10 Identity FederationのためのREST APIの使用
Identity FederationワイヤリングREST APIは、フェデレーション契約の確立および管理をサポートするように設計されています。これは、アイデンティティ・プロバイダ・パートナとサービス・プロバイダ・パートナの間のSAMLメタデータの交換を容易にし、これら2つのパートナ間のフェデレーションSSOを有効または無効にします。この章では、Oracle Access Management Identity Federation APIについて説明します。
cURLの使用に関するノート
この章では、cURLを使用して、アイデンティティ・フェデレーション・クライアントがアイデンティティ・フェデレーション・サーバーに送信するRESTコールについて説明します。cURLは、cURLのWebサイト(http://curl.haxx.se/
)からダウンロードできるフリー・ソフトウェアです。
サーバーへのRESTコールの送信にcURLを使用することにより、クライアントとサーバーとのやり取りについての理解を深めることができます。また、これを便利なトラブルシューティング・ツールとしても使用できます。この章を使用するときは、次の点に注意してください。
-
Windowsでは、一重引用符(
'
)を含むcURLコマンドは失敗します。可能であれば、一重引用符のかわりに二重引用符("
)を使用してください。 -
コマンドに一重引用符と二重引用符の両方が必要な場合、二重引用符を円記号でエスケープし(たとえば:
\"
)、一重引用符を二重引用符に置き換えます。
ノート:
このガイドにおいて、cURLのコマンドおよびサーバー・レスポンスでの改行は、単に表示上の都合により使用されています。
利用できるJava APIリファレンス
この『Oracle Fusion Middleware Oracle Access Management開発者ガイド』のほかに、『Oracle Fusion Middleware Oracle Access Management OAuthサービスJava APIリファレンス』があります。
この項では次のトピックを記載しています:
10.1 リソースURL
リソースURLは、Access Manager製品バージョン、RESTサービスで公開されるコンポーネント、および呼び出すリソースを含めて構成されます。リソースURLの基本構造は次のとおりです。
http(s)://
host
:port
/oam/services/rest/
path
説明:
-
hostは、OAMサーバーが稼働しているホストです。
-
portは、HTTPまたはHTTPSポートです。
-
pathは特定のリソースを識別する相対パス。pathの構造は/version/component/service/です。ここで:
-
version - Access Managerの製品バージョン(11.1.2.0.0など)。
-
component - RESTfulサービスで公開されるコンポーネント(ssa、fedなど)
-
service - 特定のAPIのルート・リソース(hostidentifierなど)
pathの値の例:
/oam/services/rest/11.1.2.0.0/fed/admin/sso/hostidentifier/host_identifier_name
-
Access Managerアイデンティティ・フェデレーションREST Web Application Description Language (WADL)ファイルには、サポートされているアイデンティティ・フェデレーション・リソースおよびメソッドが列挙されています。アイデンティティ・フェデレーションREST WADLドキュメントは、http://
HOST
:PORT
/oam/services/rest/11.1.2.0.0/fed/admin/application.wadl
にあります。
10.2 URLリソースおよびサポートされているHTTPメソッド
Access Managerアイデンティティ・フェデレーションは、URLリソースにマップされています。各ポリシーはグローバル識別子(URI)で参照されます。
URLリソースへのアクセスはユーザー・ロールに基づいています。RESTfulサービスでは、ユーザー資格証明がBASICモードのHTTPリクエストの認証ヘッダー内にあると想定しています。認証されたユーザーがポリシー管理ロールを持っていれば、リクエストされたポリシー管理アクションが実行されます。
10.3 リソース一覧
表5-5に、各ポリシー・リソース、サポートされているHTTPメソッドおよび各操作の結果の詳細を示します。
表10-1 Access Manager Identity Federationリソースの一覧
リソース | メソッド | 説明 |
---|---|---|
|
POST |
サーバーのフェデレーションSSOサービスを有効にして、ログアウト完了URLを構成します。 |
PUT |
POST操作と同じです。 |
|
GET |
フェデレーションSSOサービスおよびログアウト完了URLの有効ステータスを取得します |
|
|
POST |
サービス・プロバイダ(SP)またはアイデンティティ・プロバイダ(IdP)のパートナ・リソースが作成されます。親にあたるリソースに対してリクエストが実行されます |
|
GET |
IdPパートナのリストをこのメソッドで取得します。 |
|
GET |
SPパートナのリストをこのメソッドで取得します。リソース・タイプ・オブジェクトを表すリソースが返されます。この表現には、一致するリソース・タイプ・リソースの属性とその値が格納されています。 |
