| Oracle Identity Federation管理者ガイド 10g(10.1.4.0.1) B31476-02 |
|
 戻る |
 次へ |
この章では、Oracle Identity Federation管理コンソールを使用して、サーバー・プロパティとフェデレーション・データを構成および保守する方法を説明します。内容は次のとおりです。
Oracle Identity Federation管理者はサーバーの管理と運用に必要なデータを、サード・パーティ(他のプロバイダの管理者)、サード・パーティとのアグリーメント、ローカル構成の決定事項など、様々な情報源から取得します。管理者は、フェデレーション・サーバーのロードと保守を担当します。
大きく分けて、フェデレーション・サーバーは2つのカテゴリの詳細構成を保守します。
サーバー構成データ: 実行時のフェデレーション・サーバー・インスタンスの動作を規定するプロパティなど
ユーザー・フェデレーション・データ: 個別ユーザーのフェデレーテッドIDや使用方法の情報
各Oracle Identity Federationインスタンスは2つのタイプの構成データを保守します。
プロトコル・データ。次のものが含まれます。
サーバー・インスタンス全体のプロパティ(ホスト名とポート、SSLが有効かどうか、PKCS#12ウォレットの場所など)。
サーバー・インスタンスがアイデンティティ・プロバイダとして動作しているときに、有効なフェデレーション・プロトコルをサポートする方法(セッション・タイムアウト、再認証タイムアウト、デフォルトのプロバイダIDなど)。
サーバー・インスタンスがサービス・プロバイダとして動作しているときに、有効なフェデレーション・プロトコルをサポートする方法。このケースで保守されるデータは、サーバーがアイデンティティ・プロバイダとして動作するときに格納されるデータに非常に類似しています。
サーバー・インスタンスが属するトラスト・サークルのメンバーであるピア・プロバイダについての情報で構成されるトラスト・サークル・データ。トラスト・サークルの構成データには、次のようなパラメータが含まれます。
アサーションで使用する名前IDフォーマット
認証リクエストとともに送信する属性
アサーションと認証リクエストの署名要件
優先バインディング
アサーションとアーティファクトの有効期間
その他の時間関連パラメータ(同期していないサーバーの間の許容時間差など)
アカウント・リンキング・パラメータ
構成設定とプロバイダ・メタデータ
構成設定とサーバーが生成するプロバイダ・メタデータの間に関係が存在する場合があることに注意してください。メタデータに影響を与える設定と与えない設定があります。たとえば、セッション・タイムアウト値の変更はメタデータに影響を与えませんが、SOAPポートの変更には、管理者が、トラスト・サークル内の他のプロバイダにメタデータを再公開することが必要です。同様に、管理者はピア・プロバイダのメタデータに対する変更を認識している必要があります。
サーバー・プロパティ
サーバー・ホスト名
サーバー・ポート
SOAPポート
IdpEnabled
SpEnabled
SSL有効
署名PKCS #12ウォレット
暗号化PKCS #12ウォレット
グローバルIdPプロパティ
プロバイダID
Liberty 1.1有効
Liberty 1.2有効
SAML 2.0有効
グローバルSPプロパティ
プロバイダID
Liberty 1.1有効
Liberty 1.2有効
SAML 2.0有効
Liberty 1.1 IdPプロパティ
プロファイル/バインディングの有効化
フェデレーション終了有効
名前ID登録有効
Liberty 1.2 IdPプロパティ
プロトコル・プロファイルの有効化
フェデレーション終了有効
名前ID登録有効
SAML 2.0 IdPプロパティ
プロトコル・プロファイルの有効化
フェデレーション終了有効
名前ID登録有効
属性レスポンダ有効
Liberty 1.1 SPプロパティ
プロファイル/バインディングの有効化
フェデレーション終了有効
名前ID登録有効
Liberty 1.2 SPプロパティ
プロトコル・プロファイルの有効化
フェデレーション終了有効
名前ID登録有効
SAML 2.0 SPプロパティ
プロトコル・プロファイルの有効化
フェデレーション終了有効
名前ID登録有効
IdP SAML 2.0 - http(s)://hostname:port/fed/idp/metadatav20
IdP Liberty 1.2 - http(s)://hostname:port/fed/idp/metadatav12
IdP Liberty 1.1 - http(s)://hostname:port/fed/idp/metadatav11
SP SAML 2.0 - http(s)://hostname:port/fed/sp/metadatav20
SP Liberty 1.2 - http(s)://hostname:port/fed/sp/metadatav12
SP Liberty 1.1 - http(s)://hostname:port/fed/sp/metadatav11
LDAPディレクトリには、各ユーザーのアイデンティティ・フェデレーション・データが格納されます。ユーザーの基本参照情報の他、ユーザーに関連付けられた一意の各アイデンティティ・フェデレーションごとにレコードがあります。フェデレーション・レコードは次のものにより定義されます。
リモート・プロバイダ
名前識別子のタイプ(たとえば、電子メール・アドレスやDN)
プロトコル(たとえば、SAML 2.0)
これは、これらの3つの属性の組合せが一意であるかぎり、同一のリモート・プロバイダに対してユーザーが複数のアイデンティティ・フェデレーション・レコードを持つことができることを意味します。たとえば、ユーザーの最初のレコードがProviderX/myemail1/SAML 2.0の組合せ、2番目のレコードがProviderX/myemail2/SAML 2.0の組合せで識別されることがありえます。
同期
前述のとおり、フェデレーション・レコードはユーザーごとに独立して格納され、一意のユーザー属性(DN、ユーザー名など)を使用してメインのユーザー・レコードにリンクします。
ユーザーの一意属性値を変更するイベント、たとえば従業員がオフィスで新しい場所に移動し、DNが更新されたような場合などは、ユーザーのフェデレーションを削除して再確立する必要があります。
プロビジョニング解除
同様に、ユーザーのレコードが削除されてもフェデレーション・データは残ります。これは、ユーザーがプロビジョニング解除される場合、管理者がユーザーのフェデレーション・データを確実に削除する必要があることを意味します。
|
注意: この状況でフェデレーション・データを削除しない場合、セキュリティ上の問題が発生する可能性があります。たとえば、新しいユーザーがそれ以後に同一の一意属性値(たとえば、同一のDNまたはユーザー名)でプロビジョニングされたとします。以前のユーザーのアカウント・リンクが残されていた場合、それを新しいユーザーが引き継いでしまう可能性があります。 |
フェデレーション・データは次の方法で削除できます。
LDAPサーバーの管理ツールを使用します。Oracle Internet Directoryに格納されたデータの詳細は、『Oracle Identity Managementユーザー・リファレンス』を参照してください。
Oracle Identity Federationに用意されているコマンドライン・ユーティリティを使用します。詳細は、「コマンドラインのフェデレーション削除ツール」を参照してください。
Oracle Identity Federationの管理コンソールはWebベースのグラフィカル・インタフェースで、管理者はこれを使用して、サーバー・プロパティとユーザー・フェデレーション・データの両方を管理、構成および保守できます。
この項では、Oracle Identity Federationのプロパティを編集および更新する方法を説明します。内容は次のとおりです。
管理コンソールの「サーバー構成」タブは、構成するOracle Identity Federationプロパティのカテゴリを選択するために使用します。
次の構成アクションからいずれかを選択します。
一般サーバー・プロパティの編集
アイデンティティ・プロバイダ(IdP)として動作するサーバーのグローバル・プロパティの編集
サービス・プロバイダ(SP)として動作するサーバーのグローバル・プロパティの編集
Liberty 1.1、Liberty 1.2またはSAML 2.0準拠のサービス・プロバイダ(SP)のためのプロトコル固有のプロパティや属性レスポンダ・マッピングの編集
Liberty 1.1、Liberty 1.2またはSAML 2.0準拠のアイデンティティ・プロバイダ(IdP)のためのプロトコル固有のプロパティの編集
トラスト・サークル(COT)プロバイダ情報の編集
このページは、Oracle Identity Federationプロパティを編集するために使用します。
|
注意: これらの設定値を変更すると、サーバーを再起動する必要があります。 |
次のパラメータを構成できます。
サーバー・ホスト名
Oracle Identity Federationインスタンスのホスト名です。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
サーバー・ポート
Oracle Identity Federationがリスニングするポートです。
|
注意:
|
SOAPポート
Oracle Identity FederationがSOAPメッセージをリスニングするポートです。
|
注意:
|
セッション・タイムアウト
このパラメータは、認証されたセッションがアクティブである期間を秒単位で指定するために使用されます。アクティブな期間を過ぎるとセッションは非アクティブになり、ユーザーは再認証を受ける必要があります。デフォルト値は7200秒です。
このパラメータがどのように使用されるかはサーバーのロールと問題のセッションの性質に依存します。
シナリオ1: ローカルに認証されたユーザー
ユーザーをローカルに認証できるのは次の場合です。
Oracle Identity FederationがIdPとして動作している場合
Oracle Identity FederationがSPで、新しいフェデレーションが作成されたため、ユーザーに対して資格証明を求める必要がある場合
この場合、認証されたセッションの有効期間は、「セッション・タイムアウト」パラメータの値に設定されます。
シナリオ2: 既存のフェデレーション
Oracle Identity Federationが既存のフェデレーションに対してSPとして動作している場合、サーバーは、ユーザーと認証情報が含まれているSAMLアサーションをIdPから受信します。アサーションにはReauthenticateOnOrAfter属性が含まれることがあります。この属性は、この属性が指定する期間が過ぎたら、このユーザーは再認証が必要であることをOracle Identity Federationに対して示しています。
この場合、SPとして動作するOracle Identity Federationサーバーが、認証されたセッションの有効期間を、セッション・タイムアウトパラメータと、ReauthenticateOnOrAfterアサーション属性の、いずれか少ない方に設定します。
|
注意: Oracle Identity Federationがユーザー・データ・ストアとしてOracle Access Managerを使用する場合、セッション・タイムアウトはユーザー・セッションに影響しません。Oracle Access Managerでは、セッション・タイムアウトは、アクセスされたリソースを保護しているAccessGateの構成によって決定されます。 |
セッション・データ・クリーンアップ間隔
Oracle Identity Federationがリレーショナル・データベース・リポジトリを使用するように構成されている場合、これはサーバーが期限切れのセッションをデータベースからクリーンアップする頻度です。
|
注意: これがマイナスの場合、サーバーはクリーンアップを実行しません。 |
アイデンティティ・プロバイダ有効
このボックスを選択すると、サーバー・インスタンスがアイデンティティ・プロバイダ(IdP)として有効になります。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
サービス・プロバイダ有効
このボックスを選択すると、サーバー・インスタンスがサービス・プロバイダ(SP)として有効になります。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
SSL有効
このボックスを選択すると、Secure Sockets Layer(SSL)暗号化が有効になり、サーバーはHTTPSモードでリスニングできます。
|
注意:
|
強制SSL
このボックスを選択すると、サーバーとの通信が強制的にHTTPSモードで行われます。Trueの場合、Oracle Identity Federationは着信接続をチェックして、SSL経由であることを確認します。そうでない場合は、サーバーはSSLをサポートしているURLにユーザーをリダイレクトします。URLは、hostnameおよびportの各プロパティおよびリクエストされたURLで構成されます。
ロギング・デバッグ有効
このボックスを選択すると、Oracle Identity Federationのでバック・モードが有効になり、すべての操作が記録されます。
このボックスを選択しない場合、デバッグ・モードは無効で、エラーおよび送受信するLibertyおよびSAMLのメッセージのみが記録されます。
証明書検証有効
このボックスを選択すると、証明書失効リスト(CRL)を使用した署名証明書の検証が有効になります。
署名ウォレット用のフィールド
次のフィールドは、サーバー・インスタンスにPKCS #12署名証明書を割り当てるために使用します。
署名PKCS #12ウォレット: PKCS #12フォーマットの署名ウォレットです。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
ウォレットをファイルから更新: ウォレットを含むオペレーティング・システム・ファイルを選択できます。
署名PKCS #12パスワード: 秘密鍵を暗号化するために使用されたパスワードを入力します。
暗号化ウォレット用のフィールド
次のフィールドは、サーバー・インスタンスに暗号化PKCS #12証明書を割り当てるために使用します。
暗号化PKCS #12ウォレット: PKCS #12フォーマットの暗号化ウォレットです。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
ウォレットをファイルから更新: ウォレットを含むオペレーティング・システム・ファイルを選択できます。
暗号化PKCS #12パスワード: 秘密鍵を暗号化するために使用されたパスワードを入力します。
デフォルト暗号化アルゴリズム: 使用可能ないずれかの暗号化アルゴリズムを選択します。
AES-128 CBC
AES-192 CBC
AES-256 CBC
Triple DES CBC
ページ下部のボタンの機能は次のとおりです。
更新: サーバー構成プロパティに加えた変更を保存します。
取消: 変更を保存せず、画面を元の値にリストアします。
このセクションでは、次のタスクを実行する方法について説明します。
このページを使用して、サーバー・インスタンスのSAML 2.0およびLiberty 1.xプロトコルに対してグローバルアイデンティティ・プロバイダ(IdP)プロパティを指定できます。
次のパラメータを構成できます。
プロバイダID (URI)
Oracle Identity FederationインスタンスのURIです。URLの場合は、実際のリソースを参照している必要があります。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
Liberty 1.1有効
このボックスが選択されている場合、サーバーはLiberty 1.1対応です。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
Liberty 1.2有効
このボックスが選択されている場合、サーバーはLiberty 1.2対応です。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
SAML 2.0有効
このボックスが選択されている場合、サーバーはSAML 2.0対応です。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
ユーザー承諾を強制
このボックスを選択すると、新しいフェデレーションを設定する際に承諾が必要になります。このボックスが選択されている場合、フェデレーション・サーバーにリダイレクトされたユーザーが続行するためには、リンクを明示的に承諾または拒否する必要があります。
ユーザー承諾URL
ユーザーの承諾が必要な場合、ユーザーはこのURLにリダイレクトされます。このための承諾ページをデザインする必要があります。
サーバーはこのURLにいくつかの問合せパラメータを渡します。
表6-1 ユーザー承諾URLに渡されるパラメータ(IdPグローバル)
| パラメータ | 説明 |
|---|---|
|
providerid |
ピア・プロバイダのID。 |
|
description |
ピア・プロバイダIDの説明。 |
|
returnurl |
承諾意思決定がなされた場合にユーザーをリダイレクトする先のURL。 |
|
refid |
returnurlに問合せパラメータとして渡されます。サーバーが承諾URLにリダイレクトされる前に実行していた操作をOracle Identity Federationが再開するには、このパラメータが必要です。 |
承諾URLページが戻り先URLにユーザーを導く際には(リンク、フォームの送信などの手段で)、表に説明があるrefidパラメータと、ユーザーが承諾したかどうかを示す承諾パラメータ(値はtrueまたはfalse)の、2つの問合せパラメータを渡す必要があります。
<%
String prefix = request.getContextPath();
String redirectURL = request.getParameter("returnurl");
String refID = request.getParameter("refid");
String providerID = request.getParameter("providerid");
String desc = request.getParameter("description");
%>
<HTML>
<BODY>
Do you consent to create a federation with <%=providerID%> (<%=desc%>):<br>
<form method="POST" action="<%=redirectURL%>">
<input type="checkbox" name="userconsent" value="true"/>I agree<br>
<input type="submit" value="OK" />
<input type="hidden" name="refid" value="<%=refID%>"/>
</form>
</BODY>
</HTML>
アーティファクト・タイムアウト
Oracle Identity Federationが作成したアーティファクト・オブジェクトの有効期間です(単位は秒)。デフォルトは300秒です。
リクエスト・タイムアウト
Oracle Identity Federationから送信するリクエストの有効期間です(単位は秒)。デフォルトは120秒です。
アサーション有効期間
アイデンティティ・プロバイダが発行したアサーションの有効期間です(単位は秒)。有効期間外に処理されたアサーションは無効とみなされます。デフォルトは300秒です。
再認証までの時間
これがその有効期間で、これを過ぎるとサービス・プロバイダはユーザーを再度認証する必要があります(単位は秒)。アイデンティティ・プロバイダによる認証ステートメントを含んでいるアサーションが有効なのはこの期間だけで、それを過ぎるとユーザーは認証されていないものとみなされます。デフォルトは3600秒です。
|
注意: この機能はOracleAS Single Sign-On認証に適用されます。強制再認証の制限の詳細は、「OracleAS Single Sign-OnとのOracle Identity Federationのデプロイ」を参照してください。 |
サーバー・クロック・ドリフト
アイデンティティ・プロバイダとして動作するOracle Identity Federationと、そのピア・サーバーとの間で許容される時間の誤差です。デフォルトは600秒です。
記述子有効期間(日)
サーバーの公開IdPメタデータが有効とみなされる期間(単位は日)です。この期間内は、ピア・サーバーがメタデータをリロードできます。記述子有効期間を日単位で入力します。デフォルト値は30日です。
デフォルト・バインディング
ピア・プロバイダにメッセージを送信する際に、可能な場合、使用する優先バインディングを指定します。有効な値は次のとおりです。
HTTPリダイレクト
HTTP POST
SOAP
デフォルトSSOレスポンス・バインディング
必須でないアサーションをサービス・プロバイダに送信する際に、可能であればアイデンティティ・プロバイダが使用する優先バインディングを指定します。有効な値は次のとおりです。
アーティファクト
HTTP POST
共通ドメイン有効
アイデンティティ・フェデレーション・ネットワークに複数のアイデンティティ・プロバイダが含まれるとき、サービス・プロバイダは、プリンシパルが使用するアイデンティティ・プロバイダを決定するための方法を必要とします。そのため、フェデレーション・ネットワーク内でIdPとSPに共通のドメインを使用して、このドメインで書かれ、ユーザーがログインしているすべてのIdPが記載されたCookieがユーザーのブラウザに送信されます。このようなドメインは共通ドメインと呼ばれ、IdPを識別するCookieは共通ドメインCookieまたは導入Cookieと呼ばれます。
このIdPが導入Cookieを設定するように指定するには、「共通ドメイン有効」を選択します。ローカル認証のたびに、Oracle Identity Federationはユーザーを共通ドメインにリダイレクトします。共通ドメインでは、ユーザーのブラウザにある導入Cookieにサーバーが識別子を追加することができます。
共通ドメインURL
アイデンティティ・フェデレーション・ネットワークに複数のアイデンティティ・プロバイダが含まれるとき、サービス・プロバイダは、すべてのプロバイダに共通のドメインを使用して、プリンシパルが使用するアイデンティティ・プロバイダを決定します。認証のたびに、ユーザーのブラウザ上のCookie(このドメインで書かれたもの)がIdP識別子を使用して更新されます。CookieにはすべてのユーザーのIdPが記載され、サービス・プロバイダがそれを読み取ります。
Oracle Identity FederationがIdP導入Cookieを読み取ったり設定したりする場所のURLを入力します。サーバーはこのURL上でリスニングし、リクエストを受け入れ、ユーザーのブラウザ上の導入Cookieを更新します。
この値は、「共通ドメイン有効」を選択した場合のみ設定します。
共通ドメイン名
IdP導入Cookieで使用される共通ドメインです。導入CookieのCookieパラメータとして設定されます。値は先頭がドット(.)で、.domain.suffixという形式である必要があります。デフォルト値は.DOMAIN_TO_BE_SETです。
Cookie存続期間(日)
IdPが発行する共通ドメインCookieの存続期間(単位は日)です。このフィールドが0に設定されている場合(デフォルト)、共通ドメインCookieはセッションCookieです。
署名付を送信するメッセージ
「選択」をクリックすると、フェデレーション・プロトコル・メッセージ・タイプのリストが表示されます。IdPモードでOracle Identity Federationが受信する、署名付を要求するメッセージを指定します。
署名付を要求するメッセージ
「選択」をクリックすると、フェデレーション・プロトコル・メッセージ・タイプのリストが記載されたページが表示されます。IdPモードでOracle Identity Federationが受信する、署名付を要求するメッセージを指定します。
ページ下部のボタンの機能は次のとおりです。
更新: グローバルIdP構成プロパティに加えた変更を保存します。
取消: 変更を保存せず、画面を元の値にリストアします。
このページには、Oracle Identity Federationがアイデンティティ・プロバイダ・モードで送信するフェデレーション・プロトコル・メッセージ・タイプのリストが表示されます。このページを使用して、サーバーが署名するメッセージを指定します。メッセージは、トランスポート・バインディングとともに表示されます。
使用可能なメッセージ
このリストのメッセージは無署名で送信されます。
選択したメッセージ
このリストのメッセージは、署名されて送信されます。
アクション
ページにあるボタンの機能は次のとおりです。
移動: 選択したメッセージ・タイプを「選択したメッセージ」リストに移動します。複数のメッセージ・タイプを選択するには、[Ctrl]キーを使用します。
すべて移動: 現在「使用可能なメッセージ」リストにあるすべてのメッセージを、「選択したメッセージ」リストに移動します。
削除: 選択したメッセージ・タイプを、「選択したメッセージ」リストから「使用可能なメッセージ」リストに移動します。複数のメッセージ・タイプを選択するには、[Ctrl]キーを使用します。
すべて削除: 現在「選択したメッセージ」リストにあるすべてのメッセージを、「使用可能なメッセージ」リストに移動します。
メッセージ・タイプをダブルクリックして、メッセージ・タイプを片方からもう一方へ移動することもできます。
ページ下部のボタンの機能は次のとおりです。
更新: 署名付/無署名メッセージのページに加えた変更を保存します。
取消: 変更を保存しないで「アイデンティティ・プロバイダ: グローバル設定」ページに戻ります。
このページには、Oracle Identity Federationがアイデンティティ・プロバイダ・モードで受信するフェデレーション・プロトコル・メッセージ・タイプのリストが表示されます。このページを使用して、サーバーが署名を要求するメッセージを指定します。メッセージは、トランスポート・バインディングとともに表示されます。
使用可能なメッセージ
このリストのメッセージには署名の必要はありません。
選択したメッセージ
このリストのメッセージには署名が必要です。
アクション
ページにあるボタンの機能は次のとおりです。
移動: 選択したメッセージ・タイプを「選択したメッセージ」リストに移動します。複数のメッセージ・タイプを選択するには、[Ctrl]キーを使用します。
すべて移動: 現在「使用可能なメッセージ」リストにあるすべてのメッセージを、「選択したメッセージ」リストに移動します。
削除: 選択したメッセージ・タイプを、「選択したメッセージ」リストから「使用可能なメッセージ」リストに移動します。複数のメッセージ・タイプを選択するには、[Ctrl]キーを使用します。
すべて削除: 現在「選択したメッセージ」リストにあるすべてのメッセージを、「使用可能なメッセージ」リストに移動します。
メッセージ・タイプをダブルクリックして、メッセージ・タイプを片方からもう一方へ移動することもできます。
ページ下部のボタンの機能は次のとおりです。
更新: 署名付/無署名メッセージのページに加えた変更を保存します。
取消: 変更を保存しないで「アイデンティティ・プロバイダ: グローバル設定」ページに戻ります。
このページを使用して、サーバー・インスタンスのSAML 2.0およびLiberty 1.xプロトコルに対してグローバル・サービス・プロバイダ(SP)プロパティを指定できます。
次のパラメータを構成できます。
プロバイダID (URI)
Oracle Identity FederationインスタンスのURIです。URLの場合は、実際のリソースを参照している必要があります。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
Liberty 1.1有効
このボックスが選択されている場合、サーバーはLiberty 1.1対応です。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
Liberty 1.2有効
このボックスが選択されている場合、サーバーはLiberty 1.2対応です。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
SAML 2.0有効
このボックスが選択されている場合、サーバーはSAML 2.0対応です。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
ユーザー承諾を強制
このボックスを選択すると、新しいフェデレーションを設定する際に承諾が必要になります。このボックスが選択されている場合、フェデレーション・サーバーにリダイレクトされたユーザーが続行するためには、リンクを明示的に承諾または拒否する必要があります。
ユーザー承諾URL
ユーザーが新しいフェデレーションに同意する必要がある場合、これはユーザーがリダイレクトされる先のURLです。このための承諾ページをデザインする必要があります。
サーバーはこのURLにいくつかの問合せパラメータを渡します。
表6-2 ユーザー承諾URLに渡されるパラメータ(SPグローバル)
| パラメータ | 説明 |
|---|---|
|
providerid |
ピア・プロバイダのID。 |
|
description |
ピア・プロバイダIDの説明。 |
|
returnurl |
承諾意思決定がなされた場合にユーザーをリダイレクトする先のURL。 |
|
refid |
returnurlに問合せパラメータとして渡されます。サーバーが承諾URLにリダイレクトされる前に実行していた操作をOracle Identity Federationが再開するには、このパラメータが必要です。 |
承諾URLページがユーザーを元のリターンURLに導くとき(リンク、フォーム送信またはの他の手段で)、2つの問合せパラメータを渡す必要があります。表で説明したrefidパラメータと、ユーザーが承諾したかどうかを示す承諾パラメータです。
このフィールドは、「ユーザー承諾を強制」が選択されている場合のみ使用します。
<%
String prefix = request.getContextPath();
String redirectURL = request.getParameter("returnurl");
String refID = request.getParameter("refid");
String providerID = request.getParameter("providerid");
String desc = request.getParameter("description");
%>
<HTML>
<BODY>
Do you consent to create a federation with <%=providerID%> (<%=desc%>):<br>
<form method="POST" action="<%=redirectURL%>">
<input type="checkbox" name="userconsent" value="true"/>I agree<br>
<input type="submit" value="OK" />
<input type="hidden" name="refid" value="<%=refID%>"/>
</form>
</BODY>
</HTML>
不明な条件を無視
条件はXMLスキーマにおける拡張ポイントです。固有のニーズに従って、たとえば、指定されたタイムゾーンでアサーションXが条件付きであることを意味する、カスタムの条件を定義できます。こうした条件は評価が難しいことがあり、このボックスを選択すると、サーバーは受信したメッセージ内の認識できない条件を無視できます。
リクエスト・タイムアウト
Oracle Identity Federationから送信するリクエストの有効期間です(単位は秒)。
サーバー・クロック・ドリフト
アイデンティティ・プロバイダとして動作するOracle Identity Federationと、そのピア・サーバーとの間で許容される時間の誤差です。
記述子有効期間(日)
サーバーの公開SPメタデータが有効とみなされる期間(単位は日)です。この期間内は、ピア・サーバーがメタデータをリロードできます。記述子有効期間を日単位で入力します。デフォルト値は30日です。
フェデレーション作成を許可
このフィールドは、サービス・プロバイダとして動作しているサーバー・インスタンスがシングル・サインオンを開始する際に、フェデレーテッド・ネットワーク内のピアアイデンティティ・プロバイダとのフェデレーションを許可する場合に使用します。このボックスは、プロバイダ間のフェデレーションの設定を許可する場合に選択します。
デフォルト・バインディング
ピア・プロバイダにメッセージを送信する際に、可能な場合、使用する優先バインディングを指定します。有効な値は次のとおりです。
HTTPリダイレクト
HTTP POST
SOAP
デフォルトSSOリクエスト・バインディング
認証リクエストをアイデンティティ・プロバイダに送信する際に、可能であればサービス・プロバイダが使用する優先バインディングを指定します。有効な値は次のとおりです。
HTTPリダイレクト
HTTP POST
デフォルトSSOレスポンス・バインディング
必須でないアサーションをサービス・プロバイダに送信する際に、可能であればアイデンティティ・プロバイダが使用する優先バインディングを指定します。有効な値は次のとおりです。
アーティファクト
HTTP POST
デフォルトSSOアイデンティティ・プロバイダ
シングル・サインオン操作を実行する際に使用するデフォルトのIdPを入力します。構成されているアイデンティティ・プロバイダのリストから選択します。ない場合は空白にします。
匿名ユーザー識別子
このフィールドを使用すると、コンシューマのIDがわからなくても、SPがサービスを提供できます。これは、シングル・サインオン操作でLiberty 1.2のワンタイムIDや匿名ID、またはSAML 2.0の一時名IDを使用する場合にユーザーを識別するために使用されます。Oracle Identity Federationは匿名IDを含むアサーションを受信します。IdMフレームワークでそのユーザーのための認証セッションを作成するためには、アカウントはそのセッションに関連付けられている必要があります。匿名ユーザー識別子は、このような操作で使用されるアカウントを参照します。
匿名ユーザー識別子の構成を完了するためには、次の手順が必要です。
「トラスト・サークル」タブでIdPを選択し、「更新」を選択して「信頼できるプロバイダの編集」に移動します。「デフォルト認証リクエスト名前IDフォーマット[2]」の選択を外し、ドロップダウン・ボックスから「一時/単発識別子」を選択します。
「名前IDフォーマット」の選択を外し、「選択」をクリックします。「信頼できるプロバイダの編集: 名前IDフォーマットの選択」で、次の操作を行います。
「一時/単発識別子」の「有効化」を選択します。
「デフォルト・アサーション名前IDフォーマット[1]」には、「一時/単発識別子」を選択します。
「サービス・プロバイダ: グローバル設定」に戻り、「匿名ユーザー識別子」フィールドに、匿名ログインで使用するユーザー名を入力します。匿名ユーザーがシステムへのログインに使用するアカウントです。
共通ドメイン有効
IDフェデレーション・ネットワークに複数のアイデンティティ・プロバイダが含まれるとき、サービス・プロバイダは、すべてのプロバイダに共通のドメインを使用して、プリンシパルが使用するアイデンティティ・プロバイダを決定します。
このボックスは、フェデレーション・ネットワークで共通ドメインが有効であることを示す場合に選択します。
共通ドメインURL
IdP導入Cookieを読み取って、ユーザーがログインしたことが最後に認識されたIdPとのシングル・サインオン・セッションを開始するために、Oracle Identity FederationがユーザーをリダイレクトするURLを入力します。サーバーはこのURL上でリスニングし、リクエストを受信し、ユーザーのブラウザが送信する導入Cookieを読取ります。
署名付を送信するメッセージ
「選択」をクリックすると、フェデレーション・プロトコル・メッセージ・タイプのリストが表示されます。Oracle Identity Federationが署名付で送信する必要があるメッセージを指定します。
署名付を要求するメッセージ
「選択」をクリックすると、フェデレーション・プロトコル・メッセージ・タイプのリストが記載されたページが表示されます。Oracle Identity Federationが受信する、署名付を要求するメッセージを指定します。
ページ下部のボタンの機能は次のとおりです。
保存: サービス・プロバイダ構成プロパティに加えた変更を保存します。
リセット: 変更を保存せず、画面を元の値にリストアします。
このページには、Oracle Identity Federationがサービス・プロバイダ・モードで送信するフェデレーション・プロトコル・メッセージ・タイプのリストが表示されます。このページを使用して、サーバーが署名するメッセージを指定します。メッセージは、トランスポート・バインディングとともに表示されます。
