Oracle® Fusion Middleware Oracle Web Services ManagerによるWebサービスの保護のユース・ケース 12c (12.2.1) E72707-01 |
|
![]() 前 |
![]() 次 |
この章では、Identity Provided STS (IP-STS)としてMicrosoft ADFS 2.0 STS、Replying Party (RP-STS)としてOracle STSを使用したWebサービス・フェデレーションの構成方法について説明します。
この章には、次のセクションがあります。
ユース・ケース・サマリーは、この章の情報が自分のニーズに合致するかどうかを迅速に判断するのに役立ちます。
次の表は、ユース・ケースの目標、ソリューションおよびコンポーネントをまとめたものです。必要なドキュメントへのリンクも提供されます。
ユース・ケース | IP-STSとしてMicrosoft ADFS 2.0 STS、RP-STSとしてOracle STSを使用したWebサービス・フェデレーションを構成します。 |
解決策 | Oracle Web Services Manager (OWSM) WS-TrustポリシーをWebサービスおよびクライアントにアタッチして、Oracle STSおよびMicrosoft ADFS 2.0 STSを構成してセキュリティ・ドメイン間の信頼を確立します。 |
コンポーネント |
|
このユース・ケースは、次の操作に必要な手順を示します。
適切なOWSMセキュリティ・ポリシーをアタッチして、SAMLベアラー認証を使用したメッセージ・レベルの保護を実行します。
特に、次のポリシーをクライアントおよびサービスにそれぞれアタッチします。
oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policy
およびoracle/sts_trust_config_client_template
に基づくポリシー
oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policy
IP-STSとしてMicrosoft ADFS 2.0 STS、RP-STSとしてOracle STSを使用して、Webサービス・フェデレーションを構成します。
サービス、RP-STSおよびIP-STSを保護するには、SSL付きトランスポート・セキュリティを使用します。
ユース・ケースを実装するには、次のタスクを実行します。
注意: 次の各項には、Oracle STSおよびMicrosoft ADFS 2.0 STSの高レベルな構成手順が示されています。これらの構成手順の実行方法の詳細は、特定のSTSのドキュメントを参照してください。
|
Webサービスを構成するには:
oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policy
ポリシーをWebサービスにアタッチします。完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する項を参照してください。
Oracle STS /wssbearer
エンドポイントの署名証明書をOWSMキーストアにインポートします。
信頼する発行者および信頼するDNとして、Oracle STSエンドポイントを定義します。完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のSAML署名証明書の信頼できる発行者および信頼できる識別名リストの定義に関する項を参照してください。
RP-STSとしてOracle STSを構成するには、次の手順を実行します。完全な手順は、http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oraclests-166231.html
のOracle STSドキュメントを参照してください。
ポート14101
で一方向SSLが有効になるようにWebLogic Serverを構成します。
Oracle STS /wssbearer
エンドポイントを次のように構成します。
ポリシー(URI sts/wss_sts_issued_saml_bearer_token_over_ssl_service_policy
)をアタッチします。
OWSM LRG SAML Validation
検証テンプレートを作成して受信SAMLトークンを検証し、それをエンドポイントに適用します。
Oracle STSでサービスをリプライ・パーティ・パートナとして追加します。
IP-STSとして機能するMicrosoft ADFS 2.0 STSインスタンスを、信頼できるアイデンティティ・プロバイダとして追加します。
Microsoft ADFS 2.0 STSインスタンスの発行局パートナ・プロファイルを構成します。
Microsoft ADFS 2.0 STSインスタンスを発行局パートナとして追加します。パートナ名として、インスタンスのSAMLアサーションの発行者を指定します。
Microsoft ADFS 2.0 STSインスタンスの署名証明書をOWSMキーストアにインポートします。
IP-STSとしてMicrosoft ADFS 2.0 STSを構成するには、次の手順を実行します。完全な手順は、http://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspx
のMicrosoft ADFS 2.0 STSドキュメントを参照してください。
/usernamemixed
エンドポイントが有効であることを確認します。
ADFS 2.0管理コンソールを使用して、IP-STSとして機能するOracle STSインスタンスをリライイング・パーティとして追加します。
RP-STSのSAMLベアラー・トークンを発行するようにADFS 2.0 STSを構成します。
Webサービス・クライアントを構成するには:
ポリシーoracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policy
をアタッチし、Webサービスを参照するように構成します。完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する項を参照してください。
また、sts.in.order
を、Oracle STSエンドポイントのURIに設定し、その後にADFS 2.0 STSエンドポイントを続けます。次に例を示します。
http://m2.example.com:14100/sts/wssbearer; http://http://m1.example.com/adfs/services/trust/13/usernamemixed
oracle/sts_trust_config_client_template
からポリシーを作成し、それを次のように変更し、クライアントにアタッチします。
ポートURIをADFS 2.0 STSエンドポイントに設定します。次に例を示します。
http://m1.example.com/adfs/services/trust/13/usernamemixed
クライアント・ポリシーURI oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policy
を設定します。
完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーの作成および編集に関する項を参照してください。
oracle/sts_trust_config_client_template
からポリシーを作成し、それを次のように変更し、クライアントにアタッチします。
ポートURIをOracle STSエンドポイントに設定します。次に例を示します。
http://m2.example.com:14100/sts/wssbearer
WSDL URIをOracle STSエンドポイントに設定します。次に例を示します。
http://m2.example.com:14100/sts/wss11user?wsdl
完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーの作成および編集に関する項を参照してください。
この章のソリューションが実装されているその他のテクノロジおよびツールの詳細は、次の参考資料を参照してください。
Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理
Oracle Web Services Managerの理解
http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oraclests-166231.html
のOracle STSドキュメント
Microsoft ADFS 2.0 STS: http://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspx