31 Identity Federationの設定管理
Oracle Access Management Identity Federationで使用するために構成が必要な設定についての説明。
この章の内容は次のとおりです。
31.2 フェデレーション設定について
このトピックでは、Oracle Access Managementコンソールで使用可能なIdentity Federationの機能を有効にする際に構成が必要なフェデレーション設定について説明します。
図31-1に、Oracle Access Managementコンソールに表示される「フェデレーション設定」ページを示します。このページは、「ようこそ」ページの「構成」パネルから「Identity Federationサービスの設定」を選択した場合、または「システム構成」タブの「フェデレーション」セクションを表示して「フェデレーション設定」を選択した場合と同じです。
表31-1に、構成可能なフェデレーション設定の種類の概要を示します。
表31-1 コンソールの「フェデレーション設定」
要素 | 説明 |
---|---|
一般 |
フェデレーションの一般設定には、アサーションの送信に使用されるプロバイダやキーに関する基本情報が含まれます。 関連項目: フェデレーションの一般設定の管理 |
プロキシ |
プロキシ設定では、フェデレーションのプロキシ・サーバーを設定できます。 関連項目: フェデレーションのプロキシ設定の管理 |
キーストア |
キーストア設定では、キーストア内のキーに対して別名(略称)を作成できます。 関連項目: フェデレーションのキーストア設定の定義 |
31.3 フェデレーションの一般設定の管理
次の各トピックでは、フェデレーションの一般設定の管理方法について説明します。
31.3.1 フェデレーションの一般設定の管理について
フェデレーションの一般的なプロパティの表示と管理は、コンソールの「フェデレーション設定」ページで行います。
図31-1に、「フェデレーション設定」ページの「一般」セクションを示します。
表31-2では、「フェデレーション設定」ページの「一般」セクションに含まれる各要素について説明します。
表31-2 フェデレーションの一般設定
要素 | 説明 |
---|---|
プロバイダID |
このフェデレーション・サーバーのプロバイダIDです。たとえば、 |
署名キー |
このキーを使用して、アサーションに署名します。 |
暗号化キー |
このキーを使用して、着信メッセージの復号化を行います。 |
カスタム信頼アンカー・ファイル |
フェデレーションで使用する信頼できるルート証明書を含むキーストアを指定します。デフォルトの信頼ストアは、 ほとんどの場合、デフォルトの信頼アンカーで十分です。必要に応じて、使用する別のキーストアの場所を指定します。 ノート: カスタム信頼アンカー・キーストアを使用する場合、クラスタ全体に自動的に複製されることはありません。このキーストアの複製を管理する必要があります。 |
SAML 2.0メタデータのエクスポート |
「一般」設定の変更後に、フェデレーション・パートナ用のメタデータをエクスポートする必要があります。 関連項目: メタデータのエクスポート |
31.3.2 フェデレーションの一般設定の管理
「一般」設定には、プロバイダに関する基本情報が含まれます。
31.3.2.2 フェデレーションの「一般」設定の設定または変更
フェデレーションの「一般」設定を設定または変更できます。
設定または変更するには、次のようにします。
- Oracle Access Managementコンソールで、ウィンドウの上部にある「フェデレーション」をクリックします。
- 「フェデレーション」コンソールで、「設定」セクションのドロップダウン・リストから「フェデレーション」を選択します。
- 「フェデレーション設定」ページで、使用する「一般」設定の値(表31-2)を入力します。
- 「適用」をクリックして、変更を保存します。
- 「フェデレーションのプロキシ設定の管理」に進みます。
31.4 フェデレーションのプロキシ設定の管理
このトピックは次の項で構成されています。
31.4.1 フェデレーションのプロキシ設定について
Identity Federationでフェデレーション・パートナに直接接続する必要がある場合(SAMLアーティファクトのSSO操作などで)、プロキシが必要になる場合があります。フェデレーション・パートナ用に構成されたプロキシの表示および管理は、コンソールの「フェデレーション設定」ページで行います。
図31-1に、「フェデレーション設定」ページのフェデレーションのプロキシ設定セクションを示します。表31-3では、「フェデレーション設定」ページのフェデレーションのプロキシ設定セクションに含まれる各要素について説明します。
表31-3 フェデレーションのプロキシ設定
要素 | 説明 |
---|---|
プロキシの有効化 |
