2 Oracle WSM 10gのセキュリティ環境との相互運用性

この章の内容は次のとおりです。

• Oracle WSM 10gのセキュリティ環境との相互運用性の概要

• Oracle WSM 10gのゲートウェイに関する注記

• サード・パーティ・ソフトウェアに関する注記

• メッセージ保護付き匿名認証(WS-Security 1.0)

• メッセージ保護付きユーザー名トークン(WS-Security 1.0)

• メッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.0)

• メッセージ保護付き相互認証(WS-Security 1.0)

• SSL経由のユーザー名トークン

• SSL経由のSAMLトークン(送信者保証)(WS-Security 1.0)

2.1 Oracle WSM 10gのセキュリティ環境との相互運用性の概要

Oracle WSM 10gでは、各ポリシー強制ポイントでポリシー・ステップを指定します。Oracle WSM 10gのポリシー強制ポイントには、ゲートウェイとエージェントがあります。

各ポリシー・ステップは、特定のセキュリティ操作(認証と認可、暗号化と復号化、セキュリティ署名、トークンまたは資格証明の検証、変換など)に対処するファイングレイン操作タスクです。各操作タスクは、Webサービスのリクエストかレスポンスのどちらかの側で実行されます。Oracle WSM 10gのポリシー・ステップの詳細は、http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/policy_steps.htm#BABIAHEGの『Oracle Web Services Manager管理者ガイド 10g(10.1.3.4)』で、Oracle Web Services Managerのポリシー・ステップに関する項を参照してください。

Oracle WSM 11gでは、ポリシーをWebサービス・エンドポイントにアタッチします。各ポリシーは、ドメインレベルで定義された、セキュリティ要件を定義する1つ以上のアサーションで構成されます。そのまま使用できる一連の事前定義済のポリシーおよびアサーションが用意されています。事前定義済ポリシーの詳細は、事前定義済ポリシーに関する項を参照してください。ポリシーを構成およびアタッチする方法の詳細は、ポリシーの構成およびWebサービスへのポリシーのアタッチに関する項を参照してください。

表2-1 は、セキュリティ要件(認証、メッセージ保護およびトランスポート)に基づいたOracle WSM 10gの最も一般的な相互運用性シナリオをまとめたものです。

詳細は次を参照してください。

• Oracle WSM 11gのポリシーの詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のポリシーの構成およびWebサービスへのポリシーのアタッチに関する項を参照してください。

• Oracle WSM 10gのポリシー・ステップの詳細は、http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/policy_steps.htm#BABIAHEGの『Oracle Web Services Manager管理者ガイド 10g(10.1.3.4)』で、Oracle Web Services Managerのポリシー・ステップに関する項を参照してください。

注意: 以降のシナリオでは、v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。 Oracle WSM 10gのゲートウェイおよびサード・パーティ・ソフトウェアの使用に関する重要な情報は、「Oracle WSM 10gのゲートウェイに関する注記」および「サード・パーティ・ソフトウェアに関する注記」を参照してください。

