13 Oracle Web Services ManagerのポリシーおよびOC4Jセキュリティ環境のアップグレード

この章では、Oracle SOAアプリケーションをOracle Fusion Middleware 11gにアップグレードする際に重要な追加情報について説明します。

Oracle SOA Suite、WebCenterおよびADFの各アプリケーションのアップグレード時に必要となる主なタスクは、第8章「Oracle SOA Suite、WebCenterおよびADFアプリケーションのアップグレードの概要」で説明しています。

ここでは、Oracle SOAアプリケーションのアップグレードのみに該当するタスクについて説明します。

Oracle Web Services Manager (WSM)のポリシーのアップグレード
Oracle Containers for J2EE (OC4J)セキュリティ環境のアップグレード

13.1 Oracle Web Services Manager(WSM)のポリシーのアップグレード

Oracle WSM 10gでは、各ポリシー強制ポイントでポリシー・ステップを指定します。ポリシー・ステップは、特定のセキュリティ処理を扱うきめの細かい操作タスクです。認証および認可、暗号化および複合化、セキュリティ署名、トークン、資格証明の検証、変換などの処理を扱います。各操作タスクはWebサービス要求またはWebサービス応答のいずれかによって実行されます。

Oracle WSM 10gポリシー・ステップの詳細は、Oracle Application Server 10g リリース3 (10.1.3.1.0)ドキュメント・ライブラリで提供されている『Oracle Web Services Manager管理者ガイド』のOracle Web Services Managerのポリシー・ステップに関する項を参照してください。

http://www.oracle.com/technology/documentation/

Oracle WSM 11gでは、ポリシーをWebサービス・エンドポイントにアタッチします。ポリシーはドメインレベルで定義された1つ以上のアサーションで構成されています。アサーションはセキュリティ要件の定義です。そのまま使用できる事前定義のポリシーとアサーションのセットが用意されています。事前定義ポリシーの詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』の事前定義ポリシー参照に関する項を参照してください。

13.1.1 アップグレード前のタスク

Oracle WSMのポリシーをアップグレードする前に、次のタスクを実行する必要があります。

Oracle WSM 11gをインストールします。詳細は、『Oracle Fusion Middleware Oracle SOA Suite and Oracle Business Process Management Suiteインストレーション・ガイド』を参照してください。
Oracle Containers for J2EE (OC4J) 10gのWebサービスをOracle WebLogic Server 11gのWebサービスにアップグレードします。

詳細は、『Oracle Fusion Middleware Java EEアップグレード・ガイド』のタスク6: アプリケーションのWebサービスのアップグレードに関する項を参照してください。

13.1.1.1 Oracle WSM 10gのゲートウェイに関する注記

『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のOracle Fusion MiddlewareでのOracle WSMの再アーキテクチャの調査に関する項で説明されているように、Oracle Fusion Middleware 11g リリース1 (11.1.1.7.0)には、ゲートウェイ・コンポーネントが含まれていません。

Oracle WSM 10gのポリシーとともに、アプリケーションのOracle WSM 10g Gatewayのコンポーネントを引き続き使用できます。Oracle WSM 10gの相互運用性の詳細は、『Oracle Fusion Middleware Oracle Web Services Manager相互運用ガイド』を参照してください。

13.1.1.2 サード・パーティ・ソフトウェアに関する注意

『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のOracle Fusion MiddlewareでのOracle WSMの再アーキテクチャの調査に関する項で説明されているように、Oracle WSM 10gは、IBM WebSphereやRed Hat JBossなどのサード・パーティ・アプリケーション・サーバーに対するポリシー強制をサポートしていました。Oracle Fusion Middleware 11g リリース1 (11.1.1.7.0)では、Oracle WebLogic Serverのみをサポートします。

Oracle WSM 10gのポリシーとともに、サード・パーティ・アプリケーション・サーバーを引き続き使用できます。Oracle WSM 10gの相互運用性の詳細は、『Oracle Fusion Middleware Oracle Web Services Manager相互運用ガイド』を参照してください。

13.1.2 Oracle WSM 10gの事前定義ポリシーのアップグレード

表13-1は、認証および認可、メッセージ保護、転送、ロギングなどのセキュリティ要件に基づいた、一般的なOracle WSMの事前定義ポリシーのアップグレード・シナリオを示したものです。Oracle WSM 10g環境とOracle WSM 11g環境の両方で各セキュリティ要件を実装するために必要なステップが比較されています。

詳細は、次のリソースを参照してください。

Oracle Fusion Middleware 11gにおけるポリシーの添付の詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のWebサービスへのポリシーの添付に関する項を参照してください。
Oracle WSM 10gポリシー・ステップの詳細は、Oracle Application Server 10g リリース3 (10.1.3.1.0)ドキュメント・ライブラリで提供されている『Oracle Web Services Manager管理者ガイド』のOracle Web Services Managerのポリシー・ステップに関する項を参照してください。
```
http://www.oracle.com/technology/documentation/
```

