Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
検証テンプレートは、着信トークンの検証に使用します。
リクエスタ・パートナまたはユーザー・レコードに着信トークンをマップするのに使用することもできます。
OnBehalfOfユースケースの場合、WS-Trust検証テンプレートが存在する必要があります。
アサーションを検証するためには、発行局パートナ・プロファイルが存在する必要があります。
セキュリティ・トークン・サービス・エンドポイントは、WSSヘッダー内のトークンを検証する方法とトークンとバインディング・データをリクエスタにマップする方法を示すWSS検証テンプレートにリンクされます。
この項の内容は次のとおりです。
セキュリティ・トークン・サービス・エンドポイントは常に、リクエストをリクエスタ・エントリまたはユーザーにマップする方法を示すWS-Security検証テンプレートでマップされます。
マッピングが必要で一致が見つからない場合、処理は失敗します。
マッピングが不要な場合は、デフォルトのリクエスタ・パートナ・プロファイルが使用されます。
どちらの場合も、リクエスタ・パートナ・プロファイルが取得されます。
ユーザー・レコードへのマッピングが実行される場合は、デフォルトのリクエスタ・パートナ・プロファイルが使用されます。
リクエスタ・パートナ・エントリへのマッピングが実行される場合は、このパートナのリクエスタ・パートナ・プロファイルが使用されます。
検証テンプレートによってトークン検証ルールが決定されます。
着信トークンを検証およびマップするかどうか。
マッピングが有効な場合に使用されるマッピング・ルール。
表45-8に示すように、検証テンプレートはトークン・タイプおよびプロトコルに固有です。
表45-8 検証テンプレートのプロトコル
プロトコル | 説明 |
---|---|
WS-Security |
WS-Securityトークンのみを検証:
トークン・プロトコルをWS-TrustからWS-Securityに切り替えても、「トークン・タイプ」リストのオプションは変更されません。ただし、必要な「デフォルト・パートナ・プロファイル」リストが表示され、ここからWS-Securityのプロファイルの1つを選択する必要があります。 |
WS-Trust |
RST (リクエスト)のOBO (代理)フィールドに含まれるトークンのみを検証:
|
検証テンプレートのマッピング・ルールは、着信トークンからのデータを使用して、ユーザーまたはパートナへの着信データのマップ方法を決定します。
ユーザー名トークンのユーザー名
KerberosトークンのユーザーID
SAMLトークンの名前IDおよび属性
X.509トークンのDNコンポーネント
カスタムからの属性
マッピングは次のように実行されます。
簡易マッピング: ある着信属性をユーザー・レコード属性と照合
複雑なLDAP問合せ: 着信データのプレースホルダを含むLDAP問合せ(例: (&(sn=%lastname%)(mail=%email%)))
SAMLトークンの名前IDマッピング表
図45-7に、「新規検証テンプレート」ページのデフォルトの一般詳細を示します。
表45-9に、「新規検証テンプレート」の「一般」ページの要素を示します。
表45-9 新規検証テンプレート: 一般詳細
要素 | 説明 |
---|---|
戻る |
前のページに戻るには、このボタンをクリックします。 |
次 |
次のページに進むには、このボタンをクリックします。 |
取消 |
ページを閉じるには、このボタンをクリックします。 |
検証テンプレート名 |
このテンプレート用に選択する名前。次に例を示します。
|
説明 |
オプション。 |
トークン・プロトコル |
作成される検証テンプレートのタイプ。タイプは次のいずれかになります。
|
トークン・タイプ |
このテンプレートに使用するトークン・タイプを選択するインバウンド・トークン・タイプのリスト。トークン・タイプのオプションはプロトコル・タイプによって異なります。
|
デフォルト・パートナ・プロファイル |
WS-Security検証テンプレートにのみ適用されます。 着信リクエストがリクエスタ・パートナにマップされない場合、使用するデフォルトのリクエスタ・パートナ・プロファイルを参照します。たとえば、かわりにリクエストがユーザーにマップされる場合などです。 リクエスタ・パートナ・プロファイルには、リクエスト処理中に使用される設定が含まれています。着信リクエストがリクエスタ・パートナにマップされた場合、そのリクエスタのパートナ・プロファイルが取得され、リクエスタ・パートナ・プロファイルとして使用されます。 |
