15.5. STSValidatingLoginModule の設定
STSValidatingLoginModule は TokenCallback を使用し、トークンを呼び出して STS に設定された CallbackHandler を要求します。
例15.5 STSValidatingLoginModule の設定
<security-domain name="saml-validate-token">
<authentication>
<login-module
code="org.picketlink.identity.federation.core.wstrust.auth.STSValidatingLoginModule" flag="required">
<module-option name="configFile">./picketlink-sts-client.properties</module-option>
<module-option name="endpointURI">http://security_saml/endpoint</module-option>
</login-module>
</authentication>
<mapping>
<mapping-module
code="org.picketlink.identity.federation.bindings.jboss.auth.mapping.STSPrincipalMappingProvider"
type="principal" />
<mapping-module
code="org.picketlink.identity.federation.bindings.jboss.auth.mapping.STSGroupMappingProvider"
type="role" />
</mapping>
</security-domain>
上例の設定は、アプリケーションとサービスに対してシングルサインオンを有効にします。直接 STS に要求して発行されたトークンまたはトークンを発行するログインモジュールを介して発行されたトークンを使用し、例の設定を使用すると、複数のアプリケーションやサービスに対して認証を行えます。Principal マッピングプロバイダーおよび RoleGroup マッピングプロバイダーを提供すると、認証されたサブジェクトが入力され、粒度の荒いロールベースの承認が有効になります。認証後、セキュリティートークンが使用可能になり、シングルサインオンで他のサービスを呼び出すために使用されることがあります。
