Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
次の各タスクでは、セキュリティ・トークン・サービスのカスタム構成の管理方法について説明します。
有効なOracle Access Management管理者の資格証明を持つユーザーは、Webservice Trustのトークン・プロトコルを設定して検証テンプレートを作成し、トークンをリクエスタにマップできます。
この例のテンプレートは、この章で前述したモジュール・クラスに使用できます。次の各図では、実装の完全な詳細を示しています。これらを確認する際に、このテンプレートの仕様がモジュール・クラス・コードを参照する仕組みに注意してください。
カスタム・モジュール・クラスの検証テンプレートを作成するには、次のようにします。
有効なOracle Access Management管理者の資格証明を持つユーザーは、トークン発行テンプレートを作成できます。
これはサーバー側の構成です。各トークン発行テンプレートは、トークンの構成方法およびトークン構成時に使用する署名または暗号化を示します。また、各トークン発行テンプレートは、データのマッピングおよびフィルタリングのためにアウトバウンド・トークンの一部として送信される属性を定義します。ただし、発行テンプレートには、リライイング・パーティ・パートナ・プロファイルで定義されたマッピングまたはフィルタリング・ルールはリストされません。
この例のテンプレートは、前述した電子メール・カスタム・トークンに使用できます。実装の詳細を次の各図に示しており、付け加えられた手順で説明しています。これらを確認する際に、このテンプレートの仕様がモジュール・クラス・コードを参照する仕組みを確認できます。
カスタム・トークン・タイプをデプロイした場合、発行プロパティはカスタム・トークンにあわせて調整されます。たとえば、カスタム電子メール・トークン・タイプが発行テンプレートに対して選択されます。
図45-21を参照してください。
この手順では、この章のカスタム・モジュール・クラスのコンパニオン発行テンプレートを作成します。この例の場合、次のようになります。
カスタム・トークンタイプ: 電子メールでは使用されないトークン暗号化アルゴリズムは無視します。
カスタム・トークン・コードから移入されるカスタム・トークン属性の値を入力します。
関連項目:
Oracle Fusion Middleware Oracle Access Management管理者ガイド
カスタム・モジュール・クラスの発行テンプレートを作成するには、次のようにします。
Oracle Access Managementコンソールで、ウィンドウの上部にある「フェデレーション」をクリックします。
「Security Token Service」セクションの「表示」メニューから、「トークン発行テンプレート」を選択します。
新しいトークン発行テンプレート:
右上隅にある「新規発行テンプレート」ボタンをクリックします(または、「検索結果」表の上にある「追加」(+)コマンド・ボタンをクリックします)。
一般: この章でカスタム・トークンに使用する次のものを設定します。
「保存」をクリックし、確認ウィンドウを閉じます(または保存せずに「取消」をクリックします)。
発行プロパティ: この章でカスタム・トークンに使用する次のものを設定します。
「適用」をクリックし、確認ウィンドウを閉じます(または「元に戻す」をクリックして保存せずに閉じます)。
定義を閉じます(またはステップ4の説明に従って定義を編集します)。
テンプレートの編集: 目的のテンプレートを見つけて、詳細を編集し、「適用」をクリックします。
既存のリクエスタ・プロファイルを編集してカスタム・トークンを「トークン・タイプ構成」表に追加するか、新規リクエスタ・プロファイルを作成してカスタム・トークンで使用できます。
どちらの方法も、次を構成します。
トークン・タイプ: email (カスタム・トークン)
検証テンプレート: email-wstrust-valid-temp
「Security Token Service」セクションからカスタム・トークンのリクエスタ・プロファイルを追加または編集できます。
リクエスタ・プロファイルを追加または編集するには、次のようにします。
Oracle Access Managementコンソールの起動パッドで、ウィンドウの上部にある「フェデレーション」をクリックします。
「Security Token Service」セクションの「表示」メニューから、「パートナ・プロファイル」を選択します。
「リクエスタ・プロファイル」タブを選択します。
既存のプロファイル:
リクエスタ・プロファイル・ページの「検索結果」表で、目的のプロファイルの名前をクリックします。