表2-1 Oracle WSM 10gのセキュリティ環境との相互運用性

相互運用性シナリオ	クライアント→Webサービス	Oracle WSM 11gのポリシー	Oracle WSM 10gのポリシー
「メッセージ保護付き匿名認証(WS-Security 1.0)」	Oracle WSM 10g→Oracle WSM 11g	oracle/wss10_message_protection_service_policy	リクエスト・パイプライン: メッセージの署名と暗号化 レスポンス・パイプライン: 署名の復号化と検証
「メッセージ保護付き匿名認証(WS-Security 1.0)」	Oracle WSM 11g→Oracle WSM 10g	oracle/wss10_message_protection_client_policy	リクエスト・パイプライン: 署名の復号化と検証 レスポンス・パイプライン: メッセージの署名と暗号化
「メッセージ保護付きユーザー名トークン(WS-Security 1.0)」	Oracle WSM 10g→Oracle WSM 11g	oracle/wss10_username_token_with_message_protection_service_policy	リクエスト・パイプライン: メッセージの署名と暗号化 レスポンス・パイプライン: 署名の復号化と検証
「メッセージ保護付きユーザー名トークン(WS-Security 1.0)」	Oracle WSM 11g→Oracle WSM 10g	oracle/wss10_username_token_with_message_protection_client_policy	リクエスト・パイプライン: 復号化および署名の検証 資格証明の抽出(WS-BASICとして構成された資格証明) ファイルの認証 レスポンス・パイプライン: メッセージの署名と暗号化
「メッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.0)」	Oracle WSM 10g→Oracle WSM 11g	oracle/wss10_saml_token_with_message_protection_service_policy	リクエスト・パイプライン: 資格証明の抽出(WS-BASICとして構成された資格証明) SAML - WSS 1.0送信者保証トークンの挿入 署名と暗号化 レスポンス・パイプライン: 署名の復号化と検証
「メッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.0)」	Oracle WSM 11g→Oracle WSM 10g	oracle/wss10_saml_token_with_message_protection_client_policy	リクエスト・パイプライン: XML復号化 SAML - WSS 1.0トークンの検証 レスポンス・パイプライン: メッセージの署名と暗号化
「メッセージ保護付き相互認証(WS-Security 1.0)」	Oracle WSM 10g→Oracle WSM 11g	oracle/wss10_x509_token_with_message_protection_service_policy	リクエスト・パイプライン: メッセージの署名と暗号化 レスポンス・パイプライン: 署名の復号化と検証
「メッセージ保護付き相互認証(WS-Security 1.0)」	Oracle WSM 11g→Oracle WSM 10g	oracle/wss10_x509_token_with_message_protection_client_policy	リクエスト・パイプライン: 復号化と検証 レスポンス・パイプライン: メッセージの署名と暗号化
「SSL経由のユーザー名トークン」	Oracle WSM 10g→Oracle WSM 11g	wss_username_token_over_ssl_service_policy	なし
「SSL経由のユーザー名トークン」	Oracle WSM 11g→Oracle WSM 10g	wss_username_token_over_ssl_client_policy	リクエスト・パイプライン: 資格証明の抽出 ファイルの認証
「SSL経由のSAMLトークン(送信者保証)(WS-Security 1.0)」	Oracle WSM 10g→Oracle WSM 11g	oracle/wss_saml_token_over_ssl_service_policy	リクエスト・パイプライン: 資格証明の抽出 SAML - WSS 1.0送信者保証トークンの挿入
「SSL経由のSAMLトークン(送信者保証)(WS-Security 1.0)」	Oracle WSM 11g→Oracle WSM 10g	oracle/wss_saml_token_over_ssl_client_policy	リクエスト・パイプライン: 資格証明の抽出 ファイルの認証

次の各項では、Oracle WSM 11gでのOracle WSM 10gのゲートウェイおよびサード・パーティ・ソフトウェアの使用に関する追加の相互運用性情報を示します。

2.2 Oracle WSM 10gのゲートウェイに関する注記

Oracle Fusion MiddlewareのOracle WSMのリアーキテクチャの検証に関する項で説明されているように、Oracle Fusion Middleware 11g リリース1(11.1.1)にはゲートウェイ・コンポーネントは含まれていません。Oracle WSM 10gのゲートウェイ・コンポーネントを、Oracle WSM 10gのポリシーとともにアプリケーションで引き続き使用できます。

2.3 サード・パーティ・ソフトウェアに関する注記

Oracle Fusion MiddlewareのOracle WSMのリアーキテクチャの検証に関する項で説明されているように、Oracle WSM 10gでは、サード・パーティ・アプリケーションのサーバー(IBM WebSphereやRed Hat JBossなど)に対するポリシー強制をサポートしています。Oracle Fusion Middleware 11g リリース1(11.1.1)でサポートされているのはOracle WebLogic Serverのみです。Oracle WSM 10gポリシーを使用すれば、引き続きサード・パーティ・アプリケーションのサーバーを使用できます。

2.4 メッセージ保護付き匿名認証(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠するメッセージ保護付き匿名認証を実装する方法について説明します。

• 「Oracle WSM 10gクライアントおよびOracle WSM 11g Webサービスの構成」

• 「Oracle WSM 11gクライアントおよびOracle WSM 10g Webサービスの構成」

2.4.1 Oracle WSM 10gクライアントおよびOracle WSM 11g Webサービスの構成

Oracle WSM 10gクライアントおよびOracle WSM 11g Webサービスを構成するには、次の手順を実行します。

2.4.1.1 Oracle WSM 11g Webサービスの構成

1. oracle/wss10_message_protection_service_policyポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

2. 次のようにして、ポリシー設定を編集します。

   1. タイムスタンプを含める構成設定を無効化します。

   2. それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。

   詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』の既存のポリシーからのWebサービス・ポリシーの作成に関する項を参照してください。

3. ポリシーをWebサービスにアタッチします。

   Fusion Middleware Controlを使用してデプロイ時にポリシーをアタッチする方法の詳細は、Webサービスへのポリシーのアタッチに関する項を参照してください。JDeveloperを使用して設計時にポリシーをアタッチする方法の詳細は、JDeveloperのオンライン・ヘルプでWebサービスへのポリシーのアタッチに関する項を参照してください。