|
POST |
特定のIdPパートナ・リソースをこのメソッドで作成します。ここで、partnerNameは作成するパートナの名前です。 |
PUT |
POST操作と同じです。 |
|
GET |
指定したIdPパートナ・リソースをこのメソッドで取得します。ここで、partnerNameはリクエストするIDPパートナの名前です。 |
|
DELETE |
指定したIdPパートナ・リソースをこのメソッドで削除します。 |
|
|
POST |
特定のSPパートナ・リソースをこのメソッドで作成します。ここで、partnerNameは作成するパートナの名前です。 |
PUT |
POST操作と同じです。 |
|
GET |
指定したSPパートナ・リソースをこのメソッドで取得します。ここで、partnerNameはリクエストするSPパートナの名前です。 |
|
DELETE |
指定したSPパートナ・リソースをこのメソッドで削除します。IDまたはNAME問合せパラメータと一致するSPパートナ・リソースが削除されます |
|
|
POST |
クライアントはこのサービスを使用して、このメソッドにより、2つのフェデレーション・サーバーをリモートRESTサービスに接続します。この場合は、両方のフェデレーション・サーバーがOAMインストールです |
|
POST |
テストSPリソースをこのメソッドで有効または無効にします。 |
PUT |
POST操作と同じです。 |
|
GET |
テストSPリソースをこのメソッドで取得します。 |
|
|
POST |
このメソッドを使用して、ローカル認証またはフェデレーションSSOのローカル・サーバーを作成します。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。 |
|
POST |
特定のSPパートナ・リソースは、このメソッドを使用して作成されます。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。 |
|
POST |
特定のIdPパートナ・リソースをこのメソッドで作成します。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。 |
|
POST |
クライアントでは、このサービスを使用して、2台のフェデレーション・サーバーがリモートRESTサービスに接続されます。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。 |
|
POST |
テストSPリソースをこのメソッドで有効または無効にします。このRESTサービスは、OIF 11gR1サーバーまたは既存のOIF RESTクライアントがこれらのサービスに接続する場合の下位互換性を保つために、Access Management管理サーバーで公開されています。入力データ・タイプはFORM POSTデータです。 |
|
POST |
このメソッドでは、リソース・オブジェクトが作成されます。オブジェクトの親にあたるリソースに対してリクエストが実行されます。リクエストに一致するリソース・オブジェクトが、対応するアプリケーション・ドメイン内に作成されます。 |
|
POST |
それぞれのfedrest URLを |
|
POST |
それぞれのfedrest URLを |
|
POST |
それぞれのfedrest URLを |
|
POST |
それぞれのfedrest URLを |
10.4 Identity FederationのcURLコマンドの例
次の例は、リファレンスとして提供されています。
10.4.1 POST cURLコマンドを使用したSSOサービスの構成
RESTエンドポイント /oam/services/rest/11.1.2.0.0/fed/admin/ssoリクエストは、顧客がアイデンティティ・プロバイダである場合にPOSTメソッドを使用してSSOサービスを構成するために使用されます。このAPIは、Fusion Applicationsに接続するために使用され、FAAuthSchemeを構成します。
Fusion Applicationsについては、IdPは次のようにグローバル・レベルで構成されます。
-
SAML 2.0のみ有効化。
-
SSO POST、SSOアーティファクト、SLOリダイレクト・プロファイルのみ有効化。
-
NameID
-
ユーザーの属性としてメールが設定された場合はEメール・アドレス。
-
ユーザーの属性としてuidが設定された場合は未指定(デフォルト)。
-
-
1セットのSAML操作用キー/証明書
OAM/Fedに特定のSPパートナ構成を設定できるようになります。
-
使用するSSOバインディング。
-
使用するNameIDの形式と値。
-
使用するNameIDの形式と値。
-
送信されるその他の属性
-
属性として送信されるNameIDの値: SAML属性名、ユーザーのIDまたはEメール・アドレスを送信するかどうかをSPパートナが指定します。
-
アサーション・マッピング操作中にSPが使用する静的属性値: SAML属性名とその値をSPパートナが指定します。
-
IdPがユーザーを認証する必要がある場合は、WebGate OAMで保護されたURLに、FAAuthSchemeによってユーザーがリダイレクトされます。
-
OAMがローカル認証用に構成されている場合は、ユーザーが自分の資格証明を入力するログイン・ページを表示するようにFAAuthSchemeがOAMに指示します。
-
