次のトピックが含まれます:
weblogic-jwt-token
トークン・タイプの期限切れ間隔を調整するオプションがあり、ドメインで実行されている他のアプリケーションのREST呼出しのアイデンティティを伝播するために、内部的に使用されます。デフォルトでは、この期限切れ間隔は5分に設定されています。ただし、間隔は、このセキュリティ・プロバイダの「プロバイダ固有」構成ページから調整できます。ノート:
WebLogic Serverでは、「資格証明マッピング・デプロイメントを有効化」オプションを使用して、この資格証明マッピング・プロバイダがリソース・アダプタのデプロイメント記述子(weblogic-ra.xml
ファイル)からセキュリティ・レルムに資格証明マップをインポートするかどうかを指定できます。ただし、このオプションは現在では非推奨になっています。資格証明マップをweblogic-ra.xml
ファイルからデプロイする方法は、WebLogic Serverではサポートされません。
「資格証明マッピング・デプロイメントを有効化」をサポートするには、資格証明マッピング・プロバイダにDeployableCredentialProvider
SSPIを実装する必要があります。資格証明マッピング情報は組込みLDAPサーバーに格納されます。
次のトピックを参照してください。
『Oracle WebLogic Serverセキュリティ・プロバイダの開発』の資格証明マッピング・プロバイダに関する項を参照してください。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの資格証明マッピング・プロバイダの構成に関する項およびアウトバウンド資格証明マッピングの作成に関する項を参照してください。
資格証明マップの使い方については、『Oracle WebLogic Serverリソース・アダプタの開発』を参照してください。
WebLogic Scripting ToolまたはJava Management Extensions (JMX) APIを使用して新しいセキュリティ構成を作成することもできます。
資格証明マッピング・プロバイダの詳細は、「PKI資格証明マッピング・プロバイダの構成」と「SAML 1.1用のSAML資格証明マッピング・プロバイダの構成」を参照してください。
PKI資格証明マッピング・プロバイダを使用するには、次を行う必要があります:
この項では、次の項目について説明します。
PKI資格証明マッピング・プロバイダを構成するには、次の属性の値を設定します。Oracle WebLogic Server管理コンソール・オンライン・ヘルプの資格証明マッピング・プロバイダの構成に関する項を参照してください。
「キーストア・プロバイダ」 - Java Security API用のキーストア・プロバイダ。値が指定されていない場合、デフォルトのプロバイダ・クラスが使用されます。
「キーストアの種類」— JKS (デフォルト)またはPKCS12。
「キーストアのパスフレーズ」 - キーストアへのアクセスに使用するパスワード。
「キーストア・ファイル名」 - サーバーが起動したディレクトリを基準としたキーストアの場所。
さらに、以下の2つの属性を任意で指定すると、一致するリソースまたはサブジェクトが存在しない場合、PKI資格証明マッピング・プロバイダが資格証明マッピングをどのように検索するかを指定できます。
「リソース階層を使用」 - リソースの種類ごとにリソース階層を上ることによって資格証明が検索されます。すべてのPKI資格証明の検索は特定のリソースから開始し、リソース階層を上ってすべての一致を見つけ出します。この属性はデフォルトで有効になっています。
「イニシエータ・グループ名を使用」 - サブジェクトがPKI資格証明マッピング・プロバイダに渡されると、イニシエータがメンバーであるグループを調べることによって資格証明が検索されます。デフォルトでは、これは有効になっています。
必要な場合、資格証明マッピングに資格証明アクションというラベルを付けることができます。これは、資格証明マッピングの作成時にWebLogic Server管理コンソールで行えます。資格証明アクションとは、様々な環境で使用される資格証明マッピングを区別する任意の文字列です。たとえば、ある資格証明マッピングでリモート・リソースからのメッセージを復号化し、別の資格証明マッピングで同じリソースへ送られるメッセージに署名するとします。これらの2つの資格証明マッピングを区別するには、サブジェクト・イニシエータとターゲット・リソースでは不十分です。この場合、資格証明アクションを使用して、一方の資格証明マッピングにdecrypt
、他方にsign
というラベルを付けます。こうすると、PKI資格証明マッピング・プロバイダを呼び出すコンテナが、目的の資格証明アクション値をContextHandler
に指定してプロバイダに渡せるようになります。
PKI資格証明マッピングへの資格証明アクションの追加については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのPKI資格証明マッピングの作成に関する項を参照してください。
