始める前に
SAML 2.0 Webサービス・サービス・プロバイダ・パートナを構成する前に、セキュリティ・レルムにSAML 2.0資格証明マッピング・プロバイダのインスタンスを作成して構成します。SAML 2.0資格証明マッピング・プロバイダの構成を参照してください。
SAML 2.0 Webサービス・サービス・プロバイダ・パートナを作成するには:
-
左ペインで、「セキュリティ・レルム」を選択します。
-
「セキュリティ・レルムの概要」ページで、レルムの名前(myrealmなど)を選択します。
-
「レルム名の設定」ページで、「プロバイダ」→「資格証明マッピング」を選択します。
-
「資格証明マッピング・プロバイダ」表で、SAML 2.0資格証明マッピング・プロバイダを選択します。
-
「SAML 2.0資格証明マッパーの設定」ページで、「管理」を選択します。
-
「サービス・プロバイダ・パートナ」下の表で、「新規作成」→Webサービスの新しいサービス・プロバイダ・パートナをクリックします。
-
「SAML 2.0 Webサービス・サービス・プロバイダ・パートナの作成」ページで新しいサービス・プロバイダ・パートナの名前を入力し、「終了」をクリックします。
ノート: 「終了」をクリックした後でブラウザの「戻る」ボタンをクリックすると、パートナ名がデフォルトの名前にリセットされます。
-
「サービス・プロバイダ・パートナ」表で、新たに作成したサービス・プロバイダ・パートナの名前を選択します。
-
「SAML 2.0資格証明マッパーの設定」ページで、「有効」を選択して、このサーバーとサービス・プロバイダ・パートナとの相互作用を有効にします。
-
1つまたは複数のパートナのルックアップ文字列を指定します。また、オプションでオーディエンスのURIを「オーディエンスのURI」属性で指定します。この属性はWebLogic Serverによりオーバーロードされ、次の両方の機能を果たします。
- パートナのルックアップ文字列には、要求されたWebサービス・エンドポイントとサービス・プロバイダ・パートナとの照合を、SAML 2.0資格マッピング・プロバイダが実行できるようにするエンドポイントURLが含まれます。照合後は、このサービス・プロバイダ・パートナのアサーションが生成されます。サービス・プロバイダ・パートナのルックアップ文字列の構成は、そのパートナが実行時にWebLogic Serverで検出されるために必要です。
- パートナのルックアップ文字列のエンドポイントURLは、サービス・プロバイダ・パートナに生成されるアサーションに含まれる必要のあるオーディエンスのURIとして指定することもできます。
ノート: オーディエンスのURIはパートナのルックアップ文字列とは別に指定することもできます。
パートナのルックアップ文字列の作成方法、およびその文字列でルックアップURLをオーディエンスのURIとして指定する方法の詳細は、パートナ・ルックアップ文字列の作成を参照してください。
-
必要に応じてその他の設定を構成します。たとえば、次の1つまたは複数のタスクを実行できます。
-
サービス・プロバイダ名マッパーのクラスを指定します。これは、
com.bea.security.saml2.providers.SAML2CredentialNameMapper
インタフェースのカスタム実装です。このクラスは指定した場合、SAML 2.0資格マッピング・プロバイダが構成されているデフォルトのSAML 2.0資格マッパー名のマッパー・クラスをオーバーライドします。ここで指定したクラスは、このサービス・プロバイダ・パートナに生成されたアサーションにのみ使用されます。
この名前マッパー・クラスの詳細は、SAML 2.0資格証明マッピング・プロバイダの構成およびcom.bea.security.saml2.providers.SAML2CredentialNameMapperインタフェースのAPIリファレンスを参照してください。
-
このサービス・プロバイダ・パートナに生成されるアサーションの存続時間の値を指定します。
-
「属性の生成」を選択し、この特定のサービス・プロバイダ・パートナに生成されるアサーションにグループ情報を追加します。これにより、このパートナは後でアサーションからこの情報を抽出し、マップされたサブジェクトが所属するグループを判別することができます。
-
生成されたアサーションをサービス・プロバイダ・パートナで1回のみ使用し、再利用できないようにするには、「1回の使用の条件を含める」を選択します。
WebLogic ServerではSAML 2.0サービス用に「キー情報を含む」属性を使用できますが、SAML 2.0サービスで生成されるアサーションには署名用証明書は含まれません。パートナは安全に交換した署名用証明書を信頼し、パートナ・レジストリに保持する必要があります。
-
サービス・プロバイダ・パートナと調整して、アサーションの確認方法と、このパートナに生成されるアサーションを署名するかどうかについて取り決めます。
Webサービス・サービス・プロバイダ・パートナの構成オプションの詳細は、Security Assertion Markup Language (SAML)トークンのアイデンティティとしての使用を参照してください。
-
「保存」をクリックします。
結果
Webサービス・サービス・プロバイダ・パートナがローカル・サーバー・インスタンスに作成されます。