このボックスを選択すると、プロキシ・サーバーが有効になります。 このボックスが選択されていない場合、プロキシ機能は無効になっており、関連するフィールドにアクセスして編集することはできません。 |
ホスト |
この要素では、プロキシのホスト名を指定します。 |
ポート |
この要素では、プロキシのポート番号を指定します。 |
非プロキシ・ホスト |
プロキシを使用してはならないホストのリストです。複数のホストを区切るには、「;」を使用します。 |
ユーザー名 |
プロキシへの接続時に使用するプロキシ・ユーザー名です。 |
パスワード |
プロキシへの接続時に使用するプロキシ・パスワードです。 |
31.4.2 Identity Federationのプロキシ設定の管理
「フェデレーション設定」ページを表示している場合、ステップ1は省略します。
31.4.2.2 フェデレーションの「プロキシ」設定の設定または変更
フェデレーションの「プロキシ」設定を設定または変更できます。
設定または変更するには、次のようにします。
- Oracle Access Managementコンソールで、ウィンドウの上部にある「フェデレーション」をクリックします。
- 「フェデレーション」コンソールで、「設定」セクションのドロップダウン・リストから「フェデレーション」を選択します。
- 「フェデレーション設定」ページで、使用環境に必要な値に対して現在のプロキシ設定値を評価します。
- 使用環境に適した値(表31-3)を、「プロキシ」設定に入力します。
- 「適用」をクリックして、変更を保存します。
- 「フェデレーションのキーストア設定の定義」に進みます。
31.5 フェデレーションのキーストア設定の定義
次の各トピックでは、フェデレーションのキーストア設定の定義方法について説明します。
31.5.1 Identity Federationのキーストア設定の管理について
フェデレーション・パートナ用に構成されたキーストアの表示と管理は、コンソールの「フェデレーション設定」ページで行います。
図31-2は、「フェデレーション設定」ページの、展開されたフェデレーション・プロキシ設定セクションを示しています。
表31-4では、「フェデレーション設定」ページのキーストア設定セクションに含まれる各要素について説明します。
表31-4 フェデレーションのキーストア設定
要素 | 説明 |
---|---|
キーストアの場所 |
この要素では、キーストアのパスを指定します。 |
キーID |
一意のキーIDです。 |
説明 |
この要素では、キーの簡単な説明(使用方法など)を指定します。 |
別名 |
この要素では、キーの別名を指定します。 ノート: ドロップダウンでは、キーストアで使用可能な別名の中からいずれか一つを選択できます。 |
パスワード |
この要素では、キー・パスワードを指定します。 |
31.5.2 Identity Federationの暗号化/署名キーの管理
「データ・ソースの管理」で説明されているように、Identity Federationでは、暗号化証明書および署名証明書を格納する際に次のキーストア内のキーを使用します。
$DOMAIN_HOME/config/fmwconfig/.oamkeystore
31.5.2.1 タスクの概要: Identity Federationの暗号化/署名キーの管理
ノート:
この説明では、AMはAccess Manager、IFはIdentity Federationを表します。
31.5.2.2 システム(.oamkeystore)および信頼(amtruststore)キーストア・パスワードのリセット
キーストアおよびキーストアと同じパスワードを使用するキー・エントリを保護するパスワードをリセットできます。
キーストアはIM/OAMAMインストーラによって作成および構成されており、パスワードとキー・エントリのパスワードはランダムに生成されています。WLSTのresetKeystorePassword
メソッドを使用すると、.oamkeystoreパスワードおよび.oamkeystoreパスワードと同じパスワードが設定されたキー・エントリに新しい値を設定できます。このコマンドの更新対象は次のとおりです。
-
.oamkeystoreパスワード
-
.oamkeystore内でキーストアと同じパスワードを持つキー・エントリ
-
OAMAM/IFの構成(変更を反映する場合)
-
amtruststoreパスワード(キーストアが.oamkeystore(デフォルト)と同じパスワードで保護されている場合)
システム・キーストア(.oamkeystore)・パスワードを設定するには:
31.5.2.3 システム・キーストア(.oamkeystore)への新しいキー・エントリの追加
システム・キーストア(.oamkeystore)に新しいキー・エントリを追加するには、新しいキー・エントリを作成および追加するkeytool
