Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
キーストアに格納された暗号化証明書および署名証明書がセキュリティ・トークン・サービスで使用されます。
セキュリティ・トークン・サービスでは、キーを使用して次の処理が行われます。
送信アサーションの署名
WSSプロトコルで処理されないRSTメッセージに含まれる着信XML暗号化データ(トークン、エントロピなど)の復号化
セキュリティ・トークン・サービスでは、暗号化証明書および署名証明書の格納に次のキーストアが使用されます。
$DOMAIN_HOME/config/fmwconfig/.oamkeystore
キーストアを保護するパスワードと、そのキーストアと同じパスワードを使用するキー・エントリをリセットできます。
Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドで説明されているように、これらのキーストアはインストール時に作成および構成されます。パスワードおよびキー・エントリのパスワードはランダムに生成されます。管理者は次のようにWLST resetKeystorePassword
メソッドを使用して、.oamkeystoreパスワードおよび.oamkeystoreパスワードと同じパスワードを持つ任意のキー・エントリを新しい値に設定できます。
.oamkeystoreパスワードの更新
キーストアと同じパスワードを持つ.oamkeystore内のキー・エントリの更新
変更を反映させるためのAccess Manager、Identity Federationおよびセキュリティ・トークン・サービスの構成の更新
amtruststoreパスワードの更新(キーストアがデフォルトの.oamkeystoreと同じパスワードで保護されている場合)
『WebLogic Server WLSTコマンド・リファレンス』を参照してください。
WebLogic Server AdminServerからシステム・キーストアおよび信頼キーストアのパスワードをリセットできます。
システム・キーストアおよび信頼キーストアのパスワードをリセットするには:
connect()
コマンドを使用してWebLogic Server AdminServerに接続します。domainRuntime()
に移動します。resetKeystorePassword(
)を実行します。管理者は、新しいキー・エントリを作成および追加するkeytoolコマンドを使用して、システム・キーストア(.oamkeystore)に新しいキー・エントリを追加できます。
エントリを追加した後、アサーションの署名および着信メッセージの復号化に使用できるように、エントリをセキュリティ・トークン・サービスの構成画面で定義する必要があります。次の各トピックでは、新しいエントリを追加し、SAMLアサーションの署名、またはWSSの対象とならないXML暗号化データの復号化を実行する方法について説明します。
SAMLアサーションの署名、またはWSSの対象とならないXML暗号化データの復号化を実行するには、新しいエントリを構成する必要があります。
始める前に、Oracle Access Managerサービスが有効になっていることを確認してください。
新しいエントリを構成するには:
keytoolを探します。
自己署名証明書を生成するか証明書リクエストを生成する場合は、リモート認証局にリクエストをエクスポートし、認証局が発行した証明書をインポートします。
画面のメッセージを確認します。
必要に応じて、次に進みます。
「署名キーを使用するためのSAML発行テンプレートの構成」を参照してください。
「デフォルトの暗号化キーの設定」を参照してください。
有効な管理者の資格証明を持つユーザーは、署名キーを使用するように既存のテンプレートを編集できます。
署名キーを使用するようにSAML発行テンプレートを構成するには、次のようにします。
有効な管理者の資格証明を持つユーザーは、署名キーを使用するように既存のテンプレートを編集できます。
「「Security Token Serviceの設定」について」を参照してください。
デフォルトの暗号化キーを設定するには:
証明書取得サービスを使用してキー・エントリの証明書を配布できます。
場合によっては、SAML署名操作またはXML暗号化操作に使用されるセキュリティ・トークン・サービス・キーを配布する必要があります。
セキュリティ・トークン・サービスにより発行されたSAMLアサーションを検証するために、リライイング・パーティがセキュリティ・トークン・サービス署名キーにアクセスする必要がある場合
トークンをセキュリティ・トークン・サービス・サーバー用に暗号化する必要がある場合
SAML署名操作またはXML暗号化操作のためにセキュリティ・トークン・サービスで使用されるキー・エントリの証明書を配布するには、(「システム構成」→「セキュリティ・トークン・サービス」→「Security Token Serviceの設定」にリストされる)キーIDおよび優先エンコーディング(derとpem)を指定して、証明書取得サービスを使用します。
「証明書取得サービスの使用」を参照してください。