Oracle® Fusion Middleware Oracle Access Management開発者ガイド 11gリリース2 (11.1.2.3.0) for All Platforms E67354-04 |
|
![]() 前 |
![]() 次 |
Identity FederationワイヤリングREST APIは、フェデレーション契約の確立および管理をサポートするように設計されています。これは、アイデンティティ・プロバイダ・パートナとサービス・プロバイダ・パートナの間のSAMLメタデータの交換を容易にし、これら2つのパートナ間のフェデレーションSSOを有効または無効にします。この章では、Oracle Access Management Identity Federation APIについて説明します。この章の内容は次のとおりです。
cURLの使用に関する注意
この章では、cURLを使用して、アイデンティティ・フェデレーション・クライアントがアイデンティティ・フェデレーション・サーバーに送信するRESTコールについて説明します。cURLは、cURLのWebサイト(http://curl.haxx.se/
)からダウンロードできるフリー・ソフトウェアです。
サーバーへのRESTコールの送信にcURLを使用することにより、クライアントとサーバーとのやり取りについての理解を深めることができます。また、これを便利なトラブルシューティング・ツールとしても使用できます。この章を使用するときは、次の点に注意してください。
Windowsでは、一重引用符( '
)を含むcURLコマンドは失敗します。可能であれば、一重引用符のかわりに二重引用符( "
)を使用してください。
コマンドに一重引用符と二重引用符の両方が必要な場合、二重引用符を円記号でエスケープし(例: \"
)、一重引用符を二重引用符に置き換えます。
注意: このガイドにおいて、cURLのコマンドおよびサーバー・レスポンスでの改行は、単に表示上の都合により使用されています。 |
利用できるJava APIリファレンス
このOracle Fusion Middleware Oracle Access Management開発者ガイドの他に、Oracle Fusion Middleware Oracle Access Management Identity Federationユーザー・プロビジョニング・プラグインJava APIリファレンスがあります。
リソースURLは、Access Manager製品バージョン、RESTサービスで公開されるコンポーネント、および呼び出すリソースを含めて構成されます。リソースURLの基本構造は次のとおりです。
http(s)://
host
:port
/oam/services/rest/
path
説明:
hostはOAM管理サービスが実行されているホストです。
portは、HTTPまたはHTTPSポートです。
pathは特定のリソースを識別する相対パス。pathの構造は/version/component/service/です。ここで:
version: Access Managerの製品バージョン(11.1.2.0.0など)。
component: RESTfulサービスで公開されるコンポーネント(ssa、fedなど)
service: 特定のAPIのルート・リソース(hostidentifierなど)
pathの値の例: /oam/services/rest/11.1.2.0.0/fed/admin/sso/hostidentifier/
host_identifier_name。
Access Managerアイデンティティ・フェデレーションREST Web Application Description Language (WADL)ファイルには、サポートされているポリシー・リソースおよびメソッドが列挙されています。ポリシー管理REST WADLドキュメントは、http://
host:port
/oam/services/rest/11.1.2.0.0/fed/admin/application.wadl
にあります。
Access Managerアイデンティティ・フェデレーション・サービスは、URLリソースにマップされています。各ポリシーはグローバル識別子(URI)で参照されます。
URLリソースへのアクセスはユーザー・ロールに基づいています。RESTfulサービスでは、ユーザー資格証明がBASICモードのHTTPリクエストの認証ヘッダー内にあると想定しています。認証されたユーザーがポリシー管理ロールを持っていれば、リクエストされたポリシー管理アクションが実行されます。
表18-1に、各アイデンティティ・フェデレーション・リソース、サポートされているHTTPメソッドおよび各操作の結果の詳細を示します。
表18-1 Access Manager Identity Federationリソースの一覧
リソース | メソッド | 説明 |
---|---|---|
|
POST |
サーバーのフェデレーションSSOサービスを有効にして、ログアウト完了URLを構成します。 |
PUT |
POST操作と同じです。 |
|
GET |
フェデレーションSSOサービスおよびログアウト完了URLの有効ステータスを取得します |
|
|
POST |
サービス・プロバイダ(SP)またはアイデンティティ・プロバイダ(IdP)のパートナ・リソースが作成されます。オブジェクトの親にあたるリソースに対してリクエストが実行されます。リクエストに一致するパートナ・リソースが作成されます。 |
|
GET |
IdPパートナのリストをこのメソッドで取得します。 |
|
GET |
SPパートナのリストをこのメソッドで取得します。リソース・タイプ・オブジェクトを表すリソースが返されます。この表現には、一致するリソース・タイプ・リソースの属性とその値が格納されています。 |
|
POST |
特定のIdPパートナ・リソースをこのメソッドで作成します。ここで、partnerNameは作成するパートナの名前です。 |
PUT |
POST操作と同じです。 |
|
GET |
指定したIdPパートナ・リソースをこのメソッドで取得します。ここで、partnerNameはリクエストするIDPパートナの名前です。 |
|
DELETE |
指定したIdPパートナ・リソースをこのメソッドで削除します。 |
|
|
POST |
特定のSPパートナ・リソースをこのメソッドで作成します。ここで、partnerNameは作成するパートナの名前です。 |
PUT |
POST操作と同じです。 |
|
GET |
指定したSPパートナ・リソースをこのメソッドで取得します。ここで、partnerNameはリクエストするSPパートナの名前です。 |