使用可能なメッセージ
このリストのメッセージは無署名で送信されます。
選択したメッセージ
このリストのメッセージは、署名されて送信されます。
アクション
ページにあるボタンの機能は次のとおりです。
移動: 選択したメッセージ・タイプを「選択したメッセージ」リストに移動します。複数のメッセージ・タイプを選択するには、[Ctrl]キーを使用します。
すべて移動: 現在「使用可能なメッセージ」リストにあるすべてのメッセージを、「選択したメッセージ」リストに移動します。
削除: 選択したメッセージ・タイプを、「選択したメッセージ」リストから「使用可能なメッセージ」リストに移動します。複数のメッセージ・タイプを選択するには、[Ctrl]キーを使用します。
すべて削除: 現在「選択したメッセージ」リストにあるすべてのメッセージを、「使用可能なメッセージ」リストに移動します。
メッセージ・タイプをダブルクリックして、メッセージ・タイプを片方からもう一方へ移動することもできます。
ページ下部のボタンの機能は次のとおりです。
適用: 署名付/無署名メッセージのページに加えた変更を保存します。
取消: 変更を保存しないで「サービス・プロバイダ: グローバル設定」ページに戻ります。
このページには、Oracle Identity Federationがサービス・プロバイダ・モードで受信したフェデレーション・プロトコル・メッセージ・タイプのリストが表示されます。このページを使用して、サーバーが署名を要求するメッセージを指定します。メッセージは、トランスポート・バインディングとともに表示されます。
使用可能なメッセージ
このリストのメッセージには署名の必要はありません。
選択したメッセージ
このリストのメッセージには署名が必要です。
アクション
ページにあるボタンの機能は次のとおりです。
移動: 選択したメッセージ・タイプを「選択したメッセージ」リストに移動します。複数のメッセージ・タイプを選択するには、[Ctrl]キーを使用します。
すべて移動: 現在「使用可能なメッセージ」リストにあるすべてのメッセージを、「選択したメッセージ」リストに移動します。
削除: 選択したメッセージ・タイプを、「選択したメッセージ」リストから「使用可能なメッセージ」リストに移動します。複数のメッセージ・タイプを選択するには、[Ctrl]キーを使用します。
すべて削除: 現在「選択したメッセージ」リストにあるすべてのメッセージを、「使用可能なメッセージ」リストに移動します。
メッセージ・タイプをダブルクリックして、メッセージ・タイプを片方からもう一方へ移動することもできます。
ページ下部のボタンの機能は次のとおりです。
適用: 署名付/無署名メッセージのページに加えた変更を保存します。
取消: 変更を保存しないで「サービス・プロバイダ: グローバル設定」ページに戻ります。
この項では、Oracle Identity Federationでプロトコル固有のアイデンティティ・プロバイダ(IdP)プロパティを編集および更新する方法を説明します。内容は次のとおりです。
このページは、Oracle Identity FederationインスタンスのLiberty 1.1プロトコルにおいてIdPプロパティを保守するために使用します。
ページには次のオプションがあります。
プロトコル・プロファイルの有効化
「選択」をクリックすると、Liberty 1.1のIdPモードでこのフェデレーション・サーバー・インスタンスに対して有効にするプロトコル・プロファイルと転送バインディングを選択できます。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
フェデレーション終了有効
このボックスを選択すると、フェデレーション終了機能が有効になります。
この機能の説明は、「フェデレーション終了プロファイル」を参照してください。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
名前ID登録有効
この機能の説明は、「名前識別子プロファイル」を参照してください。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
グローバル値の使用: すべて選択
Liberty 1.1に固有のいくつかのIdPプロパティをこのページで指定できます。このボックスを選択すると、グローバルIdPプロパティ設定が次のローカル設定を上書きするように指定できます。
アーティファクト・タイムアウト
リクエスト・タイムアウト
アサーション有効期間
再認証までの時間
サーバー・クロック・ドリフト
デフォルト・バインディング
デフォルトSSOレスポンス・バインディング
「すべて選択」は次のように使用します。
グローバルアイデンティティ・プロバイダ・プロパティ設定が、リストにあるすべてのプロパティを上書きするように指定する場合にボックスを選択します。
すべてのプロパティのローカル設定がグローバル設定を上書きするようにする場合は、ボックスの選択を解除します。
指定されたプロパティのローカル設定がグローバル設定を上書きするように指定するには、そのプロパティのボックスの選択を解除します。
アーティファクト・タイムアウト
Oracle Identity Federationによって作成されるアーティファクト・オブジェクトの有効期間です(単位は秒)。デフォルトは300秒です。
リクエスト・タイムアウト
Oracle Identity Federationから送信するリクエストの有効期間です(単位は秒)。デフォルトは120秒です。
アサーション有効期間
アイデンティティ・プロバイダによって発行されたアサーションが有効である期間です(単位は秒)。有効期間外に処理されたアサーションは無効とみなされます。デフォルトは300秒です。
再認証までの時間
アイデンティティ・プロバイダによる認証ステートメントを含んでいるアサーションが有効なのは特定の期間だけで、それを過ぎるとユーザーは認証されていないものとみなされます。これがその有効期間で、これを過ぎるとサービス・プロバイダはユーザーを再度認証する必要があります(単位は秒)。デフォルトは3600秒です。
|
注意: この機能はOracleAS Single Sign-On認証に適用されます。強制再認証の制限の詳細は、「OracleAS Single Sign-OnとのOracle Identity Federationのデプロイ」を参照してください。 |
サーバー・クロック・ドリフト
アイデンティティ・プロバイダによって発行されたアサーションが有効である期間です(単位は秒)。有効期間外に処理されたアサーションは無効とみなされます。デフォルトは300秒です。
デフォルト・バインディング
ピア・プロバイダにメッセージを送信する際に、可能な場合、使用する優先バインディングを指定します。有効な値は次のとおりです。
HTTPリダイレクト
HTTP POST
SOAP
デフォルトSSOレスポンス・バインディング
必須でないアサーションをサービス・プロバイダに送信する際に、可能であればアイデンティティ・プロバイダが使用する優先バインディングを指定します。有効な値は次のとおりです。
アーティファクト
HTTP POST
ページ下部のボタンの機能は次のとおりです。
保存: アイデンティティ・プロバイダ構成プロパティに加えた変更を保存します。
リセット: 変更を保存せず、画面を元の値にリストアします。
このページは、Oracle Identity FederationインスタンスのLiberty 1.1 IdPプロファイルおよびバインディングを選択するために使用します。
使用可能なプロファイル
このリストのプロファイルとバインディングは、フェデレーション・サーバー・インスタンスに対して無効です。
選択したプロファイル
このリストのプロファイルとバインディングは、フェデレーション・サーバー・インスタンスに対して有効です。
アクション
ページにあるボタンの機能は次のとおりです。
移動: 選択したプロファイル/バインディングを「選択したプロファイル」リストに移動します。複数のプロファイル/バインディングを選択するには、[Ctrl]キーを使用します。
すべて移動: 現在「使用可能なプロファイル」リストにあるすべてのプロファイル/バインディングを、「選択したプロファイル」リストに移動します。
削除: 選択したプロファイル/バインディングを、「選択したプロファイル」リストから「使用可能なプロファイル」リストに移動します。複数のプロファイル/バインディングを選択するには、[Ctrl]キーを使用します。
すべて削除: 現在「選択したプロファイル」リストにあるすべてのプロファイル/バインディングを、「使用可能なプロファイル」リストに移動します。
ページ下部のボタンの機能は次のとおりです。
更新: プロファイル/バインディングに加えた変更を保存します。
取消: 変更を保存しないで「アイデンティティ・プロバイダ: 「Liberty 1.1」プロパティ」ページに戻ります。
このページは、Oracle Identity FederationインスタンスのLiberty 1.2プロトコルにおいてIdPプロパティを保守するために使用します。
ページには次のオプションがあります。
アサーション名前IDフォーマット
「選択」をクリックすると、IdPモードでこのフェデレーション・サーバー・インスタンスに対して有効にするLiberty 1.2プロトコルのNameIDフォーマットを選択できます。
プロトコル・プロファイルの有効化
「選択」をクリックすると、IdPモードでこのフェデレーション・サーバー・インスタンスに対して有効にするLiberty 1.2のプロトコル・プロファイルと転送バインディングを選択できます。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
フェデレーション終了有効
このボックスを選択すると、フェデレーション終了機能が有効になります。
この機能の説明は、「フェデレーション終了プロファイル」を参照してください。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
名前ID登録有効
この機能の説明は、「名前識別子プロファイル」を参照してください。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
次のフィールドはグローバル・プロパティに影響を与えます。
グローバル値の使用: すべて選択
Liberty 1.2に固有のいくつかのIdPプロパティをこのページで指定できます。このボックスをクリックすると、グローバルIdPプロパティ設定が次のローカル設定を上書きするように指定できます。
アーティファクト・タイムアウト
リクエスト・タイムアウト
アサーション有効期間
再認証までの時間
サーバー・クロック・ドリフト
デフォルト・バインディング
デフォルトSSOレスポンス・バインディング
「すべて選択」は次のように使用します。
グローバルIdPプロパティ設定が、前述のすべてのプロパティを上書きするように指定する場合にボックスを選択します。
すべてのプロパティのローカル設定がグローバル設定を上書きするようにする場合は、ボックスの選択を解除します。
指定されたプロパティのローカル設定がグローバル設定を上書きするように指定するには、そのプロパティのボックスの選択を解除します。
アーティファクト・タイムアウト
Oracle Identity Federationによって作成されるアーティファクト・オブジェクトの有効期間です(単位は秒)。デフォルトは300秒です。
リクエスト・タイムアウト
Oracle Identity Federationから送信するリクエストの有効期間です(単位は秒)。デフォルトは120秒です。
アサーション有効期間
アイデンティティ・プロバイダによって発行されたアサーションが有効である期間です(単位は秒)。有効期間外に処理されたアサーションは無効とみなされます。デフォルトは300秒です。
再認証までの時間
IdPが認証ステートメントを含んでいるアサーションを作成する際、認証が有効である時間制限が設定されます。これがその有効期間で、これを過ぎるとピア・サービス・プロバイダはユーザーを再度認証する必要があります(単位は秒)。デフォルトは3600秒です。
|
注意: この機能はOracleAS Single Sign-On認証に適用されます。強制再認証の制限の詳細は、「OracleAS Single Sign-OnとのOracle Identity Federationのデプロイ」を参照してください。 |
サーバー・クロック・ドリフト
アイデンティティ・プロバイダとして動作するOracle Identity Federationと、そのピア・サーバーとの間で許容される時間の誤差です。デフォルトは600秒です。
デフォルト・バインディング
ピア・プロバイダにメッセージを送信する際に、可能な場合、使用する優先バインディングを指定します。有効な値は次のとおりです。
HTTPリダイレクト
HTTP POST
SOAP
デフォルトSSOレスポンス・バインディング
必須でないアサーションをサービス・プロバイダに送信する際に、可能であればアイデンティティ・プロバイダが使用する優先バインディングを指定します。有効な値は次のとおりです。
HTTP POST
SOAP
ページ下部のボタンの機能は次のとおりです。
保存: アイデンティティ・プロバイダ構成プロパティに加えた変更を保存します。
リセット: 変更を保存せず、画面を元の値にリストアします。
このページは、Oracle Identity FederationインスタンスのLiberty 1.2 IdPプロファイルおよびバインディングを選択するために使用します。
使用可能なプロファイル
このリストのプロファイルとバインディングは、フェデレーション・サーバー・インスタンスに対して無効です。
選択したプロファイル
このリストのプロファイルとバインディングは、フェデレーション・サーバー・インスタンスに対して有効です。
アクション
ページにあるボタンの機能は次のとおりです。
移動: 選択したプロファイル/バインディングを「選択したプロファイル」リストに移動します。複数のプロファイル/バインディングを選択するには、[Ctrl]キーを使用します。
すべて移動: 現在「使用可能なプロファイル」リストにあるすべてのプロファイル/バインディングを、「選択したプロファイル」リストに移動します。
削除: 選択したプロファイル/バインディングを、「選択したプロファイル」リストから「使用可能なプロファイル」リストに移動します。複数のプロファイル/バインディングを選択するには、[Ctrl]キーを使用します。
すべて削除: 現在「選択したプロファイル」リストにあるすべてのプロファイル/バインディングを、「使用可能なプロファイル」リストに移動します。
ページ下部のボタンの機能は次のとおりです。
適用: サービス・プロバイダ構成プロパティに加えた変更を保存します。
取消: 変更を保存せず、画面を元の値にリストアします。
このページは、Oracle Identity FederationインスタンスのLiberty 1.2 IdP NameIDフォーマットを選択するために使用します。
このページでは、次の操作が可能です。
表示された1つ以上のアサーション名前IDフォーマットの有効化
デフォルトのアサーション名前IDフォーマットの選択
ページ下部のボタンの機能は次のとおりです。
適用: 有効な名前IDフォーマットのリストに加えた変更を保存します。
取消: 変更を保存せず、画面を元の値にリストアします。
このページは、Oracle Identity FederationインスタンスのSAML 2.0プロトコルにおけるIdPプロパティを保守するために使用します。
ページには次のオプションがあります。
アサーション名前IDフォーマット
「選択」をクリックすると、SAML 2.0のIdPモードでこのフェデレーション・サーバー・インスタンスに対して有効にするアサーション名前IDフォーマットを選択できます。
プロトコル・プロファイルの有効化
「選択」をクリックすると、SAML 2.0のIdPモードでこのフェデレーション・サーバー・インスタンスに対して有効にするプロトコル・プロファイルと転送バインディングを選択できます。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
フェデレーション終了有効
このボックスを選択すると、フェデレーション終了機能が有効になります。
この機能の説明は、「フェデレーション終了プロファイル」を参照してください。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
名前ID登録有効
このボックスをクリックすると、名前IDの登録を有効化できます。
この機能の説明は、「名前識別子プロファイル」を参照してください。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
自動アカウント・リンク有効
このボックスを選択すると、自動アカウント・リンク機能を有効化できます。IdPが、不透明でないnameid(たとえば、電子メール・アドレス、X.500名など)を含む認証リクエストを受信すると、ユーザー・アカウントからnameidが一致しているユーザーを探し、フェデレーションがまだ存在しない場合は、2つのユーザー・アカウント間に自動的にフェデレーションを作成します。
暗号化されたアサーションの送信
このボックスを選択すると、Oracle Identity Federationが暗号化されたアサーションをピア・プロバイダに送信できるようになります。
暗号化された名前IDの送信
このボックスを選択すると、Oracle Identity Federationが暗号化された名前識別子をピア・プロバイダに送信できるようになります。
暗号化された属性の送信
このボックスを選択すると、Oracle Identity Federationが暗号化された属性をピア・プロバイダに送信できるようになります。
属性レスポンダ有効
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
グローバル値の使用: すべて選択
SAML 2.0に固有のいくつかのIdPプロパティをこのページで指定できます。このボックスをクリックすると、グローバルIdPプロパティ設定が次のローカル設定を上書きするように指定できます。
アーティファクト・タイムアウト
リクエスト・タイムアウト
アサーション有効期間
再認証までの時間
サーバー・クロック・ドリフト
デフォルト・バインディング
デフォルトSSOレスポンス・バインディング
「すべて選択」は次のように使用します。
グローバルIdPプロパティ設定が、前述のすべてのプロパティを上書きするように指定する場合にボックスを選択します。
すべてのプロパティのローカル設定がグローバル設定を上書きするようにする場合は、ボックスの選択を解除します。
指定されたプロパティのローカル設定がグローバル設定を上書きするように指定するには、そのプロパティのボックスの選択を解除します。
アーティファクト・タイムアウト
Oracle Identity Federationによって作成されるアーティファクト・オブジェクトの有効期間です(単位は秒)。デフォルトは300秒です。
リクエスト・タイムアウト
Oracle Identity Federationから送信するリクエストの有効期間です(単位は秒)。デフォルトは120秒です。
アサーション有効期間
アイデンティティ・プロバイダによって発行されたアサーションが有効である期間です(単位は秒)。有効期間外に処理されたアサーションは無効とみなされます。デフォルトは300秒です。
再認証までの時間
これがその有効期間で、これを過ぎるとサービス・プロバイダはユーザーを再度認証する必要があります(単位は秒)。アイデンティティ・プロバイダによる認証ステートメントを含んでいるアサーションが有効なのはこの期間だけで、それを過ぎるとユーザーは認証されていないものとみなされます。デフォルトは3600秒です。
|
注意: この機能はOracleAS Single Sign-On認証に適用されます。強制再認証の制限の詳細は、「OracleAS Single Sign-OnとのOracle Identity Federationのデプロイ」を参照してください。 |
サーバー・クロック・ドリフト
アイデンティティ・プロバイダとして動作するOracle Identity Federationと、そのピア・サーバーとの間で許容される時間の誤差です。
デフォルト・バインディング
ピア・プロバイダにメッセージを送信する際に、可能な場合、使用する優先バインディングを指定します。有効な値は次のとおりです。
HTTPリダイレクト
HTTP POST
SOAP
デフォルトSSOレスポンス・バインディング
必須でないアサーションをサービス・プロバイダに送信する際に、可能であればアイデンティティ・プロバイダが使用する優先バインディングを指定します。有効な値は次のとおりです。
アーティファクト
HTTP POST
ページ下部のボタンの機能は次のとおりです。
更新: アイデンティティ・プロバイダ構成プロパティに加えた変更を保存します。
取消: 変更を保存せず、画面を元の値にリストアします。
このページは、SAML 2.0プロトコルのIdPプロファイルおよびバインディングを保守するために使用します。
使用可能なプロファイル
このリストのプロファイルとバインディングは、IdPモードのフェデレーション・サーバー・インスタンスに対して無効です。
選択したプロファイル
このリストのプロファイルとバインディングは、IdPモードのフェデレーション・サーバー・インスタンスに対して有効です。
アクション
ページにあるボタンの機能は次のとおりです。
移動: 選択したプロファイル/バインディングを「選択したプロファイル」リストに移動します。複数のプロファイル/バインディングを選択するには、[Ctrl]キーを使用します。
すべて移動: 現在「使用可能なプロファイル」リストにあるすべてのプロファイル/バインディングを、「選択したプロファイル」リストに移動します。
削除: 選択したプロファイル/バインディングを、「選択したプロファイル」リストから「使用可能なプロファイル」リストに移動します。複数のプロファイル/バインディングを選択するには、[Ctrl]キーを使用します。
すべて削除: 現在「選択したプロファイル」リストにあるすべてのプロファイル/バインディングを、「使用可能なプロファイル」リストに移動します。
ページ下部のボタンの機能は次のとおりです。
適用: アイデンティティ・プロバイダ・プロファイル選択に加えた変更を保存します。
取消: 変更を保存せず、画面を元の値にリストアします。
このページは、SAML 2.0プロトコルのアサーション名前識別子フォーマットを保守するために使用します。
Oracle Identity FederationインスタンスがIdPモードでSAML 2.0名前識別子の値として使用するフォーマットを有効にするには、希望のフォーマットに対応するボックスを選択します。フォーマットは次のとおりです。
表6-3 SAML 2.0 IdP NameIDフォーマット
| 名前IDフォーマット | デフォルト |
|---|---|
|
X.509サブジェクト名 |
DN |
|
電子メール・アドレス |
電子メール |
|
Windowsドメイン修飾名 |
空 |
|
Kerberosプリンシパル名 |
空 |
|
永続識別子 |
|
|
一時/単発識別子 |
デフォルト・アサーション名前IDフォーマット
IdPモードのフェデレーション・サーバーに何も指定されていないときに使用するSAML 2.0アサーション名前識別子のフォーマットです。
ページ下部のボタンの機能は次のとおりです。
適用: IdP NameID構成プロパティに加えた変更を保存します。
取消: 変更を保存しないで「SAML 2.0アイデンティティ・プロバイダ・プロパティの編集」に戻ります。
この項では、Oracle Identity Federationでプロトコル固有のサービス・プロバイダ(SP)プロパティを編集および更新する方法を説明します。内容は次のとおりです。
このページは、Liberty 1.1プロトコル用にサービス・プロバイダ・プロパティを保守するために使用します。
ページには次のオプションがあります。
プロトコル・プロファイルの有効化
「選択」をクリックすると、Liberty 1.1のSPモードでこのフェデレーション・サーバー・インスタンスに対して有効にするプロトコル・プロファイルと転送バインディングを選択できます。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
フェデレーション終了有効
このボックスを選択すると、フェデレーション終了機能が有効になります。
この機能の説明は、「フェデレーション終了プロファイル」を参照してください。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
名前ID登録有効
このボックスをクリックすると、名前IDの登録を有効化できます。
この機能の説明は、「名前識別子プロファイル」を参照してください。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
次のフィールドはグローバル・プロパティに適用されます。
グローバル値の使用: すべて選択
Liberty 1.1に固有のいくつかのSPプロパティをこのページで指定できます。このボックスをクリックすると、グローバルSPプロパティ設定が次のローカル設定を上書きするように指定できます。
不明な条件を無視
アーティファクト・タイムアウト
リクエスト・タイムアウト
サーバー・クロック・ドリフト
デフォルト・バインディング
デフォルトSSOリクエスト・バインディング
デフォルトSSOレスポンス・バインディング
デフォルトSSOアイデンティティ・プロバイダ
「すべて選択」は次のように使用します。
グローバル・サービス・プロバイダ・プロパティ設定が、リストにあるすべてのプロパティを上書きするように指定する場合にボックスを選択します。
すべてのプロパティのローカル設定がグローバル設定を上書きするようにする場合は、ボックスの選択を解除します。
指定されたプロパティのローカル設定がグローバル設定を上書きするように指定するには、そのプロパティのボックスの選択を解除します。
不明な条件を無視
条件はXMLスキーマにおける拡張ポイントです。固有のニーズに従って、たとえば、指定されたタイムゾーンでアサーションXが条件付きであることを意味する、カスタムの条件を定義できます。こうした条件は評価が難しいことがあり、このボックスを選択すると、サーバーは認識できない条件を無視できます。
リクエスト・タイムアウト
Oracle Identity Federationから送信するリクエストの有効期間です(単位は秒)。デフォルトは120秒です。
サーバー・クロック・ドリフト
サービス・プロバイダとして動作するOracle Identity Federationと、そのピア・サーバーとの間で許容される時間の誤差です。デフォルトは600秒です。
デフォルト・バインディング
ピア・プロバイダにメッセージを送信する際に、可能な場合、使用する優先バインディングを指定します。有効な値は次のとおりです。
HTTPリダイレクト
HTTP POST
SOAP
デフォルトSSOリクエスト・バインディング
認証リクエストをアイデンティティ・プロバイダに送信する際に、可能であればサービス・プロバイダが使用する優先バインディングを指定します。有効な値は次のとおりです。
HTTPリダイレクト
HTTP POST
デフォルトSSOレスポンス・バインディング
必須でないアサーションをサービス・プロバイダに送信する際に、可能であればアイデンティティ・プロバイダが使用する優先バインディングを指定します。有効な値は次のとおりです。
アーティファクト
HTTP POST
デフォルトSSOアイデンティティ・プロバイダ
シングル・サインオン操作を実行する際に使用するデフォルトのIdPです。使用できるIdPのリストからプロバイダを選択します。
ページ下部のボタンの機能は次のとおりです。
保存: サービス・プロバイダ構成プロパティに加えた変更を保存します。
リセット: 変更を保存せず、画面を元の値にリストアします。
このページは、サービス・プロバイダ・ロールでOracle Identity FederationのLiberty 1.1プロトコルのプロファイルとバインディングを保守するために使用します。
使用可能なプロファイル
このリストのプロファイルとバインディングは、フェデレーション・サーバー・インスタンスに対して無効です。
選択したプロファイル
このリストのプロファイルとバインディングは、フェデレーション・サーバー・インスタンスに対して有効です。
アクション
ページにあるボタンの機能は次のとおりです。
移動: 選択したプロファイル/バインディングを「選択したプロファイル」リストに移動します。複数のプロファイル/バインディングを選択するには、[Ctrl]キーを使用します。
すべて移動: 現在「使用可能なプロファイル」リストにあるすべてのプロファイル/バインディングを、「選択したプロファイル」リストに移動します。
削除: 選択したプロファイル/バインディングを、「選択したプロファイル」リストから「使用可能なプロファイル」リストに移動します。複数のプロファイル/バインディングを選択するには、[Ctrl]キーを使用します。
すべて削除: 現在「選択したプロファイル」リストにあるすべてのプロファイル/バインディングを、「使用可能なプロファイル」リストに移動します。
ページ下部のボタンの機能は次のとおりです。
適用: サーバー・プロバイダのプロファイル/バインディングに加えた変更を保存します。
取消: 変更を保存しないでサービス・プロバイダLiberty 1.1プロパティに戻ります。
このページは、Liberty 1.2プロトコルのサービス・プロバイダとしてOracle Identity Federationプロパティを保守するために使用します。
ページには次のオプションがあります。
プロトコル・プロファイルの有効化
「選択」をクリックすると、Liberty 1.2のSPモードでこのフェデレーション・サーバー・インスタンスに対して有効にするプロトコル・プロファイルと転送バインディングを選択できます。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
フェデレーション終了有効
このボックスを選択すると、フェデレーション終了機能が有効になります。
この機能の説明は、「フェデレーション終了プロファイル」を参照してください。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
名前ID登録有効
このボックスをクリックすると、名前IDの登録を有効化できます。
この機能の説明は、「名前識別子プロファイル」を参照してください。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
デフォルト認証リクエスト名前IDフォーマット
リスト・ボックスを使用して認証リクエスト用のデフォルトの名前IDフォーマットを選択します。選択肢は次のとおりです。
永続識別子
一時/単発識別子
未指定
「未指定」に設定すると、IdPによりフォーマットが決定されます。
次のフィールドはグローバルSP設定に関連しています。
グローバル値の使用: すべて選択
Liberty 1.2に固有のいくつかのSPプロパティをこのページで指定できます。このボックスをクリックすると、グローバルSPプロパティ設定が次のローカル設定を上書きするように指定できます。
不明な条件を無視
アーティファクト・タイムアウト
リクエスト・タイムアウト
サーバー・クロック・ドリフト
デフォルト・バインディング
デフォルトSSOリクエスト・バインディング
デフォルトSSOレスポンス・バインディング
デフォルトSSOアイデンティティ・プロバイダ
「すべて選択」は次のように使用します。
グローバル・サービス・プロバイダ・プロパティ設定が、リストにあるすべてのプロパティを上書きするように指定する場合にボックスを選択します。
すべてのプロパティのローカル設定がグローバル設定を上書きするようにする場合は、ボックスの選択を解除します。
指定されたプロパティのローカル設定がグローバル設定を上書きするように指定するには、そのプロパティのボックスの選択を解除します。
不明な条件を無視
条件はXMLスキーマにおける拡張ポイントです。固有のニーズに従って、たとえば、指定されたタイムゾーンでアサーションXが条件付きであることを意味する、カスタムの条件を定義できます。こうした条件は評価が難しいことがあり、このボックスを選択すると、サーバーは認識できない条件を無視できます。
リクエスト・タイムアウト
Oracle Identity Federationから送信するアーティファクト・リクエストの有効期間です(単位は秒)。デフォルトは120秒です。
サーバー・クロック・ドリフト
サービス・プロバイダとして動作するOracle Identity Federationと、そのピア・サーバーとの間で許容される時間の誤差です。デフォルトは600秒です。
デフォルト・バインディング
ピア・プロバイダにメッセージを送信する際に、可能な場合、使用する優先バインディングを指定します。有効な値は次のとおりです。
HTTPリダイレクト
HTTP POST
SOAP
デフォルトSSOリクエスト・バインディング
認証リクエストをアイデンティティ・プロバイダに送信する際に、可能であればサービス・プロバイダが使用する優先バインディングを指定します。有効な値は次のとおりです。
HTTPリダイレクト
HTTP POST
デフォルトSSOレスポンス・バインディング
必須でないアサーションをサービス・プロバイダに送信する際に、可能であればアイデンティティ・プロバイダが使用する優先バインディングを指定します。有効な値は次のとおりです。
アーティファクト
HTTP POST
デフォルトSSOアイデンティティ・プロバイダ
シングル・サインオン操作を実行する際に使用するデフォルトのIdPです。使用できるIdPのリストからプロバイダを選択します。
ページ下部のボタンの機能は次のとおりです。
保存: サービス・プロバイダ構成プロパティに加えた変更を保存します。
リセット: 変更を保存せず、画面を元の値にリストアします。
このページは、Oracle Identity FederationのLiberty 1.2プロトコル用プロファイルおよびバインディングを保守するために使用します。
使用可能なプロファイル
このリストのプロファイルとバインディングは、フェデレーション・サーバー・インスタンスに対して無効です。
選択したプロファイル
このリストのプロファイルとバインディングは、フェデレーション・サーバー・インスタンスに対して有効です。
アクション
ページにあるボタンの機能は次のとおりです。
移動: 選択したプロファイル/バインディングを「選択したプロファイル」リストに移動します。複数のプロファイル/バインディングを選択するには、[Ctrl]キーを使用します。
すべて移動: 現在「使用可能なプロファイル」リストにあるすべてのプロファイル/バインディングを、「選択したプロファイル」リストに移動します。
削除: 選択したプロファイル/バインディングを、「選択したプロファイル」リストから「使用可能なプロファイル」リストに移動します。複数のプロファイル/バインディングを選択するには、[Ctrl]キーを使用します。
すべて削除: 現在「選択したプロファイル」リストにあるすべてのプロファイル/バインディングを、「使用可能なプロファイル」リストに移動します。
ページ下部のボタンの機能は次のとおりです。
適用: サーバー・プロバイダのプロファイル/バインディングに加えた変更を保存します。
取消: 変更を保存しないでサービス・プロバイダLiberty 1.2プロパティに戻ります。
このページは、SAML 2.0プロトコルのサービス・プロバイダ・モードでOracle Identity Federationプロパティを保守するために使用します。
ページには次のオプションがあります。
プロトコル・プロファイルの有効化
「選択」をクリックすると、SAML 2.0のサービス・プロバイダ・モードでこのフェデレーション・サーバー・インスタンスに対して有効にするプロトコル・プロファイルと転送バインディングを選択できます。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
フェデレーション終了有効
このボックスを選択すると、フェデレーション終了機能が有効になります。
この機能の説明は、「フェデレーション終了プロファイル」を参照してください。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
名前ID登録有効
このボックスをクリックすると、名前IDの登録機能を有効化できます。
この機能の説明は、「名前識別子プロファイル」を参照してください。
|
注意: このプロパティはサーバー・メタデータに影響します。このプロパティを更新する場合は、トラスト・サークル内のすべてのプロバイダに、更新したメタデータを配布します。 |
属性リクエスタ有効
このボックスが選択されている場合、SAML属性共有プロファイルが有効です。
デフォルト認証リクエスト名前IDフォーマット
リスト・ボックスを使用して認証リクエスト用のデフォルトの名前IDフォーマットを選択します。選択肢は次のとおりです。
X.509サブジェクト名
電子メール・アドレス
Windowsドメイン修飾名
Kerberosプリンシパル名
永続識別子
一時/単発識別子
未指定
アカウント・リンク名前IDフォーマット
「選択」をクリックし、SAML 2.0 SSOプロトコルの自動アカウント・リンクの名前識別子フォーマットを保守します。
自動アカウント・リンク有効
