ヘッダーをスキップ
Oracle Identity Federation管理者ガイド
10
g
(10.1.4.0.1)
B31476-02
索引
次へ
目次
例一覧
図一覧
表一覧
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
サポートおよびサービス
新機能
Oracle Identity Federationの新機能
ドキュメントの更新
用語の変更
1
Oracle Identity Federationの概要
1.1
フェデレーテッドID管理
1.1.1
ユーザーID管理における課題
1.1.2
フェデレーションのユースケース
1.1.3
概念と用語
1.1.4
フェデレーション・プロトコル
1.1.4.1
SAMLの基本
1.1.4.2
フェデレーテッドIDの標準の発展
1.1.4.3
SAML 1.x
1.1.4.4
Liberty ID-FF 1.1
1.1.4.5
Liberty ID-FF 1.2
1.1.4.6
SAML 2.0
1.1.4.7
WS-Federation
1.2
Oracle Identity Federation
1.2.1
Oracle Identity Federationの特長と利点
1.2.2
アーキテクチャ
1.2.3
高水準処理フロー
1.2.4
フェデレーション・プロトコル・プロファイル
1.2.4.1
ブラウザPOSTプロファイル
1.2.4.2
ブラウザ・アーティファクト・プロファイル
1.2.4.3
SOAPバインディング
1.2.4.4
ブラウザHTTPリダイレクト・プロファイル
1.2.4.5
名前識別子プロファイル
1.2.4.6
SAML属性共有プロファイル
1.2.4.7
WS-Federationパッシブ・リクエスタのプロファイル
1.2.4.8
フェデレーション終了プロファイル
1.2.4.9
グローバル・ログアウト・プロファイル
1.2.5
アフィリエーション
1.2.6
暗号化プロバイダ
1.2.7
フェデレーション・イベント・フローの例
1.2.8
サポートされている標準とアプリケーション
2
Oracle Identity Federationデプロイメントの計画
2.1
アーキテクチャ・オプション
2.1.1
フェデレーションでのロール
2.1.2
トポロジ
2.1.2.1
ハブ・アンド・スポーク
2.1.2.2
ピアツーピア
2.1.3
プロキシ・サーバー
2.1.4
サーバー・セキュリティ
2.1.4.1
SSL暗号化
2.1.4.2
証明書ベースの認証
2.1.4.3
証明書リポジトリおよび検証
2.1.5
プロトコル
2.2
プロトコルとバインディング
2.2.1
サポートされているプロトコル
2.2.2
プロファイルの選択
2.2.2.1
アーティファクト・プロファイルの使用
2.2.2.2
POSTプロファイルの使用
2.2.2.3
SAMLでのセキュリティに関する考慮事項
2.2.2.4
SAML属性共有プロファイルの使用
2.2.2.5
WS-Federationログアウト・プロファイルの使用
2.3
認証エンジン
2.3.1
Oracle Identity Federationの認証方式
2.3.2
リポジトリを使用するIdPモードの認証
2.3.3
IdPモードでのIdMソリューションを使用する認証
2.3.4
SPモードでのOracle Access ManagerまたはCA eTrust SiteMinderを使用する認証
2.3.5
SPモードでのOracleASシングル・サインオンを使用する認証
2.3.6
HTTP Basic認証
2.4
データ・リポジトリ
2.4.1
フェデレーション・データ・ストア
2.4.2
ユーザー・データ・ストア
2.4.3
一時データ・ストア
2.5
インストール要件
2.5.1
必須コンポーネント
2.5.2
サポート対象プラットフォーム
2.6
サイジングのガイドライン
2.6.1
デプロイメントおよびアーキテクチャの考慮事項
2.6.1.1
プロファイル
2.6.1.2
リポジトリ
2.6.1.3
一時ストレージ
2.6.1.4
アサーションのセキュリティ
2.6.1.5
接続のチューニング
2.6.1.6
高可用性
2.6.1.7
サーバーのチューニング
2.6.1.8
追加のセキュリティの影響
2.6.2
一般的なデプロイ・シナリオ
2.6.3
リファレンス・サーバーのフットプリント
2.6.4
トポロジ
2.6.5
パフォーマンスの数値
2.7
実装チェックリスト
3
Oracle Identity Federationのインストール
3.1
前提条件
3.2
インストール手順の概要
3.3
基本インストール手順
3.4
拡張インストール手順
3.4.1
SSLの有効化
3.5
