35 ポートレット・プロデューサのセキュリティの構成

この章では、WSRPおよびJPDKポートレット・プロデューサのセキュリティを処理するようWebCenter Portalアプリケーションを構成する方法を説明します。

この章の内容は次のとおりです。

• 第35.1項「WSRPプロデューサの保護」

• 第35.2項「PDK-Javaプロデューサの保護」

対象読者

この章の内容は、Fusion Middleware管理者(Oracle WebLogic Server管理コンソールを使用してAdminロールを付与されたユーザー)を対象としています。MonitorまたはOperatorロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。第1.8項「管理操作、ロールおよびツールの理解」も参照してください。

35.1 WSRPプロデューサの保護

次の各項で、WebCenter PortalアプリケーションからJSR-168標準ベースのWSRPポートレットにセキュアにアクセスする方法を説明します。

• 第35.1.1項「プロデューサのデプロイ」

• 第35.1.2項「プロデューサ・エンドポイントへのポリシーの添付」

• 第35.1.3項「キーストアの設定」

WSRPプロデューサの保護の概要は、『Oracle Fusion Middleware Oracle WebCenter Portal開発者ガイド』のWS-Securityを使用したWSRPプロデューサを介するアイデンティティ伝播の保護に関する項を参照してください。

35.1.1 プロデューサのデプロイ

WS-Security用にプロデューサを構成する前に、第24.8項「ポートレット・プロデューサ・アプリケーションのデプロイ」で説明されている手順を実行して、標準準拠のポートレット・プロデューサをOracle WebLogic管理対象サーバーにデプロイする必要があります。

35.1.2 プロデューサ・エンドポイントへのポリシーの添付

この項では、セキュリティ・ポリシーをWSRPプロデューサ・エンドポイントに添付する方法について説明します。WSRPプロデューサでサポートされるポリシーは次のとおりです。

• ユーザー名トークン(パスワードあり)

  wss10_username_token_with_message_protection_service_policy

  このポリシーでは、WS-Security 1.0標準に従って、メッセージレベルの保護(メッセージの整合性および機密保護)およびインバウンドSOAPリクエストの認証が実施されます。このポリシーでは、非対称型キー・テクノロジであるWS-SecurityのBasic128スイート(具体的には、メッセージの機密保護に使用するRSAキー・メカニズム、メッセージの整合性に使用するSHA-1ハッシング・アルゴリズム、およびAES-128ビット暗号化)が使用されます。キーストアの構成は、セキュリティ構成を通じて行われます。認証は、WS-Security UsernameToken SOAPヘッダーで資格証明を使用することによって実施されます。ユーザーのサブジェクトは、現在構成されているアイデンティティ・ストアに対して確立されます。

• ユーザー名トークン(パスワードなし)

  wss10_username_id_propagation_with_msg_protection_service_policy

  このポリシーでは、WS-Security 1.0標準で示されたメカニズムを使用して、メッセージレベルの保護(メッセージの整合性および機密保護)およびインバウンドSOAPリクエストのアイデンティティ伝搬を実施します。メッセージの保護は、非対称型キー・テクノロジであるWS-SecurityのBasic128スイート(具体的には、機密保護に使用するRSAキー・メカニズム、整合性に使用するSHA-1ハッシング・アルゴリズム、およびAES-128ビット暗号化)を使用して提供されます。アイデンティティは、UsernameToken WS-Security SOAPヘッダーに指定されたユーザー名を使用して設定されます。サブジェクトは、現在構成されているアイデンティティ・ストアに対して確立されます。

• SAMLトークン

  次の4つの「SAMLトークン」ポリシーがあります。

  • WSS 1.0 SAMLトークン

    wss10_saml_token_service_policy

    このポリシーでは、WS-Security SOAPヘッダーのSAMLトークンに指定された資格証明を使用することによってユーザーが認証されます。SAMLトークンに指定された資格証明は、SAMLログイン・モジュールに対して認証されます。このポリシーは、SOAPベースのあらゆるエンドポイントに適用できます。

  • メッセージ整合性付きWSS 1.0 SAMLトークン

    wss10_saml_token_with_message_integrity_service_policy

    このポリシーでは、WS-Security 1.0標準に従って、メッセージレベルの整合性保護およびインバウンドSOAPリクエストのSAMLベースの認証が実施されます。このポリシーでは、非対称型キー・テクノロジであるWS-SecurityのBasic128スイート、具体的には、メッセージの整合性に対してSHA-1ハッシング・アルゴリズムが使用されます。

  • メッセージ保護付きWSS 1.0 SAMLトークン

    wss10_saml_token_with_message_protection_service_policy

    このポリシーでは、WS-Security 1.0標準に従って、メッセージレベルの保護およびインバウンドSOAPリクエストのSAMLベースの認証が実施されます。このポリシーでは、非対称型キー・テクノロジであるWS-SecurityのBasic128スイート、具体的には、メッセージの機密保護に対してRSAキー・メカニズム、メッセージの整合性に対してSHA-1ハッシング・アルゴリズム、およびAES-128ビット暗号化が使用されます。

  • メッセージ保護付きWSS 1.1 SAMLトークン

    wss11_saml_token_with_message_protection_service_policy

    このポリシーでは、WS-Security 1.1標準に従って、メッセージレベルの保護(つまり、メッセージの整合性および機密保護)およびインバウンドSOAPリクエストのSAMLベースの認証が実施されます。メッセージは、非対称型キー・テクノロジであるWS-SecurityのBasic128スイート、具体的には、メッセージの機密保護に対してRSAキー・メカニズム、メッセージの整合性に対してSHA-1ハッシング・アルゴリズム、およびAES-128ビット暗号化を使用して保護されます。キーストアの構成は、セキュリティ構成を通じて行われます。それにより、WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンが抽出され、それらの資格証明を使用して、構成済のアイデンティティ・ストアに照らしてユーザーが検証されます。このポリシーは、SOAPベースのあらゆるエンドポイントに添付できます。

  キーストアの構成は、セキュリティ構成を通じて行われます。それにより、WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンが抽出され、それらの資格証明を使用して、構成済のアイデンティティ・ストアに照らしてユーザーが検証されます。

ポリシーをプロデューサ・エンドポイントに添付する手順は次のとおりです。

1. Fusion Middleware Controlを開き、ターゲット・ドメインにログインします。

   Fusion Middleware Controlへのログインの詳細は、第6項「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。

2. ナビゲーション・ペインで、「アプリケーションのデプロイ」ノードを開き、ポリシーの添付先のプロデューサをクリックします。

3. 「アプリケーションのデプロイ」メニューから、「Webサービス」を選択します。

   このプロデューサの「Webサービスのサマリー」ページが表示されます(図35-1を参照)。

   図35-1 「Webサービスのサマリー」ページ

   
   「図35-1 「Webサービスのサマリー」ページ」の説明
   
   

4. 「Webサービス・エンドポイント」タブを開き、ポリシーの添付先のエンドポイントをクリックします。

   
   

   注意: マークアップ・サービス・ポートのみを保護する必要があります(WSRP_V2_Markup_ServiceおよびWSRP_V1_Markup_Service)。

   
   

   このプロデューサの「Webサービス・エンドポイント」ページが表示されます(図35-2を参照)。

   図35-2 「Webサービス・エンドポイント」ページ

   
   「図35-2 「Webサービス・エンドポイント」ページ」の説明
   
   

5. 「ポリシー」タブを開いて、プロデューサに現在添付されているポリシーを表示します(図35-3を参照)。

   図35-3 「Webサービス・エンドポイント」の「ポリシー」ページ

   
   「図35-3 「Webサービス・エンドポイント」の「ポリシー」ページ」の説明
   
   

6. 「アタッチ/デタッチ」をクリックして、ポリシーを追加または削除します。

   使用可能なポリシーとその説明が示された「ポリシーの添付/解除」ページが表示されます(図35-4を参照)。

   図35-4 「ポリシーの添付/解除」ページ

   
   「図35-4 「ポリシーの添付/解除」ページ」の説明
   
   

7. 「使用可能なポリシー」で、検索するポリシー・カテゴリとしてCategoryおよびSecurityを選択し、「検索」アイコンをクリックすると、セキュリティ・ポリシーが表示されます。

8. 添付するポリシーを選択し、「添付」をクリックします。複数のポリシーを選択するには、[Ctrl]キーを使用します。

   「添付されたポリシー」の下のリストにポリシーが表示されます(図35-5を参照)。

   図35-5 添付されたポリシーが表示された「ポリシーの添付/解除」ページ

   
   「図35-5 添付されたポリシーが表示された「ポリシーの添付/解除」ページ」の説明
   
   

9. プロデューサ・エンドポイントに添付するポリシーの追加が終了したら、「OK」をクリックします。

35.1.3 キーストアの設定

WSRPプロデューサにキーストアを作成および構成する手順は、使用しているWebCenter Portal環境のトポロジによって異なります。これらの手順については、次の各項で説明しています。

