45.3 トークン発行テンプレートの管理

発行テンプレートには、トークンの作成方法に関するルールが含まれており、トークン・タイプに固有のものです。

発行テンプレートはそれぞれ署名および暗号化を示しており、トークンの一部として送信される属性名、値マッピングおよびフィルタリング設定も含まれています。この項では、次の情報について説明します。

• トークン発行テンプレートの管理について

• トークン発行テンプレートの管理

45.3.1 トークン発行テンプレートの管理について

トークン発行テンプレートはそれぞれ、トークンの構築方法を示しています。

つまり、トークンの構築時に使用される署名または暗号化を示しています。各トークン発行テンプレートでは、送信トークンに含まれる属性に適用される属性マッピングおよびフィルタリング・ルールも定義されます。ただし、発行テンプレートには、送信トークンで送信される属性はリストされません。これはリライイング・パーティ・パートナ・プロファイルで定義されます。

トークン発行テンプレートには、選択したトークン・タイプに応じて異なる点の詳細が表示されます。表45-2に、詳細が記載されている場所を示します。

表45-2 発行テンプレートの要件

トピック	図および表
一般詳細	図45-3、表45-3
発行プロパティ: ユーザー名トークン	図45-4、表45-4
発行プロパティ: SAMLトークン	図45-5、表45-6
セキュリティ: SAMLトークン	図45-6、表45-6
属性マッピング: SAMLトークン	図45-9、表45-7

一般詳細

図45-3に、デフォルトが表示されている状態の「新規発行テンプレート」ページを示します。特に明記しないかぎり、「一般情報」は、選択するトークン・タイプを問わず同じです。詳細については、表45-3を参照してください。「一般情報」を入力して「保存」をクリックした後、テンプレート名またはトークン・タイプに戻って編集することはできません。

図45-3 発行テンプレート: 一般詳細とデフォルト

「図45-3 発行テンプレート: 一般詳細とデフォルト」の説明

表45-3 発行テンプレート: 一般詳細

要素	説明
発行テンプレート名	このテンプレートの一意の名前を入力します。
説明	オプション。
トークン・タイプ	リストされているタイプから標準(または、ある場合はカスタム)のトークン・タイプを選択します。
SAML、ユーザー名およびカスタムのトークン・タイプ
暗号化されたトークンの送信	クリックしてトークン暗号化を有効にします。
トークン暗号化アルゴリズム	トークン暗号化が有効になっている場合は、リストされているアルゴリズムから「トークン暗号化アルゴリズム」を選択します。

発行プロパティ: ユーザー名トークン・タイプ

トークン・タイプがユーザー名の場合、ユーザー名トークン・タイプ・テンプレートには図45-4に示す発行プロパティが必要です。

図45-4 発行プロパティ: ユーザー名トークン・タイプ

「図45-4 発行プロパティ: ユーザー名トークン・タイプ」の説明

表45-4に、ユーザー名トークン・タイプの発行プロパティを示します。

表45-4 発行プロパティ: ユーザー名トークン・タイプ

要素	説明
名前識別子ユーザー属性	ユーザー名トークンへのUsername要素の移入に使用される属性。
名前識別子ユーザー属性ストア	ユーザー属性ストア・タイプを選択します。 ユーザーストア コンテキスト ノート: 属性ストアが「ユーザーストア」の場合、ユーザー・レコードからの属性の取得にはLDAPが使用されます。属性ストアが「コンテキスト」の場合は、着信トークンからのデータが属性ソースとして使用されます。
パスワード属性	ユーザー名トークンへのPassword要素の移入に使用される属性。
パスワード属性ストア	パスワード属性ストア・タイプを選択します。 ユーザーストア コンテキスト ノート: 属性ストアが「ユーザーストア」の場合、ユーザー・レコードからの属性の取得にはLDAPが使用されます。属性ストアが「コンテキスト」の場合は、着信トークンからのデータが属性ソースとして使用されます。
Nonceを含める	ランダム・データからなるNonceをユーザー名トークンに含めるかどうかを示します。 デフォルト: 無効
タイムスタンプを含める	Created要素をユーザー名トークンに含めるかどうかを示します。 デフォルト: 無効