インストール後のテスト
3.6
次の作業
3.6.1
サーバーの再関連付け
4
Oracle Identity Federationのデプロイ
4.1
概要
4.2
デプロイ・シナリオ
4.2.1
OracleAS Single Sign-OnとのOracle Identity Federationのデプロイ
4.2.1.1
フェデレーテッド・シングル・サインオンのテスト
4.2.2
Oracle Identity FederationとOracle Access Managerのデプロイ
4.2.2.1
OracleAS Infrastructureのインストール
4.2.2.2
Oracle Access Managerのインストール
4.2.2.3
Oracle Identity Federationのインストール
4.2.2.4
Oracle Identity FederationとOracle Access Managerの統合
4.2.3
Oracle Identity FederationとeTrust SiteMinderのデプロイ
4.2.3.1
eTrust SiteMinderと統合するための要件
4.2.3.2
eTrust SiteMinder SDKのインストール
4.2.3.3
RDBMSデータソースの定義
4.2.3.4
Oracle Identity Federationユーザー・データ・ストアの構成
4.2.3.5
eTrust SiteMinder Webエージェントの構成
4.2.3.6
eTrust SiteMinderポリシー・オブジェクト
4.2.4
Oracle Identity FederationとSun Java System Web Serverのデプロイ
4.2.4.1
要件
4.2.4.2
Webプロキシ・サーバーを使用しないOracle Identity Federationの構成
4.2.4.3
Webプロキシ・サーバーの背後へのOracle Identity Federationの構成
4.2.4.4
Oracle Identity FederationとOracleAS Single Sign-Onの統合
4.2.4.5
構成ファイルのサンプル
4.2.5
IBM Tivoli Directory Serverをデータ・ストアとして使用するためのOracle Identity Federationの構成
4.2.5.1
前提条件
4.2.5.2
IDPまたはSP用のフェデレーション・データ・ストアとしてのIBM Tivoli Directory Serverの構成
4.2.5.3
IdP用のユーザー・データ・ストアとしてのIBM Tivoli Directory Serverの構成
4.2.6
サード・パーティのIDおよびアクセス管理モジュールとの統合
4.2.6.1
アーキテクチャおよびフロー
4.2.6.2
カスタム認証エンジンの作成
4.2.6.3
カスタムSP統合エンジンの作成
4.2.6.4
ログアウト
4.2.6.5
GenericSPCookieProviderの例
4.2.7
HTTP Basic認証の実装
4.2.7.1
IDストアを使用したBasic認証
4.2.7.2
IDストアを使用しないBasic認証
4.2.8
WebGateとOracle Identity Federationサーバーとの統合
5
サーバー管理
5.1
基本管理
5.1.1
Federationサーバー管理者のロール
5.1.1.1
デプロイメントの計画
5.1.1.2
他の計画タスク
5.1.2
Oracle Identity Federationへのログイン
5.1.3
サーバーの起動と停止
5.1.4
管理者パスワードの変更
5.1.5
Oracle Identity Federationのログ・ファイル
5.1.6
バックアップ
5.2
アイデンティティ・フェデレーションの管理
5.2.1
信頼できるプロバイダの構成の編集
5.2.2
[プロバイダ]のフェデレーション
5.2.3
ユーザー
5.2.4
ユーザーのフェデレーション
5.3
再関連付け
5.3.1
フェデレーション・データ・ストアの変更
5.3.2
ユーザー・データ・ストアの変更
5.3.3
RDBMSデータ・ストアの変更
5.3.4
フェデレーション・データの削除
5.3.5
Oracle Access Managerインスタンスの変更
5.3.6
Oracle Access Managerからのポリシー・オブジェクトの削除
5.4
Oracle Identity Federationのアンインストール
5.4.1
アンインストールの概要
5.4.2
アンインストール手順
5.4.2.1
アンインストール・エラー・メッセージ
5.4.3