OAMがフェデレーションSSO用に構成されている場合は、ユーザーをSaaS OIF/SPにリダイレクトして、フェデレーションSSOを開始するようにFAAuthSchemeがOAMに指示します。
-
ユーザーが認証方法を決定するようにOAMが構成されている場合は、選択ページを表示し、ユーザーの選択に応じて、ローカル認証またはフェデレーションSSO操作を実行するようにFAAuthSchemeがOAMに指示します。
次に、このcURLコマンドの入力ファイルを示します。
説明
-
ssoFederation
-
は、保護されたリソースのためにフェデレーテッドSSOを有効にする、FAAuthScheme内の設定です。
-
-
ssoChooser
-
は、ログイン・ページでフェデレーテッドSSOリンク、およびユーザー名とパスワードを使用するローカル・ログインの両方を表示できるようにする設定です。
-
-
oamLogoutDoneURL
-
は、シングル・ログアウトによってユーザーがログアウトした後にリダイレクトするURLです。
-
curl -X POST -H "Content-Type: application/json" -d '{"ssoFederation": "true", "ssoChooser": "false", "oamLogoutDoneURL": "http://test.com/customLogout"}' http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/sso --user USER:PASSWORD
サンプル結果:
{ "status":"1", "statusMessage":""}
10.4.2 GET cURLコマンドを使用したSSOサービスの取得
RESTエンドポイント /oam/services/rest/11.1.2.0.0/fed/admin/ssoリクエストは、顧客がアイデンティティ・プロバイダである場合にGETメソッドを使用してSSOサービス情報を取得するために使用されます。
次に、このcURLコマンドの入力ファイルを示します。
curl -u USER:PASSWORD --request GET 'http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/sso'
サンプル結果:
{ "ssoFederation":"true", "ssoChooser":"false", "oamLogoutDoneURL":"http://test.com/customLogout" }
10.4.3 PUT cURLコマンドを使用したSSOサービスの構成
RESTエンドポイント /oam/services/rest/11.1.2.0.0/fed/admin/ssoリクエストは、顧客がアイデンティティ・プロバイダである場合にPUTメソッドを使用してSSOサービスを構成するために使用されます。
次に、このcURLコマンドの入力ファイルを示します。
curl -X PUT -H "Content-Type: application/json" -d '{"ssoFederation": "false", "ssoChooser": "false", "oamLogoutDoneURL": ""}' http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/sso --user USER:PASSWORD
サンプル結果:
{ "status":"1", "statusMessage":"" }
10.4.4 SPパートナの作成cURLコマンド
RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/ sp/partnerNameリクエストは、Trusted Partners Serviceを作成します。SPパートナの名前が格納されたサービス/trustedpartners/sp/acmeSPが使用されます。
次に、このcURLコマンドの入力ファイルを示します。
説明
-
metadataB64
-
ピア・パートナのメタデータXMLのベース64エンコーディングに対応する16進数文字列。curlを使用する場合は、Base 64でエンコードされたメタデータ文字列において+記号をエスケープする必要があります。
-
-
ssoProfile
-
使用するSAML 2.0 SSOプロファイル(artifactまたはhttppost)
-
-
nameIDFormat
-
フェデレーションSSO時に使用されるNameID形式。指定可能な値はemailaddressまたはunspecifiedです。emailaddressの場合は、IdPが作成するアサーションのNameID値にユーザーのEメールアドレスが格納され、unspecifiedの場合は、IdPが作成するアサーションのNameID値にユーザーのIDが格納されます。
-
curl -X POST -H "Content-Type: application/json" -d '{ "metadataB64": "...", "partnerType": "sp", "partnerName": "acmeSP", "nameIDFormat": "unspecified", "ssoProfile": "httppost" }' http://SERVER:PORT/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp/a cmeSP --user USER:PASSWORD
サンプル結果:
{ "status":"1", "statusMessage":"" }
10.4.5 すべてのSPパートナのリストcURLコマンド
RESTエンドポイント /oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/spリクエストは、Trusted Partners Serviceのリストを取得します。
次に、このcURLコマンドの入力ファイルを示します。
curl -u USER:PASSWORD --request GET 'http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp'
サンプル結果:
{ "partnerInfoList": [ { "metadataB64":"...", "partnerName":"acmeSP", "nameIDFormat":"unspecified", "ssoProfile":"httppost", "providerID":"http://acme:7499/fed/sp", "assertionConsumerURL":"http://acme:7777/fed/sp/sso", "logoutRequestURL":"http://acme:7777/fed/idp/samlv20", "logoutResponseURL":"http://acme:7777/fed/idp/samlv20", "adminManualCreation":"false", "displaySigningCertDN":"CN=acme OIF Signing Certificate", "displaySigningCertIssuerDN":"CN=OIFCert", "displaySigningCertStart":"2014-10-07T06:32:16-07:00", "displaySigningCertExpiration":"2024-10-11T06:32:17-07:00", "displayEncryptionCertDN":" CN=acme OIF Enc Certificate", "displayEncryptionCertIssuerDN":"CN=OIFCert", "displayEncryptionCertStart":"2014-10-07T06:32:16-07:00", "displayEncryptionCertExpiration":"2024-10-11T06:32:17-07:00" }, { "metadataB64":"...", "partnerName":"ciscoSP", "nameIDFormat":"emailaddress", "ssoProfile":"httppost", "providerID":"http://cisco:7499/fed/sp", "assertionConsumerURL":"http://cisco:7777/fed/sp/sso", "logoutRequestURL":"http://cisco:7777/fed/idp/samlv20", "logoutResponseURL":"http://cisco:7777/fed/idp/samlv20", "lastNameAttrName":"lastname", "firstNameAttrName":"firstname", "userNameAttrName":"username", "emailAttrName":"email" "adminManualCreation":"false", "displaySigningCertDN":"CN=cisco OIF Signing Certificate", "displaySigningCertIssuerDN":"CN=OIFCert", "displaySigningCertStart":"2014-10-07T06:32:16-07:00", "displaySigningCertExpiration":"2024-10-11T06:32:17-07:00", "displayEncryptionCertDN":" CN=cisco OIF Enc Certificate", "displayEncryptionCertIssuerDN":"CN=OIFCert", "displayEncryptionCertStart":"2014-10-07T06:32:16-07:00", "displayEncryptionCertExpiration":"2024-10-11T06:32:17-07:00" } ] }
10.4.6 SPパートナ・データの取得cURLコマンド
RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp/partnerNameリクエストは、特定のTrusted Partners Serviceについて情報を取得します。
次に、このcURLコマンドの入力ファイルを示します。
curl -u USER:PASSWORD --request GET 'http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp/acmeSP'
サンプル結果:
{ "metadataB64":"...", "partnerName":"acmeSP", "nameIDFormat":"unspecified", "ssoProfile":"httppost", "providerID":"http://acme:7499/fed/sp", "assertionConsumerURL":"http://acme:7777/fed/sp/sso", "logoutRequestURL":"http://acme:7777/fed/idp/samlv20", "logoutResponseURL":"http://acme:7777/fed/idp/samlv20", "adminManualCreation":"false", "displaySigningCertDN":"CN=acme OIF Signing Certificate", "displaySigningCertIssuerDN":"CN=OIFCert", "displaySigningCertStart":"2014-10-07T06:32:16-07:00", "displaySigningCertExpiration":"2024-10-11T06:32:17-07:00", "displayEncryptionCertDN":" CN=acme OIF Enc Certificate", "displayEncryptionCertIssuerDN":"CN=OIFCert", "displayEncryptionCertStart":"2014-10-07T06:32:16-07:00", "displayEncryptionCertExpiration":"2024-10-11T06:32:17-07:00" }
10.4.7 SPパートナ詳細の更新cURLコマンド
RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp/partnerNameリクエストは、特定のTrusted Partners Serviceについて情報を変更するために使用されます。
次に、このcURLコマンドの入力ファイルを示します。
curl -X PUT -H "Content-Type: application/json" -d '{ "metadataB64": "..." }' http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp/acm eSP --user USER:PASSWORD
サンプル結果:
{ "status":"1", "statusMessage":"" }
10.4.8 SPパートナ詳細の削除cURLコマンド
RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp/partnerNameリクエストは、特定のTrusted Partners Serviceについて情報を削除するために使用されます。
次に、このcURLコマンドの入力ファイルを示します。
curl -u USER:PASSWORD --request DELETE 'http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/trustedpartners/sp/acmeSP'
サンプル結果:
{ "status":"1", "statusMessage":"" }
10.4.9 POST cURLコマンドを使用したテストSPの有効化
RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/testspサービス・リクエストは、POSTメソッドを使用してテストSPを有効にするために使用されます。
次に、このcURLコマンドの入力ファイルを示します。
curl -X POST -H "Content-Type: application/json" -d '{"enabled": "true"}' http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/testsp --user USER:PASSWORD
サンプル結果:
{ "status":"1", "statusMessage":"" }
10.4.10 GET cURLコマンドを使用したテストSP有効化の取得
RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/testspサービス・リクエストは、GETメソッドを使用してテストSP有効化の詳細を取得するために使用されます。
次に、このcURLコマンドの入力ファイルを示します。
curl -u USER:PASSWORD --request GET 'http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/testsp'
サンプル結果:
{ "enabled":"true" }
10.4.11 PUT cURLコマンドを使用したテストSPの無効化
RESTエンドポイント/oam/services/rest/11.1.2.0.0/fed/admin/testspサービス・リクエストは、PUTメソッドを使用してテストSPを無効にするために使用されます。
次に、このcURLコマンドの入力ファイルを示します。
curl -X PUT -H "Content-Type: application/json" -d '{"enabled": "false"}' http://hostname:7001/oam/services/rest/11.1.2.0.0/fed/admin/testsp --user USER:PASSWORD
サンプル結果:
{ "status":"1", "statusMessage":"" }
10.4.12 /fedrest/configuressoを使用したPOST cURLコマンドの使用によるSSOサービスの構成
