| Oracle® Fusion Middleware Oracle Web Services Managerでの資格証明およびキーストアの管理のためのREST API 12c (12.2.1.3.0) E90306-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Web Services Managerでの資格証明およびキーストアの管理のためのREST API 12c (12.2.1.3.0) E90306-02 |
|
|
前 |
次 |
REST APIを使用してトークン発行者の信頼構成の参照や管理を行うには、まず、RESTリソースにアクセスする方法と、その他の重要な概念について理解しておく必要があります。
詳細は、「REST APIについて」を参照してください。
トークン発行者の信頼の管理の詳細は、『Webサービスの管理』の署名証明書の信頼できる発行者および信頼できるDNリストの定義に関する項を参照してください。
この章の内容は次のとおりです。
トークン発行者の信頼構成の参照と管理には、Representational State Transfer (REST)リソースのセットを使用できます。次に、その概要を示します。
| 参照先 | メソッド | リソース・パス |
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
/idaas/webservice/admin/v1/trust/token |
|
|
|
|
|
/idaas/webservice/admin/v1/trust/token |
|
|
|
|
GET |
/idaas/webservice/admin/v1/trustdocument/export |
|
POST |
/idaas/webservice/admin/v1/trustdocument/import |
|
|
|
|
|
|
|
フェデレーション・メタデータ・ドキュメントのインポート・メソッド |
|
|
フェデレーション・メタデータ・ドキュメントのエクスポート・メソッド |
|
|
フェデレーション・メタデータ・ドキュメントの取消しメソッド |
|
|
|
|
|
|
|
|
| 1つのPaas — 1つのトークンの信頼 | POST |
/idaas/webservice/admin/v1/trust/token |
| トークン発行者の信頼の有効化および無効化 | POST |
/idaas/webservice/admin/v1/trust/issuers |
| JWKドキュメントの信頼構成のインポート | PUT |
/idaas/webservice/admin/v1/federation/jwk/import |
| JWK信頼構成の取消し | PUT |
/idaas/webservice/admin/v1/federation/jwk/revoke |
PUT |
/idaas/webservice/admin/v1/federation/discoverymetadata/import |
|
PUT |
/idaas/webservice/admin/v1/federation/discoverymetadata/revoke |
このPostメソッドは、信頼できる発行者ドキュメントを作成するために使用します。
RESTリクエスト
POST /idaas/webservice/admin/v1/trustdocument
パラメータ
次の表は、POSTリクエストのパラメータの概要を示します。
| 名前 | 説明 | タイプ |
|---|---|---|
|
ドキュメントの表示名。 |
問合せ |
|
ドキュメントの名前。 |
問合せ |
レスポンス本文
リクエストまたはレスポンス本文のメディア・タイプ: application/json
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
| 属性 | 説明 |
|---|---|
|
|
|
|
|
操作結果の詳細。 |
|
操作のステータス。たとえば、 |
cURLの例
テスト済
次の例は、cURLを使用してRESTリソースにPOSTリクエストを発行して信頼できる発行者ドキュメントを作成する方法を示しています。
curl -i -X POST -u username:password http://myhost:7001/idaas/webservice/admin/v1/trustdocument?"documentName=myTrustDocument&displayName=myTrustDocument"
レスポンス・ヘッダーの例
レスポンス・ヘッダーの例を次に示します。HTTPステータス・コードの詳細は、「HTTPメソッドのHTTPステータス・コード」を参照してください。
HTTP/1.1 200 OK
レスポンス本文の例
JSON形式のレスポンス本文の例を次に示します。
{
"STATUS": "Succeeded",
"Result": "New Token Issuer Trust document named "myTrustDocument" created."
}
このPOSTメソッドは、ドメインのコンテキストにおける署名証明書(つまり、ドメイン全体に適用される署名証明書)の信頼できる発行者と識別名(DN)のリストを作成するために使用します。
RESTリクエスト
POST /idaas/webservice/admin/v1/trust/issuers
リクエスト本文
リクエスト本文のメディア・タイプ: application/json
リクエスト本文には、追加リクエストの詳細が含まれます。
| 属性 | 説明 | 必須 |
|---|---|---|
|
信頼できる発行者に追加されるDN値のリスト。各DNについて、RFC 2253に従った文字列を使用します(次のURLを参照: |
はい |
|
信頼できる発行者に関する情報をグループ化します。 |
はい |
|
信頼する発行者の名前。たとえば、 |
はい |
|
JSON Web Token (JWT)の信頼できる発行者に関する情報をグループ化します。 |
いいえ |
|
SAML holder-of-keyの信頼できる発行者に関する情報をグループ化します。 |
いいえ |
|
SAML送信者保証の信頼できる発行者に関する情報をグループ化します。 |
いいえ |
|
信頼できる発行者およびDNリストをグループ化します。 |
はい |
レスポンス本文
レスポンス本文のメディア・タイプ: application/json
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
| 属性 | 説明 |
|---|---|
|
|
|
|
|
操作のステータス。たとえば、 |
cURLの例
テスト済
次の例は、cURLを使用してRESTリソースにPOSTリクエストを発行して信頼できる発行者およびDNリストを作成する方法を示しています。
curl -i -X POST -u username:password --data @createtrust.json -H Content-Type:application/json http://myhost:7001/idaas/webservice/admin/v1/trust/issuers
リクエスト本文の例
JSON形式のリクエスト本文の例を次に示します。
{
"saml-trusted-dns":
{
"saml-hok-trusted-dns":
{
"issuer": [
{
"-name": "www.oracle.com",
"dn": [ "wls1", ]
}
]
},
"saml-sv-trusted-dns":
{
"issuer": [
{
"-name": "www.oracle.com",
"dn": [ "wls2", ]
}
]
},
"jwt-trusted-issuers":
{
"issuer": [
{
"-name": "www.oracle.com",
"dn": [ "CN=orakey, OU=Orakey,O=Oracle, C=US", ]
}
]
}
}
}
レスポンス・ヘッダーの例
レスポンス・ヘッダーの例を次に示します。
HTTP/1.1 200 OK
レスポンス本文の例
JSON形式のレスポンス本文の例を次に示します。
{
"STATUS": "Succeeded",
}
このPOSTメソッドは、ドキュメントのコンテキストにおける署名証明書(つまり、特定のドキュメントに適用される署名証明書)の信頼できる発行者と識別名(DN)のリストを作成するために使用します。信頼できる発行者は、指定された信頼できる発行者ドキュメントに格納されます。
RESTリクエスト
POST /idaas/webservice/admin/v1/trust/issuers/{documentName}
パラメータ
次の表は、POSTリクエストのパラメータの概要を示します。
| 名前 | 説明 | タイプ |
|---|---|---|
|
信頼できる発行者ドキュメントの名前。信頼できる発行者ドキュメントの作成の詳細は、「信頼ドキュメント名のPOSTメソッド」を参照してください。 |
問合せ |
リクエスト本文
リクエスト本文のメディア・タイプ: application/json
リクエスト本文には、追加リクエストの詳細が含まれます。
| 属性 | 説明 | 必須 |
|---|---|---|
|
信頼できる発行者に追加されるDN値のリスト。各DNについて、RFC 2253に従った文字列を使用します(次のURLを参照: |
はい |
|
信頼できる発行者に関する情報をグループ化します。 |
はい |
|
信頼する発行者の名前。たとえば、 |
はい |
|
JSON Web Token (JWT)の信頼できる発行者に関する情報をグループ化します。 |
いいえ |
|
SAML holder-of-keyの信頼できる発行者に関する情報をグループ化します。 |
いいえ |
|
SAML送信者保証の信頼できる発行者に関する情報をグループ化します。 |
いいえ |
|
信頼できる発行者およびDNリストをグループ化します。 |
はい |
レスポンス本文
レスポンス本文のメディア・タイプ: application/json
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
| 属性 | 説明 |
|---|---|
|
|
|
|
|
操作のステータス。たとえば、 |
cURLの例
テスト済
次の例は、cURLを使用してRESTリソースにPOSTリクエストを発行し、信頼できる発行者とDNリストを作成する方法を示しています
curl -i -X POST -u username:password --data @createtrust.json -H Content-Type:application/json http://myhost:7001/idaas/webservice/admin/v1/trust/issuers/mydocument
リクエスト本文の例
JSON形式のリクエスト本文の例を次に示します。
{
"saml-trusted-dns":
{
"saml-hok-trusted-dns":
{
"issuer": [
{
"-name": "www.oracle.com",
"dn": [ "wls1", ]
}
]
},
"saml-sv-trusted-dns":
{
"issuer": [
{
"-name": "www.oracle.com",
"dn": [ "wls2", ]
}
]
},
"jwt-trusted-issuers":
{
"issuer": [
{
"-name": "www.oracle.com",
"dn": [ "CN=orakey, OU=Orakey,O=Oracle, C=US", ]
}
]
}
}
}
レスポンス・ヘッダーの例
レスポンス・ヘッダーの例を次に示します。
HTTP/1.1 200 OK
レスポンス本文の例
JSON形式のレスポンス本文の例を次に示します。
{
"STATUS": "Succeeded",
}
このGETメソッドは、すべてのドメイン・ドキュメントについて、信頼できる発行者と発行者の識別名(DN)リストを参照するために使用します。
RESTリクエスト
GET /idaas/webservice/admin/v1/trust/issuers
レスポンス本文
リクエストまたはレスポンス本文のメディア・タイプ: application/json
レスポンス本文には、信頼できる発行者およびDNリストに関する次のような情報が含まれます。
