45.9 セキュリティ・トークン・サービス・カスタム構成の管理

次の各タスクでは、セキュリティ・トークン・サービスのカスタム構成の管理方法について説明します。

45.9.1 検証テンプレートの作成

有効なOracle Access Management管理者の資格証明を持つユーザーは、Webservice Trustのトークン・プロトコルを設定して検証テンプレートを作成し、トークンをリクエスタにマップできます。

この例のテンプレートは、この章で前述したモジュール・クラスに使用できます。次の各図では、実装の完全な詳細を示しています。これらを確認する際に、このテンプレートの仕様がモジュール・クラス・コードを参照する仕組みに注意してください。

図45-18 一般的な詳細: email-wstrust-valid-temp

「図45-18 一般的な詳細: email-wstrust-valid-temp」の説明

図45-19 トークン・マッピング: email-wstrust-valid-temp

「図45-19 トークン・マッピング: email-wstrust-valid-temp」の説明

カスタム・モジュール・クラスの検証テンプレートを作成するには、次のようにします。

Oracle Access Managementコンソールで、ウィンドウの上部にある「フェデレーション」をクリックします。
「Security Token Service」セクションの「作成」(+)ドロップダウン・メニューから、「トークン検証テンプレートの作成」を選択します。
一般: カスタム・トークンで使用する次のものを設定します。
検証テンプレート名: email-wstrust-valid-temp

トークン・プロトコル: Webservice Trust

トークン・タイプ: email

デフォルト・パートナ・プロファイル: requester-profile

カスタム検証属性: test: hello
トークン・マッピング: この章のカスタム・トークンで使用する次のものを設定します。
「トークンの宛先ユーザーのマップ」の隣のボックスを選択します(有効化)。

「簡易ユーザー・マッピングの有効化」の隣のボックスを選択し、次を入力します。
- ユーザー・トークン属性: STS_SUBJECT_ID
- データストア属性: mail
「保存」をクリックし、確認ウィンドウを閉じます。
次に進みます。
「カスタム・トークンの発行テンプレートの作成」を参照してください。

45.9.2 カスタム・トークンの発行テンプレートの作成

有効なOracle Access Management管理者の資格証明を持つユーザーは、トークン発行テンプレートを作成できます。

これはサーバー側の構成です。各トークン発行テンプレートは、トークンの構成方法およびトークン構成時に使用する署名または暗号化を示します。また、各トークン発行テンプレートは、データのマッピングおよびフィルタリングのためにアウトバウンド・トークンの一部として送信される属性を定義します。ただし、発行テンプレートには、リライイング・パーティ・パートナ・プロファイルで定義されたマッピングまたはフィルタリング・ルールはリストされません。

この例のテンプレートは、前述した電子メール・カスタム・トークンに使用できます。実装の詳細を次の各図に示しており、付け加えられた手順で説明しています。これらを確認する際に、このテンプレートの仕様がモジュール・クラス・コードを参照する仕組みを確認できます。

図45-20 一般的な詳細: email-issuance-temp

「図45-20 一般的な詳細: email-issuance-temp」の説明

カスタム・トークン・タイプをデプロイした場合、発行プロパティはカスタム・トークンにあわせて調整されます。たとえば、カスタム電子メール・トークン・タイプが発行テンプレートに対して選択されます。

図45-21を参照してください。

図45-21 発行プロパティ: email-issuance-temp

「図45-21 発行プロパティ: email-issuance-temp」の説明

この手順では、この章のカスタム・モジュール・クラスのコンパニオン発行テンプレートを作成します。この例の場合、次のようになります。

カスタム・トークンタイプ: 電子メールでは使用されないトークン暗号化アルゴリズムは無視します。
カスタム・トークン・コードから移入されるカスタム・トークン属性の値を入力します。

45.9.3 カスタム・トークンをリクエスタ・プロファイルに追加

既存のリクエスタ・プロファイルを編集してカスタム・トークンを「トークン・タイプ構成」表に追加するか、新規リクエスタ・プロファイルを作成してカスタム・トークンで使用できます。

どちらの方法も、次を構成します。

トークン・タイプ: email (カスタム・トークン)
検証テンプレート: email-wstrust-valid-temp

45.9.3.1 カスタム・トークンをリクエスタ・プロファイルに追加するための前提条件

カスタム・トークンおよび検証テンプレートを定義する必要があります。

45.9.3.2 カスタム・トークンのリクエスタ・プロファイルの追加または編集

「Security Token Service」セクションからカスタム・トークンのリクエスタ・プロファイルを追加または編集できます。

リクエスタ・プロファイルを追加または編集するには、次のようにします。

Oracle Access Managementコンソールの起動パッドで、ウィンドウの上部にある「フェデレーション」をクリックします。
「Security Token Service」セクションの「表示」メニューから、「パートナ・プロファイル」を選択します。
「リクエスタ・プロファイル」タブを選択します。
既存のプロファイル:
1. リクエスタ・プロファイル・ページの「検索結果」表で、目的のプロファイルの名前をクリックします。
2. トークンと属性: この章のカスタム・トークンについて次の詳細を入力し、ページ上部の「保存」ボタンをクリックします。
  - トークン・タイプ: email
  - 検証テンプレート: email-wstrust-valid-temp
3. 「保存」をクリックし、確認ウィンドウを閉じてから、ページを閉じます(または「取消」をクリックして、送信せずにページを閉じます)。
4. 次のように進めます。
  
