SAML 1.1および2.0のデバッグの有効化

24 SAML 1.1および2.0のデバッグの有効化

Oracle Weblogic Serverでは、SSOにSAMLを使用するWebアプリケーションのデバッグを有効にするために様々な方法が用意されています。デバッグを構成するには、ServerDebug MBeanで属性を設定します。

この章の内容は次のとおりです。

SAMLデバッグ・スコープおよび属性について

SAML 1.1および2.0用にWebLogic Serverで提供される登録済のデバッグ・スコープと属性について学習します。

表24-1 SAML 1.1デバッグ・スコープおよび属性

スコープ	属性	説明
`weblogic.security.saml.atn`	`DebugSecuritySAMLAtn`	SAML 1.1認証プロバイダ処理に関する情報を出力します。
`weblogic.security.saml.credmap`	`DebugSecuritySAMLCredMap`	SAML 1.1資格証明マッピング・プロバイダ処理に関する情報を出力します。
`weblogic.security.saml.lib`	`DebugSecuritySAMLLib`	SAML 1.1ライブラリ処理に関する情報を出力します。
`weblogic.security.saml.service`	`DebugSecuritySAMLService`	SAML 1.1 SSOプロファイル・サービスに関する情報を出力します。

表24-2 SAML 2.0デバッグ・スコープおよび属性

スコープ	属性	説明
`weblogic.security.saml2.atn`	`DebugSecuritySAML2Atn`	SAML 2.0認証プロバイダ処理に関する情報を出力します。
`weblogic.security.saml2.credmap`	`DebugSecuritySAML2CredMap`	SAML 2.0資格証明マッピング・プロバイダ処理に関する情報を出力します。
`weblogic.security.saml2.lib`	`DebugSecuritySAML2Lib`	SAML 2.0ライブラリ処理に関する情報を出力します。
`weblogic.security.saml2.service`	`DebugSecuritySAML2Service`	SAML 2.0 SSOプロファイル・サービスに関する情報を出力します。

コマンドラインを使用してデバッグの有効化

デバッグ・スコープまたは属性は、WebLogic Serverサーバーを起動するコマンドのオプションとして受け渡すことによって有効化できます。SAMLデバッグを有効化するためにこの方法は静的なもので、サーバー起動時にのみ使用可能です。

属性ごとのSAMLデバッグの有効化に使用できるコマンド・ライン・オプションは、表24-3にリストされています。

表24-3 SAMLデバッグのコマンドライン・オプション

SAMLバージョンデバッグに使用可能なコマンドライン・オプション

SAMLバージョン	デバッグに使用可能なコマンドライン・オプション
SAML 1.1	`-Dweblogic.debug.DebugSecuritySAMLAtn=true` `-Dweblogic.debug.DebugSecuritySAMLCredMap=true` `-Dweblogic.debug.DebugSecuritySAMLLib=true` `-Dweblogic.debug.DebugSecuritySAMLService=true`
SAML 2.0	`-Dweblogic.debug.DebugSecuritySAML2Atn=true` `-Dweblogic.debug.DebugSecuritySAML2CredMap=true` `-Dweblogic.debug.DebugSecuritySAML2Lib=true` `-Dweblogic.debug.DebugSecuritySAML2Service=true`

SAML 1.1

-Dweblogic.debug.DebugSecuritySAMLAtn=true

-Dweblogic.debug.DebugSecuritySAMLCredMap=true

-Dweblogic.debug.DebugSecuritySAMLLib=true

-Dweblogic.debug.DebugSecuritySAMLService=true

SAML 2.0

-Dweblogic.debug.DebugSecuritySAML2Atn=true

-Dweblogic.debug.DebugSecuritySAML2CredMap=true

-Dweblogic.debug.DebugSecuritySAML2Lib=true

-Dweblogic.debug.DebugSecuritySAML2Service=true

WebLogic Server管理コンソールを使用してデバッグの有効化

WebLogic Server管理コンソールを使用して、SAMLデバッグを有効にできます。SAMLデバッグを有効化/無効化するためのWebLogic Server管理コンソールの使用は動的で、サーバーの稼働中に使用できます。

WebLogic Server管理コンソールを使用してSAMLデバッグを構成するには、次のステップを実行します。

まだ実行していない場合は、WebLogic Server管理コンソールのチェンジ・センターで「ロックして編集」をクリックします(Oracle WebLogic Server WebLogic Server管理コンソール・オンライン・ヘルプのチェンジ・センターの使用を参照)。
管理コンソールの左ペインで、「環境」を展開して「サーバー」を選択します。
「サーバーのサマリー」ページで、デバッグを有効化または無効化するサーバーをクリックして、そのサーバーの設定ページを開きます。
「デバッグ」をクリックします。
weblogicを展開します。
「security」を展開します。
次のとおりにSAMLデバッグを有効化します。
- すべてのSAML 1.1属性を網羅するSAML 1.1デバッグ・スコープを有効化するには、samlを選択して「有効化」をクリックします。
- 1つ以上の個別のSAML 1.1デバッグ属性を有効化するには、samlを展開し、目的の属性のスコープを展開し、目的の個別のSAML 1.1属性を選択して、「有効化」をクリックします。たとえば、samlを展開し、atnを展開し、DebugSecuritySAMLAtn属性を選択してSAML 1.0認証処理をデバッグします。
- すべてのSAML 2.0属性を網羅するSAML 2.0デバッグ・スコープを有効化するには、saml2を選択して「有効化」をクリックします。
- 1つ以上の個別のSAML 2.0デバッグ属性を有効化するには、saml2を展開し、目的の属性のスコープを展開し、目的の個別のSAML 2.0属性を選択して、「有効化」をクリックします。たとえば、saml2を展開し、credmapを展開し、DebugSecuritySAML2Credmap属性を選択してSAML 2.0資格証明マッピング・プロバイダ処理をデバッグします。
各登録済SAMLデバッグ属性の説明は、「SAMLデバッグ・スコープおよび属性について」を参照してください。
これらの変更をアクティブ化するには、WebLogic Server管理コンソールのチェンジ・センターで「変更のアクティブ化」をクリックします(Oracle WebLogic Server WebLogic Server管理コンソール・オンライン・ヘルプのチェンジ・センターの使用を参照)。

SAMLデバッグ・スコープおよび属性への変更はただちに実行され、再起動する必要はありません。Oracle WebLogic Server管理コンソール・オンライン・ヘルプのデバッグ設定の定義に関する項を参照してください。

WebLogic Scripting Toolを使用してデバッグの有効化

WebLogic Scripting Tool (WLST)を使用してSAMLデバッグ属性を構成できます。WLSTの使用は動的な手法であり、サーバーの実行中にデバッグを有効にする場合に使用できます。

たとえば、次のコマンドはdebug.pyというデバッグ属性の設定用プログラムを実行します。

java weblogic.WLST debug.py

debug.pyプログラムには、属性DebugSecuritySAMLAtnのデバッグを有効化する次のコードが含まれます。

user='user1'
password='password'
url='t3://localhost:7001'
connect(user, password, url)
edit()
cd('Servers/myserver/ServerDebug/myserver')
startEdit()
set('DebugSecuritySAMLAtn','true')
save()
activate()

ノート:

明確にするために、このWLSTサンプル・スクリプトでは、ユーザー名およびパスワードをクリア・テキストで表示しています。通常はWLSTコマンドにクリア・テキストのパスワードを入力しないでください。特に、クリア・テキストのパスワードが含まれるWLSTスクリプトをディスクに保存することは避けてください。このような状況では、暗号化されたパスワードを渡すメカニズムをかわりに使用する必要があります。WebLogic Scripting Toolの理解のWLSTのセキュリティに関する項を参照してください。

JavaからもWLSTを使用することができることに注意してください。次の例は、DebugSecuritySAMLAtnデバッグ属性を設定するJavaプログラムのソース・ファイルを示します。

import weblogic.management.scripting.utils.WLSTInterpreter;
import java.io.*;
import weblogic.jndi.Environment;
import javax.naming.Context;
import javax.naming.InitialContext;
import javax.naming.NamingException;

public class test {
        public static void main(String args[]) {
       try {
              WLSTInterpreter interpreter = null;
              String user="user1";
              String pass="pw12ab";
              String url ="t3://localhost:7001";
              Environment env = new Environment();
              env.setProviderUrl(url);
              env.setSecurityPrincipal(user);
              env.setSecurityCredentials(pass);
              Context ctx = env.getInitialContext();

              interpreter = new WLSTInterpreter();
              interpreter.exec
                     ("connect('"+user+"','"+pass+"','"+url+"')");
              interpreter.exec("edit()");
              interpreter.exec("startEdit()");
              interpreter.exec
                     ("cd('Servers/myserver/ServerDebug/myserver')");
              interpreter.exec("set('DebugSecuritySAMLAtn','true')");       
              interpreter.exec("save()");
              interpreter.exec("activate()");

       } catch (Exception e) {
       System.out.println("Exception "+e);
       }
       }
}

標準出力へのデバッグ・メッセージの送信

有効化されたデバッグ属性に対応するメッセージは、サーバー・ログ・ファイルに送信されます。任意で、WebLogic Serverを起動するためのコマンドのLogMBean上でStdoutSeverity=Debug属性を受け渡すことによって、デバッグ・メッセージを標準出力に送信することも可能です。

たとえば、-Dweblogic.log.StdoutSeverity=Debugがあります。『Oracle WebLogic Serverコマンド・リファレンス』のメッセージの出力とロギングに関する項を参照してください。