表13-1 Oracle WSM 10gの事前定義ポリシーのアップグレード

セキュリティ要件	Oracle WSM 10g	Oracle WSM 11g
メッセージ保護付き匿名認証(WS-Security 1.0)	ポリシー・ステップを次のように添付します。クライアント: 「メッセージの署名と暗号化」 Webサービス: 「署名の復号化と検証」	ポリシーを次のように添付します。クライアント: oracle/wss10_message_protection_client_policy Webサービス: oracle/wss10_message_protection_service_policy メッセージの署名と暗号化は、デフォルト構成のままにします。「タイムスタンプを含める」構成設定を無効にします。
メッセージ整合性付き匿名認証(WS-Security 1.0)	ポリシー・ステップを次のように添付します。クライアント: 「メッセージの署名」 Webサービス: 「署名の検証」	ポリシーを次のように添付します。クライアント: oracle/wss10_message_protection_client_policy Webサービス: oracle/wss10_message_protection_service_policy メッセージ署名のポリシー・アサーションのみを構成します。「タイムスタンプを含める」構成設定を無効にします。
メッセージの機密保持付き匿名認証(WS-Security 1.0)	ポリシー・ステップを次のように添付します。クライアント: 「XML暗号化」 Webサービス: 「XML復号化」	ポリシーを次のように添付します。クライアント: oracle/wss10_message_protection_client_policy Webサービス: oracle/wss10_message_protection_service_policy メッセージ暗号化のポリシー・アサーションのみを構成します。「タイムスタンプを含める」構成設定を無効にします。
メッセージ保護付きユーザー名トークン(WS-Security 1.0)	ポリシー・ステップを次のように添付します。クライアント: 「WSBASIC資格証明の挿入」および「メッセージの署名と暗号化」 Webサービス: 「署名の復号化と検証」、「資格証明の抽出」(WSBASICとして構成)および「ファイルの認証」注意: ファイル認証のかわりに、LDAP認証、Oracle Access Manager認証、Active Directory認証またはSetMinder認証を使用する方法もあります。	ポリシーを次のように添付します。クライアント: oracle/wss10_username_token_with_message_protection_client_policy Webサービス: oracle/wss10_username_token_with_message_protection_service_policy メッセージの署名と暗号化は、デフォルト構成のままにします。「タイムスタンプを含める」構成設定を無効にします。認証プロバイダとアイデンティティ・アサーション・プロバイダを構成します。
メッセージ保護付きユーザー名トークン(WS-Security 1.0)とファイル認証	ポリシー・ステップを次のように添付します。クライアント: 「WSBASIC資格証明の挿入」および「メッセージの署名と暗号化」 Webサービス: 「署名の復号化と検証」、「資格証明の抽出」(WSBASICとして構成)、「ファイルの認証」、「ファイルの認可」注意: ファイル認証のかわりに、LDAP認証、Active Directory認証またはSetMinder認証を使用する方法もあります。同様に、ファイル認可のかわりに、LDAP認可、Active Directory認可またはSetMinder認可を使用する方法もあります。	ポリシーを次のように添付します。クライアント: oracle/wss10_username_token_with_message_protection_client_policy Webサービス: oracle/wss10_username_token_with_message_protection_service_policyおよびoracle/binding_authorization メッセージの署名と暗号化は、デフォルト構成のままにします。「タイムスタンプを含める」構成設定を無効にします。認証プロバイダとアイデンティティ・アサーション・プロバイダを構成します。
メッセージ保護付きSAMLトークン(送信者保証)を使用したID伝播(WS-Security 1.0)	ポリシー・ステップを次のように添付します。クライアント: 「SAML - WSS 1.0送信者保証トークンの挿入」および「メッセージの署名と暗号化」 Webサービス: 「XML復号化」および「SAML - WSS 1.0トークンの検証」	ポリシーを次のように添付します。クライアント: oracle/wss10_saml_token_with_message_protection_client_policy Webサービス: oracle/wss10_saml_token_with_message_protection_service_policy 「タイムスタンプを含める」構成設定を無効にします。メッセージの署名と暗号化は、デフォルト構成のままにします。
HTTP Basic認証	ポリシー・ステップを次のように添付します。クライアント: N/A Webサービス: 「資格証明の抽出」(HTTPとして構成)	ポリシーを次のように添付します。クライアント: oracle/wss_http_token_client_policy Webサービス: oracle/wss_http_token_service_policy
メッセージ保護付き相互認証(WS-Security 1.0)	ポリシー・ステップを次のように添付します。クライアント: 「WSBASIC資格証明の挿入」および「メッセージの署名と暗号化」 Webサービス: 「署名の復号化と検証」、「資格証明の抽出」(WSBASICとして構成)および「ファイルの認証」注意: ファイル認証のかわりに、LDAP認証、Oracle Access Manager認証、Active Directory認証またはSetMinder認証を使用する方法もあります。	ポリシーを次のように添付します。クライアント: oracle/wss10_x509_token_with_message_protection_client_policy Webサービス: oracle/wss10_x509_token_with_message_protection_service_policy メッセージの署名と暗号化は、デフォルト構成のままにします。「タイムスタンプを含める」構成設定を無効にします。認証プロバイダとアイデンティティ・アサーション・プロバイダを構成します。
SSL上のユーザー名トークン	アプリケーション・サーバーをSSL用に構成します。ポリシー・ステップを次のように添付します。クライアント: 「WSBASIC資格証明の挿入」 Webサービス: 「資格証明の抽出」および「ファイルの認証」	アプリケーション・サーバーをSSL用に構成します。ポリシーを次のように添付します。クライアント: oracle/wss_username_token_over_ssl_client_policy Webサービス: oracle/wss_username_token_over_ssl_client_service_policy 「タイムスタンプを含める」構成設定を無効にします。
SSL上のSAMLトークン(送信者保証)を使用したID伝播(WS-Security 1.0)	アプリケーション・サーバーをSSL用に構成します。ポリシー・ステップを次のように添付します。クライアント: 「SAML - WSS 1.0送信者保証トークンの挿入」 Webサービス: 「SAML - WSS 1.0トークンの検証」	アプリケーション・サーバーをSSL用に構成します。ポリシーを次のように添付します。クライアント: oracle/wss_saml_token_over_ssl_client_policy Webサービス: oracle/wss_saml_token_over_ssl_client_service_policy 「タイムスタンプを含める」構成設定を無効にします。
情報のログ記録	クライアントまたはWebサービスに次のポリシー・ステップを添付します: 「ログ」	クライアントまたはWebサービスに次のポリシーを添付します: oracle/log_policy

