Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
11gリリース2 (11.1.2.3)が提供するプラグインを使用すると、フェデレーテッドSSO操作時に存在しないアイデンティティを必要に応じてプロビジョニングできます。
次の各トピックでは、プロビジョニング・プラグインの使用方法について説明します。
フェデレーテッドSSOトランザクションが開始されると、処理フローは次のようになります。
IdPがユーザーを認証し、アサーションをOracle Access Management Identity Federationに送信します。
SPとして動作するIdentity Federationがユーザーをローカル・アイデンティティ・ストアにマップします。
ユーザーがローカル・ストアに存在しない場合、マッピングは失敗します。
このような問題を解決するには、トランザクションを継続できるようにユーザーをプロビジョニングする必要があります。
アイデンティティ・マッピングの失敗を処理するために、Identity Federationでは、アイデンティティ・ストアに存在しないユーザーをプロビジョニングするためのプラグイン(デフォルト・プロビジョニング・プラグインと呼ばれる)を設定する機能をサポートしています。これにより、フェデレーテッド・シングル・サインオンの続行が可能になります。
ユーザーは、IdPパートナに関連付けられたアイデンティティ・ストア内にプロビジョニングされます。次の項で説明するように、プラグインのプロビジョニングで使用される属性のリストを指定できます。
このデフォルト・プロビジョニング・プラグインは、プラグイン構成インタフェースから有効にできます。
デフォルト・プロビジョニング・プラグインを使用するには、次のようにします。
Identity Federationでは、カスタム・プロビジョニング・プラグインを使用することもできます。
デフォルト・プラグインからカスタム・プラグインに切り替えるには、『Oracle Fusion Middleware Oracle Access Management開発者ガイド』の「カスタム・ユーザー・プロビジョニング・プラグインの開発」のガイドラインに従います。
カスタム・プラグインを使用する場合、WLSTコマンドを使用してプラグイン名を設定します。
putStringProperty("/fedserverconfig/userprovisioningplugin","CustomPlugin")