| 属性 | 説明 |
|---|---|
|
信頼できる発行者に追加されるDN値のリスト。 |
|
信頼できる発行者に関する情報をグループ化します。 |
|
信頼する発行者の名前。 |
|
JSON Web Token (JWT)の信頼できる発行者に関する情報をグループ化します。 |
|
SAML holder-of-keyの信頼できる発行者に関する情報をグループ化します。 |
|
SAML送信者保証の信頼できる発行者に関する情報をグループ化します。 |
|
DNリストをグループ化します。 |
cURLの例
テスト済
次の例は、cURLを使用してRESTリソースにGETリクエストを発行して信頼できる発行者およびそのDNリストを参照する方法を示しています。
curl -i -X GET -u username:password http://myhost:7001/idaas/platform/admin/v1/trust/issuers
レスポンス・ヘッダーの例
レスポンス・ヘッダーの例を次に示します。
HTTP/1.1 200 OK
レスポンス本文の例
JSON形式のレスポンス本文の例を次に示します。
{
"saml-trusted-dns":
{
"saml-hok-trusted-dns":
{
"issuer": [
{
"-name": "www.oracle.com",
"dn": [ "wls1", ]
}
]
},
"saml-sv-trusted-dns":
{
"issuer": [
{
"-name": "www.oracle.com",
"dn": [ "wls2", ]
}
]
},
"jwt-trusted-issuers":
{
"issuer": [
{
"-name": "www.oracle.com",
"dn": [ "CN=orakey, OU=Orakey,O=Oracle, C=US", ]
}
]
}
}
}
このGETメソッドは、指定されたドキュメント名に基づいて、信頼できる発行者と発行者の識別名(DN)リストを参照するために使用します。
RESTリクエスト
GET /idaas/webservice/admin/v1/trust/issuers/{documentName}
パラメータ
次の表は、GETリクエストのパラメータの概要を示します。
| 名前 | 説明 | タイプ |
|---|---|---|
|
発行者とDNリストを参照するドキュメントの名前。 |
パス |
レスポンス本文
リクエストまたはレスポンス本文のメディア・タイプ: application/json
レスポンス本文には、信頼できる発行者およびDNリストに関する次のような情報が含まれます。
| 属性 | 説明 |
|---|---|
|
信頼できる発行者に追加されるDN値のリスト。 |
|
信頼できる発行者に関する情報をグループ化します。 |
|
信頼する発行者の名前。 |
|
JSON Web Token (JWT)の信頼できる発行者に関する情報をグループ化します。 |
|
SAML holder-of-keyの信頼できる発行者に関する情報をグループ化します。 |
|
SAML送信者保証の信頼できる発行者に関する情報をグループ化します。 |
|
DNリストをグループ化します。 |
cURLの例
テスト済
次の例は、cURLを使用してRESTリソースにGETリクエストを発行して信頼できる発行者およびそのDNリストを参照する方法を示しています。
curl -i -X GET -u username:password http://myhost:7001/idaas/platform/admin/v1/trust/issuers/mydocument
レスポンス・ヘッダーの例
レスポンス・ヘッダーの例を次に示します。
HTTP/1.1 200 OK
レスポンス本文の例
JSON形式のレスポンス本文の例を次に示します。
{
"saml-trusted-dns":
{
"saml-hok-trusted-dns":
{
"issuer": [
{
"-name": "www.oracle.com",
"dn": [ "wls1", ]
}
]
},
"saml-sv-trusted-dns":
{
"issuer": [
{
"-name": "www.oracle.com",
"dn": [ "wls2", ]
}
]
},
"jwt-trusted-issuers":
{
"issuer": [
{
"-name": "www.oracle.com",
"dn": [ "CN=orakey, OU=Orakey,O=Oracle, C=US", ]
}
]
}
}
}
このPOSTメソッドは、ドメインのコンテキストに対応する信頼できる識別名(DN)のトークン属性ルール(つまり、ドメイン全体に適用されるルール)を作成するために使用します。この操作は、RESTサービスまたはクライアントにより実行できます。クライアント側ではトークン属性のマッピングのみがサポートされます。
RESTリクエスト
POST /idaas/webservice/admin/v1/trust/token
リクエスト本文
リクエスト本文のメディア・タイプ: application/json
リクエスト本文には、追加リクエストの詳細が含まれます。
| 属性 | 説明 |
|---|---|
|
信頼できるユーザーの制約フィルタおよびマッピングの属性をグループ化します。 注意: クライアント側では、この属性は必要ではありません。 |
|
サービス側では、属性ルールが構成される信頼できるDNに設定します。RFC 2253に従った文字列を使用します(次のURLを参照: クライアント側では、 |
|
信頼できるユーザーの制約値および属性を定義します。 注意: この属性は、クライアント側では適用されません。 |
|
信頼できるユーザーのマッピング属性を定義します。 |
|
属性ルールの名前。 注意: この属性は、クライアント側では適用されません。 |
|
信頼できるDNとして受け入れるユーザーを定義します。 |
|
1つのトークン属性ルールに関する情報をグループ化します。 |
|
すべてのトークン属性ルールに関する情報をグループ化します。 |
|
信頼できるDNがアサートできるユーザー属性を定義します。 注意: この属性は、クライアント側では適用されません。 |
|
信頼できるDNがアサートできるユーザー・マッピング属性を定義します。 |
|
制約フィルタの属性値を定義します。この値には、完全な名前またはワイルドカード文字(*)を含む名前パターン( 注意: この属性は、クライアント側では適用されません。 |
レスポンス本文
レスポンス本文のメディア・タイプ: application/json
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
| 属性 | 説明 |
|---|---|
|
|
|
|
|
操作のステータス。たとえば、 |
cURLの例
テスト済
次の例は、cURLを使用してRESTリソースにPOSTリクエストを発行して信頼できるDNのトークン属性ルールを作成する方法を示しています。
curl -i -X POST -u username:password --data @createrule.json http://myhost:7001/idaas/webservice/admin/v1/trust/token
リクエスト本文の例(サービス側)
次の例は、サービス側で信頼できるDNのトークン属性ルールを作成する場合のJSON形式のリクエスト本文です。
{
"token-attribute-rules":
{
"token-attribute-rule":
[
{
"-dn": "cn=orcladmin,o=oracle",
"name-id":{
"filter":
{
"value":[ "filter1" ]
},
"mapping":
{
"user-attribute": "val3",
"user-mapping-attribute":"val4"
}
},
"attributes":
[
{
"-name": "tenant1",
"attribute":
{
"filter":
{
"value": [
"filter1",
"filter2"
]
},
"mapping":{
"user-attribute": "val1",
"user-mapping-attribute":"val2"
}
}
}
]
}
]
}
}
リクエスト本文の例(クライアント側)
次の例は、クライアント側でトークン属性ルールを作成する場合のJSON形式のリクエスト本文です。
{
"token-attribute-rules":
{
"token-attribute-rule":
[
{
"-dn": "https://example.com/",
"name-id":{
"mapping":
{
"user-mapping-attribute":"mail"
}
},
}
]
"token-attribute-rule":
[
{
"-dn": "https://example.com/mysvcInstance1-acme/",
"name-id":{
"mapping":
{
"user-mapping-attribute":"uid"
}
},
}
]
}
}
レスポンス・ヘッダーの例
レスポンス・ヘッダーの例を次に示します。
HTTP/1.1 200 OK
レスポンス本文の例
JSON形式のレスポンス本文の例を次に示します。
{
"STATUS": "Succeeded"
}
このPOSTメソッドは、ドキュメントのコンテキストに対応する信頼できる識別名(DN)のトークン属性ルール(つまり、特定のドキュメントに適用されるルール)を作成するために使用します。この操作は、RESTサービスまたはクライアントにより実行できます。クライアント側ではトークン属性のマッピングのみがサポートされます。
RESTリクエスト
POST /idaas/webservice/admin/v1/trust/token/{documentName}
パラメータ
次の表は、POSTリクエストのパラメータの概要を示します。
| 名前 | 説明 | タイプ |
|---|---|---|
|
トークン属性ルールを作成するドキュメントの名前。 |
パス |
リクエスト本文
リクエスト本文のメディア・タイプ: application/json
リクエスト本文には、追加リクエストの詳細が含まれます。
| 属性 | 説明 |
|---|---|
|
信頼できるユーザーの制約フィルタおよびマッピングの属性をグループ化します。 注意: クライアント側では、この属性は必要ではありません。 |
|
サービス側では、属性ルールが構成される信頼できるDNに設定します。RFC 2253に従った文字列を使用します(次のURLを参照: クライアント側では、 |
|
信頼できるユーザーの制約値および属性を定義します。 注意: この属性は、クライアント側では適用されません。 |
|
信頼できるユーザーのマッピング属性を定義します。 |
|
属性ルールの名前。 注意: この属性は、クライアント側では適用されません。 |
|
信頼できるDNとして受け入れるユーザーを定義します。 |
|
1つのトークン属性ルールに関する情報をグループ化します。 |
|
すべてのトークン属性ルールに関する情報をグループ化します。 |
|
信頼できるDNがアサートできるユーザー属性を定義します。 注意: この属性は、クライアント側では適用されません。 |
|
信頼できるDNがアサートできるユーザー・マッピング属性を定義します。 |
|
制約フィルタの属性値を定義します。この値には、完全な名前またはワイルドカード文字(*)を含む名前パターン( 注意: この属性は、クライアント側では適用されません。 |
レスポンス本文
レスポンス本文のメディア・タイプ: application/json
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
| 属性 | 説明 |
|---|---|
|
|
|
|
|
操作のステータス。たとえば、 |
cURLの例
テスト済
次の例は、cURLを使用してRESTリソースにPOSTリクエストを発行して信頼できるDNのトークン属性ルールを作成する方法を示しています。
curl -i -X POST -u username:password --data @createrule.json http://myhost:7001/idaas/webservice/admin/v1/trust/token/mydocument
