ナビゲーションをスキップ

eDocs ホーム > BEA WebLogic Server 9.0 ドキュメント > WebLogic Server のセキュリティ > Web ブラウザと HTTP クライアントによるシングル サインオンのコンフィグレーション

WebLogic Server のセキュリティ

  前 次 前/次ボタンと目次ボタンとの区切り線 目次  

Web ブラウザと HTTP クライアントによるシングル サインオンのコンフィグレーション

この章では、Security Assertion Markup Language 1.1 (SAML) に基づく認証を使用して、Web ブラウザまたはその他の HTTP クライアントによるシングル サインオン (SSO) を設定する方法について説明します。

 

SAML ベースのシングル サインオンの概要

Security Assertion Markup Language (SAML) に基づく認証プロバイダを使用すると、WebLogic Server ドメインで実行されている Web アプリケーションまたは Web サービスと、Web ブラウザまたはその他の HTTP クライアントの間でクロスプラットフォーム認証を実行できます。これにより、シングル サインオン (SSO) が実現されます。つまり、SSO コンフィグレーションに含まれるあるサイトで認証されたユーザは、同じ SSO コンフィグレーション内の他のサイトで新たにログインする必要がなくなります。

SAML SSO の仕組みは次のとおりです。

  1. Web ユーザが SAML ソース サイトの認証を受けます。
  2. 次に、ユーザは送り先サイトの対象リソースにアクセスしようとします。
  3. 1 つまたは複数の手順 (転送など) を経て、ユーザはソース サイトのサイト間転送サービス (ITS) にアクセスします。ITS として動作するのは、WebLogic Server SAML 資格マッピング プロバイダです。
  4. 一連の HTTP 交換を経て、ユーザのブラウザが SAML 送り先サイトの アサーション コンシューマ サービス (ACS) に転送されます。ACS として動作するのは、WebLogic Server SAML ID アサーション プロバイダです。
  5. ソース サイトによって提供され、ユーザと対象リソースに関連付けられた SAML アサーションの情報が、プロトコル交換によってソース サイトから送り先サイトにコピーされます。
  6. 送り先サイトの ACS は、アサーションと対象リソース情報の両方を調べ、対象リソースへのアクセスを許可するかどうかを決定します。これによって、ソース サイトから発生した認証ユーザの Web SSO が実現されます。

WebLogic Server による SAML の実装については、『WebLogic Security について』の「Web Browsers and HTTP Clients」と「Single Sign-On with the WebLogic Security Framework」を参照してください。Web サービスへのセキュリティの追加の詳細については、『WebLogic Web サービス プログラマーズ ガイド』の「セキュリティのコンフィグレーション」を参照してください。

SAML の詳細については、http://www.oasis-open.org を参照してください。

 

SAML でのシングル サインオン : 主な手順

WebLogic Server をコンフィグレーションして SAML シングル サインオンを使用するには、SAML ソース サイトと SAML 送り先サイトとしての役割のサポートをコンフィグレーションする必要があります。SAML サポートにはさまざまなサーブレットとサービスが含まれますが、SAML ソース サイトのコンフィグレーションは SAML 資格マッピング プロバイダに集約され、SAML 送り先のコンフィグレーションは SAML ID アサーション プロバイダに集約されます。

WebLogic Server で SAML SSO をコンフィグレーションする主な手順は次のとおりです。

  1. アーティファクト プロファイル、POST プロファイル、またはその両方をサポートするかどうかを決定します。これらのプロファイルの仕組みについては、「Single Sign-On with the WebLogic Security Framework」を参照してください。
  2. SAML 資格マッピング プロバイダをセキュリティ レルムに作成およびコンフィグレーションすることによって、WebLogic Server を SAML ソース サイトとしてコンフィグレーションします。「シングル サインオン用の SAML ソース サイトのコンフィグレーション」を参照してください。SAML 資格マッピング プロバイダのコンフィグレーションの詳細については、「SAML 資格マッピング プロバイダのコンフィグレーション」を参照してください。SAML 資格マッピング プロバイダのコンフィグレーションでは、以下のものをコンフィグレーションします。
  3. SAML ID アサーション プロバイダをセキュリティ レルムに作成およびコンフィグレーションすることによって、WebLogic Server を SAML 送り先サイトとしてコンフィグレーションします。「シングル サインオン用の SAML 送り先サイトのコンフィグレーション」を参照してください。SAML ID アサーション プロバイダのコンフィグレーションの詳細については、「SAML ID アサーション プロバイダのコンフィグレーション」を参照してください。SAML ID アサーション プロバイダのコンフィグレーションでは、以下の属性をコンフィグレーションします。
  1. ソース サイトの SSL 証明書を、SAML ID アサーション プロバイダが保持する証明書レジストリに登録することによって、信頼を確立します。「証明書レジストリ」を参照してください。