コマンドを使用します。
エントリを追加したら、アサーションの署名および着信メッセージの復号化の際にそのエントリを使用できるように、Identity Federation設定の構成画面で定義する必要があります。
31.5.2.3.1 タスクの概要: システム・キーストア(.oamkeystore)への新しいキー・エントリの追加
次の各トピックでは、新しいエントリをシステム・キーストアに追加し、SAMLアサーションの署名、またはWSSの対象とならないXML暗号化データの復号化を実行する方法について説明します。
31.5.2.3.2 .oamkeystoreへの新しいエントリの追加
このタスクに前提条件はありません。システム・キーストア(.oamkeystore)・パスワードをリセットしておきます。
.oamkeystoreで新しいエントリを追加するには、次のようにします。
31.5.2.3.3 Identity Federation設定への新しいエントリの追加
「Identity Federation」設定で、「キーストア」表に新しい行を追加できます。
Identity Federation設定で新しいエントリを追加するには、次のようにします。
- Oracle Access Managementコンソールで、ウィンドウの上部にある「フェデレーション」をクリックします。
- 「フェデレーション」コンソールで、「設定」セクションのドロップダウン・リストから「フェデレーション」を選択します。
- 「フェデレーション設定」ページで、「キーストア」表に移動します。
- 行を追加します。
- Identity Federationの構成時にこのキーを参照するために使用するキーIDを入力します。
- .oamkeystoreに格納されるキー・エントリの別名を選択します。
- キー・パスワードを入力します。
- 「適用」をクリックします。
31.5.2.3.4 署名および暗号化キーの構成
キーストア表にキーを追加したら、Identity Federationを構成してそのキーを使用できます。
署名および暗号化キーを構成するには、次のようにします。
- Oracle Access Managementコンソールで、ウィンドウの上部にある「フェデレーション」をクリックします。
- 「フェデレーション」コンソールで、「設定」セクションのドロップダウン・リストから「フェデレーション」を選択します。
- 「一般」セクションに移動します。
- キーストア表に定義されている使用可能なキー・エントリのリストから署名キーを選択します。
- キーストア表に定義されている使用可能なキー・エントリのリストから暗号キーを選択します。
- 「適用」をクリックします。
これでIdentity Federationで前述のキーを使用してメッセージの署名および復号化を行えるようになりました。
31.5.2.3.5 キー・トランスポート・アルゴリズムに対するWLSTの使用
Oracle Identity Federationでは、キー・トランスポート・アルゴリズムとしてRSA 1.5がデフォルトでサポートされます。WLSTコマンドを使用して新規プロパティdefaultkeytransportmethodをoam-config.xmlに追加すれば、要件に基づいてRSA 1.5からRSA-OAEPにキー・トランスポート・アルゴリズムを変更できます。
次のように、defaultkeytransportmethodパラメータをoam-config.xmlに構成できます。
<Setting Name=”defaultkeytransportmethod” Type=”xsd: xsd”> http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p </Setting>
-
特定のパートナ(この例ではOIFSP)のみのキー・トランスポート・アルゴリズムを更新するには、次のWLSTコマンドを使用します。
updatePartnerProperty(partnerName=”OIFSP”, partnerType=”SP”, propName=”defaultkeytransportmethod”, propValue=”http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p”,type=”string”)
-
特定のパートナ・プロファイル(この例ではsaml20-sp-partner-profile)を使用するすべてのパートナのキー・トランスポート・アルゴリズムを更新するには、次のWLSTコマンドを使用します。
putStringProperty("/fedpartnerprofiles/saml20-sp-partner-profile/defaultkeytransportmethod","http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p");
