B Oracle Identity GovernanceのSSOプロバイダの構成
この付録では、Oracle Identity Governanceでシングル・サインオン(SSO)を使用可能にするための構成ステップについて説明します。このためには、Oracle Identity GovernanceでOpenSSO、IBM Tivoli Access ManagerおよびCA SiteMinderなどのサードパーティのSSOプロバイダを使用できるようにします。
この付録の内容は次のとおりです。
B.1 サードパーティのSSOソリューションとの統合に関する共通の前提条件
SSOプロバイダ固有の前提条件の他に、サードパーティのSSOプロバイダ(Siteminder、OpenSSO、Tivoli Access Managerなど)との統合のために共通の前提条件があります。
-
Oracle Identity Managerのアイデンティティ群が、SSOプロバイダにより使用されるLDAPレジストリのアイデンティティ情報と同期されていること。この目的のために、Oracle Identity ManagerのLDAP同期機能を使用できます。
-
Oracle Identity Managerシステム管理者(xelsysadm)アカウントがLDAPリポジトリに作成されており、この管理者アカウントを使用してOIMへのSSOログインを実行できること。このアカウントは、LDAPリポジトリ内に存在する他のOIMユーザーと同じユーザー・コンテナに作成する必要があります。また、Oracle Identity Managerユーザー・ログイン(uidまたはsamAcountName)にマッピングされるLDAPユーザー属性の値がXELSYSADMに設定されていることも確認してください。
-
SSOプロバイダによって返されるSSOヘッダーには、OIMユーザー・ログイン・フィールドにマッピングされるユーザー名の値が含まれていること。
B.2 Oracle Identity GovernanceでのOpenSSOの使用可能化
サードパーティのSSOプロバイダを統合するには、Open SSOアプリケーションと通信するためにOracle Identity Managerを有効化する必要があります。使用可能化の操作には、前提条件、実際の統合プロセス、統合操作の検証といったステップが含まれます。
この項では、Oracle Identity ManagerでOpenSSOを使用する方法を説明します。次の項目が含まれます。
B.2.1 Oracle Identity GovernanceとOpenSSOとの統合の前提条件
OpenSSOとの統合の前提条件は、Oracle Identity Governance、OpenSSOおよびOpenSSO Enterprise Policy Agentをインストールして構成し、サードパーティSSOソリューションの共通前提条件を満たすことです。
Oracle Identity GovernanceとOpenSSOとの統合の前提条件は次のとおりです:
-
Oracle Identity Governance 12c (12.2.1.4.0)がインストールおよび構成されていること。
-
OpenSSO 8.0がインストールされ構成されていること。
-
OpenSSO Enterprise Policy Agent 3.0 for Oracle WebLogic Server/Portal 10 (weblogic_v10_agent_3)がインストールされ構成されていること。
-
Oracle Identity GovernanceとサードパーティのSSOソリューションとの統合に関する共通の前提条件を満たしていること(「サードパーティのSSOソリューションとの統合に関する共通の前提条件」を参照)。
B.2.2 Oracle Identity GovernanceとOpenSSOとの統合
Oracle Identity ManagerとOpenSSOの統合では、統合手順の実行、OpenSSOエージェント・フィルタのOracle Identity Manager Webアプリへの追加、Oracle Identity ManagerでのSSOの構成を行います。
この項では、Oracle Identity ManagerとOpenSSOの統合について説明します。内容は次のとおりです。
B.2.2.1 Oracle Identity GovernanceをOpenSSOと統合する手順
Oracle Identity Governance 12c (12.2.1.4.0)をOracle WebLogic Server上のOpenSSO 8.0と統合するには:
-
OpenSSOを起動します。
-
Oracle Identity Governanceを起動します。
-
OpenSSOポリシー・エージェントを、Oracle Identity Managerドメインの管理サーバーにインストールします。そのように行うには:
-
OpenSSOにJ2EEエージェント・プロファイルを作成します。プロファイルの作成の詳細は、OpenSSOのドキュメントのポリシー・エージェントに関する説明を参照してください。
-
WebLogic管理サーバーにエージェントをインストールします。agentadminユーティリティを使用して、エージェントをインストールします。OpenSSOのドキュメントのポリシー・エージェントに関する説明を参照してください。
-
-
OpenSSOポリシー・エージェントを、Oracle Identity ManagerドメインのOracle Identity Governance管理対象サーバーにインストールします。そのためには、Oracle Identity Manager管理対象サーバーにエージェントをインストールします。管理対象サーバーへのエージェントのインストールの詳細は、OpenSSOのドキュメントのポリシー・エージェントに関する説明を参照してください。ステップ3.aで作成したエージェント・プロファイルと同じエージェント・プロファイルを使用します。
ノート:
Oracle Identity Governanceのクラスタ化デプロイメントの場合、各Oracle Identity Manager管理対象サーバーにポリシー・エージェントをインストールします。
-
インストール後にOpenSSOポリシー・エージェントを構成するには:
ノート:
Oracle Identity Governanceのクラスタ化デプロイメントの場合、OpenSSOポリシー・エージェントを各Oracle Identity Governance管理対象サーバーで構成する必要があります。
-
WebLogic Serverインスタンスを構成し、エージェントのクラスパスとJAVAオプションを設定します。
-
管理サーバーと管理対象サーバーにエージェント・アプリケーションをデプロイします。
-
エージェント認証プロバイダをデプロイして構成します。
-
WebLogic管理者をバイパス・リストに追加します。
-
OIM Webアプリケーションにエージェント・フィルタをインストールします。このステップでは、OpenSSOエージェント・フィルタを、OIMユーザー・ログインをサポートするすべてのOracle Identity Manager Webアプリケーションに追加します。このためには、「OpenSSOエージェント・フィルタのOracle Identity Governance Webアプリへの追加」を参照してください。
-
-
Oracle Identity Governance管理対象サーバーのエージェント・プロファイルをOracle Identity GovernanceのURL情報で更新します。そのように行うには:
-
OpenSSOアプリケーションにログインし、Oracle Identity Governance管理対象サーバーのエージェント・プロファイルを選択します。
-
一般タブをクリックします。エージェント・フィルタ・モードを変更します。既存の値をすべて削除します。空のキーを持つ新しい値と、対応するマップ値としてJ2EE_POLICYを追加します。
-
アプリケーション・タブをクリックします。各セクションを次のように更新します。
-
ログイン・フォームURI。次を追加します。
/oim/faces/pages/Login.jspx /identity/faces/signin /sysadmin/faces/signin
-
ログイン・エラーURI。次を追加します。
/identity/faces/signin /sysadmin/faces/signin /oim/faces/pages/LoginError.jspx
