40.6 デフォルト・アイデンティティ・プロビジョニング・プラグインの使用

11gリリース2 (11.1.2.3)が提供するプラグインを使用すると、フェデレーテッドSSO操作時に存在しないアイデンティティを必要に応じてプロビジョニングできます。

次の各トピックでは、プロビジョニング・プラグインの使用方法について説明します。

• プロビジョニング・プラグインを使用する理由

• デフォルト・プロビジョニング・プラグインについて

• デフォルト・プロビジョニング・プラグインの使用

• カスタム・プロビジョニング・プラグインへの切替え

40.6.1 プロビジョニング・プラグインを使用する理由

フェデレーテッドSSOトランザクションが開始されると、処理フローは次のようになります。

1. IdPがユーザーを認証し、アサーションをOracle Access Management Identity Federationに送信します。

2. SPとして動作するIdentity Federationがユーザーをローカル・アイデンティティ・ストアにマップします。

3. ユーザーがローカル・ストアに存在しない場合、マッピングは失敗します。

このような問題を解決するには、トランザクションを継続できるようにユーザーをプロビジョニングする必要があります。

40.6.2 デフォルト・プロビジョニング・プラグインについて

アイデンティティ・マッピングの失敗を処理するために、Identity Federationでは、アイデンティティ・ストアに存在しないユーザーをプロビジョニングするためのプラグイン(デフォルト・プロビジョニング・プラグインと呼ばれる)を設定する機能をサポートしています。これにより、フェデレーテッド・シングル・サインオンの続行が可能になります。

ユーザーは、IdPパートナに関連付けられたアイデンティティ・ストア内にプロビジョニングされます。次の項で説明するように、プラグインのプロビジョニングで使用される属性のリストを指定できます。

40.6.3 デフォルト・プロビジョニング・プラグインの使用

このデフォルト・プロビジョニング・プラグインは、プラグイン構成インタフェースから有効にできます。

デフォルト・プロビジョニング・プラグインを使用するには、次のようにします。

1. プラグイン構成インタフェースからFedUserProvisioningPluginを選択します。
2. 「構成パラメータ」タブで、次のパラメータを設定します。

   • KEY_USER_RECORD_ATTRIBUTE_LIST: ユーザーのプロビジョニングで使用される属性のリストです。この属性はアサーションの一部として使用できます。例: mail、givenname。(オプション)

   • KEY_PROVIDERID_ATTRIBUTE_NAME: 実行時にIdentity Federationがテナント名を移入する、アイデンティティ・ストア内のテナントID属性の名前です。(オプション)

   • KEY_USERID_ATTRIBUTE_NAME: アサーション属性のuserid値に使用される属性名です。(オプション)

3. 次のWLSTコマンドを実行して、デフォルト・プラグインによるユーザー・プロビジョニングを有効にします。

   putBooleanProperty("/fedserverconfig/userprovisioningenabled","true")

40.6.4 カスタム・プロビジョニング・プラグインへの切替え

Identity Federationでは、カスタム・プロビジョニング・プラグインを使用することもできます。

デフォルト・プラグインからカスタム・プラグインに切り替えるには、『Oracle Fusion Middleware Oracle Access Management開発者ガイド』の「カスタム・ユーザー・プロビジョニング・プラグインの開発」のガイドラインに従います。

カスタム・プラグインを使用する場合、WLSTコマンドを使用してプラグイン名を設定します。

putStringProperty("/fedserverconfig/userprovisioningplugin","CustomPlugin")