-
定義されているすべてのSPパートナのキー・トランスポート・アルゴリズムを更新するには、次のWLSTコマンドを使用します。
putStringProperty("/idpglobal/defaultkeytransportmethod", “http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p”)
ノート:
これは、グローバルな変更です。
31.5.2.3.6 RSA OAEPキー・トランスポート・ダイジェストおよびMGFダイジェストの構成
この項で説明するプロパティは、defaultkeytransportmethod
プロパティがhttp://www.w3.org/2009/xmlenc11#rsa-oaepに設定されているIdPパートナ構成にのみ適用されます。
defaultkeytransportdigest
が追加されました。可能な値は次のとおりです:
defaultkeytransportmgfdigest
が追加されました。可能な値は次のとおりです:
例:
updatePartnerProperty(partnerName=" OIFIDP ", partnerType="idp",propName="defaultkeytransportmethod",propValue=http://www.w3.org/2009/xmlenc11#rsa-oaep, type="string")
updatePartnerProperty(partnerName=" OIFIDP ", partnerType="idp",propName="defaultkeytransportdigest",propValue=http://www.w3.org/2001/04/xmlenc#sha256, type="string")
updatePartnerProperty(partnerName=" OIFIDP ", partnerType="idp",propName="defaultkeytransportmgfdigest",propValue=http://www.w3.org/2009/xmlenc11#mgf1sha256, type="string")
31.5.2.3.7 署名アルゴリズムの構成
signaturedigestalgorithm
プロパティを使用して、要件に基づいて変更できます。このプロパティに指定できる値は次のとおりです。
- SHA-1: http://www.w3.org/2000/09/xmldsig#rsa-sha1署名アルゴリズムを使用する場合(デフォルト)
- SHA-256: http://www.w3.org/2001/04/xmldsig-more#rsa-sha256署名アルゴリズムを使用する場合
- PSS-SHA-1: http://www.w3.org/2007/05/xmldsig-more#sha1-rsa-MGF1署名アルゴリズムを使用する場合
- PSS-SHA-256: http://www.w3.org/2007/05/xmldsig-more#sha256-rsa-MGF1署名アルゴリズムを使用する場合
- PSS-SHA-384: http://www.w3.org/2007/05/xmldsig-more#sha384-rsa-MGF1署名アルゴリズムを使用する場合
- PSS-SHA-512: http://www.w3.org/2007/05/xmldsig-more#sha512-rsa-MGF1署名アルゴリズムを使用する場合
- 8u251より後のJavaバージョンが必要です
- OWSMパッチ34566592がミドルウェア・ホームにインストールされている必要があります
例:
updatePartnerProperty(partnerName="OIFSP", partnerType="SP",propName="signaturedigestalgorithm", propValue="PSS-SHA-256", type="string")
31.6 メタデータのエクスポート
「一般」設定を変更した後で、フェデレーション・パートナで使用するメタデータをエクスポートできます。
SAML 2.0メタデータをエクスポートするには、次のようにします。
- Oracle Access Managementコンソールで、ウィンドウの上部にある「フェデレーション」をクリックします。
- 「フェデレーション」コンソールで、「設定」セクションのドロップダウン・リストから「フェデレーション」を選択します。
- 「フェデレーション設定」ページで、「SAML 2.0メタデータのエクスポート」をクリックします。
- ダイアログ・ボックスが表示され、メタデータのエクスポート先ファイルの場所を指定するよう求められます。
- 「保存」をクリックして、新しいメタデータ・ファイルを保存します。