5.4. STSIssuingLoginModule の設定
STSIssuingLoginModule は、ユーザー名とパスワードを使用し、トークンを読み出してユーザーを STS に対して認証します。
例5.4 STSIssuingLoginModule の設定
<application-policy name="saml-issue-token">
<authentication>
<login-module
code="org.picketlink.identity.federation.core.wstrust.auth.STSIssuingLoginModule" flag="required"> <module-option name="configFile">./picketlink-sts-client.properties</module-option>
<module-option name="endpointURI">http://security_saml/endpoint</module-option>
</login-module>
</authentication>
<mapping>
<mapping-module
code="org.picketlink.identity.federation.bindings.jboss.auth.mapping.STSPrincipalMappingProvider"
type="principal" />
<mapping-module
code="org.picketlink.identity.federation.bindings.jboss.auth.mapping.STSGroupMappingProvider"
type="role" />
</mapping>
</application-policy>
以下を実行すると、ほとんどの設定を上記の設定に変更できます。
- 宣言されたセキュリティードメインの変更。
- Principal マッピングプロバイダーの指定。
- RoleGroup マッピングプロバイダーの指定。
Princial マッピングプロバイダーおよび RoleGroup マッピングプロバイダーが指定されると、認証されたサブジェクトが入力され、粒度の荒いロールベースの承認を実行できます。認証後、セキュリティートークンが使用可能になり、シングルサインオンで他のサービスを呼び出すために使用されることがあります。