  「カスタム・トークンをリクエスタ・プロファイルに追加」を参照してください。
新規プロファイル: 「新規リクエスタ・プロファイル」ボタンをクリックして、詳細を入力するための「新規パートナ・プロファイル」ページを表示します。
1. 一般: この章のカスタム・トークンについて次の詳細を入力し、ページ上部の「次」ボタンをクリックします。
  - プロファイルID: unique_requesterprofile_name
  - デフォルト・リライイング・パーティ・プロファイル: unique_relyingparty_name
2. トークン・タイプ構成の追加: この章のカスタム・トークンについて次の詳細を入力し、ページ上部の「保存」ボタンをクリックします。
  - トークン・タイプ: email
  - 検証テンプレート: email-wstrust-valid-temp
3. 次のように進めます。
  
  「カスタム・トークンをリクエスタ・プロファイルに追加」を参照してください。

45.9.4 カスタム・トークンをリライイング・パーティ・プロファイルに追加

既存のリライイング・パーティ・プロファイルを編集するか、デフォルトでカスタム・トークンを発行するプロファイルを新規作成し、発行テンプレートおよび関連情報を参照できます。

どちらの方法も、次を構成します。

発行するデフォルト・トークン: email (カスタム・トークン)
発行テンプレート: email-issuance-temp

45.9.4.1 カスタム・トークンをリライイング・パーティ・プロファイルに追加するための前提条件

カスタム・トークンおよび発行テンプレートを定義する必要があります。

45.9.4.2 カスタム・モジュールのリクエスタ・プロファイルの編集

「Security Token Service」セクションを使用してカスタム・モジュールのリクエスタ・プロファイルを編集できます。

リクエスタ・プロファイルを編集するには、次のようにします。

Oracle Access Managementコンソールの起動パッドで、ウィンドウの上部にある「フェデレーション」をクリックします。
「Security Token Service」セクションの「表示」メニューから、「パートナ・プロファイル」を選択します。
「リライイング・パーティ・プロファイル」タブを選択します。
既存のプロファイル:
1. リライイング・パーティ・プロファイル・ページの「検索結果」表で、目的のプロファイルの名前をクリックします。
2. 「トークンと属性」タブをクリックします。
3. トークン・タイプ構成: 「トークン・タイプ構成」表の上の「追加」(+)ボタンをクリックし、次の詳細を入力します。
  - トークン・タイプ: email
  - 発行テンプレート: email-issuance-temp
4. 属性: 「属性」表の上にある「追加」(+)ボタンをクリックし、次の内容を定義します。
  - 属性名: mail
  - ストア・タイプ: Userstore
  - トークンに含める: (選択して有効化)
  - 暗号化(空白のまま)
  - 値(空白のまま)
5. 「適用」をクリックし、確認ウィンドウを閉じてから、ページを閉じます(または「取消」をクリックして、送信せずにページを閉じます)。
新規プロファイル: 「新規リライング・パーティ・プロファイル」ボタンをクリックし、詳細を入力する「新規パートナ・プロファイル」ページを表示します。
1. 一般: この章のカスタム・トークンについて次の詳細を入力し、ページ上部の「次」ボタンをクリックします。
  - プロファイルID: unique_relyingparty-name
  - デフォルト・トークン: email
2. 「トークンと属性」タブをクリックし、ステップ2cおよび2dを実行してから「適用」をクリックします。

45.9.5 トークンをリクエスタにマップ

ユーザー名検証テンプレート(username-wss-valid-template)がない場合、Oracle Access Managementコンソールを使用して、トークンをリクエスタにマップするテンプレートを作成します。

検証テンプレート名: username-wss-valid-template

トークン・タイプ: ユーザー名

次のように進めます。

「/wssuserエンドポイントの作成」を参照してください。

45.9.6 /wssuserエンドポイントの作成

/wssuserエンドポイントを作成する場合、この手順を実行する必要があります。

45.9.6.1 /wssuserエンドポイントを作成するための前提条件

「トークンをリクエスタにマップ」を参照してください。

45.9.6.2 エンドポイントの作成

「Security Token Service」セクションを使用してエンドポイントを作成できます。

エンドポイントを作成するには:

「Oracle Access Managementコンソール」起動パッドで、ウィンドウの上部にある「フェデレーション」をクリックします。
「Security Token Service」セクションの「表示」ドロップダウン・メニューから、「エンドポイント」を選択します。
新規エンドポイント:
1. 表の上にある「追加」(+)ボタンをクリックします(または「アクション」メニューから「新規エンドポイント」を選択します)。
2. 新規エンドポイントURIを入力します(/wssuser)。
3. Oracle WSMポリシー(sts/wss_username_service_policy)を選択します。
4. 検証テンプレートを選択します(username-wss-validation-template)。
5. 「適用」をクリックして定義を送信し、確認ウィンドウを閉じます(または「元に戻す」をクリックして、定義を送信せずにページを閉じます)。
6. ページを閉じます。