6 トークン発行者の信頼構成の管理
REST APIを使用してトークン発行者の信頼構成の参照や管理を行うには、まず、RESTリソースにアクセスする方法と、その他の重要な概念について理解しておく必要があります。
詳細は、「REST APIについて」を参照してください。
トークン発行者の信頼の管理の詳細は、『Webサービスの管理』の署名証明書の信頼できる発行者および信頼できるDNリストの定義に関する項を参照してください。
この章の内容は次のとおりです:
6.1 RESTリソースを使用したトークン発行者の信頼構成の参照と管理
トークン発行者の信頼の構成は、次に説明するように、一連のRepresentational State Transfer (REST)リソースを使用して参照および管理できます。
項 | メソッド | リソース・パス |
---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
/idaas/webservice/admin/v1/trust/token |
|
|
|
|
|
/idaas/webservice/admin/v1/trust/token |
|
|
|
|
GET |
/idaas/webservice/admin/v1/trustdocument/export |
|
POST |
/idaas/webservice/admin/v1/trustdocument/import |
|
|
|
|
|
|
|
フェデレーション・メタデータ・ドキュメントのインポート・メソッド |
|
|
フェデレーション・メタデータ・ドキュメントのエクスポート・メソッド |
|
|
フェデレーション・メタデータ・ドキュメントの取消しメソッド |
|
|
|
|
|
|
|
|
1つのPaas — 1つのトークンの信頼 | POST |
/idaas/webservice/admin/v1/trust/token |
トークン発行者の信頼の有効化および無効化 | POST
|
/idaas/webservice/admin/v1/trust/issuers |
JWKドキュメントの信頼構成のインポート | PUT |
/idaas/webservice/admin/v1/federation/jwk/import |
JWK信頼構成の取消し | PUT |
/idaas/webservice/admin/v1/federation/jwk/revoke |
PUT |
/idaas/webservice/admin/v1/federation/discoverymetadata/import |
|
PUT |
/idaas/webservice/admin/v1/federation/discoverymetadata/revoke |
6.2 信頼ドキュメント名のPOSTメソッド
このPostメソッドは、信頼できる発行者ドキュメントを作成するために使用します。
RESTリクエスト
POST /idaas/webservice/admin/v1/trustdocument
パラメータ
次の表は、POSTリクエストのパラメータの概要を示します。
名前 | 説明 | タイプ |
---|---|---|
|
ドキュメントの表示名。 |
問合せ |
|
ドキュメントの名前。 |
問合せ |
レスポンス本文
リクエストまたはレスポンス本文のメディア・タイプ: application/json
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
属性 | 説明 |
---|---|
|
|
|
|
|
操作結果の詳細。 |
|
操作のステータス。たとえば、 |
cURLの例
テスト済
次の例は、cURLを使用してRESTリソースにPOSTリクエストを発行して信頼できる発行者ドキュメントを作成する方法を示しています。
curl -i -X POST -u username:password http://myhost:7001/idaas/webservice/admin/v1/trustdocument?"documentName=myTrustDocument&displayName=myTrustDocument"
レスポンス・ヘッダーの例
次にレスポンス・ヘッダーの例を示します。HTTPステータス・コードの詳細は、「HTTPメソッドのHTTPステータス・コード」を参照してください。
HTTP/1.1 200 OK
レスポンス本文の例
次にJSON形式のレスポンス本文の例を示します。
{ "STATUS": "Succeeded", "Result": "New Token Issuer Trust document named "myTrustDocument" created." }
6.3 ドメインの信頼できる発行者と識別名リストのPOSTメソッド
このPOSTメソッドは、ドメインのコンテキストにおける署名証明書(つまり、ドメイン全体に適用される署名証明書)の信頼できる発行者と識別名(DN)のリストを作成するために使用します。
RESTリクエスト
POST /idaas/webservice/admin/v1/trust/issuers
リクエスト本文
リクエスト本文のメディア・タイプ: application/json
リクエスト本文には、追加リクエストの詳細が含まれます。
属性 | 説明 | 必須? |
---|---|---|
|
信頼できる発行者に追加されるDN値のリスト。各DNについて、RFC 2253に従った文字列を使用します(次のURLを参照: |
はい |
|
信頼できる発行者に関する情報をグループ化します。 |
はい |
|
信頼する発行者の名前。たとえば、 |
はい |
|
JSON Web Token (JWT)の信頼できる発行者に関する情報をグループ化します。 |
いいえ |
|
SAML holder-of-keyの信頼できる発行者に関する情報をグループ化します。 |
いいえ |
|
SAML送信者保証の信頼できる発行者に関する情報をグループ化します。 |
いいえ |
|
信頼できる発行者およびDNリストをグループ化します。 |
はい |
レスポンス本文
レスポンス本文のメディア・タイプ: application/json
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
属性 | 説明 |
---|---|
|
|
|
|
|
操作のステータス。たとえば、 |
cURLの例
テスト済
次の例は、cURLを使用してRESTリソースにPOSTリクエストを発行して信頼できる発行者およびDNリストを作成する方法を示しています。
curl -i -X POST -u username:password --data @createtrust.json -H Content-Type:application/json http://myhost:7001/idaas/webservice/admin/v1/trust/issuers
リクエスト本文の例
次にJSON形式のリクエスト本文の例を示します。
{ "saml-trusted-dns": { "saml-hok-trusted-dns": { "issuer": [ { "-name": "www.oracle.com", "dn": [ "wls1", ] } ] }, "saml-sv-trusted-dns": { "issuer": [ { "-name": "www.oracle.com", "dn": [ "wls2", ] } ] }, "jwt-trusted-issuers": { "issuer": [ { "-name": "www.oracle.com", "dn": [ "CN=orakey, OU=Orakey,O=Oracle, C=US", ] } ] } } }
レスポンス・ヘッダーの例
次にレスポンス・ヘッダーの例を示します。
HTTP/1.1 200 OK
レスポンス本文の例
次にJSON形式のレスポンス本文の例を示します。
{ "STATUS": "Succeeded", }
6.4 ドキュメントの信頼できる発行者と識別名リストのPOSTメソッド
このPOSTメソッドは、ドキュメントのコンテキストにおける署名証明書(つまり、特定のドキュメントに適用される署名証明書)の信頼できる発行者と識別名(DN)のリストを作成するために使用します。信頼できる発行者は、指定された信頼できる発行者ドキュメントに格納されます。
RESTリクエスト
POST /idaas/webservice/admin/v1/trust/issuers/{documentName}
パラメータ
次の表は、POSTリクエストのパラメータの概要を示します。
名前 | 説明 | タイプ |
---|---|---|
|
信頼できる発行者ドキュメントの名前。信頼できる発行者ドキュメントの作成の詳細は、「信頼ドキュメント名のPOSTメソッド」を参照してください。 |
問合せ |
リクエスト本文
リクエスト本文のメディア・タイプ: application/json
リクエスト本文には、追加リクエストの詳細が含まれます。
属性 | 説明 | 必須? |
---|---|---|
|
信頼できる発行者に追加されるDN値のリスト。各DNについて、RFC 2253に従った文字列を使用します(次のURLを参照: |
はい |
|
信頼できる発行者に関する情報をグループ化します。 |
はい |
|
信頼する発行者の名前。たとえば、 |
はい |
|
JSON Web Token (JWT)の信頼できる発行者に関する情報をグループ化します。 |
いいえ |
|
SAML holder-of-keyの信頼できる発行者に関する情報をグループ化します。 |
いいえ |
|
SAML送信者保証の信頼できる発行者に関する情報をグループ化します。 |
いいえ |
|
信頼できる発行者およびDNリストをグループ化します。 |
はい |
レスポンス本文
レスポンス本文のメディア・タイプ: application/json
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
属性 | 説明 |
---|---|
|
|
|
|
|
操作のステータス。たとえば、 |
cURLの例
テスト済
次の例は、cURLを使用してRESTリソースにPOSTリクエストを発行し、信頼できる発行者とDNリストを作成する方法を示しています
curl -i -X POST -u username:password --data @createtrust.json -H Content-Type:application/json http://myhost:7001/idaas/webservice/admin/v1/trust/issuers/mydocument
リクエスト本文の例
次にJSON形式のリクエスト本文の例を示します。
{ "saml-trusted-dns": { "saml-hok-trusted-dns": { "issuer": [ { "-name": "www.oracle.com", "dn": [ "wls1", ] } ] }, "saml-sv-trusted-dns": { "issuer": [ { "-name": "www.oracle.com", "dn": [ "wls2", ] } ] }, "jwt-trusted-issuers": { "issuer": [ { "-name": "www.oracle.com", "dn": [ "CN=orakey, OU=Orakey,O=Oracle, C=US", ] } ] } } }
レスポンス・ヘッダーの例
次にレスポンス・ヘッダーの例を示します。
HTTP/1.1 200 OK
レスポンス本文の例
次にJSON形式のレスポンス本文の例を示します。
{ "STATUS": "Succeeded", }
6.5 すべての信頼できる発行者と識別名リストのGETメソッド
このGETメソッドは、すべてのドメイン・ドキュメントについて、信頼できる発行者と発行者の識別名(DN)リストを参照するために使用します。
RESTリクエスト
GET /idaas/webservice/admin/v1/trust/issuers
レスポンス本文
リクエストまたはレスポンス本文のメディア・タイプ: application/json
レスポンス本文には、信頼できる発行者およびDNリストに関する次のような情報が含まれます。
属性 | 説明 |
---|---|
|
信頼できる発行者に追加されるDN値のリスト。 |
|
信頼できる発行者に関する情報をグループ化します。 |
|
信頼する発行者の名前。 |
|
JSON Web Token (JWT)の信頼できる発行者に関する情報をグループ化します。 |
|
SAML holder-of-keyの信頼できる発行者に関する情報をグループ化します。 |
|
SAML送信者保証の信頼できる発行者に関する情報をグループ化します。 |
|
DNリストをグループ化します。 |
cURLの例
テスト済
次の例は、cURLを使用してRESTリソースにGETリクエストを発行して信頼できる発行者およびそのDNリストを参照する方法を示しています。
curl -i -X GET -u username:password http://myhost:7001/idaas/platform/admin/v1/trust/issuers
レスポンス・ヘッダーの例
次にレスポンス・ヘッダーの例を示します。
HTTP/1.1 200 OK
レスポンス本文の例
次にJSON形式のレスポンス本文の例を示します。
{ "saml-trusted-dns": { "saml-hok-trusted-dns": { "issuer": [ { "-name": "www.oracle.com", "dn": [ "wls1", ] } ] }, "saml-sv-trusted-dns": { "issuer": [ { "-name": "www.oracle.com", "dn": [ "wls2", ] } ] }, "jwt-trusted-issuers": { "issuer": [ { "-name": "www.oracle.com", "dn": [ "CN=orakey, OU=Orakey,O=Oracle, C=US", ] } ] } } }
6.6 特定のドキュメントの信頼できる発行者と識別名リストのGETメソッド
このGETメソッドは、指定されたドキュメント名に基づいて、信頼できる発行者と発行者の識別名(DN)リストを参照するために使用します。
RESTリクエスト
GET /idaas/webservice/admin/v1/trust/issuers/{documentName}
パラメータ
次の表は、GETリクエストのパラメータの概要を示します。
名前 | 説明 | タイプ |
---|---|---|
|
発行者とDNリストを参照するドキュメントの名前。 |
パス |
レスポンス本文
リクエストまたはレスポンス本文のメディア・タイプ: application/json
レスポンス本文には、信頼できる発行者およびDNリストに関する次のような情報が含まれます。
属性 | 説明 |
---|---|
|
信頼できる発行者に追加されるDN値のリスト。 |
|
信頼できる発行者に関する情報をグループ化します。 |
|
信頼する発行者の名前。 |
|
JSON Web Token (JWT)の信頼できる発行者に関する情報をグループ化します。 |
|
SAML holder-of-keyの信頼できる発行者に関する情報をグループ化します。 |
|
SAML送信者保証の信頼できる発行者に関する情報をグループ化します。 |
|
DNリストをグループ化します。 |
cURLの例
テスト済
次の例は、cURLを使用してRESTリソースにGETリクエストを発行して信頼できる発行者およびそのDNリストを参照する方法を示しています。
curl -i -X GET -u username:password http://myhost:7001/idaas/platform/admin/v1/trust/issuers/mydocument
レスポンス・ヘッダーの例
次にレスポンス・ヘッダーの例を示します。
HTTP/1.1 200 OK
レスポンス本文の例
次にJSON形式のレスポンス本文の例を示します。
{ "saml-trusted-dns": { "saml-hok-trusted-dns": { "issuer": [ { "-name": "www.oracle.com", "dn": [ "wls1", ] } ] }, "saml-sv-trusted-dns": { "issuer": [ { "-name": "www.oracle.com", "dn": [ "wls2", ] } ] }, "jwt-trusted-issuers": { "issuer": [ { "-name": "www.oracle.com", "dn": [ "CN=orakey, OU=Orakey,O=Oracle, C=US", ] } ] } } }
6.7 トークン属性ルール識別名のPOSTメソッド(ドメイン・コンテキスト)
このPOSTメソッドは、ドメインのコンテキストに対応する信頼できる識別名(DN)のトークン属性ルール(つまり、ドメイン全体に適用されるルール)を作成するために使用します。この操作は、RESTサービスまたはクライアントにより実行できます。クライアント側ではトークン属性のマッピングのみがサポートされます。
RESTリクエスト
POST /idaas/webservice/admin/v1/trust/token
リクエスト本文
リクエスト本文のメディア・タイプ: application/json
リクエスト本文には、追加リクエストの詳細が含まれます。
属性 | 説明 |
---|---|
|
信頼できるユーザーの制約フィルタおよびマッピングの属性をグループ化します。 注意: クライアント側では、この属性は必要ではありません。 |
|
サービス側では、属性ルールが構成される信頼できるDNに設定します。RFC 2253に従った文字列を使用します(次のURLを参照: クライアント側では、 |
|
信頼できるユーザーの制約値および属性を定義します。 注意: この属性は、クライアント側では適用されません。 |
|
信頼できるユーザーのマッピング属性を定義します。 |
|
属性ルールの名前。 注意: この属性は、クライアント側では適用されません。 |
|
信頼できるDNとして受け入れるユーザーを定義します。 |
|
1つのトークン属性ルールに関する情報をグループ化します。 |
|
すべてのトークン属性ルールに関する情報をグループ化します。 |
|
信頼できるDNがアサートできるユーザー属性を定義します。 注意: この属性は、クライアント側では適用されません。 |
|
信頼できるDNがアサートできるユーザー・マッピング属性を定義します。 |
|
制約フィルタの属性値を定義します。この値には、完全な名前またはワイルドカード文字(*)を含む名前パターン( 注意: この属性は、クライアント側では適用されません。 |
レスポンス本文
レスポンス本文のメディア・タイプ: application/json
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
属性 | 説明 |
---|---|
|
|
|
|
|
操作のステータス。たとえば、 |
cURLの例
テスト済
次の例は、cURLを使用してRESTリソースにPOSTリクエストを発行して信頼できるDNのトークン属性ルールを作成する方法を示しています。
curl -i -X POST -u username:password --data @createrule.json http://myhost:7001/idaas/webservice/admin/v1/trust/token
リクエスト本文の例(サービス側)
次の例は、サービス側で信頼できるDNのトークン属性ルールを作成する場合のJSON形式のリクエスト本文です。
{ "token-attribute-rules": { "token-attribute-rule": [ { "-dn": "cn=orcladmin,o=oracle", "name-id":{ "filter": { "value":[ "filter1" ] }, "mapping": { "user-attribute": "val3", "user-mapping-attribute":"val4" } }, "attributes": [ { "-name": "tenant1", "attribute": { "filter": { "value": [ "filter1", "filter2" ] }, "mapping":{ "user-attribute": "val1", "user-mapping-attribute":"val2" } } } ] } ] } }
リクエスト本文の例(クライアント側)
次の例は、クライアント側でトークン属性ルールを作成する場合のJSON形式のリクエスト本文です。
{ "token-attribute-rules": { "token-attribute-rule": [ { "-dn": "https://example.com/", "name-id":{ "mapping": { "user-mapping-attribute":"mail" } }, } ] "token-attribute-rule": [ { "-dn": "https://example.com/mysvcInstance1-acme/", "name-id":{ "mapping": { "user-mapping-attribute":"uid" } }, } ] } }
レスポンス・ヘッダーの例
次にレスポンス・ヘッダーの例を示します。
HTTP/1.1 200 OK
レスポンス本文の例
次にJSON形式のレスポンス本文の例を示します。
{ "STATUS": "Succeeded" }
6.8 トークン属性ルール識別名のPOSTメソッド(ドキュメント・コンテキスト)
このPOSTメソッドは、ドキュメントのコンテキストに対応する信頼できる識別名(DN)のトークン属性ルール(つまり、特定のドキュメントに適用されるルール)を作成するために使用します。この操作は、RESTサービスまたはクライアントにより実行できます。クライアント側ではトークン属性のマッピングのみがサポートされます。
RESTリクエスト
POST /idaas/webservice/admin/v1/trust/token/{documentName}
パラメータ
次の表は、POSTリクエストのパラメータの概要を示します。
名前 | 説明 | タイプ |
---|---|---|
|
トークン属性ルールを作成するドキュメントの名前。 |
パス |
リクエスト本文
リクエスト本文のメディア・タイプ: application/json
リクエスト本文には、追加リクエストの詳細が含まれます。
属性 | 説明 |
---|---|
|
信頼できるユーザーの制約フィルタおよびマッピングの属性をグループ化します。 注意: クライアント側では、この属性は必要ではありません。 |
|
サービス側では、属性ルールが構成される信頼できるDNに設定します。RFC 2253に従った文字列を使用します(次のURLを参照: クライアント側では、 |
|
信頼できるユーザーの制約値および属性を定義します。 注意: この属性は、クライアント側では適用されません。 |
|
信頼できるユーザーのマッピング属性を定義します。 |
|
属性ルールの名前。 注意: この属性は、クライアント側では適用されません。 |
|
信頼できるDNとして受け入れるユーザーを定義します。 |
|
1つのトークン属性ルールに関する情報をグループ化します。 |
|
すべてのトークン属性ルールに関する情報をグループ化します。 |
|
信頼できるDNがアサートできるユーザー属性を定義します。 注意: この属性は、クライアント側では適用されません。 |
|
信頼できるDNがアサートできるユーザー・マッピング属性を定義します。 |
|
制約フィルタの属性値を定義します。この値には、完全な名前またはワイルドカード文字(*)を含む名前パターン( 注意: この属性は、クライアント側では適用されません。 |
レスポンス本文
レスポンス本文のメディア・タイプ: application/json
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
属性 | 説明 |
---|---|
|
|
|
|
|
操作のステータス。たとえば、 |
cURLの例
テスト済
次の例は、cURLを使用してRESTリソースにPOSTリクエストを発行して信頼できるDNのトークン属性ルールを作成する方法を示しています。
curl -i -X POST -u username:password --data @createrule.json http://myhost:7001/idaas/webservice/admin/v1/trust/token/mydocument
リクエスト本文の例(サービス側)
次の例は、サービス側で信頼できるDNのトークン属性ルールを作成する場合のJSON形式のリクエスト本文です。
{ "token-attribute-rules": { "token-attribute-rule": [ { "-dn": "cn=orcladmin,o=oracle", "name-id":{ "filter": { "value":[ "filter1" ] }, "mapping": { "user-attribute": "val3", "user-mapping-attribute":"val4" } }, "attributes": [ { "-name": "tenant1", "attribute": { "filter": { "value": [ "filter1", "filter2" ] }, "mapping":{ "user-attribute": "val1", "user-mapping-attribute":"val2" } } } ] } ] } }
リクエスト本文の例(クライアント側)
次の例は、クライアント側でトークン属性ルールを作成する場合のJSON形式のリクエスト本文です。
{ "token-attribute-rules": { "token-attribute-rule": [ { "-dn": "https://example.com/", "name-id":{ "mapping": { "user-mapping-attribute":"mail" } }, } ] "token-attribute-rule": [ { "-dn": "https://example.com/mysvcInstance1-acme/", "name-id":{ "mapping": { "user-mapping-attribute":"uid" } }, } ] } }
レスポンス・ヘッダーの例
次にレスポンス・ヘッダーの例を示します。
HTTP/1.1 200 OK
レスポンス本文の例
次にJSON形式のレスポンス本文の例を示します。
{ "STATUS": "Succeeded" }
6.9 すべてのトークン属性のGETメソッド
このGETメソッドは、ドメインのコンテキストに対応するすべてのトークン属性ルール(ドメイン全体に適用されるルール)を参照するために使用します。この操作は、RESTサービスまたはクライアントにより実行できます。クライアント側ではトークン属性のマッピングのみがサポートされます。
RESTリクエスト
GET /idaas/webservice/admin/v1/trust/token
レスポンス本文
リクエストまたはレスポンス本文のメディア・タイプ: application/json
レスポンス本文には、すべてのトークン属性ルールに関する次のような情報が含まれます。
属性 | 説明 |
---|---|
|
信頼できるユーザーの制約フィルタおよびマッピングの属性をグループ化します。 注意: クライアント側では、この属性は必要ではありません。 |
|
サービス側では、属性ルールが構成される信頼できるDN。文字列は、RFC 2253に従います(次のURLを参照: クライアント側では、 |
|
信頼できるユーザーのフィルタ値および属性を定義します。 完全な名前またはワイルドカード文字(*)を含む名前パターン( |
|
信頼できるユーザーのマッピング属性を定義します。 注意: この属性は、クライアント側では適用されません。 |
|
属性ルールの名前。 注意: この属性は、クライアント側では適用されません。 |
|
信頼できるDNとして受け入れるユーザーを定義します。 |
|
1つのトークン属性ルールに関する情報をグループ化します。 |
|
すべてのトークン属性ルールに関する情報をグループ化します。 |
|
信頼できるDNがアサートできるユーザー属性を定義します。 注意: この属性は、クライアント側では適用されません。 |
|
信頼できるDNがアサートできるユーザー・マッピング属性を定義します。 |
|
制約フィルタの属性値を定義します。この値には、完全な名前またはワイルドカード文字(*)を含む名前パターン( |
cURLの例
メインに対してテスト済 -- レビュー時にURLの信頼ドキュメント名を削除するように依頼されました。
次の例は、cURLを使用してRESTリソースにGETリクエストを発行して、すべてのトークン属性ルールを参照する方法を示しています。
curl -i -X GET -u username:password http://myhost:7001/idaas/platform/admin/v1/trust/token
レスポンス・ヘッダーの例
次にレスポンス・ヘッダーの例を示します。
HTTP/1.1 200 OK
レスポンス本文の例(サービス側)
次の例は、サービス側でトークン属性ルールを参照する場合のJSON形式のレスポンス本文です。
{ "token-attribute-rules": { "token-attribute-rule": [ { "-dn": "cn=orcladmin,o=oracle", "attributes": [ { "-name": "tenant1", "attribute": { "filter": { "value": [ "filter1", "filter2" ] }, "mapping":{ "user-attribute": "val1", "user-mapping-attribute":"val2" } } } ], "name-id":{ "filter": { "value":[ "filter1" ] }, "mapping": { "user-attribute": "val3", "user-mapping-attribute":"val4" } } } ] } }
レスポンス本文の例(クライアント側)
次の例は、クライアント側でトークン属性ルールを参照する場合のJSON形式のレスポンス本文です。
{ "token-attribute-rules": { "token-attribute-rule": [ { "-dn": "https://example.com/", "name-id":{ "mapping": { "user-mapping-attribute":"mail" } }, } ] "token-attribute-rule": [ { "-dn": "https://example.com/mysvcInstance1-acme/", "name-id":{ "mapping": { "user-mapping-attribute":"uid" } }, } ] } }
6.10 指定したドキュメント・トークン属性ルールのGETメソッド
このGETメソッドは、特定のドキュメントに対応するトークン属性ルールを参照するために使用します。この操作は、RESTサービスまたはクライアントにより実行できます。クライアント側ではトークン属性のマッピングのみがサポートされます。
RESTリクエスト
GET /idaas/webservice/admin/v1/trust/token/{documentName}
パラメータ
次の表は、GETリクエストのパラメータの概要を示します。
名前 | 説明 | タイプ |
---|---|---|
|
トークン属性ルールを参照するドキュメントの名前。 |
パス |
レスポンス本文
リクエストまたはレスポンス本文のメディア・タイプ: application/json
レスポンス本文には、ドキュメントに対応するすべてのトークン属性ルールに関する情報が含まれます。この情報には、次のものが含まれます。
属性 | 説明 |
---|---|
|
信頼できるユーザーの制約フィルタおよびマッピングの属性をグループ化します。 注意: クライアント側では、この属性は必要ではありません。 |
|
サービス側では、属性ルールが構成される信頼できるDN。文字列は、RFC 2253に従います(次のURLを参照: クライアント側では、 |
|
信頼できるユーザーのフィルタ値および属性を定義します。 完全な名前またはワイルドカード文字(*)を含む名前パターン( |
|
信頼できるユーザーのマッピング属性を定義します。 注意: この属性は、クライアント側では適用されません。 |
|
属性ルールの名前。 注意: この属性は、クライアント側では適用されません。 |
|
信頼できるDNとして受け入れるユーザーを定義します。 |
|
1つのトークン属性ルールに関する情報をグループ化します。 |
|
すべてのトークン属性ルールに関する情報をグループ化します。 |
|
信頼できるDNがアサートできるユーザー属性を定義します。 注意: この属性は、クライアント側では適用されません。 |
|
信頼できるDNがアサートできるユーザー・マッピング属性を定義します。 |
|
制約フィルタの属性値を定義します。この値には、完全な名前またはワイルドカード文字(*)を含む名前パターン( |
cURLの例
メインに対してテスト済 -- レビュー時にURLの信頼ドキュメント名を削除するように依頼されました。
次の例は、cURLを使用してRESTリソースにGETリクエストを発行して、すべてのトークン属性ルールを参照する方法を示しています。
curl -i -X GET -u username:password http://myhost:7001/idaas/platform/admin/v1/trust/token/mydocument
レスポンス・ヘッダーの例
次にレスポンス・ヘッダーの例を示します。
HTTP/1.1 200 OK
レスポンス本文の例(サービス側)
次の例は、サービス側でトークン属性ルールを参照する場合のJSON形式のレスポンス本文です。
{ "token-attribute-rules": { "token-attribute-rule": [ { "-dn": "cn=orcladmin,o=oracle", "attributes": [ { "-name": "tenant1", "attribute": { "filter": { "value": [ "filter1", "filter2" ] }, "mapping":{ "user-attribute": "val1", "user-mapping-attribute":"val2" } } } ], "name-id":{ "filter": { "value":[ "filter1" ] }, "mapping": { "user-attribute": "val3", "user-mapping-attribute":"val4" } } } ] } }
レスポンス本文の例(クライアント側)
次の例は、クライアント側でトークン属性ルールを参照する場合のJSON形式のレスポンス本文です。
{ "token-attribute-rules": { "token-attribute-rule": [ { "-dn": "https://example.com/", "name-id":{ "mapping": { "user-mapping-attribute":"mail" } }, } ] "token-attribute-rule": [ { "-dn": "https://example.com/mysvcInstance1-acme/", "name-id":{ "mapping": { "user-mapping-attribute":"uid" } }, } ] } }
6.11 信頼ドキュメント名の構成のインポート・メソッド
このPOSTメソッドは、信頼できる発行者の構成(発行者名、識別名(DN)リスト、およびトークン属性ルールを含む)をインポートするために使用します。
RESTリクエスト
POST /idaas/webservice/admin/v1/trustdocument/import
リクエスト本文
リクエスト本文のメディア・タイプ: application/xml
およびapplication/JSON
リクエスト本文には、インポート・リクエストの詳細が含まれます。信頼できる発行者ドキュメント作成して(「信頼ドキュメント名のPOSTメソッド」を参照)、そのドキュメントをoratrust:name
要素を使用して渡す必要があります。
XML形式のリクエスト本体:
<?xml version="1.0" encoding="UTF-8"?> <ns0:TokenIssuerTrust xmlns:ns0="http://xmlns.oracle.com/wsm/security/trust" ns0:name="owsm" ns0:displayName="owsm"> <ns0:Issuers> <ns0:Issuer ns0:name="www.oracle.com" ns0:tokentype="saml.sv" ns0:enabled="true"> <ns0:TrustedKeys> <ns0:KeyIdentifier ns0:keytype="x509certificate" ns0:valuetype="dn" ns0:enabled="true">alice2</ns0:KeyIdentifier> </ns0:TrustedKeys> </ns0:Issuer> <ns0:Issuer ns0:name="www.example.com" ns0:tokentype="saml.hok" ns0:enabled="true"> <ns0:TrustedKeys> <ns0:KeyIdentifier ns0:keytype="x509certificate" ns0:valuetype="dn" ns0:enabled="true">bob</ns0:KeyIdentifier> </ns0:TrustedKeys> </ns0:Issuer> <ns0:Issuer ns0:name="https://identity.oraclecloud.com/" ns0:tokentype="jwt" ns0:enabled="true"> <ns0:TrustedKeys> <ns0:KeyIdentifier ns0:keytype="publickey" ns0:valuetype="kid" ns0:enabled="true">orakey_jwk</ns0:KeyIdentifier> <ns0:KeyIdentifier ns0:keytype="publickey" ns0:valuetype="kid" ns0:enabled="true">orakey</ns0:KeyIdentifier> <ns0:Keys ns0:type="jwk" ns0:trust="idcs.jwk.jwt"></ns0:Keys> </ns0:TrustedKeys> <ns0:TrustedRP> <ns0:RP ns0:type="literal">client</ns0:RP> </ns0:TrustedRP> <ns0:DiscoveryInfo> <ns0:DiscoveryURL>https://www.example.com/.well-known/openid-configuration</ns0:DiscoveryURL> <ns0:IdcsClientCsfKey>idcs-orakey</ns0:IdcsClientCsfKey> </ns0:DiscoveryInfo> </ns0:Issuer> <ns0:Issuer ns0:name="https://accounts.example.com" ns0:tokentype="jwt" ns0:enabled="true"> <ns0:TrustedKeys> <ns0:KeyIdentifier ns0:keytype="publickey" ns0:valuetype="kid" ns0:enabled="true">3b0fc11962ad16e49d55a26816c5ad0d3f6b8a83</ns0:KeyIdentifier> <ns0:KeyIdentifier ns0:keytype="publickey" ns0:valuetype="kid" ns0:enabled="true">19e8b40cf03c4cf1ec545f01ec8c51a6f46ab455</ns0:KeyIdentifier> <ns0:mdURL>https://www.exampleapis.com/oauth2/v3/certs</ns0:mdURL> <ns0:Keys ns0:type="jwk" ns0:trust="jwk.jwt" ns0:refreshInterval="2000"></ns0:Keys> </ns0:TrustedKeys> <ns0:TrustedRP> <ns0:RP ns0:type="literal">client</ns0:RP> </ns0:TrustedRP> </ns0:Issuer> </ns0:Issuers> <ns0:TokenAttributeRules> <ns0:TokenAttributeRule ns0:issuer="https://accounts.example.com"> <ns0:NameId ns0:name="name-id"> <ns0:Filter> <ns0:value>filter1</ns0:value> <ns0:value>filter2</ns0:value> </ns0:Filter> <ns0:Mapping> <ns0:user-attribute>val3</ns0:user-attribute> <ns0:user-mapping-attribute>val4</ns0:user-mapping-attribute> </ns0:Mapping> </ns0:NameId> <ns0:Proxy> <ns0:ProxyHost>www-proxy.us.oracle.com</ns0:ProxyHost> <ns0:ProxyPort>80</ns0:ProxyPort> </ns0:Proxy> </ns0:TokenAttributeRule> <ns0:TokenAttributeRule ns0:identifier="cn=user,o=oracle" ns0:issuer="https://identity.oraclecloud.com/"> <ns0:NameId ns0:name="name-id"> <ns0:Filter> <ns0:value>filter1</ns0:value> <ns0:value>filter2</ns0:value> </ns0:Filter> <ns0:Mapping> <ns0:user-attribute>val3</ns0:user-attribute> <ns0:user-mapping-attribute>val4</ns0:user-mapping-attribute> </ns0:Mapping> </ns0:NameId> <ns0:Attributes> <ns0:Attribute ns0:name="user.tenant.name"> <ns0:Filter> <ns0:value>filter1</ns0:value> <ns0:value>filter2</ns0:value> </ns0:Filter> <ns0:Mapping> <ns0:user-attribute>val1</ns0:user-attribute> <ns0:user-mapping-attribute>val2</ns0:user-mapping-attribute> </ns0:Mapping> </ns0:Attribute> </ns0:Attributes> <ns0:VirtualUser ns0:enabled="true"> <ns0:DefaultRoles> <ns0:Role>defRole1</ns0:Role> <ns0:Role>defRole2</ns0:Role> </ns0:DefaultRoles> <ns0:TokenRoleAttributes> <ns0:AttributeName>displayname</ns0:AttributeName> </ns0:TokenRoleAttributes> <ns0:TokenRoleMapping> <ns0:RoleMapping> <ns0:TokenRole>TestUser</ns0:TokenRole> <ns0:MappingRole>manager</ns0:MappingRole> <ns0:MappingRole>executer</ns0:MappingRole> </ns0:RoleMapping> </ns0:TokenRoleMapping> </ns0:VirtualUser> </ns0:TokenAttributeRule> </ns0:TokenAttributeRules> </ns0:TokenIssuerTrust>
JSON形式のリクエスト本体:
{ "name": "test", "displayname": "test", "issuers": [ { "issuer": "www.oracle.com", "enabled": "true", "tokentype": "saml.sv", "trustedkeys": { "keyidentifiers": [ { "keytype": "x509certificate", "valuetype": "dn", "enabled": "true", "value": "alice2" } ] } }, { "issuer": "www.example.com", "enabled": "true", "tokentype": "saml.hok", "trustedkeys": { "keyidentifiers": [ { "keytype": "x509certificate", "valuetype": "dn", "enabled": "true", "value": "bob" } ] } }, { "issuer": "https://identity.oraclecloud.com/", "enabled": "true", "tokentype": "jwt", "trustedkeys": { "trust": "idcs.jwk.jwt", "keyidentifiers": [ { "keytype": "publickey", "valuetype": "kid", "enabled": "true", "value": "orakey_jwk" }, { "keytype": "publickey", "valuetype": "kid", "enabled": "true", "value": "orakey" } ] }, "relyingparty": [ { "type": "literal", "value": "client" } ], "discovery": { "discovery_uri": "https://www.example.com/.well-known/openid-configuration", "idcs-client-csf-key": "idcs-orakey" } }, { "issuer": "https://accounts.example.com", "enabled": "true", "tokentype": "jwt", "trustedkeys": { "jwk_uri": "https://www.exampleapis.com/oauth2/v3/certs", "trust": "jwk.jwt", "refreshinterval": "2000", "keyidentifiers": [ { "keytype": "publickey", "valuetype": "kid", "enabled": "true", "value": "3b0fc11962ad16e49d55a26816c5ad0d3f6b8a83" }, { "keytype": "publickey", "valuetype": "kid", "enabled": "true", "value": "19e8b40cf03c4cf1ec545f01ec8c51a6f46ab455" } ] }, "relyingparty": [ { "type": "literal", "value": "client" } ] } ], "token-attribute-rules": { "token-attribute-rule": [ { "issuer": "https://accounts.example.com", "name-id": { "filter": { "value": [ "filter1", "filter2" ] }, "mapping": { "user-mapping-attribute": "val4", "user-attribute": "val3" } }, "proxy" : { "host": "www-proxy.us.oracle.com", "port" : "80" } }, { "-dn": "cn=user,o=oracle", "issuer": "https://identity.oraclecloud.com/", "name-id": { "filter": { "value": [ "filter1", "filter2" ] }, "mapping": { "user-mapping-attribute": "val4", "user-attribute": "val3" } }, "attributes": [ { "-name": "user.tenant.name", "attribute": { "filter": { "value": [ "filter1", "filter2" ] }, "mapping": { "user-mapping-attribute": "val2", "user-attribute": "val1" } } } ], "virtual-user": { "enabled": "true", "default-roles": { "role": [ "defRole1", "defRole2" ] }, "token-role-attributes": { "attribute-name": [ "displayname" ] }, "token-role-mapping": { "role-mapping": [ { "token-role": "TestUser", "mapping-role": [ "manager", "executer" ] } ] } } } ] } }
レスポンス本文
レスポンス本文のメディア・タイプ: application/json
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
要素 | 説明 |
---|---|
|
|
|
|
|
操作結果の詳細。 |
|
操作のステータス。たとえば、 |
cURLの例
次の例は、cURLを使用してRESTリソースにPOSTリクエストを発行して、別名のすべての証明書を参照する方法を示しています。
curl -i -X POST -u username:password --data @import.xml -H Content-Type:application/xml -H Accept:application/json http://myhost:7001/idaas/platform/admin/v1/trustdocument/import
6.12 信頼ドキュメント名の構成のエクスポート・メソッド
このGETメソッドは、信頼できる発行者の構成(発行者名、識別名(DN)リスト、およびトークン属性ルールを含む)をエクスポートするために使用します。
RESTリクエスト
GET/idaas/webservice/admin/v1/trustdocument/export
リクエスト本文
リクエスト本文のメディア・タイプ: application/xml
およびapplication/JSON
リクエスト本文には、エクスポート・リクエストの詳細が含まれます。信頼できる発行者ドキュメント作成して(「信頼ドキュメント名のPOSTメソッド」を参照)、そのドキュメントをoratrust:name
要素を使用して渡す必要があります。
JSON形式のリクエスト本体:
{ "name": "owsm", "displayname": "owsm", "issuers": [ { "issuer": "https://identity.oraclecloud.com/", "enabled": "true", "tokentype": "jwt", "trustedkeys": { "trust": "idcs.jwk.jwt" , "refreshinterval" : "2000" }, "discovery": { "base_uri":"https://identity.c9dev0.oc9qadev.com/", "idcs-client-csf-key": "idcs-orakey", "idcs-client-tenant":"owsm" } }, { "issuer": "https://identity.oraclecloud.com/", "tenant": "owsm", "enabled": "true", "tokentype": "jwt", "trustedkeys": { "trust": "idcs.jwk.jwt", "refreshinterval" : "2000", "keyidentifiers": [ { "keytype": "publickey", "valuetype": "kid", "enabled": "true", "value": "SIGNING_KEY" } ] }, "discovery": { "discovery_uri":"https://owsm.identity.c9dev0.oc9qadev.com/.well-known/openid-configuration", "idcs-client-csf-key": "idcs-orakey", "idcs-client-tenant":"owsm"} } ] , "token-attribute-rules": { "token-attribute-rule": [ { "issuer": "https://identity.oraclecloud.com/", "tenant": "owsm", "name-id": { "filter": { "value": [ "filter1", "filter2" ] }, "mapping": { "user-mapping-attribute": "val4", "user-attribute": "val3" } } } ] } }
注意:
-
base_uri
はhttps://identity.c9dev0.oc9qadev.com/
として定義されます
-
idcs-client-csf-key
はクロス・テナント・ロールを持つクライアントのCSFキーです。
-
idcs-client-tenant
は前述のクライアントのテナントです。
レスポンス本文
レスポンス本文のメディア・タイプ: application/xml
およびapplication/JSON
返されるレスポンス本文には、エクスポート操作に関する次のようなステータスが含まれます。
要素 | 説明 |
---|---|
|
|
|
|
|
操作結果の詳細。 |
|
操作のステータス。たとえば、 |
6.13 グローバル検出構成のインポート
グローバル検出構成は、検出設定を個別のテナントに対して実行するのではなく、POSTメソッドを使用してグローバルに設定します。これらのグローバル設定は実行時に使用されてテナントのJWKキーをフェッチします。
RESTリクエスト
POST/idaas/webservice/admin/v1/trustdocument/import
リクエスト本文
リクエスト本文のメディア・タイプ: application/xml
およびapplication/JSON
リクエスト本文には、インポート・リクエストの詳細が含まれます。信頼できる発行者ドキュメント作成して(「信頼ドキュメント名のPOSTメソッド」を参照)、そのドキュメントをoratrust:name
要素を使用して渡す必要があります。
JSON形式のリクエスト本体:
{ "name": "owsm", "displayname": "owsm", "issuers": [ { "issuer": "https://identity.oraclecloud.com/", "enabled": "true", "tokentype": "jwt", "trustedkeys": { "trust": "idcs.jwk.jwt", "refreshinterval" : "2000" }, "discovery": { "base_uri": "https://identity.c9dev0.oc9qadev.com/", "idcs-client-csf-key": "idcs-orakey", "idcs-client-tenant":"owsm" } } ] }
注意:
-
base_uri
はhttps://identity.c9dev0.oc9qadev.com/
として定義されます
-
idcs-client-csf-key
はクロス・テナント・ロールを持つクライアントのCSFキーです。
-
idcs-client-tenant
は前述のクライアントのテナントです。
レスポンス本文
レスポンス本文のメディア・タイプ: application/xml
およびapplication/JSON
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
要素 | 説明 |
---|---|
|
|
|
|
|
操作結果の詳細。 |
|
操作のステータス。たとえば、 |
6.14 信頼ドキュメントのGETメソッド
このGETメソッドは、信頼できる発行者ドキュメントの構成の詳細を参照するために使用します。
RESTリクエスト
GET /idaas/webservice/admin/v1/trustdocument
パラメータ
次の表は、POSTリクエストのパラメータの概要を示します。
名前 | 説明 | タイプ |
---|---|---|
|
ドキュメントの名前。 |
問合せ |
レスポンス本文
リクエストまたはレスポンス本文のメディア・タイプ: application/json
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
属性 | 説明 |
---|---|
|
|
|
|
|
操作結果の詳細。 |
|
操作のステータス。たとえば、 |
cURLの例
次の例は、cURLを使用してRESTリソースにGETリクエストを発行して、すべてのトークン属性ルールを参照する方法を示しています。
curl -i -X GET -u username:password http://myhost:7001/idaas/platform/admin/v1/trustdocument?"documentName=myTrustDocument"
レスポンス・ヘッダーの例
次にレスポンス・ヘッダーの例を示します。
HTTP/1.1 200 OK
レスポンス本文の例
次にJSON形式のレスポンス本文の例を示します。
{ "STATUS":"Succeeded", "Result":"List of token issuer trust documents in the Repository:\nDetails of the document matching your request:\nName : myTrustDocument\tDisplay Name : myTrustDocument\tStatus : DOCUMENT_STATUS_COMMITED \nList of trusted issuers for this type:\tNone\nList of Token Attribute Rules\tNone" }
6.15 信頼ドキュメントのDELETEメソッド
Deleteメソッドは、信頼できる発行者ドキュメントを削除するために使用します。
RESTリクエスト
DELETE /idaas/webservice/admin/v1/trustdocument
パラメータ
次の表は、DELETEリクエストのパラメータの概要を示します。
名前 | 説明 | タイプ |
---|---|---|
|
ドキュメントの表示名。 |
問合せ |
|
信頼できる発行者ドキュメントの名前。 |
問合せ |
レスポンス本文
リクエストまたはレスポンス本文のメディア・タイプ: application/json
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
属性 | 説明 |
---|---|
|
|
|
|
|
操作結果の詳細。 |
|
操作のステータス。たとえば、 |
cURLの例
テスト済
次の例は、cURLを使用してRESTリソースにDELETEリクエストを発行することで、SAML発行者の信頼ドキュメントを削除する方法を示しています。
curl -i -X DELETE -u username:password http://myhost:7001/idaas/webservice/admin/v1/trustdocument?"documentName=myTrustDocument&displayName=myTrustDocument"
レスポンス・ヘッダーの例
次にレスポンス・ヘッダーの例を示します。HTTPステータス・コードの詳細は、「HTTPメソッドのHTTPステータス・コード」を参照してください。
HTTP/1.1 200 OK
レスポンス本文の例
次にJSON形式のレスポンス本文の例を示します。
{ "STATUS": "Succeeded", "Result": "Token Issuer Trust document named "myTrustDocument" deleted from the repository." }
6.16 フェデレーション・メタデータ・ドキュメントのインポート・メソッド
POSTメソッドを使用して、署名証明書(フェデレーション・メタデータ・ドキュメント)をインポートし、OWSMでRelying Party (RP-STS)のWS-Trustを構成します。
RESTリクエスト
POST /idaas/webservice/admin/v1/federation/import
リクエスト本文
メソッド: POST
コンテンツ・タイプ: multipart/form-data
パラメータ
次の表は、POSTリクエストのパラメータの概要を示します。
名前 | 説明 | 必須? |
---|---|---|
|
標準でなはい属性に名前IDをマップする場合に、アサートする属性の名前。 |
オプション |
|
対応する属性の値に対するローカル・ユーザー属性の名前。 |
オプション |
|
マップ先のローカル・ユーザー属性の名前。 |
オプション |
|
属性に設定されるフィルタ値のリスト。各値には正確な値を指定できます。 |
オプション |
|
フェデレーション・メタデータ・ファイルの場所。これはWeb URLまたはファイル・システムのパス名です。 例: |
必須? |
レスポンス本文
コンテンツ・タイプ: application/json
返されるレスポンス本文には、インポート操作に関するステータスが含まれます。
属性 | 説明 |
---|---|
|
|
|
操作結果の詳細。 |
|
操作のステータス。たとえば、 |
6.17 フェデレーション・メタデータ・ドキュメントのエクスポート・メソッド
POSTメソッドを使用して、Identity Provider STS (IP-STS)またはサービス・プロバイダ(SP)の署名付きまたは署名なしフェデレーション・ドキュメントを生成します。
Restリクエスト
POST /idaas/webservice/admin/v1/federation/export
リクエスト本文
メソッド: POST
コンテンツ・タイプ: application/json
パラメータ
次の表は、エクスポート・リクエストのパラメータの概要を示します。
名前 | 説明 | 必須? |
---|---|---|
|
作成するメタデータ・ドキュメントのタイプ。たとえば、IDP (Identify Provider)またはSP (Service Provider)です。 |
必須? |
|
発行者の名前。 IDPの場合、ホスト名を指定する必要があります。たとえば、 SPに対して、サービスURLを指定します。例:https:http://localhost:7001/JaxWsWssStsIssuedBearerTokenWithADFSWssUNOverSsl/JaxWsWssStsIssuedBearerTokenWithADFSWssUNOverSslService |
必須? |
|
メタデータ・ドキュメントを署名するかどうかを指定します。 |
オプション |
|
別名またはcsfキーのリスト(KSSの場合)。 証明書がエクスポートされ、メタデータ・ドキュメントで使用されます。IDPメタデータを作成する場合に必要です。このパラメータが指定されていない場合、署名キーは含まれません。空の値("sign-keys": [ ])の場合、ドメインが構成された署名キーが使用されます。 |
オプション |
|
別名またはcsfキーのリスト(KSSの場合)。 証明書がエクスポートされ、メタデータ・ドキュメントで使用されます。SPメタデータを作成する場合に必要です。このパラメータが指定されていない場合、暗号化キーは含まれません。空の値("encryption-keys": [ ])の場合、ドメインが構成された暗号化キーが使用されます。 |
オプション |
レスポンス本文
コンテンツ・タイプ: application/xml
6.18 フェデレーション・メタデータ・ドキュメントの取消しメソッド
取消しメソッドを使用して、OWSMから署名証明書を削除し、フェデレーション・メタデータ・ドキュメントからWS-Trust構成を削除します。
RESTリクエスト
POST /idaas/webservice/admin/v1/federation/revoke
リクエスト本文
メソッド: POST
コンテンツ・タイプ: multipart/form-data
パラメータ
次の表は、取消しリクエストのパラメータの概要を示します。
名前 | 説明 | 必須? |
---|---|---|
|
フェデレーション・メタデータ・ファイルの場所。これはWeb URLまたはファイル・システムのパス名です。 例: |
必須? |
レスポンス本文
コンテンツ・タイプ: application/json
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
属性 | 説明 |
---|---|
|
|
|
操作結果の詳細。 |
|
操作のステータス。たとえば、 |
6.19 POST DNの仮想ユーザー
POSTメソッドを使用して、DNの仮想ユーザーを作成します。
RESTリクエスト
POST /idaas/webservice/admin/v1/trust/token
リクエスト本文
リクエスト本文のメディア・タイプ: application/json
リクエスト本文には、追加リクエストの詳細が含まれます。
属性 | 説明 | 必須? |
---|---|---|
|
仮想ユーザー・プロパティのリスト。 |
はい |
|
仮想ユーザーに適用できるトークン・ロール属性のリスト。 |
いいえ |
|
token-role-attributesのマッピング値。 |
いいえ |
"issuer" |
発行者の名前。 | いいえ |
リクエスト本文の例
次にJSON形式のリクエスト本文の例を示します。
{ "token-attribute-rules": { "token-attribute-rule": [ { "issuer": "https://accounts.example.com", "name-id": { "filter": { "value": [ "filter1", "filter2" ] }, "mapping": { "user-mapping-attribute": "val4", "user-attribute": "val3" } }, "proxy" : { "host": "www-proxy.us.oracle.com", "port" : "80" } }, { "-dn": "cn=user,o=oracle", "issuer": "https://identity.oraclecloud.com/", "name-id": { "filter": { "value": [ "filter1", "filter2" ] }, "mapping": { "user-mapping-attribute": "val4", "user-attribute": "val3" } }, "attributes": [ { "-name": "user.tenant.name", "attribute": { "filter": { "value": [ "filter1", "filter2" ] }, "mapping": { "user-mapping-attribute": "val2", "user-attribute": "val1" } } } ], "virtual-user": { "enabled": "true", "default-roles": { "role": [ "defRole1", "defRole2" ] }, "token-role-attributes": { "attribute-name": [ "displayname" ] }, "token-role-mapping": { "role-mapping": [ { "token-role": "TestUser", "mapping-role": [ "manager", "executer" ] } ] } } } ] } }
レスポンス本文
レスポンス本文のメディア・タイプ: application/json
返されるレスポンス本文には、追加操作に関する次のようなステータスが含まれます。
属性 | 説明 |
---|---|
|
|
|
|
|
操作のステータス。たとえば、 |
レスポンス・ヘッダーの例
次にレスポンス・ヘッダーの例を示します。
HTTP/1.1 200 OK
レスポンス本文の例
次にJSON形式のレスポンス本文の例を示します。
{ "STATUS": "Succeeded", }
6.20 DNの仮想ユーザーの取得
GETメソッドを使用して、トークン発行者の信頼ドキュメントで構成されるDNの仮想ユーザーを表示します。
RESTリクエスト
GET /idaas/webservice/admin/v1/trust/token
リクエスト本文
リクエスト本文のメディア・タイプ: application/json
リクエスト本文には、表示リクエストの詳細が含まれます。
属性 | 説明 | 必須? |
---|---|---|
|
仮想ユーザー・プロパティのリスト。 |
はい |
|
仮想ユーザーに適用できるトークン・ロール属性のリスト。 |
いいえ |
|
token-role-attributesのマッピング値。 |
いいえ |
"issuer" |
発行者の名前。 | いいえ |
レスポンス本文
レスポンス本文のメディア・タイプ: application/json
レスポンス本文は、指定された仮想ユーザーの情報を返します。
レスポンス本文の例
次にJSON形式のレスポンス本文の例を示します。
{ "token-attribute-rules": { "token-attribute-rule": [ { "issuer": "https://accounts.example.com", "name-id": { "filter": { "value": [ "filter1", "filter2" ] }, "mapping": { "user-mapping-attribute": "val4", "user-attribute": "val3" } }, "proxy" : { "host": "www-proxy.us.oracle.com", "port" : "80" } }, { "-dn": "cn=user,o=oracle", "issuer": "https://identity.oraclecloud.com/", "name-id": { "filter": { "value": [ "filter1", "filter2" ] }, "mapping": { "user-mapping-attribute": "val4", "user-attribute": "val3" } }, "attributes": [ { "-name": "user.tenant.name", "attribute": { "filter": { "value": [ "filter1", "filter2" ] }, "mapping": { "user-mapping-attribute": "val2", "user-attribute": "val1" } } } ], "virtual-user": { "enabled": "true", "default-roles": { "role": [ "defRole1", "defRole2" ] }, "token-role-attributes": { "attribute-name": [ "displayname" ] }, "token-role-mapping": { "role-mapping": [ { "token-role": "TestUser", "mapping-role": [ "manager", "executer" ] } ] } } } ] } }
6.21 信頼できる発行者のタグの作成
このPOSTメソッドは、信頼できる発行者用のタグを作成するために使用します。
RESTリクエストPOSTメソッド
curl -i -X POST -u username:password --data @createtokentags.json -H Content-Type:application/json http://myhost:7001/idaas/webservice/admin/v1/trust/token
リクエスト本文のメディア・タイプ: JSON
例:
{ "token-attribute-rules": { "token-attribute-rule": [ "issuer": https://www.example.com, "one-token-trust": { "enabled": "true", "service-instance": [ { "app-name": "App1", "refreshinterval": "444", "tags": { "tag": [ { "key": "color", "value":"blue" }, { "key": "env", "value":"prod" } ] } }, { "app-name": "App2", "refreshinterval": "555" } ] }, ] } }
6.22 トークン発行者の信頼の有効化および無効化
このPOSTおよびPUTメソッドは、トークン発行者の信頼を有効化および無効化するために使用します。
RESTリクエストPOSTメソッド
curl -i -X POST -u username:password --data @createtrust.json -H Content-Type:application/json http://myhost:7001/idaas/webservice/admin/v1/trust/issuers
リクエスト本文のメディア・タイプ: JSON
例:
{ "saml-trusted-dns": { "saml-hok-trusted-dns": { "issuer": [ { "-name": "www.oracle.com", "dn": [ "CN=Alice"], "disabled-dn": [ "CN=Bob" ], } ] }, "saml-sv-trusted-dns": { "issuer": [ { "-name": "www.oracle.com", "enabled": "true" "dn": [ ], } ] }, "jwt-trusted-issuers": { "issuer": [ { "-name": "www.oracle.com", "enabled": "false" "dn": [ "CN=orakey, OU=Orakey,O=Oracle, C=US", "CN=Alice" ], } ] } } }
RESTリクエストPUTメソッド
curl -i -X PUT -u username:password --data @updatetrust.json -H Content-Type:application/json http://myhost:7001/idaas/webservice/admin/v1/trust/issuers
リクエスト本文のメディア・タイプ: JSON
例:
{ "saml-trusted-dns": { "saml-hok-trusted-dns": { "issuer": [ { "-name": "www.oracle.com", "disabled-dn": [ "CN=Alice" ], } ] }, "saml-sv-trusted-dns": { "issuer": [ { "-name": "www.oracle.com", "enabled": "false" } ] } } }
レスポンス本文
レスポンス本文のメディア・タイプ: application/json
{ "saml-trusted-dns": { "saml-hok-trusted-dns": { "issuer": [ { "-name": "www.oracle.com", "enabled": "true" "dn": [ ], "disabled-dn": ["CN=Alice", "CN=Bob"] } ] }, "saml-sv-trusted-dns": { "issuer": [ { "-name": "www.oracle.com", "enabled": "false" "dn": [ ], "disabled-dn": [ ] } ] }, "jwt-trusted-issuers": { "issuer": [ { "-name": "www.oracle.com", "enabled": true, "dn": [ "CN=orakey, OU=Orakey,O=Oracle, C=US", "CN=Alice" ], "disabled-dn": [ ] } ] } } }
6.23 信頼ドキュメント名の構成のインポート・メソッド
このPOSTメソッドは、信頼できる発行者の構成(発行者名、識別名(DN)リスト、およびトークン属性ルールを含む)をインポートするために使用します。
RESTリクエスト
POST /idaas/webservice/admin/v1/trustdocument/import
リクエスト本文
リクエスト本文のメディア・タイプ: application/xml
およびapplication/JSON
リクエスト本文には、インポート・リクエストの詳細が含まれます。信頼できる発行者ドキュメント作成して(「信頼ドキュメント名のPOSTメソッド」を参照)、そのドキュメントをoratrust:name
要素を使用して渡す必要があります。
XML形式のリクエスト本体:
<?xml version="1.0" encoding="UTF-8"?> <ns0:TokenIssuerTrust xmlns:ns0="http://xmlns.oracle.com/wsm/security/trust" ns0:name="owsm" ns0:displayName="owsm"> <ns0:Issuers> <ns0:Issuer ns0:name="www.oracle.com" ns0:tokentype="saml.sv" ns0:enabled="true"> <ns0:TrustedKeys> <ns0:KeyIdentifier ns0:keytype="x509certificate" ns0:valuetype="dn" ns0:enabled="true">alice2</ns0:KeyIdentifier> </ns0:TrustedKeys> </ns0:Issuer> <ns0:Issuer ns0:name="www.example.com" ns0:tokentype="saml.hok" ns0:enabled="true"> <ns0:TrustedKeys> <ns0:KeyIdentifier ns0:keytype="x509certificate" ns0:valuetype="dn" ns0:enabled="true">bob</ns0:KeyIdentifier> </ns0:TrustedKeys> </ns0:Issuer> <ns0:Issuer ns0:name="https://identity.oraclecloud.com/" ns0:tokentype="jwt" ns0:enabled="true"> <ns0:TrustedKeys> <ns0:KeyIdentifier ns0:keytype="publickey" ns0:valuetype="kid" ns0:enabled="true">orakey_jwk</ns0:KeyIdentifier> <ns0:KeyIdentifier ns0:keytype="publickey" ns0:valuetype="kid" ns0:enabled="true">orakey</ns0:KeyIdentifier> <ns0:Keys ns0:type="jwk" ns0:trust="idcs.jwk.jwt"></ns0:Keys> </ns0:TrustedKeys> <ns0:TrustedRP> <ns0:RP ns0:type="literal">client</ns0:RP> </ns0:TrustedRP> <ns0:DiscoveryInfo> <ns0:DiscoveryURL>https://www.example.com/.well-known/openid-configuration</ns0:DiscoveryURL> <ns0:IdcsClientCsfKey>idcs-orakey</ns0:IdcsClientCsfKey> </ns0:DiscoveryInfo> </ns0:Issuer> <ns0:Issuer ns0:name="https://accounts.example.com" ns0:tokentype="jwt" ns0:enabled="true"> <ns0:TrustedKeys> <ns0:KeyIdentifier ns0:keytype="publickey" ns0:valuetype="kid" ns0:enabled="true">3b0fc11962ad16e49d55a26816c5ad0d3f6b8a83</ns0:KeyIdentifier> <ns0:KeyIdentifier ns0:keytype="publickey" ns0:valuetype="kid" ns0:enabled="true">19e8b40cf03c4cf1ec545f01ec8c51a6f46ab455</ns0:KeyIdentifier> <ns0:mdURL>https://www.exampleapis.com/oauth2/v3/certs</ns0:mdURL> <ns0:Keys ns0:type="jwk" ns0:trust="jwk.jwt" ns0:refreshInterval="2000"></ns0:Keys> </ns0:TrustedKeys> <ns0:TrustedRP> <ns0:RP ns0:type="literal">client</ns0:RP> </ns0:TrustedRP> </ns0:Issuer> </ns0:Issuers> <ns0:TokenAttributeRules> <ns0:TokenAttributeRule ns0:issuer="https://accounts.example.com"> <ns0:NameId ns0:name="name-id"> <ns0:Filter> <ns0:value>filter1</ns0:value> <ns0:value>filter2</ns0:value> </ns0:Filter> <ns0:Mapping> <ns0:user-attribute>val3</ns0:user-attribute> <ns0:user-mapping-attribute>val4</ns0:user-mapping-attribute> </ns0:Mapping> </ns0:NameId> <ns0:Proxy> <ns0:ProxyHost>www-proxy.us.oracle.com</ns0:ProxyHost> <ns0:ProxyPort>80</ns0:ProxyPort> </ns0:Proxy> </ns0:TokenAttributeRule> <ns0:TokenAttributeRule ns0:identifier="cn=user,o=oracle" ns0:issuer="https://identity.oraclecloud.com/"> <ns0:NameId ns0:name="name-id"> <ns0:Filter> <ns0:value>filter1</ns0:value> <ns0:value>filter2</ns0:value> </ns0:Filter> <ns0:Mapping> <ns0:user-attribute>val3</ns0:user-attribute> <ns0:user-mapping-attribute>val4</ns0:user-mapping-attribute> </ns0:Mapping> </ns0:NameId> <ns0:Attributes> <ns0:Attribute ns0:name="user.tenant.name"> <ns0:Filter> <ns0:value>filter1</ns0:value> <ns0:value>filter2</ns0:value> </ns0:Filter> <ns0:Mapping> <ns0:user-attribute>val1</ns0:user-attribute> <ns0:user-mapping-attribute>val2</ns0:user-mapping-attribute> </ns0:Mapping> </ns0:Attribute> </ns0:Attributes> <ns0:VirtualUser ns0:enabled="true"> <ns0:DefaultRoles> <ns0:Role>defRole1</ns0:Role> <ns0:Role>defRole2</ns0:Role> </ns0:DefaultRoles> <ns0:TokenRoleAttributes> <ns0:AttributeName>displayname</ns0:AttributeName> </ns0:TokenRoleAttributes> <ns0:TokenRoleMapping> <ns0:RoleMapping> <ns0:TokenRole>TestUser</ns0:TokenRole> <ns0:MappingRole>manager</ns0:MappingRole> <ns0:MappingRole>executer</ns0:MappingRole> </ns0:RoleMapping> </ns0:TokenRoleMapping> </ns0:VirtualUser> </ns0:TokenAttributeRule> </ns0:TokenAttributeRules> </ns0:TokenIssuerTrust>
JSON形式のリクエスト本体:
{ "name": "test", "displayname": "test", "issuers": [ { "issuer": "www.oracle.com", "enabled": "true", "tokentype": "saml.sv", "trustedkeys": { "keyidentifiers": [ { "keytype": "x509certificate", "valuetype": "dn", "enabled": "true", "value": "alice2" } ] } }, { "issuer": "www.example.com", "enabled": "true", "tokentype": "saml.hok", "trustedkeys": { "keyidentifiers": [ { "keytype": "x509certificate", "valuetype": "dn", "enabled": "true", "value": "bob" } ] } }, { "issuer": "https://identity.oraclecloud.com/", "enabled": "true", "tokentype": "jwt", "trustedkeys": { "trust": "idcs.jwk.jwt", "keyidentifiers": [ { "keytype": "publickey", "valuetype": "kid", "enabled": "true", "value": "orakey_jwk" }, { "keytype": "publickey", "valuetype": "kid", "enabled": "true", "value": "orakey" } ] }, "relyingparty": [ { "type": "literal", "value": "client" } ], "discovery": { "discovery_uri": "https://www.example.com/.well-known/openid-configuration", "idcs-client-csf-key": "idcs-orakey" } }, { "issuer": "https://accounts.example.com", "enabled": "true", "tokentype": "jwt", "trustedkeys": { "jwk_uri": "https://www.exampleapis.com/oauth2/v3/certs", "trust": "jwk.jwt", "refreshinterval": "2000", "keyidentifiers": [ { "keytype": "publickey", "valuetype": "kid", "enabled": "true", "value": "3b0fc11962ad16e49d55a26816c5ad0d3f6b8a83" }, { "keytype": "publickey", "valuetype": "kid", "enabled": "true", "value": "19e8b40cf03c4cf1ec545f01ec8c51a6f46ab455" } ] }, "relyingparty": [ { "type": "literal", "value": "client" } ] } ], "token-attribute-rules": { "token-attribute-rule": [ { "issuer": "https://accounts.example.com", "name-id": { "filter": { "value": [ "filter1", "filter2" ] }, "mapping": { "user-mapping-attribute": "val4", "user-attribute": "val3" } }, "proxy" : { "host": "www-proxy.us.oracle.com", "port" : "80" } }, { "-dn": "cn=user,o=oracle", "issuer": "https://identity.oraclecloud.com/", "name-id": { "filter": { "value": [ "filter1", "filter2" ] }, "mapping": { "user-mapping-attribute": "val4", "user-attribute": "val3" } }, "attributes": [ { "-name": "user.tenant.name", "attribute": { "filter": { "value": [ "filter1", "filter2" ] }, "mapping": { "user-mapping-attribute": "val2", "user-attribute": "val1" } } } ], "virtual-user": { "enabled": "true", "default-roles": { "role": [ "defRole1", "defRole2" ] }, "token-role-attributes": { "attribute-name": [ "displayname" ] }, "token-role-mapping": { "role-mapping": [ { "token-role": "TestUser", "mapping-role": [ "manager", "executer" ] } ] } } } ] } }
レスポンス本文
レスポンス本文のメディア・タイプ: application/json
返されるレスポンス本文には、インポート操作に関する次のようなステータスが含まれます。
要素 | 説明 |
---|---|
|
|
|
|
|
操作結果の詳細。 |
|
操作のステータス。たとえば、 |
cURLの例
次の例は、cURLを使用してRESTリソースにPOSTリクエストを発行して、別名のすべての証明書を参照する方法を示しています。
curl -i -X POST -u username:password --data @import.xml -H Content-Type:application/xml -H Accept:application/json http://myhost:7001/idaas/platform/admin/v1/trustdocument/import
6.24 JWKドキュメントの信頼構成のインポート
このPUTメソッドは、信頼できる発行者のJWKドキュメントから構成をインポートするために使用します。
RESTリクエスト
PUT /idaas/webservice/admin/v1/federation/jwk/import
リクエスト本文
リクエスト本文のメディア・タイプ: multipart/form-data
リクエスト本文には、インポート・リクエストの入力パラメータが含まれます。
入力パラメータ | 説明 | データ型 |
---|---|---|
"issuer" |
JWK発行者の名前、たとえば、www.example.com です。
|
文字列 |
|
信頼のタイプ。 |
文字列 |
name-id-attribute |
標準ではない属性にname-idをマップする場合に、アサートする属性の名前。 | 文字列 |
"user-attribute" |
属性の値に対応するローカル・ユーザー属性の名前。 | 文字列 |
"user-mapping-attribute" |
マップ先のローカル・ユーザー属性の名前。 | 文字列 |
"filter" |
属性に設定されるフィルタ値のカンマ区切りのリスト。各値には正確な値を指定できます。 | カンマ区切りの文字列 |
metadata-file |
JWKドキュメントのパス。ローカル・システム・ファイル、サーバー上のファイル・パス、またはWeb URL。たとえば、/home/example.jwk またはhttp://www.example.com/common/discovery/v2.0/keys などです |
ファイル/ファイル・パス/Web URL |
refreshInterval |
JWKキーが更新に対してチェックされるまでのミリ秒単位の時間間隔。 | 文字列 |
trust-document-name |
信頼を構成するトークン発行者の信頼ドキュメント。指定しない場合、ドメインの構成済ドキュメントが使用されます。 | 文字列 |
レスポンス本文
返されるレスポンス本文には、インポート操作に関するステータスが含まれます。レスポンス本文のメディア・タイプ: application/json
6.25 JWK信頼構成の取消し
このPUTメソッドは、信頼できる発行者のJWK構成を取り消すために使用します。
RESTリクエスト
PUT /idaas/webservice/admin/v1/federation/jwk/revoke
リクエスト本文
リクエスト本文のメディア・タイプ: multipart/form-data
リクエスト本文には、リクエストの入力パラメータが含まれます。
入力パラメータ | 説明 | データ型 |
---|---|---|
"issuer" |
JWK発行者の名前、たとえば、www.example.com です。
|
文字列 |
|
信頼のタイプ。 |
文字列 |
trust-document-name |
信頼を取り消すトークン発行者の信頼ドキュメント。指定しない場合、ドメインの構成済ドキュメントが使用されます。 | 文字列 |
レスポンス本文
返されるレスポンス本文には、取消し操作に関するステータスが含まれます。レスポンス本文のメディア・タイプ: application/json
6.26 WSM検出メタデータ信頼構成のインポート
このPUTメソッドは、信頼できる発行者のWSM検出メタデータから構成をインポートするために使用します。
RESTリクエスト
PUT/idaas/webservice/admin/v1/federation/discoverymetadata/import
リクエスト本文
リクエスト本文のメディア・タイプ: multipart/form-data
リクエスト本文には、インポート・リクエストの入力パラメータが含まれます。
入力パラメータ | 説明 | データ型 |
---|---|---|
|
信頼のタイプ。 または |
文字列 |
"issuer" |
オープンID検出メタデータ・プロバイダ | 文字列 |
idcs-client-csf-key |
オプション。JWKドキュメントをフェッチするためのIDCS登録済clientidおよびシークレットを含むCSFキー。 | 文字列 |
jwk-access-token |
オプション。JWKドキュメントをフェッチするためのIDCS登録済clientidおよびシークレットを含むアクセス・トークン。 | 文字列 |
name-id-attribute |
オプション標準ではない属性にname-idをマップする場合に、アサートする属性の名前。 | 文字列 |
"filter" |
オプション属性に設定されるフィルタ値のカンマ区切りのリスト。各値には正確な値を指定できます。 | カンマ区切りの文字列 |
"user-attribute" |
オプション属性の値に対応するローカル・ユーザー属性の名前。 | 文字列 |
"user-mapping-attribute" |
オプションマップ先のローカル・ユーザー属性の名前。 | 文字列 |
metadata-file |
オプションJWKドキュメントのパス。ローカル・ファイル、サーバー上のパス、およびWeb URLの場合があります。 | ファイル/ファイル・パス/Web URL |
refreshInterval |
オプションキーがリフレッシュされるまでの時間間隔。 | 文字列 |
trust-document-name |
オプション信頼ドキュメントの名前。 | 文字列 |
レスポンス本文
返されるレスポンス本文には、インポート操作に関するステータスが含まれます。レスポンス本文のメディア・タイプ: application/json
6.27 WSM検出メタデータ信頼構成の取消し
このPUTメソッドは、信頼できる発行者のWSM検出メタデータ構成を取り消すために使用します。
RESTリクエスト
PUT/idaas/webservice/admin/v1/federation/discoverymetadata/revoke
リクエスト本文
リクエスト本文のメディア・タイプ: multipart/form-data
リクエスト本文には、取消しリクエストの入力パラメータが含まれます。
入力パラメータ | 説明 | データ型 |
---|---|---|
"issuer" |
オープンID検出メタデータ・プロバイダ。 | 文字列 |
|
信頼のタイプ。 |
文字列 |
metadata-file |
オプション発行者が指定されない場合のメタデータ・ファイル。これはシステム・パスまたはファイルのいずれかになります。 | ファイル/ファイル・パス/Web URL |
trust-document-name |
オプション信頼ドキュメントの名前。 | 文字列 |
レスポンス本文
返されるレスポンス本文には、取消し操作に関するステータスが含まれます。レスポンス本文のメディア・タイプ: application/json
関連項目:
-
『Oracle Web Services Managerでの資格証明およびキーストアの管理のためのREST API』の信頼ドキュメント名の構成のインポート・メソッドに関する項。