発行プロパティ: SAMLトークン・タイプ

SAML 1.1および2.0トークン・タイプには、図45-5に示す発行プロパティが必要です。

ノート:

これらのプロパティは、ユーザー名トークン・タイプのプロパティとは異なります。

図45-5 発行プロパティ: SAMLトークン・タイプ

「図45-5 発行プロパティ: SAMLトークン・タイプ」の説明

表45-5に、すべての発行プロパティをトークン・タイプ別に示します。発行プロパティが必要なのは、SAMLトークン・タイプのみです。

表45-5 発行プロパティ: SAMLトークン・タイプ

要素	説明
アサーション発行者	アサーションの発行者を表す識別子を指定します。この文字列は、このセキュリティ・トークン・サービスをアサーションの発行者として表すために使用されます。
名前識別子フォーマット	リストからフォーマットを選択した後、テキスト・フィールドに詳細を入力します。オプションには、「カスタム」、「Kerberosプリンシパル名」、「未指定」、「X509サブジェクト名」などがあります。
名前識別子修飾子	「名前識別子修飾子」として設定される文字列を含みます。
名前識別子ユーザー属性	名前識別子の値の移入に使用される属性を参照します。
名前識別子ユーザー属性ストア	ユーザーストア コンテキスト ノート: 属性ストアが「ユーザーストア」の場合、ユーザー・レコードからの属性の取得にはLDAPが使用されます。属性ストアが「コンテキスト」の場合は、着信トークンからのデータが属性ソースとして使用されます。
認証文を含める	SAML認証文をアサーションに含めるかどうかを示します。 デフォルト: 無効 ノート: このタイプの文を含めるには認証操作が必要です。着信トークンに一部の認証データが含まれ、そのデータが検証される場合、認証文が含まれます(たとえば、着信SAMLアサーションに認証文が含まれるか、ユーザー名トークンに検証済の資格証明が含まれます)。
属性文を含める	SAML属性文を送信アサーションに含めるかどうかを示します。 このタイプの文が含まれるのは、このフラグがtrueに設定され、少なくとも1つの属性が送信アサーションに含まれる場合のみです。 デフォルト: 有効 ノート: RP PPは、送信トークンに含める必要がある属性を決定します。
有効期間	トークンが有効な時間の長さ(秒)を指定します。 デフォルト: 3600 (秒)

「セキュリティ」の詳細: SAMLトークン

SAMLトークン・タイプにのみ「セキュリティ」の詳細が必要です。

図45-6を参照してください。

表45-6を参照してください。

図45-6 「セキュリティ」の詳細: SAMLトークン

「図45-6 「セキュリティ」の詳細: SAMLトークン」の説明

表45-6 「セキュリティ」の詳細: SAMLトークン

要素	説明
署名と暗号化	「署名キーストア・アクセス・テンプレートID」フィールドで参照されるキーを使用して、アサーションに署名するかどうかを示します。
アサーションの署名	アサーションが証明書でデジタル署名されるかどうかを示します。 デフォルト: 有効
署名に証明書を含める	アサーションに署名証明書が含まれるかどうかを示します。デフォルト: 有効
署名キーストア・アクセス・テンプレートID	この発行テンプレートで作成されたアサーションに署名するために使用されるキーを参照します。キー・テンプレートは、「Security Token Serviceの設定」セクションで定義されます。
暗号化された名前識別子の送信	暗号化されたトークン名識別子がデジタル・アサーション・シグネチャの一部として送信されるかどうかを示します。
サブジェクト確認
デフォルト・サブジェクト確認メソッド	リクエスタがWS-Trustリクエストでメソッドを指定しなかった場合、デフォルトで使用される「サブジェクト確認メソッド」を示します。使用可能な値は次のとおりです。 ベアラー 「公開キー」を使用するHolder of Key 「対称キー」を使用するHolder of Key 送信者保証
Holder-of-Key対称キーの計算	デフォルト: 有効 Holder of Key対称キー・データの秘密キーの作成時に、セキュリティ・トークン・サービスでランダム・データが生成されるかどうかを示します。 trueの場合、クライアントによってエントロピが指定されなければ、サーバーによって秘密キーが生成されます。それ以外の場合は、クライアントおよびサーバーのエントロピからキーが導出されます。 falseの場合、クライアント・エントロピが秘密キーとして使用されます。
RSTR証明トークンの暗号化	WS-Trustレスポンス内のリクエスタにサーバー・エントロピまたは秘密キーを返すときに、「サブジェクト確認メソッド」が「対称キー付きHolder of Key」の場合、証明トークンを暗号化する必要があるかどうかを示します。 デフォルト: 無効
Holder-of-Key対称キー生成アルゴリズム	「サブジェクト確認メソッド」が「対称キー」を使用するHolder of Keyの場合、秘密キーの作成に使用される対称キー生成アルゴリズムを選択します。