/fedrest/configuressoリクエストは、リクエストURLを実際の必要なURLである/oam/services/rest/11.1.2.0.0/fed/admin/ssoserviceにリダイレクトします。このURLは、顧客がアイデンティティ・プロバイダである場合にPOSTメソッドを使用してSSOサービスを構成するために使用されます。
次に、このcURLコマンドの入力ファイルを示します。
curl -v -i -u USER:PASSWORD -X POST -d @ssoConfigureData.in http://SERVER:PORT/fedrest/configuresso
ssoConfigureData.inファイル:
spTenantName= &idpProviderID= &preverify=false &ssoFederation=true &ssoChooser=true &oamadminuser=USER &oamadminpassword=PASSWORD &oamadminhost=SERVER &oamadminport=PORT curl -u USER:PASSWORD --data "spTenantName=""&idpProviderID="" &preverify="false"&ssoFederation="true"&ssoChooser="true" &oamadminuser="USER"&oamadminpassword="PASSWORD" &oamadminhost="SERVER" &oamadminport="PORT" &oamLogoutDoneURL=""" --request POST 'http://SERVER:PORT/oam/services/rest/11.1.2.0.0/fed/admin/ssoservice'; -X POST -d @ssoConfigureData.in http://SERVER:PORT/fedrest/configuresso
10.4.13 /fedrest/createspを使用したSPパートナcURLコマンドの作成
/fedrest/createspリクエストは、リクエストURLを、Trusted Partners Serviceを作成する実際に必要なURLである/oam/services/rest/11.1.2.0.0/fed/admin/trustedsppartnersにリダイレクトします。
次に、このcURLコマンドの入力ファイルを示します。
説明
-
ssoProfile
-
使用するSAML 2.0 SSOプロファイル(artifactまたはhttppost)。
-
-
nameIDFormat
-
フェデレーションSSO時に使用されるNameID形式。指定可能な値はemailaddressまたはunspecifiedです。emailaddressの場合は、IdPが作成するアサーションのNameID値にユーザーのEメールアドレスが格納され、unspecifiedの場合は、IdPが作成するアサーションのNameID値にユーザーのIDが格納されます。
-
curl -v -i -u USER:PASSWORD -X POST -d @spCurlData.in http://HOST:PORT/fedrest/createsp
spCurlData.inファイル:
idpTenantName=&idpTenantURL= &spPartnerName=spPartner-sample &spProviderID=&metadata= &metadataURL=&assertionConsumerURL=&logoutRequestURL= &logoutResponseURL=&signingCert=&encryptionCert= &nameIDFormat=unspecified&ssoProfile=artifact&generateNewKeys= &validityNewKeys=&preverify=false&lastNameAttrName=&firstNameAttrName= &userNameAttrName=&emailAttrName=&staticAttrName=&staticAttrValue=&customAttrs=
curl -v -i -u USER:PASSWORD -X POST -d @spCurlData.in https://SERVER:PORT/oam/services/rest/11.1.2.0.0/fed/admin/trustedsppartners
spCurlData.inファイル:
idpTenantName= &idpTenantURL=&spPartnerName=spPartner-sample &spProviderID=&metadata=&metadataURL= &assertionConsumerURL=&logoutRequestURL= &logoutResponseURL=&signingCert=&encryptionCert= &nameIDFormat=unspecified&ssoProfile=artifact&generateNewKeys= &validityNewKeys=&preverify=false&lastNameAttrName=&firstNameAttrName= &userNameAttrName=&emailAttrName=&staticAttrName=&staticAttrValue=&customAttrs=...