|
DELETE |
指定したSPパートナ・リソースをこのメソッドで削除します。IDまたはNAME問合せパラメータと一致するSPパートナ・リソースが削除されます。 |
|
|
POST |
クライアントはこのサービスを使用して、このメソッドにより、2つのフェデレーション・サーバーをリモートRESTサービスに接続します。この場合は、両方のフェデレーション・サーバーがOAMインストールです |
|
POST |
テストSPリソースをこのメソッドで有効または無効にします。 |
PUT |
POST操作と同じです。 |
|
GET |
テストSPリソースをこのメソッドで取得します。 |
|
|
POST |
このメソッドを使用して、ローカル認証またはフェデレーションSSOのローカル・サーバーを作成します。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。 |
|
POST |
特定のSPパートナ・リソースは、このメソッドを使用して作成されます。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。 |
|
POST |
特定のIdPパートナ・リソースをこのメソッドで作成します。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。 |
|
POST |
クライアントでは、このサービスを使用して、2台のフェデレーション・サーバーがリモートRESTサービスに接続されます。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。 |
|
POST |
テストSPリソースをこのメソッドで有効または無効にします。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。 |
|
POST |
それぞれのfedrest URLを/oam/services/rest/11.1.2.0.0/fed/admin/ssoserviceにリダイレクトします。これは、ローカル認証またはフェデレーションSSOのためのローカル・サーバーの作成に使用されます。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データのタイプは、FORM POSTデータです。 |
|
POST |
それぞれのfedrest URLを/oam/services/rest/11.1.2.0.0/fed/admin/trustedsppartnersにリダイレクトします。これは、特定のSPパートナ・リソースの作成に使用されます。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。 |
|
POST |
それぞれのfedrest URLを/oam/services/rest/11.1.2.0.0/fed/admin/trustedidppartnersにリダイレクトします。これは、特定のIdPパートナ・リソースの作成に使用されます。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。 |
|
POST |
それぞれのfedrest URLを/oam/services/rest/11.1.2.0.0/fed/admin/orchestratorserviceにリダイレクトします。このサービスは、2台のフェデレーション・サーバーをリモートRESTサービスに接続するためにクライアントによって使用されます。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。 |
RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/sso
リクエストは、顧客がアイデンティティ・プロバイダである場合にPOSTメソッドを使用してSSOサービスを構成するために使用されます。
このAPIは、Fusion Applicationsに接続するために使用され、FAAuthSchemeを構成します。
Fusion Applicationsについては、IdPは次のようにグローバル・レベルで構成されます。
SAML 2.0のみ有効化。
SSO POST、SSOアーティファクト、SLOリダイレクト・プロファイルのみ有効化。
NameID
ユーザーの属性としてメールが設定された場合はEメール・アドレス。
ユーザーの属性としてuidが設定された場合は未指定(デフォルト)。
1セットのSAML操作用キー/証明書。
OAM/Fedに特定のSPパートナ構成を設定できるようになります。
使用するSSOバインディング。
使用するNameIDの形式と値。
使用するNameIDの形式と値。
送信されるその他の属性
属性として送信されるNameIDの値: SAML属性名、ユーザーのIDまたはEメール・アドレスを送信するかどうかをSPパートナが指定します。
アサーション・マッピング操作中にSPが使用する静的属性値: SAML属性名とその値をSPパートナが指定します。
IdPがユーザーを認証する必要がある場合は、WebGate OAMで保護されたURLに、FAAuthSchemeによってユーザーがリダイレクトされます。
OAMがローカル認証用に構成されている場合は、ユーザーが自分の資格証明を入力するログイン・ページを表示するようにFAAuthSchemeがOAMに指示します。
OAMがフェデレーションSSO用に構成されている場合は、ユーザーをSaaS OIF/SPにリダイレクトして、フェデレーションSSOを開始するようにFAAuthSchemeがOAMに指示します。
ユーザーが認証方法を決定するようにOAMが構成されている場合は、選択ページを表示し、ユーザーの選択に応じて、ローカル認証またはフェデレーションSSO操作を実行するようにFAAuthSchemeがOAMに指示します。
次に、このcURLコマンドの入力ファイルを示します
説明
ssoFederation
は、保護されたリソースのためにフェデレーテッドSSOを有効にする、FAAuthScheme内の設定です。
ssoFederation =、
=、
=
ssoChooser
は、ログイン・ページでフェデレーテッドSSOリンク、およびユーザー名とパスワードを使用するローカル・ログインの両方を表示できるようにする設定です。
oamLogoutDoneURL
は、シングル・ログアウトによってユーザーがログアウトした後にリダイレクトするURLです。