属性マッピング: SAMLトークン

トークン・タイプがSAML 1.1または2.0の場合、アサーションに含まれる属性に適用される属性マッピングおよびフィルタ・ルールを定義できます。

3種類のルールがあります。

• 属性のローカル名を別の値に変更できる属性名マッピング。たとえば、givennameをfirstnameに変更できます。

• 属性のローカル値を別の値に変換できる属性値マッピング。たとえば、PresidentをCEOに変更できます。

• 属性のローカル値をフィルタして送信アサーションに含まれないようにする属性値フィルタリング。たとえば、削除されるセンシティブ属性値もあれば、発行される属性値もあります。

関連項目:

図45-9および表45-11のトークン・マッピング属性。

表45-7 発行テンプレート: 属性マッピング、SAMLトークン

要素	説明
属性名マッピング	属性のローカル名とアサーション内のこの属性の参照に使用される名前の間のオプション・マッピングを定義します。 マッピングはオプションです。属性にマッピングが定義されていない場合は、属性のローカル名が使用され、ネームスペースがurn:oracle:security:fed:attrnamespace (SAML 1.1アサーションの場合)に設定されるか、またはフォーマットがurn:oasis:names:tc:SAML:2.0:attrname-format:basic (SAML 2.0アサーションの場合)に設定されます。 外部属性: アサーションに表示される属性の外部名を含みます。 ローカル属性: 属性のローカル名を含みます。 フォーマットまたはネームスペース: オプションのフォーマットまたはネームスペースを含みます。存在しない場合、ネームスペースがurn:oracle:security:fed:attrnamespace (SAML 1.1アサーションの場合)に設定されるか、またはフォーマットがurn:oasis:names:tc:SAML:2.0:attrname-format:basic (SAML 2.0アサーションの場合)に設定されます。
属性値マッピング	アサーションに含まれる属性の、オプションの値マッピングを定義します。 ノート: この属性値マッピングは、属性名マッピングに適用されます。属性の属性マッピングを定義するには、まずその属性の属性名マッピングを定義する必要があります。 外部属性: ローカル属性値が「ローカル属性」/「ローカルNULL」フィールドと一致する場合、アサーションに含める値が含まれます。 ローカル属性: 属性のローカル値を含みます。 外部NULL: アサーションに含まれる値をnullにするかどうか、属性のローカル値が「ローカル属性」/「ローカルNULL」フィールドと一致するかどうかを示します。 ローカルNULL: nullのローカル値を表します。 大/小文字区別なし: 属性値を「ローカル属性」フィールドと比較するときに、セキュリティ・トークン・サービスで大/小文字が区別されるかどうかを示します。
属性値フィルタ	アサーションに含まれる属性の、オプションの値フィルタリングを定義します。 ノート: この属性値フィルタリングは、属性名マッピングに適用されます。属性の属性フィルタリングを定義するには、まずその属性の属性名マッピングを定義する必要があります。 条件: 属性値がフィルタ処理されるかどうかを判断する式に関連付けられた条件を含みます。使用可能な値は、「属性値の条件フィルタ」を参照してください。 式: フィルタリング・ルールの評価に使用されるデータを含みます。 大/小文字区別なし: 属性値を式フィールドと比較するときに、セキュリティ・トークン・サービスで大/小文字が区別されるかどうかを示します。