-
非強制URI処理。次を追加します。
/identity/faces/register /identity/faces/forgotpassword /identity/faces/trackregistration /identity/faces/forgotuserlogin /identity/faces/accountlocked /identity/adfAuthentication /identity/afr/blank.html /sysadmin/adfAuthentication /sysadmin/afr/blank.html /sysadmin/faces/noaccess /oim/afr/blank.html /workflowservice/* /callbackResponseService/* /spml-xsd/*
-
-
-
Oracle Identity GovernanceでSSOを構成します。それには、「Oracle Identity GovernanceでのSSOの構成」を参照してください。
-
Oracle Identity Governanceドメインを再起動します。
-
次のURLに移動して構成をテストします。
http://OIM_HOST:OIM_PORT/identity/
ページはOpenSSOログイン・ページにリダイレクトされます。有効なOracle Identity Managerユーザーとしてログインします。
B.2.2.2 OpenSSOエージェント・フィルタのOracle Identity Governance Webアプリへの追加
OpenSSOエージェント・フィルタを、OIMユーザー・ログインをサポートするすべてのOracle Identity Manager Webアプリケーションに追加するには:
ノート:
対応するデプロイメント・ディスクリプタは次の場所にあります。
-
IDM_ORACLE_HOME/server/apps/oim.ear/iam-consoles-faces.war/WEB-INF/web.xml
-
IDM_ORACLE_HOME/server/apps/oracle.iam.console.identity.self-service.ear/oracle.iam.console.identity.self-service.war/WEB-INF/web.xml
-
IDM_ORACLE_HOME/server/apps/oracle.iam.console.identity.sysadmin.ear/oracle.iam.console.identity.sysadmin.war/WEB-INF/web.xml
B.2.2.3 Oracle Identity GovernanceでのSSOの構成
Oracle Identity ManagerでSSOを構成します。そのように行うには:
-
WebLogicオーセンティケータを設定します。そのように行うには:
-
OpenSSOにより使用されるユーザー・データ・ストアに対応するLDAPサーバー用のWebLogic認証プロバイダを追加して構成します。たとえば、OpenSSOによりSun DSEEが使用される場合は、iPlanet認証プロバイダを構成します。制御フラグをSUFFICIENTに設定します。
ノート:
すべてのOracle Identity Managerユーザーが、オーセンティケータが指定するLDAPサーバーと同期されていることを確認してください。
-
Oracle Identity Managerの署名認証プロバイダ(OIMSignatureAuthenticator)を追加して構成します。制御フラグをSUFFICIENTに設定します。
-
オーセンティケータ・チェーンを次の順序で並べます。
-
DefaultAuthenticator - SUFFICIENT
-
OIMSignatureAuthenticator - SUFFICIENT
-
AgentAuthenticator - OPTIONAL
-
LDAPAuthenticator - SUFFICIENT
-
DefaultIdentityAsserter
-
-
-
次のコマンドを実行して、OpenSSOログアウトURLを実行するようにOracle Identity Managerログアウトを変更します。
cd <IDM_ORACLE_HOME>/common/bin ./wlst.sh connect() addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="http(s)://openssohost:openssoport/opensso/UI/Logout", autologinuri="/obrar.cgi") exit()
-
Oracle Identity Manager ssoenabledフラグをtrueに設定します。そのように行うには:
-
Enterprise Managerにログインします。システムMBeanブラウザを開きます。
-
oracle.iam:Location=OIM_SERVER_NAME,name=SSOConfig,type=XMLConfig.SSOConfig,XMLConfig=Config,Application=oim,ApplicationVersion=11.1.2.0.0 mbeanを開きます。
-
ssoEnabledの値をTrueに設定します。
-
B.2.3 構成を検証するための検証テストの実行
OpenSSOの統合を確認する検証テストには、SSOを介したOracle Identity Managerへのログイン、SSOパスワードによるクライアントベースのログイン、署名ベースの認証が含まれます。
次の検証ステップを実行して、Oracle Identity ManagerとOpenSSOとの統合が正常に行われたかどうかを検証します。
-
SSOを使用したOracle Identity Governanceへのユーザー・ログイン:
前提条件: Oracle Identity ManagerとLDAPにユーザー(ENDUSER001など)を作成します。
ステップ: 作成したユーザー(ENDUSER001など)として、SSOを使用してOracle Identity Managerにログインし、問題なくログインできるかどうかを確認します。
期待される結果: ログインは正常に行われます。
-
Oracle Identity Governanceへのクライアントベース・ログイン:
前提条件: Design Consoleがインストールされ構成されていることを確認します。
ステップ: SSOパスワードを使用してシステム管理者としてDesign Consoleにログインします。
期待される結果: LDAPAuthenticatorがSSOログインに関して適切に構成されていれば、Design Consoleに問題なくログインできます。
-
署名ベースの認証:
署名ベースの認証をテストするには:
-
スケジューラ・サービスURLにアクセスします。これは、次に示すOracle Identity Manager管理対象サーバー・ポート上で実行されている必要があります。
http://OIM_HOST:OIM_PORT/SchedulerService-web
-
SSOパスワードを使用して、システム管理者としてログインします。
-
ログインが成功し、次の詳細が画面に表示されている場合、署名ログインは成功です。
スケジューラの現在のステータス: 起動済
最後のエラー: なし
-
次の内容が表示された場合は、そのページで「開始」をクリックします。
スケジューラの現在のステータス: 停止済
ページにエラーが表示されていない場合、署名ログインは成功しています。
-
B.3 Oracle Identity GovernanceでのIBM Tivoli Access Managerの使用可能化
Oracle Identity ManagerをIBM Tivoli Access Managerと統合するためには、前提条件を満たし、統合手順を実行し、検証テストを実行します。
この項では、Oracle Identity ManagerでIBM Tivoli Access Managerを使用できるようにする方法を説明します。内容は次のとおりです。
B.3.1 Oracle Identity GovernanceとIBM Tivoli Access Managerとの統合の前提条件