13.1.3 Oracle WSMのカスタム・ポリシーのアップグレード

Oracle WSM 10gでは、次のOracle Application Server 10g リリース3 (10.1.3.1.0)のドキュメント・ライブラリにある『Oracle Web Services Manager 拡張ガイド』に記載されている手順を使用して、カスタム・ポリシー・ステップを作成、開発およびデプロイします。

http://www.oracle.com/technology/documentation/

Oracle WSM 11gでは、カスタム・ポリシー・アサーションを作成、開発およびデプロイします。『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のカスタム・アサーションの作成に関する項で説明されている手順を使用して、カスタム・ポリシー・ステップをカスタム・ポリシー・アサーションとして再定義する必要があります。

13.2 Oracle Containers for J2EE(OC4J)セキュリティ環境のアップグレード

OC4J 10gでは、XMLベースのデプロイメント・ディスクリプタ・ファイルの内容を変更することによってセキュリティ環境を構成します。OC4J環境の保護の詳細は、『Oracle Application Server Web Servicesセキュリティ・ガイド』を参照してください。

http://www.oracle.com/technology/documentation/

次の各項では、認証、メッセージ保護、転送、ロギングなどのセキュリティ要件に基づいた、一般的なOC4Jのアップグレード・シナリオについて説明します。OC4J 10g環境とOracle WSM 11g環境の両方で各セキュリティ要件を実装するために必要なステップが比較されています。

第13.2.1項「アップグレード前のタスク」
第13.2.2項「メッセージ保護付き匿名認証(WS-Security 1.0)」
第13.2.3項「メッセージ整合性付き匿名認証(WS-Security 1.0)」
第13.2.4項「メッセージの機密保持付き匿名認証(WS-Security 1.0)」
第13.2.5項「メッセージ保護付きユーザー名トークン(WS-Security 1.0)」
第13.2.6項「メッセージ保護付きSAMLトークン(送信者保証)を使用したID伝播(WS-Security 1.0)」
第13.2.7項「メッセージ保護付きSAMLトークン(キーのホルダー)を使用したID伝播(WS-Security 1.0)」
第13.2.8項「メッセージ保護付き相互認証(WS-Security 1.0)」
第13.2.9項「SSL上のユーザー名トークン」
第13.2.10項「SSL上のSAMLトークン(送信者保証)を使用したID伝播(WS-Security 1.0)」
第13.2.11項「情報のログ記録」

注意:

Oracle Fusion Middleware 11gでのポリシー添付の構成の詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』を参照してください。

次の項では、アップグレード前に必要な前提条件について説明します。

13.2.1 アップグレード前のタスク

OC4Jのセキュリティ環境をアップグレードする前に、次のタスクを実行する必要があります。

Oracle WSM 11gをインストールします。詳細は、『Oracle Fusion Middleware Oracle SOA Suite and Oracle Business Process Management Suiteインストレーション・ガイド』を参照してください。
『Oracle Fusion Middleware Java EEアップグレード・ガイド』のタスク6: アプリケーションのWebサービスのアップグレードに関する項を確認します。

この項では、OC4J WebサービスのOracle WebLogic Serverへのアップグレードに関する一般情報について説明します。

13.2.2 メッセージ保護付き匿名認証(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠したメッセージ保護付き認証の実装方法について説明し、OC4J 10g環境とOracle WSM 11g環境で必要となるステップを比較します。

13.2.2.1 OC4J 10g

次の項の説明に従って、Webサービスとクライアントのデプロイメント・ディスクリプタを編集します。

デプロイメント・ディスクリプタ要素の詳細は、次のOracle Application Server 10g リリース3 (10.1.3.1.0)のドキュメント・ライブラリにある『Oracle Application Server Web Servicesセキュリティ・ガイド』のOracleAS Webサービスのセキュリティ・スキーマに関する項を参照してください。

http://www.oracle.com/technology/documentation/

Webサービス・クライアント(サンプル・データ)

クライアントのデプロイメント・ディスクリプタで、<signature>および<encrypt>要素を定義します。例:

<signature>
   <signature-method>RSA-SHA1</signature-method> 
   <tbs-elements>
      <tbs-element local-part="Body" name-space=
       "http://schemas.xmlsoap.org/soap/envelope/" /> 
      <tbs-element name-space=
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" local-part="Timestamp" /> 
   </tbs-elements>
   <add-timestamp created="true" expiry="28800" /> 
</signature>
<encrypt>
   <recipient-key alias="orakey"/>
   <encryption-method>AES-128</encryption-method> 
   <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> 
   <tbe-elements>
      <tbe-element local-part="Body" name-space=
       "http://schemas.xmlsoap.org/soap/envelope/" mode="CONTENT" />
   </tbe-elements>
</encrypt>

Webサービス(サンプル・データ)

サービスのデプロイメント・ディスクリプタで、<verify-signature>および<decrypt>要素を定義します。例:

<verify-signature>
   <tbs-elements>
      <tbs-element name-space="http://schemas.xmlsoap.org/soap/envelope/" 
       local-part="Body" /> 
      <tbs-element name-space=
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" 
       local-part="Timestamp" /> 
   </tbs-elements>
   <verify-timestamp expiry="28800" created="true" /> 
</verify-signature>
<decrypt>
   <tbe-elements>
      <tbe-element 
       name-space="http://schemas.xmlsoap.org/soap/envelope/" 
       local-part="Body" mode="CONTENT" /> 
   </tbe-elements>
</decrypt>

13.2.2.2 Oracle WSM 11g

次のステップを実行します。

ポリシーを次のように添付します。

クライアント: oracle/wss10_message_protection_client_policy

Webサービス: oracle/wss10_message_protection_service_policy

Oracle Fusion Middleware 11gにおけるポリシーの添付の詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のWebサービスへのポリシーの添付に関する項を参照してください。
メッセージ本体の署名と暗号化の構成はそのまま残します。

13.2.3 メッセージ整合性付き匿名認証(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠したメッセージ整合性付き認証の実装方法について説明し、OC4J 10g環境とOracle WSM 11g環境で必要となるステップを比較します。

13.2.3.1 OC4J 10g

次の項の説明に従って、Webサービスとクライアントのデプロイメント・ディスクリプタを編集します。

http://www.oracle.com/technology/documentation/

Webサービス・クライアント(サンプル・データ)

クライアントのデプロイメント・ディスクリプタで、<signature>要素を定義します。例:

<signature>
   <signature-method>RSA-SHA1</signature-method> 
   <tbs-elements>
      <tbs-element local-part="Body" name-space=
       "http://schemas.xmlsoap.org/soap/envelope/" /> 
      <tbs-element name-space=
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" local-part="Timestamp" /> 
   </tbs-elements>
   <add-timestamp created="true" expiry="28800" /> 
</signature>

Webサービス(サンプル・データ)

サービスのデプロイメント・ディスクリプタで、<verify-signature>要素を定義します。例:

<verify-signature>
   <tbs-elements>
      <tbs-element name-space="http://schemas.xmlsoap.org/soap/envelope/" 
       local-part="Body" /> 
      <tbs-element name-space=
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" 
       local-part="Timestamp" /> 
   </tbs-elements>
   <verify-timestamp expiry="28800" created="true" /> 
</verify-signature>

13.2.3.2 Oracle WSM 11g

次のステップを実行します。

ポリシーを次のように添付します。

クライアント: oracle/wss10_message_protection_client_policy

Webサービス: oracle/wss10_message_protection_service_policy

Oracle Fusion Middleware 11gにおけるポリシーの添付の詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のWebサービスへのポリシーの添付に関する項を参照してください。
メッセージ本体の署名のポリシー・アサーションのみを構成します。

13.2.4 メッセージの機密保持付き匿名認証(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠したメッセージの機密保持付き認証の実装方法について説明し、OC4J 10g環境とOracle WSM 11g環境で必要となるステップを比較します。

デプロイメント・ディスクリプタ要素の詳細は、次の10g リリース3 (10.1.3.1.0)のドキュメント・ライブラリにある『Oracle Application Server Web Servicesセキュリティ・ガイド』のOracleAS Webサービスのセキュリティ・スキーマに関する項を参照してください。

http://www.oracle.com/technology/documentation/

13.2.4.1 OC4J 10g

次の項の説明に従って、Webサービスとクライアントのデプロイメント・ディスクリプタを編集します。

Webサービス・クライアント(サンプル・データ)

クライアントのデプロイメント・ディスクリプタで、<encrypt>要素を定義します。例:

<encrypt>
   <recipient-key alias="orakey"/>
   <encryption-method>AES-128</encryption-method> 
   <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> 
   <tbe-elements>
      <tbe-element local-part="Body" name-space=
       "http://schemas.xmlsoap.org/soap/envelope/" mode="CONTENT" />
   </tbe-elements>
</encrypt>

Webサービス(サンプル・データ)

サービスのデプロイメント・ディスクリプタで、<decrypt>要素を定義します。例:

<decrypt>
   <tbe-elements>
      <tbe-element 
       name-space="http://schemas.xmlsoap.org/soap/envelope/" 
       local-part="Body" mode="CONTENT" /> 
   </tbe-elements>
</decrypt>

13.2.4.2 Oracle WSM 11g

次のステップを実行します。

ポリシーを次のように添付します。

クライアント: oracle/wss10_message_protection_client_policy

Webサービス: oracle/wss10_message_protection_service_policy

Oracle Fusion Middleware 11gにおけるポリシーの添付の詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のWebサービスへのポリシーの添付に関する項を参照してください。
メッセージ本体の暗号化のポリシー・アサーションのみを構成します。

13.2.5 メッセージ保護付きユーザー名トークン(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠したメッセージ保護付きユーザー名トークンの実装方法について説明し、OC4J 10g環境とOracle WSM 11g環境で必要となるステップを比較します。