リクエスト本文の例(サービス側)
次の例は、サービス側で信頼できるDNのトークン属性ルールを作成する場合のJSON形式のリクエスト本文です。
{
"token-attribute-rules":
{
"token-attribute-rule":
[
{
"-dn": "cn=orcladmin,o=oracle",
"name-id":{
"filter":
{
"value":[ "filter1" ]
},
"mapping":
{
"user-attribute": "val3",
"user-mapping-attribute":"val4"
}
},
"attributes":
[
{
"-name": "tenant1",
"attribute":
{
"filter":
{
"value": [
"filter1",
"filter2"
]
},
"mapping":{
"user-attribute": "val1",
"user-mapping-attribute":"val2"
}
}
}
]
}
]
}
}
リクエスト本文の例(クライアント側)
次の例は、クライアント側でトークン属性ルールを作成する場合のJSON形式のリクエスト本文です。
{
"token-attribute-rules":
{
"token-attribute-rule":
[
{
"-dn": "https://example.com/",
"name-id":{
"mapping":
{
"user-mapping-attribute":"mail"
}
},
}
]
"token-attribute-rule":
[
{
"-dn": "https://example.com/mysvcInstance1-acme/",
"name-id":{
"mapping":
{
"user-mapping-attribute":"uid"
}
},
}
]
}
}
レスポンス・ヘッダーの例
レスポンス・ヘッダーの例を次に示します。
HTTP/1.1 200 OK
レスポンス本文の例
JSON形式のレスポンス本文の例を次に示します。
{
"STATUS": "Succeeded"
}
このGETメソッドは、ドメインのコンテキストに対応するすべてのトークン属性ルール(ドメイン全体に適用されるルール)を参照するために使用します。この操作は、RESTサービスまたはクライアントにより実行できます。クライアント側ではトークン属性のマッピングのみがサポートされます。
RESTリクエスト
GET /idaas/webservice/admin/v1/trust/token
レスポンス本文
リクエストまたはレスポンス本文のメディア・タイプ: application/json
レスポンス本文には、すべてのトークン属性ルールに関する次のような情報が含まれます。
| 属性 | 説明 |
|---|---|
|
信頼できるユーザーの制約フィルタおよびマッピングの属性をグループ化します。 注意: クライアント側では、この属性は必要ではありません。 |
|
サービス側では、属性ルールが構成される信頼できるDN。文字列は、RFC 2253に従います(次のURLを参照: クライアント側では、 |
|
信頼できるユーザーのフィルタ値および属性を定義します。 完全な名前またはワイルドカード文字(*)を含む名前パターン( |
|
信頼できるユーザーのマッピング属性を定義します。 注意: この属性は、クライアント側では適用されません。 |
|
属性ルールの名前。 注意: この属性は、クライアント側では適用されません。 |
|
信頼できるDNとして受け入れるユーザーを定義します。 |
|
1つのトークン属性ルールに関する情報をグループ化します。 |
|
すべてのトークン属性ルールに関する情報をグループ化します。 |
|
信頼できるDNがアサートできるユーザー属性を定義します。 注意: この属性は、クライアント側では適用されません。 |
|
信頼できるDNがアサートできるユーザー・マッピング属性を定義します。 |
|
制約フィルタの属性値を定義します。この値には、完全な名前またはワイルドカード文字(*)を含む名前パターン( |
cURLの例
メインに対してテスト済 -- レビュー時にURLの信頼ドキュメント名を削除するように依頼されました。
次の例は、cURLを使用してRESTリソースにGETリクエストを発行して、すべてのトークン属性ルールを参照する方法を示しています。
curl -i -X GET -u username:password http://myhost:7001/idaas/platform/admin/v1/trust/token
レスポンス・ヘッダーの例
レスポンス・ヘッダーの例を次に示します。
HTTP/1.1 200 OK
レスポンス本文の例(サービス側)
次の例は、サービス側でトークン属性ルールを参照する場合のJSON形式のレスポンス本文です。
{
"token-attribute-rules":
{
"token-attribute-rule":
[
{
"-dn": "cn=orcladmin,o=oracle",
"attributes":
[
{
"-name": "tenant1",
"attribute":
{
"filter":
{
"value": [
"filter1",
"filter2"
]
},
"mapping":{
"user-attribute": "val1",
"user-mapping-attribute":"val2"
}
}
}
],
"name-id":{
"filter":
{
"value":[ "filter1" ]
},
"mapping":
{
"user-attribute": "val3",
"user-mapping-attribute":"val4"
}
}
}
]
}
}
レスポンス本文の例(クライアント側)
次の例は、クライアント側でトークン属性ルールを参照する場合のJSON形式のレスポンス本文です。
{
"token-attribute-rules":
{
"token-attribute-rule":
[
{
"-dn": "https://example.com/",
"name-id":{
"mapping":
{
"user-mapping-attribute":"mail"
}
},
}
]
"token-attribute-rule":
[
{
"-dn": "https://example.com/mysvcInstance1-acme/",
"name-id":{
"mapping":
{
"user-mapping-attribute":"uid"
}
},
}
]
}
}
このGETメソッドは、特定のドキュメントに対応するトークン属性ルールを参照するために使用します。この操作は、RESTサービスまたはクライアントにより実行できます。クライアント側ではトークン属性のマッピングのみがサポートされます。
RESTリクエスト
GET /idaas/webservice/admin/v1/trust/token/{documentName}
パラメータ
次の表は、GETリクエストのパラメータの概要を示します。
| 名前 | 説明 | タイプ |
|---|---|---|
|
トークン属性ルールを参照するドキュメントの名前。 |
パス |
レスポンス本文
リクエストまたはレスポンス本文のメディア・タイプ: application/json
レスポンス本文には、ドキュメントに対応するすべてのトークン属性ルールに関する情報が含まれます。この情報には、次のものが含まれます。
| 属性 | 説明 |
|---|---|
|
信頼できるユーザーの制約フィルタおよびマッピングの属性をグループ化します。 注意: クライアント側では、この属性は必要ではありません。 |
|
サービス側では、属性ルールが構成される信頼できるDN。文字列は、RFC 2253に従います(次のURLを参照: クライアント側では、 |
|
信頼できるユーザーのフィルタ値および属性を定義します。 完全な名前またはワイルドカード文字(*)を含む名前パターン( |
|
信頼できるユーザーのマッピング属性を定義します。 注意: この属性は、クライアント側では適用されません。 |
|
属性ルールの名前。 注意: この属性は、クライアント側では適用されません。 |
|
信頼できるDNとして受け入れるユーザーを定義します。 |
|
1つのトークン属性ルールに関する情報をグループ化します。 |
|
すべてのトークン属性ルールに関する情報をグループ化します。 |
|
信頼できるDNがアサートできるユーザー属性を定義します。 注意: この属性は、クライアント側では適用されません。 |
|
信頼できるDNがアサートできるユーザー・マッピング属性を定義します。 |
|
制約フィルタの属性値を定義します。この値には、完全な名前またはワイルドカード文字(*)を含む名前パターン( |
cURLの例
メインに対してテスト済 -- レビュー時にURLの信頼ドキュメント名を削除するように依頼されました。
次の例は、cURLを使用してRESTリソースにGETリクエストを発行して、すべてのトークン属性ルールを参照する方法を示しています。
curl -i -X GET -u username:password http://myhost:7001/idaas/platform/admin/v1/trust/token/mydocument
レスポンス・ヘッダーの例
レスポンス・ヘッダーの例を次に示します。
HTTP/1.1 200 OK
レスポンス本文の例(サービス側)
次の例は、サービス側でトークン属性ルールを参照する場合のJSON形式のレスポンス本文です。
{
"token-attribute-rules":
{
"token-attribute-rule":
[
{
"-dn": "cn=orcladmin,o=oracle",
"attributes":
[
{
"-name": "tenant1",
"attribute":
{
"filter":
{
"value": [
"filter1",
"filter2"
]
},
"mapping":{
"user-attribute": "val1",
"user-mapping-attribute":"val2"
}
}
}
],
"name-id":{
"filter":
{
"value":[ "filter1" ]
},
"mapping":
{
"user-attribute": "val3",
"user-mapping-attribute":"val4"
}
}
}
]
}
}
レスポンス本文の例(クライアント側)
次の例は、クライアント側でトークン属性ルールを参照する場合のJSON形式のレスポンス本文です。
{
"token-attribute-rules":
{
"token-attribute-rule":
[
{
"-dn": "https://example.com/",
"name-id":{
"mapping":
{
"user-mapping-attribute":"mail"
}
},
}
]
"token-attribute-rule":
[
{
"-dn": "https://example.com/mysvcInstance1-acme/",
"name-id":{
"mapping":
{
"user-mapping-attribute":"uid"
}
},
}
]
}
}
このPOSTメソッドは、信頼できる発行者の構成(発行者名、識別名(DN)リスト、およびトークン属性ルールを含む)をインポートするために使用します。
RESTリクエスト
POST /idaas/webservice/admin/v1/trustdocument/import
リクエスト本文
リクエスト本文のメディア・タイプ: application/xmlおよびapplication/JSON
リクエスト本文には、インポート・リクエストの詳細が含まれます。信頼できる発行者ドキュメント作成して(「信頼ドキュメント名のPOSTメソッド」を参照)、そのドキュメントをoratrust:name要素を使用して渡す必要があります。
XML形式のリクエスト本体:
<?xml version="1.0" encoding="UTF-8"?>
<ns0:TokenIssuerTrust xmlns:ns0="http://xmlns.oracle.com/wsm/security/trust" ns0:name="owsm" ns0:displayName="owsm">
<ns0:Issuers>
<ns0:Issuer ns0:name="www.oracle.com" ns0:tokentype="saml.sv" ns0:enabled="true">
