Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
Identity Federation (SPとして構成した場合)は、フェデレーション・プロセス中、IdPに対して属性を要求できます。
このためには、着信アサーションの属性の名前を、Access Managerセッションで使用できるローカル属性(たとえば$session.attr.fed.attr.ATTR_NAME
)にマッピングします。IdP属性マッピング・プロファイルにはこのようなマッピングが含まれます。
同様に、Identity Federation (IdPとして構成した場合)は、属性をSSOアサーション内に含めることや、SPパートナが属性をSSOアサーション内に入れるよう要求することをサポートしています。Identity FederationをIdPとして構成する際には、SSOアサーションの属性の名前、属性値の移入に使用される式、SSOアサーションの属性を常に送信するかどうかを定義するSP属性マッピング・プロファイルも設定します。
ノート:
プロバイダによって使用されるプロトコルが、たとえばOpenID 2.0など、この機能をサポートしている必要があります。
各パートナ・タイプ(IdPまたはSP)は、適切なマッピングを定義する属性マッピング・プロファイルを参照します。これは、そのパートナの属性を、Identity Federationサーバーで定義されている属性にマップする方法を示します。パートナに対して属性マッピング・プロファイルが定義されていない場合、デフォルトの属性マッピング・プロファイルが(パートナ・タイプに基づいて)使用されます。各プロバイダ・タイプに対してデフォルトの属性マッピング・プロファイルがあります。
SP属性マッピング・プロファイル: 各SPパートナ・プロファイルはSP属性マッピング・プロファイルを参照します。プロファイルが構成されていない場合、デフォルトのSP属性マッピング・プロファイルが使用されます。
「SP属性マッピング・プロファイルの使用」を参照してください。
IdP属性マッピング・プロファイル: 各IdPパートナ・プロファイルはIdP属性マッピング・プロファイルを参照します。プロファイルが構成されていない場合、デフォルトのIdP属性マッピング・プロファイルが使用されます。
「IdP属性マッピング・プロファイルの使用」を参照してください。
Identity FederationインスタンスがIdPとして構成されている場合、SP属性マッピング・プロファイルにより、管理者は、どのメッセージ属性(着信Identity Federationメッセージまたは送信Identity Federationメッセージに含まれている属性)をどのAccess Managerセッション属性にマップするか定義できます。
式は、Access Manager属性をアサーションまたは送信メッセージに含めるときに、その値を検出するのに使用されます。表38-7は、サンプルSP属性マッピングの一部です。
表38-7 サンプルSP属性マッピング
メッセージ属性 | Access Managerセッション属性 | 常に送信 |
---|---|---|
$user.attr.mail |
||
firstname |
$user.attr.givenname |
true |
lastname |
$user.attr.sn |
true |
authn-level |
$session.authn_level |
true |
「常に送信」は、その属性が要求されていない場合でも送信するかどうかを示します。属性が要求されているかどうかにかかわらず送信アサーションに含める必要がある場合、「常に送信」を「true」に設定します。「常に送信」が「false」の場合、この属性は要求されていてもアサーションに含まれません。SPが要求を送信すると、メッセージ属性が検索され、式が評価されて、このメッセージ属性に対するマッピング値が算出されます。
SPパートナ・プロファイルを作成または変更する際、使用可能な属性マッピング・プロファイルがドロップダウン・リストに表示されます。sp-attribute-profile
がデフォルト・プロファイルです。
「リモート・サービス・プロバイダ・パートナの作成」を参照してください。
デフォルト・プロファイルを選択するか、緑のプラス記号をクリックして、カスタム・マッピング・プロファイルを作成します。SPパートナに対して新しい属性マッピングを作成する際、属性の値文字列内に式を埋め込むことができます。これらの式は、実行時の値で置換されます。
表38-8に、属性マッピング値の式を示します。
表38-8 属性マッピングの値式
値の型 | 許容値 | 式 |
---|---|---|
request |
httpheader.HTTP_HEADER_NAME |
HTTP_HEADER_NAMEは、$request.httpheader.HTTP_HEADER_NAMEとして格納されているHTTPヘッダーの名前です |
request |
cookie.COOKIE_NAME |