属性値の条件フィルタ

このオプションの値フィルタリングは属性名マッピングに適用され、アサーションに含まれます。属性の属性フィルタリングを定義するには、まずその属性の属性名マッピングを定義する必要があります。「条件」は、属性値がフィルタ処理されるかどうかを判断する式に関連付けられます。使用可能な「条件」の値は次のとおりです。

• regexp: 式には正規表現が含まれ、trueと評価された場合、属性値がフィルタ処理されます。

• equals: 属性値が式フィールドに含まれるデータと一致する場合、属性値はフィルタ処理されます。

• not-equals: 属性値が式フィールドに含まれるデータと一致しない場合、属性値はフィルタ処理されます。

• not-equals: 属性値が式フィールドに含まれるデータと一致しない場合、属性値はフィルタ処理されます。

• endswith: 属性値が式フィールドに含まれるデータで終了する場合、属性値はフィルタ処理されます。

• contains: 式フィールドに含まれるデータが属性値に出現する場合、属性値はフィルタ処理されます。

• not-contains: 式フィールドに含まれるデータが属性値に出現しない場合、属性値はフィルタ処理されます。

• equals-null: 属性値がnullの場合、フィルタ処理されます。

• not-equals-null: 属性値がnull以外の場合、フィルタ処理されます。

45.3.2 トークン発行テンプレートの管理

有効なOracle Access Management管理者の資格証明を持つユーザーは、新しいトークン発行テンプレートの開発または既存のテンプレートの編集ができます。

該当しないステップはスキップしてください。次の手順では、Security Assertion Markup Language (SAML)トークンの新しいトークン発行テンプレートを作成する方法を説明します。

トークン発行テンプレートの管理のための前提条件

目的のLDAPアイデンティティ・ストアが登録され、デフォルト・ストアとして構成されていることを確認します。

関連項目:

• トークン発行テンプレートの管理について

• 既存のテンプレートの検索

新しいトークン発行テンプレートを作成するには:

1. Oracle Access Managementコンソールで、ウィンドウの上部にある「フェデレーション」をクリックします。

2. 「フェデレーション」コンソールで、「Security Token Service」セクションの「表示」メニューから「トークン発行テンプレート」を選択します。

3. 新しいトークン発行テンプレート:

   1. 右上隅にある「新規発行テンプレート」ボタンをクリックします(または「検索結果」表の上にある「追加」(+)ボタンをクリックします)。

   2. 一般: このテンプレートの一般情報を定義します。

      表45-3を参照してください。

   3. 「保存」をクリックし、確認ウィンドウを閉じます(または保存せずに「取消」をクリックします)。

   4. ユーザー名トークン・タイプ: このテンプレートの発行パラメータを定義します。

      表45-4を参照してください

   5. SAMLトークン・タイプ: このテンプレートのパラメータを定義します。

      表45-5を参照してください。

      表45-6を参照してください。

      表45-7を参照してください。

   6. 「適用」をクリックします(または保存せずに「元に戻す」をクリックします)。

   7. 定義を閉じます。

4. 既存のテンプレートを検索: 「トークン発行テンプレート」ページから、次の手順を実行します。

   1. すべて検索: 結果表を確認します。「発行テンプレート」ページにアクセスすると、デフォルトですべてのテンプレートが返されます。

   2. 検索の絞込み: 検索基準を指定し、「検索」ボタンをクリックして結果表を確認します。

      表45-1を参照してください。

   3. 検索フォームのリセット: 「リセット」ボタンをクリックします。

5. テンプレートの編集: 作成した保存済のページから編集を開始します。

   あるいは、ステップ3を使用して目的のテンプレートを検索し、「検索結果」表で名前をクリックし、定義を表示します。

   1. 必要に応じて詳細を編集します。

   2. ページの上部にある「適用」ボタンをクリックし、変更を送信します(または「元に戻す」をクリックして変更を取り消します)。

6. テンプレートの削除:

   1. 「検索結果」表の目的の名前をクリックし、削除する項目を選択します。

   2. 「アクション」メニューの「削除」をクリックします(または、表の上にある「削除」(X)コマンド・ボタンをクリックします)。

   3. 確認ウィンドウで「削除」ボタンをクリックします(または「いいえ」をクリックして操作を取り消します)。