Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
証明書検証には信頼アンカー・ストア(.amtruststore)が必要です。
セキュリティ・トークン・サービスの証明書検証の条件(OSTS証明書検証条件)
X.509
X.509v3
PKCS#7
SAMLアサーションを検証する必要があります。
セキュリティ・トークン・サービスはSAML発行局の署名証明書を検証するように構成されます。
表44-4に、検証が成功するための要件を示します。
表44-4 証明書検証が成功するための要件
証明書が次の状態であること | 方法 |
---|---|
信頼できるアンカーにリンクされていること: |
|
取り消されていないこと:
|
証明書の取消ステータスは、次のものを確認することで判断できます。
|
このストアおよび検証を管理するには、次のタスクを実行する必要があります。
信頼アンカー・キーストアは、keytoolコマンドを使用して管理されます。
キーストアに追加された証明書は、証明書検証モジュールによって検出されます。
ノート:
通知はJMX通知フレームワークを使用して実行されますが、通知のリフレッシュ時間(デフォルトでは60秒)に応じて時間を要する場合があります。
信頼アンカー・ストア(amtruststore)を管理するための前提条件
「システム・キーストア(.oamkeystore)および信頼キーストア(amtruststore)のパスワードのリセット」を参照してください。
信頼アンカー・ストア(amtruststore)を管理するには、次のようにします。
Security Token Serviceの構成には、OCSP/CDPの設定が格納されます。証明書の失効ステータスを確認し、次の操作を実行するために証明書失効リスト(CRL)を追加または削除できます。
「証明書の検証と失効」を参照してください。
証明書検証および失効リストを管理するには、次のタスクを実行する必要があります。
Oracle Access Managementコンソールの「システム構成」タブの「共通構成」セクションから、「証明書検証」を選択します。
「証明書失効リスト機能の有効化」を参照してください。
「OCSP証明書検証の有効化」を参照してください。
「CRL配布ポイント拡張機能の有効化」を参照してください。
オプションで、特定のデプロイメントにAccess Managerの信頼アンカーとは別の信頼アンカーのセットが必要な場合、別のキーストアをセキュリティ・トークン・サービスの信頼できる証明書ストアとして構成できます。
これを実行するには、管理者が次のタスクを実行しておく必要があります。
ノート:
信頼できる証明書のカスタム・キーストアをデプロイできます。
カスタム・キーストアをデプロイするには、次のようにします。