13.2.5.1 OC4J 10g

次の項の説明に従って、Webサービスとクライアントのデプロイメント・ディスクリプタを編集します。

http://www.oracle.com/technology/documentation/

Webサービス・クライアント(サンプル・データ)

クライアントのデプロイメント・ディスクリプタで、<username-token>、<signature>および<encrypt>要素を定義します。例:

<username-token password-type="PLAINTEXT" add-nonce="false" 
 add-created="false" /> 
<signature>
   <signature-method>RSA-SHA1</signature-method> 
   <tbs-elements>
      <tbs-element local-part="Body" name-space=
       "http://schemas.xmlsoap.org/soap/envelope/"/> 
      <tbs-element name-space=
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" 
       local-part="Timestamp" /> 
      <tbs-element name-space=
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" 
       local-part="UsernameToken" /> 
   </tbs-elements>
   <add-timestamp created="true" expiry="28800" /> 
</signature>
<encrypt>
   <recipient-key alias="orakey" /> 
   <encryption-method>AES-128</encryption-method> 
   <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> 
   <tbe-elements>
      <tbe-element local-part="Body" name-space=
       "http://schemas.xmlsoap.org/soap/envelope/" mode="CONTENT" /> 
      <tbe-element name-space=
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" 
       local-part="UsernameToken" /> 
   </tbe-elements>
</encrypt>

Webサービス(サンプル・データ)

サービスのデプロイメント・ディスクリプタで、<verify-username-token>、<verify-signature>および<decrypt>要素を定義します。例:

<verify-username-token password-type="PLAINTEXT" require-nonce="false" 
 require-created="false" /> 
<verify-signature>
   <tbs-elements>
      <tbs-element name-space="http://schemas.xmlsoap.org/soap/envelope/" 
       local-part="Body" /> 
      <tbs-element name-space=
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" 
       local-part="Timestamp" /> 
   </tbs-elements>
   <verify-timestamp expiry="28800" created="true" /> 
</verify-signature>
<decrypt>
   <tbe-elements>
      <tbe-element name-space="http://schemas.xmlsoap.org/soap/envelope/" 
       local-part="Body" mode="CONTENT" /> 
   </tbe-elements>
</decrypt>

13.2.5.2 Oracle WSM 11g

次のステップを実行します。

ポリシーを次のように添付します。

クライアント: oracle/wss10_username_token_with_message_protection_client_policy

Webサービス: oracle/wss10_username_token_with_message_protection_service_policy

Oracle Fusion Middleware 11gにおけるポリシーの添付の詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のWebサービスへのポリシーの添付に関する項を参照してください。
メッセージ本体の署名と暗号化の構成はそのまま残します。
認証プロバイダとアイデンティティ・アサーション・プロバイダを構成します。

13.2.6 メッセージ保護付きSAMLトークン(送信者保証)を使用したID伝播(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠した、メッセージ保護付きSAMLトークン(送信者保証)を使用したID伝播の実装方法について説明し、OC4J 10g環境とOracle WSM 11g環境で必要となるステップを比較します。

デプロイメント・ディスクリプタ要素の詳細は、次のリンクにある『Oracle Application Server Web Servicesセキュリティ・ガイド10g (10.1.3.1.0)』のOracleAS Webサービスのセキュリティ・スキーマに関する項を参照してください。

http://www.oracle.com/technology/documentation/

13.2.6.1 OC4J 10g

次の項の説明に従って、Webサービスとクライアントのデプロイメント・ディスクリプタを編集します。

Webサービス・クライアント(サンプル・データ)

クライアントのデプロイメント・ディスクリプタで、<saml-token>、<signature>および<encrypt>要素を定義します。例:

<saml-token issuer-name="www.oracle.com" name="weblogic" 
 name-format="UNSPECIFIED">
   <subject-confirmation-method>
      <confirmation-method>SENDER-VOUCHES</confirmation-method> 
   </subject-confirmation-method>
</saml-token>
<signature>
   <signature-method>RSA-SHA1</signature-method> 
   <tbs-elements>
      <tbs-element local-part="Body" 
       name-space="http://schemas.xmlsoap.org/soap/envelope/" /> 
      <tbs-element name-space=
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" 
       local-part="Timestamp" /> 
   </tbs-elements>
   <add-timestamp created="true" expiry="28800" /> 
</signature>
<encrypt>
   <recipient-key alias="orakey" /> 
   <encryption-method>AES-128</encryption-method> 
   <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> 
   <tbe-elements>
      <tbe-element local-part="Body" name-space=
       "http://schemas.xmlsoap.org/soap/envelope/" mode="CONTENT" /> 
   </tbe-elements>
</encrypt>

Webサービス(サンプル・データ)

サービスのデプロイメント・ディスクリプタで、<verify-saml-token>、<verify-signature>および<decrypt>要素を定義します。例:

<verify-saml-token>
   <subject-confirmation-methods>
      <confirmation-method>SENDER-VOUCHES</confirmation-method> 
   </subject-confirmation-methods>
</verify-saml-token>
<verify-signature>
   <tbs-elements>
      <tbs-element name-space="http://schemas.xmlsoap.org/soap/envelope/" 
       local-part="Body" /> 
      <tbs-element name-space=
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" 
       local-part="Timestamp" /> 
   </tbs-elements>
   <verify-timestamp expiry="28800" created="true" /> 
</verify-signature>
<decrypt>
   <tbe-elements>
     <tbe-element name-space="http://schemas.xmlsoap.org/soap/envelope/" 
      local-part="Body" mode="CONTENT" /> 
   </tbe-elements>
</decrypt>