2.4.1.2 Oracle WSM 10gクライアントの構成

1. (前述の)WebサービスをOracle WSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOracle WSMの管理者ガイド10gで、Oracle WSMゲートウェイへのWebサービスの登録に関する項を参照してください。

2. 「メッセージの署名と暗号化」ポリシー・ステップをリクエスト・パイプラインにアタッチします。

3. リクエスト・パイプライン内の「メッセージの署名と暗号化」ポリシー・ステップを次のように構成します。

   1. 「暗号化アルゴリズム」を「AES-128」に設定します。

   2. 「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。

   3. メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

4. 「署名の復号化と検証」ポリシー・ステップをレスポンス・パイプラインにアタッチします。

5. レスポンス・パイプライン内の「署名の復号化と検証」ポリシー・ステップを次のように構成します。

   1. 復号化および署名検証のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

6. Oracle WSMテスト・ページにナビゲートし、Webサービスの仮想化されたURLを入力します。

7. Webサービスを起動します。

2.4.2 Oracle WSM 11gクライアントおよびOracle WSM 10g Webサービスの構成

Oracle WSM 11gクライアントおよびOracle WSM 10g Webサービスを構成するには、次の手順を実行します。

2.4.2.1 Oracle WSM 10g Webサービスの構成

1. WebサービスをOracle WSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOracle WSMの管理者ガイド10gで、Oracle WSMゲートウェイへのWebサービスの登録に関する項を参照してください。

2. 「署名の復号化と検証」ポリシー・ステップをリクエスト・パイプラインにアタッチします。

3. リクエスト・パイプライン内の「署名の復号化と検証」ポリシー・ステップを次のように構成します。

   1. 復号化および署名検証のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

4. 「メッセージの署名と暗号化」ポリシー・ステップをレスポンス・パイプラインにアタッチします。

5. レスポンス・パイプライン内の「メッセージの署名と暗号化」ポリシーを次のように構成します。

   1. 「暗号化アルゴリズム」を「AES-128」に設定します。

   2. 「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。

   3. メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

2.4.2.2 Oracle WSM 11gクライアントの構成

1. Oracle WSMゲートウェイに登録されているWebサービスの仮想化されたURLを使用して、クライアント・プロキシを作成します。

2. oracle/wss10_message_protection_client_policyポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

   次のようにして、ポリシー設定を編集します。

   1. タイムスタンプを含める構成設定を無効化します。

   2. それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。

   詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』の既存のポリシーからのWebサービス・ポリシーの作成に関する項を参照してください。

3. ポリシーをWebサービス・クライアントにアタッチします。

   Fusion Middleware Controlを使用してデプロイ時にポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービス・クライアントへのポリシーのアタッチに関する項を参照してください。JDeveloperを使用して設計時にポリシーをアタッチする方法の詳細は、JDeveloperのオンライン・ヘルプでWebサービス・クライアントへのOracle WSMポリシーのアタッチに関する項を参照してください。

4. 『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のoracle/wss10_message_protection_client_policyに関する項の説明に従って、このポリシーを構成します。

5. Webサービスを起動します。

2.5 メッセージ保護付きユーザー名トークン(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠するメッセージ保護付きユーザー名トークンを実装する方法について説明します。

• 「Oracle WSM 10gクライアントおよびOracle WSM 11g Webサービスの構成」

• 「Oracle WSM 11gクライアントおよびOracle WSM 10g Webサービスの構成」

2.5.1 Oracle WSM 10gクライアントおよびOracle WSM 11g Webサービスの構成

Oracle WSM 10gクライアントおよびOracle WSM 11g Webサービスを構成するには、次の手順を実行します。

2.5.1.1 Oracle WSM 11g Webサービスの構成

1. oracle/wss10_username_token_with_message_protection_service_policyポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

   次のようにして、ポリシー設定を編集します。

   1. タイムスタンプを含める構成設定を無効化します。

   2. それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。

   詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』の既存のポリシーからのWebサービス・ポリシーの作成に関する項を参照してください。

2. ポリシーをWebサービスにアタッチします。

   Fusion Middleware Controlを使用してデプロイ時にポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービスへのポリシーのアタッチに関する項を参照してください。JDeveloperを使用して設計時にポリシーをアタッチする方法の詳細は、JDeveloperのオンライン・ヘルプでWebサービスへのポリシーのアタッチに関する項を参照してください。

2.5.1.2 Oracle WSM 10gクライアントの構成

1. (前述の)WebサービスをOracle WSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOracle WSMの管理者ガイド10gで、Oracle WSMゲートウェイへのWebサービスの登録に関する項を参照してください。