Tivoli Access Managerとの統合の前提条件は、Oracle Identity Governance、Tivoli Access Manager for e-businessおよびWebLogic Serverをインストールして構成し、サードパーティSSOソリューションの共通前提条件を満たすことです。
Oracle Identity GovernanceとIBM Tivoli Access Managerとの統合の前提条件は次のとおりです:
-
Oracle Identity Governance 12c (12.2.1.4.0)がインストールおよび構成されていること。
-
IBM Tivoli Access Manager (TAM) for e-business 6.1がインストールされ構成されていること。
-
IBM Tivoli Access Manager Adapter for Oracle WebLogic Server for TAM 6.1およびOracle WebLogic Server 10gまたは11gがインストールされ構成されていること。
-
Oracle Identity GovernanceとサードパーティのSSOソリューションとの統合に関する共通の前提条件を満たしていること(「サードパーティのSSOソリューションとの統合に関する共通の前提条件」を参照)。
-
フォーム・ベースのログインがTAMで有効になっていること。
B.3.2 Oracle Identity GovernanceとIBM Tivoli Access Managerとの統合
Tivoli Access Managerの統合ステップには、websealとWebLogic間の接続の設定、TAMログアウトURLを実行するためのOracle Identity Governanceログアウトの変更、OIM ssoenabledフラグのtrueへの設定、およびOracle Identity Managerの再起動が含まれます。
Oracle Identity Governance 12c (12.2.1.4.0)をIBM Tivoli Access Manager for e-business 6.1と統合するには:
-
IBM Tivoli Access Managerを起動します。
-
Oracle Identity Governanceを起動します。
-
websealおよびWebLogic間の接続を設定します。そのように行うには:
-
websealをOracle Identity Governance WebLogic Serverに接続するためのジャンクションを作成します。
-
websealのログアウトおよびログイン・ページを構成します。
-
weblogicセキュリティ・プロバイダをデプロイします。
Oracle WebLogic Server用IBM Tivoli Access Manager Adapterに付属の、TAMとweblogicの統合に関するドキュメントを参照してください。詳細を次に示します。
-
ジャンクションの作成時には、Oracle Identity Governance上の非SSLポートとSSLポートの両方を考慮してください。
-
保護されたリソースにwebsealジャンクションを作成する場合は、必ず「-c iv-user」(iv-user HTTPヘッダーの挿入)オプションを使用してください。
-
保護する/保護しない必要があるリソースのリストを次に示します。
次のリソースは保護します。
/oim
/xlWebApp
/Nexaweb
/identity
/sysadmin
次のURIは保護しません。
/identity/faces/register
/identity/faces/forgotpassword
/identity/faces/trackregistration
/identity/faces/forgotuserlogin
/identity/faces/accountlocked
/identity/adfAuthentication
/identity/afr/blank.html
/sysadmin/adfAuthentication
/sysadmin/afr/blank.html
/sysadmin/faces/noaccess
/oim/afr/blank.html
次のリソースは保護しません。
/workflowservice
/callbackResponseService
/spml-xsd
-
Tivolli Access Managerアイデンティティ・アサーション・プロバイダ(AMIdentityAsserterLite)のみを構成します。構成時に「iv-user」オプションを選択します。
-
Tivolli Access Managerアイデンティティ認証プロバイダは構成しません。
-
TAMにより使用されるLDAPレジストリに対応するLDAPサーバー用のWebLogic認証プロバイダを構成します。たとえば、TAMによりSun DSEEが使用される場合は、iPlanet認証プロバイダを構成します。制御フラグをSUFFICIENTに設定します。Oracle Identity Managerのすべてのユーザーが、このLDAPサーバーに同期されていることを確認します。LDAPサーバーに存在しないOracle Identity Managerユーザーは、Oracle Identity Managerにログインできません。
-
Oracle Identity Governanceの署名認証プロバイダ(OIMSignatureAuthenticationProvider)を構成します。構成時にOracle Identity Managerデータベースの詳細を指定します。OIMAuthenticationProviderで指定したものと同じ詳細を使用できます。制御フラグをSUFFICIENTに設定します。
-
オーセンティケータ・チェーンを次の順序で並べます。
TAMIdentityAsserter
OIMSignatureAuthenticator - SUFFICIENT
LDAPAuthenticator - SUFFICIENT
DefaultAuthenticator - SUFFICIENT
DefaultIdentityAsserter
ノート:
TAMIdentityAsserterを使用できない場合、「サードパーティのSSO統合の簡素化」で説明しているように、OAMIdentityAsserterを使用できます
-
-
-
次のコマンドを使用して、TAMログアウトURLを実行するようにOracle Identity Managerログアウトを変更します。
cd <IDM_ORACLE_HOME>/common/bin ./wlst.sh connect() addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="http(s)://<webseal-host:port>/pkmslogout", autologinuri="/obrar.cgi") exit()
-
OIM ssoenabledフラグをtrueに設定します。そのように行うには:
-
Enterprise Managerにログインします。システムMBeanブラウザを開きます。
-
oracle.iam:Location=OIM_SERVER_NAME,name=SSOConfig,type=XMLConfig.SSOConfig,XMLConfig=Config,Application=oim,ApplicationVersion=11.1.2.0.0 mbeanを開きます。
-
ssoEnabledの値をtrueに設定します。
-
-
Oracle Identity Managerを再起動します。
-
次のURLに移動して構成をテストします。
http(s)://WEBSEAL_HOST:WEBSEAL_PORT/identity/faces/home
TAMログイン・ページが表示されます。有効なOracle Identity Governanceユーザーとしてログインすると、ログインが成功します。
B.3.3 構成を検証するための検証テストの実行
Tivoli Access Managerの統合を確認する検証テストには、SSOを介したOracle Identity Managerへのログイン、SSOパスワードによるクライアントベースのログイン、署名ベースの認証が含まれます。
次の検証ステップを実行して、Oracle Identity ManagerとTAMとの統合が正常に行われたかどうかを検証します。
-
SSOを使用したOracle Identity Governanceへのユーザー・ログイン:
前提条件: Oracle Identity ManagerとLDAPにユーザー(ENDUSER001など)を作成します。
ステップ: 作成したユーザー(ENDUSER001など)として、SSOを使用してOracle Identity Managerにログインし、問題なくログインできるかどうかを確認します。
期待される結果: ログインは正常に行われます。
-
Oracle Identity Governanceへのクライアントベース・シングル・ログイン:
前提条件: Design Consoleがインストールされ構成されていることを確認します。
ステップ: SSOパスワードを使用してシステム管理者としてDesign Consoleにログインします。
期待される結果: LDAPAuthenticatorがSSOログインに関して適切に構成されていれば、Design Consoleに問題なくログインできます。
-
署名ベースの認証:
署名ベースの認証をテストするには:
-
スケジューラ・サービスURLにアクセスします。これは、次に示すOracle Identity Manager管理対象サーバー・ポート上で実行されている必要があります。
http://OIM_HOST:OIM_PORT/SchedulerService-web
-
SSOパスワードを入力して、システム管理者としてログインします。
-
ログインが成功し、次の詳細が画面に表示されている場合、署名ログインは成功です。
スケジューラの現在のステータス: 起動済
最後のエラー: なし
-
次の内容が表示された場合は、そのページで「開始」をクリックします。
スケジューラの現在のステータス: 停止済
ページにエラーが表示されていない場合、署名ログインは成功しています。
-
B.4 Oracle Identity GovernanceでのCA SiteMinderの使用可能化
Oracle Identity ManagerをCA SiteMinderと統合するためには、前提条件を満たし、実際の統合手順を実行し、検証テストを実行します。
この項では、Oracle Identity ManagerでCA SiteMinderを使用できるようにする方法を説明します。内容は次のとおりです。
B.4.1 Oracle Identity GovernanceとCA SiteMinderとの統合の前提条件
SiteMinderとの統合の前提条件は、Oracle Identity ManagerとCA SiteMinderをインストールして構成し、サードパーティSSOソリューションの共通前提条件を満たすことです。
Oracle Identity ManagerとCA SiteMinderとの統合の前提条件は次のとおりです。
-
Oracle Identity Managerがインストールおよび構成されていること。
-
CA Siteminderがインストールおよび構成されていること。
-
Oracle Identity ManagerとサードパーティのSSOソリューションとの統合に関する共通の前提条件を満たしていること(「サードパーティのSSOソリューションとの統合に関する共通の前提条件」を参照)。
B.4.2 Oracle Identity GovernanceとCA SiteMinderとの統合
SiteMinderの統合ステップには、Siteminder WebLogic Agentのインストール、必要な変数とパラメータを指定するためのsetDomainEnv.sh、startWebLogic.shおよびWebAgent.confファイルの更新、Weblogic認証チェーンでのSiteminderIdentityAsserterおよびSiteminderAuthenticationProviderの追加または構成、およびSSOの有効化が含まれます。
Oracle Identity ManagerをCA SiteMinderと統合するには:
-
Siteminderのインストール・ドキュメントを参照して、Siteminder WebLogicエージェントをインストールします。インストールGUIの指示に従います。
-
setDomainEnv.shファイルを編集して、次のように変数を設定します。
ASA_HOME='PATH_TO_SITEMINDER_AGENT_HOME' export ASA_HOME SMASA_CLASSPATH="$ASA_HOME/conf:$ASA_HOME/lib/smagentapi.jar:$ASA_HOME/lib/smjavasdk2.jar:$ASA_HOME/lib/sm_jsafe.jar:$ASA_HOME/lib/smclientclasses.jar:$ASA_HOME/lib/sm_jsafeJCE.jar" export SMASA_CLASSPATH SM_JAVA_OPTIONS=" -Dsmasa.home=$ASA_HOME" export SM_JAVA_OPTIONS CLASSPATH=${SMASA_CLASSPATH}:${CLASSPATH} export CLASSPATH
-
startWebLogic.shファイルを編集して、次のようにSM_JAVA_OPTIONSをJAVAコマンドに追加します。
$JAVA_HOME/bin/java ${JAVA_VM} ${MEM_ARGS} -Dweblogic.Name=${SERVER_NAME} -Djava.security.policy=${WL_HOME}/server/lib/weblogic.policy ${JAVA_OPTIONS} ${SM_JAVA_OPTIONS} ${PROXY_SETTINGS} ${SERVER_CLASS}
-
ASA_HOME/conf/WebAgent.confファイルを編集して、EnableWebAgentパラメータの値をYESに変更します。
-
管理対象サーバーおよび管理サーバーをすべて再起動します。
-
Weblogic認証チェーンで、SiteminderIdentityAsserterおよびSiteminderAuthenticationProviderを追加/構成します。アイデンティティ・アサータの共通構成で、SMSESSIONを選択します。
-
「プロバイダ固有」サブタブで、「SMアイデンティティ・アサータ構成ファイル:」フィールドをASA_HOME/conf/WebAgent.confに設定します。
-
SiteminderAuthenticationProvider 'ProviderSpecific'で、「SM認証プロバイダ構成ファイル:」をASA_HOME/conf/WebAgent.confに更新します。
-
認証チェーンから既存のOIMAuthenticationProviderを削除します。
-
OIMSignatureAuthenticatorを認証チェーンに追加します。制御フラグをSUFFICIENTに設定します。このオーセンティケータは、Oracle Identity Managerへの署名ログインベースのログインを処理することのみを目的として追加します。
-
LDAPオーセンティケータ(OID、Iplanetなど)を認証チェーンに追加し、制御フラグをSUFFICIENTとして設定します。このオーセンティケータが同じLDAPプロバイダを指す、つまり、次のように構成されていることを確認します。
-
Oracle Identity Managerと同期化されている、つまり、OIMアイデンティティがすべて移入されています。
-
認証を目的としてSiteminderサーバーによって使用されています。
HTTP以外をベースとするログイン・リクエスト(OIM Design Consoleへのログインや他のOIMクライアントへのログイン)、およびOPSSベースのアサーション・リクエストを処理するには、LDAPAuthenticatorを追加する必要があります。
-
-
表B-1に示すように認証チェーンを並べ替えます。
表B-1 認証チェーン
認証プロバイダ 制御フラグ SiteminderIdentityAsserter
OIMSignatureAuthenticator
SUFFICIENT
SiteminderAuthenticationProvider
SUFFICIENT
LDAPAuthenticator
SUFFICIENT
DefaultAuthenticator
SUFFICIENT
DefaultIdentityAsserter
-
ドメイン内の管理サーバーおよびすべての管理対象サーバーを再起動します。
-
次のコマンドを使用して、OIMのSSOログアウトを構成します。
cd <IDM_ORACLE_HOME>/common/bin ./wlst.sh connect() addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="SITEMINDER_LOGOUT_URL", autologinuri="/obrar.cgi") exit()
ノート:
connect()呼出しにより、管理サーバーのURLとWebLogic管理ユーザー名およびパスワードを求められます。
-
Oracle Identity Managerのssoenabledフラグをtrueに設定します。そのように行うには:
-
Enterprise Managerにログインし、システムMBeanブラウザを開きます。
-
oracle.iam:Location=OIM_SERVER_NAME,name=SSOConfig,type=XMLConfig.SSOConfig,XMLConfig=Config,Application=oim,ApplicationVersion=11.1.2.0.0 mbeanを開きます。
-
ssoEnabledの値をtrueに設定します。
-
-
ドメイン内の管理サーバーおよびすべての管理対象サーバーを再起動します。
-
保護する/保護しないOracle Identity Managerリソースを次に示します。
-
次のリソースは保護します。
/identity
/sysadmin
/oim
/xlWebApp
/Nexaweb
-
次のURIは保護しません。
/identity/faces/register
/identity/faces/forgotpassword
/identity/faces/trackregistration
/identity/faces/forgotuserlogin
/identity/faces/accountlocked
/identity/adfAuthentication
/identity/afr/blank.html
/sysadmin/adfAuthentication
/sysadmin/afr/blank.html
/sysadmin/faces/noaccess
/oim/afr/blank.html
-
次のリソースは保護しません。
/workflowservice
/callbackResponseService
/spml-xsd
/reqsvc
/sysadmin/logout
/identity/logout
/identity/notification/secure
/SchedulerService-web
/wsm-pm
/workflow
/soa-infra
/integration
/b2b
/sdpmessaging/userprefs-ui
-
-
Oracle Identity Managerへのクライアントベース・ログインをサポートするには、smclientclasses.jarをクライアントのクラスパスに追加する必要があります。クライアントのクラスパスを設定するには:
-
cdコマンドを使用して、OIM_ORACLE_HOME/server/bin/ディレクトリに移動します。
-
VIエディタでsetEnv.shファイルを開きます。
-
smclientclasses.jarを、最後にあるCLASSPATH変数に追加します。この設定によって、OIM_ORACLE_HOME/server/binにあるほとんどのクライアント・ユーティリティを実行しながら、Oracle Identity Managerへのクライアント・ログインを正常に実行できます。
ただし、Design Consoleログインを行えるようにするには、このログイン用に別個にクライアントのクラスパスを設定する必要があります。そのように行うには:
-
OIM_ORACLE_HOME/designconsoleディレクトリに移動します。
-
VIエディタでclasspath.shファイルを開きます。
-
smclientclasses.jarを、最後にあるCLASSPATH変数に追加します。
-
B.4.3 構成を検証するための検証テストの実行
SiteMinderの統合を確認する検証テストには、SSOを介したOracle Identity Managerへのログイン、SSOパスワードによるクライアントベースのログイン、署名ベースの認証が含まれます。
次の検証ステップを実行して、Oracle Identity ManagerとCA SiteMinderとの統合が正常に行われたかどうかを検証します。
-
SSOを使用したOracle Identity Governanceへのユーザー・ログイン:
前提条件: Oracle Identity ManagerとLDAPにユーザー(ENDUSER001など)を作成します。
ステップ: 作成したユーザー(ENDUSER001など)として、SSOを使用してOracle Identity Managerにログインし、問題なくログインできるかどうかを確認します。
期待される結果: ログインは正常に行われます。
ステップ: Oracle Identity Managerシステム管理コンソール(/sysadmin)にOIM管理者(通常はXELSYSADM)にログインし、問題なくログインできるかどうかを確認します。
期待される結果:ログインは正常に行われます。
-
Oracle Identity Governanceへのクライアントベース・ログイン:
前提条件: Design Consoleがインストールされ構成されていることを確認します。
ステップ: SSOパスワードを使用してシステム管理者としてDesign Consoleにログインします。
期待される結果: SiteminderAuthenticationProviderがSSOログインに関して適切に構成されていれば、Design Consoleに問題なくログインできます。
-
署名ベースの認証:
署名ベースの認証をテストするには:
-
スケジューラ・サービスURLにアクセスします。これは、次に示すOracle Identity Manager管理対象サーバー・ポート上で実行されている必要があります。
http://OIM_HOST:OIM_PORT/SchedulerService-web
-
SSOパスワードを入力して、システム管理者としてログインします。
-
ログインが成功し、次の詳細が画面に表示されている場合、署名ログインは成功です。
スケジューラの現在のステータス: 起動済
最後のエラー: なし
-
次の内容が表示された場合は、そのページで「開始」をクリックします。
スケジューラの現在のステータス: 停止済
ページにエラーが表示されていない場合、署名ログインは成功しています。
-
B.5 OAMを使用した基本SSOの構成
OAMを使用して基本SSOを構成するには、前提条件を満たし、SSOログアウトおよびオーセンティケータを構成し、検証テストを実行します。
この項では、Oracle Identity ManagerとOAMの間の基本統合を構成する方法や、SSO認証を使用して統合を保護する方法について説明します。次の項が含まれます:
ノート:
この項で説明する手順を実行する場合、有効になるのは基本SSOのみです。LDAPコネクタを使用して、パスワードをプロビジョニングするとともに、追加構成を実行し、ロック・ステータスをディレクトリに伝播できるようにします。
B.5.1 SSOログアウトおよびオーセンティケータの構成の前提条件
OAMを使用して基本SSOを構成する前提条件は、Oracle Identity GovernanceとOAMをインストールして構成し、OAM 11g WebゲートをホストするOHS/リバースプロキシを使用してOracle Identity Governanceのフロントエンドを設定し、LDAP同期を有効化することです。
次の前提条件を実行します。
-
Oracle Identity Governance 12c (12.2.1.4.0)がインストールおよび構成されていることを確認します。
-
Oracle Identity Governanceのフロントエンドとして、OAM 11g WebゲートをホストするOHS/リバースプロキシが機能している必要があります。
-
コネクタにより、Oracle Identity Governanceのユーザー移入とLDAPリポジトリとの同期が維持されていることを確認します。また、Oracle Identity Governanceシステム管理者アカウントがLDAPリポジトリに作成されていることも確認します。
-
Oracle Identity Governanceと同期されているものと同じLDAPリポジトリに対してOracle Identity Governanceユーザーを認証するためにOAM 12.2.1.4.0がインストールされて構成されていることを確認します。
ノート:
OIDAuthenticatorはこの手順では参照として使用されています。AD、ODSEEまたはOUDなどの他のLDAPサーバーがある場合は、適切なWebLogic LDAP認証プロバイダを作成してください。
B.5.2 SSOログアウトおよびオーセンティケータの構成
OAMを使用して基本SSOを構成するステップには、OIM ssoenabledフラグのtrueへの設定、SSOログアウトと認証プロバイダの構成が含まれます。
SSOログアウトおよびオーセンティケータを構成するには:
-
OIM ssoenabledフラグをtrueに設定します。そのように行うには:
-
Oracle Enterprise Managerにログインして、OIM_DOMAINに移動します。
-
「OIMDomain」を右クリックし、「システムMBeanブラウザ」を選択します。
-
検索アイコンをクリックし、
「ssoconfig」
を入力して検索します。 -
詳細ページで、
SSOEnabled
フラグを探し、ドロップダウンから「true」を選択します。「適用」をクリックして、構成変更を保存します。
-
-
次に示すように、oimのSSOログアウトを構成します。
<IDM_ORACLE_HOME>/common/bin/wlst.sh connect() addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="/oamsso/logout.html", autologinuri="/obrar.cgi") exit()
ノート:
connect()コールは、管理サーバーのURLおよびWebLogic管理者のユーザー名とパスワードを要求します。
-
認証プロバイダを構成します。そのように行うには:
ノート:
このステップでは、SSOログインおよびOIMクライアントベースのログインが正常に機能するようにOIMドメイン内でセキュリティ・プロバイダを構成します。このために、OAMIDAsserterおよびOIDAuthenticatorを設定する必要があります。OIDAuthenticatorは、OIDに対してユーザーを認証/アサートするために構成します。認証用としてOAMによっても使用される他のディレクトリ・サーバーに対してユーザーを認証/アサートするには、OIDAuthenticatorではなく、対応するオーセンティケータを構成する必要があります。
-
Oracle WebLogic管理コンソールにログインし、「セキュリティ・レルム」→「myrealm」→「プロバイダ」→「認証」に移動します。
-
「新規」をクリックし、
OAMIdentityAsserter
タイプのOAMIDAsserter
を追加します。「OK」をクリックします。追加した
OAMIDAsserter
を編集し、control
フラグをREQUIRED
に設定します。選択したアクティブなタイプ
がOAM_REMOTE_USER
に設定されていることを確認し、構成を保存します。 -
「新規」をクリックし、
OIMSignatureAuthenticator
タイプのOIMSignatureAuthenticator
を追加します。「OK」をクリックします。OIMSignatureAuthenticator
を編集し、control
フラグをSUFFICIENT
に設定します。構成を保存します。 -
「新規」をクリックし、
OracleInternetDirectoryAuthenticator
タイプのOIDAuthenticator
を追加します。「OK」をクリックします。OIDAuthenticator
を編集し、Control
フラグをSUFFICIENT
に設定します。構成を保存します。プロバイダ固有のタブを開き、次の属性(のみ)を設定し、構成を保存します。-
ホスト: OID_HOST_NAME
-
ポート: OID_PORT
-
プリンシパル: cn=orcladmin
-
資格証明/資格証明の確認: orcladmin_password
-
ユーザー・ベースDN: cn=Users,dc=us,dc=oracle,dc=com
-
すべてのユーザーのフィルタ: (&(uid=*)(objectclass=inetOrgPerson))
-
名前指定によるユーザー・フィルタ: (&(uid=%u)(objectclass=inetOrgPerson))
-
UserNameAttribute: uid
-
ユーザー・オブジェクト・クラス: inetOrgPerson
-
取得したユーザー名をプリンシパルとして使用する: true
-
グループ・ベースDN: cn=Groups,dc=us,dc=oracle,dc=com
-
すべてのグループのフィルタ: (&(cn=*)(objectclass=groupOfUniqueNames))
-
名前指定によるグループ・フィルタ: (&(cn=%g)(objectclass=groupOfUniqueNames))
-
-
すでに構成されている
OIMAuthenticationProvider
を削除します。 -
残りの認証プロバイダを次の順序で並べ替えます。
OAMIDAsserter
OIMSignatureAuthenticator
OIDAuthenticator
DefaultAuthenticator
DefaultIdentityAsserter
-
実行した変更をアクティブ化し、OIMドメイン内で構成されているすべてのサーバーを再起動します。
-
B.5.3 構成を検証するための検証テストの実行
基本SSO構成を確認する検証テストには、SSOを介したOracle Identity Managerへのログイン、SSOパスワードによるクライアントベースのログイン、署名ベースの認証が含まれます。
次の検証テストを実行してSSOログアウトおよびオーセンティケータ構成を検証します。
-
SSOを使用したOracle Identity Governanceへのユーザー・ログイン
前提条件: Oracle Identity ManagerとLDAPにユーザー(ENDUSER001など)を作成します。
ステップ: 作成したユーザー(ENDUSER001など)として、SSO URLを使用してOracle Identity Self Serviceにログインし、問題なくログインできるかどうかを確認します。また、Oracle Identity System Administrationにシステム管理者としてログインし、アクセス・ポリシーなどの様々なリンクにアクセスします。いずれかのコンソールからログアウトし、同じユーザーまたは別のユーザーを使用して再度ログインします。
期待される結果: 問題なくログインでき、すべてのリンクが期待どおりに機能します。
-
Oracle Identity Governanceへのクライアントベース・ログイン:
前提条件: Design Consoleがインストールされ構成されていること。
ステップ: SSOパスワードを使用してシステム管理者としてDesign Consoleにログインします。
期待される結果: LDAPAuthenticatorがSSOログインに関して適切に構成されていれば、Design Consoleにシステム管理者として問題なくログインできます。
-
署名ベースの認証:
署名ベースの認証をテストするには:
-
次に示すように、Oracle Identity Manager管理対象サーバーのポートで実行されているスケジューラ・サービスのURLにアクセスします。
http://OIM_HOST:PORT/SchedulerService-web
-
SSOパスワードを使用して、システム管理者としてログインします。
-
ログインが成功し、次の詳細が画面に表示されている場合、署名ログインは成功です。
スケジューラの現行ステータス:
STARTED
最後のエラー:
NONE
-
次の内容が表示された場合は、そのページで「開始」をクリックします。
スケジューラの現行ステータス:
STOPPED
ページにエラーが表示されていない場合、署名ログインは成功しています。
-
B.6 サードパーティのSSO統合の簡素化
サードパーティのSSOソリューションによって提供されるOracleのアイデンティティ・アサータを構成します。これはOracle Identity Manager用としてSSOを提供する方法として推奨される方法です。
Oracle Identity ManagerをサードパーティのSSOプロバイダ(Tivoli Access ManagerやCA Siteminderなど)と統合するには、「Oracle Identity GovernanceでのIBM Tivoli Access Managerの使用可能化」および「Oracle Identity GovernanceでのCA SiteMinderの使用可能化」に記載されている手順に従うことをお薦めします。
サードパーティのSSOソリューションによって提供/推奨されるWebLogicプラグイン(アイデンティティ・アサータまたはオーセンティケータ)は、Oracle Identity Manager用としてSSOを提供する方法として推奨される方法です。ただし、「Oracle Identity GovernanceでのIBM Tivoli Access Managerの使用可能化」および「Oracle Identity GovernanceでのCA SiteMinderの使用可能化」の項に記載されているように、SSOプロバイダ固有のWeblogicプラグインを使用した統合の構成は実現可能ではないため、この項の手順に従って統合を達成できます。
ノート:
このアサータは現在、IBM Tivoli Access ManagerやCA SiteMinderといったサードパーティのSSOプロバイダをサポートしています。
Oracleのアイデンティティ・アサータを構成するには:
Oracleのアイデンティティ・アサータを構成するためにこの方法を使用する場合、セキュリティに関する次の考慮事項に注意してください。
-
OHSおよびWebLogicの保護に関する標準セキュリティ・プラクティスに従ってください。
-
Oracle Identity Managerのフロントエンドとして機能しているHTTP WebサーバーがSSOソリューションの標準セキュリティ・プラクティスを使用して適切に保護されていることを確認してください。
B.7 SSO統合用の構成可能なログインIDのサポートの使用
通常、SSOプロバイダは「ログインID」属性を使用してSSOログインを実行します。ただし、Oracle Identity ManagerではSSOログインに「ユーザーID」属性が使用されます。
Oracle Identity Managerは、シングル・サインオンを実現するためにSiteminderやTivoli Access ManagerなどのサードパーティのSSOプロバイダと統合できます。これらのサードパーティのSSOプロバイダを使用すると、ユーザーがSSOログインを実行するために使用する必要があるログインID属性を構成できます。たとえば、(ユーザーIDのかわりに) email属性を使用してログインすることをユーザーに許可する場合、この構成はSSOプロバイダによって許可されます。ただし、この構成は、Oracle Identity ManagerがSSOプロバイダと統合されている場合は正常に機能しません。これは、Oracle Identity Manager内のログインID属性が「ユーザー・ログイン」
であるために他のユーザー属性(emailなど)をログインID属性として構成できないことが原因です。このため、この機能の目的は、Oracle Identity ManagerでログインID属性を構成可能にすることにあります。ログインID属性をOracle Identity Managerの他のユーザー・エンティティ属性(Emailなど)に構成すると、ユーザーがemail値を使用してSSOログインを実行してOracle Identity Managerにログインできるようになります。
ノート:
-
SSOプロバイダと統合されていないOracle Identity Managerデプロイメントでこの構成を使用することはお薦めしません。
-
このソリューションをお薦めするのは、Oracle Identity ManagerデプロイメントがサードパーティのSSOプロバイダと統合されているときに、「ユーザー・ログイン」以外の属性を使用してログインすることをユーザーに許可する場合です。
-
Oracle Identity ManagerがOAMと統合されている場合、このソリューションを使用することはお薦めしません。ユーザーが複数の属性を使用してログインできるようOAMを構成することは可能ですが、「ユーザー・ログイン」に対応する属性をアサートしてください。この構成の場合、ユーザーはemailを使用してSSOログインを実行しますが、JAAS件名には「ユーザー・ログイン」属性が移入されます。
B.8 SSO統合用のログインIDサポートの構成
Oracle Identity Managerで「ログインID」属性を構成するには、SSOLoginIdMapperを使用するためにoim構成でloginMapperプロパティを構成し、SSOを構成し、各ユーザーのloginIdAttributeとUSR_LOGINに同じ値を指定し、LDAP固有のオーセンティケータ構成を変更します。
Oracle Identity ManagerでログインID属性を構成するには:
-
Oracle Enterprise Managerにログインします。
-
「WebLogicドメイン」を展開します。「DOMAIN_NAME」を右クリックして、「システムMBeanブラウザ」を選択します。
-
SSOLoginIdMapper
を使用するようoim構成のloginMapper
プロパティを構成します。そのように行うには:-
「アプリケーション定義のMBean」→「oracle.iam」→「サーバー:OIM_SERVER_NAME」→「Application:oim」→「XML構成」→「構成」に移動します。
-
LoginMapper
属性の値をoracle.iam.platform.auth.impl.SSOLoginIDMapper
に変更します。
-
-
ssoConfig
のssoEnabled
属性をtrue
に設定してSSOに対してOracle Identity Managerを構成します。そのように行うには:-
「アプリケーション定義のMBean」→「oracle.iam」→「サーバー:oim_server1」→「アプリケーション:oim」→XML構成→「XMLConfig:SSOConfig」→「SSOConfig」に移動します。
-
SSOEnabled
属性の値としてtrueを選択します。
-
-
同じページで、
loginIdAttribute
の値を有効なOracle Identity Managerユーザー・エンティティ属性に設定します。ノート:
loginIdAttributeがEmailに構成されている場合、すべてのユーザーに有効なemail IDが必要であり、これらの値はすべてのOracle Identity Managerユーザーにわたって一意である必要があります。
-
デフォルトでシードされているすべてのOracle Identity Managerユーザーについて、
loginIdAttribute
の値がUSR_LOGIN
の値と同じであることを確認します。たとえば、loginIdAttribute
がEmailに構成されている場合、デフォルトのユーザーのemail IDがUSR_LOGIN
値と同じであることを確認します。次のSQL文は、Oracle Identity Managerデータベース・スキーマに対して実行できます。update usr SET usr_email='OIMINTERNAL' where usr_login='OIMINTERNAL'; update usr SET usr_email='XELSYSADM' where usr_login='XELSYSADM'; update usr SET usr_email='WEBLOGIC' where usr_login='WEBLOGIC'; update usr SET usr_email='XELOPERATOR' where usr_login='XELOPERATOR';
-
「ユーザー名属性」、「名前指定によるユーザー・フィルタ」および「すべてのユーザーのフィルタ」に適切な属性を使用するようLDAP固有のオーセンティケータ構成を変更します。たとえば、loginIdAttributeがEmailに構成されている場合、オーセンティケータが次のように構成されていることを確認します。
User Name Attribute: mail User From Name Filter: (&(|(mail=%u)(uid=%u))(objectclass=inetOrgPerson)) All Users Filter: (&(mail=*)(objectclass=inetOrgPerson)
ノート:
「名前指定によるユーザー・フィルタ」には、uid属性(デフォルト)またはmail属性(loginIdAttributeがEmailとして設定されている場合)を使用してユーザーを参照するためのOR条件が含まれます。
ただし、APIクライアントベースのログインは、loginIdAttribute (mailなど)が構成されている場合はこれを使用してのみ実行することをお薦めします。
-
LDAPプロバイダでシステム管理者ユーザー・エントリを作成します。uidおよびmail (loginIdAttributeがEmailとして構成されている場合)属性がSYSTEM_ADMINISTRATORとして設定されていることを確認します。
ノート:
Oracle Identity ManagerでloginIdAttributeが他の一意の属性に設定されている場合、LDAP内の対応するマッピング属性がSYSTEM_ADMINISTRATORに設定されている必要があります。
-
OPSSレイヤーで次の変更を実行します。
Oracle Identity ManagerがHTTP (UI)およびt3 (サーバー)チャネルを介してSOAに接続することを考慮すると、デフォルトのユーザー・ログインではなくSSOログインIDに基づいてユーザー参照を処理するよう
OIMDBProvider
を構成する必要があります。これを行うには、次のように、jps-config.xmlファイル内のidstore.oim
サービス・インスタンスを変更します。<serviceInstance name="idstore.oim" provider="idstore.oim.provider" location=" "> <description>OIM Identity Store Service Instance</description> <property name="idstore.type" value="CUSTOM"/> <property name="ADF_IM_FACTORY_CLASS" value="oracle.iam.userrole.providers.oimdb.OIMDBIdentityStoreFactory"/> <property name="DATASOURCE_NAME" value="jdbc/soaOIMLookupDB"/> <property value="
USER_NAME
=USR_EMAIL:USER_ID
=USR_EMAIL" name="PROPERTY_ATTRIBUTE_MAPPING"/> </serviceInstance>ノート:
USER_NAMEおよびUSER_IDプロパティの値は、
loginIdAttribute
に対応するフィールド・マッピングである必要があります。したがって、loginIdAttributeをEmail
として構成した場合、Email属性はUSR_EMAIL
列にマッピングされるので、USER_NAME
およびUSER_ID
プロパティをUSR_EMAIL
に設定する必要があります。 -
Oracle Identity Managerドメイン・セキュリティ・レルムの認証プロバイダの構成が、特定のSSOプロバイダ用の文書(「Oracle Identity GovernanceでのIBM Tivoli Access Managerの使用可能化」および「Oracle Identity GovernanceでのCA SiteMinderの使用可能化」など)に記載されているとおりであることを確認します。
ノート:
カスタムloginIdAttribute
(Emailなど)を構成する場合、カスタムSOAコンポジットの開発時に次のことを確認してください。
-
Oracle Identity Managerが承認のためにSOAコンポジットを起動するとき、
RequesterDetails
、BeneficiaryDetails
をペイロードの一部として渡します。これらの内の
Login
およびManagerLogin
フィールドは、User Loginではなく、Emailに設定されます。 -
loginIdAttribute
値をタスク割当て先として使用していることを確認してください。
ユーザー(指定されたユーザー・キー)のloginIdAttribute
値をフェッチするには、BPELプロセスでRequestDataService
のgetUserDetails
操作を使用できます。
同じことが既存のカスタムSOAコンポジットにも適用されます。
B.9 SAML2アサータを使用したOracle Identity Governanceとアイデンティティ・プロバイダとの統合
この項では、SAML2シングル・サインオン・フローを使用して、Oracle Identity Governanceでシングル・サインオン(SSO)を使用可能にするための構成ステップについて説明します。このドキュメントで使用されるアイデンティティ・プロバイダ(IDP)またはSAML2アサーション・プロバイダは、Oracle Access Manager (OAM)です。SAML2をサポートする他の任意のIDPを使用することもできます。
ノート:
OIGとのOAMの統合にSAML2を使用することもできますが、WebGateを使用して統合を構成することをお薦めします(『Oracle Identity Management Suite統合ガイド』のLDAPコネクタを使用したOracle Identity GovernanceとOracle Access Managerとの統合に関する項を参照)。この項の内容は次のとおりです。
B.9.1 Oracle Identity Governanceとアイデンティティ・プロバイダとの統合の前提条件
B.9.2 Oracle Identity GovernanceドメインでのSAML2アサータの構成
B.9.3 Oracle Identity GovernanceでのIdentity Federation設定の構成
B.9.4 Identity Federationドキュメントのエクスポート
- SAML2.0一般タブで、「メタデータの公開」をクリックします。SAML2.0メタ・データの公開ページが表示されます。
- 「パス」フィールドに、エクスポートするファイルのディレクトリ・パスおよび名前(
/scratch/
USER_NAME
/12cPS4OIM/PS4mw/user_projects/domains/base_domain/OIM_SAML2.xml
など)を入力します。 - ファイルがすでに存在する場合にメタデータをファイルに書き込む場合は、オプションで「上書き」オプションを選択します。それ以外の場合は、このオプションは選択しないままにします。
- 「OK」をクリックします。
B.9.5 Oracle Identity Governanceを使用したフェデレーション用のアイデンティティ・プロバイダの構成
- Oracle Access Managementコンソールにログインします。
- 「フェデレーション」タブをクリックしてから、「アイデンティティ・プロバイダ管理」タブをクリックします。
- 「サービス・プロバイダ・パートナの作成」をクリックします。
- 「一般」セクションで、「名前」フィールドにサービス・プロバイダの名前を入力します。
- 「サービス情報」セクションで、「Identity Federationドキュメントのエクスポート」で以前にエクスポートしたフェデレーション・メタデータ・オブジェクトをインポートします。これを行うには、「プロバイダ・メタデータからロード」オプションが選択されていることを確認し、「メタデータのロード」をクリックします。
- 「名前IDフォーマット」セクションで、「NameID値」リストの「ユーザーIDストア属性」を選択し、
uid
と入力します。 - 「保存」をクリックします。
B.9.7 Oracle Identity Governanceでのアイデンティティ・プロバイダのメタデータの構成
B.9.8 セッションCookieを変更するためのアイデンティティ・セルフ・サービス、システム管理およびFacadeWebAppの更新
ノート:
アプリケーションでカスタムCookieを使用する場合、このステップはSAML2フローをサポートするために必要です。『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のデフォルト以外のCookie名の使用に関する項を参照してください。