Oracle Application Serverインスタンスのdeconfigツール
5.4.3.1
deconfigツールの構文とパラメータ
5.4.3.2
deconfigツールのログ・ファイル
5.4.4
インストールしたOracleASコールド・フェイルオーバー・クラスタのアンインストール
5.4.5
Oracle Application Serverプロセスのクリーンアップ
5.4.6
再インストール
6
Oracle Identity Federationの構成
6.1
Oracle Identity Federationが保守するデータ
6.1.1
サーバー構成データ
6.1.2
ユーザー・フェデレーション・データ
6.2
管理コンソールの概要
6.3
基本サーバー構成
6.3.1
「サーバー構成」タブ
6.3.2
サーバー・プロパティの編集
6.3.3
グローバル・プロパティの編集
6.3.3.1
アイデンティティ・プロバイダ: グローバル設定
6.3.3.2
アイデンティティ・プロバイダ: 署名付を送信するメッセージを選択
6.3.3.3
アイデンティティ・プロバイダ: 署名付を要求するメッセージを選択
6.3.3.4
サービス・プロバイダ: グローバル設定
6.3.3.5
サービス・プロバイダ: 署名付を送信するメッセージを選択
6.3.3.6
サービス・プロバイダ: 署名付を受信するメッセージを選択
6.3.4
プロトコル固有のIdPプロパティの編集
6.3.4.1
アイデンティティ・プロバイダ: 「Liberty 1.1」プロパティ
6.3.4.2
Liberty 1.1アイデンティティ・プロバイダ・プロファイルの有効化
6.3.4.3
アイデンティティ・プロバイダ: 「Liberty 1.2」プロパティ
6.3.4.4
Liberty 1.2アイデンティティ・プロバイダ・プロファイルの有効化
6.3.4.5
Liberty 1.2アイデンティティ・プロバイダ名前IDフォーマットの選択
6.3.4.6
アイデンティティ・プロバイダ: 「SAML 2.0」プロパティ
6.3.4.7
SAML 2.0アイデンティティ・プロバイダ・プロファイルの有効化
6.3.4.8
SAML 2.0アイデンティティ・プロバイダ名前IDフォーマットの選択
6.3.5
プロトコル固有のSPプロパティの編集
6.3.5.1
サービス・プロバイダ: 「Liberty 1.1」プロパティ
6.3.5.2
Liberty 1.1サービス・プロバイダ・プロファイルの有効化
6.3.5.3
サービス・プロバイダ: 「Liberty 1.2」プロパティ
6.3.5.4
Liberty 1.2サービス・プロバイダ・プロファイルの有効化
6.3.5.5
サービス・プロバイダ: 「SAML 2.0」プロパティ
6.3.5.6
SAML 2.0サービス・プロバイダ・プロファイルの有効化
6.3.5.7
SAML 2.0サービス・プロバイダ名前IDフォーマットの選択
6.3.6
サービス・プロバイダ: 属性リクエスタ
6.3.7
トラスト・サークルの編集
6.3.7.1
トラスト・サークル
6.3.7.2
信頼できるプロバイダの編集
6.3.7.3
信頼できるプロバイダの編集: 属性マッピング
6.3.7.4
署名付を送信するメッセージを選択
6.3.7.5
署名付を要求するメッセージを選択
6.3.7.6
信頼できるプロバイダの編集: 名前IDフォーマットの選択
6.3.8
アフィリエーションの構成と使用
6.3.8.1
アフィリエーション
6.3.8.2
Oracle Identity Federationのアフィリエーション・サポート
6.3.8.3
アフィリエーションの構成
6.3.8.4
アフィリエーションの実行時動作
6.3.8.5
アフィリエーションの表示
6.3.9
証明書検証ストアの編集
6.4
IdMデータ・ストアの構成
6.4.1
フェデレーション・データ・ストアの編集
6.4.2
ユーザー・データ・ストアの編集
6.4.2.1
ユーザー・データ・ストアとしてのRDBMSの構成
6.5
SAML 1.xプロパティとWS-Federationプロパティの構成
6.5.1
証明書ストア
6.5.2
暗号化キーの再生成
6.5.3
監査およびログ
6.5.4
アサーション・プロファイル
6.5.5
アサーション・プロファイルの追加
6.5.6
アサーション・プロファイルの編集
6.5.7
宛先マッピング
6.5.8
宛先マッピングの変更
6.5.9
ドメイン
6.5.10
MyDomainの更新
6.5.11
Oracle Identity Federationドメインの追加
6.5.12
非Oracle Identity Federationドメインの追加
6.5.13