13.2.6.2 Oracle WSM 11g

ポリシーを次のように添付します。

クライアント: oracle/wss10_saml_token_with_message_protection_client_policy
Webサービス: oracle/wss10_saml_token_with_message_protection_service_policy

Oracle Fusion Middleware 11gにおけるポリシーの添付の詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のWebサービスへのポリシーの添付に関する項を参照してください。

13.2.7 メッセージ保護付きSAMLトークン(キーのホルダー)を使用したID伝播(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠した、メッセージ保護付きSAMLトークン(キーのホルダー)を使用したID伝播の実装方法について説明し、OC4J 10g環境とOracle WSM 11g環境で必要となるステップを比較します。

http://www.oracle.com/technology/documentation/

13.2.7.1 OC4J 10g

次の項の説明に従って、Webサービスとクライアントのデプロイメント・ディスクリプタを編集します。

Webサービス・クライアント(サンプル・データ)

クライアントのデプロイメント・ディスクリプタで、<saml-token>、<signature>および<encrypt>要素を定義します。例:

<saml-token issuer-name="www.oracle.com" name="weblogic" 
 name-format="UNSPECIFIED">
   <subject-confirmation-method>
      <confirmation-method>HOLDER-OF-KEY</confirmation-method> 
   </subject-confirmation-method>
</saml-token>
<signature>
   <signature-method>RSA-SHA1</signature-method> 
   <tbs-elements>
      <tbs-element local-part="Body" 
       name-space="http://schemas.xmlsoap.org/soap/envelope/" /> 
      <tbs-element name-space=
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" 
       local-part="Timestamp" /> 
   </tbs-elements>
   <add-timestamp created="true" expiry="28800" /> 
</signature>
<encrypt>
   <recipient-key alias="orakey" /> 
   <encryption-method>AES-128</encryption-method> 
   <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> 
   <tbe-elements>
      <tbe-element local-part="Body" name-space=
       "http://schemas.xmlsoap.org/soap/envelope/" mode="CONTENT" /> 
   </tbe-elements>
</encrypt>

Webサービス(サンプル・データ)

サービスのデプロイメント・ディスクリプタで、<verify-saml-token>、<verify-signature>および<decrypt>要素を定義します。例:

<verify-saml-token>
   <subject-confirmation-methods>
      <confirmation-method>HOLDER-OF-KEY</confirmation-method> 
   </subject-confirmation-methods>
</verify-saml-token>
<verify-signature>
   <tbs-elements>
      <tbs-element name-space="http://schemas.xmlsoap.org/soap/envelope/" 
       local-part="Body" /> 
      <tbs-element name-space=
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" 
       local-part="Timestamp" /> 
   </tbs-elements>
   <verify-timestamp expiry="28800" created="true" /> 
</verify-signature>
<decrypt>
   <tbe-elements>
     <tbe-element name-space="http://schemas.xmlsoap.org/soap/envelope/" 
      local-part="Body" mode="CONTENT" /> 
   </tbe-elements>
</decrypt>

13.2.7.2 Oracle WSM 11g

ポリシーを次のように添付します。

クライアント: oracle/wss10_saml_hok_with_message_protection_client_policy
Webサービス: oracle/wss10_saml_hok_with_message_protection_service_policy

13.2.8 メッセージ保護付き相互認証(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠したメッセージ保護付き相互認証の実装方法について説明し、OC4J 10g環境とOracle WSM 11g環境で必要となるステップを比較します。

http://www.oracle.com/technology/documentation/

13.2.8.1 OC4J 10g

次の項の説明に従って、Webサービスとクライアントのデプロイメント・ディスクリプタを編集します。

Webサービス・クライアント(サンプル・データ)

クライアントのデプロイメント・ディスクリプタで、<x509-token>、<signature>および<encrypt>要素を定義します。例:

<x509-token /> 
<signature>
   <signature-method>RSA-SHA1</signature-method> 
   <tbs-elements>
      <tbs-element local-part="Body" 
       name-space="http://schemas.xmlsoap.org/soap/envelope/" /> 
      <tbs-element name-space=
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" 
       local-part="Timestamp" /> 
   </tbs-elements>
   <add-timestamp created="true" expiry="28800" /> 
</signature>
<encrypt>
   <recipient-key alias="orakey" /> 
   <encryption-method>AES-128</encryption-method> 
   <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> 
   <tbe-elements>
      <tbe-element local-part="Body" 
       name-space="http://schemas.xmlsoap.org/soap/envelope/" mode="CONTENT" /> 
   </tbe-elements>
</encrypt>

Webサービス(サンプル・データ)

サービスのデプロイメント・ディスクリプタで、<verify-x509-token>、<verify-signature>および<decrypt>要素を定義します。例:

<verify-x509-token /> 
<verify-signature>
   <tbs-elements>
      <tbs-element name-space="http://schemas.xmlsoap.org/soap/envelope/" 
       local-part="Body" /> 
      <tbs-element name-space=
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" 
       local-part="Timestamp" /> 
   </tbs-elements>
   <verify-timestamp expiry="28800" created="true" /> 
</verify-signature>
<decrypt>
   <tbe-elements>
      <tbe-element name-space="http://schemas.xmlsoap.org/soap/envelope/"
       local-part="Body" mode="CONTENT" /> 
   </tbe-elements>
</decrypt>

13.2.8.2 Oracle WSM 11g

次のステップを実行します。

ポリシーを次のように添付します。

クライアント: oracle/wss10_x509_token_with_message_protection_client_policy

Webサービス: oracle/wss10_x509_token_with_message_protection_service_policy

Oracle Fusion Middleware 11gにおけるポリシーの添付の詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のWebサービスへのポリシーの添付に関する項を参照してください。
メッセージ本体の署名と暗号化の構成はそのまま残します。
認証プロバイダとアイデンティティ・アサーション・プロバイダを構成します。

13.2.9 SSL経由のユーザー名トークン

次の各項では、SSL上のユーザー名トークンの実装方法について説明し、OC4J 10g環境とOracle WSM 11g環境で必要となるステップを比較します。

http://www.oracle.com/technology/documentation/

13.2.9.1 OC4J 10g

アプリケーション・サーバーをSSL用に構成し、次の各項の説明に従って、Webサービスとクライアントのデプロイメント・ディスクリプタを編集します。

Webサービス・クライアント(サンプル・データ)

クライアントのデプロイメント・ディスクリプタで、<username-token>および<signature>要素を定義します。例:

<username-token password-type="PLAINTEXT" add-nonce="true" 
 add-created="true" />
<signature>
   <add-timestamp created="true" expiry="28800" /> 
</signature>

Webサービス(サンプル・データ)

サービスのデプロイメント・ディスクリプタで、<verify-username>要素を定義します。例:

<verify-username-token password-type="PLAINTEXT" require-nonce="false" require-created="false" />  
<signature>
   <verify-timestamp expiry="28800" created="true" />  
</signature>

13.2.9.2 Oracle WSM 11g

次のステップを実行します。

アプリケーション・サーバーをSSL用に構成します。
ポリシーを次のように添付します。

クライアント: oracle/wss_username_token_over_ssl_client_policy

Webサービス: oracle/wss_username_token_over_ssl_service_policy

13.2.10 SSL上のSAMLトークン(送信者保証)を使用したID伝播(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠した、SSL上のSAMLトークン(送信者保証)を使用したID伝播の実装方法について説明し、OC4J 10g環境とOracle WSM 11g環境で必要となるステップを比較します。

http://www.oracle.com/technology/documentation/

13.2.10.1 OC4J 10g

Webサービス・クライアント(サンプル・データ)

クライアントのデプロイメント・ディスクリプタで、<saml-token>および<signature>要素を定義します。例:

<saml-token name="weblogic" issuer-name="www.oracle.com" 
 name-format="UNSPECIFIED">
   <subject-confirmation-method>
     <confirmation-method>SENDER-VOUCHES</confirmation-method> 
   </subject-confirmation-method>
</saml-token>
<signature>
   <add-timestamp created="true" expiry="28800" /> 
</signature>

Webサービス(サンプル・データ)

サービスのデプロイメント・ディスクリプタで、<verify-saml-token>要素を定義します。例:

<verify-saml-token>
   <subject-confirmation-methods> 
      <confirmation-method>SENDER-VOUCHES-UNSIGNED</confirmation-method> 
   </subject-confirmation-methods> 
</verify-saml-token>  
<signature>
   <verify-timestamp expiry="28800" created="true" />  
</signature>