curl -X POST -H "Content-Type: application/json" -d '{"ssoFederation": "true", "ssoChooser": "false", "oamLogoutDoneURL": "http://test.com/customLogout"}' http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/sso --user USER:PASSWORD
返される結果:
{"status":"1","statusMessage":""}
RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/sso
リクエストは、顧客がアイデンティティ・プロバイダである場合にGETメソッドを使用してSSOサービス情報を取得するために使用されます。次に、このcURLコマンドの入力ファイルを示します
curl -u USER:PASSWORD --request GET 'http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/sso'
返される結果:
{"ssoFederation":"true","ssoChooser":"false","oamLogoutDoneURL":"http://test.com/customLogout"}
RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/sso
リクエストは、顧客がアイデンティティ・プロバイダである場合にPUTメソッドを使用してSSOサービスを構成するために使用されます。次に、このcURLコマンドの入力ファイルを示します
curl -X PUT -H "Content-Type: application/json" -d '{"ssoFederation": "false", "ssoChooser": "false", "oamLogoutDoneURL": ""}' http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/sso --user USER:PASSWORD
返される結果:
{"status":"1","statusMessage":""}
RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/ sp/partnerName
リクエストは、Trusted Partners Serviceを作成します。使用されるサービスは、SPパートナの名前が格納された/trustedpartners/sp/acmeSPサービスです。
次に、このcURLコマンドの入力ファイルを示します。
説明
metadataB64
ピア・パートナのメタデータXMLのベース64エンコーディングに対応する16進数文字列。curlを使用する場合は、Base 64でエンコードされたメタデータ文字列において+記号をエスケープする必要があります。
ssoProfile
使用するSAML 2.0 SSOプロファイル(artifactまたはhttppost)。
nameIDFormat
フェデレーションSSO時に使用されるNameID形式。指定可能な値はemailaddressまたはunspecifiedです。emailaddressの場合は、IdPが作成するアサーションのNameID値にユーザーのEメールアドレスが格納され、unspecifiedの場合は、IdPが作成するアサーションのNameID値にユーザーのIDが格納されます。
curl -X POST -H "Content-Type: application/json" -d '{ "metadataB64": "...", "partnerType": "sp", "partnerName": "acmeSP", "nameIDFormat": "unspecified", "ssoProfile": "httppost" }' http://<SERVER>:<PORT>/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp/acmeSP --user <USER>:<PASSWORD>
返される結果:
{ "status":"1", "statusMessage":"" }
RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/ sp
リクエストは、Trusted Partners Serviceのリストを取得します。次に、このcURLコマンドの入力ファイルを示します。
curl -u USER:PASSWORD --request GET 'http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp'
返される結果:
{ "partnerInfoList": [ { "metadataB64":"...", "partnerName":"acmeSP", "nameIDFormat":"unspecified", "ssoProfile":"httppost", "providerID":"http://acme:7499/fed/sp", "assertionConsumerURL":"http://acme:7777/fed/sp/sso", "logoutRequestURL":"http://acme:7777/fed/idp/samlv20", "logoutResponseURL":"http://acme:7777/fed/idp/samlv20", "adminManualCreation":"false", "displaySigningCertDN":"CN=acme OIF Signing Certificate", "displaySigningCertIssuerDN":"CN=OIFCert", "displaySigningCertStart":"2014-10-07T06:32:16-07:00", "displaySigningCertExpiration":"2024-10-11T06:32:17-07:00", "displayEncryptionCertDN":" CN=acme OIF Enc