8 IP-STSとしてMicrosoft ADFS 2.0 STS、RP-STSとしてOracle STSを使用したフェデレーションの構成

ユース・ケースの説明、ソリューションのサマリー、関連するコンポーネントおよびリンクされたドキュメント・リソースを参照して、Identity Provided STS (IP-STS)としてMicrosoft ADFS 2.0 STS、Relying Party (RP-STS)としてOracle STSを使用したWebサービス・フェデレーションを構成できます。

ユース・ケース

IP-STSとしてMicrosoft ADFS 2.0 STS、RP-STSとしてOracle STSを使用したWebサービス・フェデレーションを構成します。

解決策

Oracle Web Services Manager (OWSM) WS-TrustポリシーをWebサービスおよびクライアントにアタッチして、Oracle STSおよびMicrosoft ADFS 2.0 STSを構成してセキュリティ・ドメイン間の信頼を確立します。

コンポーネント

• Oracle WebLogic Server

• Oracle Web Services Manager(OWSM)

• Oracle STS

• Microsoft ADFS 2.0 STS

• 保護するWebサービスおよびクライアント・アプリケーション

Oracle Web Services Managerのその他のリソース

• Oracle Web Services Managerの概要

• Webサービスの保護

• Oracle Web Services Managerの管理およびトラブルシューティング

• http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oraclests-166231.htmlのOracle STSドキュメント

• Microsoft ADFS 2.0 STS: http://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspx

このユース・ケースは、次の操作に必要なステップを示します。

• 適切なOWSMセキュリティ・ポリシーをアタッチして、SAMLベアラー認証を使用したメッセージ・レベルの保護を実行します。

  特に、次のポリシーをクライアントおよびサービスにそれぞれアタッチします。

  • oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policyおよびoracle/sts_trust_config_client_templateに基づくポリシー

  • oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policy

• IP-STSとしてMicrosoft ADFS 2.0 STS、RP-STSとしてOracle STSを使用して、Webサービス・フェデレーションを構成します。

サービス、RP-STSおよびIP-STSを保護するには、SSL付きトランスポート・セキュリティを使用します。

このユース・ケースの実装方法の詳細は、「ユース・ケース: Microsoft ADFS2.0 STSを使用したWebサービスのフェデレーションの実装」を参照してください。

8.1 ユース・ケース: Microsoft ADFS2.0 STSを使用したWebサービスのフェデレーションの実装

ユース・ケースを実装するには、Webサービスの構成、RP-STSとしてのOracle STSの構成、IP-STSとしてのMicrosoft ADFS 2.0 STSの構成、Webサービス・クライアントの構成の各タスクを順に実行します。

• Webサービスの構成

• Oracle STSをRP-STSとして構成

• Microsoft ADFS 2.0 STSをIP-STSとして構成

• Webサービス・クライアントの構成

注意:

次の各項には、Oracle STSおよびMicrosoft ADFS 2.0 STSの高レベルな構成ステップが示されています。これらの構成ステップの実行方法の詳細は、特定のSTSのドキュメントを参照してください。

• Oracle STSの場合: http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oraclests-166231.html

• Microsoft ADFS 2.0 STSの場合: http://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspx

8.1.1 Webサービスの構成

Microsoft ADFS 2.0 STSを使用したWebサービス・フェデレーションのユース・ケースを実装するには、最初にWebサービスを構成する必要があります。

Webサービスを構成するには:

1. oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policyポリシーをWebサービスにアタッチします。完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する項を参照してください。
2. Oracle STS /wssbearerエンドポイントの署名証明書をOWSMキーストアにインポートします。
3. 信頼する発行者および信頼するDNとして、Oracle STSエンドポイントを定義します。完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のSAML署名証明書の信頼できる発行者および信頼できる識別名リストの定義に関する項を参照してください。

8.1.2 Oracle STSをRP-STSとして構成

Microsoft ADFS 2.0 STSを使用したWebサービス・フェデレーションのユース・ケースを実装するには、Oracle STSをRP-STSとして構成する必要があります。

完全な手順は、http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oraclests-166231.htmlのOracle STSドキュメントを参照してください。

RP-STSとしてOracle STSを構成するには、次のステップを実行します。

1. ポート14101で一方向SSLが有効になるようにWebLogic Serverを構成します。
2. Oracle STS /wssbearerエンドポイントを次のように構成します。

   • ポリシー(URI sts/wss_sts_issued_saml_bearer_token_over_ssl_service_policy)をアタッチします。

   • OWSM LRG SAML Validation検証テンプレートを作成して受信SAMLトークンを検証し、それをエンドポイントに適用します。

3. Oracle STSでサービスをリプライ・パーティ・パートナとして追加します。
4. IP-STSとして機能するMicrosoft ADFS 2.0 STSインスタンスを、信頼できるアイデンティティ・プロバイダとして追加します。
   1. Microsoft ADFS 2.0 STSインスタンスの発行局パートナ・プロファイルを構成します。
   2. Microsoft ADFS 2.0 STSインスタンスを発行局パートナとして追加します。パートナ名として、インスタンスのSAMLアサーションの発行者を指定します。
   3. Microsoft ADFS 2.0 STSインスタンスの署名証明書をOWSMキーストアにインポートします。

8.1.3 Microsoft ADFS 2.0 STSをIP-STSとして構成

Microsoft ADFS 2.0 STSを使用したWebサービス・フェデレーションのユース・ケースを実装するには、Microsoft ADFS 2.0 STSをIP-STSとして構成する必要があります。

完全な手順は、http://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspxのMicrosoft ADFS 2.0 STSドキュメントを参照してください。

次のステップを実行します。

1. /usernamemixedエンドポイントが有効であることを確認します。
2. ADFS 2.0管理コンソールを使用して、IP-STSとして機能するOracle STSインスタンスをリライイング・パーティとして追加します。
3. RP-STSのSAMLベアラー・トークンを発行するようにADFS 2.0 STSを構成します。

8.1.4 Webサービス・クライアントの構成

Microsoft ADFS 2.0 STSを使用したWebサービス・フェデレーションのユース・ケースを実装するには、最後にWebサービス・クライアントを構成する必要があります。

Webサービス・クライアントを構成するには:

1. ポリシーoracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policyをアタッチし、Webサービスを参照するように構成します。完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する項を参照してください。

   また、sts.in.orderを、Oracle STSエンドポイントのURIに設定し、その後にADFS 2.0 STSエンドポイントを続けます。次に例を示します。

   http://m2.example.com:14100/sts/wssbearer;
   http://http://m1.example.com/adfs/services/trust/13/usernamemixed
   

2. oracle/sts_trust_config_client_templateからポリシーを作成し、それを次のように変更し、クライアントにアタッチします。

   • ポートURIをADFS 2.0 STSエンドポイントに設定します。次に例を示します。

     http://m1.example.com/adfs/services/trust/13/usernamemixed
     

   • クライアント・ポリシーURI oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policyを設定します。

   完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーの作成および編集に関する項を参照してください。

3. oracle/sts_trust_config_client_templateからポリシーを作成し、それを次のように変更し、クライアントにアタッチします。

   • ポートURIをOracle STSエンドポイントに設定します。次に例を示します。

     http://m2.example.com:14100/sts/wssbearer
     

   • WSDL URIをOracle STSエンドポイントに設定します。次に例を示します。

     http://m2.example.com:14100/sts/wss11user?wsdl
     

   完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーの作成および編集に関する項を参照してください。