13.2.10.2 Oracle WSM 11g

次のステップを実行します。

アプリケーション・サーバーをSSL用に構成します。
ポリシーを次のように添付します。

クライアント: oracle/wss_saml_token_over_ssl_client_policy

Webサービス: oracle/wss_saml_token_over_ssl_service_policy

13.2.11 ログ情報

次の各項では、ログ情報の収集を有効にする方法について説明し、OC4J 10g環境とOracle WSM 11g環境で必要となるステップを比較します。

13.2.11.1 OC4J 10g

ログおよび監査のインターセプタを構成します。

13.2.11.2 Oracle WSM 11g

Webサービスまたはクライアントに、oracle/log_policyというポリシーを添付します。

セキュリティ要件	Oracle WSM 10g	Oracle WSM 11g
メッセージ保護付き匿名認証(WS-Security 1.0)	ポリシー・ステップを次のように添付します。クライアント: 「メッセージの署名と暗号化」 Webサービス: 「署名の復号化と検証」	ポリシーを次のように添付します。クライアント: oracle/wss10_message_protection_client_policy Webサービス: oracle/wss10_message_protection_service_policy メッセージの署名と暗号化は、デフォルト構成のままにします。「タイムスタンプを含める」構成設定を無効にします。
メッセージ整合性付き匿名認証(WS-Security 1.0)	ポリシー・ステップを次のように添付します。クライアント: 「メッセージの署名」 Webサービス: 「署名の検証」	ポリシーを次のように添付します。クライアント: oracle/wss10_message_protection_client_policy Webサービス: oracle/wss10_message_protection_service_policy メッセージ署名のポリシー・アサーションのみを構成します。「タイムスタンプを含める」構成設定を無効にします。
メッセージの機密保持付き匿名認証(WS-Security 1.0)	ポリシー・ステップを次のように添付します。クライアント: 「XML暗号化」 Webサービス: 「XML復号化」	ポリシーを次のように添付します。クライアント: oracle/wss10_message_protection_client_policy Webサービス: oracle/wss10_message_protection_service_policy メッセージ暗号化のポリシー・アサーションのみを構成します。「タイムスタンプを含める」構成設定を無効にします。
メッセージ保護付きユーザー名トークン(WS-Security 1.0)	ポリシー・ステップを次のように添付します。クライアント: 「WSBASIC資格証明の挿入」および「メッセージの署名と暗号化」 Webサービス: 「署名の復号化と検証」、「資格証明の抽出」(WSBASICとして構成)および「ファイルの認証」注意: ファイル認証のかわりに、LDAP認証、Oracle Access Manager認証、Active Directory認証またはSetMinder認証を使用する方法もあります。	ポリシーを次のように添付します。クライアント: oracle/wss10_username_token_with_message_protection_client_policy Webサービス: oracle/wss10_username_token_with_message_protection_service_policy メッセージの署名と暗号化は、デフォルト構成のままにします。「タイムスタンプを含める」構成設定を無効にします。認証プロバイダとアイデンティティ・アサーション・プロバイダを構成します。
メッセージ保護付きユーザー名トークン(WS-Security 1.0)とファイル認証	ポリシー・ステップを次のように添付します。クライアント: 「WSBASIC資格証明の挿入」および「メッセージの署名と暗号化」 Webサービス: 「署名の復号化と検証」、「資格証明の抽出」(WSBASICとして構成)、「ファイルの認証」、「ファイルの認可」注意: ファイル認証のかわりに、LDAP認証、Active Directory認証またはSetMinder認証を使用する方法もあります。同様に、ファイル認可のかわりに、LDAP認可、Active Directory認可またはSetMinder認可を使用する方法もあります。	ポリシーを次のように添付します。クライアント: oracle/wss10_username_token_with_message_protection_client_policy Webサービス: oracle/wss10_username_token_with_message_protection_service_policyおよびoracle/binding_authorization メッセージの署名と暗号化は、デフォルト構成のままにします。「タイムスタンプを含める」構成設定を無効にします。認証プロバイダとアイデンティティ・アサーション・プロバイダを構成します。
メッセージ保護付きSAMLトークン(送信者保証)を使用したID伝播(WS-Security 1.0)	ポリシー・ステップを次のように添付します。クライアント: 「SAML - WSS 1.0送信者保証トークンの挿入」および「メッセージの署名と暗号化」 Webサービス: 「XML復号化」および「SAML - WSS 1.0トークンの検証」	ポリシーを次のように添付します。クライアント: oracle/wss10_saml_token_with_message_protection_client_policy Webサービス: oracle/wss10_saml_token_with_message_protection_service_policy 「タイムスタンプを含める」構成設定を無効にします。メッセージの署名と暗号化は、デフォルト構成のままにします。
HTTP Basic認証	ポリシー・ステップを次のように添付します。クライアント: N/A Webサービス: 「資格証明の抽出」(HTTPとして構成)	ポリシーを次のように添付します。クライアント: oracle/wss_http_token_client_policy Webサービス: oracle/wss_http_token_service_policy
メッセージ保護付き相互認証(WS-Security 1.0)	ポリシー・ステップを次のように添付します。クライアント: 「WSBASIC資格証明の挿入」および「メッセージの署名と暗号化」 Webサービス: 「署名の復号化と検証」、「資格証明の抽出」(WSBASICとして構成)および「ファイルの認証」注意: ファイル認証のかわりに、LDAP認証、Oracle Access Manager認証、Active Directory認証またはSetMinder認証を使用する方法もあります。	ポリシーを次のように添付します。クライアント: oracle/wss10_x509_token_with_message_protection_client_policy Webサービス: oracle/wss10_x509_token_with_message_protection_service_policy メッセージの署名と暗号化は、デフォルト構成のままにします。「タイムスタンプを含める」構成設定を無効にします。認証プロバイダとアイデンティティ・アサーション・プロバイダを構成します。
SSL上のユーザー名トークン	アプリケーション・サーバーをSSL用に構成します。ポリシー・ステップを次のように添付します。クライアント: 「WSBASIC資格証明の挿入」 Webサービス: 「資格証明の抽出」および「ファイルの認証」	アプリケーション・サーバーをSSL用に構成します。ポリシーを次のように添付します。クライアント: oracle/wss_username_token_over_ssl_client_policy Webサービス: oracle/wss_username_token_over_ssl_client_service_policy 「タイムスタンプを含める」構成設定を無効にします。
SSL上のSAMLトークン(送信者保証)を使用したID伝播(WS-Security 1.0)	アプリケーション・サーバーをSSL用に構成します。ポリシー・ステップを次のように添付します。クライアント: 「SAML - WSS 1.0送信者保証トークンの挿入」 Webサービス: 「SAML - WSS 1.0トークンの検証」	アプリケーション・サーバーをSSL用に構成します。ポリシーを次のように添付します。クライアント: oracle/wss_saml_token_over_ssl_client_policy Webサービス: oracle/wss_saml_token_over_ssl_client_service_policy 「タイムスタンプを含める」構成設定を無効にします。
情報のログ記録	クライアントまたはWebサービスに次のポリシー・ステップを添付します: 「ログ」	クライアントまたはWebサービスに次のポリシーを添付します: oracle/log_policy