サービス・プロバイダがピアアイデンティティ・プロバイダから認証アサーションを受信し、アサーションで参照されているフェデレーションが存在しない場合、SPはユーザーがフェデレーションを作成して、アカウント・リンク操作を実行することをローカルに認証する必要があります。
このボックスを選択して自動アカウント・リンク機能を有効にすると、SPは、アサーションに含まれる不透明でない名前ID(電子メール、X.509など)を使用してユーザーを見つけ、自動的に認証してアカウント・リンク手順を実行します。
|
注意:
|
暗号化された名前IDの送信
このボックスを選択すると、Oracle Identity Federationが暗号化された名前識別子をピア・プロバイダに送信できるようになります。
暗号化された属性の送信
このボックスを選択すると、Oracle Identity Federationが暗号化された属性をピア・プロバイダに送信できるようになります。
グローバル値の使用: すべて選択
SAML 2.0に適用できるいくつかのサービス・プロバイダ・プロパティは、このページで指定できます。
不明な条件を無視
アーティファクト・タイムアウト
リクエスト・タイムアウト
サーバー・クロック・ドリフト
デフォルト・バインディング
デフォルトSSOリクエスト・バインディング
デフォルトSSOレスポンス・バインディング
デフォルトSSOアイデンティティ・プロバイダ
「すべて選択」は次のように使用します。
グローバル・サービス・プロバイダ・プロパティ設定が、リストにあるすべてのプロパティを上書きするように指定する場合にボックスを選択します。
すべてのプロパティのローカル設定がグローバル設定を上書きするようにする場合は、ボックスの選択を解除します。
指定されたプロパティのローカル設定がグローバル設定を上書きするように指定するには、そのプロパティのボックスの選択を解除します。
不明な条件を無視
条件はXMLスキーマにおける拡張ポイントです。固有のニーズに従って、たとえば、指定されたタイムゾーンでアサーションXが条件付きであることを意味する、カスタムの条件を定義できます。こうした条件は評価が難しいことがあり、このボックスを選択すると、サーバーは認識できない条件を無視できます。
リクエスト・タイムアウト
Oracle Identity Federationから送信するリクエストの有効期間です(単位は秒)。
サーバー・クロック・ドリフト
サービス・プロバイダとして動作するOracle Identity Federationと、そのピア・サーバーとの間で許容される時間の誤差です。
デフォルト・バインディング
ピア・プロバイダにメッセージを送信する際に、可能な場合、使用する優先バインディングを指定します。有効な値は次のとおりです。
HTTPリダイレクト
HTTP POST
SOAP
デフォルトSSOリクエスト・バインディング
認証リクエストをアイデンティティ・プロバイダに送信する際に、可能であればサービス・プロバイダが使用する優先バインディングを指定します。有効な値は次のとおりです。
HTTPリダイレクト
HTTP POST
デフォルトSSOレスポンス・バインディング
必須でないアサーションをサービス・プロバイダに送信する際に、可能であればアイデンティティ・プロバイダが使用する優先バインディングを指定します。有効な値は次のとおりです。
アーティファクト
HTTP POST
デフォルトSSOアイデンティティ・プロバイダ
シングル・サインオン操作を実行する際に使用するデフォルトのアイデンティティ・プロバイダです。リスト・ボックスで表示された選択肢からプロバイダIDを選択します。
ページ下部のボタンの機能は次のとおりです。
保存: サーバー・プロバイダのプロファイル/バインディングに加えた変更を保存します。
リセット: 変更を保存せず、画面を元の値にリストアします。
このページは、SAML 2.0プロトコルのSPプロファイルおよびバインディングを保守するために使用します。
使用可能なプロファイル
このリストのプロファイルとバインディングは、SPモードのフェデレーション・サーバー・インスタンスに対して無効です。
選択したプロファイル
このリストのプロファイルとバインディングは、SPモードのフェデレーション・サーバー・インスタンスに対して有効です。
アクション
ページにあるボタンの機能は次のとおりです。
移動: 選択したプロファイル/バインディングを「選択したプロファイル」リストに移動します。複数のプロファイル/バインディングを選択するには、[Ctrl]キーを使用します。
すべて移動: 現在「使用可能なプロファイル」リストにあるすべてのプロファイル/バインディングを、「選択したプロファイル」リストに移動します。
削除: 選択したプロファイル/バインディングを、「選択したプロファイル」リストから「使用可能なプロファイル」リストに移動します。複数のプロファイル/バインディングを選択するには、[Ctrl]キーを使用します。
すべて削除: 現在「選択したプロファイル」リストにあるすべてのプロファイル/バインディングを、「使用可能なプロファイル」リストに移動します。
ページ下部のボタンの機能は次のとおりです。
適用: サーバー・プロバイダのプロファイル/バインディングに加えた変更を保存します。
取消: 変更を保存しないで「サービス・プロバイダSAML 2.0プロパティ」ページに戻ります。
このページは、SPモードのOracle Identity FederationのSAML 2.0プロトコル名前識別子を保守するために使用します。
Oracle Identity FederationインスタンスがIdPモードでSAML 2.0名前識別子の値として使用するフォーマットを有効にするには、希望のフォーマットに対応する「有効化」ボックスを選択します。
名前IDフォーマット
この列には、使用できるSAML 2.0 NameIDフォーマットが表示されます。
ユーザー属性マッピング
選択した名前IDフォーマットの属性名を入力します。Oracle Identity Federationは、この属性名を使用して、ユーザー・データ・ストアから、このフォーマットの名前IDを検索します。
名前識別子のフォーマットは次のとおりです。
表6-4 SAML 2.0 SPのNameIDフォーマット
| 名前IDフォーマット | マッピング |
|---|---|
|
X.509サブジェクト名 |
DN |
|
電子メール・アドレス |
電子メール |
|
Windowsドメイン修飾名 |
空 |
|
Kerberosプリンシパル名 |
空 |
ページ下部のボタンの機能は次のとおりです。
保存: 名前IDフォーマット選択に加えた変更を保存します。
リセット: 変更を保存しないでサービス・プロバイダSAML 2.0プロパティに戻ります。
このページは、DNまたはサブDNのIdPへのマッピングを構成するために使用します。この構成は、属性共有プロファイルとともに使用されます。
アプリケーションがOracle Identity FederationサーバーにX.509 SubjectDNとともに属性リクエストを送信する場合、サーバーはこれらのマッピングを使用して、どのIdPにSAML 2.0 AttributeQueryメッセージを送信するかをアプリケーションにかわって決定します。Oracle Identity Federationは、SubjectDNとここで構成したDNSを、上位のDNから下位のDNに向かって比較します。
2つの同等の企業の例を考えてみましょう。PeerAには1つのアイデンティティ・プロバイダ、PeerBには、部門Div1、Div2および他のすべての部門のための3つのアイデンティティ・プロバイダがあります。属性リクエスタ・マッピングは次のようになります。
表6-5 DNからIdPへのマッピング例
| DN | IdP |
|---|---|
|
O=PeerA,C=US |
http://fed.peera.com/fed/idp |
|
OU=Div1,O=PeerB,C=US |
http://fed.div1.peerb.com/fed/idp |
|
OU=Div2,O=PeerB,C=US |
http://fed.div2.peerb.com/fed/idp |
|
O=PeerB,C=US |
http://fed.other.peerb.com/fed/idp |
表6-6 SubjectDNからIdPへのマッピング例
| SubjectDN | IdPへのマップ |
|---|---|
|
CN=John Doe,OU=DeptA,O=PeerA,C=US |
http://fed.peera.com/fed/idp |
|
CN=Jane Smith,OU=Div1,O=PeerB,C=US |
http://fed.div1.peerb.com/fed/idp |
|
CN=Bill Jones,OU=DeptY,OU=Div2,O=PeerB,C=US |
http://fed.div2.peerb.com/fed/idp |
|
CN=Sam McCoy,OU=Div5,O=PeerB,C=US |
http://fed.other.peerb.com/fed/idp |
DNパターン
マップされたDNまたはサブDNです。
アイデンティティ・プロバイダ/属性レスポンダ
DNがマップされているアイデンティティ・プロバイダまたは属性レスポンダのURLです。
削除
このボックスを選択して「更新」ボタンを使用すると、既存のマッピングを削除できます。
不明なRDNコンポーネントの処理上の注意
DNパターンにOracle Identity Federationに認識されていないRDNコンポーネント・タイプが含まれる場合、レスポンダ・マッピング・リストにエントリを追加できません。
この問題は、Oracle Identity Federationサーバー構成ファイルにRDNコンポーネント・タイプを定義して、サーバーが認識できるようにすることで解決できます。次の手順に従ってください。
$ORACLE_HOME/fed/conf/config.xmlファイルを開きます。
エントリ<Config name="dnidpmapping">を検索します。次に示すようにして、RDNコンポーネント・タイプを追加します。
<propertyset name="x500rdns">
<propertyvalue>Email</propertyvalue>
<propertyvalue>emailAddress</propertyvalue>
<propertyvalue>NEW_RDN_COMPONENT</propertyvalue>
</propertyset>
<property name="Email">1.2.840.113549.1.9.1</property>
<property name="emailAddress">1.2.840.113549.1.9.1</property>
<property name="NEW_RDN_COMPONENT">NEW_OID</property>
変更を保存してサーバーを再起動します。
|
注意:
|
アクション
ページにあるボタンの機能は次のとおりです。
マッピングの追加: DNからIdPへのマッピング情報に新しい行を追加します。
適用: 属性レスポンダ・マッピングに、新しいマッピングを追加したり、加えた変更を削除または保存したりします。
新しいマッピングを追加したら、更新をクリックして新しいエントリを格納します。
既存のマッピングを削除するには、「削除」列で対応するボックスを選択し、「更新」をクリックします。
取消: 変更を保存しないでメインのサーバー構成ページに戻ります。
この項では、Oracle Identity Federationでトラスト・サークルのプロパティを編集および保守する方法を説明します。内容は次のとおりです。
トラスト・サークルでは、他のプロバイダのコンテキストで構成データが管理されることに注意してください。構成の詳細はプロバイダのメタデータに影響を与えるため、一部のデータが変更された場合、再公開する必要があります。これは双方向の交換です。サイト管理者はメタデータを公開してピア・プロバイダがこのデータをロードできるようにします。管理者はまた、トラスト・サークル内のピア・プロバイダによって公開されたメタデータのロードも行います。
このページは、Oracle Identity Federationのトラスト・サークルに、信頼できるプロバイダを追加および更新するために使用します。このページには、次の3つのタイプのエンティティが表示されます。
アイデンティティ・プロバイダ
サービス・プロバイダ
アフィリエーション(プロバイダのグループ)
信頼できるプロバイダ
現在トラスト・サークルにある、アイデンティティ・プロバイダ、サービス・プロバイダおよびアフィリエーションを別々にまとめて一覧表示します。それぞれのフィールドは次のとおりです。
プロバイダID: プロバイダID
説明: プロバイダの簡単な説明
バージョン: プロトコルのバージョン
1.1(Liberty 1.1)
1.2(Liberty 1.2)
2.0(SAML 2.0)
現在の信頼できるIdP、SPおよびアフィリエーションからプロバイダを選択し、次のボタンを使用することで機能を実行できます。
更新: プロバイダまたはアフィリエーション・プロパティを更新します。
削除: プロバイダまたはアフィリエーションをトラスト・サークルから削除します。
|
注意: デフォルトのSingle Sign-On(SSO)アイデンティティ・プロバイダ(「サービス・プロバイダ: グローバル設定」ページで定義)として動作しているプロバイダをトラスト・サークルから削除する場合は、そのページで新しいデフォルトのIdPを選択する必要があります。 |
信頼できるプロバイダの追加
追加のピア・プロバイダをトラスト・サークルに入れることができます。フィールドは次のとおりです。
メタデータのロケーション: ピア・プロバイダのメタデータが含まれるファイルの場所です。場所を選択するには「参照」をクリックします。
説明: プロバイダの簡単な説明です。
トラスト・サークルにプロバイダを追加するには「追加」ボタンを使用します。
|
注意: トラスト・サークルに新しいプロバイダを追加する場合、そのプロバイダは自動的に有効化され、そのプロバイダに対してフェデレーション操作を実行できます。 |
Oracle Identity Federation 10.1.4.2は、準拠しているフェデレーション・サーバーによって公開されるサービスを記述するXMLメタデータ文書でXMLデジタル署名をサポートしています。Oracle Identity Federationは、メタデータ署名に次のサポートを提供します。
Oracle Identity Federationが公開するメタデータにデジタルで署名します。
サーバーにアップロードされるメタデータ文書にあるXMLデジタル署名を検証します。検証が失敗すると、メタデータはアップロードされません。
トラスト・サークルにアップロードするためにメタデータでXMLデジタル署名を必要とするようサーバーを構成します。
公開するメタデータに署名するようOracle Identity Federationを構成するには、次の手順を実行します。
$ORACLE_HOME/fed/conf/config.xmlファイルを開きます。
FederationConfig XML要素の場所を特定し、そのuseLocalConfig属性をtrueに設定します。
<FederationConfig useLocalConfig="true">
serverconfigという名前のXML Config要素の場所を特定し、metadatasignプロパティを検索します。
<Config name="serverconfig"> ... <property name="metadatasign">false</property> ... </Config>
XMLメタデータ文書に署名するようOracle Identity Federationを構成する場合は、プロパティの値をtrueに変更します。メタデータに署名しない場合は、falseに変更します。
ファイルを保存して終了します。
OC4J_FEDインスタンスを再起動します。
トラスト・サークルに記述子をインポートするときに、署名されたメタデータを要求するようOracle Identity Federationを構成するには、次の手順を実行します。
$ORACLE_HOME/fed/conf/config.xmlファイルを開きます。
FederationConfig XML要素の場所を特定し、そのuseLocalConfig属性をtrueに設定します。
<FederationConfig useLocalConfig="true">
serverconfigという名前のXML Config要素の場所を特定し、metadatarequiresignedプロパティを検索します。
<Config name="serverconfig"> ... <property name="metadatarequiresigned">false</property> ... </Config>
署名されたXMLメタデータ文書を要求する場合は、プロパティの値をtrueに変更します。署名されたメタデータと署名されていないメタデータの両方を受け入れる場合は、値をfalseに変更します。
ファイルを保存して終了します。
OC4J_FEDインスタンスを再起動します。
「トラスト・サークル」ページで選択したプロバイダに対して「更新」をクリックすると、トラスト・サークル内の信頼できるプロバイダのプロパティを編集できます。
ローカル・プロパティ(ここで定義されるプロパティ)とグローバル・プロパティ(グローバル設定またはプロトコル設定から継承されたプロパティ)が別々に表示されます。
ローカル・プロパティは次のとおりです。
プロバイダID
URIフォーマットで表記したプロバイダIDです。
説明
プロバイダの説明です。
メタデータのロケーション
メタデータへのファイル・パスを入力します。
メタデータが変更された場合は、「新規のロード」ボタンを使用して新しいメタデータをアップロードできます。
プロバイダの有効化
このボックスを選択すると、トラスト・サークル内でこのプロバイダが有効になります。
|
注意: 次の2つのフィールド、「SSOの属性を有効化 [1]」と「属性マッピング」は、サーバー・インスタンスがアイデンティティ・プロバイダとして動作し、信頼できるプロバイダ(ここで設定)がサービス・プロバイダである場合のみ適用されます。 |
SSOの属性を有効化 [1]
このボックスをクリックすることで、Oracle Identity FederationがIdP動作している場合に認証アサーションとともに属性を送信するように指定できます。
属性マッピング
サーバーが認証アサーションとともに属性を送信するように指定するには、「選択」をクリックして属性を定義します。
IdPが属性問合せリクエストを受信し、属性アサーションを返信する属性権限として動作する場合は、属性マッピングを構成する必要があります。
次のフィールドはグローバル・プロパティに関連します。
グローバル値の使用: すべて選択
このページでいくつかのグローバル・プロパティを定義できます。
「すべて選択」は次のように使用します。
グローバルな信頼できるプロバイダ設定が、リストにあるすべてのプロパティを上書きするように指定する場合にボックスを選択します。
すべてのプロパティのローカル設定がグローバル設定を上書きするようにする場合は、ボックスの選択を解除します。
ユーザー承諾を強制
このボックスを選択すると、新しいフェデレーションを設定する際に承諾が必要になります。フェデレーション・サーバーにリダイレクトされたユーザーが続行するためには、リンクを明示的に承諾または拒否する必要があります。
ユーザー承諾URL
フェデレーションの承諾を取得するためにユーザーに表示されるURLを入力します。
サーバーはこのURLにいくつかの問合せパラメータを渡します。
表6-7 ユーザー承諾URLに渡されるパラメータ(ローカル設定)
| パラメータ | 説明 |
|---|---|
|
providerid |
ピア・プロバイダのIDです。 |
|
description |
ピア・プロバイダIDの説明です。 |
|
returnurl |
承諾の決定がされた場合に、ユーザーが導かれるURLです。 |
|
refid |
returnurlに問合せパラメータとして渡されます。サーバーが承諾URLにリダイレクトされる前に実行していた操作をOracle Identity Federationが再開するには、このパラメータが必要です。 |
このフィールドは、「ユーザー承諾を強制」が選択されている場合のみ使用します。
<%
String prefix = request.getContextPath();
String redirectURL = request.getParameter("returnurl");
String refID = request.getParameter("refid");
String providerID = request.getParameter("providerid");
String desc = request.getParameter("description");
%>
<HTML>
<BODY>
Do you consent to create a federation with <%=providerID%> (<%=desc%>):<br>
<form method="POST" action="<%=redirectURL%>">
<input type="checkbox" name="userconsent" value="true"/>I agree<br>
<input type="submit" value="OK" />
<input type="hidden" name="refid" value="<%=refID%>"/>
</form>
</BODY>
</HTML>
不明な条件を無視
条件はXMLスキーマにおける拡張ポイントです。固有のニーズに従って、たとえば、指定されたタイムゾーンでアサーションXが条件付きであることを意味する、カスタムの条件を定義できます。こうした条件は評価が難しいことがあり、このボックスを選択すると、サーバーは認識できない条件を無視できます。
アーティファクト・タイムアウト
Oracle Identity Federationによって作成されるアーティファクト・オブジェクトの有効期間です(単位は秒)。このサーバー・インスタンスがアイデンティティ・プロバイダとして動作している場合のみ使用します。
リクエスト・タイムアウト
Oracle Identity Federationから送信するリクエストの有効期間です(単位は秒)。
アサーション有効期間
アイデンティティ・プロバイダによって発行されたアサーションが有効である期間です(単位は秒)。有効期間外に処理されたアサーションは無効とみなされます。このサーバー・インスタンスがアイデンティティ・プロバイダとして動作している場合のみ使用します。
再認証までの時間
これがその有効期間で、これを過ぎるとサービス・プロバイダはユーザーを再度認証する必要があります(単位は秒)。アイデンティティ・プロバイダによる認証ステートメントを含んでいるアサーションが有効なのはこの期間だけで、それを過ぎるとユーザーは認証されていないものとみなされます。
このサーバー・インスタンスがアイデンティティ・プロバイダとして動作している場合のみ使用します。
|
注意: この機能はOracleAS Single Sign-On認証に適用されます。強制再認証の制限の詳細は、「OracleAS Single Sign-OnとのOracle Identity Federationのデプロイ」を参照してください。 |
サーバー・クロック・ドリフト
アイデンティティ・プロバイダとして動作するOracle Identity Federationと、そのピア・サーバーとの間で許容される時間の誤差です。
デフォルト・バインディング
ピア・プロバイダにメッセージを送信する際に、可能な場合、使用する優先バインディングを指定します。有効な値は次のとおりです。
HTTPリダイレクト
HTTP POST
SOAP
デフォルトSSOリクエスト・バインディング
認証リクエストをアイデンティティ・プロバイダに送信する際に、可能であればサービス・プロバイダが使用する優先バインディングを指定します。このサーバー・インスタンスがサービス・プロバイダとして動作している場合のみ使用します。有効な値は次のとおりです。
HTTPリダイレクト
HTTP POST
デフォルトSSOレスポンス・バインディング
必須でないアサーションをサービス・プロバイダに送信する際に、可能であればアイデンティティ・プロバイダが使用する優先バインディングを指定します。有効な値は次のとおりです。
アーティファクト
HTTP POST
非送信請求SSOリレー状態
IdPが必須でないシングル・サインオン操作を実行する場合、サービス・プロバイダにリレー状態を伝えることができます。ボックスの選択を外して、リレー状態を入力します。
このフィールドは、サーバー・インスタンスがサービス・プロバイダとして動作している場合にも使用されます。サービス・プロバイダが認証レスポンスでアイデンティティ・プロバイダからリレー状態を受信しなかった場合、サービス・プロバイダはここで入力するリレー状態を使用します。
非送信請求SSOリレー状態は、シングル・サインオン操作が正常に終了した後にユーザーが送られる最終のターゲットURLとして使用できます。
Oracle Identity Federation SPが必須でないアサーションを受信すると、ユーザーはSSO操作に続いてアサーションで指定されたリレー状態に送られます。アサーションのリレー状態フィールドが空の場合、ユーザーのリダイレクトには非送信請求SSOリレー状態が使用されます。
暗号化されたアサーションの送信
このボックスを選択すると、Oracle Identity Federationが暗号化されたアサーションをピア・プロバイダに送信できるようになります。サーバー・インスタンスがアイデンティティ・プロバイダとして動作しており、信頼できるプロバイダ(ここで構成)がサービス・プロバイダである場合のみ使用してください。
|
注意: このフィールドはSAML 2.0にのみ適用されます。 |
暗号化された名前IDの送信
このボックスを選択すると、Oracle Identity Federationが暗号化された名前識別子をピア・プロバイダに送信できるようになります。
|
注意: このフィールドはSAML 2.0にのみ適用されます。 |
暗号化された属性の送信
このボックスを選択すると、Oracle Identity Federationが暗号化された属性をピア・プロバイダに送信できるようになります。サーバー・インスタンスがアイデンティティ・プロバイダとして動作しており、信頼できるプロバイダ(ここで構成)がサービス・プロバイダである場合のみ使用してください。
|
注意: このフィールドはSAML 2.0にのみ適用されます。 |
フェデレーション作成を許可
このフィールドは、サーバー・インスタンスがサービス・プロバイダとして動作しており、信頼できるプロバイダ(ここで構成)がアイデンティティ・プロバイダである場合のみ使用してください。このボックスは、プロバイダ間のフェデレーションを許可する場合に選択します。
必要なフェデレーションがすでにあり、SP/IdPとピア・プロバイダの間に新しいフェデレーションを作成する必要がない場合は、このボックスを選択しないでください。
自動アカウント・リンク有効
このボックスをクリックすると、自動アカウント・リンクを有効化できます。
署名付を送信するメッセージ
選択をクリックすると、フェデレーション・プロトコル・メッセージ・タイプのリストが表示されます。IdPモードでOracle Identity Federationが署名して送信できるメッセージを指定します。
署名付を要求するメッセージ
「選択」をクリックすると、フェデレーション・プロトコル・メッセージ・タイプのリストが記載されたページが表示されます。IdPモードでOracle Identity Federationが受信する、署名付を要求するメッセージを指定します。
名前IDフォーマット
「選択」をクリックすると、何も指定されていない場合に使用する名前IDフォーマットを選択できます。選択肢は次のとおりです。
X.509サブジェクト名
電子メール・アドレス
Windowsドメイン修飾名
Kerberosプリンシパル名
永続識別子[1]
一時/単発識別子[1]
デフォルト認証リクエスト名前IDフォーマット
リスト・ボックスを使用して認証リクエスト用のデフォルトの名前IDフォーマットを選択します。選択肢は次のとおりです。
X.509サブジェクト名
電子メール・アドレス
Windowsドメイン修飾名
Kerberosプリンシパル名
永続識別子
一時/単発識別子
未指定
ページ下部のボタンの機能は次のとおりです。
適用: 信頼できるプロバイダのプロパティに加えた変更を保存します。
取消: 変更を保存せず、画面を元の値にリストアします。
信頼できるアイデンティティ・プロバイダの属性を有効にしている場合、このページを使用して、SSO属性マッピングと名前IDフォーマットを保守できます。
属性マッピング
各属性は、次のプロパティで構成されています。
値の検索先となるデータ・ストアでのユーザー属性名。
アサーションに含められるSAML属性名。
Liberty 1.1、Liberty 1.2およびSAML 2.0プロトコルでのみ使用される、任意のURIで構成される属性ネームスペースを指定する属性フォーマット。
SSOアサーションで送信
属性を認証アサーションに送信するにはこのボックスを選択します。
SSOアサーションを含む属性をサブジェクト名前IDフォーマット用に送信
SSOアサーションに含める属性を指定するには、該当するチェック・ボックスをクリックします。
ページ下部のボタンの機能は次のとおりです。
更新: 属性のマッピングに加えられた変更を保存します。
取消: 変更を保存しないで「信頼できるプロバイダの編集」に戻ります。
このページは、信頼できるピア・プロバイダを構成する際に、プロバイダが署名付で送信するメッセージ・タイプを指定するために使用します。
このページは、信頼できるピア・プロバイダを構成する際に、プロバイダが署名を要求するメッセージ・タイプを指定するために使用します。
使用可能なメッセージ
このリストのメッセージには署名の必要はありません。
選択したメッセージ
このリストのメッセージには署名が必要です。
アクション
ページにあるボタンの機能は次のとおりです。
移動: 選択したメッセージ・タイプを「選択したメッセージ」リストに移動します。複数のメッセージ・タイプを選択するには、[Ctrl]キーを使用します。
すべて移動: 現在「使用可能なメッセージ」リストにあるすべてのメッセージを、「選択したメッセージ」リストに移動します。
削除: 選択したメッセージ・タイプを、「選択したメッセージ」リストから「使用可能なメッセージ」リストに移動します。複数のメッセージ・タイプを選択するには、[Ctrl]キーを使用します。
すべて削除: 現在「選択したメッセージ」リストにあるすべてのメッセージを、「使用可能なメッセージ」リストに移動します。
ページ下部のボタンの機能は次のとおりです。
適用: 署名付/無署名メッセージのページに加えた変更を保存します。
取消: 変更を保存しないで「トラスト・サークル: 信頼できるプロバイダの編集」ページに戻ります。
このページは、信頼できるピア・プロバイダを構成する際に、プロバイダが署名を要求するメッセージ・タイプを指定するために使用します。
使用可能なメッセージ
このリストのメッセージには署名の必要はありません。
選択したメッセージ
このリストのメッセージには署名が必要です。
アクション
ページにあるボタンの機能は次のとおりです。
移動: 選択したメッセージ・タイプを「選択したメッセージ」リストに移動します。複数のメッセージ・タイプを選択するには、[Ctrl]キーを使用します。
すべて移動: 現在「使用可能なメッセージ」リストにあるすべてのメッセージを、「選択したメッセージ」リストに移動します。
削除: 選択したメッセージ・タイプを、「選択したメッセージ」リストから「使用可能なメッセージ」リストに移動します。複数のメッセージ・タイプを選択するには、[Ctrl]キーを使用します。
すべて削除: 現在「選択したメッセージ」リストにあるすべてのメッセージを、「使用可能なメッセージ」リストに移動します。
ページ下部のボタンの機能は次のとおりです。
適用: 署名付/無署名メッセージのページに加えた変更を保存します。
取消: 変更を保存しないで「トラスト・サークル: 信頼できるプロバイダの編集」ページに戻ります。
このページは信頼できるピア・プロバイダを構成する際に、そのプロバイダで有効にする名前IDフォーマットを指定するために使用します。
名前IDフォーマット
この列には、使用できる名前IDフォーマットが表示されます。
ユーザー属性マッピング
選択した名前IDフォーマットの属性名を入力します。Oracle Identity Federationは、この属性名を使用して、ユーザー・データ・ストアから、このフォーマットの名前IDを検索します。
名前識別子のフォーマットは次のとおりです。
表6-8 信頼できるプロバイダの名前IDフォーマット
| 名前IDフォーマット | マッピング |
|---|---|
|
X.509サブジェクト名 |
DN |
|
電子メール・アドレス |
電子メール |
|
Windowsドメイン修飾名 |
空 |
|
Kerberosプリンシパル名 |
空 |
|
永続識別子 |
空 |
|
一時/単発識別子 |
空 |
デフォルト・アサーション名前IDフォーマット
この信頼できるプロバイダに使用する、アサーションの名前識別子フォーマットです。
ページ下部のボタンの機能は次のとおりです。
適用: 名前IDフォーマット選択に加えた変更を保存します。
取消: 変更を保存しないで「信頼できるプロバイダの編集」に戻ります。
この項では、Oracle Identity Federationにおけるアフィリエーションとその使用方法について説明します。内容は次のとおりです。
Liberty 1.2/SAML 2.0のアフィリエーションは、論理グループに参加しているサービス・プロバイダで構成されます。
アフィリエーションは具体的なエンティティやサーバーではなく、論理上のプロバイダです。このため、アフィリエーションとして動作できるサーバーはありません。サービス・プロバイダは、プロトコル・メッセージ交換を実行する際にアフィリエーションを使用する立場です(この場合のアフィリエーションは論理プロバイダとみなされる)。一方、このアフィリエーションのメッセージの送信者/受信者は、具体的なサービス・プロバイダです。このようにして、アフィリエーションに参加しているサービス・プロバイダがアフィリエーションとして動作し、その論理プロバイダについてのすべてのフェデレーション情報にアクセス可能になります。
アフィリエーションはアフィリエーション記述子(アフィリエーションのメタデータとも呼ばれる)によって記述されます。アフィリエーションは、ピアアイデンティティ・プロバイダと相互作用してSSO処理を行い、サービス・プロバイダと相互作用してWebサービス処理を行う抽象的サービス・プロバイダとみなすことができます。
たとえば、2つのサービス・プロバイダSP1およびSP2から構成されているアフィリエーションAff1を考えます。これらの2つのサービス・プロバイダ、アイデンティティ・プロバイダIDPとアフィリエーションは共通のトラスト・サークルに含まれています。ユーザーORAUSERは、IDPと論理プロバイダであるアフィリエーションAff1の間にフェデレーションFED_IDP_AFF1を確立しています。
アフィリエーション機能を利用して、SP1とSP2はAff1経由で動作し、IDPとの直接的フェデレーションがないにもかかわらず、FED_IDP_AFF1フェデレーションを使用して、IDPに対してシングル・サインオン処理を実行できます。これらのサービス・プロバイダはAff1のフェデレーション情報にアクセスでき、IDPはそれらをAff1とみなしています。
フェデレーションの利点は、サービス・プロバイダが同一のフェデレーションを共有できるため、フェデレーションの数を減らせる点にあります。同時に、これによりSPは各自のユーザー・データ・ストアに加え、フェデレーション情報ストアも強制的に共有させられます。これは、フェデレーション・レコードがユーザー・レコードにリンクしているためです。
Oracle Identity Federationは、アフィリエーションには次のサポートを提供します。
Oracle Identity Federationは、IdPとして、アフィリエーションを使用するサービス・プロバイダと相互作用できます。
Oracle Identity Federationは、SPとして、アフィリエーションの一部になることができ、アフィリエーションを使用してIdPと相互作用できます。
Oracle Identity Federationはアフィリエーションの作成と管理をするためのファシリティを提供しません。このため、次のような操作はサポートしていません。
メンバーの追加や削除
アフィリエーションの所有者や連絡先情報の設定
アフィリエーションのメタデータの作成
Oracle Identity Federationのトラスト・サークルへのアフィリエーションの追加には、トラスト・サークルへのIdPまたはSPメタデータの追加と同じ手順が必要です。トラスト・サークルのページに移動して、アフィリエーションのメタデータを追加します。
Oracle Identity FederationがIdPである場合は、アフィリエーションのメンバーであるサービス・プロバイダと相互作用するには、トラスト・サークルはアフィリエーションとサービス・プロバイダ両方のメタデータを含む必要があります。
