41.2 セキュリティ・トークン・サービスの使用

各管理対象サーバーは、通信チャネルをオープンするためにAccess Managerに登録する必要があります。Security Token Serviceでは、共有サービスの共通インフラストラクチャおよびAccess Manager 11g管理モデルが利用されます。すべてのSecurity Token Serviceシステムは、Oracle Access Managementコンソールを使用して構成され、統一された一貫性のある管理機能を提供します。また、セキュリティ・トークン・サービスは、サード・パーティのセキュリティ・トークン・サービスと相互運用します。

Security Token ServiceはAccess Managerに準拠し、Access Managerと共存します(トークンをリクエストするWebクライアントのプライマリ・オーセンティケータとしてAccess Managerを使用)。セキュリティ・トークン・サービスはOracle Web Services Managerエージェントも使用します。Webゲートは、アイデンティティ伝播用のエージェントとして使用されます。Webゲートは、通信チャネルをオープンするためにAccess Manager 11gに登録する必要があります。Security Token Serviceは次の処理を実行します。

• STS監査イベントを統合

• Oracle Access ManagementコンソールおよびWLSTスクリプトにおいて、使用可能なSecurity Token Serviceのメソッドを公開してパートナのデータを管理

• Security Token Serviceのユースケースおよび構成モデルに固有の検証操作を実行

ノート:

Security Token Serviceでは、診断、モニタリング、監査および高可用性のためのフレームワーク、ガイドラインおよび手法について、Oracle Access Management 11gで使用されているものと同じものが採用されています。

「ロギング、監査、レポートおよびパフォーマンスのモニタリング」を参照してください。

セキュリティ・トークン・サービス11gのインフラストラクチャは、表41-1で説明します。

表41-1 セキュリティ・トークン・サービス11gのインフラストラクチャ

コンポーネント	説明
デフォルト信頼キーストア	署名/暗号化に使用されるSecurity Token Serviceの秘密キーは、Access Managerで使用される共通キーストアに格納されます。Security Token ServiceおよびAccess Managerでは、共通インフラストラクチャ証明書検証モジュールが使用されます。証明書の検証中に使用される信頼できる証明書および証明書失効リスト(CRL)は、信頼キーストアおよびCRLのZIPファイルに格納されます。Security Token Serviceの構成には、OCSP/CDPの設定が格納されます。 トークン・セキュリティ・キー・ペアは、Access Manager/Security Token Serviceキーストアに移入されます。 ノート: Oracle WSMエージェントをセキュリティ・トークン・サービスの実装でWS_Trustとして使用しているときは、常にOracle WSMエージェント・キーストアとセキュリティ・トークン・サービス/Access Managerキーストアを別々に使用することを強くお薦めします。この2つをマージしないでください。そのようにしないと、Access Manager/Security Token ServiceキーがOPSSによって認可された任意のモジュールでキーストアへのアクセスに使用できるようになり、Access Managerキーがアクセスされる可能性があります。 関連項目: Access Managerキーストア。
デフォルトのユーザー・アイデンティティ・ストア	Security Token Serviceでは、Oracle Access Managementコンソールの「システム構成」の「共通構成」セクションから構成されたユーザー・アイデンティティ・ストアに対してユーザーを認証およびマップします。Security Token Serviceは、着信トークンをデフォルト・ユーザー・アイデンティティ・ストアのユーザー・レコードおよびユーザー属性にマッピングし、これがAccess ManagerとSecurity Token Serviceの両方と連動します。 関連項目: ユーザー・アイデンティティのシステム・ストアの使用について。
証明書	Security Token Serviceによって使用される証明書は自己署名済です。サブジェクトと発行者のフィールドは同一です。追加設定なしで、Security Token ServiceをホストするOAMサーバーは一意に識別されます。 Security Token Serviceで使用されるキーと証明書はインストール中に生成されます。サブジェクトと発行者のフィールドは、ホスト名にリンクされます。これは、Security Token Serviceで使用される署名キー、暗号化キーおよび証明書の他、Access Managerを保護するOWSMエージェントで使用されるキー/証明書にも適用されます。OWSMエージェントは、Security Token Serviceとの通信に使用可能な、認定されたWS-Trustクライアントです。 SAML発行者の設定は、ローカル・コンピュータのホスト名を参照するために構成します。 これにより、暗号化のデータおよび識別子に関して、2つのサーバーが同一ではないことが確認されます。サード・パーティ・モジュールにより一方のサーバーに付与された信頼は、識別子と暗号キーが異なるため、他方のサーバーには付与されません。同一のキー、同一の識別子がない場合、認可ポリシーは拒否モードです。
Oracle Coherence	Security Token Serviceは、Oracle Coherenceモジュールと統合され、Security Token Serviceのすべての物理インスタンス間でWS-Trustのランタイム・データが格納および共有されます。UserNameToken Nonceは、Coherenceストアに格納されます。この実装では、Security Token Service以外では一般的ではない次の要件がサポートされます。 タイムアウト・レコードのクリーン・アップ レコードの生存を数分に制限(30未満)