| Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド 11gリリース1(11.1.1) B56247-01 |
|
 戻る |
 次へ |
この付録では、ポリシーの作成に使用することや、新規ポリシー作成のためにコピーすることが可能な事前定義済アサーション・テンプレートについて説明します。
この章の内容は次のとおりです。
次の項では、セキュリティ・アサーション・テンプレートをより詳細に説明します。
次のリンク(アルファベット順)を使用して、特定のアサーション・テンプレートの説明(クライアントまたはテンプレート)に移動できます。
oracle/wss_http_token_over_ssl_client_templateまたはoracle/wss_http_token_over_ssl_service_template
oracle/wss_http_token_client_templateまたはoracle/wss_http_token_service_template
oracle/wss_oam_token_client_templateまたはoracle/wss_oam_token_service_template
oracle/wss_saml_token_bearer_over_ssl_client_templateまたはoracle/wss_saml_token_bearer_over_ssl_service_template
oracle/wss_saml_token_over_ssl_client_templateまたはoracle/wss_saml_token_over_ssl_service_template
oracle/wss_username_token_over_ssl_client_templateまたはoracle/wss_username_token_over_ssl_service_template
oracle/wss_username_token_client_templateまたはoracle/wss_username_token_service_template
oracle/wss_username_token_over_ssl_client_templateまたはoracle/wss_username_token_over_ssl_service_template
oracle/wss10_message_protection_client_templateまたはoracle/wss10_message_protection_service_template
oracle/wss10_saml_token_client_templateまたはoracle/wss10_saml_token_service_template
oracle/wss10_saml_token_with_message_protection_client_templateまたはoracle/wss10_saml_token_with_message_protection_service_template
oracle/wss10_username_token_with_message_protection_client_templateまたはoracle/wss10_username_token_with_message_protection_service_template
oracle/wss10_x509_token_with_message_protection_client_templateまたはoracle/wss10_saml_token_with_message_protection_service_template
oracle/wss11_kerberos_token_client_templateまたはoracle/wss11_kerberos_token_service_template
oracle/wss11_kerberos_token_with_message_protection_client_templateまたはoracle/wss11_kerberos_token_with_message_protection_service_template
oracle/wss11_saml_token_with_message_protection_client_templateまたはoracle/wss11_saml_token_with_message_protection_service_template
oracle/wss11_username_token_with_message_protection_client_templateまたはoracle/wss11_username_token_with_message_protection_service_template
oracle/wss11_x509_token_with_message_protection_client_templateまたはoracle/wss11_x509_token_with_message_protection_service_template
表C-61に、認証のみを実行するアサーション・テンプレートをまとめ、トークンがトランスポート・レイヤーまたはSOAPヘッダーに組み込まれるかどうかを示します。
表C-1 認証のみのアサーション
| クライアント・テンプレート | サービス・テンプレート | 認証(トランスポート) | 認証(SOAP) | メッセージ保護(トランスポート) | メッセージ保護(SOAP) |
|---|---|---|---|---|---|
|
oracle/wss_http_token_client_template |
oracle/wss_http_token_service_template |
○ |
X |
X |
X |
|
oracle/wss_oam_token_client_template |
oracle/wss_oam_token_service_template |
X |
○ |
X |
X |
|
oracle/wss_username_token_client_template |
oracle/wss_username_token_service_template |
X |
○ |
X |
X |
|
oracle/wss10_saml_token_client_template |
oracle/wss10_saml_token_service_template |
X |
○ |
X |
X |
wss_http_token_client_templateアサーション・テンプレートは、HTTPヘッダー内にユーザー名およびパスワード資格証明を含めます。一方向認証または双方向認証が必要かどうかを制御できます。
設定
表C-2に、wss_http_token_client_templateアサーション・テンプレートの設定をリストします。
表C-2 wss_http_token_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
認証ヘッダー - メカニズム |
認証のメカニズム。 有効な値は次のとおりです。
|
basic |
|
認証ヘッダー - ヘッダー名 |
認証ヘッダーの名前。 |
なし |
|
トランスポート・セキュリティ - 相互認証が必要 |
適用されません。 |
Disabled |
構成
表C-3に、wss_http_token_client_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-3 wss_http_token_client_templateの構成
| 名前 | 説明 |
|---|---|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 次のプロパティを指定します。
|
|
role |
SOAPロール。 次のプロパティを指定します。
|
wss_http_token_service_templateアサーション・テンプレートでは、HTTPヘッダーの資格証明を使用して、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーを認証します。一方向認証または双方向認証が必要かどうかを制御できます。
設定
wss_http_token_service_templateの設定は、クライアント・バージョンのアサーションの設定と同じです。設定の詳細は、表C-2を参照してください。
構成
表C-4に、wss_http_token_service_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-4 wss_http_token_service_templateの構成
| 名前 | 説明 |
|---|---|
|
realm |
HTTPレルム。 次のプロパティを指定します。
|
|
role |
SOAPロール。 次のプロパティを指定します。
|
wss_oam_token_client_templateアサーション・テンプレートは、バイナリ・セキュリティ・トークンの一部として、Oracle Access Managerの資格証明をWS-Securityヘッダーに挿入します。
設定
表C-5に、wss_oam_token_client_templateアサーション・テンプレートの設定をリストします。
構成
表C-6に、wss_oam_token_client_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-6 wss_oam_token_client_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 次のプロパティを指定します。
|
このwss_oam_token_service_templateアサーション・テンプレートは、WS-Securityヘッダーのバイナリ・セキュリティ・トークンの資格証明を使用して、Oracle Access Managerアイデンティティ・ストアに対してユーザーを認証します。
設定
wss_oam_token_service_templateの設定は、クライアント・バージョンのアサーションの設定と同じです。設定の詳細は、表C-5を参照してください。
構成
wss_oam_token_service_templateのアイデンティティ・ストア構成は、クライアント・バージョンのアサーションの設定と同じです。設定の詳細は、表C-6を参照してください。
wss_username_token_client_templateアサーション・テンプレートは、WS-Security UsernameTokenヘッダー内にユーザー名およびパスワード資格証明を使用した認証を含めます。アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
|
注意: このリリースでは、ダイジェスト・パスワードはサポートされていません。 |
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。
設定
表C-7に、wss_username_token_client_templateアサーション・テンプレートの設定をリストします。
表C-7 wss_username_token_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
パスワード・タイプ |
必要なパスワードのタイプ。 有効な値は次のとおりです。
注意: 保護されていないチャネルでトークンの伝播が発生する場合、プレーン・テキスト・タイプはお薦めできません。ただし、クライアントとサーバー間のポイント・ツー・ポイント接続を保護するためにSSLを転送チャネルとして使用している場合は、チャネルでパスワードが保護されるため、プレーン・テキストタイプを使用できます。 |
plaintext |
|
必要なNonce |
リプレイ攻撃を防止するためユーザー名にNonceを含める必要があるかどうかを指定するフラグ。 注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。 |
False |
|
必要な作成時間 |
ユーザー名トークンの作成にタイム・スタンプが必要かどうかを指定するフラグ。 注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。 |
False |
構成
表C-8に、wss_username_token_client_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-8 wss_username_token_client_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 次のプロパティを指定します。
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 次のプロパティを指定します。
|
wss_username_token_service_templateアサーション・テンプレートは、WS-Security UsernameToken SOAPヘッダー内のユーザー名およびパスワード資格証明を使用した認証を実行します。アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
|
注意: このリリースでは、ダイジェスト・パスワードはサポートされていません。 |
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。
設定
wss_username_token_service_templateの設定は、クライアント・バージョンのアサーションの設定と同じです。設定の詳細は、表C-7を参照してください。
構成
表C-9に、wss_username_token_service_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-9 wss_username_token_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 次のプロパティを指定します。
|
wss10_saml_token_client_templateアサーション・テンプレートは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。SAMLトークンは自動的に作成されます。
設定
表C-10に、wss10_saml_token_client_templateアサーション・テンプレートの設定をリストします。
表C-10 wss10_saml_token_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は1.1のみです。 |
1.1 |
|
確認タイプ |
確認タイプ。次の値のみ有効です。
|
sender-vouches |
構成
表C-11に、wss10_saml_token_client_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-11 wss10_saml_token_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.roles.include |
指定するSOAPロール。 次のプロパティを指定します。
|
|
saml.issuer.name |
SAMLトークンの発行者の名前。 次のプロパティを指定します。
|
wss10_saml_token_service_templateアサーション・テンプレートは、WS-Security SOAPヘッダー内のSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
設定
wss10_saml_token_service_templateの設定は、クライアント・バージョンのアサーションの設定と同じです。設定の詳細は、表C-10を参照してください。
構成
表C-12に、wss10_saml_token_service_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-12 wss10_saml_token_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 次のプロパティを指定します。
|
wss11_kerberos_token_client_templateアサーション・テンプレートでは、WS-Security Kerberos Token Profile v1.1標準に従い、WS-SecurityヘッダーにKerberosトークンを含めます。
設定
表C-13に、wss11_kerberos_token_client_templateアサーション・テンプレートの設定をリストします。
表C-13 wss11_kerberos_token_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
Kerberosトークン・タイプ |
Kerberosトークンのタイプ。有効な値は、gss-apreq-v5(Kerberosバージョン5 GSS-API)のみです。 |
gss-apreq-v5 |
構成
表C-14に、wss11_kerberos_token_client_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-14 wss11_kerberos_token_client_templateの構成
| 名前 | 説明 |
|---|---|
|
service.principal.name |
サービスを識別するKerberosプリンシパルの名前。 次のプロパティを指定します。
|
wss11_kerberos_token_service_templateアサーション・テンプレートは、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。このテンプレートは、SOAPヘッダーからKerberosトークンを抽出し、ユーザーを認証します。コンテナには、Oracle Platform Security Servicesを介して構成されたKerberosインフラストラクチャが含まれている必要があります。
設定
wss11_kerberos_token_service_templateの設定は、クライアント・バージョンのアサーションの設定と同じです。設定の詳細は、表C-13を参照してください。
構成
表C-15に、wss11_kerberos_token_service_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-15 wss11_kerberos_token_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 次のプロパティを指定します。
|
表C-16に、メッセージ保護のみを実行するアサーション・テンプレートをまとめ、トークンがトランスポート・レイヤーまたはSOAPヘッダーに組み込まれるかどうかを示します。
表C-16 認証のみのアサーション
| クライアント・テンプレート | サービス・テンプレート | 認証(トランスポート) | 認証(SOAP) | メッセージ保護(トランスポート) | メッセージ保護(SOAP) |
|---|---|---|---|---|---|
|
oracle/wss10_message_protection_client_template |
oracle/wss10_message_protection_service_template |
X |
X |
X |
○ |
|
oracle/wss11_message_protection_client_template |
oracle/wss11_message_protection_service_template |
X |
X |
X |
○ |
wss10_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
設定
表C-17に、wss10_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-17 wss10_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者署名鍵参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者暗号化キー参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
「リクエスト・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
構成
表C-18に、wss10_message_protection_client_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-18 wss10_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。セキュリティ実行時には、この別名を使用して構成済のキーストアからピア証明書が抽出され、ピアへのメッセージが暗号化されます。 次のプロパティを指定します。
|
|
role |
SOAPロール。 次のプロパティを指定します。
|
wss10_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
設定
wss10_message_protection_service_templateの設定は、クライアント・バージョンのアサーションと同じです。設定の詳細は、表C-17を参照してください。
構成
表C-19に、wss10_message_protection_client_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-19 wss10_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 次のプロパティを指定します。
|
wss11_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
設定
表C-20に、wss11_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-20 wss11_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
シグネチャの確認 |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
True |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は次のとおりです。
|
thumbprint |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
「リクエスト・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
構成
表C-21に、wss11_message_protection_client_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-21 wss11_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。セキュリティ実行時には、この別名を使用して構成済のキーストアからピア証明書が抽出され、ピアへのメッセージが暗号化されます。 次のプロパティを指定します。
|
|
role |
SOAPロール。 次のプロパティを指定します。
|
wss11_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
設定
wss11_message_protection_service_templateの設定は、クライアント・バージョンのアサーションと同じです。設定の詳細は、表C-20を参照してください。
構成
表C-22に、wss11_message_protection_service_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-22 wss11_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 次のプロパティを指定します。
|
表C-23に、メッセージ保護および認証の両方を実行するアサーション・テンプレートをまとめ、トークンがトランスポート・レイヤーまたはSOAPヘッダーに組み込まれるかどうかを示します。
表C-23 メッセージ保護および認証のアサーション
wss_http_token_over_ssl_client_templateアサーション・テンプレートは、アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を含め、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーを認証します。
設定
表C-24に、wss_http_token_over_ssl_client_templateアサーション・テンプレートの設定をリストします。
表C-24 wss_http_token_over_ssl_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
認証ヘッダー - メカニズム |
認証のメカニズム。 有効な値は次のとおりです。
|
basic |
|
認証ヘッダー - ヘッダー名 |
認証ヘッダーの名前。 |
なし |
|
トランスポート・セキュリティ - 相互認証が必要 |
双方向認証が必要かどうかを指定するフラグ。 有効な値は次のとおりです。
|
Disabled |
構成
表C-25に、wss_http_token_over_ssl_client_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-25 wss_http_token_over_ssl_client_templateの構成
| 名前 | 説明 |
|---|---|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 次のプロパティを指定します。
|
|
role |
SOAPロール。 次のプロパティを指定します。
|
wss_http_token_over_ssl_service_templateアサーション・テンプレートでは、HTTPヘッダーの資格証明を抽出し、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーを認証します。
設定
wss_http_token_over_ssl_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーションと同じです。設定の詳細は、表C-24を参照してください。
構成
表C-26に、wss_http_token_service_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-26 wss_http_token_over_ssl_service_templateの構成
| 名前 | 説明 |
|---|---|
|
realm |
HTTPレルム。 次のプロパティを指定します。
|
|
role |
SOAPロール。 次のプロパティを指定します。
|
wss_saml_token_bearer_over_ssl_client_templateアサーション・テンプレートは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。確認方法がBearerのSAMLトークンが自動的に作成されます。
設定
表C-27に、wss_saml_token_bearer_over_ssl_client_templateアサーション・テンプレートの設定をリストします。
表C-27 wss_saml_token_bearer_over_ssl_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。有効なアルゴリズム・スイートには、Basic128、Basic256およびTripleDESが含まれています。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic256 |
構成
定義されていません。
wss_saml_token_bearer_over_ssl_service_templateアサーション・テンプレートは、WS-Security SOAPヘッダー内の確認方法がBearerのSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
設定
wss_saml_token_bearer_over_ssl_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーションと同じです。設定の詳細は、表C-27を参照してください。
構成
定義されていません。
wss_saml_token_over_ssl_client_templateアサーション・テンプレートは、sender-vouches確認タイプを使用して、WS-Security SOAPヘッダーのSAMLトークンに含まれる資格証明の認証を可能にします。
設定
表C-28に、wss_saml_token_over_ssl_client_templateアサーション・テンプレートの設定をリストします。
表C-28 wss_saml_token_over_ssl_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。有効なアルゴリズム・スイートには、Basic128、Basic256およびTripleDESが含まれています。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic256 |
構成
定義されていません。
wss_saml_token_over_ssl_service_templateは、sender-vouchesタイプを使用して、WS-Security SOAPヘッダーのSAMLトークンに含まれる資格証明の認証を実行します。
設定
wss_saml_token_over_ssl_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーションと同じです。設定の詳細は、表C-28を参照してください。
構成
定義されていません。
wss_username_token_over_ssl_client_templateアサーション・テンプレートは、SOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を含めます。アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
|
注意: このリリースでは、ダイジェスト・パスワードはサポートされていません。 |
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。
設定
表C-29に、wss_username_token_over_ssl_client_templateアサーション・テンプレートの設定をリストします。
表C-29 wss_username_token_over_ssl_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
パスワード・タイプ |
必要なパスワードのタイプ。 有効な値は次のとおりです。
注意: 保護されていないチャネルでトークンの伝播が発生する場合、プレーン・テキスト・タイプはお薦めできません。ただし、クライアントとサーバー間のポイント・ツー・ポイント接続を保護するためにSSLを転送チャネルとして使用している場合は、チャネルでパスワードが保護されるため、プレーン・テキストタイプを使用できます。 |
plaintext |
|
必要なNonce |
リプレイ攻撃を防止するためユーザー名にNonceを含める必要があるかどうかを指定するフラグ。 注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。 |
False |
|
必要な作成時間 |
ユーザー名トークンの作成にタイム・スタンプが必要かどうかを指定するフラグ。 注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。 |
False |
|
相互認証が必要 |
双方向認証が必要かどうかを指定するフラグ。 有効な値は次のとおりです。
|
Disabled |
構成
表C-30に、wss_username_token_over_ssl_client_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-30 wss_username_token_over_ssl_client_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 次のプロパティを指定します。
|
|
csf-key |
Oracle Platform Security Services(OPSS)アイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 次のプロパティを指定します。
|
wss_username_token_over_ssl_service_templateアサーション・テンプレートは、UsernameToken WS-Security SOAPヘッダーの資格証明を使用して、Oracle Platform Security Servicesの構成済のアイデンティティ・ストアに対してユーザーを認証します。アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
|
注意: このリリースでは、ダイジェスト・パスワードはサポートされていません。 |
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。
設定
wss_username_token_over_ssl_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーションと同じです。設定の詳細は、表C-30を参照してください。
構成
表C-31に、wss_username_token_over_ssl_service_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-31 wss_username_token_over_ssl_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 次のプロパティを指定します。
|