2. 「メッセージの署名と暗号化」ポリシー・ステップをリクエスト・パイプラインにアタッチします。

3. リクエスト・パイプライン内の「メッセージの署名と暗号化」ポリシー・ステップを次のように構成します。

   1. 「暗号化アルゴリズム」を「AES-128」に設定します。

   2. 「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。

   3. 「暗号化されたコンテンツ」を「エンベロープ」に設定します。

   4. 「署名されたコンテンツ」を「エンベロープ」に設定します。

   5. メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

4. 「署名の復号化と検証」ポリシー・ステップをレスポンス・パイプラインにアタッチします。

5. レスポンス・パイプライン内の「署名の復号化と検証」ポリシー・ステップを次のように構成します。

   1. 復号化および署名検証のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

6. Oracle WSMテスト・ページにナビゲートし、Webサービスの仮想化されたURLを入力します。

7. WS-Securityに対応するヘッダーを含めるチェック・ボックスを選択し、有効な資格証明を指定します。

8. Webサービスを起動します。

2.5.2 Oracle WSM 11gクライアントおよびOracle WSM 10g Webサービスの構成

Oracle WSM 11gクライアントおよびOracle WSM 10g Webサービスを構成するには、次の手順を実行します。

2.5.2.1 Oracle WSM 10g Webサービスの構成

1. WebサービスをOracle WSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOracle WSMの管理者ガイド10gで、Oracle WSMゲートウェイへのWebサービスの登録に関する項を参照してください。

2. 次のポリシー・ステップをリクエスト・パイプラインにアタッチします。

   - 署名の復号化と検証

   - 資格証明の抽出(WS-BASICとして構成された資格証明)

   - ファイルの認証

   
   

   注意: 「ファイルの認証」は、「LDAPの認証」、「Oracle Access Managerの認証」、「Active Directoryの認証」または「SiteMinderの認証」に置き換えることができます。

   
   

3. リクエスト・パイプライン内の「署名の復号化と検証」ポリシー・ステップを次のように構成します。

   1. 資格証明を抽出するためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

4. リクエスト・パイプライン内の「資格証明の抽出」ポリシー・ステップを次のように構成します。

   1. 「資格証明の場所」を「WS-BASIC」に設定します。

5. リクエスト・パイプライン内の「ファイルの認証」ポリシー・ステップを、有効な資格証明を使用するように構成します。

6. 「メッセージの署名と暗号化」ポリシー・ステップをレスポンス・パイプラインにアタッチします。

7. レスポンス・パイプライン内の「メッセージの署名と暗号化」ポリシーを次のように構成します。

   1. 「暗号化アルゴリズム」を「AES-128」に設定します。

   2. 「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。

   3. メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

2.5.2.2 Oracle WSM 11gクライアントの構成

1. Oracle WSMゲートウェイに登録されているWebサービスの仮想化されたURLを使用して、クライアント・プロキシを作成します。

2. oracle/wss10_username_token_with_message_protection_client_policyポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

   次のようにして、ポリシー設定を編集します。

   1. タイムスタンプを含める構成設定を無効化します。

   2. それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。

   詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』の既存のポリシーからのWebサービス・ポリシーの作成に関する項を参照してください。

3. ポリシーをWebサービス・クライアントにアタッチします。

   Fusion Middleware Controlを使用してデプロイ時にポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービス・クライアントへのポリシーのアタッチに関する項を参照してください。JDeveloperを使用して設計時にポリシーをアタッチする方法の詳細は、JDeveloperのオンライン・ヘルプでWebサービス・クライアントへのOracle WSMポリシーのアタッチに関する項を参照してください。

4. 『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のoracle/wss10_username_token_with_message_protection_client_policyに関する項の説明に従って、このポリシーを構成します。

5. Webサービスを起動します。

2.6 メッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠するメッセージ保護付きSAMLトークン(送信者保証)を実装する方法について説明します。

• 「Oracle WSM 10gクライアントおよびOracle WSM 11g Webサービスの構成」

• 「Oracle WSM 11gクライアントおよびOracle WSM 10g Webサービスの構成」

2.6.1 Oracle WSM 10gクライアントおよびOracle WSM 11g Webサービスの構成

Oracle WSM 10gクライアントおよびOracle WSM 11g Webサービスを構成するには、次の手順を実行します。

2.6.1.1 Oracle WSM 11g Webサービスの構成

1. oracle/wss10_saml_token_with_message_protection_service_policyポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

   次のようにして、ポリシー設定を編集します。

   1. タイムスタンプを含める構成設定を無効化します。

   2. それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。

   詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』の既存のポリシーからのWebサービス・ポリシーの作成に関する項を参照してください。

2. ポリシーをWebサービスにアタッチします。

   Fusion Middleware Controlを使用してデプロイ時にポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービスへのポリシーのアタッチに関する項を参照してください。JDeveloperを使用して設計時にポリシーをアタッチする方法の詳細は、JDeveloperのオンライン・ヘルプでWebサービスへのポリシーのアタッチに関する項を参照してください。

2.6.1.2 Oracle WSM 10gクライアントの構成

1. (前述の)WebサービスをOracle WSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOracle WSMの管理者ガイド10gで、Oracle WSMゲートウェイへのWebサービスの登録に関する項を参照してください。

2. 次のポリシー・ステップをリクエスト・パイプラインにアタッチします。

   - 資格証明の抽出(WS-BASICとして構成された資格証明)

   - SAML - WSS 1.0送信者保証トークンの挿入

   - メッセージの署名と暗号化

3. リクエスト・パイプライン内の「資格証明の抽出」ポリシー・ステップを次のように構成します。

   1. 「資格証明の場所」を「WS-BASIC」に設定します。

4. リクエスト・パイプライン内の「SAML - WSS 1.0送信者保証トークンの挿入」ポリシー・ステップを次のように構成します。

   1. 「サブジェクト名修飾子」をwww.oracle.comに設定します。

   2. 「アサーション発行者」をwww.oracle.comとして設定します。

   3. 「サブジェクト・フォーマット」を「未指定」として設定します。

   4. その他の署名プロパティを必要に応じて設定します。

5. リクエスト・パイプライン内の「メッセージの署名と暗号化」ポリシー・ステップを次のように構成します。

   1. 「暗号化アルゴリズム」を「AES-128」に設定します。

   2. 「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。

   3. 復号化および署名検証のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

6. 「署名の復号化と検証」ポリシー・ステップをレスポンス・パイプラインにアタッチします。

7. レスポンス・パイプライン内の「署名の復号化と検証」ポリシー・ステップを次のように構成します。

   1. 復号化および署名検証のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

8. Oracle WSMテスト・ページにナビゲートし、Webサービスの仮想化されたURLを入力します。

9. WS-Securityに対応するヘッダーを含めるチェック・ボックスを選択し、有効な資格証明を指定します。

10. Webサービスを起動します。

2.6.2 Oracle WSM 11gクライアントおよびOracle WSM 10g Webサービスの構成

Oracle WSM 11gクライアントおよびOracle WSM 10g Webサービスを構成するには、次の手順を実行します。

2.6.2.1 Oracle WSM 10g Webサービスの構成

1. WebサービスをOracle WSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOracle WSMの管理者ガイド10gで、Oracle WSMゲートウェイへのWebサービスの登録に関する項を参照してください。

2. 次のポリシー・ステップをリクエスト・パイプラインにアタッチします。

   - XML復号化

   - SAML - WSS 1.0トークンの検証

3. リクエスト・パイプライン内の「XML復号化」ポリシー・ステップを次のように構成します。

   1. XML復号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

4. リクエスト・パイプライン内の「SAML - WSS 1.0トークンの検証」ポリシー・ステップを次のように構成します。

   1. 「信頼できる発行者名」をwww.oracle.comとして設定します。

5. 「メッセージの署名と暗号化」ポリシー・ステップをレスポンス・パイプラインにアタッチします。

6. レスポンス・パイプライン内の「メッセージの署名と暗号化」ポリシー・ステップを次のように構成します。

   1. 「暗号化アルゴリズム」を「AES-128」に設定します。

   2. 「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。

   3. メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

2.6.2.2 Oracle WSM 11gクライアントの構成

1. Oracle WSMゲートウェイに登録されているWebサービスの仮想化されたURLを使用して、クライアント・プロキシを作成します。

2. oracle/wss10_saml_token_with_message_protection_client_policyポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

   次のようにして、ポリシー設定を編集します。

   1. タイムスタンプを含める構成設定を無効化します。

   2. それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。

   詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』の既存のポリシーからのWebサービス・ポリシーの作成に関する項を参照してください。

3. ポリシーをWebサービス・クライアントにアタッチします。

   Fusion Middleware Controlを使用してデプロイ時にポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービス・クライアントへのポリシーのアタッチに関する項を参照してください。JDeveloperを使用して設計時にポリシーをアタッチする方法の詳細は、JDeveloperのオンライン・ヘルプでWebサービス・クライアントへのOracle WSMポリシーのアタッチに関する項を参照してください。

4. 『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のoracle/wss10_saml_token_with_message_protection_client_policyに関する項の説明に従って、このポリシーを構成します。

5. Webサービスを起動します。

2.7 メッセージ保護付き相互認証(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠するメッセージ保護付き相互認証を実装する方法について説明します。