Certificate", "displayEncryptionCertIssuerDN":"CN=OIFCert", "displayEncryptionCertStart":"2014-10-07T06:32:16-07:00", "displayEncryptionCertExpiration":"2024-10-11T06:32:17-07:00" }, { "metadataB64":"...", "partnerName":"ciscoSP", "nameIDFormat":"emailaddress", "ssoProfile":"httppost", "providerID":"http://cisco:7499/fed/sp", "assertionConsumerURL":"http://cisco:7777/fed/sp/sso", "logoutRequestURL":"http://cisco:7777/fed/idp/samlv20", "logoutResponseURL":"http://cisco:7777/fed/idp/samlv20", "lastNameAttrName":"lastname", "firstNameAttrName":"firstname", "userNameAttrName":"username", "emailAttrName":"email" "adminManualCreation":"false", "displaySigningCertDN":"CN=cisco OIF Signing Certificate", "displaySigningCertIssuerDN":"CN=OIFCert", "displaySigningCertStart":"2014-10-07T06:32:16-07:00", "displaySigningCertExpiration":"2024-10-11T06:32:17-07:00", "displayEncryptionCertDN":" CN=cisco OIF Enc Certificate", "displayEncryptionCertIssuerDN":"CN=OIFCert", "displayEncryptionCertStart":"2014-10-07T06:32:16-07:00", "displayEncryptionCertExpiration":"2024-10-11T06:32:17-07:00" } ] }
RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/ sp/partnerNameリクエストは、特定のTrusted Partners Serviceについて情報を取得します。次に、このcURLコマンドの入力ファイルを示します。
curl -u USER:PASSWORD --request GET 'http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp/acmeSP'
返される結果:
{ "metadataB64":"...", "partnerName":"acmeSP", "nameIDFormat":"unspecified", "ssoProfile":"httppost", "providerID":"http://acme:7499/fed/sp", "assertionConsumerURL":"http://acme:7777/fed/sp/sso", "logoutRequestURL":"http://acme:7777/fed/idp/samlv20", "logoutResponseURL":"http://acme:7777/fed/idp/samlv20", "adminManualCreation":"false", "displaySigningCertDN":"CN=acme OIF Signing Certificate", "displaySigningCertIssuerDN":"CN=OIFCert", "displaySigningCertStart":"2014-10-07T06:32:16-07:00", "displaySigningCertExpiration":"2024-10-11T06:32:17-07:00", "displayEncryptionCertDN":" CN=acme OIF Enc Certificate", "displayEncryptionCertIssuerDN":"CN=OIFCert", "displayEncryptionCertStart":"2014-10-07T06:32:16-07:00", "displayEncryptionCertExpiration":"2024-10-11T06:32:17-07:00" }
RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/ sp/partnerNameリクエストは、特定のTrusted Partners Serviceについて情報を変更するために使用されます。次に、このcURLコマンドの入力ファイルを示します。
curl -X PUT -H "Content-Type: application/json" -d '{ "metadataB64": "..." }' http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp/acmeSP --user USER:PASSWORD
返される結果:
{"status":"1","statusMessage":""}
RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/ sp/partnerNameリクエストは、特定のTrusted Partners Serviceについて情報を削除するために使用されます。次に、このcURLコマンドの入力ファイルを示します。
curl -u USER:PASSWORD --request DELETE 'http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp/acmeSP'
返される結果:
{"status":"1","statusMessage":""}
RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/testspサービス・リクエストは、POSTメソッドを使用してテストSPを有効にするために使用されます。次に、このcURLコマンドの入力ファイルを示します。
curl -X POST -H "Content-Type: application/json" -d '{"enabled": "true"}' http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/testsp --user USER:PASSWORD
返される結果:
{"status":"1","statusMessage":""}
RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/testspサービス・リクエストは、GETメソッドを使用してテストSP有効化の詳細を取得するために使用されます。次に、このcURLコマンドの入力ファイルを示します。
