WebLogic Server のセキュリティ
![]() |
![]() |
![]() |
![]() |
この章では、Security Assertion Markup Language 1.1 (SAML) に基づく認証を使用して、Web ブラウザまたはその他の HTTP クライアントによるシングル サインオン (SSO) を設定する方法について説明します。
Security Assertion Markup Language (SAML) に基づく認証プロバイダを使用すると、WebLogic Server ドメインで実行されている Web アプリケーションまたは Web サービスと、Web ブラウザまたはその他の HTTP クライアントの間でクロスプラットフォーム認証を実行できます。これにより、シングル サインオン (SSO) が実現されます。つまり、SSO コンフィグレーションに含まれるあるサイトで認証されたユーザは、同じ SSO コンフィグレーション内の他のサイトで新たにログインする必要がなくなります。
WebLogic Server による SAML の実装については、『WebLogic Security について』の「Web Browsers and HTTP Clients」と「Single Sign-On with the WebLogic Security Framework」を参照してください。Web サービスへのセキュリティの追加の詳細については、『WebLogic Web サービス プログラマーズ ガイド』の「セキュリティのコンフィグレーション」を参照してください。
SAML の詳細については、http://www.oasis-open.org を参照してください。
WebLogic Server をコンフィグレーションして SAML シングル サインオンを使用するには、SAML ソース サイトと SAML 送り先サイトとしての役割のサポートをコンフィグレーションする必要があります。SAML サポートにはさまざまなサーブレットとサービスが含まれますが、SAML ソース サイトのコンフィグレーションは SAML 資格マッピング プロバイダに集約され、SAML 送り先のコンフィグレーションは SAML ID アサーション プロバイダに集約されます。
WebLogic Server で SAML SSO をコンフィグレーションする主な手順は次のとおりです。
この節では、WebLogic Server を SAML ソース サイトとしてコンフィグレーションする方法について説明します。SAML ソース サイトのコンフィグレーションは、SAML 資格マッピング プロバイダに集約されています。使用するセキュリティ レルムで、SAML 資格マッピング プロバイダのインスタンスを作成します。SAML 資格マッピング プロバイダは、デフォルト セキュリティ レルムの一部ではありません。「SAML 資格マッピング プロバイダのコンフィグレーション」を参照してください。
SAML 資格マッピング プロバイダを SAML 権限としてコンフィグレーションするには、[発行者 URI]、[名前修飾子] などの属性を設定します。
SAML 資格マッピング プロバイダを SAML ソース サイトとしてコンフィグレーションするには、[ソース サイト URL] および [サイト間転送 URI] 属性を使用します。
SAML 資格マッピング プロバイダをコンフィグレーションして、SAML SSO 用としてアーティファクト プロファイル、POST プロファイル、またはその両方をサポートできます。SAML 送り先サイトがサポートするプロファイルのサポートをコンフィグレーションしてください。
アーティファクト プロファイルのサポートをコンフィグレーションするには、次の手順に従います。
POST プロファイルのサポートをコンフィグレーションするには、次の手順に従います。
SAML 資格マッピング プロバイダで、SAML ソース サイトとして動作する WebLogic Server によって提供される SAML アサーションをコンフィグレーションできます。ユーザが接続する SAML 送り先サイトの要件に応じて、任意の数のアサーションをコンフィグレーションできます。生成されるアサーションのコンフィグレーションの詳細については、「生成されるアサーションのコンフィグレーション」を参照してください。
WebLogic Server を SAML 送り先としてコンフィグレーションします。SAML 送り先のコンフィグレーションは、SAML ID アサーション プロバイダに集約されています。「SAML ID アサーション プロバイダのコンフィグレーション」を参照してください。
使用するセキュリティ レルムで、SAML ID アサーション プロバイダのインスタンスを作成します。SAML ID アサーション プロバイダは、デフォルト セキュリティ レルムの一部ではありません。
SAML ID アサーション プロバイダをコンフィグレーションして、SAML SSO 用としてアーティファクト プロファイル、POST プロファイル、またはその両方をサポートできます。
SAML ID アサーション プロバイダでアーティファクト プロファイルのサポートをコンフィグレーションするには、[アーティファクトを有効化] 属性を true に設定します。
POST プロファイルのサポートをコンフィグレーションするには、次の手順に従います。
SAML ID アサーション プロバイダでは、SAML 送り先サイトとして動作する WebLogic Server が受け取ったアサーションを消費する方法をコンフィグレーションできます。指定できるアサーションの数に制限はありません。消費されるアサーションのコンフィグレーションについては、「消費されるアサーションのコンフィグレーション」を参照してください。
![]() ![]() |
![]() |
![]() |