http://docs.oracle.com/docs/cd/E13222_01/wls/docs90/secmanage/providers.html#SAML_cred
)を参照してください。WebLogic ServerのSAMLのサポートについては、『Oracle WebLogic Serverセキュリティの理解』のSAML (Security Assertion Markup Language)に関する項およびWebLogicセキュリティ・フレームワークによるシングル・サインオンに関する項を参照してください。SAML資格証明マッピング・プロバイダをSAMLシングル・サインオン構成で使用する方法は、SAMLを使用するWebブラウザとHTTPクライアントでのシングル・サインオンの構成を参照してください。
この項には次のトピックが含まれます:
SAMLのアサーションの有効性は通常、期間で限定されます。SAML資格証明マッピング・プロバイダで生成されるアサーションのデフォルトの存続時間は、DefaultTimeToLive
属性に指定されています。生成されたアサーションのデフォルトの存続時間は、様々なSAMLリライイング・パーティにおいてオーバーライドできます。
通常のアサーションは、NotBefore
時間(デフォルトではそのアサーションが生成された(おおよその)時間に設定)から、NotOnOrAfter
時間(NotBefore
+ TimeToLive
で計算)が経過するまで有効です。資格証明マッピング・プロバイダでソース・サイトと宛先サイト間のクロックの差を補うようにするには、SAML資格証明マッピング・プロバイダのDefaultTimeToLiveDelta
属性を構成します。この存続時間オフセット値は、アサーションのNotBefore
値を「現在の時間」の前後何秒に設定する必要があるのかを示す正の整数または負の整数です。DefaultTimeToLiveDelta
に値を設定すると、アサーションの存続期間は引続き(NotBefore
+ TimeToLive
)として計算されますが、NotBefore
値は(now
+ TimeToLiveDelta
)に設定されます。たとえば、次のように設定したとします。
DefaultTimeToLive = 120 DefaultTimeToLiveDelta = -30
この場合アサーションが生成されると、存続期間は2分(120秒)になり、生成される30秒前から開始されます。
WebLogic ServerをSAMLセキュリティ・アサーションのソースとして機能するように構成する場合には、SAMLアサーションの生成をリクエストできるパーティを登録する必要があります。各SAMLリライイング・パーティに対して、使用するSAMLプロファイル、そのリライイング・パーティの詳細、およびそのリライイング・パーティに対するアサーションで予想される属性を指定できます。次のトピックを参照してください。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 1.1リライイング・パーティの構成
表9-1 SAML 2.0資格証明マッピング・プロバイダでサポートされるアサーション・タイプ
アサーション・タイプ | 説明 |
---|---|
bearer |
アサーションのサブジェクトはアサーションを伝達するベアラー。ただし、アサーションの SAML 2.0 WebブラウザSSOプロファイルおよびWS-Security SAMLトークン・プロファイル1.1で生成されるすべてのアサーションに使用します。 |
sender-vouches |
サブジェクトとは異なるIDプロバイダが、サブジェクトの検証を保証します。受信側がIDプロバイダとの信頼関係を確立している必要があります。 Webサービス・セキュリティSAMLトークン・プロファイル1.1でのみ使用されます。 |
holder-of-key |
アサーション内で表現されるサブジェクトが、受信側で信頼されていない可能性のあるX.509証明書をサブジェクトで使用して、リクエスト・メッセージの整合性を確保します。 Webサービス・セキュリティSAMLトークン・プロファイル1.1でのみ使用されます。 |
WebLogic ServerのSAML 2.0サポートについては、『Oracle WebLogic Serverセキュリティの理解』のSAML (Security Assertion Markup Language)に関する項およびWebLogicセキュリティ・フレームワークによるシングル・サインオンに関する項を参照してください。SAML 2.0資格証明マッピング・プロバイダをSAML 2.0シングル・サインオン構成で使用する方法は、SAMLを使用するWebブラウザとHTTPクライアントでのシングル・サインオンの構成を参照してください。Webサービスのサービス・プロバイダ・パートナ用に生成されたアサーションの確認方法の指定については、『Oracle WebLogic Server WebLogic Webサービスの保護』の「Security Assertion Markup Language (SAML)トークンのIDとしての使用」を参照してください。
