Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
Security Token ServiceはAccess Managerに準拠し、Access Managerと共存します(トークンをリクエストするWebクライアントのプライマリ・オーセンティケータとしてAccess Managerを使用)。セキュリティ・トークン・サービスはOracle Web Services Managerエージェントも使用します。Webゲートは、アイデンティティ伝播用のエージェントとして使用されます。Webゲートは、通信チャネルをオープンするためにAccess Manager 11gに登録する必要があります。Security Token Serviceは次の処理を実行します。
STS監査イベントを統合
Oracle Access ManagementコンソールおよびWLSTスクリプトにおいて、使用可能なSecurity Token Serviceのメソッドを公開してパートナのデータを管理
Security Token Serviceのユースケースおよび構成モデルに固有の検証操作を実行
ノート:
Security Token Serviceでは、診断、モニタリング、監査および高可用性のためのフレームワーク、ガイドラインおよび手法について、Oracle Access Management 11gで使用されているものと同じものが採用されています。
「ロギング、監査、レポートおよびパフォーマンスのモニタリング」を参照してください。
セキュリティ・トークン・サービス11gのインフラストラクチャは、表41-1で説明します。
表41-1 セキュリティ・トークン・サービス11gのインフラストラクチャ
コンポーネント | 説明 |
---|---|
デフォルト信頼キーストア |
署名/暗号化に使用されるSecurity Token Serviceの秘密キーは、Access Managerで使用される共通キーストアに格納されます。Security Token ServiceおよびAccess Managerでは、共通インフラストラクチャ証明書検証モジュールが使用されます。証明書の検証中に使用される信頼できる証明書および証明書失効リスト(CRL)は、信頼キーストアおよびCRLのZIPファイルに格納されます。Security Token Serviceの構成には、OCSP/CDPの設定が格納されます。 トークン・セキュリティ・キー・ペアは、Access Manager/Security Token Serviceキーストアに移入されます。 ノート: Oracle WSMエージェントをセキュリティ・トークン・サービスの実装でWS_Trustとして使用しているときは、常にOracle WSMエージェント・キーストアとセキュリティ・トークン・サービス/Access Managerキーストアを別々に使用することを強くお薦めします。この2つをマージしないでください。そのようにしないと、Access Manager/Security Token ServiceキーがOPSSによって認可された任意のモジュールでキーストアへのアクセスに使用できるようになり、Access Managerキーがアクセスされる可能性があります。 関連項目: Access Managerキーストア。 |
デフォルトのユーザー・アイデンティティ・ストア |
Security Token Serviceでは、Oracle Access Managementコンソールの「システム構成」の「共通構成」セクションから構成されたユーザー・アイデンティティ・ストアに対してユーザーを認証およびマップします。Security Token Serviceは、着信トークンをデフォルト・ユーザー・アイデンティティ・ストアのユーザー・レコードおよびユーザー属性にマッピングし、これがAccess ManagerとSecurity Token Serviceの両方と連動します。 |
証明書 |
Security Token Serviceによって使用される証明書は自己署名済です。サブジェクトと発行者のフィールドは同一です。追加設定なしで、Security Token ServiceをホストするOAMサーバーは一意に識別されます。
これにより、暗号化のデータおよび識別子に関して、2つのサーバーが同一ではないことが確認されます。サード・パーティ・モジュールにより一方のサーバーに付与された信頼は、識別子と暗号キーが異なるため、他方のサーバーには付与されません。同一のキー、同一の識別子がない場合、認可ポリシーは拒否モードです。 |
Oracle Coherence |
Security Token Serviceは、Oracle Coherenceモジュールと統合され、Security Token Serviceのすべての物理インスタンス間でWS-Trustのランタイム・データが格納および共有されます。UserNameToken Nonceは、Coherenceストアに格納されます。この実装では、Security Token Service以外では一般的ではない次の要件がサポートされます。
|