• 「Oracle WSM 10gクライアントおよびOracle WSM 11g Webサービスの構成」

• 「Oracle WSM 11gクライアントおよびOracle WSM 10g Webサービスの構成」

2.7.1 Oracle WSM 10gクライアントおよびOracle WSM 11g Webサービスの構成

Oracle WSM 10gクライアントおよびOracle WSM 11g Webサービスを構成するには、次の手順を実行します。

2.7.1.1 Oracle WSM 11g Webサービスの構成

1. oracle/wss10_x509_token_with_message_protection_service_policyポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

   次のようにして、ポリシー設定を編集します。

   1. タイムスタンプを含める構成設定を無効化します。

   2. それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。

   詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』の既存のポリシーからのWebサービス・ポリシーの作成に関する項を参照してください。

2. ポリシーをWebサービスにアタッチします。

   Fusion Middleware Controlを使用してデプロイ時にポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービスへのポリシーのアタッチに関する項を参照してください。JDeveloperを使用して設計時にポリシーをアタッチする方法の詳細は、JDeveloperのオンライン・ヘルプでWebサービスへのポリシーのアタッチに関する項を参照してください。

2.7.1.2 Oracle WSM 10gクライアントの構成

1. (前述の)WebサービスをOracle WSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOracle WSMの管理者ガイド10gで、Oracle WSMゲートウェイへのWebサービスの登録に関する項を参照してください。

2. 「メッセージの署名と暗号化」ポリシー・ステップをリクエスト・パイプラインにアタッチします。

3. リクエスト・パイプライン内の「メッセージの署名と暗号化」ポリシー・ステップを次のように構成します。

   1. 「暗号化アルゴリズム」を「AES-128」に設定します。

   2. 「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。

   3. メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

4. 「署名の復号化と検証」ポリシー・ステップをレスポンス・パイプラインにアタッチします。

5. レスポンス・パイプライン内の「署名の復号化と検証」ポリシー・ステップを次のように構成します。

   1. 復号化および署名検証のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

6. ORACLE_HOME/j2ee/oc4j_instance/applications/gateway/gateway/WEB-INFにあるgateway-config-installer.propertiesファイル内の次のプロパティを更新します。

   pep.securitysteps.signBinarySecurityToken=true

7. Oracle WSM 10gゲートウェイを再起動します。

8. Oracle WSMテスト・ページにナビゲートし、Webサービスの仮想化されたURLを入力します。

9. Webサービスを起動します。

2.7.2 Oracle WSM 11gクライアントおよびOracle WSM 10g Webサービスの構成

Oracle WSM 11gクライアントおよびOracle WSM 10g Webサービスを構成するには、次の手順を実行します。

2.7.2.1 Oracle WSM 10g Webサービスの構成

1. WebサービスをOracle WSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOracle WSMの管理者ガイド10gで、Oracle WSMゲートウェイへのWebサービスの登録に関する項を参照してください。

2. 復号化と検証ポリシー・ステップをリクエスト・パイプラインにアタッチします。

3. リクエスト・パイプライン内の「署名の復号化と検証」ポリシー・ステップを次のように構成します。

   1. 復号化および署名検証のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

4. 「メッセージの署名と暗号化」ポリシー・ステップをレスポンス・パイプラインにアタッチします。

5. レスポンス・パイプライン内の「メッセージの署名と暗号化」ポリシー・ステップを次のように構成します。

   1. 「暗号化アルゴリズム」を「AES-128」に設定します。

   2. 「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。

   3. メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

2.7.2.2 Oracle WSM 11gクライアントの構成

1. Oracle WSMゲートウェイに登録されているWebサービスの仮想化されたURLを使用して、クライアント・プロキシを作成します。

2. oracle/wss10_x509_token_with_message_protection_client_policyポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

   次のようにして、ポリシー設定を編集します。

   1. タイムスタンプを含める構成設定を無効化します。

   2. それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。

   詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』の既存のポリシーからのWebサービス・ポリシーの作成に関する項を参照してください。

3. ポリシーをWebサービス・クライアントにアタッチします。

   ポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービス・クライアントへのポリシーのアタッチに関する項を参照してください。

4. 『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のoracle/wss10_x509_token_with_message_protection_client_policyに関する項の説明に従って、このポリシーを構成します。

5. Webサービスを起動します。

2.8 SSL経由のユーザー名トークン

この項では、次のシナリオにおいてSSL経由のユーザー名トークンを実装する方法について説明します。

• 「Oracle WSM 10gクライアントおよびOracle WSM 11g Webサービスの構成」

• 「Oracle WSM 11gクライアントおよびOracle WSM 10g Webサービスの構成」

詳細は次を参照してください。

• WebLogic ServerでのSSLの構成の詳細は、WebLogic ServerへのSSLの構成(一方向)およびWebLogic ServerへのSSLの構成(双方向)に関する項を参照してください。