• 第34.1項「単純トポロジの場合のWS-Securityの構成」

• 第34.2項「標準トポロジの場合のWS-Securityの構成」

• 第34.3項「複合トポロジの場合のWS-Securityの構成」

キーストアを設定するための詳細な手順およびWSRPプロデューサを構成する際のWS-Securityのその他の側面については、これらの項を参照してください。

35.2 PDK-Javaプロデューサの保護

共有鍵をメッセージの整合性保護のために定義できますが、これはSSLとともに使用する必要があります。共有鍵をパスワード資格証明として格納する手順は次のとおりです。

• 管理サーバー・インスタンスの資格証明ストアに、パスワード資格証明として共有鍵を定義します。これは、Fusion Middleware ControlまたはWLSTを使用して実行できます。

• Webプロデューサを再起動して、テスト・ページにアクセスします。アプリケーション・ログをチェックして、共有鍵が適切に適用されていることを確認します。

注意: 共有鍵の使用では、メッセージの整合性保護のみを実施できます。完全なメッセージ保護には、SSLが必要です。SSLを使用したPDK-Javaポートレット保護の詳細は、第33.5項「SSLを使用したSpacesからポートレット・プロデューサへの接続の保護」を参照してください。

35.2.1 パスワード資格証明としての共有鍵の定義

管理サーバー・インスタンスの資格証明ストアに、Fusion Middleware ControlコマンドまたはWLSTコマンドを使用して、パスワード資格証明として共有鍵を定義できます。

35.2.1.1 Fusion Middleware Controlを使用した共有鍵の定義

Fusion Middleware Controlを使用して共有鍵を定義する手順は、次のとおりです。

1. Fusion Middleware Controlにログインします。

   Fusion Middleware Controlへのログインの詳細は、第6項「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。

2. ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、ターゲット・ドメイン(wc_domainなど)をクリックします。

3. 「WebLogicドメイン」メニューの「セキュリティ」→「資格証明」を選択します。

   「資格証明」ペインが表示されます(図35-6を参照)。

   図35-6 「資格証明」ペイン

   
   「図35-6 「資格証明」ペイン」の説明
   
   

4. 「マップの作成」をクリックし、「マップ名」としてPDKと入力して、「OK」をクリックします。

5. 「キーの作成」をクリックして、作成したマップ(PDK)を選択します。

6. 「ユーザー名」(この値は使用されないため、どのような値でも指定できます)、「キー」(pdk.<service_id>.sharedKeyの形式。<service_id>はプロデューサの名前)および「パスワード」(10から20桁の16進数)に値を入力して、「OK」をクリックします。

   「資格証明」ペインに新規共有鍵が表示されます(図35-7を参照)。

   図35-7 新規共有鍵が表示された「資格証明」ペイン

   
   「図35-7 新規共有鍵が表示された「資格証明」ペイン」の説明
   
   

35.2.1.2 WLSTを使用した共有鍵の定義

WLSTを使用して共有鍵を定義することもできます。

1. 第1.13.3.1項「Oracle WebLogic Scripting Tool (WLST)コマンドの実行」で説明されているとおりにWLSTを起動し、ターゲット・ドメインの管理サーバー・インスタンスに接続します。

2. 次のコマンドを使用して、ターゲット・ドメインの管理サーバーに接続します。

   connect('user_name','password, 'host_id:port')
   

   各要素の意味は次のとおりです。

   • user_nameは、管理サーバーへのアクセスに使用されるユーザー・アカウントの名前です(例: weblogic)。

   • passwordは、管理サーバーにアクセスするためのパスワードです。

   • host_idは、管理サーバーのホストIDです。

   • portは、管理サーバーのポート番号です(例: 7001)。

3. WLST createCredコマンドを使用して、プロデューサの共有鍵資格証明を資格証明ストアに追加します。

   createCred(map='PDK', key='pdk.service_id.sharedKey.user_name', user='user_name', password='password')
   

   各要素の意味は次のとおりです。

   • service_idは、共有鍵の作成対象のプロデューサの名前です(例: omniPortlet)。

   • user_nameは、ユーザーの名前です。この値は使用されないため、どのような値でも指定できます。

   • passwordは、10から20桁の16進数値です。

   次に例を示します。

   createCred(map='PDK', key='pdk.omniPortlet.sharedKey', user='sharedKey', password='1234567890abc')
   

   
   

   注意: 資格証明の作成後は、前述のものと同じパラメータを指定したWLST updateCredコマンドを使用して、資格証明を更新できます。

   
   

4. プロデューサを再起動します。

   Webプロデューサでは、初めてリクエストを処理する際(ブラウザ・テスト・ページ・リクエストやプロデューサの初回登録時など)にプロパティが適用されるため、共有鍵資格証明の設定後にプロデューサを再起動する必要があります。