SAML 2.0資格証明マッピング・プロバイダ: Webサービス・サービス・プロバイダ・パートナ: 全般
SAML 2.0 Webサービス・サービス・プロバイダ・パートナのプロパティを構成します。
構成オプション
名前 説明 名前 Webサービス・サービス・プロバイダ・パートナの名前を表示します。
このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.Partner
インタフェースで行うことができます。有効 このサーバー上でこのサービス・プロバイダ・パートナとの相互作用を有効にするかどうかを指定します。
このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.Partner
インタフェースで行うことができます。説明 このサービス・プロバイダ・パートナの簡単な説明。
このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.Partner
インタフェースで行うことができます。オーディエンスのURI 1つまたは複数のパートナ・ルックアップ文字列、および任意指定の1つまたは複数のSAMLオーディエンスURI。
SAML 2.0のWebLogic Server実装では、次の2つの関連(ただしそれぞれ独立した)機能を実行するためにオーディエンスのURI属性がオーバーロードされます。
- このサービス・プロバイダ・パートナ用に生成されるアサーションに含める必要のある1つまたは複数のオーディエンスのURIを指定します。
- 1つまたは複数のパートナ・ルックアップ文字列を指定します。この文字列は、アサーションの生成対象となるサービス・プロバイダ・パートナの検出に使用されるエンドポイントURLを指定します。
この属性に指定される値に必要な構文は次のとおりです。
[target:char:]<endpoint-url>
上記の構文において、
target:char:
はパートナ・ルックアップ文字列の指定に使用されるプレフィックスです。ここで、charはハイフン、プラス記号、アスタリスク(-
、+、*
)の3つの特殊文字のいずれか1つを表します。このプレフィックスはパートナ・ルックアップが実行される方法を以下のように判断します。
target:-:<endpoint-url>
は、パートナのルックアップが、URL<endpoint-url
>の完全一致に対して実行されることを指定します。たとえば、target:-:http://www.avitek.com:7001/myserver/myservicecontext/myservice-endpoint
は、アサーションの生成ターゲットにする必要のあるこのサービス・プロバイダに一致するエンドポイントを指定します。パートナ・ルックアップ文字列のこのフォームは、そのアサーションに格納されるオーディエンスのURIとしてエンドポイントURLが含まれないように指定します。target:+:<endpoint-url>
は、完全に一致するURL (<endpoint-url>
)に対してパートナ・ルックアップが行われ、このサービス・プロバイダ・パートナ用に生成されるアサーションのオーディエンスのURIとしてもエンドポイントURLが追加されるように指定します。target:*:<endpoint-url>
は、最初の文字列のパターンが一致するURL (<endpoint-url>
)に対してパートナ・ルックアップが行われるように指定します。たとえば、target:*:http://www.avitek.com:7001/myserver
は、http://www.avitek.com:7001/myserver
で始まるすべてのエンドポイントURL (http://www.avitek.com:7001/myserver/contextA/endpoint
Aやなど)がこのサービス・プロバイダに一致するように指定します。最初の文字列に一致するサービス・プロバイダ・パートナが複数検出される場合は、一致する文字列が最も長いパートナが選択されます。
http://www.avitek.com:7001/myserver/contextB/endpoint
Bノート:サービス・プロバイダ・パートナが実行時に検出されるようにするには、そのパートナのパートナ・ルックアップ文字列を1つまたは複数構成する必要があります。このパートナを検出できない場合は、このパートナ用のアサーションを生成できません。
ターゲット・ルックアップの接頭辞を使用せずにエンドポイントURLを構成する場合は、このサービス・プロバイダ・パートナ用に生成されるアサーションに格納する必要のある、従来と同様のオーディエンスのURIとして処理されます。(これにより、このパートナに構成されている既存のオーディエンスのURIとの下位互換性が提供されます。)
このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.Partner
インタフェースで行うことができます。サービス・プロバイダ名マッパーのクラス名 このサーバーが構成されているデフォルトのSAML 2.0資格証明マッピング・プロバイダ名マッパーのクラスをオーバーライドするJavaクラスの名前。
ここで指定したサービス・プロバイダ名マッパーのクラスは、
com.bea.security.saml2.providers.SAML2CredentialNameMapper
インタフェースのカスタム実装であり、このサービス・プロバイダ・パートナに使用されるようにここで指定されます。このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.SPPartner
インタフェースで行うことができます。存続時間 このサービス・プロバイダ・パートナ用に生成されるSAML 2.0アサーションの存続時間の値(秒)。
この値は、SAML 2.0資格証明マッピング・プロバイダのデフォルト設定をオーバーライドします。
このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.SPPartner
インタフェースで行うことができます。存続時間のオフセット このサービス・プロバイダ・パートナ用に生成されるSAML 2.0アサーションの存続時間のオフセット値(秒)。
この値は、SAML 2.0資格証明マッピング・プロバイダのデフォルト設定をオーバーライドします。この値を指定すると、IDプロバイダおよびサービス・プロバイダのサイト間のクロックの誤差をSAML 2.0資格証明マッピング・プロバイダで調整できます。この値は、秒数を表す正の整数または負の整数です。
通常のアサーションは、NotBefore時間(デフォルトではそのアサーションが生成された(おおよその)時間に設定)から、NotOnOrAfter時間(NotBefore + TimeToLiveで計算)が経過するまで有効です。ただし、IDプロバイダのサイトとサービス・プロバイダのサイトのクロック設定には多少の誤差のある可能性があります。存続時間のオフセット値は、アサーションのNotBeforeを「現在の時刻」の前後何秒に設定するかを示す正または負の整数です。アサーションの存続時間のオフセット値を設定しても、アサーションの存続期間は(NotBefore + TimeToLive)により算出されますが、NotBeforeの値は、(現在の時刻+アサーションの存続時間のオフセット)に設定されます。したがって、あるアサーションの存続期間が2分(120秒)である場合、その開始時間は現在の時間の30秒前や1分後になることがあります。このようにして、SAML 2.0資格証明マッピング・プロバイダでは、IDプロバイダおよびサービス・プロバイダのサイト間のクロックの誤差を補うことができます。
このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.SPPartner
インタフェースで行うことができます。属性の生成 SAML 2.0資格証明マッピング・プロバイダが、このサービス・プロバイダ・パートナ用に生成されるアサーションにグループ情報を追加するかどうかを指定します。
任意指定のグループ情報は
<Attribute>
要素で指定され、マップされたユーザーが属するグループを判別するために、サービス・プロバイダのSAML 2.0 IDアサーション・プロバイダによって後から使用されます。このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.SPPartner
インタフェースで行うことができます。1回の使用の条件を含める このサービス・プロバイダ・パートナ用に生成されるアサーションの使用可能回数を1回のみにするかどうかを指定します。
指定した場合、この属性は、アサーションを使用直後に破棄する必要があり、再利用できないことを判断します。
このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.SPPartner
インタフェースで行うことができます。キー情報を含む このサーバーの署名証明書が、このサービス・プロバイダ・パートナ用に生成されるアサーションに含まれるかどうかを指定します。
WebLogic ServerのSAML 2.0実装では、パートナ・レジストリで参照される証明書のみが使用され、アサーションに含まれる証明書は使用されません。
このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.SPPartner
インタフェースで行うことができます。確認メソッド SAML 2.0アサーションをIDとして使用するときに使用される確認メソッドのタイプを指定します。使用可能な確認メソッドは次のとおりです。
使用可能な確認メソッドは次のとおりです。
- sender-vouches (デフォルト)
- holder-of-key
- bearer
確認メソッドを指定するときは、メソッドの完全修飾URNを指定してください。たとえば、
urn:oasis:names:tc:SAML:2.0:cm:sender-vouches
のようになります。WLSTを使用してパートナを構成する場合、WebLogic Serverは、パートナ・クラス・オブジェクトで定義可能な各確認メソッドの定数を提供します。たとえば、次のWLSTコマンドでは、パートナの
bearer
確認メソッドを設定します。p.setConfirmationMethod(p.ASSERTION_TYPE_BEARER)
このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.WSSPPartner
インタフェースで行うことができます。署名されたアサーションのみ受け入れる 署名されたアサーションのみを受信するようにサービス・プロバイダ・パートナが構成されるかどうかを指定します。
true
の場合は、このパートナ用に生成されるアサーションに署名されます。このパラメータに対する処理は、
com.bea.security.saml2.providers.registry.SPPartner
インタフェースで行うことができます。
- WebブラウザとHTTPクライアントによるシングル・サインオンの構成
- SAML 2.0サービスの構成
- SAML 2.0資格証明マッピング・プロバイダの構成
- Oracle WebLogic Serverのセキュリティの理解
- キーストアの構成
- Security Assertion Markup Language (SAML)トークンのアイデンティティとしての使用
- com.bea.security.saml2.providers.registry.PartnerインタフェースのAPIリファレンス
- com.bea.security.saml2.providers.registry.SPPartnerインタフェースのAPIリファレンス
- com.bea.security.saml2.providers.registry.WSSSPPartnerインタフェースのAPIリファレンス