SAML 2.0 IDアサーション・プロバイダ: WebサービスIDプロバイダ・パートナ: 全般
SAML 2.0 Webサービス・アイデンティティ・プロバイダ・パートナの全般的なプロパティを構成します。
構成オプション
名前 説明 名前 このIDプロバイダ・パートナの名前。
このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.Partner
インタフェースで行うことができます。有効 このサーバー上でこのIDプロバイダ・パートナとの相互作用を有効にするかどうかを指定します。
このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.Partner
インタフェースで行うことができます。説明 このIDプロバイダ・パートナの簡単な説明。
このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.Partner
インタフェースで行うことができます。オーディエンスのURI このIDプロバイダ・パートナによって生成されるアサーションに含める必要のある1つまたは複数のパートナ・ルックアップ文字列、および任意指定の1つまたは複数のSAMLオーディエンスURI。
SAML 2.0のWebLogic Server実装では、次の2つの関連(ただしそれぞれ独立した)機能を実行するためにオーディエンスのURI属性がオーバーロードされます。
- このIDプロバイダ・パートナから受信するアサーションに含める必要のある1つまたは複数のオーディエンスのURIを指定します。
- 1つまたは複数のパートナ・ルックアップ文字列を指定します。この文字列は、IDプロバイダ・パートナの検出に使用されるエンドポイントURLを指定します。IDプロバイダ・パートナは、そのエンドポイント上のリクエストのアサーションを生成するために構成され、その結果、アサーションの検証が有効になります。
この属性に指定される値に必要な構文は次のとおりです。
[target:char:]<endpoint-url>
上記の構文において、
target:char:
はパートナ・ルックアップ文字列の指定に使用されるプレフィックスです。ここで、charはハイフン、プラス記号、アスタリスク(-
、+、*
)の3つの特殊文字のいずれか1つを表します。このプレフィックスはパートナ・ルックアップが実行される方法を以下のように判断します。(トランスポート、ホスト、およびポートは、サービス・プロバイダのロールで構成されるWebLogic Serverインスタンスから渡されるときにURLから削除されるため、<endpoint-url>
に指定する値に含める必要があるのは、ホストとポートに続くエンドポイントのパスの一部のみです。)
target:-:<endpoint-url>
は、完全に一致するURL (<endpoint-url>
)を使用してパートナ・ルックアップが行われるように指定する。たとえば、target:-:/myserver/myservicecontext/myservice-endpoint
は、この特定のエンドポイントにおけるランタイムの呼出しが、このIDプロバイダ・パートナに一致するように指定します。target:+:<endpoint-url>
は、完全に一致するURL (<endpoint-url>
)に対してパートナ・ルックアップが行われるように指定します。たとえば、target:+:/myserver/myservicecontext/myservice-endpoint
のようになります。(ノート: IDプロバイダ・パートナに一致するオーディエンスのURIが生成される可能性が低くなるため、パートナ・ルックアップ文字列のこのフォームの構成は行わないようにしてください。)target:*:<endpoint-url>
は、最初の文字列のパターンが一致するURL (<endpoint-url>
)に対してパートナ・ルックアップが行われるように指定します。たとえば、target:*:/myserver
は、ランタイムの呼出し/myserver/contextA/endpoint
Aまたはのいずれか(つまり、
/myserver/contextB/endpoint
B/myserver
のすべてのWebサービス・エンドポイント)が、このIDプロバイダ・パートナに一致するように指定します。最初の文字列に一致するIDプロバイダ・パートナが複数検出される場合は、一致する文字列が最も長いパートナが選択されます。ノート: IDプロバイダ・パートナが実行時に検出されるようにするには、そのパートナのターゲット・ルックアップ文字列を1つまたは複数構成する必要があります。このパートナを検出できない場合は、パートナから受信するアサーションが拒否されます。
ターゲット・ルックアップの接頭辞を使用せずにエンドポイントURLを構成する場合は、このIDプロバイダ・パートナから受信するアサーションに格納する必要のある、従来と同様のオーディエンスのURIとして処理されます。(ターゲット・ルックアップ文字列とは異なり、オーディエンスのURIにはターゲット・エンドポイントのトランスポート、ホスト、およびポートを含める必要があります。たとえば、
http://www.avitek.com:7001/myserver/myservice-context/myservice-endpoint
のようになります。)このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.Partner
インタフェースで行うことができます。発行者URI このIDプロバイダ・パートナの発行者URI。
このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.IdPPartner
インタフェースで行うことができます。IDプロバイダ名マッパーのクラス名 SAML 2.0 IDアサーション・プロバイダが構成されているデフォルトのユーザー名マッパー・クラスをオーバーライドするJavaクラス。
指定した場合、このクラスは
com.bea.security.saml2.providers.SAML2IdentityAsserterNameMapper
インタフェースのカスタム実装であり、この特定のIDプロバイダ・パートナから受信するアサーションに使用されます。このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.IdPPartner
インタフェースで行うことができます。仮想ユーザー このIDプロバイダ・パートナから受信するアサーションに含まれるユーザー情報が、仮想ユーザーにマップされるかどうかを指定します。
仮想ユーザーを使用するには、SAML認証プロバイダを構成する必要があります。
このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.IdPPartner
インタフェースで行うことができます。確認メソッド SAML 2.0アサーションをIDとして使用するときに使用される確認メソッドのタイプを指定します。
使用可能な確認メソッドは次のとおりです。
sender-vouches
(デフォルト)holder-of-key
bearer
確認メソッドを指定するときは、メソッドの完全修飾URNを指定してください。たとえば、
urn:oasis:names:tc:SAML:2.0:cm:sender-vouches
のようになります。WLSTを使用してパートナを構成する場合、WebLogic Serverは、パートナ・クラス・オブジェクトで定義可能な各確認メソッドの定数を提供します。たとえば、次のWLSTコマンドでは、パートナの
bearer
確認メソッドを設定します。p.setConfirmationMethod(p.ASSERTION_TYPE_BEARER)
このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.WSSSPPartner
インタフェースで行うことができます。属性の処理 SAML 2.0 IDアサーション・プロバイダが、このIDプロバイダ・パートナから受信するアサーションに含まれる属性文を処理するかどうかを指定します。
この属性を使用するには、SAML認証プロバイダをドメインで構成し、さらに次の設定を行う必要があります。
- 他の認証プロバイダより前に実行されるよう構成されている
- JAAS制御フラグがSUFFICIENTに設定されている
SAML認証プロバイダでは、SAML 2.0 IDアサーション・プロバイダがSAMLアサーションから抽出したユーザー名とグループを使用して、認証済みサブジェクトを作成します。
このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.IdPPartner
インタフェースで行うことができます。
- SAML 2.0アイデンティティ・アサーション・プロバイダの構成
- Oracle WebLogic Serverのセキュリティの理解
- Security Assertion Markup Language (SAML)トークンのアイデンティティとしての使用
- com.bea.security.saml2.providers.registry.PartnerインタフェースのAPIリファレンス
- com.bea.security.saml2.providers.registry.IdPPartnerインタフェースのAPIリファレンス
- com.bea.security.saml2.providers.registry.WSSSPPartnerインタフェースのAPIリファレンス