SAML 1.xおよびWS-Federationの構成データのピアとの交換
6.5.13.1
Oracle Identity FederationがIdPである場合
6.5.13.2
Oracle Identity FederationがSPである場合
6.6
属性共有の構成
6.6.1
属性共有で使用されるコンポーネント
6.6.2
リモート・ユーザーとローカル・ユーザー
6.6.3
Oracle Access Manager Pluginsの構成
6.6.4
Oracle Access Managerのスキームとポリシーの構成
6.6.4.1
属性共有認証スキームの構成
6.6.4.2
属性共有認可スキームの構成
6.6.4.3
属性共有を使用するOracle Access Managerポリシーの構成
6.6.5
SP属性リクエスタとしてのOracle Identity Federationの構成
6.6.5.1
Basic認証を使用する場合
6.6.5.2
クライアント証明書認証を使用する場合
6.6.6
IdP属性レスポンダとしてのOracle Identity Federationの構成
6.6.7
SSL用のOracle Identity Federationの構成
6.7
属性共有用のWebサービス・インタフェース
6.7.1
サービス・インタフェースの概要
6.7.2
属性リクエスト・メッセージ
6.7.3
属性レスポンス・メッセージ
6.7.4
インタフェースWSDL
6.7.5
参照
6.8
属性マッピングの構成
6.8.1
属性マッピングの概要
6.8.1.1
属性名マッピング
6.8.1.2
属性値マッピング
6.8.1.3
属性値フィルタリング
6.8.2
マッピング構成
6.8.2.1
構成ファイル
6.8.2.2
サーバー構成
6.8.2.3
マッピングおよびフィルタリング構成
6.8.3
サンプルのattr-config.xmlファイル
6.8.4
例
6.8.4.1
例1
6.8.4.2
例2
6.8.4.3
例3
6.9
ログアウト・サービスの構成
6.9.1
WS-Federationのログアウト
6.10
Oracle Identity FederationでのSSLの使用
6.10.1
SSLサーバーへの接続
6.10.2
SSLサーバーに対する認証
6.10.3
Oracle Identity FederationでのSSLサーバーの構成
6.10.4
SOAPリクエストに対するSSLクライアント証明書の要求
6.11
Liberty 1.x/SAML 2.0 SOAPエンドポイントの保護
6.11.1
SSLクライアント認証
6.11.2
HTTP Basic認証
6.11.2.1
SOAP URLを保護するためのHTTP Basic認証の構成
6.11.2.2
保護されているSOAP URLに接続するためのOracle Identity Federationの構成
7
その他のサーバー構成
7.1
シングル・サインオン・サービスの設定
7.1.1
OracleAS Single Sign-OnとLiberty 1.x/SAML 2.0
7.1.1.1
URL問合せパラメータ
7.1.2
Oracle Access ManagerとLiberty 1.x/SAML 2.0
7.1.2.1
URL問合せパラメータ
7.1.3
Oracle Access ManagerとSAML 1.x/WS-Federation
7.1.3.1
FedSSO - SAML 1.x認証スキームの使用
7.1.3.2
FedSSO - WS-Federation認証スキームの使用
7.1.4
eTrust SiteMinderとLiberty 1.x/SAML 2.0
7.1.4.1
URL問合せパラメータ
7.1.5
eTrust SiteMinderとSAML 1.x/WS-Federation
7.1.5.1
SAML 1.x認証の使用
7.1.5.2
WS-Federation認証の使用
7.1.6
SPが開始するSSOとLiberty 1.x/SAML 2.0
7.1.6.1
URL問合せパラメータ
7.1.7
SPが開始するSSOとSAML 1.x
7.1.8
SPが開始するSSOとWS-Federation
7.1.9
IdPが開始するSSOとLiberty 1.x/SAML 2.0
7.1.9.1
URL問合せパラメータ
7.1.10
IdPが開始するSSOとSAML 1.x
7.1.11
IdPが開始するSSOとWS-Federation
7.2
アフィリエーション関連の作業
7.3
IdPの自己署名証明書のSPへのエクスポート
7.4
一時/単発識別子の使用方法
7.5
名前IDフォーマットの構成
7.5.1
IdPとしての名前IDフォーマットの構成
7.5.2