<ns0:TrustedKeys>
<ns0:KeyIdentifier ns0:keytype="x509certificate" ns0:valuetype="dn" ns0:enabled="true">alice2</ns0:KeyIdentifier>
</ns0:TrustedKeys>
</ns0:Issuer>
<ns0:Issuer ns0:name="www.example.com" ns0:tokentype="saml.hok" ns0:enabled="true">
<ns0:TrustedKeys>
<ns0:KeyIdentifier ns0:keytype="x509certificate" ns0:valuetype="dn" ns0:enabled="true">bob</ns0:KeyIdentifier>
</ns0:TrustedKeys>
</ns0:Issuer>
<ns0:Issuer ns0:name="https://identity.oraclecloud.com/" ns0:tokentype="jwt" ns0:enabled="true">
<ns0:TrustedKeys>
<ns0:KeyIdentifier ns0:keytype="publickey" ns0:valuetype="kid" ns0:enabled="true">orakey_jwk</ns0:KeyIdentifier>
<ns0:KeyIdentifier ns0:keytype="publickey" ns0:valuetype="kid" ns0:enabled="true">orakey</ns0:KeyIdentifier>
<ns0:Keys ns0:type="jwk" ns0:trust="idcs.jwk.jwt"></ns0:Keys>
</ns0:TrustedKeys>
<ns0:TrustedRP>
<ns0:RP ns0:type="literal">client</ns0:RP>
</ns0:TrustedRP>
<ns0:DiscoveryInfo>
<ns0:DiscoveryURL>https://www.example.com/.well-known/openid-configuration</ns0:DiscoveryURL>
<ns0:IdcsClientCsfKey>idcs-orakey</ns0:IdcsClientCsfKey>
</ns0:DiscoveryInfo>
</ns0:Issuer>
<ns0:Issuer ns0:name="https://accounts.example.com" ns0:tokentype="jwt" ns0:enabled="true">
<ns0:TrustedKeys>
<ns0:KeyIdentifier ns0:keytype="publickey" ns0:valuetype="kid" ns0:enabled="true">3b0fc11962ad16e49d55a26816c5ad0d3f6b8a83</ns0:KeyIdentifier>
<ns0:KeyIdentifier ns0:keytype="publickey" ns0:valuetype="kid" ns0:enabled="true">19e8b40cf03c4cf1ec545f01ec8c51a6f46ab455</ns0:KeyIdentifier>
<ns0:mdURL>https://www.exampleapis.com/oauth2/v3/certs</ns0:mdURL>
<ns0:Keys ns0:type="jwk" ns0:trust="jwk.jwt" ns0:refreshInterval="2000"></ns0:Keys>
</ns0:TrustedKeys>
<ns0:TrustedRP>
<ns0:RP ns0:type="literal">client</ns0:RP>
</ns0:TrustedRP>
</ns0:Issuer>
</ns0:Issuers>
<ns0:TokenAttributeRules>
<ns0:TokenAttributeRule ns0:issuer="https://accounts.example.com">
<ns0:NameId ns0:name="name-id">
<ns0:Filter>
<ns0:value>filter1</ns0:value>
<ns0:value>filter2</ns0:value>
</ns0:Filter>
<ns0:Mapping>
<ns0:user-attribute>val3</ns0:user-attribute>
<ns0:user-mapping-attribute>val4</ns0:user-mapping-attribute>
</ns0:Mapping>
</ns0:NameId>
<ns0:Proxy>
<ns0:ProxyHost>www-proxy.us.oracle.com</ns0:ProxyHost>
<ns0:ProxyPort>80</ns0:ProxyPort>
</ns0:Proxy>
</ns0:TokenAttributeRule>
<ns0:TokenAttributeRule ns0:identifier="cn=user,o=oracle" ns0:issuer="https://identity.oraclecloud.com/">
<ns0:NameId ns0:name="name-id">
<ns0:Filter>
<ns0:value>filter1</ns0:value>
<ns0:value>filter2</ns0:value>
</ns0:Filter>
<ns0:Mapping>
<ns0:user-attribute>val3</ns0:user-attribute>
<ns0:user-mapping-attribute>val4</ns0:user-mapping-attribute>
</ns0:Mapping>
</ns0:NameId>
<ns0:Attributes>
<ns0:Attribute ns0:name="user.tenant.name">
<ns0:Filter>
<ns0:value>filter1</ns0:value>
<ns0:value>filter2</ns0:value>
</ns0:Filter>
<ns0:Mapping>
<ns0:user-attribute>val1</ns0:user-attribute>
<ns0:user-mapping-attribute>val2</ns0:user-mapping-attribute>
</ns0:Mapping>
</ns0:Attribute>
</ns0:Attributes>
<ns0:VirtualUser ns0:enabled="true">
<ns0:DefaultRoles>
<ns0:Role>defRole1</ns0:Role>
<ns0:Role>defRole2</ns0:Role>
</ns0:DefaultRoles>
<ns0:TokenRoleAttributes>
<ns0:AttributeName>displayname</ns0:AttributeName>
</ns0:TokenRoleAttributes>
<ns0:TokenRoleMapping>
<ns0:RoleMapping>
<ns0:TokenRole>TestUser</ns0:TokenRole>
<ns0:MappingRole>manager</ns0:MappingRole>
<ns0:MappingRole>executer</ns0:MappingRole>
</ns0:RoleMapping>
</ns0:TokenRoleMapping>
</ns0:VirtualUser>
</ns0:TokenAttributeRule>
</ns0:TokenAttributeRules>
</ns0:TokenIssuerTrust>
JSON形式のリクエスト本体:
{
"name": "test",
"displayname": "test",
"issuers":
[
{
"issuer": "www.oracle.com",
"enabled": "true",
"tokentype": "saml.sv",
"trustedkeys":
{
"keyidentifiers":
[
{
"keytype": "x509certificate",
"valuetype": "dn",
"enabled": "true",
"value": "alice2"
}
]
}
},
{
"issuer": "www.example.com",
"enabled": "true",
"tokentype": "saml.hok",
"trustedkeys":
{
"keyidentifiers":
[
{
"keytype": "x509certificate",
"valuetype": "dn",
"enabled": "true",
"value": "bob"
}
]
}
},
{
"issuer": "https://identity.oraclecloud.com/",
"enabled": "true",
"tokentype": "jwt",
"trustedkeys":
{
"trust": "idcs.jwk.jwt",
"keyidentifiers":
[
{
"keytype": "publickey",
"valuetype": "kid",
"enabled": "true",
"value": "orakey_jwk"
},
{
"keytype": "publickey",
"valuetype": "kid",
"enabled": "true",
"value": "orakey"
}
]
},
"relyingparty":
[
{
"type": "literal",
"value": "client"
}
],
"discovery":
{
"discovery_uri": "https://www.example.com/.well-known/openid-configuration",
"idcs-client-csf-key": "idcs-orakey"
}
},
{
"issuer": "https://accounts.example.com",
"enabled": "true",
"tokentype": "jwt",
"trustedkeys":
{
"jwk_uri": "https://www.exampleapis.com/oauth2/v3/certs",
"trust": "jwk.jwt",
"refreshinterval": "2000",
"keyidentifiers":
[
{
"keytype": "publickey",
"valuetype": "kid",
"enabled": "true",
"value": "3b0fc11962ad16e49d55a26816c5ad0d3f6b8a83"
},
{
"keytype": "publickey",
"valuetype": "kid",
"enabled": "true",
"value": "19e8b40cf03c4cf1ec545f01ec8c51a6f46ab455"
}
]
},
"relyingparty":
[
{
"type": "literal",
"value": "client"
}
]
}
],
"token-attribute-rules":
{
"token-attribute-rule":
[
{
"issuer": "https://accounts.example.com",
"name-id":
{
"filter":
{
"value":
[
"filter1",
"filter2"
]
},
"mapping":
{
"user-mapping-attribute": "val4",
"user-attribute": "val3"
}
},
"proxy" : {
"host": "www-proxy.us.oracle.com",
"port" : "80"
}
},
{
"-dn": "cn=user,o=oracle",
"issuer": "https://identity.oraclecloud.com/",
"name-id":
{
"filter":
{
"value":
[
"filter1",
"filter2"
]
},
"mapping":
{