この項には次のトピックが含まれます:
SAML 2.0資格証明マッピング・プロバイダの構成は、SAML2CredentialMapperMBean
の属性を設定することで制御できます。SAML2CredentialMapperMBean
にアクセスするには、WebLogic Scripting Tool (WLST)を使用するか、WebLogic Server管理コンソールの「セキュリティ・レルム」→「レルム名」→「プロバイダ」→「資格証明マッピング」ページでSAML2CredentialMapperを作成または選択します。これらの属性の詳細は、Oracle WebLogic Server MBeanリファレンスのSAML2CredentialMapperMBeanに関する項を参照してください。
SAML 2.0資格証明マッピング・プロバイダを構成するには、以下の属性を設定します。
発行者URI
このセキュリティ・プロバイダの名前です。サーバーごとのSAML 2.0プロパティを構成できる「SAML 2.0全般」ページでエンティティIDとして指定されている値と一致させる必要があります。
名前修飾子
名前マッパー・クラスで、サブジェクトの名前を修飾するセキュリティ・ドメインまたは管理ドメインとして使用します。名前修飾子を使用することで、サブジェクト名の競合を回避しながら、まったく別のユーザー・ストアから名前を結合することが可能になります。
アサーションの存続期間
生成されたアサーションが使用される可能性がある存続期間を制限する値です。有効期限を過ぎたアサーションは使用できなくなります。
キーの別名とパスワードに署名するWebサービス・アサーション
生成されたアサーションに署名するために使用します。
カスタム名前マッパー・クラス
SAML 2.0資格証明マッピング・プロバイダのデフォルトの名前マッパー・クラスをオーバーライドするカスタムJavaクラスです。サブジェクトを、アサーションに含まれるID情報にマップします。
属性の生成
生成するアサーションに、認証済みのサブジェクトに関連付けられているグループ・メンバーシップ情報を含めるかどうかを指定します。
WebLogic ServerをIDプロバイダとして機能するように構成する場合は、SAML 2.0アサーションを生成するサービス・プロバイダ・パートナを作成して構成する必要があります。IDプロバイダ・サイトでアサーションを生成する必要が生じたときには、アサーションを生成すべきサービス・プロバイダ・パートナがSAML 2.0資格証明マッピング・プロバイダによって特定され、そのサービス・プロバイダ・パートナの構成に従ってアサーションが生成されます。
サービス・プロバイダ・パートナを構成する方法、およびそのパートナに構成する固有の情報は、パートナをWebシングル・サインオンに使用するかWebサービスに使用するかによって変わってきます。Webシングル・サインオン用のサービス・プロバイダ・パートナの場合は、パートナのメタデータ・ファイルをインポートし、そのパートナに関する以下のような基本情報を追加で指定する必要があります。
SAMLドキュメント(認証レスポンス、SAMLアーティファクト、アーティファクト・リクエストなど)に署名する必要があるかどうか
このパートナから受け取った署名付きドキュメントの検証に使用する証明書
SAMLアーティファクトをこのパートナに送信するために使用するバインディング
このパートナがローカル・サイトのバインディングに接続する際に使用するクライアントのユーザー名とパスワード
Webシングル・サインオン用のサービス・プロバイダ・パートナの構成については、以下を参照してください。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 2.0 Webシングル・サインオン・サービス・プロバイダ・パートナの作成に関する項
Webサービス用のサービス・プロバイダ・パートナの構成ではメタデータ・ファイルは使用しませんが、そのパートナに関する次の情報を指定する必要があります。
オーディエンスURI。このパートナ用に生成されるアサーションに含めるオーディエンス制約を指定します。
WebLogic Serverでは、Webサービス・ランタイムがパートナの検索に使用するパートナ検索文字列を保持する必要もあるため、オーディエンスURI属性がオーバーロードされています。「Webサービス・パートナに必要なパートナ検索文字列」を参照してください。
デフォルトの名前マッパーをオーバーライドするカスタム名前マッパー・クラス。このマッパー・クラスは、このパートナでのみ使用します。
このパートナ用に生成されるアサーションの有効期間属性を指定する値。
このパートナから受け取ったアサーションの確認方法。