wss10_saml_hok_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、アウトバウンドSOAPメッセージのメッセージ保護(整合性および機密保護)と、SAML鍵所有者ベースの認証を行います。
設定
表C-32に、wss10_saml_hok_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-32 wss10_saml_hok_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は1.1のみです。 |
1.1 |
|
確認タイプ |
確認タイプ。有効な値はholder-of-keyのみです。 |
holder-of-key |
|
署名済 |
ユーザー名を署名するかどうかを指定するフラグ。SAMLポリシーの場合、有効な値はTrueのみです。 |
True |
|
暗号化済 |
ユーザー名を暗号化するかどうかを指定するフラグ。 |
False |
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
ski |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は次のとおりです。
|
direct |
|
受信者署名鍵参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者暗号化キー参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
「リクエスト・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
構成
表C-33に、wss10_saml_hok_with_message_protection_client_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-33 wss10_saml_hok_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。セキュリティ実行時には、この別名を使用して構成済のキーストアからピア証明書が抽出され、ピアへのメッセージが暗号化されます。 次のプロパティを指定します。
|
|
saml.issuer.name |
SAMLトークン発行者の名前識別子。 次のプロパティを指定します。
|
|
user.roles.include |
SOAPロールを含めるかどうかを指定するフラグ。 次のプロパティを指定します。
|
|
saml.assertion.filename |
SAMLトークン・ファイルの名前。 次のプロパティを指定します。
|
wss10_saml_hok_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ・レベルの保護と、SAML鍵所有者ベースの認証を行います。
設定
wss10_saml_hok_with_message_protection_service_templateの設定は、クライアント・バージョンのアサーションの設定と同じです。設定の詳細は、表C-32を参照してください。
構成
表C-34に、wss10_saml_hok_with_message_protection_service_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-34 wss10_saml_hok_with_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 次のプロパティを指定します。
|
wss10_saml_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、アウトバウンドSOAPメッセージのメッセージ・レベルの保護と、SAMLベースの認証を行います。
Webサービス・コンシューマにはSOAPヘッダーのSAMLトークンが含まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
設定
表C-35に、wss10_saml_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-35 wss10_saml_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は1.1のみです。 |
1.1 |
|
確認タイプ |
確認タイプ。有効な値はsender-vouchesのみです。 |
sender-vouches |
|
署名済 |
ユーザー名を署名するかどうかを指定するフラグ。SAMLポリシーの場合、有効な値はTrueのみです。 |
True |
|
暗号化済 |
ユーザー名を暗号化するかどうかを指定するフラグ。 |
False |
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者署名鍵参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者暗号化キー参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
「リクエスト・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
構成
表C-36に、wss10_saml_token_with_message_protection_client_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-36 wss10_saml_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。セキュリティ実行時には、この別名を使用して構成済のキーストアからピア証明書が抽出され、ピアへのメッセージが暗号化されます。 次のプロパティを指定します。
|
|
user.roles.include |
SOAPロールを含めるかどうかを指定するフラグ。 次のプロパティを指定します。
|
|
saml.issuer.name |
SAMLトークン発行者の名前識別子。 次のプロパティを指定します。
|
wss10_saml_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。
Webサービス・コンシューマにはSOAPヘッダーのSAMLトークンが含まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
設定
wss10_saml_token_with_message_protection_service_templateの設定は、クライアント・バージョンのアサーションの設定と同じです。設定の詳細は、表C-36を参照してください。
構成
表C-37に、wss10_saml_token_with_message_protection_service_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-37 wss10_saml_token_with_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 次のプロパティを指定します。
|
wss10_username_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と認証を行います。資格証明は、アウトバウンドSOAPメッセージのWS-Security UsernameTokenヘッダーに含まれます。
アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
|
注意: このリリースでは、ダイジェスト・パスワードはサポートされていません。 |
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
設定
表C-38に、wss10_username_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-38 wss10_username_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
パスワード・タイプ |
必要なパスワードのタイプ。 有効な値は次のとおりです。
|
plaintext |
|
必要なNonce |
リプレイ攻撃を防止するためユーザー名にNonceを含める必要があるかどうかを指定するフラグ。 注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。 |
False |
|
必要な作成時間 |
ユーザー名トークンの作成にタイム・スタンプが必要かどうかを指定するフラグ。 注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。 |
