44.3 セキュリティ・トークン・サービスの暗号化および署名キーの管理

キーストアに格納された暗号化証明書および署名証明書がセキュリティ・トークン・サービスで使用されます。

セキュリティ・トークン・サービスでは、キーを使用して次の処理が行われます。

送信アサーションの署名
WSSプロトコルで処理されないRSTメッセージに含まれる着信XML暗号化データ(トークン、エントロピなど)の復号化

セキュリティ・トークン・サービスでは、暗号化証明書および署名証明書の格納に次のキーストアが使用されます。

$DOMAIN_HOME/config/fmwconfig/.oamkeystore

44.3.1 タスクの概要: セキュリティ・トークン・サービスの暗号化/署名キーの管理

セキュリティ・トークン・サービスのキーを管理するには、次のタスクを実行する必要があります。

「WSSプロトコル通信のためのOWSMの構成」を参照してください。

44.3.2 システム・キーストア(.oamkeystore)および信頼キーストア(amtruststore)のパスワードのリセット

キーストアを保護するパスワードと、そのキーストアと同じパスワードを使用するキー・エントリをリセットできます。

Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドで説明されているように、これらのキーストアはインストール時に作成および構成されます。パスワードおよびキー・エントリのパスワードはランダムに生成されます。管理者は次のようにWLST resetKeystorePasswordメソッドを使用して、.oamkeystoreパスワードおよび.oamkeystoreパスワードと同じパスワードを持つ任意のキー・エントリを新しい値に設定できます。

.oamkeystoreパスワードの更新
キーストアと同じパスワードを持つ.oamkeystore内のキー・エントリの更新
変更を反映させるためのAccess Manager、Identity Federationおよびセキュリティ・トークン・サービスの構成の更新
amtruststoreパスワードの更新(キーストアがデフォルトの.oamkeystoreと同じパスワードで保護されている場合)

『WebLogic Server WLSTコマンド・リファレンス』を参照してください。

44.3.2.1 システム・キーストアおよび信頼キーストアのパスワードのリセット

WebLogic Server AdminServerからシステム・キーストアおよび信頼キーストアのパスワードをリセットできます。

システム・キーストアおよび信頼キーストアのパスワードをリセットするには:

通常どおりWSLTスクリプト環境を入力します。
connect()コマンドを使用してWebLogic Server AdminServerに接続します。
ドメイン実行時ツリーのdomainRuntime()に移動します。
resetKeystorePassword()を実行します。
パスワードを入力および確認します。

44.3.3 システム・キーストア(.oamkeystore)への新しいキー・エントリの追加

管理者は、新しいキー・エントリを作成および追加するkeytoolコマンドを使用して、システム・キーストア(.oamkeystore)に新しいキー・エントリを追加できます。

エントリを追加した後、アサーションの署名および着信メッセージの復号化に使用できるように、エントリをセキュリティ・トークン・サービスの構成画面で定義する必要があります。次の各トピックでは、新しいエントリを追加し、SAMLアサーションの署名、またはWSSの対象とならないXML暗号化データの復号化を実行する方法について説明します。

44.3.3.1 新しいエントリの追加

SAMLアサーションの署名、またはWSSの対象とならないXML暗号化データの復号化を実行するには、新しいエントリを構成する必要があります。

始める前に、Oracle Access Managerサービスが有効になっていることを確認してください。

新しいエントリを構成するには:

keytoolを探します。
自己署名証明書を生成するか証明書リクエストを生成する場合は、リモート認証局にリクエストをエクスポートし、認証局が発行した証明書をインポートします。
画面のメッセージを確認します。
必要に応じて、次に進みます。
- 「署名キーを使用するためのSAML発行テンプレートの構成」を参照してください。
- 「デフォルトの暗号化キーの設定」を参照してください。

44.3.3.2 署名キーを使用するためのSAML発行テンプレートの構成

有効な管理者の資格証明を持つユーザーは、署名キーを使用するように既存のテンプレートを編集できます。

署名キーを使用するようにSAML発行テンプレートを構成するには、次のようにします。

既存のトークン発行テンプレートのリストを表示します。
- Oracle Access Managementコンソール
- システム構成
- セキュリティ・トークン・サービス
- トークン発行テンプレート
新しいキーを使用するSAML発行テンプレートを検索して開きます。たとえば、saml11-issuance-templateなどです。
SAML発行テンプレート・ページで、「セキュリティ」タブをクリックします。
「セキュリティ」タブの「署名と暗号化」セクションで、「アサーションの署名」をクリックします。
「署名キーストア・アクセス・テンプレートID」リストから、署名キーストア・エントリとして「キーID」を選択します。
ページの上部にある「適用」ボタンをクリックして、この情報を保存します。
必要に応じて、次に続行します。

「デフォルトの暗号化キーの設定」を参照してください。

「トークン発行テンプレートの管理について」を参照してください。

「既存のテンプレートの検索」を参照してください。

44.3.3.3 デフォルトの暗号化キーの設定

有効な管理者の資格証明を持つユーザーは、署名キーを使用するように既存のテンプレートを編集できます。

「「Security Token Serviceの設定」について」を参照してください。

デフォルトの暗号化キーを設定するには:

Oracle Access Managementコンソールで、ウィンドウの上部にある「構成」をクリックします。
「構成」コンソールで、「設定」セクションの「表示」ドロップダウン・メニューから「Security Token Service」を選択します。
「デフォルト暗号化テンプレート」リストから、新しいキー・エントリを選択します。
ページの上部にある「適用」ボタンをクリックして、この情報を保存します。
次に進みます。
「デフォルトの暗号化キーの設定」を参照してください。

44.3.4 セキュリティ・トークン・サービス証明書の抽出

証明書取得サービスを使用してキー・エントリの証明書を配布できます。

場合によっては、SAML署名操作またはXML暗号化操作に使用されるセキュリティ・トークン・サービス・キーを配布する必要があります。

セキュリティ・トークン・サービスにより発行されたSAMLアサーションを検証するために、リライイング・パーティがセキュリティ・トークン・サービス署名キーにアクセスする必要がある場合
トークンをセキュリティ・トークン・サービス・サーバー用に暗号化する必要がある場合

SAML署名操作またはXML暗号化操作のためにセキュリティ・トークン・サービスで使用されるキー・エントリの証明書を配布するには、(「システム構成」→「セキュリティ・トークン・サービス」→「Security Token Serviceの設定」にリストされる)キーIDおよび優先エンコーディング(derとpem)を指定して、証明書取得サービスを使用します。

「証明書取得サービスの使用」を参照してください。

44.3.4.1 証明書取得サービスの使用

エントリのキーIDを取得し、それを使用してURLを作成できます。

証明書取得サービスを使用する手順

証明書を取得するエントリのキーIDを取得します(Oracle Access Managementコンソールの「システム構成」タブ、「Security Token Service」セクション、「Security Token Serviceの設定」に表示)。
URLを作成します。
たとえば、http(s)://osts-hostname:osts-port/sts/servlet/samlcert?id=<KEYID>&encoding=<ENCODING>などを作成し、次のものを指定します。
- エントリのキーIDを保持するID
- 証明書が返されるフォーマットを表すエンコーディング。使用可能な値はpem (PEMフォーマット)またはder (DERフォーマット)です(オプション、デフォルト値はpem)。
ブラウザに表示される証明書を確認します。