14 SAML認証プロバイダの構成

Oracle WebLogic Server Security Assertion Markup Language (SAML)認証プロバイダは、SAML 2.0のアイデンティティ・アサーション・プロバイダと組み合せて使用することによって、仮想ユーザーがSAMLでログインできるようになります。

仮想ユーザーが許可されると、SAMLアイデンティティ・アサーション・プロバイダによってユーザーまたはグループのプリンシパルが作成され、仮想ユーザー(ローカルに実在するどのユーザーにも対応しないユーザー)としてログインすることが可能になります。

SAML認証プロバイダが他の認証プロバイダより前に実行されるように構成され、JAAS制御フラグがSUFFICIENTに設定されている場合、このプロバイダは、SAML 2.0アイデンティティ・アサーション・プロバイダがSAMLアサーションから取得したユーザー名とグループを使用して、認証済のサブジェクトを作成します。

SAML認証プロバイダが構成されていないか、SAML認証プロバイダより前に別の認証プロバイダ(たとえばデフォルトのLDAP認証プロバイダ)が構成されており、そのJAAS制御フラグがSUFFICIENTに設定されている場合は、その別の認証プロバイダがSAML IDアサーション・プロバイダから返されるユーザー名を検証します。デフォルトのLDAP認証プロバイダの場合は、ユーザーがIDディレクトリ内に存在していないと認証が失敗します。

ノート:

SAML認証プロバイダを構成し、仮想ユーザーがログインしてリソースにアクセスできるようにするには、次の点に注意してください。

1. リソースは、アクセスを制御するセキュリティ・ポリシーを使用して構成する必要があります。リソースが保護されていない場合、仮想ユーザー用に作成されたサブジェクトにはプリンシパルが格納されず、アクセスは許可されません。

2. 保護されたリソースでは、デフォルトのCookie JSESSIONIDを使用する必要もあります。リソースがJSESSIONID以外のCookie名を使用すると、サブジェクトのIDがリソースに伝播されません。

セキュリティ・ポリシーの構成の詳細は、『Oracle WebLogic Serverロールおよびポリシーによるリソースの保護』を参照してください。

グループをSAMLアサーションから取得する必要がある場合は、ユーザーの存在をLDAP認証プロバイダで検証する場合であっても、SAML認証プロバイダを構成する必要があります。そうしないと、アサーション内のグループではなく、LDAPディレクトリから派生したグループにユーザーが関連付けられます。

SAML認証プロバイダは、SAML 2.0アイデンティティ・アサーション・プロバイダによってアイデンティティがアサートされたユーザーのサブジェクトのみを作成します。それ以外の認証リクエストやIDアサーション・リクエストはすべて無視されます。