curl -u USER:PASSWORD --request GET 'http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/testsp'
返される結果:
{ "enabled":"true" }
RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/testspサービス・リクエストは、PUTメソッドを使用してテストSPを無効にするために使用されます。次に、このcURLコマンドの入力ファイルを示します。
curl -X PUT -H "Content-Type: application/json" -d '{"enabled": "false"}' http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/testsp --user USER:PASSWORD
返される結果:
{"status":"1","statusMessage":""}
/fedrest/configuressoリクエストは、リクエストURLを実際の必要なURLである/oam/services/rest/11.1.2.0.0/fed/admin/ssoserviceにリダイレクトします。このURLは、顧客がアイデンティティ・プロバイダである場合にPOSTメソッドを使用してSSOサービスを構成するために使用されます。
次に、cURLコマンドのファイル例を示します。
curl -v -i -u <USER>:<PASSWORD> -X POST -d @ssoConfigureData.in http://<SERVER>:<PORT>/fedrest/configuresso
ssoConfigureData.inファイル:
spTenantName=&idpProviderID=& preverify=false&ssoFederation=true& ssoChooser=true&oamadminuser=<USER>& oamadminpassword=<PASSWORD>& oamadminhost=<SERVER>& oamadminport=<PORT>
curl -u <USER>:<PASSWORD> --data "spTenantName=""&idpProviderID=""& preverify="false"&ssoFederation="true"&ssoChooser="true"& oamadminuser="<USER>"&oamadminpassword="<PASSWORD>"&oamadminhost="<SERVER>"& oamadminport="<PORT>"&oamLogoutDoneURL=""" --request POST 'http://<SERVER>:<PORT>/oam/services/rest/11.1.2.0.0/fed/admin/ssoservice'; -X POST -d @ssoConfigureData.in http://<SERVER>:<PORT>/fedrest/configuresso
/fedrest/createspリクエストは、リクエストURLを、Trusted Partners Serviceを作成する実際に必要なURLである/oam/services/rest/11.1.2.0.0/fed/admin/trustedsppartnersにリダイレクトします。
次に、このcURLコマンドの入力ファイルを示します。
説明
ssoProfile
使用するSAML 2.0 SSOプロファイル(artifactまたはhttppost)。
nameIDFormat
フェデレーションSSO時に使用されるNameID形式。指定可能な値はemailaddressまたはunspecifiedです。emailaddressの場合は、IdPが作成するアサーションのNameID値にユーザーのEメールアドレスが格納され、unspecifiedの場合は、IdPが作成するアサーションのNameID値にユーザーのIDが格納されます。
curl -v -i -u <USER>:<PASSWORD> -X POST -d @spCurlData.in http://<HOST>:<PORT>/fedrest/createsp
spCurlData.inファイル:
idpTenantName=&idpTenantURL=& spPartnerName=spPartner-sample& spProviderID=&metadata=&metadataURL=& assertionConsumerURL=&logoutRequestURL=& logoutResponseURL=&signingCert=&encryptionCert=& nameIDFormat=unspecified&ssoProfile=artifact& generateNewKeys=&validityNewKeys=&preverify=false& lastNameAttrName=&firstNameAttrName=&userNameAttrName=& emailAttrName=&staticAttrName=&staticAttrValue=&customAttrs= ...
curl -v -i -u <USER>:<PASSWORD> -X POST -d @spCurlData.in https://<SERVER>:<PORT>/oam/services/rest/11.1.2.0.0/fed/admin/trustedsppartners
spCurlData.inファイル:
idpTenantName=&idpTenantURL=& spPartnerName=spPartner-sample& spProviderID=&metadata=&metadataURL=& assertionConsumerURL=&logoutRequestURL=& logoutResponseURL=&signingCert=&encryptionCert=& nameIDFormat=unspecified&ssoProfile=artifact& generateNewKeys=&validityNewKeys=&preverify=false& lastNameAttrName=&firstNameAttrName=&userNameAttrName=& emailAttrName=&staticAttrName=&staticAttrValue=&customAttrs=...
