9 IP-STSとしてOracle STS、RP-STSとしてMicrosoft ADFS 2.0 STSを使用したフェデレーションの構成

ユース・ケースの説明、ソリューションのサマリー、関連するコンポーネントおよびリンクされたドキュメント・リソースを参照して、Identity Provided STS (IP-STS)としてOracle STS、Relying Party (RP-STS)としてMicrosoft ADFS 2.0 STSを使用したWebサービス・フェデレーションを構成できます。

ユース・ケース

IP-STSとしてOracle STS、RP-STSとしてMicrosoft ADFS 2.0 STSを使用したWebサービス・フェデレーションを構成します。

解決策

Oracle Web Services Manager (OWSM) WS-TrustポリシーをWebサービスおよびクライアントにアタッチして、Oracle STSおよびMicrosoft ADFS 2.0 STSを構成してセキュリティ・ドメイン間の信頼を確立します。

コンポーネント

• Oracle WebLogic Server

• Oracle Web Services Manager(OWSM)

• Oracle STS

• Microsoft ADFS 2.0 STS

• 保護するWebサービスおよびクライアント・アプリケーション

Oracle Web Services Managerのその他のリソース

IP-STSとしてOracle STS、RP-STSとしてMicrosoft ADFS 2.0 STSを使用してWebサービス・フェデレーションを構成するユース・ケースを実装するために使用するテクノロジおよびツールの詳細は、その他のリソースを参照してください。

• Oracle Web Services Managerの事前定義済ポリシー

• Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)クライアント・ポリシー

• http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oraclests-166231.htmlのOracle STSドキュメント

• Microsoft ADFS 2.0 STS: http://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspx

このユース・ケースは、次の操作に必要なステップを示します。

• SAMLキー所有者(HOK)認証を使用してメッセージ・レベルの保護を実行するため、適切なOWSMセキュリティ・ポリシーをアタッチします。

  特に、次のポリシーをクライアントおよびサービスにそれぞれアタッチします。

  • oracle/wss11_sts_issued_saml_hok_with_message_protection_client_policyおよびoracle/sts_trust_config_client_templateに基づくポリシー

  • oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policy

• IP-STSとしてOracle STS、RP-STSとしてMicrosoft ADFS 2.0 STSを使用して、Webサービス・フェデレーションを構成します。

このユース・ケースの実装方法の詳細は、「ユース・ケース: Oracle STSをIP-STS、Microsoft ADFS 2.0 STSをRP-STSとして実装」を参照してください。

9.1 ユース・ケース: Oracle STSをIP-STS、Microsoft ADFS 2.0 STSをRP-STSとして実装

Oracle STSをIP-STS、Microsoft ADFS 2.0 STSをRP-STSとして使用したWebサービス・フェデレーションを構成するユース・ケースを実装するには、最初にWebサービスを構成し、RP-STSとしてMicrosoft ADFS 2.0 STSを構成してからIP-STSとしてOracle STSを構成し、最後にWebサービス・クライアントを構成します。

• Webサービスの構成

• Microsoft ADFS 2.0 STSをRP-STSとして構成

• Oracle STSをIP-STSとして構成

• Webサービス・クライアントの構成

9.1.1 Webサービスの構成

Oracle STSをIP-STS、Microsoft ADFS 2.0 STSをRP-STSとして使用したWebサービス・フェデレーションを構成するユース・ケースを実装するには、最初にWebサービスを構成する必要があります。

Webサービスを構成するには:

1. oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policyをWebサービスにアタッチします。完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する項を参照してください。
2. ADFS 2.0 STS /issuedtokensymmetricbasic256エンドポイントの署名証明書をOWSMキーストアにインポートします。
3. 信頼する発行者および信頼するDNとしてADFS 2.0 STSエンドポイントを定義します。完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のSAML署名証明書の信頼できる発行者および信頼できる識別名リストの定義に関する項を参照してください。

9.1.2 Microsoft ADFS 2.0 STSをRP-STSとして構成

Oracle STSをIP-STS、Microsoft ADFS 2.0 STSをRP-STSとして使用したWebサービス・フェデレーションを構成するユース・ケースを実装するには、Webサービスを構成した後で、Microsoft ADFS 2.0 STSをRP-STSとして構成する必要があります。

完全な手順は、http://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspxのOracle STSドキュメントを参照してください。

RP-STSとしてMicrosoft ADFS 2.0 STSを構成するには、次のステップを実行します。

1. /issuedtokensymmetricbasic256エンドポイントが有効であることを確認します。
2. ADFS 2.0管理コンソールを使用して、サービスをリライイング・パーティとして追加します。
3. ADFS 2.0管理コンソールを使用して、IP-STSとして機能するOracle STSインスタンスを信頼できるクレーム・プロバイダとして追加します。

9.1.3 Oracle STSをIP-STSとして構成

Oracle STSをIP-STS、Microsoft ADFS 2.0 STSをRP-STSとして使用したWebサービス・フェデレーションを構成するユース・ケースを実装するには、WebサービスとRP-STSを構成した後で、Oracle STSをIP-STSとして構成する必要があります。

完全な手順は、http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oraclests-166231.htmlのOracle STSドキュメントを参照してください。

IP-STSとしてOracle STSを構成するには、次のステップを実行します。

1. Oracle STS /wss11userエンドポイントを次のように構成します。

   • ポリシー(URI sts/wss11_username_token_with message_protection_service_policy)をアタッチします。

   • OWSM LRG UN Validation検証テンプレートを作成して受信トークンを検証し、それをエンドポイントに適用します。

2. Oracle STSで、RP-STSとして機能するMicrosoft ADFS 2.0 STSインスタンスを、リライイング・パートナ・パーティとして追加します。
3. Oracle STSでオーディエンス制限条件を有効にします。

   ADFS 2.0では、クレーム・プロバイダのSAMLアサーションに対してAudienceRestrictionUriの設定を要求しますが、Oracle STSが発行するアサーションではこれがデフォルトで設定されないため、このステップが必要になります。

4. Oracle STSが使用する256バイトの証明キーを発行する、個別の発行テンプレートを構成します。

9.1.4 Webサービス・クライアントの構成

Oracle STSをIP-STS、Microsoft ADFS 2.0 STSをRP-STSとして使用したWebサービス・フェデレーションを構成するユース・ケースを実装するには、最後にWebサービス・クライアントを構成する必要があります。

Webサービス・クライアントを構成するには:

1. oracle/wss11_sts_issued_saml_hok_with_message_protection_client_policyからポリシーを作成し、次のように変更して、クライアントにアタッチします。

   • アルゴリズム・スイートをBasic128ではなくBasic256に設定します。

   • 導出キーを有効に設定します。

   • sts.in.orderを、ADFS 2.0 STSエンドポイントのURIに設定し、その後にOracle STSエンドポイントを続けます。次に例を示します。

     http://m1.example.com/adfs/services/trust/13/issuedtokensymmetricbasic256;
     http://m2.example.com:14100/sts/wss11user
     

2. oracle/sts_trust_config_client_templateからポリシーを作成し、それを次のように変更し、クライアントにアタッチします。

   • ポートURIをADFS 2.0 STSエンドポイントに設定します。次に例を示します。

     http://m1.example.com/adfs/services/trust/13/issuedtokensymmetricbasic256
     

   • クライアント・ポリシーURIをステップ1で作成したポリシーに設定します。

     oracle/wss11_sts_issued_saml_hok_with_message_protection_client_policy_adfs
     

3. oracle/sts_trust_config_client_templateからポリシーを作成し、それを次のように変更し、クライアントにアタッチします。

   • ポートURIをOracle STSエンドポイントに設定します。次に例を示します。

     http://m2.example.com:14100/sts/wss11user
     

   • WSDL URIをOracle STSエンドポイントに設定します。