タイムスタンプの存続期間 |
ユーザー名およびSAML検証テンプレートにのみ適用されます。トークンの有効性を決定します(ユーザー名トークンの場合は、作成された瞬間を示すCreated要素が含まれている場合のみ)。 デフォルト: 1000 (秒) |
認証の詳細 |
ユーザー名トークン検証テンプレートに固有です。 |
資格証明検証の有効化 |
ユーザー名トークンに含まれる資格証明を使用して検証を有効にするには、このボックスを選択します。 有効にすると、セキュリティ・トークン・サービスでは、指定された検証ソースを使用して、ユーザー名トークンに含まれるusernameおよびpassword要素が検証されます。 ノート: ユーザー名トークンのWS-Securityプロファイルに定義されているパスワード・ダイジェストは、このリリースではサポートされていません。 関連項目: 表45-10 |
図45-8に、「資格証明検証の有効化」が選択されている「一般」詳細ページを示します。
選択の結果として、ページの「認証の詳細」セクションにデフォルト値が表示されています。これは、ユーザー名トークン検証に固有です。
表45-10に、「資格証明検証の有効化」を選択した場合に使用できる認証関連の詳細を示します。
表45-10 新規検証テンプレート: 認証の詳細
要素 | 説明 |
---|---|
検証ソース |
資格証明検証ソースを選択できるリスト ユーザー名トークンに含まれる資格証明を検証する場合、次に示す4つのタイプの検証ソースがあります。
|
LDAP URL |
LDAPサーバーのURL。 |
管理者ユーザー |
LDAPサーバーの参照に使用されるアカウントのユーザー名。 |
管理者パスワード |
LDAPサーバーの参照に使用されるアカウントのパスワード。 |
ベースDN |
ユーザー・レコードの参照時に使用される基本検索DN。 |
HAの有効化 |
LDAPサーバーがHAモードで、前にロード・バランサがあるかどうかを示します。 |
個人オブジェクト・クラス |
ユーザー・レコードに関連付けられた個人オブジェクト・クラス。 |
一意のID |
ユーザーの一意の識別子データを含むユーザー・レコードの属性。ほとんどの場合、「資格証明ID」フィールドと同じです。 |
資格証明ID |
ユーザー名データを含むユーザー・レコードの属性。このフィールドは、ユーザー名に基づいてユーザー・レコードを参照するために使用されます。 |
最大接続数 |
開いている同時LDAP接続の最大数。 デフォルト: 50 |
接続待機タイムアウト |
新しい接続を開くときに待機する最大時間。 デフォルト: 5000 (秒) |
接続の非アクティブのタイムアウト |
LDAP接続を閉じるまでの非アクティブの最大時間。 デフォルト: 5000 (秒) |
接続の読込みのタイムアウト |
開いている同時LDAP接続の最大数。 デフォルト: 5000 (秒) |
トークン・マッピング
「トークン・マッピング」セクションは次の内容を示します。
着信トークンをマップする必要があるかどうか。
着信トークンをマップする必要があるかどうか、実行されるマッピングの種類。たとえば、ユーザーへのトークンのマッピング、パートナへのトークンのマッピングなどです。
マッピングの実行方法。たとえば、パートナ/ユーザー属性へのトークン属性のマッピング、複数のトークン属性を含むLDAP問合せの使用などです。
マッピング・ルールは、着信データをユーザーまたはパートナにマップする方法を決定します。着信トークンの次のデータが使用されます。
UNTのユーザー名
KerberosのユーザーID
SAMLの名前IDおよび属性
X.509のDNコンポーネント
カスタムからの属性
マッピングは次のものを使用して実行されます。
簡易マッピング: ある着信属性をユーザー・レコード属性と照合
複雑なLDAP問合せ: 着信データのプレースホルダを含むLDAP問合せ。例: (&(sn=%lastname%)(mail=%email%))
SAMLの名前IDマッピング表
新しい検証テンプレートのトークン・マッピングの例を次に示します。
図45-9に、マッピング構成設定を示します。
この設定は、次の名前IDフォーマットに基づいて、一致する属性を持つユーザー・レコードと名前ID値を照合することでユーザー・レコードにトークンをマップするために、セキュリティ・トークン・サービスに必要です。
「トークンの宛先ユーザーのマップ」の有効化
簡易ユーザー・マッピングの有効化
属性ベース・ユーザー・マッピングの無効化
図45-10に、マッピング構成設定を示します。
この設定は、一致するuidを持つユーザー・レコードとユーザー名トークンのusername要素を照合することでユーザー・レコードにトークンをマップするために、セキュリティ・トークン・サービスに必要です。
