OTNホーム > Oracle WebLogic Server 12.2.1.3.0ドキュメント > 管理コンソール・オンライン・ヘルプ > SAML 2.0 Webシングル・サインオンIDプロバイダ・パートナの作成

管理コンソール・オンライン・ヘルプ

前 次 新規ウィンドウで目次を開く
ここから内容の開始

SAML 2.0 Webシングル・サインオンIDプロバイダ・パートナの作成

始める前に

SAML 2.0 IDプロバイダ・パートナを構成する前に、次のタスクを実行します。

SAML 2.0 Webシングル・サインオンIDプロバイダ・パートナを作成するには:

  1. 左ペインで、「セキュリティ・レルム」を選択します。
  2. 「セキュリティ・レルムの概要」ページで、レルムの名前(myrealmなど)を選択します。
  3. 「レルム名の設定」ページで、「プロバイダ」→「認証」を選択します。
  4. 「認証プロバイダ」表で、SAML 2.0 IDアサーション・プロバイダを選択します。
  5. 「SAML 2.0 IDアサーション・プロバイダの設定」ページで、「管理」を選択します。
  6. 「IDプロバイダ・パートナ」の下の表で、「新規作成」→「新しいWebシングル・サインオンIDプロバイダ・パートナ」をクリックします。
  7. 「SAML 2.0 Webシングル・サインオンIDプロバイダ・パートナの作成」ページで、次のタスクを実行します。
    1. IDプロバイダ・パートナの名前を指定します。
    2. 「パス」の横にあるフィールドで、フェデレーション・パートナから受け取ったメタデータ・パートナ・ファイルのフルパスを指定するか、参照して指定します。
    3. 「OK」をクリックします。

    ノート: 「OK」をクリックした後でブラウザの「戻る」ボタンをクリックすると、パートナ名がデフォルトの名前にリセットされます。

  8. 「SAML 2.0 IDアサーション・プロバイダの設定」ページの「IDプロバイダ・パートナ」表で、新しく作成したWebシングル・サインオンIDプロバイダ・パートナの名前を選択します。
  9. 「全般」ページで「有効」を選択し、このサーバーとIDプロバイダ・パートナ間の相互作用を有効にします。
  10. 必要に応じてその他の設定を構成します。たとえば、次の1つまたは複数のタスクを実行できます。
    1. 仮想ユーザー」を選択し、アサーションのユーザー情報をセキュリティ・レルムの仮想ユーザーにマップします。このオプションを選択する場合、セキュリティ・レルムにSAML認証プロバイダ・インスタンスを作成して構成する必要もあります。詳細は、SAML認証プロバイダの構成を参照してください。
    2. リダイレクトURI」に、認可されていないユーザーが呼び出した場合に認証リクエストを生成し、その認証リクエストをIDプロバイダ・パートナに送信する、ローカル・サイトでホストされているリソースのURIを指定します。特定のURIの認証レスポンスを生成可能なIDプロバイダ・パートナが複数存在する場合、その認証リクエストはSAML 2.0サービスが最初に検出したパートナに送信されます。

      URIにはワイルドカード・パターンを含めることができますが、このワイルドカード・パターンにはディレクトリ内の特定のファイルに一致するファイル・タイプを含める必要があります。たとえば、/targetappディレクトリ内のすべてのファイル(すべての.jsp.htmlおよび.htmファイルを含む)に一致する条件を作成するには、次のワイルドカード・パターンを指定します。

      /targetapp/*
/targetapp/*.jsp
/targetapp/*.html
/targetapp/*.htm

      また、SAML 2.0には、特定のリソースに対する非認証リクエストがサービス・プロバイダ・サイトに届いたときに、Webシングル・サインオン・セッションを開始する代替メカニズムが用意されています。SAML 2.0サービスの構成を参照してください。

    3. 属性の処理」を選択し、このIDプロバイダ・パートナから受け取ったアサーションから属性情報を抽出します。WebLogic Serverの属性には、マップされたサブジェクトが所属するグループが格納されています。

      ノート: アサーションから属性を抽出するには、セキュリティ・レルムにSAML認証プロバイダ・インスタンスを作成して構成する必要があります。詳細は、認証およびアイデンティティ・アサーション・プロバイダの構成およびSAML認証プロバイダの構成を参照してください。

    4. 必要に応じて、「署名済みアーティファクトのリクエストのみ受け入れる」を有効化します。
    5. SAMLアーティファクトをHTTP POSTメソッドでこのIDプロバイダ・パートナに配信するかどうかを指定します。この属性を選択する場合、このIDプロバイダ・パートナへアーティファクト・バインディングのSAMLレスポンスを伝送するためのPOSTフォームを生成するカスタムWebアプリケーションのURLを指定します。
    6. 保存」をクリックします。
  11. サイト情報」を選択し、IDプロバイダ・パートナのサイトに関する情報を表示します。この情報はパートナのメタデータ・ファイルから導出されており、読取り専用です。
  12. シングル・サインオン署名用証明書」を選択し、パートナの証明書を表示します。この情報は読取り専用であり、証明書が含まれているIDプロバイダ・パートナのメタデータ・ファイルから導出されます。
  13. トランスポート層クライアント証明書」を選択し、IDプロバイダ・パートナのトランスポート層クライアント証明書をインポートまたは表示します。この証明書はパートナのメタデータ・ファイルに含まれないため、安全に取得するために通常はパートナとの調整を行う必要があります。
  14. シングル・サインオン・サービス・エンドポイント」を選択し、IDプロバイダ・パートナのシングル・サインオン・サービスのURIを表示します。
  15. アーティファクト解決サービス・エンドポイント」を選択し、IDプロバイダのアーティファクト解決サービス(ARS)のエンドポイントを表示します。

    このパートナに対してアーティファクト・バインディングが有効化されていない場合、アーティファクト解決サービス(ARS)のエンドポイント情報は表示されません。

結果

IDプロバイダ・パートナがローカル・サーバー・インスタンスに作成されます。このパートナのメタデータ・ファイルから取得されたパートナ関連情報は、読取り専用データとして管理コンソールで表示できます。このデータの変更は予想外の結果を招く恐れがあり、お薦めしません。

完了した後に

フェデレーション・パートナと調整し、このSAMLオーソリティに対して有効化したSAMLバインディングと、署名ドキュメントの要件がパートナと互換性を持つようにします。詳細は、SAML 2.0サービスの構成を参照してください。


先頭に戻る