• OC4JでのSSLの構成の詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください。

2.8.1 Oracle WSM 10gクライアントおよびOracle WSM 11g Webサービスの構成

Oracle WSM 10gクライアントおよびOracle WSM 11g Webサービスを構成するには、次の手順を実行します。

2.8.1.1 Oracle WSM 11g Webサービスの構成

1. サーバーをSSL用に構成します。

   詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebLogic ServerへのSSLの構成(一方向)およびWebLogic ServerへのSSLの構成(双方向)に関する項を参照してください。

2. wss_username_token_over_ssl_service_policyポリシーをアタッチします。

   Fusion Middleware Controlを使用してデプロイ時にポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービスへのポリシーのアタッチに関する項を参照してください。JDeveloperを使用して設計時にポリシーをアタッチする方法の詳細は、JDeveloperのオンライン・ヘルプでWebサービスへのポリシーのアタッチに関する項を参照してください。

2.8.1.2 Oracle WSM 10gクライアントの構成

1. サーバーをSSL用に構成します。

   詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください。

2. (前述の)WebサービスをOracle WSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOracle WSMの管理者ガイド10gで、Oracle WSMゲートウェイへのWebサービスの登録に関する項を参照してください。

3. Oracle WSMテスト・ページにナビゲートし、Webサービスの仮想化されたURLを入力します。

4. WS-Securityに対応するヘッダーを含めるチェック・ボックスを選択し、有効な資格証明を指定します。

5. Webサービスを起動します。

2.8.2 Oracle WSM 11gクライアントおよびOracle WSM 10g Webサービスの構成

Oracle WSM 11gクライアントおよびOracle WSM 10g Webサービスを構成するには、次の手順を実行します。

2.8.2.1 Oracle WSM 10g Webサービスの構成

1. サーバーをSSL用に構成します。

   詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください。

2. WebサービスをOracle WSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOracle WSMの管理者ガイド10gで、Oracle WSMゲートウェイへのWebサービスの登録に関する項を参照してください。

3. 次のポリシー・ステップをリクエスト・パイプラインにアタッチします。

   - 資格証明の抽出

   - ファイルの認証

   
   

   注意: 「ファイルの認証」は、「LDAPの認証」、「Oracle Access Managerの認証」、「Active Directoryの認証」または「SiteMinderの認証」に置き換えることができます。

   
   

4. リクエスト・パイプライン内の「資格証明の抽出」ポリシー・ステップを次のように構成します。

   1. 「資格証明の場所」を「WS-BASIC」として設定します。

5. リクエスト・パイプライン内のファイルの認証ポリシー・ステップを、適切な資格証明とともに構成します。

2.8.2.2 Oracle WSM 11gクライアントの構成

1. Oracle WSMゲートウェイに登録されているWebサービスの仮想化されたURLを使用して、クライアント・プロキシを作成します。

   クライアントを生成する際は、URL内にHTTPがHTTPポート番号とともに指定されていることを確認してください。

2. oracle/wss_username_token_over_ssl_client_policyポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

   次のようにして、ポリシー設定を編集します。

   1. タイムスタンプを含める構成設定を無効化します。

   2. それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。

   詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』の既存のポリシーからのWebサービス・ポリシーの作成に関する項を参照してください。

3. ポリシーをWebサービス・クライアントにアタッチします。

   Fusion Middleware Controlを使用してデプロイ時にポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービス・クライアントへのポリシーのアタッチに関する項を参照してください。JDeveloperを使用して設計時にポリシーをアタッチする方法の詳細は、JDeveloperのオンライン・ヘルプでWebサービス・クライアントへのOracle WSMポリシーのアタッチに関する項を参照してください。

4. 『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のoracle/wss_username_token_over_ssl_client_policyに関する項の説明に従って、このポリシーを構成します。

5. Webサービスを起動します。

2.9 SSL経由のSAMLトークン(送信者保証)(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠するSSL経由のSAMLトークン(送信者保証)を実装する方法について説明します。

• 「Oracle WSM 10gクライアントおよびOracle WSM 11g Webサービスの構成」

• 「Oracle WSM 11gクライアントおよびOracle WSM 10g Webサービスの構成」

詳細は次を参照してください。

• WebLogic ServerでのSSLの構成の詳細は、WebLogic ServerへのSSLの構成(一方向)およびWebLogic ServerへのSSLの構成(双方向)に関する項を参照してください。