10.4.14 /fedrest/createidpを使用したIdPパートナcURLコマンドの作成
/fedrest/createidpリクエストは、リクエストURLを、Trusted IdP Partner Serviceを作成する実際に必要なURLである/oam/services/rest/11.1.2.0.0/fed/admin/trustedidppartnersにリダイレクトします。
次に、このcURLコマンドの入力ファイルを示します。
説明
-
ssoProfile
-
使用するSAML 2.0 SSOプロファイル(artifactまたはhttppost)。
-
-
nameIDFormat
-
フェデレーションSSO時に使用されるNameID形式。指定可能な値はemailaddressまたはunspecifiedです。emailaddressの場合は、IdPが作成するアサーションのNameID値にユーザーのEメールアドレスが格納され、unspecifiedの場合は、IdPが作成するアサーションのNameID値にユーザーのIDが格納されます。
-
curl -v -i -u USER:PASSWORD -X POST -d @idpCurlData.in http://SERVER:PORT/fedrest/createidp
idpCurlData.inファイル:
spTenantName=&spTenantURL= &idpPartnerName=idpPartner-sample &idpProviderID=&metadata= &metadataURL=&ssoURL=&ssoSOAPURL= &logoutRequestURL=&logoutResponseURL=&signingCert= &encryptionCert=&succinctID=&nameIDFormat=emailaddress &attributeLDAP=&attributeSAML=&ssoProfile=artifact &faWelcomePage=&tenantKeyName=&tenantKeyValue=&generateNewKeys= &validityNewKeys=&preverify=false
curl -v -i -u USER:PASSWORD -X POST -d @idpCurlData.in https://SERVER:PORT/oam/services/rest/11.1.2.0.0/fed/admin/trustedidppartners
idpCurlData.inファイル:
spTenantName=&spTenantURL= &idpPartnerName=idpPartner-sample&idpProviderID= &metadata=&metadataURL=&ssoURL=&ssoSOAPURL= &logoutRequestURL=&logoutResponseURL=&signingCert= &encryptionCert=&succinctID=&nameIDFormat=emailaddress &attributeLDAP=&attributeSAML=&ssoProfile=artifact &faWelcomePage=&tenantKeyName=&tenantKeyValue= &generateNewKeys=&validityNewKeys=&preverify=false
10.4.15 /fedrest/orchestratorを使用したリモートRESTサービスへのフェデレーション・サーバーの接続
/fedrest/orchestratorリクエストは、リクエストURLを、2台のフェデレーション・サーバーをリモートRESTサービスに接続する実際に必要なURLである/oam/services/rest/11.1.2.0.0/fed/admin/orchestratorにリダイレクトします。
次に、このcURLコマンドの入力ファイルを示します。
説明
-
ssoProfile
-
使用するSAML 2.0 SSOプロファイル(artifactまたはhttppost)。
-
-
nameIDFormat
-
フェデレーションSSO時に使用されるNameID形式。指定可能な値はemailaddressまたはunspecifiedです。emailaddressの場合は、IdPが作成するアサーションのNameID値にユーザーのEメールアドレスが格納され、unspecifiedの場合は、IdPが作成するアサーションのNameID値にユーザーのIDが格納されます。
-
curl -v -i -u USER:PASSWORD -X POST -d @orch.in http://SERVER:PORT/fedrest/orchestrator
orch.inファイル:
command=setupSPAndIdPTrust &spresturl=https://SERVER:PORT/fedrest/createidp &spadminuser=USER&spadminpassword=PASSWORD &spmetadataurl=&idpPartnerName=sample-idp&sptype=oif &idpresturl=http://SERVER:PORT/fedrest/createsp &idpadminuser=USER&idpadminpassword=PASSWORD &idpmetadataurl=&spPartnerName=sample-sp &idptype=oif&nameIDFormat=emailaddress&ssoProfile=httppost
ノート:
idpmetadataurlおよびspmetadataurlは、エンコードされたURLである必要があります。curl -v -i -u USER:PASSWORD -X POST -d @orch.in https://SERVER:PORT/oam/services/rest/11.1.2.0.0/fed/admin/orchestratorservice
orch.inファイル:
command=setupSPAndIdPTrust &spresturl=http://SERVER:PORT/oam/services/rest/11.1.2.0.0/fed/admin/trustedidppartners &spadminuser=USER &spadminpassword=PASSWORD &spmetadataurl= &idpPartnerName=sample-idp &sptype=oif &idpresturl=http://SERVER:PORT/oam/services/rest/11.1.2.0.0/fed/admin/trustedsp