アフィリエーションの実行時動作は、Oracle Identity FederationサーバーがIdPとSPのいずれとして動作しているかにより異なります。
Oracle Identity FederationがIdPとして動作している場合
Oracle Identity FederationがIdPの場合、アフィリエーション/SPがトラスト・サークルに存在し、有効であれば、Oracle Identity Federationサーバーは、アフィリエーションを使用するサービス・プロバイダが送信するあらゆるリクエストを処理する準備ができています。
Oracle Identity FederationがSPとして動作している場合
SPとして、SPが所属するアフィリエーションを使用して、IdPへのシングル・サインオン処理をトリガーできます。そのための手順は、IdMバックエンドが保護しているURLにfederationid問合せパラメータを含め、そのアフィリエーションIDにパラメータ値を設定するだけです。
OracleASシングル・サインオン・バックエンドを例にとって、リソースがmod_ossoによって保護され、Oracle Identity Federation用に構成されていると仮定します。このとき、federationid問合せパラメータを使用してこのリソースのURLをリクエストすると、Oracle Identity Federationは、ピアIdPに対してシングル・サインオンを実行する際にアフィリエーションを使用します。そのようなURLの例を次に示します。
http://protected_res_host:protected_res_port/path?federationid=http://affiliationid
同一のfederationid問合せパラメータを使用して、直接http://oif_host:oif_port/fed/sp/initiatesso URLにアクセスすることも可能です。この場合、Oracle Identity Federationはシングル・サインオン処理をトリガーし、ピアIdPの非送信請求SSOリレー状態を、ユーザーが認証成功後にリダイレクトされるURLとして使用します。
|
注意: 非送信請求SSOリレー状態は、Oracle Identity Federation管理コンソールの「サーバー構成」→「トラスト・サークル」→「信頼できるプロバイダの編集」ページで設定されています。 |
Oracle Identity Federation管理コンソールの「アイデンティティ・フェデレーション」タブには、アフィリエーションとのフェデレーションなど、Oracle Identity Federationサーバーと、メタデータをロード済のサポートされているあらゆるエンティティ・タイプとの間のフェデレーションが表示されます。フェデレーションの表示では、サーバーは、アフィリエーションの性質に応じて、次のルールを使用して、それ自身とリモート・プロバイダまたはアフィリエーションの間のフェデレーションを表示します。
「アイデンティティ・フェデレーション」→「信頼できるプロバイダ」セクションには、サーバーと次のエンティティとのフェデレーションが表示されます。
IdPとして動作するOracle Identity Federationサーバーと、表の「サービス・プロバイダ」の部分にあるリモートのSPの間
IdPとして動作するこのOracle Identity Federationサーバーと、表の「アフィリエーション」の部分にあるアフィリエーションの間
SPとして動作するこのOracle Identity Federationサーバーと、表の「アイデンティティ・プロバイダ」の部分にあるリモートのIdPの間
ただし、このOracle Identity FederationサーバーがSPとして動作していて、アフィリエーションの一部である場合、リモートIdPとアフィリエーションの間のフェデレーションは表示されません。
「アイデンティティ・フェデレーション」→「ユーザー」には、サーバーと次のエンティティとのフェデレーションが表示されます。
IdPとして動作するこのOracle Identity FederationサーバーとリモートSPの間
IdPとして動作するこのOracle Identity Federationサーバーとアフィリエーションの間
SPとして動作するこのOracle Identity FederationサーバーとリモートIdPの間
このOracle Identity Federation/SPサーバーがメンバーであるアフィリエーションとリモートIdPの間
このページは、証明書検証ストアを保守するために使用します。これにより、次の項目の管理が可能になります。
信頼できる認証局(CA)
証明書失効リスト(CRL)
|
注意: 証明書の検証は、SAML 1.xやWS-Federationでなく、SAML 2.0とLiberty 1.xプロトコルで使用する証明書にのみ適用されます。 |
CA保守フィールド
CAの表には、Oracle Identity Federationによって信頼されているCAが表示されます。信頼できるCAのリストからCAを削除するには、CAを選択して「削除」をクリックします。
CAのフィールドは次のとおりです。
サブジェクト: CA証明書のサブジェクト
発行者: 証明書の発行者
シリアル番号: 証明書のシリアル番号
有効期限開始: 証明書の有効期間の開始日時
有効期限終了: 証明書の有効期間の終了日時
CRL保守フィールド
CRLの表には、Oracle Identity Federationが認識している証明書失効リスト(CRL)のリストが表示されます。リストからCRLを削除するには、CRLを選択して「削除」をクリックします。
CRLのフィールドは次のとおりです。
発行者: CRLを発行したCA
有効期限開始: CRLの有効期間の開始日時
有効期限終了: CRLの有効期間の終了日時
信頼できるCAまたはCRLの追加
このフィールドは、信頼できるCAまたはCRLの場所を追加するために使用します。「参照」ボタンを使用して、X.509証明書またはCRLの場所を確認します。X.509証明書とCRLはDERフォーマットまたはPEMフォーマットでロードできます。
|
注意: これらのファイルが着信するメッセージの署名を検証するために使用されるため、CA証明書とCRLは、必ず信頼できるソースから来るようにしておく必要があります。 |
証明書検証リポジトリ
Oracle Identity Federationは、CAとCRLのエントリを、XMLファイル$ORACLE_HOME/fed/conf/cacert-store.xmlに格納します。
CA証明書は、Base64エンコードされたフォーマットで格納されます。
アクション
「サーバー構成」ページに戻るには、ページ下部の「完了」ボタンをクリックします。
「IDMデータ・ストア」タブは、データ・ストアについての情報を指定するために使用します。このタブから、次のページにアクセスできます。
このページは、フェデレーション・データ・レコードが含まれるリポジトリについての情報を保守するために使用します。最初にデータのアクティブ・リポジトリを選択します。
フェデレーション・レコードをLDAPサーバーに格納する場合は、「LDAPディレクトリ」を選択します。
Oracle Identity Federationが不透明でないSAML 2.0名前識別子のみを使用する場合は、「なし(SAMLのみ)」を選択します。
このページで使用できるフィールドは、選択したリポジトリのタイプによって動的に決定されます。
LDAPディレクトリのフェデレーション・データ
Oracle Identity Federationフェデレーション・レコードがLDAPディレクトリにある場合は、次の項目を指定できます。
接続URL
サーバーに接続するLDAPのURLです。次に例を示します。
ldap://ldap.oif.com:389
バインドDN
LDAPサーバーへの接続に使用する管理者アカウントDNです。次に例を示します。
cn=orcladmin
パスワード
LDAPサーバーへの接続に使用する管理者アカウントのパスワードです。
ユーザー・フェデレーション・レコード・コンテキスト:
すべてのフェデレーション・レコードが格納されるLDAPコンテナ・エントリです。次に例を示します。
cn=fed,dc=us,dc=oracle,dc=com
|
注意: フィールドの説明にあるように、ユーザー・フェデレーション・レコード・コンテキストは、LDAPコンテナ・オブジェクト・クラスと互換性がある必要があります。 LDAPディレクトリにユーザー・フェデレーション・レコード・コンテキスト・コンテナが存在しない場合、Oracle Identity Federationにより、実行時に最初にフェデレーション・レコードを格納する必要が生じたときに作成されます。 |
LDAPコンテナ・オブジェクト・クラス
LDAPコンテナがまだない場合に、それを作成する際にOracle Identity Federationが使用するユーザー・フェデレーション・レコード・コンテキスト・クラスのタイプです。フィールドが空の場合、値はapplicationProcessに設定されます。
|
注意: 選択されたLDAPコンテナ・オブジェクト・クラスには属性としてcnがある必要があります。これは、コンテナで作成されるフェデレーション・レコードで使用されます。 |
Microsoft Active Directoryの場合、このフィールドは、ユーザー・フェデレーション・レコード・コンテキストに応じて、たとえばcontainerに設定される必要があります。これは、Microsoft Active DirectoryではapplicationProcessが機能しないためです。
フィールド間の関連を見るには、ユーザー・フェデレーション・レコード・コンテキストが、フェデレーション・レコードが格納されるLDAP容器エントリを参照し、LDAPコンテナ・オブジェクト・クラスが、DNで使用されるLDAPコンテナ属性を定義してすることに注意してください。ユーザー・フェデレーション・レコード・コンテキストでは、フェデレーション・レコードが格納されるコンテナのDNを管理者が指定します。そのDNには、既存のコンテナの親と、そのオブジェクト・クラスの一部であるフェデレーション・レコード・コンテキストの属性が含まれます。たとえば、コンテナの親がdc=us,dc=oracle,dc=comで、レコード・コンテキスト属性がcn=orclfedである場合、cnは「LDAPコンテナ・オブジェクト・クラス」フィールド(設定されていない場合はapplicationProcessオブジェクト・クラス)で設定されたオブジェクト・クラスの属性である必要があるという要件があるため、DNは最終的に次のようになります。
cn=orclfed,dc=us,dc=oracle,dc=com
フェデレーション・レコード・コンテキストのDNをou=fed,dc=us,dc=oracle,dc=comのように表示することを選択した場合、属性にouを持つオブジェクト・クラス(たとえばapplicationProcess)に、「LDAPコンテナ・オブジェクト・クラス」を設定する必要があります。
DNが次のようである場合は、
cn=fed,dc=us,dc=oracle,dc=com
LDAPコンテナ・オブジェクト・クラスはcn属性を定義する必要があります。
様々なタイプのディレクトリ・サーバーの場合のLDAPコンテナ・オブジェクト・クラスの例を次に示します。
Oracle Internet Directory: 空
Sun Java System Directory Server: 空
Microsoft Active Directory: container
一意フェデレーションID属性
Oracle Identity Federationが一意にフェデレーション・レコードを識別するために使用するLDAP属性です。空の場合、値はDNになります。これはLDAPフェデレーション・レコードのDNです。
様々なタイプのディレクトリ・サーバーの場合の、一意のフェデレーションID属性の例を示します。
Oracle Internet Directory: 空
Sun Java System Directory Server: 空
Microsoft Active Directory: 空
最大接続数
Oracle Identity FederationがLDAPサーバーに同時に開くLDAP接続の数の最大値です。
接続待機タイムアウト
Oracle Identity FederationがLDAPサーバーへの接続を開く際に使用するタイムアウトです(単位は秒)。
アクティブ・リポジトリ(SAML 2.0)なし
次の場合は、アクティブ・リポジトリに「なし」を選択します。
フェデレーション・レコードを格納するためにLDAPサーバーを使用せず、かつ
Oracle Identity FederationがSAML 2.0プロファイル(電子メール、X.500、KerberosまたはWindowsNameQualifier)に基づく不透明でない名前識別子を持つフェデレーション・アサーションを使用するように構成される場合
または
Oracle Identity FederationがSAML 1.xまたはWS-Federationのみを使用するように設定される場合
このオプションに追加の構成は必要ありません。
ページ下部のボタンの機能は次のとおりです。
保存: フェデレーション・データ・ストアのプロパティに加えた変更を保存します。
リセット: 変更を保存せず、元の値をリストアします。
このページは、ユーザー・データ・ストアの構成を編集するために使用します。Oracle Identity Federationはこの情報を使用して、データ・ストアからユーザー属性を検索します。
|
注意: この情報は、認証ではなく、ユーザー属性の検索に使用されます。 |
フィールドは、選択したリポジトリ・タイプに応じて動的に表示されます。
Oracle Access Managerのユーザー・データ
リポジトリ・パラメータ
接続URL
Oracle Access Managerに接続するためのLDAP URLです。
バインドDN
Oracle Access Managerへの接続に使用する管理者アカウントDNです。
パスワード
Oracle Access Managerへの接続に使用する管理者アカウントのパスワードです。
ユーザーID属性
認証時にユーザーを識別するために使用されるLDAP属性(たとえばuid)です。
ディレクトリ・サーバーのタイプごとのユーザーID属性の例を次に示します。
Oracle Internet Directory: uid
Sun Java System Directory Server: uid
Microsoft Active Directory: sAMAccountName
ユーザー説明属性
フェデレーション・レコードの所有者を識別するために使用される可読的なLDAP属性(たとえばuid)です。
ディレクトリ・サーバーのタイプごとのユーザー説明属性の例を次に示します。
Oracle Internet Directory: uid
Sun Java System Directory Server: uid
Microsoft Active Directory: sAMAccountName
個人オブジェクト・クラス
オブジェクト・クラスは、オブジェクトに関連付けられているデータまたは属性を定義します。個人オブジェクト・クラスは「人」オブジェクトの属性を参照します。今の例では、フェデレーテッドIDの所有者です。1つ以上のオブジェクト・クラスを使用してディレクトリが人データ(名前、アドレスなど)を保持することがあります。
サーバーでLDAPユーザー・エントリを表しているLDAPオブジェクト・クラスを入力します。次に例を示します。
inetOrgPerson
様々なタイプのディレクトリ・サーバーの場合の個人オブジェクト・クラスの例を次に示します。
Oracle Internet Directory: inetOrgPerson
Sun Java System Directory Server: inetOrgPerson
Microsoft Active Directory: user
ベースDN
ユーザー・レコードを含んでいるLDAPサーバーのドメインです。次に例を示します。
dc=us,dc=oracle,dc=com
最大接続数
Oracle Identity FederationがOracle Access Managerに対して同時に開くLDAP接続の数の最大値です。
接続待機タイムアウト
Oracle Identity FederationがOracle Access Managerへの接続を開く際に使用するタイムアウトです(単位は秒)。
Oracle Access Manager構成パラメータ
マスター管理者ログインID
マスター管理者のログインです。Oracle Identity Federationは、このログインを使用して、フェデレーションに関連するOracle Access Managerポリシー・オブジェクトを作成します。
マスター管理者パスワード
Oracleマスター管理者パスワードです。
無保護リソースに対する認証結果
Oracle Access Managerポリシーによって保護されていないリソースのSAML 1.x AuthorizationDecisionQueryで返される結果です。選択肢は次のとおりです。
許可
否認
不確定
|
注意: 「否認」を選択すると、未保護リソースへのSAML 1.x SSOアクセスがブロックされます。Oracle Access Manager AccessGateの「保護されていない場合に拒否」を「オン」にするのと同じです。 |
Oracle Access Manager Cookieドメイン
Cookieが有効であるドメインです。
Basic認証スキーム名
Basicチャレンジ・メソッド、たとえばOracle Access and Identity Basic Over LDAPを使用する認証スキームの名前です。このスキームはフェデレーション・ドメイン・ポリシー・ドメインで使用されます。
OracleAS Single Sign-Onのユーザー・データ
リポジトリ・パラメータ
Oracle Internet DirectoryはOracleAS Single Sign-Onのユーザー・データ・リポジトリです。
接続URL
Oracle Internet Directoryに接続するためのLDAP URLです。
バインドDN
Oracle Internet Directoryへの接続に使用する管理者アカウントDNです。
パスワード
Oracle Internet Directoryへの接続に使用する管理者アカウントのパスワードです。
ユーザーID属性
認証時にユーザーを識別するために使用されるLDAP属性(たとえばuid)です。
ユーザー説明属性
フェデレーション・レコードの所有者を識別するために使用される可読的なLDAP属性です。次に例を示します。
uid
個人オブジェクト・クラス
オブジェクト・クラスは、オブジェクトに関連付けられているデータまたは属性を定義します。個人オブジェクト・クラスは「人」オブジェクトの属性を参照します。今の例では、フェデレーテッドIDの所有者です。1つ以上のオブジェクト・クラスを使用してディレクトリが人データ(名前、アドレスなど)を保持することがあります。
LDAPユーザー・エントリを表しているLDAPオブジェクト・クラスを入力します。次に例を示します。
inetOrgPerson
ベースDN
ユーザーを検索する範囲となるディレクトリです。次に例を示します。
dc=us,dc=oracle,dc=com
最大接続数
Oracle Identity FederationがOracle Internet Directoryに対して同時に開くLDAP接続の数の最大値です。
接続待機タイムアウト
Oracle Identity FederationがOracle Internet Directoryへの接続を開く際に使用するタイムアウトです(単位は秒)。
OracleAS Single Sign-Onのパラメータ
OracleAS Single Sign-Onのパラメータは次のとおりです。
Oracle SSOの使用: このボックスは、OracleAS Single Sign-Onを認証モジュールとして使用する場合に選択します。
|
注意: Oracle Application Server(Oracle Identity Federationサーバーのインストール先)はOracle SSOサーバーに関連付けられている必要があります。関連付けるには、OracleAS Enterprise ManagerコンソールからInfrastructureに移動し、「ID管理」セクションの「構成」ボタンをクリックします。詳細は、『Oracle Application Server管理者ガイド』を参照してください。 |
OSSOログインURL: ログイン時に表示されるOracleAS Single Sign-OnサーバーのURLです。次に例を示します。
http://sso_host:sso_port/sso/auth
OSSOログアウトURL: ログアウト時に表示されるOracleAS Single Sign-OnサーバーのURLです。次に例を示します。
http://sso_host:sso_port/sso/logout
OSSOシークレットの再生成: キーを再生成するには「更新」をクリックします。
CA eTrust SiteMinderのユーザー・データ
LDAPディレクトリまたはリレーショナル・データベースがeTrust SiteMinderのバックエンド・リポジトリとして動作できます。
|
注意: eTrust SiteMinderをRDBMSバックエンドとともに使用する場合、Oracle Identity Federationを、アイデンティティ・プロバイダとして構成される場合に似た方法で、サービス・プロバイダとして使用できます。違いは、サービス・プロバイダとして構成する場合、使用するRDBMSがeTrust SiteMinder用に構成されたものであることです。 |
LDAPディレクトリ・データ・ストアを持つeTrust SiteMinder
これらのフィールドは、LDAPディレクトリにあるeTrust SiteMinderデータ・ストアとの通信のパラメータを更新するために使用します。
接続URL
eTrust SiteMinderに接続するLDAPのURLです。
バインドDN
eTrust SiteMinderへの接続に使用する管理者アカウントDNです。
パスワード
eTrust SiteMinderへの接続に使用する管理者アカウント・パスワードです。
ユーザーID属性
認証時にユーザーを識別するために使用されるLDAP属性(たとえばuid)です。
ディレクトリ・サーバーのタイプごとのユーザーID属性の例を次に示します。
Oracle Internet Directory: uid
Sun Java System Directory Server: uid
Microsoft Active Directory: sAMAccountName
ユーザー説明属性
フェデレーション・レコードの所有者を識別するために使用される可読的なLDAP属性(たとえばuid)です。
ディレクトリ・サーバーのタイプごとのユーザー説明属性の例を次に示します。
Oracle Internet Directory: uid
Sun Java System Directory Server: uid
Microsoft Active Directory: sAMAccountName
個人オブジェクト・クラス
オブジェクト・クラスは、オブジェクトに関連付けられているデータまたは属性を定義します。個人オブジェクト・クラスは「人」オブジェクトの属性を参照します。今の例では、フェデレーテッドIDの所有者です。1つ以上のオブジェクト・クラスを使用してディレクトリが人データ(名前、アドレスなど)を保持することがあります。
サーバーでLDAPユーザー・エントリを表しているLDAPオブジェクト・クラスを入力します。
様々なタイプのディレクトリ・サーバーの場合の個人オブジェクト・クラスの例を次に示します。
Oracle Internet Directory: inetOrgPerson
Sun Java System Directory Server: inetOrgPerson
Microsoft Active Directory: user
ベースDN
ユーザー・レコードを含んでいるLDAPサーバーのドメインです。次に例を示します。
dc=us,dc=oracle,dc=com
最大接続数
Oracle Identity FederationがeTrust SiteMinderに対して同時に開くLDAP接続の数の最大値です。
接続待機タイムアウト
Oracle Identity FederationがeTrust SiteMinderへの接続を開く際に使用するタイムアウトです(単位は秒)。
このページのボタンは、次のようなドメイン保守機能を提供します。
更新: eTrust SiteMinderサーバーおよびエージェントを構成するページの2ページ目を表示します。
リセット: 操作を取り消します。
データベース・データ・ストアを持つeTrust SiteMinder
これらのフィールドは、リレーショナル・ディレクトリにあるeTrust SiteMinderデータ・ストアとの通信のパラメータを更新するために使用します。
JNDI名
ユーザーの検索と認証を行うために使用されるデータ・ソースのEJB JNDI名です。次に例を示します。
jdbc/RDBMSUserDataSource
ユーザー名
データベース・サーバーへの接続に使用する管理者アカウントのユーザー名です。
パスワード
データベース・サーバーへの接続に使用する管理者アカウントのパスワードです。
ログイン表
ユーザーのログイン情報を含んでいるデータ・ソースのデータベース表です。
ログインID列
ユーザーを認証および検索するために必要なユーザー識別子を含んでいる表の列です。
ログイン・パスワード列
認証に必要なユーザーのパスワードを含んでいる表の列です。
パスワード・ダイジェスト・アルゴリズム
認証時に使用して、パスワード列に含まれたパスワード・データと照合するために使用するパスワード・ダイジェスト・アルゴリズムです。選択肢は次のとおりです。
MD5
SHA
なし
ユーザー説明属性
レコードの所有者を識別するために使用される、可読的な属性を含むデータベース表の列です。
eTrust SiteMinder接続データ
eTrust SiteMinderリポジトリ・パラメータを入力した後、別の画面に、ポリシー・サーバーへの接続やエージェント構成に使用する情報がまとめて表示されます。
SiteMinderポリシー・サーバーへの接続
eTrust SiteMinderサーバーの接続詳細を更新します。
ホスト: Oracleポリシー・サーバーがインストールされているホストです。
権限ポート: Oracle認証リクエストで使用されるポリシー・サーバー・ポートです。デフォルト値は44442です。
認証ポート: 認証リクエストで使用されるポリシー・サーバー・ポートです。デフォルト値は44443です。
アカウンティング・ポート: アカウンティング・リクエストで使用されるポリシー・サーバー・ポートです。デフォルト値は44441です。
最大接続数: ポリシー・サーバーへのエージェント接続数の最大値です。
最小接続数: ポリシー・サーバーへのエージェント接続数の最小値です。
ステップ接続数: エージェントが一度にポリシー・サーバーに開ける接続の数です。
タイムアウト: ここで指定した時間が過ぎると、エージェントはポリシー・サーバーからレスポンスを待つのをやめ、エラーを返します(単位は秒)。
eTrust SiteMinderエージェントの構成
eTrust SiteMinderエージェントは、保護されたリソースへのアクセスを制御します。次のフィールドを使用して、eTrust SiteMinderエージェント構成を更新します。
エージェント名: eTrust SiteMinderエージェントの名前です。
エージェント・シークレット: eTrust SiteMinderポリシー・サーバーに登録された既存のエージェントのパスワードです。
Cookieドメイン: エージェントのCookieドメインです。
SiteMinder IdMブリッジ・エージェント・シークレット: エージェントとポリシー・サーバーに共有される秘密の文字列です。
自動ポリシー作成
eTrust SiteMinderブリッジは、eTrust SiteMinderにログインして、必要なポリシー・オブジェクトを管理者として自動的に作成します。次のeTrust SiteMinderポリシー詳細を更新します。
管理者ID: eTrust SiteMinder管理者IDです。
管理者パスワード: eTrust SiteMinder管理者パスワードです。
ドメイン名: ポリシー・オブジェクトを含むeTrust SiteMinderです。
ユーザー・ディレクトリ: ドメインのユーザー・ディレクトリをeTrust SiteMinderが構成した名前です。
2次IdMBridgeを使用したアサーション・マッピング
着信アサーションにローカルeTrust SiteMinderユーザーの名前が含まれる場合、その名前は直接使用できます。ただし、アサーションでユーザー名が提供されない場合は、ユーザーにアサーションSubjectNameと属性値をマップするには2次ブリッジが必要です。eTrust SiteMinderアサーション・マッピングに、次の情報を提供します。
2次IdMBridgeの選択: ブリッジのタイプを指定します。選択肢は次のとおりです。
LDAPブリッジ
RDBMSブリッジ
なし
ディレクトリの中のユーザー名属性: 次のいずれかを入力します。
「LDAPブリッジ」には、ユーザーのディレクトリ・エントリの属性を入力します。
「RDBMSブリッジ」には、ユーザー・データベース表の列を入力します。
「なし」に、受信したアサーションからの属性を指定します。
LDAPディレクトリのユーザー・データ
接続URL
LDAPディレクトリに接続するLDAPのURLです。
バインドDN
LDAPディレクトリへの接続に使用する管理者アカウントDNです。
パスワード
Oracle LDAPディレクトリへの接続に使用する管理者アカウント・パスワードです。
ユーザーID属性
認証時にユーザーを識別するために使用されるLDAP属性(たとえばuid)です。
ディレクトリ・サーバーのタイプごとのユーザーID属性の例を次に示します。
Oracle Internet Directory: uid
Sun Java System Directory Server: uid
Microsoft Active Directory: sAMAccountName
ユーザー説明属性
フェデレーション・レコードの所有者を識別するために使用される可読的なLDAP属性(たとえばuid)です。
ディレクトリ・サーバーのタイプごとのユーザー説明属性の例を次に示します。
Oracle Internet Directory: uid
Sun Java System Directory Server: uid
Microsoft Active Directory: sAMAccountName
個人オブジェクト・クラス
オブジェクト・クラスは、オブジェクトに関連付けられているデータまたは属性を定義します。個人オブジェクト・クラスは「人」オブジェクトの属性を参照します。今の例では、フェデレーテッドIDの所有者です。1つ以上のオブジェクト・クラスを使用してディレクトリが人データ(名前、アドレスなど)を保持することがあります。
サーバーでLDAPユーザー・エントリを表しているLDAPオブジェクト・クラスを入力します。
様々なタイプのディレクトリ・サーバーの場合の個人オブジェクト・クラスの例を次に示します。
Oracle Internet Directory: inetOrgPerson
Sun Java System Directory Server: inetOrgPerson
Microsoft Active Directory: user
ベースDN
ユーザーを検索する範囲となるディレクトリです。
最大接続数
Oracle Identity Federationがディレクトリに対して同時に開くLDAP接続の数の最大値です。
接続待機タイムアウト
Oracle Identity Federationがディレクトリへの接続を開く際に使用するタイムアウトです(単位は秒)。
データベースのユーザー・データ
JNDI名
ユーザーの検索と認証を行うために使用されるデータ・ソースのEJB JNDI名です。次に例を示します。
jdbc/RDBMSUserDataSource
ユーザー名
データベース・サーバーへの接続に使用する管理者アカウント・ユーザー名です。
パスワード
データベース・サーバーへの接続に使用する管理者アカウントのパスワードです。
ログイン表
ユーザーのログイン情報を含んでいるデータ・ソースのデータベース表です。
ログインID列
ユーザーを認証および検索するために必要なユーザー識別子を含んでいる表の列です。
ログイン・パスワード列
認証に必要なユーザーのパスワードを含んでいる表の列です。
パスワード・ダイジェスト・アルゴリズム
認証時に使用して、パスワード列に含まれたパスワード・データと照合するために使用するパスワード・ダイジェスト・アルゴリズムです。選択肢は次のとおりです。
MD5
SHA
なし
ユーザー説明属性
フェデレーション・レコードの所有者を識別するために使用される、可読的な属性を含むデータベース表の列です。
この項では、Oracle Identity Federationでリレーショナル・データベースをユーザー・データ・ストアとして構成する方法を説明します。
|
注意: データ・ソースがOC4J_FEDインスタンス・レベルですでに作成されている場合は、手順1と2を省略します。 |
Oracle Identity FederationインスタンスのEMコンソールにログインして、「OC4J_FED」→「管理」→「データ・ソース」に移動します。
次の例を参考にして、新しいデータ・ソースを作成します。
Name: myDS Data Source Class: com.evermind.sql.DriverManagerDataSource JDBC URL: jdbc:oracle:thin:@stahs08.us.oracle.com:1521:ORCL JDBC Driver: oracle.jdbc.driver.OracleDriver Username: CUSTDATA Password: PASSWORD Location: jdbc/RDBMSUserDataSource Transactional Loc: jdbc/xa/RDBMSUserDataSource EJB Location: jdbc/RDBMSUserDataSource
|
注意: データベース接続情報が更新されていないとデプロイメント構成が反映されません。詳細は、Oracle Application ServerとOracle JDBCのマニュアルを参照してください。 |
変更を適用します。
Oracle Identity Federation管理コンソールにログインし、「IDMデータ・ストア」→「ユーザー・データ・ストア」とナビゲートします。
アクティブ・リポジトリとして「データベース」を選択し、適切な値を入力します。次に例を示します。
JNDI Name: jdbc/RDBMSUserDataSource User Name: CUSTDATA Password: PASSWORD Login Table: EMPLOYEES Login ID Column: EMPLOYEE_ID Login Pwd Column: USERPASSWORD User Desc. Attribute: EMPLOYEE_ID
|
注意: これは一例で、ガイドのためのものです。たとえば、適切なユーザー名をCUSTDATAの部分に代入するなどの必要があります。 |
変更を保存します。
OC4J_FEDインスタンスを再起動します。
「SAML 1.x/WSフェデレーション」タブを使用すると、Oracle Identity Federation SAML 1.xドメインの構成の詳細を指定できます。
「SAML 1.x/WSフェデレーション」サブタブから次のページにアクセスできます。
他のプロバイダを使用したセキュア通信のデジタル署名を構成できます。
暗号化キーがセッションを保護します。このページを使用して、定期的にキーを再生成できます。
システム・イベントのログ・データの収集と、ドメインが送受信したアサーションの監査データの設定を可能にします。システム・イベントとアサーションの説明が監査ファイルに書き込まれます。
ドメインをソース・ドメインとして構成し、ユーザーがフェデレーテッド・トランザクションで他のドメインにアクセスできるようにします。
ドメインを宛先ドメインとして構成し、他のドメインからのユーザーがフェデレーテッド・トランザクションでサイトにアクセスできるようにします。
内容は次のとおりです。
このページは、Oracle Identity FederationがSSLとデジタル署名のために使用する証明書ストアの情報を入力するために使用します。SSLとデジタル署名で異なった証明書ストアを使用する場合は、「ヘルプ」をクリックします。
Oracle Identity FederationはSAML 1.xとWS-Federationプロトコルで使用するためのデフォルト鍵と、shareidという別名を持つ自己署名証明書証明書ストアを作成します。
デフォルトで、証明書ストアはOracle Identity Federationインストール・ディレクトリの/fed/shareid/oblix/configフォルダにあります。
この証明書の初期パスワードは、Oracle Identity Federationのインストール時に設定したias_adminパスワードと同じです。この証明書ストアのパスワードを変更するには、まずkeytoolユーティリティを実行してキーストアのパスワードを変更し、次にOracle Identity Federationがキーストアにアクセスするために使用するパスワードを更新します。証明書ストアと鍵のパスワードは同一であると想定されます。
証明書ストアへのパス
証明書ストアへのパスです。
署名鍵別名
署名鍵の略称です。
証明書ストアおよび署名鍵パスワード
Oracle Identity Federationがキーストアにアクセスするために使用するパスワードです。
パスワードの確認
パスワード入力を確認するためにパスワードを再入力します。
ページにあるボタンの機能は次のとおりです。
発行: 証明書ストア情報を更新します。
リセット: 取り消して、フィールドをリセットします。
暗号化キーは、Oracle Identity Federation構成ファイルにあるログイン・セッションCookieとパスワードを保護するために使用されます。たとえば、構成ファイルにあるパスワードの1つが証明書ストアのパスワードに使用されます。
セッションを攻撃から保護するには、「更新」ボタンをクリックして、定期的に暗号化キーを更新することをお薦めします。
このページを使用すると、Oracle Identity Federationで、生成および受信されたアサーションを監査用に保持することができます。
サーバーがアサーション・レコードを保存できるようにするには、「監査を有効化」をクリックします。
このページには、ソース・サイトで定義されたSAMLアサーション・プロファイルが表示されます。アサーション・プロファイルは、宛先に送信されるアサーションの内容を定義します。
名前
アサーション・プロファイル名です。
説明
これはアサーション・プロファイルの簡単な説明です。
ページにあるボタンの機能は次のとおりです。
追加: 新しいアサーション・プロファイルを追加できるようにします。
削除: 「削除」チェック・ボックスが選択されているアサーションを削除します。
リセット: 取り消して、フィールドをリセットします。
このページは、ソース・サイトからのアサーションの識別に使用する新しいアサーション・プロファイルを追加するために使用します。アサーション・プロファイルは、宛先に送信されるアサーションの内容を定義します。
基本プロファイル
基本プロファイル情報には、次のものが含まれます。
プロファイル名。
プロファイルの簡単な説明。
プロファイル発行者。
サブジェクト名クオリファイア。
サブジェクト・フォーマット。電子メール、X.509サブジェクト名、Windowsドメイン、未指定、なしのいずれかを選択します。
サブジェクトのユーザー属性。空白の場合は、ユーザーDNが使用されます。
アサーション属性
宛先ドメインの管理者によって提供された属性を使用して、各必須属性の属性情報を入力します。フィールドは次のとおりです。
アサーション属性
データ・ストアの中の属性
ネームスペース
オプション・タイプ
「SSOアサーション内」チェック・ボックス
可能な値: 属性がとれる値です。
アサーション署名
アサーションに署名が必要かどうか、署名に証明書を含む必要があるかどうかを示します。
WS-Federationプロトコルでは、「アサーションに署名」の設定に関係なく、アサーションは常に署名されます。
区切り文字付きデータ
「データは区切り文字付き」を選択すると、Oracle Identity Federationは、指定した区切り文字が含まれるユーザー・データ・ストアから取得した属性値を、複数のアサーション属性値に分割します。区切り文字は円記号(\)でエスケープできます。たとえば、区切り文字が「:」でユーザー・データ・ストア属性値が「A:B\:C:D」である場合、アサーションには、「A」、「B:C」および「D」の3つの属性値が含まれていることになります。
このページは、既存のアサーション・プロファイルを変更するために使用します。
基本プロファイル情報
基本プロファイル・データには、次のものが含まれます。
アサーション・プロファイル名。
説明: プロファイルの簡単な説明です。
発行者: プロファイルの発行者(たとえば、http://host.company.com)。
サブジェクト名クオリファイア。
サブジェクト・フォーマット: 電子メール・アドレス、X.509サブジェクト名、Windowsドメイン、未指定、なし、その他のいずれかを選択します。
サブジェクトのユーザー属性。
アサーション属性を自分のアサーション・プロファイルに追加します
このフィールド群は、ピアサイトからデータ・ストアのユーザー属性へアサーション属性をマップするために使用します。次の属性マッピングがあります。
アサーション属性名。
データ・ストアの中の属性: ユーザー・ストア内の対応する属性です。
ネームスペース。
オプション・タイプ。
SSOアサーション内: この属性がSSOアサーションで使用されているかどうかを指定します。
可能な値: 可能な値を入力(値を追加するにはアイコンをクリック)します。
拡張オプション
拡張オプションは次のとおりです。
アサーション署名: アサーションに署名するかどうか、およびその方法を指定可能にします。
アサーション有効期間: アサーションの生成前後の有効期間の長さを定義します(単位は秒)。
区切り文字付きデータ: 複数値アサーション・データが区切られているかどうか、区切られている場合は区切り文字を指定します。
ページにあるボタンの機能は次のとおりです。
発行: 変更を反映するようにアサーション・プロファイルを更新します。
リセット: 取り消して、フィールドをリセットします。
このページは、アサーションとユーザーIDを関連付ける宛先マッピングを表示するために使用します。このマッピングにより、宛先ドメインがローカル・ユーザーのアイデンティティを決定できます。
名前
アサーションからユーザーへのマッピング名です。アサーションからユーザーへのマッピングを変更するには、名前をクリックします。
説明
アサーション・マッピングの簡単な説明です。
ページにあるボタンの機能は次のとおりです。
追加: 新しいアサーション・マッピングを追加できます。
削除: 「削除」チェック・ボックスが選択されているマッピングを削除します。
リセット: 取り消して、フィールドをリセットします。
このページはアサーションからユーザーへの宛先マッピングを変更するために使用します。
|
注意: マッピングの認証レベルを変更する場合は、一致させるSASSOマッピングの認証レベルも変更する必要があります。 |
説明
マッピングの簡単な説明です。
アクティブなIdMBridge
マッピングのためのIdMBridgeを指定します。有効な選択肢は次のとおりです。
Oracle Access Manager IdMBridge
eTrust SiteMinder IdMBridge
OracleAS Single Sign-On
アサーションとローカル・ユーザーの間にマッピングを確立するにはページのこの部分を使用します。
|
注意: 複数の値が含まれるアサーション属性のローカル・ユーザーへのマッピングはサポートされていません。 |
アサーション属性
対応するソース側のアサーション・プロファイルと一貫したアサーション属性を使用します。
ローカル・ユーザー属性
対応するローカル・ユーザー属性を入力します。
用語に関する注意
以前のリリースではSmartWallsと呼ばれていたローカル・ユーザー・マッピングは、受信SSOアサーションからユーザーへのマッピングに関するベスト・プラクティスでした。この技術は、あるIdPのユーザーが、別のIdPのユーザーの属性を不正に宣言することによるユーザーのなりすましを阻止するためのものでした。
通常、SAML 2.0およびLibertyでは、属性マッピングは使用しません。かわりに、この問題に影響されない、不透明な名前識別子を使用します。
名前
ドメイン名です。
説明
ドメインの簡単な説明です。
有効
このドメインが有効かどうかを示します。
このページのボタンは、次のようなドメイン保守機能を提供します。
マイ・ドメイン: ローカルのOracle Identity Federationインスタンスに関する情報の構成を可能にします。
Oracle Identity Federationドメインの追加: Oracle Identity Federationも使用するパートナ・ドメインを簡単に構成できるようにします。
非Oracle Identity Federationドメインの追加: 他のSAML 1.xまたはWS-Federation製品を使用するパートナ・ドメインでも構成できるようにします。
削除: 「削除」チェック・ボックスで示されたドメイン・レコードを削除します。
リセット: 取り消して、フィールドをリセットします。
このページは、すべてのOracle Identity Federationインストールで自動的に構成されるローカル・ドメインであるMyDomainを更新するために使用します。
MyDomain基本情報
更新できる項目は次のとおりです。
このドメインを有効化: ドメインを有効化または無効化します。
ドメイン名: 保護されたフィールドです。
発行者。
ドメインの説明: 簡単な説明です。
サポートされているプロトコル。
|
注意: SAML1.0、SAML1.1、またはWS-Federationを無効にする場合は、パートナ・ドメインでの無効化より優先されます。このため、MyDomainでWSフェデレーションが無効である場合は、いくつかのパートナ・ドメインの構成で有効であっても、すべてのパートナで無効になります。 |
MyDomainが認可リクエストに応答するかどうか。選択されている場合、このドメインは認可の問合せを受け入れ、応答します。
SmartMarks有効化: このボックスを選択すると、SPが開始するIdP検出が有効になります(旧SmartMarks: 詳細は次の項を参照)。
エラーURL: エラーのイベントでユーザーがリダイレクトされるURLです。
転送URL: リダイレクトURLです。
問合せ文字列の転送: 転送URLがある場合に、そこで使用される問合せ文字列です。
サポートされているプロファイル。
SPが開始するIdP検出について
SmartMarksは、SAML 1.xおよびOracle Access Managerを使用する、SPが開始するSSOのためのOracle独自の技術であり、SAML 2.0では、共通ドメインCookieを使用する、SPが開始するIdP検出の実装に置き換えられました。この機能はSAML 1.xのコンテキストでは依然として適用可能ですが、今後は、SPが開始するIdP検出と呼ばれます。
Fed SSO - SAML 1.x認証スキームを使用するOracle Access Managerポリシーによって保護されているリソースがフェデレーテッド・ユーザーによってアクセスされると、Oracle Access ManagerはそのアクセスをOracle Identity Federationにリダイレクトします。Oracle Identity Federationは、そのリソースに対するSAML 1.x SSOを開始するために、アクセスをソース・サイトに転送します。そのために、Oracle Identity Federationは、転送URLと、ソース・サイトに構成された転送問合せ文字列およびターゲットURLからリダイレクションURLを組み立てます。Oracle Identity Federationを使用するソース・サイトの場合、次のようになります。
Transfer URL = http(s)://source-host:port/shareid/saml/ObSAMLTransferService
Transfer Query String = DOMAIN=dest-domain&METHOD=method&TARGET=
ここで、dest-domainはOracle Identity Federationの宛先でソース・サイトに対して構成されているドメイン、メソッドはpostまたはartifactです。
リダイレクションURL全体は次のようになります。
http(s)://source-host:port/shareid/saml/ObSAMLTransferService?DOMAIN=source-domain&TARGET=targetURL
SPが開始するIdP検出は、targetURLがリダイレクションURLの最後の部分であれば、他のSAML 1.x製品を使用するソース・サイトに対しても構成できます。
このドメインをソース/アイデンティティ・プロバイダとして構成します
自ドメインのユーザーが他のドメインのリソースにアクセスする場合は、MyDomainをIdPとして構成します。
更新できる項目は次のとおりです。
POSTプロファイル: 署名証明書サブジェクトDN
POSTプロファイル: 署名証明書発行者DN
アーティファクト・プロファイル: 応答者URL
アーティファクト・プロファイル: ソースID
WSフェデレーション・パッシブ・リクエスタ・プロファイル: アイデンティティ・レルムURI
WSフェデレーション・パッシブ・リクエスタ・プロファイル: アイデンティティ・レルム・セキュア・トークン・サービス(STS) URL
このドメインを宛先/サービスまたはリソース・プロバイダとして構成します。
他ドメインのユーザーがMyDomainのリソースにアクセスする場合は、MyDomainをSPとして構成します。
更新できる項目は次のとおりです。
受信者URL
アーティファクト・プロファイル(基本構成)
リクエスタID
リクエスタ・パスワード
パスワードの再入力
アーティファクト・プロファイル(X.509構成)
X.509署名証明書サブジェクトDN
WS-Federationパッシブ・リクエスタのプロファイル
リソース・レルムURI
リソース・レルム・セキュア・トークン・サービス(STS) URL
このドメインをループバック・テスト用に構成
これらのフィールドは、テスト用のループバック・モードでMyDomainを構成するために使用します。
ループバック・テストで使用するURLは次のとおりです。
http(s)://OIF-host:port/shareid/saml/ObSAMLTransferService?DOMAIN=MyDomain&METHOD=method&TARGET=targetURL
このページは、Oracle Identity Federationも使用するパートナ・ドメインを構成するために使用します。このページでは、ドメイン構成項目の大部分に、Oracle Identity Federationの慣例に基づくデフォルト値を使用します。ドメインの管理者はホストとポート情報を提供する必要があります。このページを送信すると、「別のドメインの変更」ページが返され、必要に応じてドメイン構成を変更できます。特に、ドメインのアサーション・プロファイルとアサーション・マッピングを設定する必要があります。
更新できる項目は次のとおりです。
ドメイン名
完全修飾ホスト名(ホストおよびポート)
Oracle Identity Federationポート:
オープン・ポート
SSLポート
クライアント証明書認証ポート
このページのボタンは、次のようなドメイン保守機能を提供します。
送信: ドメイン・レコードをSAML 1.x構成に追加します。
リセット: 操作を取り消します。
このページは、外部ドメインをIdPまたはSPドメインとして構成するために使用します。ドメインはOracle Identity Federation以外のフェデレーション・サーバーを使用します。基本サーバー情報の他、ドメイン管理者はSAMLサービスURLを提供する必要があります。
MyDomain基本情報
次の情報を入力します。
このドメインを有効化: ドメインを有効化または無効化します。
ドメイン名: 保護されたフィールドです。
発行者。
ドメインの説明: 簡単な説明です。
サポートされているプロトコル。
ドメインが認可リクエストに応答するかどうか。
SmartMarks有効化。
エラーURL: エラーのイベントでユーザーがリダイレクトされるURLです。
転送URL: リダイレクトURLです。
問合せ文字列の転送: 転送URLがある場合に、そこで使用される問合せ文字列です。
サポートされているプロファイル。
このドメインをソース/アイデンティティ・プロバイダとして構成します
自ドメインのリソースにこのドメインのユーザーがアクセスする場合は、ドメインをIdPとして構成します。
選択したプロファイル(post、artifactまたはWS-Federation)に応じて、次の項目を更新できます。
POSTプロファイル: 署名証明書サブジェクトDN
POSTプロファイル: 署名証明書発行者DN
アーティファクト・プロファイル: 応答者URL
アーティファクト・プロファイル: ソースID
WSフェデレーション・パッシブ・リクエスタ・プロファイル: アイデンティティ・レルムURI
WSフェデレーション・パッシブ・リクエスタ・プロファイル: アイデンティティ・レルム・セキュア・トークン・サービス(STS) URL
このドメインを宛先/サービスまたはリソース・プロバイダとして構成します。
このドメインのユーザーが他のドメインのリソースにアクセスする場合は、ドメインをSPとして構成します。
更新できる項目は次のとおりです。
受信者URL
アーティファクト・プロファイル(基本構成)
リクエスタID
リクエスタ・パスワード
パスワードの再入力
アーティファクト・プロファイル(X.509構成)
X.509署名証明書サブジェクトDN
WS-Federationパッシブ・リクエスタのプロファイル
リソース・レルムURI
リソース・レルム・セキュア・トークン・サービス(STS) URL
このドメインをループバック・テスト用に構成
これらのフィールドは、ドメインをループバック・テスト用に構成するために使用します。
サービスURLとOracle Identity Federationについての関連情報は、SAML 1.xとWS-Federationプロトコルを使用する信頼できるピアと共有する必要があります。ここで説明した情報は、マイ・ドメイン構成ページ(「SAML 1.x/WSフェデレーション」→「ドメイン」→「マイ・ドメイン」)から入手できます。この情報は、自サイトのトラスト・サークルに1つ以上のピア・プロバイダが含まれ、Oracle Identity FederationサーバーのURL詳細を入力する必要がある場合に使用します。
この項では、サービスURLの取得方法を説明します。
SAML 1.xまたはWS-Federationを使用するトラスト・サークルのサービス・プロバイダに、アイデンティティ・プロバイダとして動作するOracle Identity Federationに関する次の構成データを提供します。
発行者: Oracle Identity Federationはパートナ・ドメインに関連付けられたアサーション・プロファイルで定義された発行者を実際に使用します。これにより、必要に応じて異なったパートナに対して異なった発行者を使用できますが、実際の運用ではこの柔軟性は不要です。混乱を避けるには、すべてのアサーション・プロファイルの発行者を、MyDomainの発行者に設定するのがベストです。
SPがOracle Identity Federationインストールでもある場合:
エラーURL: エラー・リダイレクション機能を使用します。
転送URL: SPが開始するSSOまたはSPが開始するIdP検出(旧SmartMarks)機能を使用します。
問合せ文字列の転送: SPが開始したSSO機能を使用します。
DOMAIN=<SP-domain>&METHOD=<method>&TARGET=
SP-domainがSP用に構成されているドメインの名前
methodは、artifactまたはpost
SAML 1.xアーティファクト・プロファイルが使用される場合:
応答者URL: SPがアーティファクト・リクエストを送信するSOAPサービスです。
SourceID: SPにIdPを識別します。
SAML 1.x POSTプロファイルが使用される場合:
SPがOracle Identity Federationサーバーでもある場合:
署名証明書サブジェクトDNおよび発行者DN(POSTで、署名されたSAMLレスポンスを検証するために使用)。
SPは別のSAML実装:
証明書は署名されたSAMLレスポンスを検証するために使用されます。証明書はキーストアから次のようにエクスポートできます。
cd ORACLE_HOME/fed/shareid/oblix/config/keystore
keytool -keystore <keystore> -storepass <ias-password> -export -alias shareid -rfc -file <file>
ias-パスワードは、Oracle Identity Federationがインストールされたときに選択された管理者パスワードです。
fileは、証明書がPEMフォーマットで書き込まれるファイルです。
WS-Federationパッシブ・リクエスタのプロファイルが使用される場合:
アイデンティティ・レルムURI: SPにIdPを識別します。
アイデンティティ・レルム・セキュア・トークン・サービス(STS) URL : セキュリティ・トークンを取得するためにSPがリダイレクトするURLです。
SAML 1.xまたはWS-Federationを使用するトラスト・サークルのアイデンティティ・プロバイダに、サービス・プロバイダとして動作するOracle Identity Federationに関する次の構成データを提供します。
SAML 1.xアーティファクト・プロファイルが使用される場合:
受信者URL: IdPがアーティファクトとともにリダイレクトするURLです。
SPのSOAPアーティファクト・リクエストのIdP認証の場合:
HTTP Basicを使用する場合: リクエスタIDとパスワード
SSLクライアント証明書認証を使用する場合:
IdPがOracle Identity Federationでもある場合: 署名証明書サブジェクトDN。
IdPが別のSAML実装である場合: 前述のようにしてエクスポートされた証明書。
SAML 1.x POSTプロファイルが使用される場合:
受信者URL: IdPがSAMLレスポンスをPOSTするURLです。
WS-Federationパッシブ・リクエスタのプロファイルが使用される場合:
リソース・レルムURI : このURIはIdPにSPを識別します。
リソース・レルム・セキュア・トークン・サービス(STS) URL: IdPがセキュリティ・トークンをPOSTするURLです。
属性共有は、X.509認証ベースのシステムにSAML属性共有プロファイルを実装する、Oracle Access ManagerとOracle Identity Federationの組合せ機能です。このプロファイルでは、保護されたリソースやサービスをリクエストするユーザーは、SSLクライアントのX.509証明書によって認証されますが、認可は、SAMLプロトコルを使用してユーザーの本拠である組織から取得されたユーザー属性で実行されます。ユーザーの本拠である組織がアイデンティティ・プロバイダ(IdP)、認証と認可を実行する組織がサービス・プロバイダ(SP)です。
この項では、Oracle Access ManagerとOracle Identity Federationで属性共有を構成する方法を説明します。内容は次のとおりです。
属性共有では、いくつかのOracle Access ManagerおよびOracle Identity Federationのコンポーネントを使用します。手順では、これらのコンポーネントがすでにインストールされ、通常動作するように構成されていると想定しています。
サービス・プロバイダのコンポーネント
Access Manager WebGateを持つWebサーバー: 保護されたURLのHTTPリクエストでは、SSLクライアント証明書認証を実行し、Oracle Access Managerサーバーからのアクセス決定を実施します。
Oracle Access Manager: WebGateの認証と認可を実行します。属性共有機能では次のカスタム・プラグインを使用します。
authz_attribute認証プラグイン: 証明書のSubjectDNをauthz_attribute認可プラグインに渡します。
authz_attribute認可プラグイン: 属性リクエスタ・サービスを使用してユーザーのSubjectDNの属性値を取得し、その属性値でルール式を評価して、アクセスを許可するかどうかを決定します。
|
注意: 認証プラグインと認可プラグインは、同一のauthz_attributeライブラリを使用します。 |
Oracle Identity Federation属性リクエスタ・サービス: ユーザーのSubjectDNによって決定されたIdP属性レスポンダ・サービスにSAML 2.0属性問合せを送信し、取得した属性をauthz_attributeプラグインに返します。
アイデンティティ・プロバイダ・コンポーネント
Oracle Identity Federation属性レスポンダ・サービスまたは他のSAML 2.0準拠フェデレーション製品: SP属性リクエスタ・サービスからSAML 2.0属性問合せを受信し、指定ユーザーの属性を取得し(ローカル・ポリシー制御に従い)、属性を含むレスポンスを属性リクエスタ・サービスに返します。
ローカル・ユーザーによって保護されたリソースは、SAML属性検索で認可されたリモート・ユーザー権限の他に、サービス・プロバイダのOracle Access Managerユーザー・ディレクトリ内で定義された属性を使用してアクセスされることもあります。ここで説明したように構成されたローカル・ユーザーはauthz_attribute認証プラグインによって検出され、プラグインはFailureステータスを返します。後で説明する認証スキームは、このステータスを使用してユーザーのローカル・セッションを作成するため、ローカルLDAPフィルタを持つ認可ルールを適用できます。
Oracle Access Managerプラグインを構成する際は次の手順に従ってください。
AccessサーバーをインストールしたユーザーとしてAccessサーバー・ホストにログインします。
INSTALLDIR/oblix/config/attributePluginディレクトリがない場合は作成します。
INSTALLDIR/oblix/config/attributePluginディレクトリのconfig.xmlファイルを、ここに示したconfig.xmlファイルをテンプレートとして使用して編集または作成します。
必要に応じて、config.xmlファイルの属性と要素を編集します。
変更を有効にするためにアクセス・サーバーを再起動します。
サンプルのconfig.xmlファイル
<Config LogLevel="audit" WaitTime="30" SizeLimit="0" MaxConnections="5"
InitialConnections="2"
Authn="basic" Username="coreid-as-ashost-6021" Password="xyzzy"
KeyPassword="abcde"
CacheTimeout="3600" MaxCachedUsers="1000" HeaderKeyLength="128"
RequestFormat="values">
<Mapping Local="true">
<DN>O=Company,C=US</DN>
</Mapping>
<Mapping URL="https://fed1.company.com:7777/fed/ar/soap">
<DN>O=PeerA,C=US</DN>
<DN>O=PeerB,C=US</DN>
</Mapping>
<Mapping URL="https://fed2.company.com:7777/fed/ar/soap"
RequestFormat="all">
<DN>O=PeerC,C=US</DN>
<DN>O=PeerD,C=US</DN>
</Mapping>
<Mapping URL="https://fed3.company.com:7777/fed/ar/soap">
<DN>C=US</DN>
</Mapping>
</Config>
構成パラメータ
構成パラメータは次のとおりです。
LogLevel: INSTALL_DIR/oblix/logs/authz_attribute_plugin_log.txtに記録される情報の量を制御します。
off: エラーのみ記録します(デフォルト)。
audit: 認証リクエスト1件につき1行記録し、アクセス決定、ユーザーの証明書サブジェクトDNまたはローカル・ディレクトリDN、およびHTTP処理と、リクエストされたURLのローカル部分を示します。
debug: 問題のデバッグの役に立つ広汎な情報を記録します。
HTTP接続パラメータ(Oracle Identity Federation属性リクエスタ・サービスへのauthz_attributeプラグイン)。構成要素は次のとおりです。
WaitTime: レスポンスを待つ時間です(単位は秒)。デフォルトは30秒です。
SizeLimit: Oracleメッセージが送受信したHTTPメッセージの最大サイズです(デフォルトは無制限を表す0)。
MaxConnections: HTTP同時最大接続数です(デフォルトは5)。
InitialConnections: 初期に開かれた現在のHTTP接続数です(デフォルトは2)。
Oracle Identity Federation属性リクエスタ・サービスへのauthz_attributeプラグインの認証パラメータ。次のとおりです。
Authn: 認証方式
none: 認証なし
basic: ユーザー名とパスワードを使用するHTTP Basic認証(デフォルト)
cert: SSLクライアント証明書認証。key.pem、cert.pemおよびKeyPasswordを使用
Username: Basic認証のユーザー名です。
Password: Basic認証のパスワードです。
KeyPassword: SSLクライアント証明書認証の、key.pemのパスワードです。
属性値キャッシュ・パラメータ。次のとおりです。
CAcheTimeout: キャッシュされた属性値を保持する秒数。この時間が過ぎると値の更新を要求します(デフォルトは3600秒、つまり1時間。0はキャッシング無効)。
MaxCAchedUsers: キャッシュされた属性を持つユーザーの最大人数。キャッシュがいっぱいになると、期限内だが、使用された時期が最も古いエントリを取り消します(デフォルトは1000)。
属性リクエスタ・サービスURLへのサブジェクトDNのマッピング。各属性リクエスタ・サービスについて、次を指定します。
URL: サービス用。形式は%HTTP_PROTOCOL%://%OIF_HOST%:%OIF_PORT%/fed/ar/soap。各部分は次のとおりです。
%HTTP_PROTOCOL%: httpまたはhttps
%OIF_HOST%:%OIF_PORT%: Oracle Identity Federationサーバーのホストとポート
例: https://fed1.company.com:7777/fed/ar/soap
Local: trueの場合、一致しているユーザーはローカルで、属性リクエスタ・サービスは使用されません。trueの場合、URLパラメータは無視されます。
DN: Subject DNと照合するDNパターンを指定している1つ以上の要素。パターンは、DNの一番右の部分です。例: O=PeerA,C=US。
属性問合せプロパティ: RequestFormatパラメータは、属性、および属性レスポンスで返される値を決定します。RequestFormatは認可ルールより優先されます。たとえば、認可ルールは属性と値の両方を指定しているが、RequestFormatが名前を指定している場合は、問合せでは値が省略されます。RequestFormatを指定するオプションは次のとおりです。
RequestFormat="values"
AttributeQueryには、認可ルールのruleExpressionから取得された属性名と値が含まれます。属性レスポンダは、AttributeQueryにあるユーザー属性と値のみを返します。デフォルト設定値です。この設定値は、属性値のために使用するメモリーの量を最小にします(値をリクエストされるのは、認可で必要な場合のみ)。代償として、属性リクエストの回数が増大します。
RequestFormat="names"
AttributeQueryには属性名は含まれますが、ruleExpressionから取得した属性値は含まれません。属性レスポンダは、名前付き属性の、そのユーザーのすべての値を返します。ただし、属性値へのアクセスを制御しているあらゆるレスポンダ・ポリシーに従います。この設定値は、「values」設定と「all」設定の中間にあるキャッシュ・メモリー使用量と属性リクエスト数の間のトレードオフを提供します。注意: この設定では、認可のためにどの属性値が必要か、AttributeQueryはIdPに明示しないため、セキュリティ上の理由で「values」設定より好まれることがあります。
RequestFormat="all"
AttributeQueryには、属性名や値が含まれていません。属性レスポンダは、属性値へのアクセスを制御しているあらゆるレスポンダ・ポリシーに従うユーザーに、すべての属性と値を返します。この設定では、属性リクエストの回数は減少しますが、属性値が認可に使用される前に(使用されない場合もある)属性値のキャッシュに使用されるメモリー量は増大します。この設定は、属性レスポンダ・ポリシーが、SPが求める属性のみを返すように構成された場合に、最適に機能します。注意: この設定で、AttributeQueryはIdPに対して、認可のために取得した属性を明らかにしないため、セキュリティ上の理由で「values」および「names」設定より好まれることがあります。
サンプルのconfig.xmlファイルに示されているように、RequestFormatパラメータは、デフォルトのリクエスト・フォーマットを設定する場合は<Config>要素に表示され、マッピングでカバーされるサブジェクトDNのリクエスト・フォーマットを設定する場合は<Mapping>要素に表示されます。
サンプル構成のマッピング例
以前に示したサンプルのconfig.xml構成ファイルの場合の、マッピング例を示します。
| ユーザー・サブジェクトDN | URLへのマップ |
|---|---|
| E=john.smith@company.com,CN=John Smith, OU=Development,O=Company,C=US | ローカル |
| E=betty.jones@peera.com.CN=Betty Jones,OU=Marketing,O=PeerA,C=US | https://fed1.company.com:7777/osfs/sp/soap |
| E=sally.smith@peerd.com,CN=Sally Smith,OU=Marketing,O=PeerD,C=US | https://fed2.company.com:7777/osfs/sp/soap |
| E=bill.jones@peerx.com,CN=Bill Jones,OU=Finance,O=PeerX,C=US | https://fed3.company.com:7777/osfs/sp/soap |
SSLとクライアント証明書認証の構成
HTTPSとSSLクライアント証明書認証を構成するには、次の手順を使用します。
HTTPSが、authz_attributeプラグインと、1つ以上の属性リクエスタ・サービスの間で使用される場合は、INSTALL_DIR/oblix/config/attributePlugin/cacerts.pemに、信頼できるCAのリストを設定します。属性リクエスタ・サービスを認証する各CAごとに、PEMフォーマットされた証明書(-----BEGIN CERTIFICATE-----および-----END CERTIFICATE-----を含む)をcacerts.pemに追加します。
SSLクライアント証明書認証が、authz_attributeプラグインと、1つ以上の属性リクエスタ・サービスの間で使用される場合は、key.pemファイルとcert.pemファイルを設定します。
次の手順に従って、Oracle Access Managerに含まれているopensslユーティリティを使用して、秘密鍵と証明書リクエストを生成します。
cd INSTALL_DIR/oblix/tools/openssl
openssl req -config openssl.cnf -newkey rsa:1024 -keyout../../config/attributePlugin/key.pem -out../../config/attributePlugin/req.pem
証明書を受信するには、CAにINSTALL_DIR/oblix/config/attributePlugin/req.pemを送信します。
生成された証明書をINSTALL_DIR/oblix/config/attributePlugin/cert.pemにコピーします。
プラグインがPEMファイルを確実に使用するようにするには、アクセス・サーバーを再起動します。
この項では、Oracle Access ManagerのスキームとポリシーをOracle Identity Federation用に構成する方法を説明します。内容は次のとおりです。
次の手順を実行します。
マスター・アクセス管理者としてOracle Access Managerシステム・コンソールにログインします。「アクセス・システム構成」パネルの「認証管理」を選択します。