COOKIE_NAMEは、$request.cookie.COOKIE_NAMEとして格納されているCookieの名前です |
request |
client_ip |
$request.client_ipとして格納 |
session |
authn_level |
$session.authn_levelとして格納 |
session |
authn_scheme |
$session.authn_schemeとして格納 |
session |
count |
$session.countとして格納 |
session |
creation |
$session.creationとして格納 |
session |
expiration |
$session.expirationとして格納 |
session |
attr.ATTR_NAME |
ATTR_NAMEは、$session.attr.ATTR_NAMEとして格納されているAccess Managerセッション属性の名前です。 |
user |
userid |
$user.useridとして格納 |
user |
id_domain |
$user.id_domainとして格納 |
user |
guid |
$user.guidとして格納 |
user |
groups |
$user.groupsとして格納 |
user |
attr.ATTR_NAME |
ATTR_NAMEは、$user.attr.ATTR_NAMEとして格納されているLDAPユーザー属性の名前です。 |
expression (前述のように定義され、データ型により修飾されている識別子に基づく) |
- request:
|
-
|
expression (前述のように定義され、データ型により修飾されている識別子に基づく) |
- session:
|
-
|
expression (前述のように定義され、データ型により修飾されている識別子に基づく) |
- user:
|
-
|
Identity FederationインスタンスがSPとして構成されている場合、IdP属性マッピング・プロファイルにより、管理者は、どの属性(着信Identity Federationメッセージまたは送信Identity Federationメッセージに含まれている属性)をどのAccess Managerセッション属性にマップするか定義できます。
プロファイルは、次のデータを含めることを許可します。
メッセージ属性: 着信または送信フェデレーション・メッセージ内の属性の名前。
Access Managerセッション属性: ローカルAccess Managerサーバーが認識する属性の名前。
パートナからの要求: この属性をIdPへのリクエストに含めて送信するかどうかを示します(この属性値をSPから要求します)。
表38-9に、サンプルIdP属性マッピングを示します。
表38-9 サンプルIdP属性マッピング
メッセージ属性 | Access Managerセッション属性 | 挿入要求 |
---|---|---|
true |
||
givenname |
true |
|
sn |
surname |
|
uid |
uid |
SPが、IdPからのレスポンスに要求する属性を指定できるプロトコルの場合、メッセージ属性名はIdPへのリクエストで送信されます。SPがアサーションつまりIdPからのレスポンスを受信すると、アサーションからの属性は、Access Managerセッションに格納されます。Access Manager値が指定されていない場合、メッセージ属性が格納されます。
IdPパートナ・プロファイルを作成または変更する際、属性マッピング・プロファイルがドロップダウン・リストに表示されます。idp-attribute-profile
がデフォルト・プロファイルです。デフォルト・プロファイルを選択するか、緑のプラス記号をクリックして、カスタム・マッピング・プロファイルを作成します。
「リモート・アイデンティティ・プロバイダ・パートナの作成」を参照してください。
「アンマップ属性の無視」チェック・ボックス(構成画面内)は、存在していない(または、存在していてもAccess Managerの「セッション属性」列に値がない)アサーション属性の処理方法を示します。このチェック・ボックスを選択しない場合、表に含まれてない(またはAccess Managerに値がマッピングされていない)すべてのアサーション属性は、アサーション内にある同じ属性名で、Access Managerセッションに格納されます。このチェック・ボックスが選択されている場合、表にない(または値がAccess Managerにマッピングされていない)アサーション属性は無視され、Access Manager画面に追加されません。
ノート:
Identity FederationインスタンスがSPとして構成された場合、使用するフェデレーション・プロトコルがサポートしている場合にかぎり、属性をリクエストできます。OpenID 2.0はこの機能をサポートしていますが、SAML 2.0とSAML 1.1はサポートしていません。