SPとしての名前IDフォーマットの構成
7.5.3
特定のリモート・プロバイダの名前IDフォーマットの構成
7.5.4
Oracle Identity FederationまたはIdPを使用したSSOアサーションの属性の構成
7.6
IdPによる名前IDフォーマットの判定
7.7
SPでの自動アカウント・リンクの使用方法
7.7.1
SPでの自動アカウント・リンクの概要
7.7.2
SPでの自動アカウント・リンクの構成
7.8
IdPでの自動アカウント・リンクの使用方法
7.8.1
IdPでの自動アカウント・リンクの概要
7.8.2
IdPでの自動アカウント・リンクの構成
7.9
Microsoft ADFSとの相互運用
7.9.1
用語および定義
7.9.2
ADFSをIdP、Oracle Identity FederationをSPとして構成
7.9.2.1
前提条件
7.9.2.2
Oracle Identity Federationからの情報の収集
7.9.2.3
ADFSからの情報の収集
7.9.2.4
サービス・プロバイダとしてのOracle Identity Federationの構成
7.9.2.5
Oracle Identity FederationをSPとして認識するためのADFSの構成
7.9.2.6
要求の構成
7.9.2.7
IdPが開始するSSOとWS-Federation
7.9.2.8
SPが開始するSSOとWS-Federation
7.9.2.9
IdPが開始するログアウトとWS-Federation
7.9.2.10
SPが開始するログアウトとWS-Federation
7.9.3
ADFSをSP、Oracle Identity FederationをIdPとして構成
7.9.3.1
前提条件
7.9.3.2
Oracle Identity Federationからの情報の収集
7.9.3.3
ADFSからの情報の収集
7.9.3.4
ADFSをSPとして認識するためのOracle Identity Federationの構成
7.9.3.5
Oracle Identity FederationをIdPとして認識するためのSPとしてのADFSの構成
7.9.3.6
要求の構成
7.9.3.7
IdPが開始するSSOとWS-Federation
7.9.3.8
SPが開始するSSOとWS-Federation
7.9.3.9
IdPが開始するログアウトとWS-Federation
7.9.3.10
SPが開始するログアウトとWS-Federation
7.10
ログアウト中のエラー発生時に失敗をレポートしないオプション
7.10.1
エラー発生時に失敗をレポートしない機能の概要
7.10.2
オプションの構成
7.11
ログアウト・ステータス
7.12
SAML 2.0の認証問合せに対するレスポンスの構成
7.13
SAML 2.0アサーションIDリクエストの構成
7.14
その他のeTrust SiteMinder構成
7.14.1
ポリシー・オブジェクトのタイプ
7.14.2
ポリシー・オブジェクトの作成
7.14.3
eTrust SiteMinder操作を開始するためのOracle Identity Federationの構成
7.14.4
異なるユーザー・データ・ストアを使用するためのOracle Identity Federationの構成
8
Oracle Identity Federationの監視
8.1
Oracle Identity Federationの監視について
8.1.1
メトリック
8.1.2
監視コンポーネント
8.1.3
データ・フローの監視
8.2
監視コンソール
8.2.1
コンソールへのアクセス
8.2.1.1
「監視エージェント・ホーム」タブ
8.2.1.2
「監視エージェント構成」タブ
8.2.2
監視エージェント・ホーム
8.2.3
監視エージェントIdP統計情報ホーム
8.2.4
監視エージェントIdP統計情報(SSO)
8.2.5
監視エージェントIdP統計情報(Identity Federation)
8.2.6
監視エージェントIdP統計情報(ピア・プロバイダ)
8.2.7
監視エージェントSP統計情報ホーム
8.2.8
監視エージェントSP統計情報(SSO)
8.2.9
監視エージェントSP統計情報(Identity Federation)
8.2.10
監視エージェントSP統計情報(ピア・プロバイダ)
8.2.11
コンソールでのメトリック表示
8.3
監視中のインストールの管理
8.3.1
監視中のインストール
8.3.2
統計リポジトリ
8.4
メトリックのアーカイブ
9
高度なトピック
9.1
コンフィギュレーション・アシスタント
9.1.1
コンフィギュレーション・アシスタントの前提条件
9.1.2