「追加」をクリックして、「新規認証スキームの定義」フォームに記入します。
名前: OIF属性共有。
説明: Oracle Identity Federation属性共有認可のためにSSLクライアント証明書認証を実行します。
レベル: 保護されたリソースの要件に基づいて設定します。あらゆるパスワード・スキームより高くします。
チャレンジ・メソッド: X509Cert。
チャレンジ・パラメータ: ssoCookie:Expires=Tue, 1 Nov 2005 00:00:00 GMT。
|
注意: このチャレンジ・パラメータは、保護されたリソースへのすべてのアクセスで、確実にこの認証方式が実行されるようにするために、ブラウザに強制的にObSSOCookieを破棄させ、Oracle Access Managerに再認証させます。 |
SSL必須: はい。
有効: いいえ(プラグインの構成前)。
「保存」をクリックして変更をコミットします。
「プラグイン」タブを選択し、「変更」をクリックします。表に示したプラグイン・パラメータを追加します。組込みプラグインを入力するには、ドロップダウン・リストからプラグイン名を選択します。カスタムのプラグインを入力するには、ドロップダウン・リストから「カスタム・プラグイン」を選択し、テキスト・ボックスにプラグイン名を入力します。プラグインをすべて追加したら、「保存」をクリックします。
| プラグイン名 | タイプ | プラグイン・パラメータ |
|---|---|---|
| authz_attribute | カスタム | (なし) |
| cert_decode | 組込み | (なし) |
| credential_mapping | 組込み | obMappingBase="MAPPING_BASE",obMappingFilter="(uid=OblixAnonymous)" |
| credential_mapping | 組込み | obMappingBase="MAPPING_BASE",obMappingFilter="(&(&(objectclass=PERSON_OBJECTCLASS) (USER_ATTRIBUTE=%certSubject.FIELD%))(|(!(obuseraccountcontrol=*))(obuseraccountcontrol=ACTIVATED)))" |
次に例を示します。
| プラグイン名 | プラグイン・パラメータ |
|---|---|
| authz_attribute | |
| cert_decode | |
| credential_mapping | obMappingBase="o=Company,c=US", obMappingFilter="(uid=OblixAnonymous)" |
| credential_mapping | obMappingBase="o=Company,c=US", obMappingFilter="(&(&(objectclass=inetorgperson)(mail=%certSubject.E%)) (|(!(obuseraccountcontrol=*))(obuseraccountcontrol=ACTIVATED)))" |
「ステップ」パネルを選択します。次の手順を追加します。
| 手順名 | アクティブ・プラグイン | 目的 |
|---|---|---|
| SubjectDN | authz_attribute | 証明書からSubjectDNを抽出し、ユーザーがリモートとローカルのどちらであるかを判定します。 |
| RemoteUser | 最初のcredential_mapping | リモート・ユーザー用の匿名セッションを作成します。 |
| LocalUser | cert_decode、2番目のcredential_mapping | ローカル・ユーザー用のリアル・セッションを作成します。 |
「認証フロー」パネルを選択し、「変更」 をクリックして、表に示したフローを設定します。注意: authz_attributeプラグインは、ユーザーがリモートである場合はSuccessを返し、ユーザーがローカルである場合はFailureを返します。
| 手順名 | 開始手順 | Successの場合の次の手順 | Failureの場合の次の手順 |
|---|---|---|---|
| デフォルトのステップ | いいえ | 停止 | 停止 |
| SubjectDN | はい | RemoteUser | LocalUser |
| RemoteUser | いいえ | 停止 | 停止 |
| LocalUser | いいえ | 停止 | 停止 |
「ステップ」パネルに戻り、使用しなかったデフォルト手順を削除します。
「一般」パネルに戻り、認証スキームを有効にします。
次の手順は、属性共有認可スキームを構成するために使用します。
マスター・アクセス管理者としてOracle Access Managerシステム・コンソールにログインします。「アクセス・システム構成」パネルの「認可管理」を選択します。
「追加」をクリックして、「新規認可スキームの定義」フォームに記入します。
名前: OIF属性共有。
説明: Oracle Identity Federationを使用して、リモート・ユーザーがルール式を評価するための属性を取得するために使用します。
共有ライブラリ: oblix/lib/authz_attribute。
プラグインは管理コードです: いいえ。
管理コードのネームスペース:(なし)。
ユーザー・パラメータ: RA_SubjectDN(注意: authz_attributeプラグインによって設定されたSubjectDNヘッダーを取得するには、「アクションのリバース」機能を使用します。
必須パラメータ
名前: ruleExpression
値:(なし)(注意: 各アクセス・ポリシー認可ルールによりルール式が提供されます。)
「保存」 をクリックして変更をコミットします。
次の手順は、属性共有プロファイルを使用するOracle Access Managerポリシーを構成するために使用します。
マスター・アクセス管理者または委任アクセス管理者としてOracle Access Managerにログインします。「ポリシー・ドメインの作成」を選択します。
「一般」パネル・フォームに記入します。
名前: 適切な名前(たとえば、Oracle Identity Federation属性共有テスト)。
説明: 適切に入力します。
「保存」をクリックします。
リソース・パネルを選択して、1つ以上の保護するリソースのURL接頭辞を追加します(/attribute-testなど)。
「認可ルール」パネルを選択し、リモート・ユーザーに必要な属性の各セットごとに認可ルール(ルール式で表現)を追加します。
「カスタム認可スキーム」を選択し、「追加」をクリックします。
認可ルール・フォームに記入して、「保存」をクリックします。
1. 名前: 適切な名前(たとえば、「Peer Marketing VP」)。
2. 説明: 適切に入力します。
3. 認可スキーム: OIF属性共有。
「プラグイン・パラメータ」パネルを選択し、「変更」をクリックして、表に示したruleExpressionパラメータを設定します。注意: 「=」、「!=」、「&」および「|」の左右にはスペースを配置できます。
| 要素 | 構文 | 意味 |
|---|---|---|
| name | 英数字と「-」、「_」および「.」の文字列 | ユーザーのアイデンティティ・プロバイダからリクエストする属性の名前。 |
| value | 文字列のいずれか1つか、anyまたはnull | 必須属性値です。Oracle COREid Access 7.0.4では、文字列はLatin-1文字に限定されます。Oracle Access Manager10.1.4以降では、文字列はUnicode文字を含むことができます。値anyは、属性のすべての値を取得し、照合します。NULL値は、xsi:nil="true"属性を持つSAML<属性>に一致します。 |
| comparison | name = value、name != value、または (式) | それぞれ、ユーザーが属性値を持っている場合/持っていない場合にtrue。 |
| and句 | comparison & comparison | 両方のcomparisonがtrueのときにtrueになります。 |
| or句 | comparison | comparison | どちらかのcomparisonがtrueのときにtrueになります。&は!よりも優先されます。 |
名前の例を次に示します。
title = "VP" & function = "Marketing"
title = "VP" | title = "Director"
title = "VP" & (function = "Marketing" | function = "Finance")
title = any & function = any
目的に応じて、認可ルール用の任意のタイミング条件またはアクションを設定します。
「一般」パネルに戻って、ルールを有効にします。
「認可ルール」パネルを選択して、ローカル・ユーザー属性に対する認可ルールを追加します。
「Oracle認可スキーム」を選択し、「追加」をクリックします。
認可ルール・フォームに記入します。
名前: 適切な名前(たとえば、「Company Marketing VP」)。
説明: 適切に入力します。
有効: はい。
優先を許可: いいえ。
「保存」をクリックします。
「アクセスの許可」パネルを選択し、「変更」をクリックして、ローカル属性用のLDAPフィルタを追加します。Oracle Access Manager Identity User ManagerのQuery Builderを使用できます(構成→管理の委任→フィルタの作成)。次に例を示します。
ldap:///o=Company,c=US??sub?(&(title=VP)(function=Marketing))
目的に応じて、認可ルール用の任意のタイミング条件またはアクションを設定します。
「一般」パネルに戻って、ルールを有効にします。
「デフォルト・ルール」パネルを選択して、デフォルト認証ルールを追加します。
名前: 適切に入力します。
説明: 適切に入力します。
認証スキーム: OIF属性共有。
「保存」をクリックします。
「認可条件式」パネルを選択して、デフォルト認証ルールを追加します。
上で定義されたとおりに適用可能なリモート認可ルールを選択し、「追加」(たとえば、Peer Marketing VP)をクリックします。
対応するローカル認可ルールがある場合は、「OR」を選択してローカル認可ルールを追加します。(たとえば、Peer Marketing VP | Company Marketing VP)。
「保存」をクリックします。
かわりに、保護されたURLのサブセットの認可式を使用して、ポリシー・ドメインにポリシーを追加できます。
次の手順は、サービス・プロバイダ・モードの属性リクエスタとしてOracle Identity Federationを構成するために使用します。
Oracle Identity Federation管理コンソール(http://sp-hostname:port/fedadmin)に、ユーザー名oif_adminと、インストール時に設定したパスワードを使用してアクセスします。
属性リクエスタ機能を有効にします。
「サーバー構成」 タブに移動し、「サービス・プロバイダ」セクションを選択します。
SAML 2.0のサービス・プロバイダ・プロパティを編集するために「SAML 2.0」 をクリックします。
「属性リクエスタ有効」を選択します。
「保存」をクリックします。
トラスト・サークルにSAML 2.0IdPメタデータを追加します。
「サーバー構成」セクションに移動します。
「トラスト・サークル」セクションを選択します。
SAML 2.0IdPメタデータの場所と追加説明を「信頼できるプロバイダの追加」セクションに入力します。
「追加」をクリックします。
DNからIdPへのマッピングを構成します。
「サーバー構成」 タブをクリックし、「サービス・プロバイダ」セクションに移動します。
「属性リクエスタ」に移動します。
マッピングを追加するには、次の操作を行います。
「マッピングの追加」をクリックします。
DNまたはサブDNを入力します(たとえば、c=us)。
既存のIdPにこのDNまたはサブDNをマップします。
必要に応じて操作を繰返します。
「適用」をクリックします。
「サーバーのリフレッシュ」をクリックします。
証明書検証を有効にします。
「サーバー構成」セクションに移動します。
「証明書検証有効」をクリックします。(注意: このページのプロパティを設定するには、サーバーを再起動する必要があります。)
Enterprise Managerコンソールに、ユーザー名ias_adminと、インストール時に設定したパスワードを使用して移動します。
「システム・コンポーネント」の「OC4J_FED」を選択します。
「再起動」をクリックします。
|
注意: 証明書の有効性検証はオプションです。 |
証明書検証を構成します。
「サーバー構成」セクションに移動します。
証明書検証」セクションを選択します。
信頼できるCAまたはCRLを追加します。(注意: 証明書検証が有効な場合は、署名を検証するために信頼できるCAが必要です)。
「完了」をクリックします。
「サーバーのリフレッシュ」をクリックします。
|
注意: 証明書の有効性検証はオプションです。 |
暗号化を有効にします。
「サーバー構成」セクションに移動します。
「サービス・プロバイダ」セクションを選択し、「SAML 2.0」セクションを選択します。
AttributeQueryの名前識別子を属性レスポンダに暗号化するには「暗号化された名前IDの送信」を選択します。
|
注意: 暗号化はオプションです。 |
AttributeQueryの属性を属性レスポンダに暗号化するには「暗号化された属性の送信」を選択します。
「保存」をクリックします。
「サーバーのリフレッシュ」をクリックします。
属性リクエスタ・サービスはhttp://sp-hostname:port/fed/ar/soapから使用できます。
プラグインとOracle Identity Federationの間にBasic認証を使用する場合は、Oracle Identity Federationインスタンス用のOHSサーバーのhttpd.confファイルに次の内容を追加する必要があります。
<LocationMatch "/fed/ar/soap">
AllowOverride None
AuthType Basic
AuthName "Restricted Files"
AuthUserFile /private/oifpassword
Require user alice
Order allow,deny
Allow from all
</LocationMatch>
htpasswdユーティリティを使用してユーザー・パスワード・ファイルを作成する必要もあります。上の例で、ユーザーとパスワードを含むAuthUserFileは/private/oifpasswordファイルを参照しており、このファイルでユーザーaliceが定義されています。
この例では、ユーザーaliceを追加することによってこのようなファイルを作成します。
Apache/Apache/bin/htpasswd -c /private/oifpassword alice
次の手順は、IdPモードの属性レスポンダとしてOracle Identity Federationを構成するために使用します。
SAML 2.0 SPメタデータを保存します。
URL http://sp-hostname:port/fed/sp/metadatav20に移動します。
ローカル・ディスクにXMLファイルを保存します。
|
注意: メタデータURLが適用されるのは、SPがOracle Identity Federationを使用する場合だけです。SPが何か他のSAML実装を使用している場合は、メタデータ取得処理は、その実装ごとに決定されます。 |
Oracle Identity Federation管理コンソール(http://sp-hostname:port/fedadmin)に、ユーザー名oif_adminと、インストール時に設定したパスワードを使用してアクセスします。
属性レスポンダ機能を有効にします。
「サーバー構成」タブに移動して「アイデンティティ・プロバイダ」セクションを選択し、「SAML 2.0」セクションを選択してSAML 2.0 IdPプロパティを編集します。
「属性レスポンダ有効」を選択します。
「保存」をクリックします。
X.509名前IDをマップします。
「サーバー構成」セクションに移動します。
「アイデンティティ・プロバイダ」セクションを選択し、「SAML 2.0」セクションを選択します。
「アサーション名前IDフォーマット」をクリックします。
X.509サブジェクト名が有効で、ユーザー・リポジトリから正しいユーザー・エントリ属性にマップされていることを確認します。
dnを使用して、X.509サブジェクト名をエントリの識別名にマップします。または
ユーザー・エントリの任意の属性を使用します。
|
注意: X.509サブジェクト名に選択された属性は、RFC2253で指定されたフォーマットに従って、クライアント証明書サブジェクトDNに正確に一致する必要があります。フォーマットに確信がない場合は、SPでテストを実行して、ORACLE_HOME/fed/log/federation-msg.logに記録される、SPから送信されたSubject NameIdentifierの値を確認します。 |
「適用」をクリックします。
「SAML 2.0アイデンティティ・プロバイダ・プロパティの編集」ページの「保存」をクリックします。
「サーバーのリフレッシュ」をクリックします。
トラスト・サークルにSAML 2.0 SPメタデータを追加します。
「サーバー構成」タブに移動します。
トラスト・サークルセクションを選択します。
SAML 2.0SPメタデータの場所を「信頼できるプロバイダの追加」セクションに入力し、追加説明を入力します。
「追加」をクリックします。
SP属性リクエスタの属性マッピングを構成します。
「サーバー構成」セクションに移動します。
トラスト・サークルセクションを選択します。
SPの「属性リクエスタ」エントリを選択して、「更新」をクリックします。
「属性マッピング」をクリックします。
属性マッピングを追加するには、次の操作を行います。
「行の追加」をクリックします。
ユーザー・リポジトリ属性名を「ユーザー属性名」列に入力します。
「アサーション属性名」に、属性を参照するために、AttributeQueryまたはアサーションで使用する識別子を入力します。
SAML 2.0では「フォーマットまたはネームスペース」列を空のままにしておきます。
他の属性のマッピングを追加するには、操作を繰り返します。
「適用」をクリックします。
「信頼できるプロバイダの編集」ページの「適用」をクリックします。
「サーバーのリフレッシュ」をクリックします。
|
注意: Oracle Identity Federationを使用するSPの場合、「属性共有を使用するOracle Access Managerポリシーの構成」で設定したように、アサーション属性名はruleExpressionでの属性名により決定されます。属性名はIdPとSPで一致している必要があります。 |
証明書検証を有効にします。
「サーバー構成」セクションに移動します。
「証明書検証有効」をクリックします。(注意: このページのプロパティを設定するには、サーバーを再起動する必要があります。)
Enterprise Managerコンソールに、ユーザー名ias_adminと、インストール時に設定したパスワードを使用して移動します。
「システム・コンポーネント」の「OC4J_FED」を選択します。
「再起動」をクリックします。
|
注意: 証明書の有効性検証はオプションです。 |
暗号化を有効にします。
「サーバー構成」セクションに移動します。
「アイデンティティ・プロバイダ」セクションを選択し、「SAML 2.0」セクションを選択します。
属性リクエスタへのレスポンスで名前識別子を暗号化するには「暗号化された名前IDの送信」を選択します。
属性リクエスタへのレスポンスで属性を暗号化するには「暗号化された属性の送信」を選択します。
属性リクエスタへのレスポンスでアサーションを暗号化するには「暗号化されたアサーションの送信」を選択します。
「保存」をクリックします。
「サーバーのリフレッシュ」をクリックします。
|
注意: 暗号化はオプションです。 |
Oracle Application ServerでSSLを構成するには、「Oracle Identity FederationでのSSLの使用」を参照してください。
この項では、Oracle Identity Federationの属性リクエスタ・サービス・インタフェースについて説明します。内容は次のとおりです。
属性リクエスタ・サービスには、SOAP POSTプロトコルを使用したリクエスト/レスポンス・インタフェースが用意されています。このサービスは、X.509認証ベースの属性共有プロファイルをサポートしており、SAML 2.0 <AttributeQuery>表記規則に従っています。
このサービスを起動して、samlp:AttributeQueryメッセージをリモートアイデンティティ・プロバイダに送信できます。
Webサービス・クライアントがAttributeRequestをOracle Identity Federation/属性リクエスタ・サーバーに送信するときに実行される手順は、次のとおりです。
Webサービス・クライアントは、SOAPプロトコルを使用してAttributeRequestメッセージを送信します。
Oracle Identity Federationは、AttributeRequestに含まれるSubjectに基づいて、受信AttributeRequestメッセージを処理し、SAML 2 AttributeQueryの送信先のIdPを選択します。
Oracle Identity Federationは、特定のリモートIdPに対して、AttributeRequestにリストされているオプションの属性値の属性値マッピングを適用します。
Oracle Identity Federationは、特定のリモートIdPに対して、AttributeRequestにリストされているオプションの属性の属性名マッピングを適用します。
Oracle Identity Federationは、AttributeQueryをリモートIdPに送信します。
Oracle Identity Federationは、IdPによって送信された属性とともに、アサーションが含まれるレスポンスを受信します。
Oracle Identity Federationは、特定のリモートIdPに対して、アサーションのAttributeStatementにリストされている属性名の属性名マッピングを適用します。
Oracle Identity Federationは、特定のリモートIdPに対して、アサーションのAttributeStatementにリストされている属性値の属性値マッピングを適用します。
Oracle Identity Federationは、AttributeResponseメッセージを構築し、これをSOAPレスポンス・メッセージでWebサービス・クライアントに戻します。
AttributeRequestメッセージにより、ユーザーの属性データに対するリクエストを発行します。
AttributeRequestでは、次の入力を指定します。
ユーザーのSubjectDN。これは必須入力です。
このユーザーについて取得する0(ゼロ)以上の属性名。
AttributeRequestメッセージはSOAP EnvelopeおよびBodyでラップされ、HTTP POSTリクエストで送信されます。メッセージ構造は次のとおりです。
<SOAP-ENV:Envelope
xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/">
<SOAP-ENV:Body>
<orafed-arxs:AttributeRequest xmlns:orafed-arxs="http://www.oracle.com/fed/ar/10gR3">
<orafed-arxs:Subject>cn=alice,cn=users,dc=us,dc=oracle,dc=com
</orafed-arxs:Subject>
<orafed-arxs:Attribute Name="mail">
<orafed-arxs:Value>alice@oracle.com</orafed-arxs:Value>
<orafed-arxs:Value>bob@oracle.com</orafed-arxs:Value>
</orafed-arxs:Attribute>
<orafed-arxs:Attribute Name="firstname">
<orafed-arxs:Value>Bobby</orafed-arxs:Value>
<orafed-arxs:Value>Charles</orafed-arxs:Value>
</orafed-arxs:Attribute>
<orafed-arxs:Attribute Name="lastname">
</orafed-arxs:Attribute>
</orafed-arxs:AttributeRequest>
</SOAP-ENV:Body>
</SOAP-ENV:Envelope>
出力ルールは次のとおりです。
SAML 2.0 <AttributeQuery>表記規則に従い、属性名を指定しない場合はすべてのユーザー属性が戻されます。
リクエスト内で1つ以上の属性名を指定すると、これらの属性のみが戻されます。
属性はレスポンダのローカル・ポリシーに従って戻されます。
属性リクエスタ・サービスは、属性リクエストに続いてAttributeResponseメッセージをSOAPクライアントに戻します。
AttributeResponseの出力には、次が含まれます。
SAML 2.0問合せのステータス(成功または失敗、およびその理由)
クライアントは、この情報をロギング用に使用できます。
ユーザーのSubjectDN
0(ゼロ)以上の<Attribute>要素(各要素が属性名と0(ゼロ)以上の値を提供します)
戻される属性値については、次の点に注意してください。
すべての値はUTF-8文字列です。
SAML 2.0 AttributeQuery表記規則に従い、リクエスタによる属性の値の確認が許可されていない場合、Attribute要素はValue要素なしで戻されます。
NULLの属性値は<Value Null="true"/>で表されます。
AttributeResponseメッセージのCacheFor属性により、属性値をキャッシュできる時間を指定します。
AttributeResponseメッセージはSOAP EnvelopeおよびBodyでラップされ、HTTP 200 OKレスポンスで戻されます。メッセージ構造は次のとおりです。
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/">
<SOAP-ENV:Body>
<orafed-arxs:AttributeResponse xmlns:orafed-arxs="http://www.oracle.com/fed/ar/10gR3" CacheFor="1199">
<orafed-arxs:Status>Success</orafed-arxs:Status>
<orafed-arxs:Subject>cn=alice,cn=users,dc=us,dc=oracle,dc=com
</orafed-arxs:Subject>
<orafed-arxs:Attribute Name="sn">
<orafed-arxs:Value>Appleton</orafed-arxs:Value>
</orafed-arxs:Attribute>
<orafed-arxs:Attribute Name="givenname"></orafed-arxs:Attribute>
<orafed-arxs:Attribute Name="mail">
<orafed-arxs:Value>alice@oracle.com</orafed-arxs:Value>
</orafed-arxs:Attribute>
</orafed-arxs:AttributeResponse>
</SOAP-ENV:Body>
</SOAP-ENV:Envelope>
属性リクエスタ・サービス・インタフェースを正式に定義するWSDLは、次のとおりです。
<?xml version ="1.0" encoding="US-ASCII" ?>
<wsdl:definitions name="AttributeRequesterFed" xmlns:wsdl="http://schemas.xmlsoap.org/wsdl/"
xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/"
xmlns:xml="http://www.w3.org/XML/1998/namespace"
xmlns:orafed-arxs="http://www.oracle.com/fed/ar/10gR3"
xmlns:orafed-arwsdl="http://www.oracle.com/fed/ar/wsdl"
targetNamespace="http://www.oracle.com/fed/ar/wsdl">
<wsdl:types>
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema"
targetNamespace="http://www.oracle.com/fed/ar/10gR3"
elementFormDefault="qualified"
attributeFormDefault="unqualified">
<xs:element name="Subject" type="xs:string"/>
<xs:complexType name="ValueType">
<xs:simpleContent>
<xs:extension base="xs:string">
<xs:attribute name="Null" type="xs:boolean"/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
<xs:element name="Value" type="orafed-arxs:ValueType"/>
<xs:complexType name="AttributeType">
<xs:sequence>
<xs:element ref="orafed-arxs:Value" minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="Name" type="xs:ID"/>
</xs:complexType>
<xs:element name="Attribute" type="orafed-arxs:AttributeType"/>
<xs:complexType name="AttributeRequestType">
<xs:sequence>
<xs:element ref="orafed-arxs:Subject"/>
<xs:element ref="orafed-arxs:Attribute" minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
</xs:complexType>
<xs:element name="AttributeRequest" type="orafed-arxs:AttributeRequestType"/>
<xs:complexType name="AttributeResponseType">
<xs:sequence>
<xs:element name="Status" type="xs:string"/>
<xs:element ref="orafed-arxs:Subject"/>
<xs:element ref="orafed-arxs:Attribute" minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="CacheFor" type="xs:unsignedInt"/>
</xs:complexType>
<xs:element name="AttributeResponse" type="orafed-arxs:AttributeResponseType"/>
</xs:schema>
</wsdl:types>
<wsdl:message name="AttributeRequestMessage">
<wsdl:part name="body" element="orafed-arxs:AttributeRequest"/>
</wsdl:message>
<wsdl:message name="AttributeResponseMessage">
<wsdl:part name="body" element="orafed-arxs:AttributeResponse"/>
</wsdl:message>
<wsdl:portType name="AttributeRequesterServicePortType">
<wsdl:operation name="AttributeRequestOp">
<wsdl:input message="orafed-arwsdl:AttributeRequestMessage"/>
<wsdl:output message="orafed-arwsdl:AttributeResponseMessage"/>
</wsdl:operation>
</wsdl:portType>
<wsdl:binding name="AttributeRequesterServiceBinding" type="orafed-arwsdl:AttributeRequesterServicePortType">
<soap:binding style="document" transport="http://schemas.xmlsoap.org/soap/http"/>
<wsdl:operation name="AttributeRequestOp">
<soap:operation soapAction="http://www.oracle.com/fed/AttributeRequestOp" />
<wsdl:input>
<soap:body use="literal"/>
</wsdl:input>
<wsdl:output>
<soap:body use="literal"/>
</wsdl:output>
</wsdl:operation>
</wsdl:binding>
<wsdl:service name="AttributeRequesterService">
<wsdl:port name="AttributeRequesterServicePort"
binding="orafed-arwsdl:AttributeRequesterServiceBinding">
<soap:address location="http://stadm04.us.oracle.com:7778/fed/ar/soap"/>
</wsdl:port>
</wsdl:service>
</wsdl:definitions>
typesおよびmessageセクションは、AttributeRequestおよびAttributeResponseメッセージの内容を定義します。
Attribute要素のName属性には、組込みXMLスキーム・タイプIDが使用されます。このタイプにより、属性名の必要な構文(文字、数値、「_」、「,」、「-」および「.」)が概算されます。ただし、ID(XML NCNameタイプから導出)には、文字と拡張機能を組み合せた複数のUnicodeも含まれます。
bindingおよびserviceセクションは、SOAPおよびHTTP(S)を介してメッセージを送信する方法を指定します。
正規表現の構文の概要は、http://java.sun.com/j2se/1.4.2/docs/api/java/util/regex/Pattern.htmlを参照してください。
この項では、Oracle Identity Federationの属性マッピング機能を構成する方法について説明します。内容は次のとおりです。
Oracle Identity Federationは、次に関する属性マッピングをサポートしています。
SAML 2.0属性権限
SAML 2.0属性リクエスタ
Liberty 1.x/SAML 2.0アイデンティティ・プロバイダ(SSOアサーションで属性を送信する場合)
Oracle Identity Federationには、次の属性マッピング機能が用意されています。
属性名マッピング: Liberty/SAMLメッセージで使用される外部属性名にローカル属性名をマップします。
属性値マッピング: Liberty/SAMLメッセージで使用される外部属性値にローカル属性値をマップします。
属性値フィルタリング: アサーション・メッセージで許容値のみを送信することによってローカル属性値にフィルタリングします。
|
注意: このリリースでは、属性マッピングおよびフィルタリングはすべて、グローバル・レベルではなく、ピア・プロバイダ単位の構成としてのみ適用できます。 |
管理者は、属性名マッピングを使用することにより、メッセージの送受信時にLiberty/SAMLメッセージでローカル属性を定義するための名前を指定できます。
