プライマリ・コンテンツに移動
Oracle® Fusion Middleware Oracle Access Management管理者ガイド
11g リリース2 (11.1.2.3) for All Platforms
E61950-08
目次へ移動
目次
前
 		次

38.5 属性マッピング・プロファイルの使用

Identity Federation (SPとして構成した場合)は、フェデレーション・プロセス中、IdPに対して属性を要求できます。

このためには、着信アサーションの属性の名前を、Access Managerセッションで使用できるローカル属性(たとえば$session.attr.fed.attr.ATTR_NAME)にマッピングします。IdP属性マッピング・プロファイルにはこのようなマッピングが含まれます。

同様に、Identity Federation (IdPとして構成した場合)は、属性をSSOアサーション内に含めることや、SPパートナが属性をSSOアサーション内に入れるよう要求することをサポートしています。Identity FederationをIdPとして構成する際には、SSOアサーションの属性の名前、属性値の移入に使用される式、SSOアサーションの属性を常に送信するかどうかを定義するSP属性マッピング・プロファイルも設定します。

ノート:

プロバイダによって使用されるプロトコルが、たとえばOpenID 2.0など、この機能をサポートしている必要があります。

各パートナ・タイプ(IdPまたはSP)は、適切なマッピングを定義する属性マッピング・プロファイルを参照します。これは、そのパートナの属性を、Identity Federationサーバーで定義されている属性にマップする方法を示します。パートナに対して属性マッピング・プロファイルが定義されていない場合、デフォルトの属性マッピング・プロファイルが(パートナ・タイプに基づいて)使用されます。各プロバイダ・タイプに対してデフォルトの属性マッピング・プロファイルがあります。

  • SP属性マッピング・プロファイル: 各SPパートナ・プロファイルはSP属性マッピング・プロファイルを参照します。プロファイルが構成されていない場合、デフォルトのSP属性マッピング・プロファイルが使用されます。

    「SP属性マッピング・プロファイルの使用」を参照してください。

  • IdP属性マッピング・プロファイル: 各IdPパートナ・プロファイルはIdP属性マッピング・プロファイルを参照します。プロファイルが構成されていない場合、デフォルトのIdP属性マッピング・プロファイルが使用されます。

    「IdP属性マッピング・プロファイルの使用」を参照してください。

38.5.1 SP属性マッピング・プロファイルの使用

Identity FederationインスタンスがIdPとして構成されている場合、SP属性マッピング・プロファイルにより、管理者は、どのメッセージ属性(着信Identity Federationメッセージまたは送信Identity Federationメッセージに含まれている属性)をどのAccess Managerセッション属性にマップするか定義できます。

式は、Access Manager属性をアサーションまたは送信メッセージに含めるときに、その値を検出するのに使用されます。表38-7は、サンプルSP属性マッピングの一部です。

表38-7 サンプルSP属性マッピング

メッセージ属性 Access Managerセッション属性 常に送信

mail

$user.attr.mail

firstname

$user.attr.givenname

true

lastname

$user.attr.sn

true

authn-level

$session.authn_level

true

「常に送信」は、その属性が要求されていない場合でも送信するかどうかを示します。属性が要求されているかどうかにかかわらず送信アサーションに含める必要がある場合、「常に送信」を「true」に設定します。「常に送信」が「false」の場合、この属性は要求されていてもアサーションに含まれません。SPが要求を送信すると、メッセージ属性が検索され、式が評価されて、このメッセージ属性に対するマッピング値が算出されます。

ノート:

値式では、OAMポリシー式言語が使用されます。複数のメッセージ属性に同じ値式を使用することもできます。

「SSOのポリシー・レスポンスの概要」を参照してください。

SPパートナ・プロファイルを作成または変更する際、使用可能な属性マッピング・プロファイルがドロップダウン・リストに表示されます。sp-attribute-profileがデフォルト・プロファイルです。

「リモート・サービス・プロバイダ・パートナの作成」を参照してください。

デフォルト・プロファイルを選択するか、緑のプラス記号をクリックして、カスタム・マッピング・プロファイルを作成します。SPパートナに対して新しい属性マッピングを作成する際、属性の値文字列内に式を埋め込むことができます。これらの式は、実行時の値で置換されます。