トークンと属性: この章のカスタム・トークンについて次の詳細を入力し、ページ上部の「保存」ボタンをクリックします。
email
email-wstrust-valid-temp
「保存」をクリックし、確認ウィンドウを閉じてから、ページを閉じます(または「取消」をクリックして、送信せずにページを閉じます)。
次のように進めます。
「カスタム・トークンをリクエスタ・プロファイルに追加」を参照してください。
新規プロファイル: 「新規リクエスタ・プロファイル」ボタンをクリックして、詳細を入力するための「新規パートナ・プロファイル」ページを表示します。
一般: この章のカスタム・トークンについて次の詳細を入力し、ページ上部の「次」ボタンをクリックします。
unique_requesterprofile_name
unique_relyingparty_name
トークン・タイプ構成の追加: この章のカスタム・トークンについて次の詳細を入力し、ページ上部の「保存」ボタンをクリックします。
email
email-wstrust-valid-temp
次のように進めます。
「カスタム・トークンをリクエスタ・プロファイルに追加」を参照してください。
既存のリライイング・パーティ・プロファイルを編集するか、デフォルトでカスタム・トークンを発行するプロファイルを新規作成し、発行テンプレートおよび関連情報を参照できます。
どちらの方法も、次を構成します。
発行するデフォルト・トークン: email (カスタム・トークン)
発行テンプレート: email-issuance-temp
「Security Token Service」セクションを使用してカスタム・モジュールのリクエスタ・プロファイルを編集できます。
リクエスタ・プロファイルを編集するには、次のようにします。
Oracle Access Managementコンソールの起動パッドで、ウィンドウの上部にある「フェデレーション」をクリックします。
「Security Token Service」セクションの「表示」メニューから、「パートナ・プロファイル」を選択します。
「リライイング・パーティ・プロファイル」タブを選択します。
既存のプロファイル:
リライイング・パーティ・プロファイル・ページの「検索結果」表で、目的のプロファイルの名前をクリックします。
「トークンと属性」タブをクリックします。
トークン・タイプ構成: 「トークン・タイプ構成」表の上の「追加」(+)ボタンをクリックし、次の詳細を入力します。
email
email-issuance-temp
属性: 「属性」表の上にある「追加」(+)ボタンをクリックし、次の内容を定義します。
Userstore
(選択して有効化)
「適用」をクリックし、確認ウィンドウを閉じてから、ページを閉じます(または「取消」をクリックして、送信せずにページを閉じます)。
新規プロファイル: 「新規リライング・パーティ・プロファイル」ボタンをクリックし、詳細を入力する「新規パートナ・プロファイル」ページを表示します。
一般: この章のカスタム・トークンについて次の詳細を入力し、ページ上部の「次」ボタンをクリックします。
unique_relyingparty-name
email
「トークンと属性」タブをクリックし、ステップ2cおよび2dを実行してから「適用」をクリックします。
ユーザー名検証テンプレート(username-wss-valid-template)がない場合、Oracle Access Managementコンソールを使用して、トークンをリクエスタにマップするテンプレートを作成します。
/wssuserエンドポイントを作成する場合、この手順を実行する必要があります。
「Security Token Service」セクションを使用してエンドポイントを作成できます。
エンドポイントを作成するには:
「Oracle Access Managementコンソール」起動パッドで、ウィンドウの上部にある「フェデレーション」をクリックします。
「Security Token Service」セクションの「表示」ドロップダウン・メニューから、「エンドポイント」を選択します。
新規エンドポイント:
表の上にある「追加」(+)ボタンをクリックします(または「アクション」メニューから「新規エンドポイント」を選択します)。
新規エンドポイントURIを入力します(/wssuser)。
Oracle WSMポリシー(sts/wss_username_service_policy)を選択します。
検証テンプレートを選択します(username-wss-validation-template)。
「適用」をクリックして定義を送信し、確認ウィンドウを閉じます(または「元に戻す」をクリックして、定義を送信せずにページを閉じます)。
ページを閉じます。