5 IP-STSとしてMicrosoft ADFS 2.0 STS、RP-STSとしてOracle STSを使用したフェデレーションの構成

この章では、Identity Provided STS (IP-STS)としてMicrosoft ADFS 2.0 STS、Replying Party (RP-STS)としてOracle STSを使用したWebサービス・フェデレーションの構成方法について説明します。

この章の構成は、次のとおりです。

• ユース・ケース: Microsoft ADFS 2.0 STSをIP-STSとして、Oracle STSをRP-STSとして使用

• ユース・ケース: Microsoft ADFS2.0 STSを使用したWebサービスのフェデレーションの実装

• Oracle Web Services Managerのその他のリソース

5.1 ユース・ケース: Microsoft ADFS 2.0 STSをIP-STSとして、Oracle STSをRP-STSとして使用

ユース・ケース・サマリーは、この章の情報が自分のニーズに合致するかどうかを迅速に判断するのに役立ちます。

次のリストは、ユース・ケースの目標、ソリューションおよびコンポーネントをまとめたものです。必要なドキュメントへのリンクも提供されます。

ユース・ケース

IP-STSとしてMicrosoft ADFS 2.0 STS、RP-STSとしてOracle STSを使用したWebサービス・フェデレーションを構成します。

ソリューション

Oracle Web Services Manager (OWSM) WS-TrustポリシーをWebサービスおよびクライアントにアタッチして、Oracle STSおよびMicrosoft ADFS 2.0 STSを構成してセキュリティ・ドメイン間の信頼を確立します。

コンポーネント

• Oracle WebLogic Server

• Oracle Web Services Manager(OWSM)

• Oracle STS

• Microsoft ADFS 2.0 STS

• 保護するWebサービスおよびクライアント・アプリケーション

このユース・ケースは、次の操作に必要な手順を示します。

• 適切なOWSMセキュリティ・ポリシーをアタッチして、SAMLベアラー認証を使用したメッセージ・レベルの保護を実行します。

  特に、次のポリシーをクライアントおよびサービスにそれぞれアタッチします。

  • oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policyおよびoracle/sts_trust_config_client_templateに基づくポリシー

  • oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policy

• IP-STSとしてMicrosoft ADFS 2.0 STS、RP-STSとしてOracle STSを使用して、Webサービス・フェデレーションを構成します。

サービス、RP-STSおよびIP-STSを保護するには、SSL付きトランスポート・セキュリティを使用します。

5.2 ユース・ケース: Microsoft ADFS2.0 STSを使用したWebサービスのフェデレーションの実装

ユース・ケースを実装するには、次のタスクを実行します。

• Webサービスの構成

• Oracle STSをRP-STSとして構成

• Microsoft ADFS 2.0 STSをIP-STSとして構成

• Webサービス・クライアントの構成

注意:

次の各項には、Oracle STSおよびMicrosoft ADFS 2.0 STSの高レベルな構成手順が示されています。これらの構成手順の実行方法の詳細は、特定のSTSのドキュメントを参照してください。

• Oracle STSの場合: http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oraclests-166231.html

• Microsoft ADFS 2.0 STSの場合: http://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspx

5.2.1 Webサービスの構成

Webサービスを構成するには:

1. oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policyポリシーをWebサービスにアタッチします。完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する項を参照してください。
2. Oracle STS /wssbearerエンドポイントの署名証明書をOWSMキーストアにインポートします。
3. 信頼する発行者および信頼するDNとして、Oracle STSエンドポイントを定義します。完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のSAML署名証明書の信頼できる発行者および信頼できる識別名リストの定義に関する項を参照してください。

5.2.2 Oracle STSをRP-STSとして構成

RP-STSとしてOracle STSを構成するには、次の手順を実行します。

完全な手順は、http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oraclests-166231.htmlのOracle STSドキュメントを参照してください。

1. ポート14101で一方向SSLが有効になるようにWebLogic Serverを構成します。
2. Oracle STS /wssbearerエンドポイントを次のように構成します。

   • ポリシー(URI sts/wss_sts_issued_saml_bearer_token_over_ssl_service_policy)をアタッチします。

   • OWSM LRG SAML Validation検証テンプレートを作成して受信SAMLトークンを検証し、それをエンドポイントに適用します。

3. Oracle STSでサービスをリプライ・パーティ・パートナとして追加します。
4. IP-STSとして機能するMicrosoft ADFS 2.0 STSインスタンスを、信頼できるアイデンティティ・プロバイダとして追加します。
   1. Microsoft ADFS 2.0 STSインスタンスの発行局パートナ・プロファイルを構成します。
   2. Microsoft ADFS 2.0 STSインスタンスを発行局パートナとして追加します。パートナ名として、インスタンスのSAMLアサーションの発行者を指定します。
   3. Microsoft ADFS 2.0 STSインスタンスの署名証明書をOWSMキーストアにインポートします。

5.2.3 Microsoft ADFS 2.0 STSをIP-STSとして構成

IP-STSとしてMicrosoft ADFS 2.0 STSを構成するには、次の手順を実行します。

完全な手順は、http://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspxのMicrosoft ADFS 2.0 STSドキュメントを参照してください。

1. /usernamemixedエンドポイントが有効であることを確認します。
2. ADFS 2.0管理コンソールを使用して、IP-STSとして機能するOracle STSインスタンスをリライイング・パーティとして追加します。
3. RP-STSのSAMLベアラー・トークンを発行するようにADFS 2.0 STSを構成します。

5.2.4 Webサービス・クライアントの構成

Webサービス・クライアントを構成するには:

1. ポリシーoracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policyをアタッチし、Webサービスを参照するように構成します。完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する項を参照してください。

   また、sts.in.orderを、Oracle STSエンドポイントのURIに設定し、その後にADFS 2.0 STSエンドポイントを続けます。次に例を示します。

   http://m2.example.com:14100/sts/wssbearer;
   http://http://m1.example.com/adfs/services/trust/13/usernamemixed
   

2. oracle/sts_trust_config_client_templateからポリシーを作成し、それを次のように変更し、クライアントにアタッチします。

   • ポートURIをADFS 2.0 STSエンドポイントに設定します。次に例を示します。

     http://m1.example.com/adfs/services/trust/13/usernamemixed
     

   • クライアント・ポリシーURI oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policyを設定します。

   完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーの作成および編集に関する項を参照してください。

3. oracle/sts_trust_config_client_templateからポリシーを作成し、それを次のように変更し、クライアントにアタッチします。

   • ポートURIをOracle STSエンドポイントに設定します。次に例を示します。

     http://m2.example.com:14100/sts/wssbearer
     

   • WSDL URIをOracle STSエンドポイントに設定します。次に例を示します。

     http://m2.example.com:14100/sts/wss11user?wsdl
     

   完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーの作成および編集に関する項を参照してください。

5.3 Oracle Web Services Managerのその他のリソース

この章のソリューションが実装されているその他のテクノロジおよびツールの詳細は、次の参考資料を参照してください。

• Oracle Web Services ManagerによるWebサービスの保護およびポリシーの管理

• Oracle Web Services Managerの理解

• http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oraclests-166231.htmlのOracle STSドキュメント

• Microsoft ADFS 2.0 STS: http://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspx