|
|
Security Assertion Markup Language (SAML) は、オンライン ビジネス パートナ間で認証および認可情報を交換するためのフレームワークを定義します。AquaLogic Service Bus では、SAML を使用するために次の方法が可能です。
SAML の概要については、次の URL の OASIS にある技術概要を参照してください。
http://www.oasis-open.org/committees/download.php/6837/sstc-saml-tech-overview-1.1-cd.pdf
SAML 仕様のドキュメント一式は次の URL から入手できます。
http://www.oasis-open.org/committees/download.php/3400/oasis-sstc-saml-1.1-pdf-xsd.zip
SAML トークンがクライアントで提供されないが、ビジネス サービスで要求される場合は、クライアントの ID を SAML トークンにマップするようにプロキシ サービスをコンフィグレーションできます。
この方法では、ビジネス サービスが、SAML トークンを使用した認証を要求する WS-Policy ステートメントを持つ Web サービスであることが必要です。
メッセージ コンシューマはリライイング パーティとして動作し、AquaLogic Service Bus との信頼関係を持つ必要があります。
クライアント要求に WS-Security セキュリティ ヘッダが含まれる場合は、メッセージの着信側でこのヘッダを処理するようにプロキシ サービスをコンフィグレーションする必要があります。AquaLogic Service Bus では、既に WS-Security ヘッダが含まれる SOAP エンベロープに SAML ヘッダ (または他の WS-Security ヘッダ) を追加したり、既存のセキュリティ ヘッダに SAML (または他の) セキュリティ トークンを追加したりすることはできません。
| 注意 : | 動的ルーティング用にプロキシ サービスをコンフィグレーションすると、メッセージ コンテキストによって要求の対象 URL が決定されます。アサーションが署名されている場合は、証明書をコンフィグレーションする必要があります。詳細については、『WebLogic Server のセキュリティ』の「SAML 資格マッピング プロバイダのコンフィグレーション」を参照してください。 |
プロキシ サービスは、発信要求を送信するときに、クライアントに代わって SAML アサーションを生成します。ビジネス サービスは、WS-Security ヘッダを処理するときに、SAML アサーションの検証、その SAML アサーションの ID に対するセキュリティ コンテキストの作成、およびこのセキュリティ コンテキストを使用した Web サービスの呼び出しを行います。
クライアントがパススルー プロキシ サービスへの SAML トークンを提供する場合は、クライアントの SAML トークンをビジネス サービスに伝播できます。
この方法では、ビジネス サービスが、SAML トークンを使用した認証を要求する WS-Policy ステートメントを持つ Web サービスであることが必要です。
SAML パススルー ID の伝播をコンフィグレーションするには
WebLogic Server Administration オンライン ヘルプの「SAML リライイング パーティの作成」を参照してください。
「パススルー プロキシ サービスの作成 : 主な手順」を参照してください。
「発信メッセージレベルのセキュリティのコンフィグレーション : 主な手順」を参照してください。
アクティブな仲介プロキシ サービスへの SAML トークンがクライアントから提供される場合は、クライアントの ID アサーションを行うようにプロキシ サービスをコンフィグレーションできる。
SAML トークンを使用してクライアントを認証するようにプロキシ サービスをコンフィグレーションするには
AquaLogic Service Bus は、クライアントによって、またはクライアントの代わりに発行された SAML アサーションを信頼します。
ID アサーション プロバイダのコンフィグレーション時は、次の要件に注意してください。
質問 : 着信転送 ID を送り先のビジネス サービスに伝播しようとすると、必ず、Unable to add security token for identity というエラーが表示されます。これはどういう意味ですか。
回答 : このエラーにはさまざまな原因があります。通常、これは次のいずれかの問題を意味します。
$security メッセージ コンテキスト変数を検査します。
質問 : SAML holder-of-key を使用して、着信転送 ID を送り先のビジネス サービスに伝播しようとすると、必ず、Failure to add signature というエラーが表示されます。これはどういう意味ですか。
回答 : このエラーにはさまざまな原因がありますが、最も可能性が高いのは、ビジネス サービスのプロキシ サービス プロバイダに対して資格がコンフィグレーションされていないことです。AquaLogic Service Bus は、発信 holder-of-key アサーションを生成するときに、通常はメッセージ コンテンツに対するデジタル署名も生成します。これにより、受信者はメッセージが特定のユーザから送信されたものであることだけではなく、そのメッセージが改ざんされていないことを確認できます。署名を生成するには、ビジネス サービスは関連付けられたデジタル署名資格を持つプロキシ サービス プロバイダを持つ必要があります。資格のコンフィグレーションの詳細については、『AquaLogic Service Bus Console の使い方』の「セキュリティ コンフィグレーション」で、資格の追加に関する説明を参照してください。
質問 : SAML ID トークンを受信するアクティブな仲介プロキシ サービスをコンフィグレーションしようとすると、必ず、The SAML token is not valid というエラーが表示されます。どのように修正すればよいですか。
回答 : この問題は、通常、そのプロキシに対して SAML ID アサーション プロバイダまたは SAML ID アサーション プロバイダのアサーション側コンフィグレーションがないことが原因です。プロキシ サービスがアクティブな仲介モードで SAML アサーションを受信するには、SAML ID アサーション プロバイダがコンフィグレーションされている必要があります。詳細については、『WebLogic Server のセキュリティ』の「SAML ID アサーション プロバイダのコンフィグレーション」を参照してください。
  
|