IdP/属性権限側では、マッピングの定義時に、属性を特定のピア・プロバイダに送信するようOracle Identity Federationを構成することもできます。つまり、名前マッピングを定義しない場合、Oracle Identity Federationは属性をピア・プロバイダに送信しないよう構成されます。
Oracle Identity Federationによって属性名マッピングが実行されるのは、Oracle Identity Federationが次のものとして動作する場合です。
SAML 2.0属性権限
SAML 2.0属性リクエスタ
Liberty 1.x/SAML 2.0アイデンティティ・プロバイダ(SSOアサーションで属性を送信する場合)
属性名マッピングは、Oracle Identity Federation管理コンソールを使用して構成します。詳細は、「属性名マッピング」を参照してください。
管理者は、属性値マッピングを使用することにより、メッセージの送受信時にLiberty/SAMLメッセージでローカル属性を割り当てるための値を指定できます。
属性値マッピングには、次のような特徴があります。
値マッピングは、ローカル値とこれに対応する外部値の組合せで構成されます。
値マッピングは任意のローカル属性に対して定義できます。ローカル属性ごとに複数の値マッピングを定義できます。
値マッピングを使用して、同じローカル値に対して様々な外部値をマップできます。送信モードで使用される外部値の決定には、デフォルトの属性が使用されます。
値マッピングを使用して、同じ外部値に対して様々なローカル値をマップできます。外部値からローカル値へのマッピング時に受信モードで使用されるローカル値の決定には、デフォルトの属性が使用されます。
Oracle Identity Federationによって属性値マッピングが実行されるのは、Oracle Identity Federationが次のものとして動作する場合です。
SAML 2.0属性権限
SAML 2.0属性リクエスタ
Liberty 1.x/SAML 2.0アイデンティティ・プロバイダ(SSOアサーションで属性を送信する場合)
構成には、XMLファイルの手動編集が含まれます。詳細は、「属性値マッピング」を参照してください。
管理者は、属性値フィルタリングを使用して、Liberty/SAMLメッセージの送信時に使用可能なローカル値を指定できます。
属性値フィルタリングには、次のような特徴があります。
フィルタリング・ルールは任意のローカル属性に対して定義できます。フィルタリング・ルールによって各属性値を評価し、送信可能かどうかを決定します。評価結果が正である場合、値は送信されます。正でない場合、送信対象の属性値のリストから削除されます。
ローカル属性ごとに複数のフィルタリング・ルールを定義できます。値の送信時には、次のいずれかのようにOracle Identity Federationを設定できます。
すべてのフィルタが正常に評価された場合のみ送信します。
少なくとも1つのフィルタが正常に評価された場合のみ送信します。
管理者は、比較のタイプと比較対象の文字列値を指定することにより、フィルタリング・ルールを定義します(「属性値フィルタリング」を参照)。
Oracle Identity Federationは、属性値と文字列を比較する場合、次の比較タイプをサポートしています。
次と等しい
次と等しくない
次で始まる
次で終わる
次を含む
次を含まない
NULLと等しい
NULLと等しくない
これらの比較タイプ以外にも、フィルタリングでは正規表現もサポートしており、属性値と正規表現を照合できます。詳細は、「属性値フィルタリング」の「フィルタリング条件」を参照してください。
フィルタリング・ルールを使用して、比較時に大/小文字を区別するかどうかを指定できます。
Oracle Identity Federationによって属性値フィルタリングが実行されるのは、Oracle Identity Federationが次のように動作する場合です。
SAML 2.0属性権限
Liberty 1.x/SAML 2.0アイデンティティ・プロバイダ(SSOアサーションで属性を送信する場合)
構成には、XMLファイルの手動編集が含まれます。詳細は、「属性値フィルタリング」を参照してください。
この項では、Oracle Identity Federationの属性マッピング機能の構成について詳しく説明します。内容は次のとおりです。
Oracle Identity Federationの属性共有機能の構成情報は、次の2つの異なるファイルに格納されます。
$ORACLE_HOME/fed/conf/cot.xmlファイル: 属性名マッピングの構成データが含まれます。
$ORACLE_HOME/fed/conf/attr-config.xmlファイル: 属性値マッピングおよびフィルタリングの構成データが含まれます。
cot.xmlファイルには、Oracle Identity Federationがピア・プロバイダと対話するために使用するトラスト・サークル構成情報が含まれます。
このファイルは、Oracle Identity Federation管理コンソールを使用して管理し、手動では編集しないでください。
attr-config.xmlファイルは、Oracle Identity Federationでの属性値マッピングおよびフィルタリングをサポートするための構成データの保持用として作成されています。
このファイルは、Oracle Identity Federation管理コンソールでは管理されません。管理者は、このファイルを手動で編集し、属性値マッピングおよびフィルタリングを構成する必要があります。Oracle Identity Federationで属性共有フレームワークを構成する方法の詳細は、「サーバー構成」を参照してください。
|
注意: $ORACLE_HOME/fed/conf/attr-config.xmlファイルは、デフォルトではOracle Identity Federationインストールには存在しません。管理者は、このファイルを手動で作成する必要があります。このファイルの構造の詳細は、「XMLファイル構造」および「サーバー構成」を参照してください。 |
このファイルの使用手順は、一時データがRDBMSとメモリーのどちらに格納されるかによって異なります。
RDBMS一時ストア
Oracle Identity Federation一時データ・ストアがRDBMSタイプである場合(つまり、ユーザー・セッション情報はデータベースに保存されます)、Oracle Identity Federationでは、RDBMSを使用して構成データが格納されます。このため、クラスタ環境では、共通データベースを使用するOracle Identity Federationサーバーでは、構成ファイルを手動でコピーしなくても、同じ構成を共有し、変更を伝播できます。
Oracle Identity Federation管理コンソールを介して行われた変更はすべてRDBMSに残り、RDBMSを構成リポジトリとして使用するOracle Identity Federationサーバーによって取り出されます。
attr-config.xmlファイルを手動で変更する場合、データは自動的にはデータベースに残りません。変更がデータベースに反映されるようにするには、次の手順を実行します。
$ORACLE_HOME/fed/config/attr-config.xmlファイルを開きます。
AttributeConfigと呼ばれる、最上位のルートXML要素の場所を特定します。
AttributeConfig XML要素のuseLocalConfig属性の値をtrueに設定します。これにより、次回の再起動時にローカルattr-config.xmlファイルはデータベースに強制的に残され、ブール型フラグはfalseにリセットされます。
ファイルを保存して終了します。
attr-config.xmlファイルが変更されたマシンのOC4J_FEDコンテナを再起動します。
これらの手順の実行後、attr-config.xmlファイルのローカル・コンテンツは、RDBMS、およびこのデータベースを使用して構成情報を格納するすべてのOracle Identity Federationサーバーに伝播されます。
メモリー内一時ストア
Oracle Identity Federation一時データ・ストアがメモリー・タイプである場合、構成データはすべてローカル・ファイルに格納されます。
attr-config.xmlファイルを手動で変更する場合、新しい変更内容の取得に必要なのは、Oracle Identity Federationサーバーの強制的なリフレッシュのみです。
サーバーをリフレッシュするには、次の手順を実行します。
attr-config.xmlファイルを変更し、ファイルを保存します。
Oracle Identity Federation管理コンソールに移動します。
「サーバーのリフレッシュ」ボタンをクリックします。これにより、スタンドアロンのOracle Identity Federationサーバーはファイルに基づいて構成をリロードするよう強制されます。
XMLファイル構造
属性値マッピングを設定するには、管理者は$ORACLE_HOME/fed/conf/attr-config.xmlファイルを手動で編集します。このXMLファイルは一般的な構造であり、プロバイダごとに属性値マッピングおよび属性値フィルタリングの構成情報が定義されます。
|
注意: attr-config.xmlファイルの例は、後述の「サンプルのattr-config.xmlファイル」を参照してください。 |
attr-config.xmlファイルの構造は、次のとおりです。
AttributeConfigは、最上位のXMLルート要素です。表示内容は次のとおりです。
useLocalConfig属性: Oracle Identity Federationの一時データ・ストアとしてRDBMSが使用される場合、ローカル・ファイルの内容によってRDBMS構成エントリを上書きするかどうかを示すブール型の属性です。この属性の詳細は、前述の「RDBMS一時ストア」を参照してください。
PeerProvider子要素: これらのXML要素は、AttributeConfigの子として表示され、特定のプロバイダの構成情報を表します。
PeerProvider XML要素は、特定のピア・プロバイダの属性値マッピングおよびフィルタリングを表します。表示内容は次のとおりです。
providerID属性: ピア・プロバイダを参照するために使用される識別子を定義します。この値は、ピア・プロバイダを参照するためにトラスト・サークルで使用される値と等しい必要があります。
PropertyGroup子要素: 特定の構成エントリのリストを表します。これらがPeerProvider XML要素の唯一の子です。
PropertyGroup XML要素は、属性値マッピングの構成データや属性値フィルタリングの構成情報など、特定の構成エントリのリストです。表示内容は次のとおりです。
name属性: PropertyGroup XML要素構成グループの名前です。
PropertyGroupItem子要素: PropertyGroup親要素によって定義されるリスト内の構成エントリを表します。これらがPropertyGroup XML要素の唯一の子です。
PropertyGroupItem XML要素: PropertyGroup親要素によって定義されるリスト内の構成エントリを表します。たとえば、PropertyGroup親要素が属性値フィルタリングの構成を表す場合、PropertyGroupItem XML要素には、特定の1つのローカル属性のフィルタリング構成情報が含まれます。表示内容は次のとおりです。
Property子要素: PropertyGroupItem親要素に追加される単純な名前/値ペア・プロパティです。
PropertiesList子要素: 名前/値ペア・プロパティのグループを表します。
Property XML要素: 単純な名前/値ペア・プロパティです。表示内容は次のとおりです。
name属性: プロパティの名前です。
XMLテキスト子要素: プロパティの値です。
PropertiesList XML要素: 名前/値ペア・プロパティの複数のグループを表します。表示内容は次のとおりです。
name属性: PropertiesListプロパティの名前です。
PropertiesListItem子要素: 各子は名前/値ペア・プロパティのグループを表します。
PropertiesListItem XML要素: 名前/値ペア・プロパティのグループです。たとえば、PropertyGroup親要素が属性値フィルタリングの構成を表す場合、PropertyGroupItem XML要素には特定の1つのローカル属性のフィルタリング構成情報が含まれ、PropertiesList XML要素にはこの特定の属性のマッピング構成情報が含まれ、PropertiesListItem XML要素にはこの特定の属性の1つのマッピング情報が含まれます。
この要素の構成要素は次のとおりです。
コンテキストに基づく様々なXML属性。定義されている属性のリストは、「属性値マッピング」および「属性値フィルタリング」を参照してください。
Property子要素: 単純な名前/値ペア・プロパティです。
ここでは、次のようにOracle Identity Federationを構成する方法について説明します。
属性権限として動作
属性リクエスタとして動作
SSOアサーションで属性を送信
属性権限として動作するようOracle Identity Federationを構成するには、次の手順を実行します。
Oracle Identity Federation管理コンソールに移動します。
「サーバー構成」→「アイデンティティ・プロバイダ」→「SAML 2.0」に移動します。
「属性レスポンダ有効」ボックスを選択します。
サーバーを保存してリフレッシュします。
「属性レスポンダ有効」ボックスを選択すると、属性権限機能が有効になります。また、属性権限サービスに関する情報が含まれるようIdPのメタデータが変更されます。ピア・プロバイダのサイトにあるメタデータは新しいバージョンで更新する必要があることに注意してください。
属性レスポンダ機能を有効にした後、次を構成する必要があります。
送信対象の属性
属性名マッピング
属性値マッピング
属性値フィルタ
詳細は、「マッピングおよびフィルタリング構成」を参照してください。
属性リクエスタとして動作するようOracle Identity Federationを構成するには、次の手順を実行します。
Oracle Identity Federation管理コンソールに移動します。
「サーバー構成」→「サービス・プロバイダ」→「SAML 2.0」に移動します。
「属性リクエスタ有効」ボックスを選択します。
サーバーを保存してリフレッシュします。
属性リクエスタとして動作するOracle Identity Federationが(サービス・プロバイダから属性権限への属性問合せ、および属性権限からサービス・プロバイダへのアサーションによって)属性交換フローをトリガーするリクエストを受信する場合、このリクエストには、属性を取得する必要があるユーザーを識別するDNが含まれます。
Oracle Identity Federationは、ユーザーのDNに基づいて特定の属性権限を問い合せることができます。この機能を構成するには、次の手順を実行します。
Oracle Identity Federation管理コンソールに移動します。
「サーバー構成」→「サービス・プロバイダ」→「属性リクエスタ」に移動します。
サブDNを入力し、サブDNと一致するDNを使用してリクエストを送信する属性権限を選択します。
サーバーを保存してリフレッシュします。
詳細は、「サービス・プロバイダ: 属性リクエスタ」を参照してください。
ユーザーのDNに一致するものが見つからない場合は、デフォルトのSSO IdPが使用されます。
デフォルトのSSO IdPを構成するには、次の手順を実行します。
Oracle Identity Federation管理コンソールに移動します。
「サーバー構成」→「サービス・プロバイダ」に移動します。
ドロップダウン・リストからデフォルトのSSO IdPを選択します。
サーバーを保存してリフレッシュします。
属性リクエスタ機能を有効にし、デフォルトのSSO IdPまたはDNマッピングを設定した後、属性名マッピングおよび属性値マッピングを構成する必要があります。詳細は、「マッピングおよびフィルタリング構成」を参照してください。
シングル・サインオン操作時に、必要に応じて、IdPによりサービス・プロバイダが使用する認証アサーションに属性を含めることができます。
アサーションでの属性の送信を有効にするには、次の手順を実行します。
Oracle Identity Federation管理コンソールに移動します。
「サーバー構成」→「トラスト・サークル」に移動します。
属性共有を構成するピア・プロバイダを選択し、「更新」ボタンをクリックします。
SSOの属性を有効化ボックスを選択します。
「適用」をクリックします。
SSOの属性を有効化ボックスを選択した後、次を構成する必要があります。
送信対象の属性
属性名マッピング
属性値マッピング
属性値フィルタ
詳細は、「マッピングおよびフィルタリング構成」を参照してください。
この項では、マッピングおよびフィルタリングの構成方法を説明します。
属性名マッピングは、Oracle Identity Federation管理コンソールの「トラスト・サークル」ページで構成します。この構成には、次の2つの目的があります。
アサーションに含まれる属性名をIdP上のローカル属性名にマップします。
ピア・プロバイダに送信できるローカル属性を定義します。つまり、ピア・プロバイダの属性名マッピングを定義することにより、Oracle Identity Federationによるこの属性のリモート・サーバーへの送信を認可します。
IdP側で属性名マッピングを定義(または属性の送信を有効化)するには、次の手順を実行します。
Oracle Identity Federation管理コンソールに移動します。
「サーバー構成」→「トラスト・サークル」に移動します。
属性共有を構成するピア・プロバイダを選択し、「更新」ボタンをクリックします。
「属性マッピング」ボタンをクリックします。
|
注意: 注意[1]はフィールド名には適用されません。 |
最初の表には、属性名マッピング構成が含まれ、属性定義ごとに次のフィールドがあります。
ユーザー属性名: ユーザー・リポジトリ内のローカル属性の名前です。
アサーション属性名: アサーション内の属性を識別するために使用される名前です。
フォーマットまたはネームスペース: バージョンに応じてSAML属性のネームスペースのフォーマットを指定するために使用されるオプションのフィールドです。
SAML 1.x/Liberty 1.xの場合、このフィールドの値を使用してSAML属性のネームスペースを設定します。
SAML 2.0の場合、この値を使用してSAML属性のNameFormatを設定します。このフィールドが空の場合、SAML属性のNameFormatはurn:oasis:names:tc:SAML:2.0:attrname-format:basicに設定されます。空でない場合、このフィールドに指定した値がNameFormatに保持されます。
SSOアサーションで送信: SSO操作時に認証アサーションとともに属性を送信するかどうかを示します。
必要な属性を定義した後、「適用」ボタンをクリックします。
|
注意: 属性をSSOアサーションで送信する場合、「属性マッピング」ページの第2表で属性を送信する名前フォーマットを定義してください。また、「信頼できるプロバイダの編集」ページのSSOの属性を有効化ボックスも選択してください。 |
サーバーが使用できるように変更を有効にするには、すべてのデータを保存した後、「サーバーのリフレッシュ」ボタンをクリックします。
「属性マッピング」構成ページの例を次に示します。
この項では、属性値マッピングの構成方法を説明します。
|
注意: attr-config.xmlファイルの説明は、前述の「XMLファイル構造」を参照してください。後続の説明を把握するには、ファイル構造を理解している必要があります。 |
PeerProvider
属性値マッピングは、プロバイダごとに構成されます。つまり、特定のマッピングは1つのプロバイダに対してのみ適用されます。属性値マッピングの構成は、PeerProvider要素に格納されます。
<PeerProvider providerID="idpID"> … <!-- contains configuration for provider idpID --> </PeerProvider>
PropertyGroup
属性値マッピングの構成は、名前属性がattr-value-mappingsと等しいPropertyGroup XML要素に含まれます。この要素は、PeerProviderの下位に定義されます。
<PeerProvider providerID="idpID"> <PropertyGroup name="attr-value-mappings"> <!-- contains value mapping configuration for provider idpID --> </PropertyGroup> </PeerProvider>
PropertyGroupItem
PropertyGroup要素の下位に定義される各PropertyGroupItemは、ローカル属性のマッピング情報を表します。
<PropertyGroup name="attr-value-mappings">
<PropertyGroupItem>
… <!-- contains mapping configuration for mail attribute -->
</PropertyGroupItem>
<PropertyGroupItem>
… <!-- contains mapping configuration for title attribute -->
</PropertyGroupItem>
…
</PropertyGroup>
PropertyGroupItemには、2種類のパラメータが含まれます。
Property要素に含まれる単純な名前/値ペア・プロパティ
PropertiesListに含まれる名前/値ペア・プロパティの複数のグループ
PropertyGroupItemのプロパティ
特定の属性についてPropertyGroupItemの下位に定義できる名前/値ペア・プロパティは、次のとおりです。
attr-name: マッピング構成が適用されるローカル属性の名前を定義します。
<Property name="attr-name">title</Property>
send-unmapped-values: マップされていない値の送信をOracle Identity Federationが許可するかどうかを示します(trueまたはfalse)。
<Property name="send-unmapped-values">true</Property>
receive-unmapped-values: マップされていない値の受信をOracle Identity Federationが許可するかどうかを示します(trueまたはfalse)。
<Property name="receive-unmapped-values">false</Property>
PropertiesList
属性名としてmappingsを持つPropertiesList要素には、名前/値ペア・プロパティの複数のグループが含まれます。名前/値ペア・プロパティの各グループにより、PropertyGroupItem要素で定義される属性の値マッピング・ルールが定義されます。
名前/値ペア・プロパティのグループは、PropertiesListItem要素によって定義されます。
<PropertiesList name="mappings">
<PropertiesListItem>
… <!-- mapping rule for attribute title, for value local
value "Senior Member of Technical Staff" and external value "smts" -->
</PropertiesListItem>
<PropertiesListItem>
… <!-- mapping rule for attribute title, for value local value
"Principal Member of Technical Staff" and external value "pmts" -->
</PropertiesListItem>
</PropertiesList>
PropertiesListItem要素は、XML属性およびProperty子要素で構成されます。
PropertiesListItemのプロパティ
値マッピング・ルールについてPropertiesListItemの下位に定義できる名前/値ペア・プロパティは、次のとおりです。
local-value: このマッピング・ルールのローカル値を保持します。
<Property name="local-value">Senior Member of Technical Staff </Property>
external-value: このマッピング・ルールの外部マップ値を保持します。
<Property name="external-value">smts </Property>
PropertiesListItemの属性
PropertiesListItem XML要素の属性として定義できるパラメータは、次のとおりです。
ignoreCase: 属性値を照合するときの文字列比較で大/小文字を区別するかどうかを示します(trueまたはfalse)。
<PropertiesListItem ignoreCase="true">
isLocalNull: ローカル値がNULL文字列(空の文字列""とは異なります)と等しいことを示します。
<PropertiesListItem default="true" isLocalNull="true"> <Property name="external-value">foo</Property> </PropertiesListItem>
isExternalNull: 外部値がNULL文字列と等しいことを示します。
<PropertiesListItem default="true" isExternalNull="true"> <Property name="local-value">foo</Property> </PropertiesListItem>
default: 受信する外部値を複数のローカル値にマップできるときに、ローカル値をローカル値として使用するかどうかを示します。注意: PropertiesListグループでデフォルト値をtrueに設定して定義できるPropertiesListItem要素は1つのみです(trueまたはfalse)。
<PropertiesListItem ignoreCase="true" default="true">
この項では、Oracle Identity Federationで属性値フィルタリングを適用する方法について説明します。
|
注意: attr-config.xmlファイルの構造は、前述の「XMLファイル構造」を参照してください。後続の説明を把握するには、このファイルを理解している必要があります。 |
PeerProvider
属性値フィルタリングは、プロバイダごとに構成されます。つまり、特定のフィルタは1つのプロバイダに対してのみ適用されます。このため、属性値フィルタリングの構成は、PeerProvider要素に格納されます。
<PeerProvider providerID="spID"> … <!-- contains configuration for provider spID --> </PeerProvider>
PropertyGroup
属性値フィルタリングの構成情報は、名前属性がattr-value-filtersと等しいPropertyGroup XML要素に含まれます。この要素は、PeerProviderの下位に定義されます。
<PeerProvider providerID="spID"> <PropertyGroup name="attr-value-filters"> … <!-- contains value filtering configuration for provider spID --> </PropertyGroup> </PeerProvider>
PropertyGroupItem
PropertyGroup要素の下位に定義される各PropertyGroupItemは、ローカル属性のフィルタリング情報を表します。
<PropertyGroup name="attr-value-filters">
<PropertyGroupItem>
… <!-- contains filtering configuration for mail attribute -->
</PropertyGroupItem>
<PropertyGroupItem>
… <!-- contains filtering configuration for title attribute -->
</PropertyGroupItem>
…
</PropertyGroup>
PropertyGroupItemには、2種類のパラメータが含まれます。
Property要素に含まれる単純な名前/値ペア・プロパティ
PropertiesListに含まれる名前/値ペア・プロパティの複数のグループ
PropertyGroupItemのプロパティ
特定の属性についてPropertyGroupItemの下位に定義できる名前/値ペア・プロパティは、次のとおりです。
attr-name: フィルタリング構成が適用されるローカル属性の名前を定義します。
<Property name="attr-name">title</Property>
condition-operator: 送信対象の属性に対してすべての条件が一致する必要があるか(and演算子)、または属性を送信するために1つのフィルタで十分であるか(or演算子)を示します。
<Property name="condition-operator">and</Property>
PropertiesList
属性名としてfiltersを持つPropertiesList要素には、名前/値ペア・プロパティの複数のグループが含まれます。名前/値ペア・プロパティの各グループにより、PropertyGroupItem要素で定義される属性値のフィルタリング・ルールが定義されます。
名前/値ペア・プロパティのグループは、PropertiesListItem要素によって定義されます。
<PropertiesList name="filters"> <PropertiesListItem> … <!-- filtering rule for attribute title, for condition "not-equals" and expression "Manager" --> </PropertiesListItem> <PropertiesListItem> … <!-- filtering rule for attribute title, for condition "not-equals" and expression "Director" --> </PropertiesListItem> </PropertiesList>
PropertiesListItem要素は、XML属性およびProperty子要素で構成されます。
PropertiesListItemのプロパティ
値のフィルタリング・ルールについてPropertiesListItemの下位に定義できる名前/値ペア・プロパティは、次のとおりです。
condition: フィルタリング・ルールの条件のタイプを保持します。
<Property name="condition">not-equals </Property>
expression: 送信属性値の条件の評価に使用される式を保持します。
<Property name="expression">Manager </Property>
PropertiesListItemの属性
PropertiesListItem XML要素の属性として定義できるパラメータは、次のとおりです。
ignoreCase: 属性値を照合するときの文字列比較で大/小文字を区別するかどうかを示します。
<PropertiesListItem ignoreCase="true">
フィルタリング条件
Oracle Identity Federationには、複数のフィルタリング条件が用意おり、前述の「PropertiesListItemのプロパティ」で定義した要素で使用します。
equals: 式の値が送信属性値と等しい場合、trueを戻します。
not-equals: 式の値が送信属性値と異なる場合、trueを戻します。
startswith: 送信属性値が式の値から始まる場合、trueを戻します。
endswith: 送信属性値が式の値で終わる場合、trueを戻します。
contains: 送信属性値に式の値が含まれる場合、trueを戻します。
not-contains: 送信属性値に式の値が含まれない場合、trueを戻します。
equals-null: 送信属性値がNULLである場合、trueを戻します。
not-equals-null: 送信属性値がNULLでない場合、trueを戻します。
regexp: 送信属性値が式の値に定義されている正規表現と一致する場合、trueを戻します。
|
注意: これらのルールを使用して許容値を確認します。このため、ルールの評価結果がtrueである場合、値が送信可能であることを示します。 |
フィルタリング・ルールをregexpに設定する場合、式の値は標準のUNIXの正規表現である必要があります。正規表現の構文の詳細は、http://java.sun.com/j2se/1.4.2/docs/api/java/util/regex/Pattern.htmlを参照してください。
|
注意: 正規表現ではすでに大/小文字を区別しないため、属性値処理時にignoreCaseフラグは無視されます。 |
表6-9は、regexpフィルタリング条件の使用方法を表す例を示しています。
ここでは、参照用としてサンプルのattr-config.xmlファイルを示します。
<AttributeConfig useLocalConfig="false">
<PeerProvider providerID="http://stadm14.us.oracle.com:7779/fed/idp">
<PropertyGroup name="attr-value-filters">
<PropertyGroupItem>
<Property name="attr-name">title</Property>
<Property name="condition-operator">and</Property>
<PropertiesList name="filters">
<PropertiesListItem ignoreCase="true">
<Property name="condition">not-equals</Property>
<Property name="expression">Manager</Property>
</PropertiesListItem>
<PropertiesListItem ignoreCase="true">
<Property name="condition">not-equals</Property>
<Property name="expression">Director</Property>
</PropertiesListItem>
</PropertiesList>
</PropertyGroupItem>
</PropertyGroup>
<PropertyGroup name="attr-value-mappings">
<PropertyGroupItem>
<Property name="attr-name">title</Property>
<Property name="send-unmapped-values">true</Property>
<Property name="receive-unmapped-values">true</Property>
<PropertiesList name="mappings">
<PropertiesListItem ignoreCase="true">
<Property name="local-value">Senior Member of
Technical Staff</Property>
<Property name="external-value">smts</Property>
</PropertiesListItem>
<PropertiesListItem ignoreCase="true">
<Property name="local-value">Principal Member of
Technical Staff</Property>
<Property name="external-value">pmts</Property>
</PropertiesListItem>
<PropertiesListItem ignoreCase="true">
<Property name="local-value">Consulting Member of
Technical Staff</Property>
<Property name="external-value">cmts</Property>
</PropertiesListItem>
</PropertiesList>
</PropertyGroupItem>