False |
|
署名済 |
ユーザー名を署名するかどうかを指定するフラグ。 |
True |
|
暗号化済 |
ユーザー名を暗号化するかどうかを指定するフラグ。 |
True |
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者署名鍵参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者暗号化キー参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
「リクエスト・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
構成
表C-39に、wss10_username_token_with_message_protection_client_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-39 wss10_username_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 次のプロパティを指定します。
|
|
role |
SOAPロール。 次のプロパティを指定します。
|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。セキュリティ実行時には、この別名を使用して構成済のキーストアからピア証明書が抽出され、ピアへのメッセージが暗号化されます。 次のプロパティを指定します。
|
wss10_username_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と認証を行います。
アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
|
注意: このリリースでは、ダイジェスト・パスワードはサポートされていません。 |
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
設定
wss10_username_token_with_message_protection_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーションの設定と同じです。設定の詳細は、表C-38を参照してください。
構成
表C-40に、wss10_username_token_with_message_protectin_service_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-40 wss10_username_token_with_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 次のプロパティを指定します。
|
wss10_x509_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、証明書資格証明の移入を行います。
設定
表C-38に、wss10_x509_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-41 wss10_x509_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者署名鍵参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者暗号化キー参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
「リクエスト・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
構成
表C-42に、wss10_x509_token_with_message_protection_client_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-42 wss10_x509_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 次のプロパティを指定します。
|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。セキュリティ実行時には、この別名を使用して構成済のキーストアからピア証明書が抽出され、ピアへのメッセージが暗号化されます。 次のプロパティを指定します。
|
wss10_x509_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、証明書ベースの認証を行います。
設定
wss10_x509_token_with_message_protection_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーションの設定と同じです。設定の詳細は、表C-41を参照してください。
構成
表C-43に、wss10_x509_token_with_message_protection_service_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-43 wss10_x509_token_with_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 次のプロパティを指定します。
|
wss11_kerberos_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security Kerberos Token Profile v1.1標準に従い、WS-SecurityヘッダーにKerberosトークンを含めます。
設定
表C-44に、wss11_kerberos_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-44 wss11_kerberos_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
Kerberosトークン・タイプ |
Kerberosトークンのタイプ。有効な値は、gss-apreq-v5(Kerberosバージョン5 GSS-API)のみです。 |
gss-apreq-v5 |
|
シグネチャの確認 |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
True |
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
TripleDes |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
「リクエスト・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
構成
表C-45に、wss11_kerberos_token_with_message_protection_client_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-45 wss11_kerberos_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
service.principal.name |
サービスを識別するKerberosプリンシパルの名前。 次のプロパティを指定します。
|
wss11_kerberos_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。このテンプレートは、SOAPヘッダーからKerberosトークンを抽出し、ユーザーを認証します。コンテナには、Oracle Platform Security Servicesを介して構成されたKerberosインフラストラクチャが含まれている必要があります。
設定
wss11_keberos_token_with_message_protection_service_templateの設定は、クライアント・バージョンのアサーションの設定と同じです。設定の詳細は、表C-44を参照してください。
構成
不要。
表C-46 wss11_kerberos_token_with_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 次のプロパティを指定します。
|
wss11_saml_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.1に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLトークンの移入を可能にします。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
