10 Identity FederationのためのREST APIの使用

Identity FederationワイヤリングREST APIは、フェデレーション契約の確立および管理をサポートするように設計されています。これは、アイデンティティ・プロバイダ・パートナとサービス・プロバイダ・パートナの間のSAMLメタデータの交換を容易にし、これら2つのパートナ間のフェデレーションSSOを有効または無効にします。この章では、Oracle Access Management Identity Federation APIについて説明します。

cURLの使用に関するノート

この章では、cURLを使用して、アイデンティティ・フェデレーション・クライアントがアイデンティティ・フェデレーション・サーバーに送信するRESTコールについて説明します。cURLは、cURLのWebサイト(http://curl.haxx.se/)からダウンロードできるフリー・ソフトウェアです。

サーバーへのRESTコールの送信にcURLを使用することにより、クライアントとサーバーとのやり取りについての理解を深めることができます。また、これを便利なトラブルシューティング・ツールとしても使用できます。この章を使用するときは、次の点に注意してください。

• Windowsでは、一重引用符( ' )を含むcURLコマンドは失敗します。可能であれば、一重引用符のかわりに二重引用符( " )を使用してください。

• コマンドに一重引用符と二重引用符の両方が必要な場合、二重引用符を円記号でエスケープし(たとえば: \" )、一重引用符を二重引用符に置き換えます。

ノート:

このガイドにおいて、cURLのコマンドおよびサーバー・レスポンスでの改行は、単に表示上の都合により使用されています。

利用できるJava APIリファレンス

この『Oracle Fusion Middleware Oracle Access Management開発者ガイド』のほかに、『Oracle Fusion Middleware Oracle Access Management OAuthサービスJava APIリファレンス』があります。

この項では次のトピックを記載しています:

• リソースURL

• URLリソースおよびサポートされているHTTPメソッド

• リソース一覧

• Identity FederationのcURLコマンドの例

10.1 リソースURL

リソースURLは、Access Manager製品バージョン、RESTサービスで公開されるコンポーネント、および呼び出すリソースを含めて構成されます。リソースURLの基本構造は次のとおりです。

http(s)://host:port/oam/services/rest/path

説明:

• hostは、OAMサーバーが稼働しているホストです。

• portは、HTTPまたはHTTPSポートです。

• pathは特定のリソースを識別する相対パス。pathの構造は/version/component/service/です。ここで:

  • version - Access Managerの製品バージョン(11.1.2.0.0など)。

  • component - RESTfulサービスで公開されるコンポーネント(ssa、fedなど)

  • service - 特定のAPIのルート・リソース(hostidentifierなど)

  pathの値の例: /oam/services/rest/11.1.2.0.0/fed/admin/sso/hostidentifier/host_identifier_name

Access Managerアイデンティティ・フェデレーションREST Web Application Description Language (WADL)ファイルには、サポートされているアイデンティティ・フェデレーション・リソースおよびメソッドが列挙されています。アイデンティティ・フェデレーションREST WADLドキュメントは、http://HOST:PORT/oam/services/rest/11.1.2.0.0/fed/admin/application.wadlにあります。

10.2 URLリソースおよびサポートされているHTTPメソッド

Access Managerアイデンティティ・フェデレーションは、URLリソースにマップされています。各ポリシーはグローバル識別子(URI)で参照されます。

URLリソースへのアクセスはユーザー・ロールに基づいています。RESTfulサービスでは、ユーザー資格証明がBASICモードのHTTPリクエストの認証ヘッダー内にあると想定しています。認証されたユーザーがポリシー管理ロールを持っていれば、リクエストされたポリシー管理アクションが実行されます。

