| Oracle® Fusion Middleware Oracle WebCenter Portalの管理 11gリリース1 (11.1.1.9.0) E51441-06 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle WebCenter Portalの管理 11gリリース1 (11.1.1.9.0) E51441-06 |
|
前 |
次 |
この章では、WSRPおよびJPDKポートレット・プロデューサのセキュリティを処理するようWebCenter PortalまたはPortal Frameworkアプリケーションを構成する方法を説明します。
この章の内容は次のとおりです。
|
権限: この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic ServerのAdminロールが付与されている必要があります。MonitorまたはOperatorロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。
第1.8項「管理操作、ロールおよびツールの理解」も参照してください。 |
次の各項で、WebCenter PortalおよびPortal FrameworkアプリケーションからJSR-168標準ベースのWSRPポートレットにセキュアにアクセスする方法を説明します。
WSRPプロデューサの保護の概要は、『Oracle WebCenter PortalおよびOracle Jdeveloperでのポータルの開発』のWS-Securityを使用したWSRPプロデューサを介するアイデンティティ伝播の保護に関する項を参照してください。
WS-Security用にプロデューサを構成する前に、第21.11項「ポートレット・プロデューサ・アプリケーションのデプロイ」で説明されている手順を実行して、標準準拠のポートレット・プロデューサをOracle WebLogic管理対象サーバーにデプロイする必要があります。
この項では、セキュリティ・ポリシーをWSRPプロデューサ・エンドポイントに添付する方法について説明します。WSRPプロデューサでサポートされるポリシーは次のとおりです。
ユーザー名トークン(パスワードあり)
wss10_username_token_with_message_protection_service_policy
このポリシーは、メッセージ・レベルの保護(メッセージの整合性と機密保護)、およびWS-Security 1.0標準に従ったインバウンドSOAPリクエストの認証を行います。WS-SecurityのBasic 128スイートの非対称キー・テクノロジ、具体的には、メッセージの機密保護のためのRSA鍵メカニズム、メッセージの整合性のためのSHA-1ハッシュ・アルゴリズム、およびAES-128ビット暗号化が使用されます。キーストアは、セキュリティ構成を使用して構成されます。認証は、WS-Securityユーザー名トークンのSOAPヘッダーにあるcredentialsを使用して実施されます。ユーザーのサブジェクトは、現在構成されているアイデンティティ・ストアに対して確立されます。
ユーザー名トークン(パスワードなし)
wss10_username_id_propagation_with_msg_protection_service_policy
このポリシーでは、WS-Security 1.0標準で示されたメカニズムを使用して、メッセージレベルの保護(メッセージの整合性および機密保護)およびインバウンドSOAPリクエストのアイデンティティ伝搬を実施します。メッセージの保護は、非対称型キー・テクノロジであるWS-SecurityのBasic128スイート(具体的には、機密保護に使用するRSAキー・メカニズム、整合性に使用するSHA-1ハッシング・アルゴリズム、およびAES-128ビット暗号化)を使用して提供されます。アイデンティティは、UsernameToken WS-Security SOAPヘッダーに指定されたユーザー名を使用して設定されます。サブジェクトは、現在構成されているアイデンティティ・ストアに対して確立されます。
SAMLトークン
次の4つの「SAMLトークン」ポリシーがあります。
WSS 1.0 SAMLトークン・ポリシー:
wss10_saml_token_service_policy
このポリシーでは、WS-Security SOAPヘッダーのSAMLトークンに指定された資格証明を使用することによってユーザーが認証されます。SAMLトークンに指定された資格証明は、SAMLログイン・モジュールに対して認証されます。このポリシーは、SOAPベースのあらゆるエンドポイントに適用できます。
メッセージ整合性付きWSS 1.0 SAMLトークン
wss10_saml_token_with_message_integrity_service_policy
このポリシーは、メッセージ・レベルの整合性保護と、WS-Security 1.0標準に従ったインバウンドSOAPリクエストのSAMLベースの認証を行います。また、このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイート、具体的には、メッセージ整合性のためのSHA-1ハッシュ・アルゴリズムが使用されます。
メッセージ保護付きWSS 1.0 SAMLトークン
wss10_saml_token_with_message_protection_service_policy
このポリシーは、メッセージ・レベルの保護と、WS-Security 1.0標準に従ったインバウンドSOAPリクエストのSAMLベースの認証を行います。WS-SecurityのBasic 128スイートの非対称キー・テクノロジ、具体的には、機密保護のためのRSAキー・メカニズム、整合性のためのSHA-1ハッシュ・アルゴリズム、およびAES-128ビット暗号化が使用されます。
メッセージ保護付きWSS 1.1 SAMLトークン
wss11_saml_token_with_message_protection_service_policy
このポリシーは、メッセージ・レベルの保護(メッセージ整合性とメッセージ機密保護)、およびWS-Security 1.1標準に従ったインバウンドSOAPリクエストのSAMLベースの認証を行います。メッセージは、WS-Securityの対称鍵テクノロジのBasic 128スイートを使用して保護されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。キーストアは、セキュリティ構成を使用して構成されます。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明を構成済アイデンティティ・ストアに対するユーザーの検証に使用します。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
キーストアは、セキュリティ構成を使用して構成されます。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明を構成済アイデンティティ・ストアに対するユーザーの検証に使用します。
ポリシーをプロデューサ・エンドポイントに添付する手順は次のとおりです。
Fusion Middleware Controlを開き、ターゲット・ドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6項「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「アプリケーションのデプロイ」ノードを開き、ポリシーの添付先のプロデューサをクリックします。
「アプリケーションのデプロイ」メニューから、「Webサービス」を選択します。
このプロデューサの「Webサービスのサマリー」ページが表示されます(図37-1を参照)。
「Webサービス・エンドポイント」タブを開き、ポリシーの添付先のエンドポイントをクリックします。
|
注意: マークアップ・サービス・ポートのみを保護する必要があります(WSRP_V2_Markup_ServiceおよびWSRP_V1_Markup_Service)。 |
このプロデューサの「Webサービス・エンドポイント」ページが表示されます(図37-2を参照)。
「ポリシー」タブを開いて、プロデューサに現在添付されているポリシーを表示します(図37-3を参照)。
「アタッチ/デタッチ」をクリックして、ポリシーを追加または削除します。
使用可能なポリシーとその説明が示された「ポリシーの添付/解除」ページが表示されます(図37-4を参照)。
「使用可能なポリシー」で、検索するポリシー・カテゴリとしてCategoryおよびSecurityを選択し、「検索」アイコンをクリックすると、セキュリティ・ポリシーが表示されます。
添付するポリシーを選択し、「添付」をクリックします。複数のポリシーを選択するには、[Ctrl]キーを使用します。
「添付されたポリシー」の下のリストにポリシーが表示されます(図37-5を参照)。
プロデューサ・エンドポイントに添付するポリシーの追加が終了したら、「OK」をクリックします。
WSRPプロデューサにキーストアを作成および構成する手順は、使用しているWebCenter PortalまたはPortal Frameworkアプリケーション環境のトポロジによって異なります。これらの手順については、次の各項で説明しています。
キーストアを設定するための詳細な手順およびWSRPプロデューサを構成する際のWS-Securityのその他の側面については、これらの項を参照してください。
共有鍵をメッセージの整合性保護のために定義できますが、これはSSLとともに使用する必要があります。共有鍵をパスワード資格証明として格納する手順は次のとおりです。
管理サーバー・インスタンスの資格証明ストアに、パスワード資格証明として共有鍵を定義します。これは、Fusion Middleware ControlまたはWLSTを使用して実行できます。
Webプロデューサを再起動して、テスト・ページにアクセスします。アプリケーション・ログをチェックして、共有鍵が適切に適用されていることを確認します。
|
注意: 共有鍵の使用では、メッセージの整合性保護のみを実施できます。完全なメッセージ保護には、SSLが必要です。SSLを使用したPDK-Javaポートレット保護の詳細は、第35.5項「SSLを使用したWebCenter Portalからポートレット・プロデューサへの接続の保護」を参照してください。 |
管理サーバー・インスタンスの資格証明ストアに、Fusion Middleware ControlコマンドまたはWLSTコマンドを使用して、パスワード資格証明として共有鍵を定義できます。これらについて、次の各項で説明します。
Fusion Middleware Controlを使用して共有鍵を定義する手順は、次のとおりです。
Fusion Middleware Controlにログインします。
Fusion Middleware Controlへのログインの詳細は、第6項「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、ターゲット・ドメイン(wc_domainなど)をクリックします。
「WebLogicドメイン」メニューの「セキュリティ」→「資格証明」を選択します。
「資格証明」ペインが表示されます(図37-6を参照)。
「マップの作成」をクリックし、「マップ名」としてPDKと入力して、「OK」をクリックします。
「キーの作成」をクリックして、作成したマップ(PDK)を選択します。
「ユーザー名」(この値は使用されないため、どのような値でも指定できます)、「キー」(pdk.<service_id>.sharedKeyの形式。<service_id>はプロデューサの名前)および「パスワード」(10から20桁の16進数)に値を入力して、「OK」をクリックします。
「資格証明」ペインに新規共有鍵が表示されます(図37-7を参照)。
次の手順で説明するように、WLSTを使用して共有鍵を定義することもできます。
第1.13.3.1項「Oracle WebLogic Scripting Tool (WLST)コマンドの実行」に示されているとおりにWLSTを起動し、ターゲット・ドメインの管理サーバー・インスタンスに接続します。
次のコマンドを使用して、ターゲット・ドメインの管理サーバーに接続します。
connect('user_name','password, 'host_id:port')
ここで:
user_nameは、管理サーバーへのアクセスに使用されるユーザー・アカウントの名前です(例: weblogic)。
passwordは、管理サーバーにアクセスするためのパスワードです。
host_idは、管理サーバーのホストIDです。
portは、管理サーバーのポート番号です(例: 7001)。
WLST createCredコマンドを使用して、プロデューサの共有鍵資格証明を資格証明ストアに追加します。
createCred(map='PDK', key='pdk.service_id.sharedKey.user_name', user='user_name', password='password')
ここで:
service_idは、共有鍵の作成対象のプロデューサの名前です(例: omniPortlet)。
user_nameは、ユーザーの名前です。この値は使用されないため、どのような値でも指定できます。
passwordは、10から20桁の16進数値です。
例:
createCred(map='PDK', key='pdk.omniPortlet.sharedKey', user='sharedKey', password='1234567890abc')
|
注意: 資格証明の作成後は、前述のものと同じパラメータを指定したWLSTupdateCredコマンドを使用して、資格証明を更新できます。 |
プロデューサを再起動します。
Webプロデューサでは、初めてリクエストを処理する際(ブラウザ・テスト・ページ・リクエストやプロデューサの初回登録時など)にプロパティが適用されるため、共有鍵資格証明の設定後にプロデューサを再起動する必要があります。
PDK-Javaプロデューサの登録については、第21.4項「Oracle PDK-Javaプロデューサの登録」で説明されています。 共有鍵にPDK-Javaプロデューサを登録する場合、次の操作も実行する必要があります。
プロデューサの登録時に、「プロデューサ・セッションの有効化」オプションを選択します。
「ポートレット・プロデューサ接続の追加」セクションで、資格証明マップの作成時に使用するパスワードを共有鍵として入力します。
