16 SAML認証プロバイダの構成

SAML (Security Assertion Markup Language)認証プロバイダは、SAML 1.1またはSAML 2.0のアイデンティティ・アサーション・プロバイダと組み合せて使用することで、仮想ユーザーがSAMLでログインできるようになります。仮想ユーザーが許可されると、SAMLアイデンティティ・アサーション・プロバイダによってユーザーまたはグループのプリンシパルが作成され、仮想ユーザー(ローカルに実在するどのユーザーにも対応しないユーザー)としてログインすることが可能になります。

SAML認証プロバイダを他の認証プロバイダよりも前に実行されるように構成し、JAAS制御フラグをSUFFICIENTに設定することで、SAML認証プロバイダによって認証済みのサブジェクトが作成されるようにします。作成時には、SAML IDアサーション・プロバイダV2またはSAML 2.0 IDアサーション・プロバイダによるSAMLアサーションから取得したユーザー名とグループが使用されます。

SAML認証プロバイダが構成されていないか、SAML認証プロバイダより前に別の認証プロバイダ(たとえばデフォルトのLDAP認証プロバイダ)が構成されており、そのJAAS制御フラグがSUFFICIENTに設定されている場合は、その別の認証プロバイダがSAML IDアサーション・プロバイダから返されるユーザー名を検証します。デフォルトのLDAP認証プロバイダの場合は、ユーザーがIDディレクトリ内に存在していないと認証が失敗します。

ノート:

SAML認証プロバイダを構成し、仮想ユーザーがログインしてリソースにアクセスできるようにするには、次の点に注意してください。

1. リソースは、アクセスを制御するセキュリティ・ポリシーを使用して構成する必要があります。リソースが保護されていない場合、仮想ユーザー用に作成されたサブジェクトにはプリンシパルが格納されず、アクセスは許可されません。

2. 保護されたリソースでは、デフォルトのCookie JSESSIONIDを使用する必要もあります。リソースがJSESSIONID以外のCookie名を使用すると、サブジェクトのIDがリソースに伝播されません。

セキュリティ・ポリシーの構成の詳細は、『Oracle WebLogic Serverロールおよびポリシーによるリソースの保護』を参照してください。

グループをSAMLアサーションから取得する必要がある場合は、ユーザーの存在をLDAP認証プロバイダで検証する場合であっても、SAML認証プロバイダを構成する必要があります。そうしないと、アサーション内のグループではなく、LDAPディレクトリから派生したグループにユーザーが関連付けられます。

SAML認証プロバイダは、SAML IDアサーション・プロバイダV2またはSAML 2.0 IDアサーション・プロバイダによってアサートされたIDを持つユーザーのサブジェクトのみを作成します。それ以外の認証リクエストやIDアサーション・リクエストはすべて無視されます。