• OC4JでのSSLの構成の詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください。

2.9.1 Oracle WSM 10gクライアントおよびOracle WSM 11g Webサービスの構成

Oracle WSM 10gクライアントおよびOracle WSM 11g Webサービスを構成するには、次の手順を実行します。

2.9.1.1 Oracle WSM 11g Webサービスの構成

1. サーバーを双方向SSL用に構成します。

   詳細は、WebLogic ServerへのSSLの構成(双方向)に関する項を参照してください。

2. oracle/wss_saml_token_over_ssl_service_policyポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

   次のようにして、ポリシー設定を編集します。

   1. タイムスタンプを含める構成設定を無効化します。

   詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』の既存のポリシーからのWebサービス・ポリシーの作成に関する項を参照してください。

3. ポリシーをアタッチします。

   Fusion Middleware Controlを使用してデプロイ時にポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービスへのポリシーのアタッチに関する項を参照してください。JDeveloperを使用して設計時にポリシーをアタッチする方法の詳細は、JDeveloperのオンライン・ヘルプでWebサービスへのポリシーのアタッチに関する項を参照してください。

2.9.1.2 Oracle WSM 10gクライアントの構成

1. サーバーを双方向SSL用に構成します。

   詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください。

2. (前述の)WebサービスをOracle WSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOracle WSMの管理者ガイド10gで、Oracle WSMゲートウェイへのWebサービスの登録に関する項を参照してください。

3. 次のポリシー・ステップをリクエスト・パイプラインにアタッチします。

   - 資格証明の抽出

   - SAML - WSS 1.0送信者保証トークンの挿入

4. リクエスト・パイプライン内の追加の資格証明ポリシー・ステップを次のように構成します。

   1. 「資格証明の場所」を「WS-BASIC」として設定します。

5. リクエスト・パイプライン内の「SAML - WSS 1.0送信者保証トークンの挿入」ポリシー・ステップを次のように構成します。

   1. 「サブジェクト名修飾子」をwww.oracle.comとして構成します。

   2. 「アサーション発行者」をwww.oracle.comとして構成します。

   3. 「サブジェクト・フォーマット」を「未指定」として構成します。

   4. 「アサーションに署名」を「false」として構成します。

6. Oracle WSMテスト・ページにナビゲートし、Webサービスの仮想化されたURLを入力します。

7. WS-Securityに対応するヘッダーを含めるチェック・ボックスを選択し、有効な資格証明を指定します。

8. Webサービスを起動します。

2.9.2 Oracle WSM 11gクライアントおよびOracle WSM 10g Webサービスの構成

Oracle WSM 11gクライアントおよびOracle WSM 10g Webサービスを構成するには、次の手順を実行します。

2.9.2.1 Oracle WSM 10g Webサービスの構成

1. サーバーを双方向SSL用に構成します。

   詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください。

2. WebサービスをOracle WSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOracle WSMの管理者ガイド10gで、Oracle WSMゲートウェイへのWebサービスの登録に関する項を参照してください。

3. 「SAML - WSS 1.0トークンの検証」ポリシー・ステップをアタッチします。

4. リクエスト・パイプライン内の「SAML - WSS 1.0トークンの検証」ポリシー・ステップを次のように構成します。

   1. 「署名の検証プロパティ」で、「署名付きアサーションのみを許可」を「false」に設定します。

   2. 「信頼できる発行者名」をwww.oracle.comに設定します。

2.9.2.2 Oracle WSM 11gクライアントの構成

1. サーバーを双方向SSL用に構成します。

   詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebLogic ServerへのSSLの構成(双方向)に関する項を参照してください。

2. Oracle WSMゲートウェイに登録されているWebサービスの仮想化されたURLを使用して、クライアント・プロキシを作成します。

3. oracle/wss_saml_token_over_ssl_client_policyポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

   次のようにして、ポリシー設定を編集します。

   1. タイムスタンプを含める構成設定を無効化します。

   2. それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。

   詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』の既存のポリシーからのWebサービス・ポリシーの作成に関する項を参照してください。

4. ポリシーをWebサービス・クライアントにアタッチします。

   Fusion Middleware Controlを使用してデプロイ時にポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービス・クライアントへのポリシーのアタッチに関する項を参照してください。JDeveloperを使用して設計時にポリシーをアタッチする方法の詳細は、JDeveloperのオンライン・ヘルプでWebサービス・クライアントへのOracle WSMポリシーのアタッチに関する項を参照してください。

5. 『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のoracle/wss_saml_token_over_ssl_client_policyに関する項の説明に従って、このポリシーを構成します。

6. Webサービスを起動します。