/fedrest/createidpリクエストは、リクエストURLを、Trusted IdP Partner Serviceを作成する実際に必要なURLである/oam/services/rest/11.1.2.0.0/fed/admin/trustedidppartnersにリダイレクトします。
次に、このcURLコマンドの入力ファイルを示します。
説明
ssoProfile
使用するSAML 2.0 SSOプロファイル(artifactまたはhttppost)。
nameIDFormat
フェデレーションSSO時に使用されるNameID形式。指定可能な値はemailaddressまたはunspecifiedです。emailaddressの場合は、IdPが作成するアサーションのNameID値にユーザーのEメールアドレスが格納され、unspecifiedの場合は、IdPが作成するアサーションのNameID値にユーザーのIDが格納されます。
curl -v -i -u <USER>:<PASSWORD> -X POST -d @idpCurlData.in http://<SERVER>:<PORT>/fedrest/createidp
idpCurlData.inファイル:
spTenantName=&spTenantURL=& idpPartnerName=idpPartner-sample& idpProviderID=&metadata=&metadataURL=& ssoURL=&ssoSOAPURL=&logoutRequestURL= &logoutResponseURL=&signingCert=& encryptionCert=&succinctID=& nameIDFormat=emailaddress&attributeLDAP=& attributeSAML=&ssoProfile=artifact&faWelcomePage= &tenantKeyName=&tenantKeyValue=&generateNewKeys=& validityNewKeys=&preverify=false
curl -v -i -u <USER>:<PASSWORD> -X POST -d @idpCurlData.in https://<SERVER>:<PORT>/oam/services/rest/11.1.2.0.0/fed/admin/trustedidppartners
idpCurlData.inファイル:
spTenantName=&spTenantURL=& idpPartnerName=idpPartner-sample& idpProviderID=&metadata=&metadataURL=& ssoURL=&ssoSOAPURL=&logoutRequestURL=& logoutResponseURL=&signingCert=& encryptionCert=&succinctID=& nameIDFormat=emailaddress&attributeLDAP=& attributeSAML=&ssoProfile=artifact&faWelcomePage=& tenantKeyName=&tenantKeyValue=&generateNewKeys=& validityNewKeys=&preverify=false
/fedrest/orchestratorリクエストは、リクエストURLを、2台のフェデレーション・サーバーをリモートRESTサービスに接続する実際に必要なURLである/oam/services/rest/11.1.2.0.0/fed/admin/orchestratorにリダイレクトします。
次に、cURLコマンドのファイル例を示します。
説明
ssoProfile
使用するSAML 2.0 SSOプロファイル(artifactまたはhttppost)。
nameIDFormat
フェデレーションSSO時に使用されるNameID形式。指定可能な値はemailaddressまたはunspecifiedです。emailaddressの場合は、IdPが作成するアサーションのNameID値にユーザーのEメールアドレスが格納され、unspecifiedの場合は、IdPが作成するアサーションのNameID値にユーザーのIDが格納されます。
curl -v -i -u <USER>:<PASSWORD> -X POST -d @orch.in http://<SERVER>:<PORT>/fedrest/orchestrator
orch.inファイル:
command=setupSPAndIdPTrust&spresturl=https://<SERVER>:<PORT>/fedrest/createidp&spadminuser=<USER>&spadminpassword=<PASSWORD>&spmetadataurl=&idpPartnerName=sample-idp&sptype=oif&idpresturl=http://<SERVER>:<PORT>/fedrest/createsp&idpadminuser=<USER>&idpadminpassword=<PASSWORD>&idpmetadataurl=&spPartnerName=sample-sp&idptype=oif&nameIDFormat=emailaddress&ssoProfile=httppost
注意: idpmetadataurlおよびspmetadataurlは、エンコードされたURLである必要があります。 |
curl -v -i -u <USER>:<PASSWORD> -X POST -d @orch.in https://<SERVER>:<PORT>/oam/services/rest/11.1.2.0.0/fed/admin/orchestratorservice
orch.inファイル:
command=setupSPAndIdPTrust&spresturl=http://<SERVER>:<PORT>/oam/services/rest/11.1.2.0.0/fed/admin/trustedidppartners&spadminuser=<USER>&spadminpassword=<PASSWORD>&spmetadataurl=&idpPartnerName=sample-idp&sptype=oif&idpresturl=http://<SERVER>:<PORT>/oam/services/rest/11.1.2.0.0/fed/admin/trustedsppartners&idpadminuser=<USER>&idpadminpassword=<PASSWORD>&idpmetadataurl=&spPartnerName=sample-sp&idptype=oif&nameIDFormat=emailaddress&ssoProfile=httppost