"user-mapping-attribute": "val4",
"user-attribute": "val3"
}
},
"attributes":
[
{
"-name": "user.tenant.name",
"attribute":
{
"filter":
{
"value":
[
"filter1",
"filter2"
]
},
"mapping":
{
"user-mapping-attribute": "val2",
"user-attribute": "val1"
}
}
}
],
"virtual-user":
{
"enabled": "true",
"default-roles":
{
"role":
[
"defRole1",
"defRole2"
]
},
"token-role-attributes":
{
"attribute-name":
[
"displayname"
]
},
"token-role-mapping":
{
"role-mapping":
[
{
"token-role": "TestUser",
"mapping-role":
[
"manager",
"executer"
]
}
]
}
}
}
]
}
}
レスポンス本文
レスポンス本文のメディア・タイプ: application/json
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
| 要素 | 説明 |
|---|---|
|
|
|
|
|
操作結果の詳細。 |
|
操作のステータス。たとえば、 |
cURLの例
次の例は、cURLを使用してRESTリソースにPOSTリクエストを発行して、別名のすべての証明書を参照する方法を示しています。
curl -i -X POST -u username:password --data @import.xml -H Content-Type:application/xml -H Accept:application/json http://myhost:7001/idaas/platform/admin/v1/trustdocument/import
このGETメソッドは、信頼できる発行者の構成(発行者名、識別名(DN)リスト、およびトークン属性ルールを含む)をエクスポートするために使用します。
RESTリクエスト
GET/idaas/webservice/admin/v1/trustdocument/export
リクエスト本文
リクエスト本文のメディア・タイプ: application/xmlおよびapplication/JSON
リクエスト本文には、エクスポート・リクエストの詳細が含まれます。信頼できる発行者ドキュメント作成して(「信頼ドキュメント名のPOSTメソッド」を参照)、そのドキュメントをoratrust:name要素を使用して渡す必要があります。
JSON形式のリクエスト本体:
{
"name": "owsm",
"displayname": "owsm",
"issuers": [
{
"issuer": "https://identity.oraclecloud.com/",
"enabled": "true",
"tokentype": "jwt",
"trustedkeys":
{
"trust": "idcs.jwk.jwt" ,
"refreshinterval" : "2000"
},
"discovery":
{
"base_uri":"https://identity.c9dev0.oc9qadev.com/",
"idcs-client-csf-key": "idcs-orakey",
"idcs-client-tenant":"owsm"
}
},
{
"issuer": "https://identity.oraclecloud.com/",
"tenant": "owsm",
"enabled": "true",
"tokentype": "jwt",
"trustedkeys":
{
"trust": "idcs.jwk.jwt",
"refreshinterval" : "2000",
"keyidentifiers":
[
{
"keytype": "publickey",
"valuetype": "kid",
"enabled": "true",
"value": "SIGNING_KEY"
}
]
},
"discovery":
{
"discovery_uri":"https://owsm.identity.c9dev0.oc9qadev.com/.well-known/openid-configuration", "idcs-client-csf-key": "idcs-orakey",
"idcs-client-tenant":"owsm"}
}
]
,
"token-attribute-rules":
{
"token-attribute-rule":
[
{
"issuer": "https://identity.oraclecloud.com/",
"tenant": "owsm",
"name-id":
{
"filter":
{
"value":
[
"filter1",
"filter2"
]
},
"mapping":
{
"user-mapping-attribute": "val4",
"user-attribute": "val3"
}
}
}
]
}
}
注意:
base_uriはhttps://identity.c9dev0.oc9qadev.com/として定義されます
idcs-client-csf-keyはクロス・テナント・ロールを持つクライアントのCSFキーです。
idcs-client-tenantは前述のクライアントのテナントです。
レスポンス本文
レスポンス本文のメディア・タイプ: application/xmlおよびapplication/JSON
返されるレスポンス本文には、エクスポート操作に関する次のようなステータスが含まれます。
| 要素 | 説明 |
|---|---|
|
|
|
|
|
操作結果の詳細。 |
|
操作のステータス。たとえば、 |
グローバル検出構成は、検出設定を個別のテナントに対して実行するのではなく、POSTメソッドを使用してグローバルに設定します。これらのグローバル設定は実行時に使用されてテナントのJWKキーをフェッチします。
RESTリクエスト
POST/idaas/webservice/admin/v1/trustdocument/import
リクエスト本文
リクエスト本文のメディア・タイプ: application/xmlおよびapplication/JSON
リクエスト本文には、インポート・リクエストの詳細が含まれます。信頼できる発行者ドキュメント作成して(「信頼ドキュメント名のPOSTメソッド」を参照)、そのドキュメントをoratrust:name要素を使用して渡す必要があります。
JSON形式のリクエスト本体:
{
"name": "owsm",
"displayname": "owsm",
"issuers": [
{
"issuer": "https://identity.oraclecloud.com/",
"enabled": "true",
"tokentype": "jwt",
"trustedkeys":
{
"trust": "idcs.jwk.jwt",
"refreshinterval" : "2000"
},
"discovery":
{
"base_uri": "https://identity.c9dev0.oc9qadev.com/",
"idcs-client-csf-key": "idcs-orakey",
"idcs-client-tenant":"owsm"
}
}
]
}
注意:
base_uriはhttps://identity.c9dev0.oc9qadev.com/として定義されます
idcs-client-csf-keyはクロス・テナント・ロールを持つクライアントのCSFキーです。
idcs-client-tenantは前述のクライアントのテナントです。
レスポンス本文
レスポンス本文のメディア・タイプ: application/xmlおよびapplication/JSON
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
| 要素 | 説明 |
|---|---|
|
|
|
|
|
操作結果の詳細。 |
|
操作のステータス。たとえば、 |
このGETメソッドは、信頼できる発行者ドキュメントの構成の詳細を参照するために使用します。
RESTリクエスト
GET /idaas/webservice/admin/v1/trustdocument
パラメータ
次の表は、POSTリクエストのパラメータの概要を示します。
| 名前 | 説明 | タイプ |
|---|---|---|
|
ドキュメントの名前。 |
問合せ |
レスポンス本文
リクエストまたはレスポンス本文のメディア・タイプ: application/json
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
| 属性 | 説明 |
|---|---|
|
|
|
|
|
操作結果の詳細。 |
|
操作のステータス。たとえば、 |
cURLの例
次の例は、cURLを使用してRESTリソースにGETリクエストを発行して、すべてのトークン属性ルールを参照する方法を示しています。
curl -i -X GET -u username:password http://myhost:7001/idaas/platform/admin/v1/trustdocument?"documentName=myTrustDocument"
レスポンス・ヘッダーの例
レスポンス・ヘッダーの例を次に示します。
HTTP/1.1 200 OK
レスポンス本文の例
JSON形式のレスポンス本文の例を次に示します。
{
"STATUS":"Succeeded",
"Result":"List of token issuer trust documents in the Repository:\nDetails of the document matching your request:\nName : myTrustDocument\tDisplay Name : myTrustDocument\tStatus : DOCUMENT_STATUS_COMMITED \nList of trusted issuers for this type:\tNone\nList of Token Attribute Rules\tNone"
}
Deleteメソッドは、信頼できる発行者ドキュメントを削除するために使用します。
RESTリクエスト
DELETE /idaas/webservice/admin/v1/trustdocument
パラメータ
次の表は、DELETEリクエストのパラメータの概要を示します。
| 名前 | 説明 | タイプ |
|---|---|---|
|
ドキュメントの表示名。 |
問合せ |
|
信頼できる発行者ドキュメントの名前。 |
問合せ |
レスポンス本文
リクエストまたはレスポンス本文のメディア・タイプ: application/json
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
| 属性 | 説明 |
|---|---|
|
|
|
|
|
操作結果の詳細。 |
|
操作のステータス。たとえば、 |
cURLの例
テスト済
次の例は、cURLを使用してRESTリソースにDELETEリクエストを発行することで、SAML発行者の信頼ドキュメントを削除する方法を示しています。
curl -i -X DELETE -u username:password http://myhost:7001/idaas/webservice/admin/v1/trustdocument?"documentName=myTrustDocument&displayName=myTrustDocument"
レスポンス・ヘッダーの例
レスポンス・ヘッダーの例を次に示します。HTTPステータス・コードの詳細は、「HTTPメソッドのHTTPステータス・コード」を参照してください。
HTTP/1.1 200 OK
レスポンス本文の例
JSON形式のレスポンス本文の例を次に示します。
{
"STATUS": "Succeeded",
"Result": "Token Issuer Trust document named "myTrustDocument" deleted from the repository."
