Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
専用の署名証明書を必要とするサービス・プロファイルに対して、それぞれ別々のキーストアを作成します。この項の内容は次のとおりです。
DefaultDomainに作成されたデフォルトのサービス・プロファイル(OAuthServiceProfile)では、Oracle Access Managementに組み込まれているJavaキーストア(JKS)を使用します。
サービス・プロファイルの役割は、「サービス・プロファイル - Identity FederationおよびOAuthサービス」を参照してください。OAuthServiceProfileは次のファイルから構成されています。
表53-6 デフォルトOAuth JKSキーストア・ファイルおよび設定ファイル
ファイル | パス |
---|---|
JKSキーストア・ファイル |
|
キーストア設定ファイル |
|
ノート:
Oracle Web Services Managerは、default-keystore.jks
サービスも使用します。詳細は、「Oracle Web Services Managerのキーストア(default-keystore.jks)について」を参照してください。
次のJava keytool
コマンドを使用して、デフォルト・キーストア(default-keystore.jks
)内のすべての秘密キーと証明書の情報を一覧にすることができます。
keytool -list -keystore default-keystore.jks
ノート:
キーストアの変更は自動的にリフレッシュされないため、新しいキーがOAMキーストアに追加されたら、OAMサーバーを再起動する必要があります。
Oracle Enterprise Manager Fusion Middleware Controlコンソールでキーストア資格証明を検索できます。
キーストア資格証明を検索するには、次のようにします。
サービス・プロファイル用にデフォルト以外のキーストアを作成できます。
この項のステップは、次のとおりです。
ノート:
この手順で変更を行った場合は、OAMサーバーを再起動する必要があります。
Java JDKとともに配布されるkeytool
ユーティリティを使用して、新しいJavaキーストア(JKS)を作成できます。
新しいJKSを作成するには、次のようにします。
OAMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成して資格証明ストアを更新できます。
jps-config.xml
キーストア設定ファイルにて、<serviceInstances>
エレメントに次の新規キーストア・サービス・インスタンスを追加します。
WLSTコマンドを使用して、必要な資格証明ストア・フレームワーク(CSF)エントリを作成できます。
WLSTコマンドは次のとおりです。完了したらサーバーを再起動します。
createCred(map="oracle.wsm.security", key="
sign_csf_key
", user="
alias_name
", password=
keystore_password
, desc="
Description of the signing key credential
")
createCred(map="oracle.wsm.security", key="
enc_csf_key
", user="
alias_name
", password=
keystore_password
, desc="Description of the encryption key credential")
createCred(map="oracle.wsm.security", key="
keystore_csf_key
", user="
oauth
", password=
keystore_password
, desc="
Description of the keystore credential
")
説明:
sign_csf_key
= 署名するキーのパスワード
alias_name
= キーのエイリアス名
keystore_password
= キーストア・パスワード
enc_csf_key
= 暗号化キーのパスワード
keystore_csf_key
= キーストアのパスワード
資格証明ストアのエントリの作成
createCred(map="oracle.wsm.security", key="oauth-sign-csf-key", user="ms-oauth-key", password=passwordxyz, desc="Signing key credential") createCred(map="oracle.wsm.security", key="oauth-enc-csf-key", user="ms-oauth-key", password=passwordxyz, desc="Encryption key credential") createCred(map="oracle.wsm.security", key="keystore_csf_key", user="oauth", password=passwordxyz, desc="Keystore credential")
更新された構成をサービス・プロファイルに適用できます。
サード・パーティ・サービス用のOAuthサービス・プロファイルをまだ作成していない場合には、「サービス・プロファイルの作成」を参照してください。
特定のJSON Webトークン(JWT)発行者をサポートするためにOAuthサービスを構成できます。
この構成に基づいて、OAMサーバーでトークン、拇印(x5t)およびキー識別子を検証できるように、信頼できるすべての発行者を定義する必要があります。同じ要求、ヘッダー値および別名で信頼できるエントリがですでに使用可能な場合は、そのエントリが使用されます。
図53-4は、「信頼できる発行者」が「構成設定」見出しに定義されている、OAuthサービスのサービス・プロファイル構成ページのスクリーンショットです。これには信頼できる発行者が3つ構成されており、次のものがこれらの構成に該当します。
信頼できる発行者が"www.example1.com"、キッド・ヘッダーが"mykey"、およびx5tヘッダーがないアサーションがリクエストにある場合、"trustpartner1"の別名の証明書がランタイムで使用されます。
信頼できる発行者が"www.example2.com"、x5tヘッダーの値が"s7RzuzdlJrDyvMS9ntyvMS9ntZt"、およびキッド・ヘッダーがないアサーションがリクエストにある場合、"trustpartner2"の別名の証明書がランタイムで使用されます。
信頼できる発行者が"www.example.corp.com"、キッド・ヘッダーの値が"corpkey"、およびx5tヘッダーの値が"cYJ4pHYJrDYvMS9ntZts7Rzuzdl"のアサーションがリクエストにある場合、"trustpartner3"の別名の証明書がランタイムで使用されます。