表38-8に、属性マッピング値の式を示します。

表38-8 属性マッピングの値式

値の型 許容値

request

httpheader.HTTP_HEADER_NAME

HTTP_HEADER_NAMEは、$request.httpheader.HTTP_HEADER_NAMEとして格納されているHTTPヘッダーの名前です

request

cookie.COOKIE_NAME

COOKIE_NAMEは、$request.cookie.COOKIE_NAMEとして格納されているCookieの名前です

request

client_ip

$request.client_ipとして格納

session

authn_level

$session.authn_levelとして格納

session

authn_scheme

$session.authn_schemeとして格納

session

count

$session.countとして格納

session

creation

$session.creationとして格納

session

expiration

$session.expirationとして格納

session

attr.ATTR_NAME

ATTR_NAMEは、$session.attr.ATTR_NAMEとして格納されているAccess Managerセッション属性の名前です。

user

userid

$user.useridとして格納

user

id_domain

$user.id_domainとして格納

user

guid

$user.guidとして格納

user

groups

$user.groupsとして格納

user

attr.ATTR_NAME

ATTR_NAMEは、$user.attr.ATTR_NAMEとして格納されているLDAPユーザー属性の名前です。

expression

(前述のように定義され、データ型により修飾されている識別子に基づく)

- request:

  • $request.httpheader.HTTP_HEADER_NAME

  • $request.cookie.COOKIE_NAME

  • $request.client_ip

-

  • HTTP_HEADER_NAMEはHTTPヘッダーの名前です

  • COOKIE_NAMEはCookieの名前です

expression

(前述のように定義され、データ型により修飾されている識別子に基づく)

- session:

  • $session.authn_level

  • $session.authn_scheme

  • $session.count

  • $session.creation

  • $session.expiration

  • $session.attr.ATTR_NAME

-

  • ATTR_NAMEは、Access Managerセッション属性の名前です

expression

(前述のように定義され、データ型により修飾されている識別子に基づく)

- user:

  • $user.userid

  • $user.id_domain

  • $user.guid

  • $user.groups

  • $user.attr.ATTR_NAME

  • ドット(.)文字と空白を含む任意の文字列にできます(「$user.userid」、「$user.attr.givenname $user.attr.sn」または「これはセッション数: $session.countです」など)

-

  • ATTR_NAMEは、LDAPユーザー属性の名前です

38.5.2 IdP属性マッピング・プロファイルの使用

Identity FederationインスタンスがSPとして構成されている場合、IdP属性マッピング・プロファイルにより、管理者は、どの属性(着信Identity Federationメッセージまたは送信Identity Federationメッセージに含まれている属性)をどのAccess Managerセッション属性にマップするか定義できます。

プロファイルは、次のデータを含めることを許可します。

  • メッセージ属性: 着信または送信フェデレーション・メッセージ内の属性の名前。

  • Access Managerセッション属性: ローカルAccess Managerサーバーが認識する属性の名前。

  • パートナからの要求: この属性をIdPへのリクエストに含めて送信するかどうかを示します(この属性値をSPから要求します)。

表38-9に、サンプルIdP属性マッピングを示します。

表38-9 サンプルIdP属性マッピング

メッセージ属性 Access Managerセッション属性 挿入要求

mail

email

true

givenname

true

sn

surname

uid

uid

SPが、IdPからのレスポンスに要求する属性を指定できるプロトコルの場合、メッセージ属性名はIdPへのリクエストで送信されます。SPがアサーションつまりIdPからのレスポンスを受信すると、アサーションからの属性は、Access Managerセッションに格納されます。Access Manager値が指定されていない場合、メッセージ属性が格納されます。

IdPパートナ・プロファイルを作成または変更する際、属性マッピング・プロファイルがドロップダウン・リストに表示されます。idp-attribute-profileがデフォルト・プロファイルです。デフォルト・プロファイルを選択するか、緑のプラス記号をクリックして、カスタム・マッピング・プロファイルを作成します。

「リモート・アイデンティティ・プロバイダ・パートナの作成」を参照してください。

「アンマップ属性の無視」チェック・ボックス(構成画面内)は、存在していない(または、存在していてもAccess Managerの「セッション属性」列に値がない)アサーション属性の処理方法を示します。このチェック・ボックスを選択しない場合、表に含まれてない(またはAccess Managerに値がマッピングされていない)すべてのアサーション属性は、アサーション内にある同じ属性名で、Access Managerセッションに格納されます。このチェック・ボックスが選択されている場合、表にない(または値がAccess Managerにマッピングされていない)アサーション属性は無視され、Access Manager画面に追加されません。

ノート:

Identity FederationインスタンスがSPとして構成された場合、使用するフェデレーション・プロトコルがサポートしている場合にかぎり、属性をリクエストできます。OpenID 2.0はこの機能をサポートしていますが、SAML 2.0とSAML 1.1はサポートしていません。

前
 		次
目次へ移動
目次