10.3 リソース一覧

表5-5に、各ポリシー・リソース、サポートされているHTTPメソッドおよび各操作の結果の詳細を示します。

表10-1 Access Manager Identity Federationリソースの一覧

リソース	メソッド	説明
/oam/services/rest/ 11.1.2.0.0/fed/admin/sso	POST	サーバーのフェデレーションSSOサービスを有効にして、ログアウト完了URLを構成します。
	PUT	POST操作と同じです。
	GET	フェデレーションSSOサービスおよびログアウト完了URLの有効ステータスを取得します
/oam/services/rest/ 11.1.2.0.0/fed/admin/trustedpartners	POST	サービス・プロバイダ(SP)またはアイデンティティ・プロバイダ(IdP)のパートナ・リソースが作成されます。親にあたるリソースに対してリクエストが実行されます
/oam/services/rest/ 11.1.2.0.0/fed/admin/trustedpartners/idp	GET	IdPパートナのリストをこのメソッドで取得します。
/oam/services/rest/ 11.1.2.0.0/fed/admin/trustedpartners/sp	GET	SPパートナのリストをこのメソッドで取得します。リソース・タイプ・オブジェクトを表すリソースが返されます。この表現には、一致するリソース・タイプ・リソースの属性とその値が格納されています。
/oam/services/rest/ 11.1.2.0.0/fed/admin/trustedpartners/idp/partnerName	POST	特定のIdPパートナ・リソースをこのメソッドで作成します。ここで、partnerNameは作成するパートナの名前です。
	PUT	POST操作と同じです。
	GET	指定したIdPパートナ・リソースをこのメソッドで取得します。ここで、partnerNameはリクエストするIDPパートナの名前です。
	DELETE	指定したIdPパートナ・リソースをこのメソッドで削除します。
/oam/services/rest/ 11.1.2.0.0/fed/admin/trustedpartners/sp/partnerName	POST	特定のSPパートナ・リソースをこのメソッドで作成します。ここで、partnerNameは作成するパートナの名前です。
	PUT	POST操作と同じです。
	GET	指定したSPパートナ・リソースをこのメソッドで取得します。ここで、partnerNameはリクエストするSPパートナの名前です。
	DELETE	指定したSPパートナ・リソースをこのメソッドで削除します。IDまたはNAME問合せパラメータと一致するSPパートナ・リソースが削除されます
/oam/services/rest/ 11.1.2.0.0/fed/admin/orchestrator	POST	クライアントはこのサービスを使用して、このメソッドにより、2つのフェデレーション・サーバーをリモートRESTサービスに接続します。この場合は、両方のフェデレーション・サーバーがOAMインストールです
/oam/services/rest/ 11.1.2.0.0/fed/admin/testsp	POST	テストSPリソースをこのメソッドで有効または無効にします。
	PUT	POST操作と同じです。
	GET	テストSPリソースをこのメソッドで取得します。
/oam/services/rest/ 11.1.2.0.0/fed/admin/ssoservice	POST	このメソッドを使用して、ローカル認証またはフェデレーションSSOのローカル・サーバーを作成します。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。
/oam/services/rest/ 11.1.2.0.0/fed/admin/trustedsppartners	POST	特定のSPパートナ・リソースは、このメソッドを使用して作成されます。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。
/oam/services/rest/ 11.1.2.0.0/fed/admin/trustedidppartners	POST	特定のIdPパートナ・リソースをこのメソッドで作成します。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。
/oam/services/rest/ 11.1.2.0.0/fed/admin/orchestratorservice	POST	クライアントでは、このサービスを使用して、2台のフェデレーション・サーバーがリモートRESTサービスに接続されます。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。
/oam/services/rest/ 11.1.2.0.0/fed/admin/testspservice	POST	テストSPリソースをこのメソッドで有効または無効にします。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。
oam/services/rest/11.1.2.0.0/ssa/policyadmin/resource	POST	このメソッドでは、リソース・オブジェクトが作成されます。オブジェクトの親にあたるリソースに対してリクエストが実行されます。リクエストに一致するリソース・オブジェクトが、対応するアプリケーション・ドメイン内に作成されます。
/fedrest/configuresso	POST	それぞれのfedrest URLを/oam/services/rest/11.1.2.0.0/fed/admin/ssoserviceにリダイレクトします。これは、ローカル認証またはフェデレーションSSOのためのローカル・サーバーの作成に使用されます。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データのタイプは、FORM POSTデータです。
/fedrest/createsp	POST	それぞれのfedrest URLを/oam/services/rest/11.1.2.0.0/fed/admin/trustedsppartnersにリダイレクトします。これは、特定のSPパートナ・リソースの作成に使用されます。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。
/fedrest/createidp	POST	それぞれのfedrest URLを/oam/services/rest/11.1.2.0.0/fed/admin/trustedidppartnersにリダイレクトします。これは、特定のIdPパートナ・リソースの作成に使用されます。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。
/fedrest/orchestrator	POST	それぞれのfedrest URLを/oam/services/rest/11.1.2.0.0/fed/admin/orchestratorserviceにリダイレクトします。このサービスは、2台のフェデレーション・サーバーをリモートRESTサービスに接続するためにクライアントによって使用されます。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。