</PropertyGroup>
</PeerProvider>
</AttributeConfig>
この項では、値マッピング/フィルタリング・ルールをSAML 2.0送信属性に適用する方法を示す例を示します。
属性名 =「title」
古い属性値 = [「Consulting Member of Technical Staff」、「PRINCIPAL MEMBER OF TECHNICAL STAFF」、「Principal Member of Technical Staff」、「Vice President」]
新しい属性値 = [「cmts」、「pmts」、「Vice President」]
|
注意:
|
属性名 =「title」
古い属性値 = [「Manager」、「Consulting Member of Technical Staff」]
新しい属性値 = [「cmts」]
|
注意: 「Manager」は禁じられた値であるため、送信されません。 |
古いフィルタリング・ルールは、次のとおりです。
<PropertyGroupItem>
<Property name="attr-name">title</Property>
<Property name="condition-operator">and</Property>
<PropertiesList name="filters">
<PropertiesListItem ignoreCase="true">
<Property name="condition">not-equals</Property>
<Property name="expression">Manager</Property>
</PropertiesListItem>
<PropertiesListItem ignoreCase="true">
<Property name="condition">not-equals</Property>
<Property name="expression">Director</Property>
</PropertiesListItem>
</PropertiesList>
</PropertyGroupItem>
ここでは、「Manager」または「Director」と等しくない任意の属性値が許可されています。
ここで、フィルタリング・ルールを変更するとします(変更された項目は太字になっています)。
<PropertyGroupItem> <Property name="attr-name">title</Property> <Property name="condition-operator">or</Property> <PropertiesList name="filters"> <PropertiesListItem ignoreCase="true"> <Property name="condition">equals</Property> <Property name="expression">Manager</Property> </PropertiesListItem> <PropertiesListItem ignoreCase="true"> <Property name="condition">regexp</Property> <Property name="expression">.*rector</Property> </PropertiesListItem> </PropertiesList> </PropertyGroupItem>
これにより、「Manager」であるか、「rector」で終わる属性値のみが許可されるようになりました。この結果、次のようになります。
属性名 =「title」
古い属性値 = [「Manager」、「Consulting Member of Technical Staff」]
新しい属性値 = [「Manager」]
Oracle Identity Federationには、すべてのピア・プロバイダと、Oracle Identity Federation、OracleAS Single Sign-On、Oracle Access ManagerおよびeTrust SiteMinderの各ドメインから呼び出してユーザーをログアウトできるログアウト・サービスを提供します(最後の2つのサーバーではCookieをクリアする)。
OracleAS Single Sign-Onドメインからログアウトするとログアウト・フローが呼び出されますが、Oracle Access ManagerまたはeTrust SiteMinderからログアウトしてもログアウト・フローが呼び出されないことがあります。
管理者は、このサービスを使用して、Oracle Identity Federationからログアウト・フローをトリガーするか、ポータルにおけるリンクとして使用できます。
ログアウト・プロセスを起動するには、次の形式のURLにアクセスします。
http://hostname:port/fed/user/logout?returnurl=http://anotherhostname/path
ログアウト・サービスは、必須のreturnurlパラメータを取ります。これは正確な処理に必要です。ログアウト処理が完了した後にユーザーがこのURLにリダイレクトされます。
Oracle Identity FederationログアウトURLを呼び出す際にreturnurlパラメータを指定しないと、サインオフ処理は実行されますが、サーバーは結果ページを表示せず、かわりにブラウザが最後に訪問したページを表示するため、ログアウトが成功していても、処理が中断したように見えます。この問題を回避するには、結果ページを示すようreturnurlパラメータを指定します。
|
注意: ログアウトは、次のプロトコルのすべてのピア・プロバイダに対して実行されます。
|
WS-Federationは、実際の認証を実行するアイデンティティ・プロバイダを使用して1つ以上のサービス・プロバイダにサインインするために使用できます。
ログアウト・メカニズムとURLは、アクションがIdPとSPのどちらで開始されるかによって異なります。
|
注意: ここに示すIdPおよびSPのログアウトURLは、リモートWS-Federationプロバイダがログアウト実装を設定するために必要になったときに、それらのプロバイダが使用するためのものです。 |
IdPが開始するログアウト
ユーザーが、WS-Federationサインアウトを開始するIdPサイトでリンクをクリックします。URLは次のとおりです。
http(s)://IP-HOST:IP-PORT/shareid/wsfederation/ ObWSFedIdentitySTS?wa=wsignout1.0
Oracle Identity Federation IdPは、ユーザーがサインインした各サービス・プロバイダを追跡しています。サーバーはHTMLサインアウト・ページを作成し、各SPのiframeを使用してユーザーのブラウザに返します。各iframeは、ターゲットSPに対して、WS-Federationサインアウト・クリーンアップのリクエストを発行します。
http(s)://RP-HOST:RP-PORT/shareid/wsfederation/ ObWSFedResourceSTS?wa=wsignoutcleanup1.0
各SPは、サインアウト・クリーンアップを処理してWS-Federationが作成したSPセッションをサインアウトし、IdPのサインアウト・ページのiframeに表示される適切なログアウト・メッセージを返します。
Oracle Identity FederationがSPの場合は、ObWSFedResourceSTSサーブレットに戻る内部リダイレクションを実行し、サーブレットは次のログアウト・メッセージを返します。
Successful logout for Realm Resource Realm URI
このメッセージとそのHTML宣言はshareid-messages.propertiesファイルで定義されており、翻訳およびカスタマイズできます。
IdPセッションをサインアウトするために、Oracle Identity Federation IdPはIPのホストとポートのサインアウト・クリーンアップ・リクエストを使用してiframeを追加します。ログアウト・ページには、各SPおよびIdPのログアウト・メッセージが表示されます。
SPが開始するログアウト
ユーザーが、WS-Federationサインアウトを開始するSPサイトでリンクをクリックします。URLは次のとおりです。
http(s)://RP-HOST:RP-PORT/shareid/wsfederation/ ObWSFedResourceSTS?wa=wsignout1.0
SPは、サインインに使用されたIPアドレスを記録し、ユーザーのブラウザをIdPのサインアウトURLにリダイレクトして、サインアウトを実行します。この後は、IPが開始するサインアウトと同じです。
この項では、Oracle Identity Federationサーバーとピア・プロバイダの間にSSL接続を設定する方法を説明します。内容は次のとおりです。
Oracle Identity Federationが実行されているOracle Application ServerでSSLを構成するには、次を参照してください。
『Oracle HTTP Server管理者ガイド』
Oracle Identity FederationがリモートのLiberty 1.x/SAMLプロバイダにSSL接続できるようにOracle Application Serverを構成するには、JVMのキーストアで信頼できるCA証明書をインポートする必要があります。そのために、$ORACLE_HOME/jdk/binディレクトリにあるkeytoolアプリケーションを使用して、$ORACLE_HOME/fed/shareid/oblix/config/keystoreファイル内のキーストアに信頼できる証明書を追加します。
変更を有効にするためにOracle Application Serverを再起動します。
|
注意: 以前にSSL証明書を$ORACLE_HOME/jdk/jre/lib/security/cacertsファイルに挿入した場合、これらを$ORACLE_HOME/fed/shareid/oblix/config/keystoreに再インポートする必要があります。 |
一部のSSLサーバーでは、SSLハンドシェイク時にクライアントの認証を実行する必要がある場合があります。通常、この操作は、SSLクライアントによるSSLクライアント証明書のSSLサーバーへの提示で実行されます。
この項では、クライアント証明書認証を使用してSSLを構成する方法を説明します。手順の概要は次のとおりです。
IdP SSLサーバー証明書を発行したCAの信頼を設定します。
Oracle Identity Federation SSLクライアントの証明書を取得します。
順を追っての詳細手順は次を参照してください。
次の手順で示す構文で、KEYTOOL、KEYSTOREおよびSTOREPASSは、次の値を表します。
KEYTOOL=ORACLE_HOME/jdk/bin/keytool KEYSTORE=ORACLE_HOME/fed/shareid/oblix/config/keystore STOREPASS=ias_admin password
次の手順に従って、SSLクライアントがあるサーバー上に証明書認証を構成します。
Oracle Identity Federationが接続するリモートSSLサーバー用にSSLサーバー証明書を発行したCAの信頼を設定します。
SSLサーバー用に証明書を証明した各CAの、PEMフォーマットの証明書を取得します。
shareidキーストアに各CA証明書をインポートします。
KEYTOOL -keystore ORACLE_HOME/fed/shareid/oblix/config/keystore -storepass OIF_ADMIN_PASSWORD -import -alias CA-ALIAS -file CA-CERT.pem
OC4J_FEDを再起動します。
クライアント証明書認証用に、Oracle Identity Federation SSLクライアントの証明書を取得します。
既存のキーのための証明書リクエストを生成します。
KEYTOOL -keystore KEYSTORE -storepass STOREPASS -certreq -alias shareid -file CLIENT-REQ.pem
client-req.pem内の証明書リクエストをCAに送信します。証明書は、keyUsage拡張子を付けずにリクエストします。
PEMフォーマットの証明書およびCAの証明書を、CAから取得します。ファイルに証明書を貼り付けます。余計な改行が入らないように注意してください。
信頼できる証明書としてキーストアにCA証明書をインポートします。
KEYTOOL -keystore KEYSTORE -storepass STOREPASS -import -alias your-CA -file CA-CERT.pem Trust this certificate? yes
キーストアに証明書をインポートします。
KEYTOOL -keystore KEYSTORE -storepass STOREPASS -import -alias shareid -file CLIENT-CERT.pem
|
注意: 例外「java.security.cert.CertificateException: DerInputStream.getLength(): lengthTag=127, too big」が表示されたら、証明書ファイルの最後の行より後に余計な改行が入っています。削除してやりなおしてください。 |
OC4J_FEDを再起動します。
ORACLE_HOME/opmn/bin/opmnctl stopproc ias-component=OC4J_FED ORACLE_HOME/opmn/bin/opmnctl startproc ias-component=OC4J_FED
この項では、オプションのクライアント証明書認証を使用してSSLを構成する方法を説明します。手順の概要は次のとおりです。
HTTP Serverのキーと証明書でウォレットを作成します。
HTTP Server上でSSLを有効にします。
必要に応じて、クライアント証明書認証が有効な状態で、HTTP Server上に追加のSSLポートを構成します。
順を追っての詳細手順は次を参照してください。次の手順に従って、SSLサーバーがあるOracle Identity Federationサイト上に証明書認証を構成します。
HTTP Serverのキーと証明書でウォレットを作成します。
ORACLE_HOME環境変数が設定されていない場合は、設定します。
次のようにして、Oracle Wallet Managerを実行します。
UNIXの場合: $ORACLE_HOME/bin/owm
Windowsの場合: 「スタート」→「すべてのプログラム」→「Oracle - ORACLE_HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」
新しいウォレットを作成します。
Wallet Managerウィンドウで、「ウォレット」→「新規」を選択します。
「デフォルトのウォレット・ディレクトリが存在しません。\\n作成しますか。」に「はい」と答えます。
「システムのデフォルト・ウォレット・ディレクトリを作成できません。続行しますか。」に「はい」と答えます。
新規ウォレット・ウィンドウで、ウォレットのパスワードを入力します。デフォルトの標準ウォレット・タイプを使用します。「OK」をクリックします。
「ここで証明書リクエストを作成しますか。」に「はい」と答えます。
証明書リクエストの作成ウィンドウに、サーバーの証明書DNにある任意のフィールドを配置します。共通名はサーバーのDNS名である必要があることに注意してください。「OK」をクリックします。
「証明書リクエストが作成されました。」という確認メッセージが表示されたら、「OK」をクリックします。
ウォレットを、Oracle HTTP Serverのデフォルト・ウォレットとして保存します。
「ウォレット」→「別名保存」を選択します。
ディレクトリの選択ウィンドウで、ORACLE_HOME/Apache/Apache/conf/ssl.wlt/defaultと入力します。
「OK」を2回クリックします。
「選択した位置にはウォレットがすでに存在します。上書きしますか。」に「はい」と答えます。
CAから証明書を取得し、ウォレットにインポートします。
Wallet Managerウィンドウで、「証明書:[リクエスト済]」をクリックします。
「証明書リクエスト」パネルに示された証明書リクエストをCAに送信します。SSLサーバー証明書をOpenSSL用にリクエストします。
- keyUsage = digitalSignature,nonRepudiation,keyEncipherment,dataEncipherment - nsCertType = server
CAからbase64フォーマットの証明書を取得し、また、CA用のbase64フォーマットの証明書を取得します。
Wallet Managerウィンドウで、「信頼できる証明書」を右クリックし、「信頼できる証明書のインポート」を選択します。
信頼できる証明書のインポートウィンドウで、「証明書の貼付け」を選択します。「OK」をクリックし、CA証明書をテキスト・ボックスに貼り付けます。「OK」をクリックします。Wallet Managerウィンドウの信頼できる証明書のリストに、CA証明書が表示されます。
Wallet Managerウィンドウで、「証明書:[リクエスト済]」を右クリックし、「ユーザー証明書のインポート」を選択します。
証明書のインポートウィンドウで、「証明書の貼付け」を選択します。「OK」をクリックし、証明書をテキスト・ボックスに貼り付けます。Wallet Managerウィンドウで、証明書のステータスが「証明書:[待機中]」に変わります。
「ウォレット」→「保存」を選択します。
「ウォレット」→「終了」を選択します。
ORACLE_HOME/opmn/conf/ssl.wlt/defaultにもウォレットを保存します。
Oracle HTTP Server上でSSLを有効にします。
ORACLE_HOME/opmn/conf/opmn.xmlを編集します。ここに表示される要素の、「ssl-disabled」を「ssl-enabled」に変更します。
<ias-component id="HTTP_Server">
<process-type id="HTTP_Server" module-id="OHS">
<module-data>
<category id="start-parameters">
<data id="start-mode" value="ssl-enabled/>
</category>
</module-data>
<process-set id="HTTP_Server" numprocs="1"/>
</process-type>
</ias-component>
編集したファイルを保存します。
次のコマンドを使用して、Distributed Cluster Managementデータベースを更新します。
ORACLE_HOME/dcm/bin/dcmctl updateconfig -ct opmn
次のコマンドを使用して、OPMNをリロードします。
ORACLE_HOME/opmn/bin/opmnctl reload
|
注意: 「globalInitNLS: NLS boot file not found or invalid」というエラーが表示される場合は、ORA_NLSで始まる名前の環境変数をすべて設定解除します。 |
Oracle HTTP Serverを再起動します。
ORACLE_HOME/opmn/bin/opmnctl stopproc ias-component=HTTP_Server
ORACLE_HOME/opmn/bin/opmnctl startproc ias-component=HTTP_Server
|
注意: Oracle HTTP Serverを再起動するにはopmnctlを使用する必要があります。Enterprise Managerコンソールから再起動しないでください。 |
Enterprise Managerコンソールを使用して、SSLポートがアクティブであることを確認します。EMホームページの「ポート」 タブを選択します。ポートの表に、タイプがリスニング(SSL)の、ポート番号が指定されたOracle HTTP Serverコンポーネントのエントリが表示されます。(ホスト上への最初のインストールでのデフォルトのポート番号は4443、2回目のインストールは4444などです。)
ブラウザを使用して、SSLポートがアクティブであることを確認します。
https://hostname:ssl-port/
|
注意: サーバー証明書がサーバー名と一致しないことを示すアラートが表示されたら、証明書サブジェクトを確認します。サブジェクトがGET A REAL CERTIFICATEである場合は、Oracle HTTP Serverはまだ元のダミー証明書を使用しています。もう1回サーバーを再起動してください。 |
クライアント証明書認証では、クライアント証明書認証が有効な状態で、Oracle HTTP Server上にSSLポートを構成します。
ORACLE_HOME/Apache/Apache/conf/ssl.confファイルを編集します。
既存の ListenおよびVirtualHostの定義をコピーし、ファイルの末尾の、</IfDefine>の前に貼り付けます。
コピーされた定義のポートを、SSLクライアント証明書認証で使用されていないポートに変更します。
コピーされたVirtualHost定義で、SSLVerifyClient requireをコメント解除します。これにより、Oracle HTTP Serverはクライアントを使用して証明書認証を実行します。
コピーされたVirtualHost定義で、コメントされているSSLOptionsを次の内容で上書きします。
SSLOptions +ExportCertData +CompatEnvVars
これにより、Oracle HTTP Serverはクライアント証明書をmod_oc4jモジュールに渡します。
次に例を示します(コメントは省略)。
Listen CLIENT-CERT-PORT <VirtualHost _default_:CLIENT-CERT-PORT> DocumentRoot "ORACLE_HOME/Apache/Apache/htdocs" ServerName HOST-DNS-NAME ServerAdmin you@your.address ErrorLog "|ORACLE_HOME/Apache/Apache/bin/rotatelogs ORACLE_HOME/Apache/Apache/logs/error_log 43200" TransferLog "|ORACLE_HOME/Apache/Apache/bin/rotatelogs ORACLE_HOME/Apache/Apache/logs/access_log 43200" Port CLIENT-CERT-PORT SSLEngine on SSLCipherSuite ALL:!ADH:!EXPORT56:+HIGH:+MEDIUM:+LOW:+SSLv2:+EX SSLWallet file:ORACLE_HOME/Apache/Apache/conf/ssl.wlt/default SSLVerifyClient require SSLOptions +ExportCertData +CompatEnvVars . . . </VirtualHost>
ssl.confファイルを保存します。
|
注意: クライアント証明書を使用してSSLエンドポイントを設定する場合、管理者が指定できるのは、クライアント証明書が必要なときにOracle Identity Federation/Oracle HTTP ServerがSSL証明書を受け入れる認証局のみです。この認証局によって発行された証明書はすべて受け入れられます。 SSL証明書のファイングレイン・フィルタリング(認証局によって発行されたすべての証明書のうち、一部の証明書のみ選択)を実行する場合、Oracle Identity Federation管理者は、証明書のサブジェクトおよび発行者名に基づいてフィルタを構築できます。たとえば、
<Location /fed>
SSLRequire (%{SSL_CLIENT_S_DN_CN} eq "john doe")
</Location>
この文により、サブジェクトの共通名が「john doe」と等しい証明書のみが受け入れられます。 使用可能なフィルタはこれ以外にもあります。『Oracle HTTP Server管理者ガイド』の |
ORACLE_HOME/Apache/Apache/conf/mod_oc4j.confファイルを編集します。
Oc4jExtractSSL Onを、ファイル末尾の</IfModule> タグの前に追加します。これにより、soaprequiresslcertプロパティがtrueに設定されている場合(つまり、リモート・プロバイダから受信するSOAP接続の処理時に、Liberty 1.x/SAML 2.0 SOAPスタックにSSLクライアント証明書が必要な場合)、ObSAMLResponderServiceサーブレットおよびOracle Identity Federation Serverが予期するとおりに、Oracle HTTP Serverのmod_oc4jによってクライアント証明書がjavax.servlet.request.X509Certificate属性のOC4Jに渡されます。
mod_oc4j.confファイルを保存します。
Oracle HTTP Serverを再起動します。
ORACLE_HOME/opmn/bin/opmnctl stopproc ias-component=HTTP_Server
ORACLE_HOME/opmn/bin/opmnctl startproc ias-component=HTTP_Server
|
注意: Oracle HTTP Serverを再起動するにはopmnctlを使用する必要があります。Enterprise Managerコンソールから再起動しないでください。 |
CAが発行したクライアント証明書を複数持つブラウザを使用している場合は、ブラウザを使用してclient-cert-portがアクティブであることを確認します。
https://hostname:client-cert-port/
Oracle Identity Federationバージョン10.1.4.2には、Liberty 1.xおよびSAML 2.0プロトコルでのみ適用可能な新しい構成パラメータrequireSSLCertが導入されています。Oracle Identity Federation管理者は、このパラメータを使用して、すべてのSOAPリクエストに対してSSLクライアント証明書を要求できます。これにより、必要に応じてSOAPポートを保護できます。これを行うには、SSLクライアント証明書をオンにしてSSLポートを設定し、SSLクライアント証明書が送信されたかどうかを確認するようOracle Identity Federationに指示します。
リクエスタが、いずれかのオープンのOracle HTTP Serverポートを使用してSOAP URLを入力した場合、Oracle Identity Federationでは、リクエスタが証明書を提示したことを確認します。SSLでないポートやSSLクライアント証明書がないSSLポートを使用している不明なリクエスタは、アクセスを拒否されます。
SOAPエンドポイントでSSLクライアント証明書を要求するようOracle Identity Federationを構成するには、次の手順を実行します。
「Oracle Identity FederationでのSSLサーバーの構成」で説明した手順を実行します。
$ORACLE_HOME/fed/conf/config.xmlファイルを開きます。
FederationConfig XML要素の場所を特定し、そのuseLocalConfig属性をtrueに設定します。
<FederationConfig useLocalConfig="true">
serverconfigという名前のXML Config要素の場所を特定し、soaprequiresslcertプロパティを検索します。
<Config name="serverconfig"> ... <property name="soaprequiresslcert">false</property> ... </Config>
SOAPエンドポイントでSSL証明書を要求するようOracle Identity Federationに強制するには、このプロパティの値をtrueに変更します。SSLクライアント証明書のないSOAPリクエストを受け入れるには、このプロパティの値をfalseに変更します。
ファイルを保存して終了します。
OC4J_FEDインスタンスを再起動します。
Oracle Identity Federationには、Liberty 1.x/SAML 2.0プロトコルで使用されるSOAPエンドポイントを保護するために、次の2つの方法が用意されています。
SSL証明書を介したクライアント認証を使用したSSL: SOAPエンドポイントは、SSLを使用し、SSLクライアント証明書を要求することによって保護されます。
HTTP Basic認証: この方法の場合、SOAPエンドポイントはHTTP Basic認証メカニズムを使用して保護されます。
この項では、これらの技術を実装する方法を説明します。
次の方法の詳細は、「Oracle Identity FederationでのSSLの使用」を参照してください。
SOAP URLを保護するためのSSLの構成
SSLによって保護されているSOAPエンドポイントに接続するためのOracle Identity Federationの構成
この項では、次の内容を説明します。
SOAP URLを保護するためにサーバー上でHTTP Basic認証を構成する方法
HTTP Basic認証によって保護されているリモート・サーバーに、SOAPプロトコルを介して接続する際に使用される資格証明を構成する方法
|
注意: Oracle Single Sign-Onと統合されている場合、Oracle Identity FederationサーバーはHTTP Basic認証では保護できません。 |
この項では、Liberty 1.x/SAML 2.0 SOAPエンドポイントを保護するために必要な手順を示します。これらの手順を実行して、ユーザー資格証明を定義するファイルを作成し、構成ファイルを変更し、保護する必要があるURLを示します。
構成の変更は、基本的なmod_authモジュールを使用してOracle HTTP Server上で行われます。
手順は次のとおりです。
htpasswdユーティリティを使用して、ユーザー名およびパスワード・エントリを保持するユーザー資格証明ファイルを作成します。
$ORACLE_HOME/Apache/Apache/bin/htpasswd -c $ORACLE_HOME/Apache/Apache/conf/.htpasswd-fed SOAP_USERNAME
SOAP_USERNAMEは、新しく作成したファイルに追加する最初のアカウントのユーザー名です。パスワードの入力を求められます。
その他のエントリをファイルに追加するには、次のコマンドを使用します。
$ORACLE_HOME/Apache/Apache/bin/htpasswd $ORACLE_HOME/Apache/Apache/conf/.htpasswd-fed SOAP_USERNAME
SOAP_USERNAMEは、ファイルに追加するアカウントのユーザー名です。パスワードの入力を求められます。
$ORACLE_HOME/Apache/Apache/conf/mod_oc4j.confファイルを開きます。
次の要素を<IfModule mod_oc4j.c>要素内に追加します(SOAPバックエンドで行われるリクエストに対してBasic認証を求めます)。この場合、$ORACLE_HOME変数は、ORACLE_HOMEディレクトリへのフルパスに置き換えます。
<LocationMatch "/fed/.*/soap*"> AuthType Basic AuthName "SOAPBasicAuth" AuthUserFile $ORACLE_HOME/Apache/Apache/conf/.htpasswd-fed Require valid-user </LocationMatch>
ファイルを保存して終了します。
次のコマンドを使用してOracle HTTP Serverを再起動します。
$ORACLE_HOME/opmn/bin/opmnctl restartproc process-type=HTTP_Server
|
注意: コマンドの実行後、RDBMSをOracle Identity Federation一時データ・ストアとして使用する場合は、OC4J_FEDを再起動します。使用しない場合は、Oracle Identity Federation管理コンソールで「サーバーのリフレッシュ」をクリックします。 |
クライアント側では、Oracle Identity Federationにより、SOAPチャネルでピア・プロバイダに接続する場合のBasic認証のサポートが実装されます。コマンドライン・ツールを使用することにより、特定のリモート・プロバイダに接続する際に特定のユーザー名/パスワードを指定してBasic認証を使用するようOracle Identity Federationを設定できます。このツール(fedbasicauth.jar)を使用してOracle Identity Federation構成を更新し、サーバーがリモート・プロバイダのSOAPエンドポイントに接続する際、入力した資格証明が使用されるようにします。
HTTP Basic認証SOAP資格証明を構成する場合、次のコマンドを使用して、ツールのヘルプを確認します。
$ORACLE_HOME/jdk/bin/java -jar $ORACLE_HOME/fed/lib/fedbasicauth.jar
これにより、次の情報が表示されます。
Usage: java -jar fedbasicauth.jar <options> [action] Manage HTTP Basic Auth configuration for Oracle Identity Federation. Options: -oh <path> The ORACLE_HOME directory. (REQUIRED) -providerid <id> The URI of the peer provider. (REQUIRED) -username <u> The username. (REQUIRED if action is -set) Actions: -set Sets basic auth credentials (prompts for password). Basic auth is also enabled for the provider. -remove Removes basic auth config for the provider. -enable Enables basic auth for the provider. -disable Disables basic auth for the provider. -show Shows basic auth config for the provider. Password is not displayed. --help Displays this usage information. (DEFAULT)
ツールの使用例は、次のとおりです。
例1
ユーザー名「jsmith」(および求められたパスワード)をピア・プロバイダhttp://idp.example.orgのBasic認証資格証明として設定し、このプロバイダのBasic認証をオンにします。
$ORACLE_HOME/jdk/bin/java -jar $ORACLE_HOME/fed/lib/fedbasicauth.jar -oh $ORACLE_HOME -provider http://idp.example.org -set -username jsmith
例2
プロバイダhttp://idp.example.orgのBasic認証をオフにします。
$ORACLE_HOME/jdk/bin/java -jar $ORACLE_HOME/fed/lib/fedbasicauth.jar -oh $ORACLE_HOME -provider http://idp.example.org -disable
例3
プロバイダhttp://idp.example.orgのBasic認証をオンにします。この場合、資格証明がすでに設定されていることを前提とします。
$ORACLE_HOME/jdk/bin/java -jar $ORACLE_HOME/fed/lib/fedbasicauth.jar -oh $ORACLE_HOME -provider http://idp.example.org -enable
例4
プロバイダhttp://idp.example.orgのBasic認証をオフにし、資格証明を削除します。
$ORACLE_HOME/jdk/bin/java -jar $ORACLE_HOME/fed/lib/fedbasicauth.jar -oh $ORACLE_HOME -provider http://idp.example.org -remove