必要な設定は次のとおりです。
「トークンの宛先ユーザーのマップ」の有効化
簡易ユーザー・マッピングの有効化
データストア属性: 「uid」に設定
属性ベース・ユーザー・マッピングの無効化
図45-10 トークン・マッピング: username-wstrust-validation-template
図45-11に、マッピング構成設定を示します。
この設定は、SSLクライアント証明書DN識別属性が一致するリクエスタ・パートナと証明書のサブジェクトDNを照合することでリクエスタ・パートナ・エントリにトークンをマップするために、セキュリティ・トークン・サービスに必要です。
必要な設定は次のとおりです。
トークンの宛先パートナのマップ
簡易ユーザー・マッピングの無効化
属性ベース・ユーザー・マッピングの無効化
簡易パートナ・マッピングの有効化
すべての要素がすべてのトークン・タイプおよびトークン・プロトコルに適用されるわけではありません。定義する必要がある要素は異なります。
表45-11に、検証テンプレートのトークン・マッピング要素を示します。
表45-11 新規検証テンプレート: トークン・マッピング
要素 | 説明 |
---|---|
トークンのマップ先 |
WS-Security検証テンプレート: 「トークンのマップ先」リスト
- - - - - - - - - - WS-Trust検証テンプレート: トークンの宛先ユーザーのマップ 有効にする場合はボックスを選択します(無効にする場合はチェックボックスをクリアします)。 |
簡易ユーザー・マッピングの有効化 |
簡易ユーザー・マッピングでは、単一のトークン属性を使用して、単一のユーザー・レコード属性と照合することで、着信トークンをユーザー・レコードにマップします。 WS-Security検証テンプレート: ユーザー名、SAMLアサーション、KerberosおよびX.509のみ。 WS-Trust検証テンプレート: ユーザー名、SAMLアサーション、Kerberos、X.509、OAMおよびカスタム・トークン。この検証テンプレートのトークン・タイプによって、レイアウトは異なります。 ユーザー名トークン:
SAMLアサーション:
Kerberos:
X.509:
OAM:
カスタム:
|
ユーザー名識別子マッピングの有効化 |
有効な場合、次のものを定義します。 WSSおよびWS-Trust検証テンプレートには、「名前識別子」マッピング設定の同じセクションが含まれます。 名前IDユーザー・マッピング操作では、名前IDフォーマットに基づいて名前ID値を単一のユーザー・レコード属性にマップすることで、着信SAMLアサーションをユーザーにマップします。 有効な場合、セキュリティ・トークン・サービスでは名前IDフォーマットが評価され、ユーザー・レコード属性が照合される「名前識別子」マッピング表に基づいて、名前ID値がアサーションに含まれます。「名前識別子」マッピング表は、マッピング操作に使用されるユーザー・レコード属性を保持します。標準の名前IDフォーマットを含みますが、カスタム名前IDフォーマットを定義してカスタマイズすることもできます。 カスタム名前IDフォーマットを追加するには、「名前識別子」マッピング表の追加ボタンをクリックし、カスタムURIを入力します。 マッピング操作に使用される特定の名前IDフォーマットの属性を設定するには、そのフォーマットの行でユーザー・レコード属性を設定します。 |
属性ベース・ユーザー・マッピングの有効化 |
WSS検証テンプレート: ユーザー名、SAMLアサーション、KerberosおよびX.509のみ。 WS-Trust検証テンプレート: ユーザー名、SAMLアサーション、Kerberos、X.509およびカスタム・トークンのみ。 属性ベース・ユーザー・マッピング操作では、LDAP問合せおよびトークン属性を使用することで、着信トークンをユーザー・レコードにマップします。LDAP問合せのフォーマットによりマッピング・ルールが定義され、使用するトークン属性が、パーセント(%)文字で囲まれた名前によって指定されます。たとえば、2つのトークン属性(firstnameおよびlastname)に基づいてトークンをマップするLDAP問合せは、(&(sn=%lastname)(givenname=%firstname%))のようになります。 使用可能なトークン属性は、トークン・タイプによって異なります。 ユーザー名トークン
SAMLアサーション
Kerberos
X.509
カスタム・トークン
|
簡易パートナ・マッピングの有効化 |