10.4 Identity FederationのcURLコマンドの例

次の例は、リファレンスとして提供されています。

• POST cURLコマンドを使用したSSOサービスの構成

• GET cURLコマンドを使用したSSOサービスの取得

• PUT cURLコマンドを使用したSSOサービスの構成

• SPパートナの作成cURLコマンド

• すべてのSPパートナのリストcURLコマンド

• SPパートナ・データの取得cURLコマンド

• SPパートナ詳細の更新cURLコマンド

• SPパートナ詳細の削除cURLコマンド

• POST cURLコマンドを使用したテストSPの有効化

• GET cURLコマンドを使用したテストSP有効化の取得

• PUT cURLコマンドを使用したテストSPの無効化

• /fedrest/configuressoを使用したPOST cURLコマンドの使用によるSSOサービスの構成

• /fedrest/createspを使用したSPパートナcURLコマンドの作成

• /fedrest/createidpを使用したIdPパートナcURLコマンドの作成

• /fedrest/orchestratorを使用したリモートRESTサービスへのフェデレーション・サーバーの接続

10.4.1 POST cURLコマンドを使用したSSOサービスの構成

RESTエンドポイント /oam/services/rest/11.1.2.0.0/fed/admin/ssoリクエストは、顧客がアイデンティティ・プロバイダである場合にPOSTメソッドを使用してSSOサービスを構成するために使用されます。このAPIは、Fusion Applicationsに接続するために使用され、FAAuthSchemeを構成します。

Fusion Applicationsについては、IdPは次のようにグローバル・レベルで構成されます。

• SAML 2.0のみ有効化。

• SSO POST、SSOアーティファクト、SLOリダイレクト・プロファイルのみ有効化。

• NameID

  • ユーザーの属性としてメールが設定された場合はEメール・アドレス。

  • ユーザーの属性としてuidが設定された場合は未指定(デフォルト)。

• 1セットのSAML操作用キー/証明書

OAM/Fedに特定のSPパートナ構成を設定できるようになります。

• 使用するSSOバインディング。

• 使用するNameIDの形式と値。

• 使用するNameIDの形式と値。

• 送信されるその他の属性

  • 属性として送信されるNameIDの値: SAML属性名、ユーザーのIDまたはEメール・アドレスを送信するかどうかをSPパートナが指定します。

  • アサーション・マッピング操作中にSPが使用する静的属性値: SAML属性名とその値をSPパートナが指定します。

IdPがユーザーを認証する必要がある場合は、WebGate OAMで保護されたURLに、FAAuthSchemeによってユーザーがリダイレクトされます。

• OAMがローカル認証用に構成されている場合は、ユーザーが自分の資格証明を入力するログイン・ページを表示するようにFAAuthSchemeがOAMに指示します。

• OAMがフェデレーションSSO用に構成されている場合は、ユーザーをSaaS OIF/SPにリダイレクトして、フェデレーションSSOを開始するようにFAAuthSchemeがOAMに指示します。

• ユーザーが認証方法を決定するようにOAMが構成されている場合は、選択ページを表示し、ユーザーの選択に応じて、ローカル認証またはフェデレーションSSO操作を実行するようにFAAuthSchemeがOAMに指示します。

次に、このcURLコマンドの入力ファイルを示します。

説明

• ssoFederation

  • は、保護されたリソースのためにフェデレーテッドSSOを有効にする、FAAuthScheme内の設定です。

• ssoChooser

  • は、ログイン・ページでフェデレーテッドSSOリンク、およびユーザー名とパスワードを使用するローカル・ログインの両方を表示できるようにする設定です。

• oamLogoutDoneURL

  • は、シングル・ログアウトによってユーザーがログアウトした後にリダイレクトするURLです。

curl -X
POST -H "Content-Type: application/json" -d '{"ssoFederation": "true",
"ssoChooser": "false", "oamLogoutDoneURL": "http://test.com/customLogout"}'
http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/sso --user
USER:PASSWORD

サンプル結果:

{
"status":"1",
"statusMessage":""}

10.4.2 GET cURLコマンドを使用したSSOサービスの取得

RESTエンドポイント /oam/services/rest/11.1.2.0.0/fed/admin/ssoリクエストは、顧客がアイデンティティ・プロバイダである場合にGETメソッドを使用してSSOサービス情報を取得するために使用されます。

次に、このcURLコマンドの入力ファイルを示します。

curl -u USER:PASSWORD --request GET
'http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/sso'

サンプル結果:

{
"ssoFederation":"true",
"ssoChooser":"false",
"oamLogoutDoneURL":"http://test.com/customLogout"
}

10.4.3 PUT cURLコマンドを使用したSSOサービスの構成

RESTエンドポイント /oam/services/rest/11.1.2.0.0/fed/admin/ssoリクエストは、顧客がアイデンティティ・プロバイダである場合にPUTメソッドを使用してSSOサービスを構成するために使用されます。

次に、このcURLコマンドの入力ファイルを示します。

curl -X PUT -H "Content-Type: application/json" -d '{"ssoFederation": "false",
"ssoChooser": "false", "oamLogoutDoneURL": ""}'
http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/sso --user
USER:PASSWORD

サンプル結果:

{
"status":"1",
"statusMessage":""
}

10.4.4 SPパートナの作成cURLコマンド

RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/ sp/partnerNameリクエストは、Trusted Partners Serviceを作成します。SPパートナの名前が格納されたサービス/trustedpartners/sp/acmeSPが使用されます。

次に、このcURLコマンドの入力ファイルを示します。

説明

• metadataB64

  • ピア・パートナのメタデータXMLのベース64エンコーディングに対応する16進数文字列。curlを使用する場合は、Base 64でエンコードされたメタデータ文字列において+記号をエスケープする必要があります。

• ssoProfile

  • 使用するSAML 2.0 SSOプロファイル(artifactまたはhttppost)

• nameIDFormat

  • フェデレーションSSO時に使用されるNameID形式。指定可能な値はemailaddressまたはunspecifiedです。emailaddressの場合は、IdPが作成するアサーションのNameID値にユーザーのEメールアドレスが格納され、unspecifiedの場合は、IdPが作成するアサーションのNameID値にユーザーのIDが格納されます。

curl -X POST
-H "Content-Type: application/json" -d
'{ "metadataB64": "...", "partnerType": "sp", "partnerName": "acmeSP",
"nameIDFormat": "unspecified", "ssoProfile": "httppost" }'
http://SERVER:PORT/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp/a
cmeSP --user USER:PASSWORD

サンプル結果:

{
"status":"1",
"statusMessage":""
}

10.4.5 すべてのSPパートナのリストcURLコマンド

RESTエンドポイント /oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/spリクエストは、Trusted Partners Serviceのリストを取得します。

次に、このcURLコマンドの入力ファイルを示します。

curl -u USER:PASSWORD --request GET
'http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp'

サンプル結果:

{
"partnerInfoList":
[
{
"metadataB64":"...",
"partnerName":"acmeSP",
"nameIDFormat":"unspecified",
"ssoProfile":"httppost",
"providerID":"http://acme:7499/fed/sp",
"assertionConsumerURL":"http://acme:7777/fed/sp/sso",
"logoutRequestURL":"http://acme:7777/fed/idp/samlv20",
"logoutResponseURL":"http://acme:7777/fed/idp/samlv20",
"adminManualCreation":"false",
"displaySigningCertDN":"CN=acme OIF Signing Certificate",
"displaySigningCertIssuerDN":"CN=OIFCert",
"displaySigningCertStart":"2014-10-07T06:32:16-07:00",
"displaySigningCertExpiration":"2024-10-11T06:32:17-07:00",
"displayEncryptionCertDN":" CN=acme OIF Enc Certificate",
"displayEncryptionCertIssuerDN":"CN=OIFCert",
"displayEncryptionCertStart":"2014-10-07T06:32:16-07:00",
"displayEncryptionCertExpiration":"2024-10-11T06:32:17-07:00"
},
{
"metadataB64":"...",
"partnerName":"ciscoSP",
"nameIDFormat":"emailaddress",
"ssoProfile":"httppost",
"providerID":"http://cisco:7499/fed/sp",
"assertionConsumerURL":"http://cisco:7777/fed/sp/sso",
"logoutRequestURL":"http://cisco:7777/fed/idp/samlv20",
"logoutResponseURL":"http://cisco:7777/fed/idp/samlv20",
"lastNameAttrName":"lastname",
"firstNameAttrName":"firstname",
"userNameAttrName":"username",
"emailAttrName":"email"
"adminManualCreation":"false",
"displaySigningCertDN":"CN=cisco OIF Signing Certificate",
"displaySigningCertIssuerDN":"CN=OIFCert",
"displaySigningCertStart":"2014-10-07T06:32:16-07:00",
"displaySigningCertExpiration":"2024-10-11T06:32:17-07:00",
"displayEncryptionCertDN":" CN=cisco OIF Enc Certificate",
"displayEncryptionCertIssuerDN":"CN=OIFCert",
"displayEncryptionCertStart":"2014-10-07T06:32:16-07:00",
"displayEncryptionCertExpiration":"2024-10-11T06:32:17-07:00"
}
]
}

