7 Microsoft ADFS 2.0 STSがIP-STS、OWSMがRP-STSのFederationの構成

Identity Provided STS (IP-STS)としてMicrosoft ADFS 2.0 STS、Relying Party (RP-STS)としてOWSMを使用したWebサービス・フェデレーションを構成できます。

ユース・ケース

IP-STSとしてMicrosoft ADFS 2.0 STS、RP-STSとしてOWSMを使用したWebサービス・フェデレーションを構成します。

解決策

Oracle Web Services Manager (OWSM) WS-TrustポリシーをWebサービスおよびクライアントにアタッチして、Microsoft ADFS 2.0 STSを構成してセキュリティ・ドメイン間の信頼を確立します。

コンポーネント

• Oracle WebLogic Server

• Oracle Web Services Manager(OWSM)

• Microsoft ADFS 2.0 STS

• 保護するWebサービスおよびクライアント・アプリケーション

Oracle Web Services Managerの追加のリソース

• Oracle Web Services Managerの概要

• Webサービスの保護

• Oracle Web Services Managerの管理およびトラブルシューティング

• Microsoft ADFS 2.0 STS: http://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspx

このユース・ケースは、次の操作に必要なステップを示します。

• 適切なOWSMセキュリティ・ポリシーをアタッチして、SAMLベアラー認証を使用したメッセージ・レベルの保護を実行します。次のサービス・ポリシーをアタッチする必要があります。

  oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policy

• IP-STSとしてMicrosoft ADFS 2.0 STS、RP-STSとしてOWSMを使用して、Webサービス・フェデレーションを構成します。

サービス、RP-STSおよびIP-STSを保護するには、SSL付きトランスポート・セキュリティを使用します。

このユース・ケースの実装方法の詳細は、「ユース・ケース: IP-STSとしてMicrosoft ADFS 2.0 STS、RP-STSとしてOWSMを使用したWebサービス・フェデレーションの実装」を参照してください。

7.1 ユース・ケース: IP-STSとしてMicrosoft ADFS 2.0 STS、RP-STSとしてOWSMを使用したWebサービス・フェデレーションの実装

ユース・ケースを実装するには、RP-STSとしてのOWSMの構成、IP-STSとしてのMicrosoft ADFS 2.0 STSの構成、Webサービス・クライアントの構成の各タスクを順に実行します。

• RP-STSのフェデレーション・メタデータ・ドキュメントの生成

• Webサービスの構成

• Microsoft ADFS 2.0 STSをIP-STSとして構成

• Webサービス・クライアントの構成

ノート:

次の各項には、Microsoft ADFS 2.0 STSの高レベルな構成ステップが示されています。これらの構成ステップの実行方法の詳細は、ドキュメントhttp://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspxを参照してください

7.1.1 RP-STSのフェデレーション・メタデータ・ドキュメントの生成

exportFederationMetadataコマンドまたはREST APIを使用して、RP-STSのフェデレーション・メタデータ・ドキュメントを生成する必要があります。

WLSTコマンドを使用して署名されていないフェデレーション・メタデータ・ドキュメントを生成するには、次の手順を実行します。

1. ドキュメントの生成元である、ドメイン内のサーバーの実行中のインスタンスに接続します。詳細は、『Webサービスの管理』のWebサービスのカスタムWLSTコマンドへのアクセスに関する項を参照してください。
2. exportFederationMetadataコマンドを実行して、署名されていないフェデレーション・メタデータ・ドキュメントを生成します。

   exportFederationMetadata(federationFile, metadataType, issuer, signMetadata , [signAliases=None], [encAliases=None])
   

   次の例では、署名されていないフェデレーション・メタデータ・ドキュメントがサービス・プロバイダに生成され、ロール・ディスクリプタに暗号化キーは含まれません。

   wls:/wls-domain/serverConfig> exportFederationMetadata('/home/ABC/Downloads/FederationMetadata.xml','SP','www.example.com')

   これはサービスのURLです。

   詳細は、『インフラストラクチャ・コンポーネントのためのWLSTコマンド・リファレンス』のexportFederationMetadataに関する項を参照してください

   REST APIを使用して署名されていないフェデレーション・メタデータ・ドキュメントを生成するには、『Oracle Fusion Middleware Oracle Web Services Managerでの資格証明およびキーストアの管理のためのREST API』のフェデレーション・メタデータ・ドキュメント・メソッドのエクスポートに関する項を参照してください。

7.1.2 Webサービスの構成

Microsoft ADFS 2.0 STSをIdentity Provided STS (IP-STS)、WebサービスをRelying Party (RP-STS)として使用したWebサービス・フェデレーションを構成するユース・ケースを実装するには、最初にWebサービスを構成する必要があります。

Webサービスを構成するには:

1. oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policyポリシーをWebサービスにアタッチします。完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する項を参照してください。
2. 署名証明書をインポートして、OWSMのRelying Party (RP-STS)のWS-Trustを構成します。これを行うには、次のWLSTコマンドを実行します。
   1. ドキュメントの生成元である、ドメイン内のサーバーの実行中のインスタンスに接続します。詳細は、『Webサービスの管理』のWebサービスのカスタムWLSTコマンドへのアクセスに関する項を参照してください。
   2. importFederationMetadataコマンドを実行してMicrosoft ADFS 2.0 STSエンドポイントの署名証明書をOWSMキーストアにインポートし、Relying Party (RP-STS)のWS-Trustを構成します。

      importFederationMetadata(federationFile,nameIdAttribute=None,[filterValues=None],userAttribute=None,userMappingAttribute=None)
      

