.0にのみ適用されます。 |
認証リクエスト名前IDフォーマット |
Identity FederationがフェデレーションSSO操作中にIdPに要求する名前IDフォーマットを示します。選択しない場合、リクエストに名前IDフォーマットは指定されません。SAML 2.0にのみ適用されます。 |
フェデレーション用に新しいSAML 2.0アイデンティティ・プロバイダ(IdP)を定義できます。
新しいアイデンティティ・プロバイダを作成するには、次のようにします。
フェデレーション用に新しいSAML 1.1アイデンティティ・プロバイダ(IdP)を定義できます。
新しいアイデンティティ・プロバイダを作成するには、次のようにします。
11gリリース2 (11.1.2.3)以降では、Identity FederationはOpenIDをサポートし、OpenID RP/SPとして機能します。OpenIDプロバイダは、IdPパートナとして登録できます。
これらのOpenIDパートナを使用して作成された認証スキームは、OpenIDアイデンティティ・プロバイダが提供する認証サービスを使用してAccess Managerリソースを保護します。
フェデレーション用に新しいOpenID 2.0アイデンティティ・プロバイダ(IdP)を定義するには、次のようにします。
Oracle Access Managementコンソールで、ウィンドウの上部にある「フェデレーション」をクリックします。
「フェデレーション」コンソールで、「フェデレーション」セクションの「作成」(+)ドロップダウン・リストから「アイデンティティ・プロバイダ・パートナの作成」を選択します。
手動、またはメタデータ・ファイルのアップロードにより、現在の環境に適した値を入力します。
指定する情報は、プロバイダなどの要素で選択したプロトコルに応じて異なります。
「保存」をクリックして、アイデンティティ・プロバイダの定義を作成します。
Google IdPパートナ
GoogleをOpenID 2.0 IdPとして追加するには、次のようにします。
Oracle Access Managementコンソールで、ウィンドウの上部にある「フェデレーション」をクリックします。
「フェデレーション」コンソールで、「フェデレーション」セクションの「作成」(+)ドロップダウン・リストから「アイデンティティ・プロバイダ・パートナの作成」を選択します。
「起動パッド」から、Identity Federationの「サービス・プロバイダ管理」をクリックします。
「プロトコル」ドロップダウン・リストから「OpenID 2.0」を選択します。
「サービスの詳細」ドロップダウン・メニューから「Googleプロバイダのデフォルト設定」を選択します。
「保存」をクリックすると、アイデンティティ・プロバイダの定義が作成されます。
このパートナは、SPがアサーション属性をGoogle IdPに要求し、それらを対応するセッション属性名にマップするように構成されます。
表38-3を参照してください。
表38-3 Google OpenIDパートナの属性
| アサーション属性名 | セッション属性名 |
|---|---|
http://axschema.org/contact/country/home |
country |
http://axschema.org/contact/email |
|
http://axschema.org/namePerson/first |
firstname |
http://axschema.org/pref/language |
language |
http://axschema.org/namePerson/last |
lastname |
Googleパートナはユーザー・マッピング属性としてmailを使用するため、着信のhttp://axschema.org/contact/email属性は、ユーザー・アイデンティティ・ストアに含まれるユーザーのmail属性と一致するようになります。
Yahoo IdPパートナ
YahooをOpenID 2.0 IdPとして追加するには、次のようにします。
このパートナは、SPがアサーション属性をYahoo IdPに要求し、それらを対応するセッション属性名にマップするように構成されます。
表38-4を参照してください。
表38-4 Yahoo OpenIDパートナの属性
| アサーション属性名 | セッション属性名 |
|---|---|
http://axschema.org/contact/country/home |
country |
http://axschema.org/contact/email |
|
http://axschema.org/namePerson/first |
firstname |
http://axschema.org/pref/language |
language |
http://axschema.org/namePerson/last |
lastname |
Yahooパートナはユーザー・マッピング属性としてmailを使用するため、着信のhttp://axschema.org/contact/email属性は、ユーザー・アイデンティティ・ストアに含まれるユーザーのmail属性と一致するようになります。
デフォルトでは、Identity FederationはAttribute Exchange Extensionを使用して、OpenID IdPからユーザー・アイデンティティ属性を取得します。
ただし、古いSimple Registration (SREG)拡張機能を使用する必要がある場合は、次のWLSTコマンドを実行することで、有効化できます。
putBooleanProperty("/spglobal/openid20axenabled", "false")
putBooleanProperty("/spglobal/openid20sregenabled", "true")
Attribute Exchange Extensionに対してSimple Registrationを無効にできます。
Simple Registration (SREG)拡張機能からAttribute Exchange Extensionに切り替えてOpenID IdPからユーザー・アイデンティティ属性を取得するには:
putBooleanProperty("/spglobal/openid20axenabled", "true")
putBooleanProperty("/spglobal/openid20sregenabled", "false")
次の各トピックでは、Identity Federationの既存のIdPを管理する方法について説明します。
「フェデレーション」コンソールから既存のアイデンティティ・プロバイダを検索できます。
検索するには、次のようにします。
表38-5 IdPのプロバイダ検索で使用される要素
| 要素 | 説明 |
|---|---|
パートナ名 |
特定のパートナ名を検索します。 |
プロバイダID |
プロバイダIDで検索します。 |
ステータス |
ステータスに一致するプロバイダを検索します。 |
説明 |
プロバイダの説明で検索します。 |
プロトコル |
指定したプロバイダを使用するプロバイダを検索します。 |
表38-5では、プロバイダの検索に使用できるパラメータについて説明します。