10.4.6 SPパートナ・データの取得cURLコマンド

RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp/partnerNameリクエストは、特定のTrusted Partners Serviceについて情報を取得します。

次に、このcURLコマンドの入力ファイルを示します。

curl -u USER:PASSWORD --request GET
'http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp/acmeSP'

サンプル結果:

{
"metadataB64":"...",
"partnerName":"acmeSP",
"nameIDFormat":"unspecified",
"ssoProfile":"httppost",
"providerID":"http://acme:7499/fed/sp",
"assertionConsumerURL":"http://acme:7777/fed/sp/sso",
"logoutRequestURL":"http://acme:7777/fed/idp/samlv20",
"logoutResponseURL":"http://acme:7777/fed/idp/samlv20",
"adminManualCreation":"false",
"displaySigningCertDN":"CN=acme OIF Signing Certificate",
"displaySigningCertIssuerDN":"CN=OIFCert",
"displaySigningCertStart":"2014-10-07T06:32:16-07:00",
"displaySigningCertExpiration":"2024-10-11T06:32:17-07:00",
"displayEncryptionCertDN":" CN=acme OIF Enc Certificate",
"displayEncryptionCertIssuerDN":"CN=OIFCert",
"displayEncryptionCertStart":"2014-10-07T06:32:16-07:00",
"displayEncryptionCertExpiration":"2024-10-11T06:32:17-07:00"
}

10.4.7 SPパートナ詳細の更新cURLコマンド

RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp/partnerNameリクエストは、特定のTrusted Partners Serviceについて情報を変更するために使用されます。

次に、このcURLコマンドの入力ファイルを示します。

curl -X PUT
-H "Content-Type: application/json" -d
'{ "metadataB64": "..." }'
http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp/acm
eSP --user USER:PASSWORD

サンプル結果:

{
"status":"1",
"statusMessage":""
}

10.4.8 SPパートナ詳細の削除cURLコマンド

RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp/partnerNameリクエストは、特定のTrusted Partners Serviceについて情報を削除するために使用されます。

次に、このcURLコマンドの入力ファイルを示します。

curl -u
USER:PASSWORD --request DELETE
'http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp/acmeSP'

サンプル結果:

{
"status":"1",
"statusMessage":""
}

10.4.9 POST cURLコマンドを使用したテストSPの有効化

RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/testspサービス・リクエストは、POSTメソッドを使用してテストSPを有効にするために使用されます。

次に、このcURLコマンドの入力ファイルを示します。

curl -X POST
-H "Content-Type: application/json" -d '{"enabled": "true"}'
http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/testsp 
--user USER:PASSWORD

サンプル結果:

{
"status":"1",
"statusMessage":""
}

10.4.10 GET cURLコマンドを使用したテストSP有効化の取得

RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/testspサービス・リクエストは、GETメソッドを使用してテストSP有効化の詳細を取得するために使用されます。

次に、このcURLコマンドの入力ファイルを示します。

curl -u USER:PASSWORD --request GET
'http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/testsp'

サンプル結果:

{
"enabled":"true"
}

10.4.11 PUT cURLコマンドを使用したテストSPの無効化

RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/testspサービス・リクエストは、PUTメソッドを使用してテストSPを無効にするために使用されます。