}
POSTメソッドを使用して、署名証明書(フェデレーション・メタデータ・ドキュメント)をインポートし、OWSMでRelying Party (RP-STS)のWS-Trustを構成します。
RESTリクエスト
POST /idaas/webservice/admin/v1/federation/import
リクエスト本文
メソッド: POST
コンテンツ・タイプ: multipart/form-data
パラメータ
次の表は、POSTリクエストのパラメータの概要を示します。
| 名前 | 説明 | 必須? |
|---|---|---|
|
名前IDが非標準属性にマップされている場合にアサートする属性の名前。 |
オプション |
|
対応する属性の値に対するローカル・ユーザー属性の名前。 |
オプション |
|
マップ先のローカル・ユーザー属性の名前。 |
オプション |
|
属性に設定されるフィルタ値のリスト。各値には正確な値を指定できます。 |
オプション |
|
フェデレーション・メタデータ・ファイルの場所。これには、Web URLまたはファイル・システム・パスを指定できます。 例: |
必須 |
レスポンス本文
コンテンツ・タイプ: application/json
返されるレスポンス本文には、インポート操作に関するステータスが含まれます。
| 属性 | 説明 |
|---|---|
|
|
|
操作結果の詳細。 |
|
操作のステータス。たとえば、 |
POSTメソッドを使用して、Identity Provider STS (IP-STS)またはサービス・プロバイダ(SP)の署名付きまたは署名なしフェデレーション・ドキュメントを生成します。
Restリクエスト
POST /idaas/webservice/admin/v1/federation/export
リクエスト本文
メソッド: POST
コンテンツ・タイプ: application/json
パラメータ
次の表は、エクスポート・リクエストのパラメータの概要を示します。
| 名前 | 説明 | 必須? |
|---|---|---|
|
作成するメタデータ・ドキュメントのタイプ。たとえば、IDP (Identify Provider)またはSP (Service Provider)です。 |
必須 |
|
発行者の名前。 IDPの場合、ホスト名を指定する必要があります。たとえば、 SPの場合、サービスURLを指定する必要があります。例:https:http://localhost:7001/JaxWsWssStsIssuedBearerTokenWithADFSWssUNOverSsl/JaxWsWssStsIssuedBearerTokenWithADFSWssUNOverSslService |
必須 |
|
メタデータ・ドキュメントを署名するかどうかを指定します。 |
オプション |
|
別名またはcsfキーのリスト(KSSの場合)。 証明書がエクスポートされ、メタデータ・ドキュメントで使用されます。IDPメタデータを作成する場合に必要です。このパラメータが指定されていない場合、署名キーは含まれません。空の値("sign-keys": [ ])の場合、ドメインが構成された署名キーが使用されます。 |
オプション |
|
別名またはcsfキーのリスト(KSSの場合)。 証明書がエクスポートされ、メタデータ・ドキュメントで使用されます。SPメタデータを作成する場合に必要です。このパラメータが指定されていない場合、暗号化キーは含まれません。空の値("encryption-keys": [ ])の場合、ドメインが構成された暗号化キーが使用されます。 |
オプション |
レスポンス本文
コンテンツ・タイプ: application/xml
取消しメソッドを使用して、OWSMから署名証明書を削除し、フェデレーション・メタデータ・ドキュメントからWS-Trust構成を削除します。
RESTリクエスト
POST /idaas/webservice/admin/v1/federation/revoke
リクエスト本文
メソッド: POST
コンテンツ・タイプ: multipart/form-data
パラメータ
次の表は、取消しリクエストのパラメータの概要を示します。
| 名前 | 説明 | 必須? |
|---|---|---|
|
フェデレーション・メタデータ・ファイルの場所。これには、Web URLまたはファイル・システム・パスを指定できます。 例: |
必須 |
レスポンス本文
コンテンツ・タイプ: application/json
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
| 属性 | 説明 |
|---|---|
|
|
|
操作結果の詳細。 |
|
操作のステータス。たとえば、 |
POSTメソッドを使用して、DNの仮想ユーザーを作成します。
RESTリクエスト
POST /idaas/webservice/admin/v1/trust/token
リクエスト本文
リクエスト本文のメディア・タイプ: application/json
リクエスト本文には、追加リクエストの詳細が含まれます。
| 属性 | 説明 | 必須 |
|---|---|---|
|
仮想ユーザー・プロパティのリスト。 |
はい |
|
仮想ユーザーに適用できるトークン・ロール属性のリスト。 |
いいえ |
|
token-role-attributesのマッピング値。 |
いいえ |
issuer |
発行者の名前。 | いいえ |
リクエスト本文の例
JSON形式のリクエスト本文の例を次に示します。
{
"token-attribute-rules":
{
"token-attribute-rule":
[
{
"issuer": "https://accounts.example.com",
"name-id":
{
"filter":
{
"value":
[
"filter1",
"filter2"
]
},
"mapping":
{
"user-mapping-attribute": "val4",
"user-attribute": "val3"
}
},
"proxy" : {
"host": "www-proxy.us.oracle.com",
"port" : "80"
}
},
{
"-dn": "cn=user,o=oracle",
"issuer": "https://identity.oraclecloud.com/",
"name-id":
{
"filter":
{
"value":
[
"filter1",
"filter2"
]
},
"mapping":
{
"user-mapping-attribute": "val4",
"user-attribute": "val3"
}
},
"attributes":
[
{
"-name": "user.tenant.name",
"attribute":
{
"filter":
{
"value":
[
"filter1",
"filter2"
]
},
"mapping":
{
"user-mapping-attribute": "val2",
"user-attribute": "val1"
}
}
}
],
"virtual-user":
{
"enabled": "true",
"default-roles":
{
"role":
[
"defRole1",
"defRole2"
]
},
"token-role-attributes":
{
"attribute-name":
[
"displayname"
]
},
"token-role-mapping":
{
"role-mapping":
[
{
"token-role": "TestUser",
"mapping-role":
[
"manager",
"executer"
]
}
]
}
}
}
]
}
}
レスポンス本文
レスポンス本文のメディア・タイプ: application/json
返されるレスポンス本文には、追加操作に関する次のようなステータスが含まれます。
| 属性 | 説明 |
|---|---|
|
|
|
|
|
操作のステータス。たとえば、 |
レスポンス・ヘッダーの例
レスポンス・ヘッダーの例を次に示します。
HTTP/1.1 200 OK
レスポンス本文の例
JSON形式のレスポンス本文の例を次に示します。
{
"STATUS": "Succeeded",
}
GETメソッドを使用して、トークン発行者の信頼ドキュメントで構成されるDNの仮想ユーザーを表示します。
RESTリクエスト
GET /idaas/webservice/admin/v1/trust/token
リクエスト本文
リクエスト本文のメディア・タイプ: application/json
リクエスト本文には、表示リクエストの詳細が含まれます。
| 属性 | 説明 | 必須 |
|---|---|---|
|
仮想ユーザー・プロパティのリスト。 |
はい |
|
仮想ユーザーに適用できるトークン・ロール属性のリスト。 |
いいえ |
|
token-role-attributesのマッピング値。 |
いいえ |
issuer |
発行者の名前。 | いいえ |
レスポンス本文
レスポンス本文のメディア・タイプ: application/json
レスポンス本文は、指定された仮想ユーザーの情報を返します。
レスポンス本文の例
JSON形式のレスポンス本文の例を次に示します。
{
"token-attribute-rules":
{
"token-attribute-rule":
[
{
"issuer": "https://accounts.example.com",
"name-id":
{
"filter":
{
"value":
[
"filter1",
"filter2"
]
},
"mapping":
{
"user-mapping-attribute": "val4",
"user-attribute": "val3"
}
},
"proxy" : {
"host": "www-proxy.us.oracle.com",
"port" : "80"
}
},
{
"-dn": "cn=user,o=oracle",
"issuer": "https://identity.oraclecloud.com/",
"name-id":
{
"filter":
{
"value":
[
"filter1",
"filter2"
]
},
"mapping":
{
"user-mapping-attribute": "val4",
"user-attribute": "val3"
}
},
"attributes":
[
{
"-name": "user.tenant.name",
"attribute":
{
"filter":
{
"value":
[
"filter1",
"filter2"
]
},
"mapping":
{
"user-mapping-attribute": "val2",
"user-attribute": "val1"
}
}
}
],
"virtual-user":
{
"enabled": "true",
"default-roles":
{
"role":
[
"defRole1",
"defRole2"
]
},
"token-role-attributes":
{
"attribute-name":
[
"displayname"
]
},
"token-role-mapping":
{
"role-mapping":
[
{
"token-role": "TestUser",
"mapping-role":
[
"manager",
"executer"
]
}
]
}
}
}
]
}
}
このPOSTメソッドは、信頼できる発行者用のタグを作成するために使用します。
RESTリクエストPOSTメソッド
curl -i -X POST -u username:password --data @createtokentags.json -H Content-Type:application/json http://myhost:7001/idaas/webservice/admin/v1/trust/token
リクエスト本文のメディア・タイプ: JSON
次に例を示します。
{
"token-attribute-rules":
{
"token-attribute-rule":
[
"issuer": https://www.example.com,
"one-token-trust":
{
"enabled": "true",
"service-instance":
[
{
"app-name": "App1",
"refreshinterval": "444",
"tags":
{
"tag":
[
{
"key": "color",
"value":"blue"
},
{
"key": "env",
"value":"prod"
}
]
}
},
{
"app-name": "App2",
"refreshinterval": "555"
}
]
},
]
}
}
このPOSTおよびPUTメソッドは、トークン発行者の信頼を有効化および無効化するために使用します。
RESTリクエストPOSTメソッド
curl -i -X POST -u username:password --data @createtrust.json -H Content-Type:application/json http://myhost:7001/idaas/webservice/admin/v1/trust/issuers
リクエスト本文のメディア・タイプ: JSON
次に例を示します。
{
"saml-trusted-dns":
{
"saml-hok-trusted-dns":
{
"issuer": [
{
"-name": "www.oracle.com",
"dn": [ "CN=Alice"],
"disabled-dn": [ "CN=Bob" ],
}
]
},
"saml-sv-trusted-dns":
{
"issuer": [
{
"-name": "www.oracle.com",
"enabled": "true"
"dn": [ ],
}
]
},
"jwt-trusted-issuers":
{
"issuer": [
{
"-name": "www.oracle.com",
"enabled": "false"
"dn": [ "CN=orakey, OU=Orakey,O=Oracle, C=US", "CN=Alice" ],
}
]
}
}
}
RESTリクエストPUTメソッド
curl -i -X PUT -u username:password --data @updatetrust.json -H Content-Type:application/json http://myhost:7001/idaas/webservice/admin/v1/trust/issuers
リクエスト本文のメディア・タイプ: JSON
次に例を示します。
{
"saml-trusted-dns":
{
"saml-hok-trusted-dns":
{
"issuer": [
{
"-name": "www.oracle.com",
"disabled-dn": [ "CN=Alice" ],
}
]
},
"saml-sv-trusted-dns":
{
"issuer": [
{
"-name": "www.oracle.com",
"enabled": "false"
}
]
}
}
}
レスポンス本文
レスポンス本文のメディア・タイプ: application/json
{
"saml-trusted-dns":
{
"saml-hok-trusted-dns":
{
"issuer": [
{
"-name": "www.oracle.com",
"enabled": "true"
"dn": [ ],
"disabled-dn": ["CN=Alice", "CN=Bob"]
}
]
},
"saml-sv-trusted-dns":
{
"issuer": [
{
"-name": "www.oracle.com",
"enabled": "false"
"dn": [ ],
"disabled-dn": [ ]
}
]
},
"jwt-trusted-issuers":
{
"issuer": [
{
"-name": "www.oracle.com",
"enabled": true,
"dn": [ "CN=orakey, OU=Orakey,O=Oracle, C=US", "CN=Alice" ],
"disabled-dn": [ ]
}
]
}
}
}
このPOSTメソッドは、信頼できる発行者の構成(発行者名、識別名(DN)リスト、およびトークン属性ルールを含む)をインポートするために使用します。
RESTリクエスト
POST /idaas/webservice/admin/v1/trustdocument/import
リクエスト本文
リクエスト本文のメディア・タイプ: application/xmlおよびapplication/JSON
リクエスト本文には、インポート・リクエストの詳細が含まれます。信頼できる発行者ドキュメント作成して(「信頼ドキュメント名のPOSTメソッド」を参照)、そのドキュメントをoratrust:name要素を使用して渡す必要があります。
XML形式のリクエスト本体:
<?xml version="1.0" encoding="UTF-8"?>
<ns0:TokenIssuerTrust xmlns:ns0="http://xmlns.oracle.com/wsm/security/trust" ns0:name="owsm" ns0:displayName="owsm">
<ns0:Issuers>
<ns0:Issuer ns0:name="www.oracle.com" ns0:tokentype="saml.sv" ns0:enabled="true">
<ns0:TrustedKeys>
<ns0:KeyIdentifier ns0:keytype="x509certificate" ns0:valuetype="dn" ns0:enabled="true">alice2</ns0:KeyIdentifier>
</ns0:TrustedKeys>
</ns0:Issuer>
<ns0:Issuer ns0:name="www.example.com" ns0:tokentype="saml.hok" ns0:enabled="true">
<ns0:TrustedKeys>
<ns0:KeyIdentifier ns0:keytype="x509certificate" ns0:valuetype="dn" ns0:enabled="true">bob</ns0:KeyIdentifier>
</ns0:TrustedKeys>
</ns0:Issuer>
<ns0:Issuer ns0:name="https://identity.oraclecloud.com/" ns0:tokentype="jwt" ns0:enabled="true">
<ns0:TrustedKeys>
<ns0:KeyIdentifier ns0:keytype="publickey" ns0:valuetype="kid" ns0:enabled="true">orakey_jwk</ns0:KeyIdentifier>
<ns0:KeyIdentifier ns0:keytype="publickey" ns0:valuetype="kid" ns0:enabled="true">orakey</ns0:KeyIdentifier>
<ns0:Keys ns0:type="jwk" ns0:trust="idcs.jwk.jwt"></ns0:Keys>
</ns0:TrustedKeys>
<ns0:TrustedRP>
<ns0:RP ns0:type="literal">client</ns0:RP>
</ns0:TrustedRP>
<ns0:DiscoveryInfo>
<ns0:DiscoveryURL>https://www.example.com/.well-known/openid-configuration</ns0:DiscoveryURL>
<ns0:IdcsClientCsfKey>idcs-orakey</ns0:IdcsClientCsfKey>
</ns0:DiscoveryInfo>
</ns0:Issuer>
<ns0:Issuer ns0:name="https://accounts.example.com" ns0:tokentype="jwt" ns0:enabled="true">
<ns0:TrustedKeys>
<ns0:KeyIdentifier ns0:keytype="publickey" ns0:valuetype="kid" ns0:enabled="true">3b0fc11962ad16e49d55a26816c5ad0d3f6b8a83</ns0:KeyIdentifier>
<ns0:KeyIdentifier ns0:keytype="publickey" ns0:valuetype="kid" ns0:enabled="true">19e8b40cf03c4cf1ec545f01ec8c51a6f46ab455</ns0:KeyIdentifier>
<ns0:mdURL>https://www.exampleapis.com/oauth2/v3/certs</ns0:mdURL>
<ns0:Keys ns0:type="jwk" ns0:trust="jwk.jwt" ns0:refreshInterval="2000"></ns0:Keys>
</ns0:TrustedKeys>
<ns0:TrustedRP>
<ns0:RP ns0:type="literal">client</ns0:RP>
</ns0:TrustedRP>
</ns0:Issuer>
</ns0:Issuers>
<ns0:TokenAttributeRules>
<ns0:TokenAttributeRule ns0:issuer="https://accounts.example.com">
<ns0:NameId ns0:name="name-id">
<ns0:Filter>
<ns0:value>filter1</ns0:value>
<ns0:value>filter2</ns0:value>
</ns0:Filter>
<ns0:Mapping>
<ns0:user-attribute>val3</ns0:user-attribute>
<ns0:user-mapping-attribute>val4</ns0:user-mapping-attribute>
</ns0:Mapping>
</ns0:NameId>
<ns0:Proxy>
<ns0:ProxyHost>www-proxy.us.oracle.com</ns0:ProxyHost>
<ns0:ProxyPort>80</ns0:ProxyPort>
</ns0:Proxy>
</ns0:TokenAttributeRule>
<ns0:TokenAttributeRule ns0:identifier="cn=user,o=oracle" ns0:issuer="https://identity.oraclecloud.com/">
<ns0:NameId ns0:name="name-id">
<ns0:Filter>
<ns0:value>filter1</ns0:value>
<ns0:value>filter2</ns0:value>
</ns0:Filter>
<ns0:Mapping>
<ns0:user-attribute>val3</ns0:user-attribute>
<ns0:user-mapping-attribute>val4</ns0:user-mapping-attribute>
</ns0:Mapping>
</ns0:NameId>
<ns0:Attributes>
<ns0:Attribute ns0:name="user.tenant.name">
<ns0:Filter>
<ns0:value>filter1</ns0:value>
<ns0:value>filter2</ns0:value>
</ns0:Filter>
<ns0:Mapping>
<ns0:user-attribute>val1</ns0:user-attribute>
<ns0:user-mapping-attribute>val2</ns0:user-mapping-attribute>
</ns0:Mapping>
</ns0:Attribute>
</ns0:Attributes>
<ns0:VirtualUser ns0:enabled="true">
<ns0:DefaultRoles>
<ns0:Role>defRole1</ns0:Role>
<ns0:Role>defRole2</ns0:Role>
</ns0:DefaultRoles>
<ns0:TokenRoleAttributes>
<ns0:AttributeName>displayname</ns0:AttributeName>
</ns0:TokenRoleAttributes>
<ns0:TokenRoleMapping>
<ns0:RoleMapping>
<ns0:TokenRole>TestUser</ns0:TokenRole>
<ns0:MappingRole>manager</ns0:MappingRole>
<ns0:MappingRole>executer</ns0:MappingRole>
</ns0:RoleMapping>
</ns0:TokenRoleMapping>
</ns0:VirtualUser>
</ns0:TokenAttributeRule>
</ns0:TokenAttributeRules>
</ns0:TokenIssuerTrust>
JSON形式のリクエスト本体:
{
"name": "test",
"displayname": "test",
"issuers":
[
{
"issuer": "www.oracle.com",
"enabled": "true",
"tokentype": "saml.sv",
"trustedkeys":
{
"keyidentifiers":
[
{
"keytype": "x509certificate",
"valuetype": "dn",
"enabled": "true",
"value": "alice2"
}
]
}
},
{
"issuer": "www.example.com",
"enabled": "true",
"tokentype": "saml.hok",
"trustedkeys":
{
"keyidentifiers":
[
{
"keytype": "x509certificate",
"valuetype": "dn",
"enabled": "true",
"value": "bob"
}
]
}
},
{
"issuer": "https://identity.oraclecloud.com/",
"enabled": "true",
"tokentype": "jwt",
"trustedkeys":
{
"trust": "idcs.jwk.jwt",
"keyidentifiers":
[
{
"keytype": "publickey",
"valuetype": "kid",
"enabled": "true",
"value": "orakey_jwk"
},
{
"keytype": "publickey",
"valuetype": "kid",
"enabled": "true",
"value": "orakey"
}
]
},
"relyingparty":
[
{
"type": "literal",
"value": "client"
}
],
"discovery":
{
"discovery_uri": "https://www.example.com/.well-known/openid-configuration",
"idcs-client-csf-key": "idcs-orakey"
}
},
{
"issuer": "https://accounts.example.com",
"enabled": "true",
"tokentype": "jwt",
"trustedkeys":
{
"jwk_uri": "https://www.exampleapis.com/oauth2/v3/certs",
"trust": "jwk.jwt",
"refreshinterval": "2000",
"keyidentifiers":
[
{
"keytype": "publickey",
"valuetype": "kid",
"enabled": "true",
"value": "3b0fc11962ad16e49d55a26816c5ad0d3f6b8a83"
},
{
"keytype": "publickey",
"valuetype": "kid",
"enabled": "true",
"value": "19e8b40cf03c4cf1ec545f01ec8c51a6f46ab455"
}
]
},
"relyingparty":
[
{
"type": "literal",
"value": "client"
}
]
}
],
"token-attribute-rules":
{
"token-attribute-rule":
[
{
"issuer": "https://accounts.example.com",
"name-id":
{
"filter":
{
"value":
[
"filter1",
"filter2"
]
},
"mapping":
{
"user-mapping-attribute": "val4",
"user-attribute": "val3"
}
},
"proxy" : {
"host": "www-proxy.us.oracle.com",
"port" : "80"
}
},
{
"-dn": "cn=user,o=oracle",
"issuer": "https://identity.oraclecloud.com/",
"name-id":
{
"filter":
{
"value":
[
"filter1",
"filter2"
]
},
"mapping":
{
"user-mapping-attribute": "val4",
"user-attribute": "val3"
}
},
"attributes":
[
{
"-name": "user.tenant.name",
"attribute":
{
"filter":
{
"value":
[
"filter1",
"filter2"
]
},
"mapping":
{
"user-mapping-attribute": "val2",
"user-attribute": "val1"
}
}
}
],
"virtual-user":
{
"enabled": "true",
"default-roles":
{
"role":
[
"defRole1",
"defRole2"
]
},
"token-role-attributes":
{
"attribute-name":
[
"displayname"
]
},
"token-role-mapping":
{
"role-mapping":
[
{
"token-role": "TestUser",
"mapping-role":
[
"manager",
"executer"
]
}
]
}
}
}
]
}
}
レスポンス本文
レスポンス本文のメディア・タイプ: application/json
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
| 要素 | 説明 |
|---|---|
|
|
|
|
|
操作結果の詳細。 |
|
操作のステータス。たとえば、 |
cURLの例
次の例は、cURLを使用してRESTリソースにPOSTリクエストを発行して、別名のすべての証明書を参照する方法を示しています。
curl -i -X POST -u username:password --data @import.xml -H Content-Type:application/xml -H Accept:application/json http://myhost:7001/idaas/platform/admin/v1/trustdocument/import
このPUTメソッドは、信頼できる発行者のJWKドキュメントから構成をインポートするために使用します。
RESTリクエスト
PUT /idaas/webservice/admin/v1/federation/jwk/import
リクエスト本文
リクエスト本文のメディア・タイプ: multipart/form-data
リクエスト本文には、インポート・リクエストの入力パラメータが含まれます。
| 入力パラメータ | 説明 | データ型 |
|---|---|---|
issuer |
JWK発行者の名前、たとえば、www.example.comです。 |
String |
|
信頼のタイプ。 |
String |
name-id-attribute |
標準ではない属性にname-idをマップする場合に、アサートする属性の名前。 | String |
user-attribute |
属性の値に対応するローカル・ユーザー属性の名前。 | String |
user-mapping-attribute |
マップ先のローカル・ユーザー属性の名前。 | String |
filter |
属性に設定されるフィルタ値のカンマ区切りのリスト。各値には正確な値を指定できます。 | カンマ区切りの文字列 |
metadata-file |
JWKドキュメントのパス。ローカル・システム・ファイル、サーバー上のファイル・パス、またはWeb URL。たとえば、/home/example.jwkまたはhttp://www.example.com/common/discovery/v2.0/keysなどです |
ファイル/ファイル・パス/Web URL |
refreshInterval |
JWKキーが更新に対してチェックされるまでのミリ秒単位の時間間隔。 | String |
trust-document-name |
信頼を構成するトークン発行者の信頼ドキュメント。指定しない場合、ドメインの構成済ドキュメントが使用されます。 | String |
レスポンス本文
返されるレスポンス本文には、インポート操作に関するステータスが含まれます。レスポンス本文のメディア・タイプ: application/json
このPUTメソッドは、信頼できる発行者のJWK構成を取り消すために使用します。
RESTリクエスト
PUT /idaas/webservice/admin/v1/federation/jwk/revoke
リクエスト本文
リクエスト本文のメディア・タイプ: multipart/form-data
リクエスト本文には、リクエストの入力パラメータが含まれます。
| 入力パラメータ | 説明 | データ型 |
|---|---|---|
issuer |
JWK発行者の名前、たとえば、www.example.comです。 |
String |
|
信頼のタイプ。 |
String |
trust-document-name |
信頼を取り消すトークン発行者の信頼ドキュメント。指定しない場合、ドメインの構成済ドキュメントが使用されます。 | String |
レスポンス本文
返されるレスポンス本文には、取消し操作に関するステータスが含まれます。レスポンス本文のメディア・タイプ: application/json
このPUTメソッドは、信頼できる発行者のWSM検出メタデータから構成をインポートするために使用します。
RESTリクエスト
PUT/idaas/webservice/admin/v1/federation/discoverymetadata/import
リクエスト本文
リクエスト本文のメディア・タイプ: multipart/form-data
リクエスト本文には、インポート・リクエストの入力パラメータが含まれます。
| 入力パラメータ | 説明 | データ型 |
|---|---|---|
|
信頼のタイプ。 または |
String |
issuer |
オープンID検出メタデータ・プロバイダ | String |
idcs-client-csf-key |
オプションです。JWKドキュメントをフェッチするためのIDCS登録済clientidおよびシークレットを含むCSFキー。 | String |
jwk-access-token |
オプションです。JWKドキュメントをフェッチするためのIDCS登録済clientidおよびシークレットを含むアクセス・トークン。 | String |
name-id-attribute |
オプションです。標準ではない属性にname-idをマップする場合に、アサートする属性の名前。 | String |
filter |
オプションです。属性に設定されるフィルタ値のカンマ区切りのリスト。各値には正確な値を指定できます。 | カンマ区切りの文字列 |
user-attribute |
オプションです。属性の値に対応するローカル・ユーザー属性の名前。 | String |
user-mapping-attribute |
オプションです。マップ先のローカル・ユーザー属性の名前。 | String |
metadata-file |
オプションです。JWKドキュメントのパス。ローカル・ファイル、サーバー上のパス、およびWeb URLの場合があります。 | ファイル/ファイル・パス/Web URL |
refreshInterval |
オプションです。キーがリフレッシュされるまでの時間間隔。 | String |
trust-document-name |
オプションです。信頼ドキュメントの名前 | String |
レスポンス本文
返されるレスポンス本文には、インポート操作に関するステータスが含まれます。レスポンス本文のメディア・タイプ: application/json
このPUTメソッドは、信頼できる発行者のWSM検出メタデータ構成を取り消すために使用します。
RESTリクエスト
PUT/idaas/webservice/admin/v1/federation/discoverymetadata/revoke
リクエスト本文
リクエスト本文のメディア・タイプ: multipart/form-data
リクエスト本文には、取消しリクエストの入力パラメータが含まれます。
| 入力パラメータ | 説明 | データ型 |
|---|---|---|
issuer |
オープンID検出メタデータ・プロバイダ。 | String |
|
信頼のタイプ。 |
String |
metadata-file |
オプションです。発行者が指定されない場合のメタデータ・ファイル。これはシステム・パスまたはファイルのいずれかになります。 | ファイル/ファイル・パス/Web URL |
trust-document-name |
オプションです。信頼ドキュメントの名前。 | String |
レスポンス本文
返されるレスポンス本文には、取消し操作に関するステータスが含まれます。レスポンス本文のメディア・タイプ: application/json
関連項目:
『Oracle Web Services Managerでの資格証明およびキーストアの管理のためのREST API』の信頼ドキュメント名の構成のインポート・メソッドに関する項。