      たとえば:

      wls:/wls-domain/serverConfig> importFederationMetadata('https://example.com/FederationMetadata/2007-06/Federation.xml',"Unique_name",['filter'],'mail','uid')

      これはMicrosoft ADFS 2.0 STSのフェデレーション・メタデータ・ドキュメントURLです。

      詳細は、『インフラストラクチャ・コンポーネントWLSTコマンド・リファレンス』のimportFederationMetadataに関する項を参照してください

3. 信頼する発行者および信頼するDNとしてOWSMエンドポイントを定義します。完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のSAML署名証明書の信頼できる発行者および信頼できる識別名リストの定義に関する項を参照してください。

7.1.3 Microsoft ADFS 2.0 STSをIP-STSとして構成

Microsoft ADFS 2.0 STSを使用したWebサービス・フェデレーションのユース・ケースを実装するには、Microsoft ADFS 2.0 STSをIP-STSとして構成する必要があります。

完全な手順は、http://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspxのMicrosoft ADFS 2.0 STSドキュメントを参照してください。

次のステップを実行します。

1. AD FS 2.0コンソールから、信頼関係を展開し、リライイング・パーティの信頼フォルダを右クリックして、リライイング・パーティの信頼の追加を選択してリライイング・パーティの信頼の追加ウィザードを開きます。
2. エンドポイントが有効であることを確認します。
3. ADFS 2.0管理コンソールを使用して、IP-STSとして機能するOWSMインスタンスをリライイング・パーティとして追加します。
   1. 「データソースの選択」ページで、ファイルからリライイング・パーティのデータをインポートをクリックして、「次へ」をクリックします。
   2. 「参照」をクリックして、フェデレーション・メタデータ・ファイルが配置されているディレクトリに移動します。
4. ADFS 2.0管理コンソールを使用して、請求ベース認証のADFS 2.0 STSを構成します。
   1. ルール・テンプレートの選択ページで、ルール・タイプとしてオプション請求としてLDAP属性を送信を選択します。
   2. 「ルールの構成」ページで、ルール名の請求として名前IDを入力し、属性ストアとしてActive Directoryオプション、LDAP属性としてSAM-Account-Name、送信請求タイプとして名前IDを選択します。

7.1.4 Webサービス・クライアントの構成

Microsoft ADFS 2.0 STSを使用したWebサービス・フェデレーションのユース・ケースを実装するには、最後にWebサービス・クライアントを構成する必要があります。

Webサービス・クライアントを構成するには:

1. JAX-WSクライアント・アプリケーションが作成されていることを確認します。詳細は、『Oracle JDeveloperによるアプリケーションの開発』のJAX-WS Webサービスとクライアントの作成に関する項を参照してください。
2. 次のステップを実行して、JDeveloperを使用してWebサービス・プロキシを作成します。
   1. 作成したJAX-WSクライアント・アプリケーションを右クリックして、「新規」、「ギャラリから」の順に選択します。
   2. 新規ギャラリで、「カテゴリ」リストでビジネス層ノードを展開し、「Webサービス」を選択します。「Webサービス・クライアントおよびプロキシ」項目を選択して、「OK」をクリックします。
   3. 
      
      「Webサービス・クライアントおよびプロキシの作成」ページが表示されます。
   4. 「Webサービス記述の選択」ページで、WSDLサービスの場所を指定し(https://www.example.com:8002/JaxWsWssStsIssuedBearerTokenWithADFSWssUNOverSsl/JaxWsWssStsIssuedBearerTokenWithADFSWssUNOverSslService?WSDLなど)、「WSDLをプロジェクトにコピー」を選択して、「次」をクリックします。
   5. 「非同期メソッド」ページで、「非同期メソッドを生成しない」を選択して、「終了」をクリックします。
3. ポリシーoracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policyをアタッチし、Webサービスを参照するように構成します。完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する項を参照してください。

   また、sts.in.orderをADFS 2.0 STSエンドポイントのURIに設定します。たとえば:

   http://http://m1.example.com/adfs/services/trust/13/usernamemixed
   

4. oracle/sts_trust_config_service_templateからポリシーを作成し、それを次のように変更し、クライアントにアタッチします。

   • ポートURIをADFS 2.0 STSエンドポイントに設定します。たとえば:

     http://m1.example.com/adfs/services/trust/13/usernamemixed
     

   • クライアント・ポリシーURI oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policyを設定します。

   完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーの作成および編集に関する項を参照してください。

5. oracle/sts_trust_config_client_templateからポリシーを作成し、それを次のように変更し、クライアントにアタッチします。

   • ポートURIをADFS 2.0 STSエンドポイントに設定します。たとえば:

     http://m1.example.com/adfs/services/trust/13/usernamemixed
     

   • WSDL UriをWebサービス・エンドポイントに設定します。たとえば:

     http://m2.example.com:14100/sts/wss11user?wsdl
     

   完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーの作成および編集に関する項を参照してください。