次に、このcURLコマンドの入力ファイルを示します。

curl -X PUT
-H "Content-Type: application/json" -d '{"enabled": "false"}'
http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/testsp 
--user USER:PASSWORD

サンプル結果:

{
"status":"1",
"statusMessage":""
}

10.4.12 /fedrest/configuressoを使用したPOST cURLコマンドの使用によるSSOサービスの構成

/fedrest/configuressoリクエストは、リクエストURLを実際の必要なURLである/oam/services/rest/11.1.2.0.0/fed/admin/ssoserviceにリダイレクトします。このURLは、顧客がアイデンティティ・プロバイダである場合にPOSTメソッドを使用してSSOサービスを構成するために使用されます。

次に、このcURLコマンドの入力ファイルを示します。

curl -v -i -u USER:PASSWORD
-X POST -d @ssoConfigureData.in http://SERVER:PORT/fedrest/configuresso

ssoConfigureData.inファイル:

spTenantName= &idpProviderID=
&preverify=false
&ssoFederation=true
&ssoChooser=true
&oamadminuser=USER
&oamadminpassword=PASSWORD
&oamadminhost=SERVER 
&oamadminport=PORT

curl -u USER:PASSWORD --data "spTenantName=""&idpProviderID=""
&preverify="false"&ssoFederation="true"&ssoChooser="true"
&oamadminuser="USER"&oamadminpassword="PASSWORD"
&oamadminhost="SERVER"
&oamadminport="PORT"
&oamLogoutDoneURL=""" --request
POST 'http://SERVER:PORT/oam/services/rest/11.1.2.0.0/fed/admin/ssoservice';
-X POST -d @ssoConfigureData.in http://SERVER:PORT/fedrest/configuresso

10.4.13 /fedrest/createspを使用したSPパートナcURLコマンドの作成

/fedrest/createspリクエストは、リクエストURLを、Trusted Partners Serviceを作成する実際に必要なURLである/oam/services/rest/11.1.2.0.0/fed/admin/trustedsppartnersにリダイレクトします。

次に、このcURLコマンドの入力ファイルを示します。

説明

• ssoProfile

  • 使用するSAML 2.0 SSOプロファイル(artifactまたはhttppost)。

• nameIDFormat

  • フェデレーションSSO時に使用されるNameID形式。指定可能な値はemailaddressまたはunspecifiedです。emailaddressの場合は、IdPが作成するアサーションのNameID値にユーザーのEメールアドレスが格納され、unspecifiedの場合は、IdPが作成するアサーションのNameID値にユーザーのIDが格納されます。

curl -v -i -u USER:PASSWORD
-X POST -d @spCurlData.in http://HOST:PORT/fedrest/createsp

spCurlData.inファイル:

idpTenantName=&idpTenantURL=
&spPartnerName=spPartner-sample
&spProviderID=&metadata=
&metadataURL=&assertionConsumerURL=&logoutRequestURL=
&logoutResponseURL=&signingCert=&encryptionCert=
&nameIDFormat=unspecified&ssoProfile=artifact&generateNewKeys=
&validityNewKeys=&preverify=false&lastNameAttrName=&firstNameAttrName=
&userNameAttrName=&emailAttrName=&staticAttrName=&staticAttrValue=&customAttrs=

curl -v -i -u USER:PASSWORD
-X POST -d @spCurlData.in
https://SERVER:PORT/oam/services/rest/11.1.2.0.0/fed/admin/trustedsppartners

spCurlData.inファイル:

idpTenantName=
&idpTenantURL=&spPartnerName=spPartner-sample
&spProviderID=&metadata=&metadataURL=
&assertionConsumerURL=&logoutRequestURL=
&logoutResponseURL=&signingCert=&encryptionCert=
&nameIDFormat=unspecified&ssoProfile=artifact&generateNewKeys=
&validityNewKeys=&preverify=false&lastNameAttrName=&firstNameAttrName=
&userNameAttrName=&emailAttrName=&staticAttrName=&staticAttrValue=&customAttrs=...

