7 Microsoft ADFS 2.0 STSがIP-STS、OWSMがRP-STSのFederationの構成
Identity Provided STS (IP-STS)としてMicrosoft ADFS 2.0 STS、Relying Party (RP-STS)としてOWSMを使用したWebサービス・フェデレーションを構成できます。
- ユース・ケース
-
IP-STSとしてMicrosoft ADFS 2.0 STS、RP-STSとしてOWSMを使用したWebサービス・フェデレーションを構成します。
- 解決策
-
Oracle Web Services Manager (OWSM) WS-TrustポリシーをWebサービスおよびクライアントにアタッチして、Microsoft ADFS 2.0 STSを構成してセキュリティ・ドメイン間の信頼を確立します。
- コンポーネント
-
-
Oracle WebLogic Server
-
Oracle Web Services Manager(OWSM)
-
Microsoft ADFS 2.0 STS
-
保護するWebサービスおよびクライアント・アプリケーション
-
- Oracle Web Services Managerの追加のリソース
このユース・ケースは、次の操作に必要なステップを示します。
-
適切なOWSMセキュリティ・ポリシーをアタッチして、SAMLベアラー認証を使用したメッセージ・レベルの保護を実行します。次のサービス・ポリシーをアタッチする必要があります。
oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policy
-
IP-STSとしてMicrosoft ADFS 2.0 STS、RP-STSとしてOWSMを使用して、Webサービス・フェデレーションを構成します。
サービス、RP-STSおよびIP-STSを保護するには、SSL付きトランスポート・セキュリティを使用します。
このユース・ケースの実装方法の詳細は、「ユース・ケース: IP-STSとしてMicrosoft ADFS 2.0 STS、RP-STSとしてOWSMを使用したWebサービス・フェデレーションの実装」を参照してください。
7.1 ユース・ケース: IP-STSとしてMicrosoft ADFS 2.0 STS、RP-STSとしてOWSMを使用したWebサービス・フェデレーションの実装
ユース・ケースを実装するには、RP-STSとしてのOWSMの構成、IP-STSとしてのMicrosoft ADFS 2.0 STSの構成、Webサービス・クライアントの構成の各タスクを順に実行します。
ノート:
次の各項には、Microsoft ADFS 2.0 STSの高レベルな構成ステップが示されています。これらの構成ステップの実行方法の詳細は、ドキュメントhttp://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspx
を参照してください
7.1.1 RP-STSのフェデレーション・メタデータ・ドキュメントの生成
exportFederationMetadata
コマンドまたはREST APIを使用して、RP-STSのフェデレーション・メタデータ・ドキュメントを生成する必要があります。
7.1.2 Webサービスの構成
Microsoft ADFS 2.0 STSをIdentity Provided STS (IP-STS)、WebサービスをRelying Party (RP-STS)として使用したWebサービス・フェデレーションを構成するユース・ケースを実装するには、最初にWebサービスを構成する必要があります。
oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policy
ポリシーをWebサービスにアタッチします。完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する項を参照してください。- 署名証明書をインポートして、OWSMのRelying Party (RP-STS)のWS-Trustを構成します。これを行うには、次のWLSTコマンドを実行します。
- 信頼する発行者および信頼するDNとしてOWSMエンドポイントを定義します。完全な手順は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のSAML署名証明書の信頼できる発行者および信頼できる識別名リストの定義に関する項を参照してください。
7.1.3 Microsoft ADFS 2.0 STSをIP-STSとして構成
Microsoft ADFS 2.0 STSを使用したWebサービス・フェデレーションのユース・ケースを実装するには、Microsoft ADFS 2.0 STSをIP-STSとして構成する必要があります。
完全な手順は、http://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspx
のMicrosoft ADFS 2.0 STSドキュメントを参照してください。
- AD FS 2.0コンソールから、信頼関係を展開し、リライイング・パーティの信頼フォルダを右クリックして、リライイング・パーティの信頼の追加を選択してリライイング・パーティの信頼の追加ウィザードを開きます。
- エンドポイントが有効であることを確認します。
- ADFS 2.0管理コンソールを使用して、IP-STSとして機能するOWSMインスタンスをリライイング・パーティとして追加します。
- 「データソースの選択」ページで、ファイルからリライイング・パーティのデータをインポートをクリックして、「次へ」をクリックします。
- 「参照」をクリックして、フェデレーション・メタデータ・ファイルが配置されているディレクトリに移動します。
- ADFS 2.0管理コンソールを使用して、請求ベース認証のADFS 2.0 STSを構成します。
- ルール・テンプレートの選択ページで、ルール・タイプとしてオプション請求としてLDAP属性を送信を選択します。
- 「ルールの構成」ページで、ルール名の請求として名前IDを入力し、属性ストアとしてActive Directoryオプション、LDAP属性としてSAM-Account-Name、送信請求タイプとして名前IDを選択します。