 

シングル サインオン用の SAML ソース サイトのコンフィグレーション

この節では、WebLogic Server を SAML ソース サイトとしてコンフィグレーションする方法について説明します。SAML ソース サイトのコンフィグレーションは、SAML 資格マッピング プロバイダに集約されています。使用するセキュリティ レルムで、SAML 資格マッピング プロバイダのインスタンスを作成します。SAML 資格マッピング プロバイダは、デフォルト セキュリティ レルムの一部ではありません。「SAML 資格マッピング プロバイダのコンフィグレーション」を参照してください。

SAML 認証属性のコンフィグレーション

SAML 資格マッピング プロバイダを SAML 権限としてコンフィグレーションするには、[発行者 URI]、[名前修飾子] などの属性を設定します。

ソース サイト属性のコンフィグレーション

SAML 資格マッピング プロバイダを SAML ソース サイトとしてコンフィグレーションするには、[ソース サイト URL] および [サイト間転送 URI] 属性を使用します。

サポートされるプロファイルのコンフィグレーション

SAML 資格マッピング プロバイダをコンフィグレーションして、SAML SSO 用としてアーティファクト プロファイル、POST プロファイル、またはその両方をサポートできます。SAML 送り先サイトがサポートするプロファイルのサポートをコンフィグレーションしてください。

アーティファクト プロファイルのサポートをコンフィグレーションするには、次の手順に従います。

  1. SAML 資格マッピング プロバイダで、[アーティファクトを有効化] を true に設定します。
  2. [サイト間転送 URI] 属性で、アーティファクト プロファイル用の ITS をコンフィグレーションします。

POST プロファイルのサポートをコンフィグレーションするには、次の手順に従います。

  1. SAML 資格マッピング プロバイダで、[POST を有効化] を true に設定します。
  2. 必要な場合、POST プロファイル アサーションで使用するデフォルト フォームを作成し、そのパス名を [デフォルト POST フォーム] 属性に設定します。
  3. [サイト間転送 URI] 属性で、POST プロファイル用の ITS をコンフィグレーションします。

生成されるアサーションのコンフィグレーション

SAML 資格マッピング プロバイダで、SAML ソース サイトとして動作する WebLogic Server によって提供される SAML アサーションをコンフィグレーションできます。ユーザが接続する SAML 送り先サイトの要件に応じて、任意の数のアサーションをコンフィグレーションできます。生成されるアサーションのコンフィグレーションの詳細については、「生成されるアサーションのコンフィグレーション」を参照してください。

 

シングル サインオン用の SAML 送り先サイトのコンフィグレーション

WebLogic Server を SAML 送り先としてコンフィグレーションします。SAML 送り先のコンフィグレーションは、SAML ID アサーション プロバイダに集約されています。「SAML ID アサーション プロバイダのコンフィグレーション」を参照してください。

使用するセキュリティ レルムで、SAML ID アサーション プロバイダのインスタンスを作成します。SAML ID アサーション プロバイダは、デフォルト セキュリティ レルムの一部ではありません。

サポートされるプロファイルのコンフィグレーション

SAML ID アサーション プロバイダをコンフィグレーションして、SAML SSO 用としてアーティファクト プロファイル、POST プロファイル、またはその両方をサポートできます。

SAML ID アサーション プロバイダでアーティファクト プロファイルのサポートをコンフィグレーションするには、[アーティファクトを有効化] 属性を true に設定します。

POST プロファイルのサポートをコンフィグレーションするには、次の手順に従います。

  1. SAML ID アサーション プロバイダで、[POST を有効化] を true に設定します。
  2. 必要な場合、[受信者チェックを有効化] 属性を設定します。true の場合、SAML 応答の宛先は、HTTP リクエストの URL と一致している必要があります。
  3. 必要な場合、[Enforce One Use Policy] 属性を設定します。「アサーションの再利用の制限」を参照してください。

消費されるアサーションのコンフィグレーション

SAML ID アサーション プロバイダでは、SAML 送り先サイトとして動作する WebLogic Server が受け取ったアサーションを消費する方法をコンフィグレーションできます。指定できるアサーションの数に制限はありません。消費されるアサーションのコンフィグレーションについては、「消費されるアサーションのコンフィグレーション」を参照してください。

 

フッタのナビゲーションのスキップ  ページの先頭 前 次