10.4.14 /fedrest/createidpを使用したIdPパートナcURLコマンドの作成

/fedrest/createidpリクエストは、リクエストURLを、Trusted IdP Partner Serviceを作成する実際に必要なURLである/oam/services/rest/11.1.2.0.0/fed/admin/trustedidppartnersにリダイレクトします。

次に、このcURLコマンドの入力ファイルを示します。

説明

• ssoProfile

  • 使用するSAML 2.0 SSOプロファイル(artifactまたはhttppost)。

• nameIDFormat

  • フェデレーションSSO時に使用されるNameID形式。指定可能な値はemailaddressまたはunspecifiedです。emailaddressの場合は、IdPが作成するアサーションのNameID値にユーザーのEメールアドレスが格納され、unspecifiedの場合は、IdPが作成するアサーションのNameID値にユーザーのIDが格納されます。

curl -v -i -u USER:PASSWORD
-X POST -d @idpCurlData.in http://SERVER:PORT/fedrest/createidp

idpCurlData.inファイル:

spTenantName=&spTenantURL=
&idpPartnerName=idpPartner-sample
&idpProviderID=&metadata=
&metadataURL=&ssoURL=&ssoSOAPURL=
&logoutRequestURL=&logoutResponseURL=&signingCert=
&encryptionCert=&succinctID=&nameIDFormat=emailaddress
&attributeLDAP=&attributeSAML=&ssoProfile=artifact
&faWelcomePage=&tenantKeyName=&tenantKeyValue=&generateNewKeys=
&validityNewKeys=&preverify=false

curl -v -i -u USER:PASSWORD
-X POST -d @idpCurlData.in
https://SERVER:PORT/oam/services/rest/11.1.2.0.0/fed/admin/trustedidppartners

idpCurlData.inファイル:

spTenantName=&spTenantURL=
&idpPartnerName=idpPartner-sample&idpProviderID=
&metadata=&metadataURL=&ssoURL=&ssoSOAPURL=
&logoutRequestURL=&logoutResponseURL=&signingCert=
&encryptionCert=&succinctID=&nameIDFormat=emailaddress
&attributeLDAP=&attributeSAML=&ssoProfile=artifact
&faWelcomePage=&tenantKeyName=&tenantKeyValue=
&generateNewKeys=&validityNewKeys=&preverify=false

10.4.15 /fedrest/orchestratorを使用したリモートRESTサービスへのフェデレーション・サーバーの接続

/fedrest/orchestratorリクエストは、リクエストURLを、2台のフェデレーション・サーバーをリモートRESTサービスに接続する実際に必要なURLである/oam/services/rest/11.1.2.0.0/fed/admin/orchestratorにリダイレクトします。

次に、このcURLコマンドの入力ファイルを示します。

説明

• ssoProfile

  • 使用するSAML 2.0 SSOプロファイル(artifactまたはhttppost)。

• nameIDFormat

  • フェデレーションSSO時に使用されるNameID形式。指定可能な値はemailaddressまたはunspecifiedです。emailaddressの場合は、IdPが作成するアサーションのNameID値にユーザーのEメールアドレスが格納され、unspecifiedの場合は、IdPが作成するアサーションのNameID値にユーザーのIDが格納されます。

curl -v -i -u USER:PASSWORD
-X POST -d @orch.in http://SERVER:PORT/fedrest/orchestrator

orch.inファイル:

command=setupSPAndIdPTrust
&spresturl=https://SERVER:PORT/fedrest/createidp
&spadminuser=USER&spadminpassword=PASSWORD
&spmetadataurl=&idpPartnerName=sample-idp&sptype=oif
&idpresturl=http://SERVER:PORT/fedrest/createsp
&idpadminuser=USER&idpadminpassword=PASSWORD
&idpmetadataurl=&spPartnerName=sample-sp
&idptype=oif&nameIDFormat=emailaddress&ssoProfile=httppost

ノート:

idpmetadataurlおよびspmetadataurlは、エンコードされたURLである必要があります。

curl -v -i -u USER:PASSWORD
-X POST -d @orch.in
https://SERVER:PORT/oam/services/rest/11.1.2.0.0/fed/admin/orchestratorservice

orch.inファイル:

command=setupSPAndIdPTrust
&spresturl=http://SERVER:PORT/oam/services/rest/11.1.2.0.0/fed/admin/trustedidppartners
&spadminuser=USER
&spadminpassword=PASSWORD
&spmetadataurl=
&idpPartnerName=sample-idp
&sptype=oif
&idpresturl=http://SERVER:PORT/oam/services/rest/11.1.2.0.0/fed/admin/trustedsp