Webサービス用のサービス・プロバイダ・パートナの構成の詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 2.0 Webサービス・サービス・プロバイダ・パートナの作成に関する項を参照してください。
この項には次のトピックが含まれます:
Webサービス用のサービス・プロバイダ・パートナの場合は、オーディエンスURIも構成します。WebLogic Serverでは、以下のまったく異なる2つの用途に使用できるよう、オーディエンスURI属性がオーバーロードされています。
OASIS SAML 2.0仕様に従って、ターゲット・サービスのURLからなるオーディエンス制約を指定します。
パートナ・ルックアップ文字列を保持します。WebLogic Serverでは、実行時にこのルックアップ文字列を使用して、SAML 2.0アサーションの生成に使用するサービス・プロバイダ・パートナを見つけます。
パートナ・ルックアップ文字列には、パートナ・ルックアップに使用するエンドポイントURLを指定します。必要に応じて、生成するアサーションに含めるオーディエンスURI制約として使用することもできます。オーディエンスURIとしても使用できるパートナ・ルックアップ文字列を指定することで、特定のターゲットURLを2箇所(検索とオーディエンス制約)に指定する必要がなくなります。
ノート:
パートナ・ルックアップ文字列は、Webサービス・ランタイムが実行時にサービス・プロバイダ・パートナを見つけられるように構成する必要があります。
この項には次のトピックが含まれます:
パートナ・ルックアップ文字列の構文は次のとおりです。
[target:char:]<endpoint-url>
この構文で、target:
char
:
はパートナ・ルックアップ文字列を指定する接頭辞、char
はハイフン(-)、プラス記号(+)、またはアスタリスク(*)のいずれか1つの特殊文字を表します。表9-2に示すように、この接頭辞によってパートナ・ルックアップの実行方法が決まります。
表9-2 サービス・プロバイダ・パートナ・ルックアップ文字列の構文
ルックアップ文字列 | 説明 |
---|---|
target:-:<endpoint-url>
|
URL この形式のパートナ・ルックアップ文字列の場合、エンドポイントURLは、生成されるアサーションのオーディエンスURIとしては追加されません。 |
target:+:<endpoint-url>
|
URL プラス記号(+)をルックアップ文字列で使用すると、このサービス・プロバイダ・パートナ用に生成されるアサーション内のオーディエンスURIとして、エンドポイントURLが追加されます。 |
target:*:<endpoint-url>
|
文字列の先頭のパターンがURL 先頭の文字列パターンに一致するサービス・プロバイダ・パートナが複数見つかった場合は、一致した文字列パターンが最も長いパートナが選択されます。 この形式のパートナ・ルックアップ文字列の場合、エンドポイントURLは、生成されるアサーションのオーディエンスURIとしては追加されません。 |
ノート:
実行時にサービス・プロバイダ・パートナが見つかるようにするため、1つのパートナに1つ以上のパートナ・ルックアップ文字列を構成する必要があります。パートナが見つからない場合、そのパートナのアサーションは生成できません。
targetルックアップ接頭辞を使用せずにエンドポイントURLを構成すると、従来のオーディエンスURIとして扱われるため、このサービス・プロバイダ・パートナ用に生成するアサーションに必ずオーディエンスURIを含める必要があります(これにより、このパートナに構成されている既存のオーディエンスURIとの後方互換性も確保できます。)
SAML 2.0資格証明マッピング・プロバイダは、Webシングル・サインオン用に構成されたパートナごとに、信頼性のある証明書を管理しています。パートナとメッセージを交換している間に署名付きの認証またはアーティファクト・リクエストを受け取ると、信頼性のある証明書を使用してパートナの署名を検証します。パートナの証明書は、以下の用途に使用します。
SAML 2.0資格証明マッピング・プロバイダで署名付き認証リクエストまたはアーティファクト・リクエストを受け取ったときに信頼性を検証するため
アーティファクト解決サービス(ARS)からSSL接続経由でSAMLアーティファクトを取得しているサービス・プロバイダ・パートナの信頼性を検証するため
WebLogic Server管理コンソールでは、構成したSAML 2.0資格証明マッピング・プロバイダのパートナ管理ページで、Webシングル・サインオン・サービス・プロバイダ・パートナの署名用証明書とトランスポート層クライアント証明書を表示できます。
Webサービス・パートナで使用できる操作の詳細は、Oracle WebLogic Server Java APIリファレンスのcom.bea.security.saml2.providers.registry.Partner Javaインタフェースを参照してください。