WSS検証テンプレートおよび次のトークン・タイプの場合のみ: ユーザー名、SAMLアサーション、KerberosおよびX.509。 簡易パートナ・マッピング操作では、単一のトークン属性を使用して、パートナ識別属性と照合することで、着信トークンをパートナ・リクエスタにマップします。 この検証テンプレートのトークン・タイプによって、レイアウトは異なります。 ユーザー名トークン
SAMLアサーション
Kerberos
X.509
|
パートナ名識別子マッピングの有効化 |
有効な場合、WSS検証テンプレートおよびSAMLトークン・タイプについてのみ次のものを定義します。 名前IDユーザー・マッピング操作では、名前IDフォーマットに基づいて名前ID値を単一のリクエスタ・パートナ識別属性にマップすることで、着信SAMLアサーションをユーザーにマップします。 有効な場合、セキュリティ・トークン・サービスでは名前IDフォーマットが評価され、パートナ識別属性が照合される「名前識別子」マッピング表に基づいて、名前ID値がアサーションに含まれます。「名前識別子」マッピング表は、マッピング操作に使用されるリクエスタ・パートナ識別属性を保持します。標準の名前IDフォーマットを含みますが、カスタム名前IDフォーマットを定義してカスタマイズすることもできます。 カスタム名前IDフォーマットを追加するには、「名前識別子」マッピング表の追加ボタンをクリックし、カスタムURIを入力します。 マッピング操作に使用される特定の名前IDフォーマットの属性を設定するには、そのフォーマットの行でリクエスタ・パートナ識別属性を設定します。 |
有効な管理者の資格証明を持つユーザーは、トークン検証テンプレートを追加、検索、編集または削除できます。
これはサーバー側の構成です。デフォルトの「トークン検証テンプレート」が存在します。不要なステップはスキップしてください。セキュリティ・トークン・サービス・エンドポイントを、次のものを示すWSセキュリティ検証テンプレートにリンクする必要があります。
Webservice Securityヘッダー内のトークンを検証する方法
トークンおよびバインディング・データをリクエスタにマップする方法
ここに示す情報は、次のものを検証するときに適用できます。
SOAPヘッダーに含まれる、次のタイプのWS-Securityトークン: ユーザー名、SAML 1.1、SAML 2.0、X.509およびKerberos。
WS-TrustリクエストのOnBehalfOf要素またはValidateTarget要素に含まれる、次のタイプのWS-Trustトークン: ユーザー名、SAML 1.1、SAML 2.0、X.509、Kerberos、OAMセッション伝播トークンおよびカスタム・トークン。
次の手順では、次の特定のパラメータを入力するいくつかの例を示します。また、カッコ()内には簡単な解釈も示します。たとえば、名前(ユーザー名トークン): email-wstrust-valid-temp
などです。値は使用する環境によって異なります。
トークン検証テンプレートを管理するには:
目的のトークン検証テンプレートを見つけて開きます。
「テンプレートの検索」を参照してください。
新しいトークン検証テンプレート:
右上隅にある「新規検証テンプレート」ボタンをクリックします(または「検索結果」表の上にある「追加」(+)コマンド・ボタンをクリックします)。
一般: このテンプレートのパラメータ(表45-9)を定義します。次に例を示します。
email-wstrust-valid-temp
email
requester-profile
認証: 必要に応じてこのテンプレートの資格証明検証を有効にし、詳細を示します(表45-10)。トークン・タイプがユーザー名の場合、必要に応じてこのテンプレートの資格証明検証を有効にし、詳細を示します。
トークン・マッピング: トークン・タイプに基づいてこのテンプレートのプリファレンスを指定します(表45-11)。
「保存」をクリックし、確認ウィンドウを閉じます(または保存せずに「取消」をクリックします)。
定義を閉じます(またはステップ4の説明に従って定義を編集します)。
テンプレートの編集: 作成した保存済のページから編集を開始します。
必要に応じてテンプレート定義を編集します。
ページの上部にある「適用」ボタンをクリックし、変更を送信します(または「元に戻す」をクリックして変更を取り消します)。
新しいトークン検証テンプレートの削除:
「検索結果」表の目的の名前をクリックし、削除する項目を選択します。
「アクション」メニューの「削除」をクリックします(または、表の上にある「削除」(X)コマンド・ボタンをクリックします)。
確認ウィンドウで「削除」ボタンをクリックします(または「いいえ」をクリックして操作を取り消します)。