コンフィギュレーション・アシスタントの操作
9.1.2.1
リポジトリの保守
9.1.2.2
デプロイメント
9.2
コマンドライン・ツール
9.2.1
バルク・フェデレーション・ユーティリティ
9.2.1.1
作成モード
9.2.1.2
読取りモード
9.2.1.3
バルク・ロードで生成される出力ファイル
9.2.1.4
構文と例
9.2.2
コマンドライン・コンフィギュレーション・アシスタントによる一時データ・ストアの変更
9.2.2.1
構文と例
9.2.3
コマンドライン・コンフィギュレーション・アシスタントを使用したアンインストール
9.2.3.1
構文と例
9.2.4
コマンドラインのフェデレーション削除ツール
9.2.4.1
構文と例
9.3
Oracle Identity Federationのパフォーマンス管理
9.3.1
同時接続制限の設定
9.3.2
JDBC接続制限の設定
9.3.3
Oracle HTTP Serverのチューニング
9.4
高可用性
9.4.1
Webアプリケーション・セッション状態レプリケーション
9.4.2
構成情報の集中格納
9.4.3
データ層
9.4.3.1
冗長LDAPサーバーの構成
9.4.4
追加情報
9.5
Oracle Identity Federationでのロード・バランサの設定
9.5.1
SAML 1.xまたはWS-Federationの追加の考慮事項
9.5.2
Oracle Identity Federation監視コンソールのその他の手順
9.6
Oracle Identity Federationでのプロキシの設定
A
Oracle Identity Federationのトラブルシューティング
A.1
問題と解決方法
A.1.1
一般的な問題
A.1.1.1
OracleAS Single Sign-OnおよびSAML 1.xまたはWS-Federationでのセッション・タイムアウト後の再認証
A.1.1.2
Microsoft Internet Information Serverでの属性共有
A.1.1.3
Oracle Access Managerでのリダイレクション・ループ
A.1.1.4
日本語バージョンのOracle Universal Installerでのテキスト切捨て
A.1.1.5
無効な属性マッピングがあるアサーション・プロファイルを使用しなくてもSSOが失敗することがある
A.1.1.6
署名付きSAML 1.0アサーションによってSSOが失敗することがある
A.1.1.7
ネットワーク接続の暗号化
A.1.2
Oracle Identity Federationの構成に関する問題
A.1.2.1
一時データ・ストアの変更後に管理コンソールにアクセスできない
A.1.2.2
アサーションを使用したSAMLレスポンスの署名
A.1.2.3
日本語ロケールにおいてSAML 1.x POSTメソッドを使用したアサーションが失敗する
A.1.2.4
SAML 1.xアーティファクトにおけるリクエスタID
A.1.2.5
ログアウト時に戻り先ページが表示されない
A.1.2.6
「No JSESSIONID Cookie」エラー
A.1.2.7
「Failed to find orclfednamevalue」エラー
A.1.3
Oracle Single Sign-Onのログインに関する問題
A.1.3.1
正しくないログイン・ページが表示される
A.1.3.2
ブックマークしたログイン・ページのエラー
A.1.3.3
タイムアウト後にSAML 1.x URLを再発行するとエラーが発生する
A.1.4
Oracle Access Managerの構成に関する問題
A.1.4.1
AccessGate権限エラー
A.1.4.2
非ASCII AccessGate ID
A.1.4.3
LD_ASSUME_KERNEL値の設定
A.1.4.4
2つのバックエンドに同一のCookieドメインを使用する
A.1.5
オペレーティング・システムの構成に関する問題
A.1.5.1
Linux上のファイル記述子
A.1.5.2
未知のホスト例外によるMicrosoft Active Directoryに対する検索の失敗
A.1.6
実行時/シングル・サインオンに関する問題
A.1.6.1
Oracle SmartMarksを使用すると404エラーになる
A.1.6.2
SAML 1.xまたはWS-Federationのアイデンティティ・プロバイダが正しくない
A.1.6.3
WS-Federationが保護するリソースに対するブックマークのエラー
A.1.7
Oracle Identity Federation管理コンソールに関する問題
A.1.7.1
管理コンソールにログインできない
B
参照
用語集
索引