41.8 Security Token Serviceのインストールについて

次の各トピックでは、Security Token Serviceのインストール・オプションについて説明します。

• 単一WLSドメインのSecurity Token Serviceクラスタについて

• Webサーバー・プロキシによるエンドポイントの露出について

• Security Token Serviceインストールの概要について

• インストール後のタスク: Security Token Service

41.8.1 単一WLSドメインのSecurity Token Serviceクラスタについて

Security Token Serviceのこのインストール・オプションは、単一のWebLogicドメイン内のSecurity Token Serviceインスタンス間のクラスタリングを利用しています。このデプロイメント・トポロジでは、ロード・バランサにより高可用性機能が円滑化されます。デフォルトでは、Access ManagerとSecurity Token Serviceが同一の管理対象サーバーに共存します。ただし、Security Token Serviceはデフォルトで無効になっており、これを使用できるようにするには、手動で有効化する必要があります。

このデプロイメント・トポロジは次のデプロイをサポートします。

• スイート・インストーラを使用したセキュリティ・トークン・サービスの複数のインスタンスのデプロイ。

• 高可用性に加えてセキュリティ・トークン・サービス・クラスタのフロントでのフェイルオーバー・シナリオをサポートするロード・バランサのデプロイ。

  『高可用性ガイド』の「高可用性環境でのサーバーのロード・バランシング」を参照してください。

41.8.2 Webサーバー・プロキシによるエンドポイントの露出について

Security Token Serviceのこのインストール・オプションでは、リクエスタおよびリライイング・パーティとサード・パーティSTSサーバーとの間で相互運用が実現します。実行時に、Security Token Serviceは、OPSS WS-Trustプロバイダを使用して、サード・パーティ・セキュリティ・トークン・サーバーのリクエスタおよびリライイング・パーティとの相互運用をサポートします。

たとえば、サード・パーティ・セキュリティ・トークン・サービスが有効なSAMLアサーションを作成し、Security Token Serviceがそれを使用できます。

41.8.3 リクエスタおよびリライイング・パーティと他のOracle WS-Trustベース・クライアントとの間の相互運用性について

リクエスタとリライイング・パーティのための実行時シナリオはすべて、他のOracle WS-Trustクライアントによりサポートされています。

WS-Trustクライアントには、WLSClient、MetroClient、Oracle Web Services Manager (Oracle WSM)などがあります。WS-Trustバインディングを介した場合のみ、すべてのWebサービス・クライアントがSecurity Token Serviceでサポートされます。

41.8.4 Security Token Serviceインストールの概要について

Access Managerとセキュリティ・トークン・サービスは、単一のEARファイルから、WebLogicドメイン内の同じ管理対象サーバーにまとめてインストールされ、デプロイされます。

Oracle WSMエージェントは、様々な暗号化操作のためにキーストアを使用します。それらのタスクのために、Oracle WSMエージェントは、Oracle WSMのタスク用に構成されたキーストアを使用します。インストール中、Oracle WSMキーストアが構成されていない場合にインストーラが行うことを次に示します。

• $DOMAIN_HOME/config/fmwconfigフォルダに新しいキーストアを作成します(デフォルト名は、default-keystore.jks)

• 署名および暗号化の操作のためにOWSMにより使用されるキー・エントリを、対応する証明書付きで作成します。このキー・エントリは、OWSMキーストア内のorakey別名の下に格納されます

• キー・エントリおよびキーストアのパスワードをCSFに格納します

キーストアへのアクセス権があると、次のことが必要になる場合があります。

• 必要に応じて、署名証明書または暗号化証明書を抽出してクライアントに配布します

• 署名または暗号化のキー・エントリを更新または置換します

• 信頼できる証明書の追加

詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドを参照してください。

41.8.5 インストール後のタスク: Security Token Service

Security Token Serviceをホストするサーバーは、Access Managerに登録する必要があります。これはインストール中に自動的に、またはインストール後に手動で行うことができます。

Security Token Serviceシステムのすべての構成は、Oracle Access Managementコンソールを使用して実行します。Oracle Access Managementコンソールの要素を使用すると、管理者は、WS Trustトークンをパートナと交換するようにSecurity Token Serviceを簡単に構成できるようになります。他のセキュリティ・トークン・サービス要素は、パートナ、エンドポイント、検証テンプレート、発行テンプレートおよびデータ・ストア接続の作成、表示、変更および削除のために用意されています。

セキュリティ・トークン・サービスの詳細は、「Oracle Access Managementのセキュリティ・トークン・サービスの管理」を参照してください。