デフォルトIDアサーション・プロバイダ: プロバイダ固有
このページでは、このWebLogic IDアサーション・プロバイダのプロバイダ固有の構成を定義します。
構成オプション
名前 説明 ユーザー名マッパーのクラス名 X.509デジタル証明書とX.501識別名をWebLogicユーザー名にマップするJavaクラスの名前。
MBean属性:
DefaultIdentityAsserterMBean.UserNameMapperClassName
信頼性のあるクライアントのプリンシパル CSI v2のIDアサーションで使用される信頼するクライアント・プリンシパルのリスト。
ワイルドカード文字(*)を使用すると、すべてのプリンシパルを信頼するよう指定できます。信頼するクライアント・プリンシパルのリストに入っていないクライアントの場合、CSIv2のIDアサーションは失敗し、呼出しは拒否されます。
MBean属性:
DefaultIdentityAsserterMBean.TrustedClientPrincipals
デフォルト・ユーザー名マッパーを使用 WebLogic Serverによって提供されるユーザー名マッピング・クラスを使用します。デフォルトのユーザー名マッピング・クラスでは、証明書が期限切れでないことのみが検証されます。
それ以上の検証が必要な場合は、独自のユーザー名マッピング・クラスを記述する必要があります。独自のユーザー名マッピング・クラスを記述すると、証明書のサブジェクトDNのどの属性をユーザー名のマッピングに使用するかについても指定できます。
MBean属性:
DefaultIdentityAsserterMBean.UseDefaultUserNameMapper
仮想ユーザーの許可 セキュリティ・ストアに相当するものがない、アイデンティティ・アサーションを介してアクセスしているWeblogic Serverユーザーを認証するかどうかを指定します。
この設定を有効にした場合は、セキュリティ・ストアに相当するものがないWeblogic Serverユーザーが認証されます。この属性に加えて、サブジェクト・コンポーネント・マッパー・クラス(ユーザー名マッパーの一種)はトークンに基づく仮想ユーザーを拒否する可能性があります。
アイデンティティ・ドメイン アイデンティティ・ドメインの名前。
デフォルト・ユーザー名マッパーの属性のタイプ X.509証明書またはX500名前トークンをWebLogicユーザー名にマッピングするのに使用される主体DNの属性名。
MBean属性:
DefaultIdentityAsserterMBean.DefaultUserNameMapperAttributeType
デフォルト・ユーザー名マッパーの属性のデリミタ X.509証明書またはX500名前トークンをWebLogicユーザー名にマッピングするときに、属性値を終了させるデリミタ。
MBean属性:
DefaultIdentityAsserterMBean.DefaultUserNameMapperAttributeDelimiter
ダイジェストへのリプレイ攻撃の検出を有効化 リプレイ攻撃の検出に使用されるダイジェストのnonce値の保存を有効にします。
この設定を有効にした場合は、nonce値を指定された期間保存しておくデータ・ソースを構成する必要があります。WebLogic Serverは、ドメインのすべてのメカニズムに対するダイジェスト認証の試行から、すべてのnonce値を保存します。ダイジェスト認証が試行されるたびに、そのnonce値を、保存されているnonce値に対して検証します。nonce値が存在する場合はリプレイ攻撃が発生しているので、そのダイジェスト認証の試行は失敗します。
MBean属性:
DefaultIdentityAsserterMBean.DigestReplayDetectionEnabled
ダイジェストの有効期間 ダイジェストの有効期間を決定します。
指定された時間より前に作成されたダイジェストは有効になりません。この設定は、リプレイ攻撃の検出に使用するために、以前のダイジェスト値をデータベースに格納しておく時間の長さに影響を与えます。
MBean属性:
DefaultIdentityAsserterMBean.DigestExpirationTimePeriod
ダイジェストのデータ・ソース名 ダイジェスト値を格納するためのデータ・ソースの名前。このダイジェスト値はリプレイ攻撃の検出に使用されます。