設定
表C-47に、wss11_saml_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-47 wss11_saml_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は1.1のみです。 |
なし |
|
確認タイプ |
確認タイプ。有効な値はsender-vouchesです。 |
sender-vouches |
|
署名済 |
ユーザー名を署名するかどうかを指定するフラグ。SAMLポリシーの場合、有効な値はTrueのみです。 |
True |
|
暗号化済 |
ユーザー名を暗号化するかどうかを指定するフラグ。 |
False |
|
シグネチャの確認 |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
True |
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
thumbprint |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
「リクエスト・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
構成
表C-47に、wss11_saml_token_with_message_protection_client_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-48 wss11_saml_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
saml.issuer.name |
SAMLトークン発行者の名前識別子。 次のプロパティを指定します。
|
|
role |
SOAPロール。 次のプロパティを指定します。
|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。セキュリティ実行時には、この別名を使用して構成済のキーストアからピア証明書が抽出され、ピアへのメッセージが暗号化されます。 次のプロパティを指定します。
|
wss11_saml_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ・レベルの整合性の保護と、SAMLベースの認証を行います。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。
設定
wss11_saml_token_with_message_protection_service_templateの設定は、クライアント・バージョンのアサーションの設定と同じです。設定の詳細は、表C-47を参照してください。
構成
表C-46に、wss11_saml_token__with_message_protection_service_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-49 wss11_saml_token_with_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 次のプロパティを指定します。
|
oracle/wss11_username_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security v1.1標準に従って認証およびメッセージ保護を含めます。
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
設定
表C-50に、wss11_username_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-50 wss11_username_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
パスワード・タイプ |
必要なパスワードのタイプ。 有効な値は次のとおりです。
|
plaintext |
|
必要なNonce |
リプレイ攻撃を防止するためユーザー名にNonceを含める必要があるかどうかを指定するフラグ。 注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。 |
False |
|
必要な作成時間 |
ユーザー名トークンの作成にタイム・スタンプが必要かどうかを指定するフラグ。 注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。 |
False |
|
署名済 |
ユーザー名を署名するかどうかを指定するフラグ。 |
True |
|
暗号化済 |
ユーザー名を暗号化するかどうかを指定するフラグ。 |
True |
|
シグネチャの確認 |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
True |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。 有効な値は次のとおりです。
|
thumbprint |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic256 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
「リクエスト・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
構成
表C-51に、wss11_username_token_with_message_protection_client_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-51 wss11_username_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 次のプロパティを指定します。
|
|
role |
SOAPロール。 次のプロパティを指定します。
|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。セキュリティ実行時には、この別名を使用して構成済のキーストアからピア証明書が抽出され、ピアへのメッセージが暗号化されます。 次のプロパティを指定します。
|
oracle/wss11_username_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security v1.1標準に従って認証およびメッセージ保護を実行します。
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。リプレイ攻撃から保護するため、アサーションには、タイム・スタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
設定
wss11_username_token_with_message_protection_service_templateの設定は、クライアント・バージョンのアサーションの設定と同じです。設定の詳細は、表C-50を参照してください。
構成
表C-52に、wss11_username_token_with_message_protection_service_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-52 wss11_username_token_with_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 次のプロパティを指定します。
|
wss11_x509_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、証明書ベースの認証を行います。資格証明は、SOAPメッセージのWS-Securityバイナリ・セキュリティ・トークンに含まれます。
設定
表C-53に、wss11_x509_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-53 wss11_x509_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
シグネチャの確認 |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
True |
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
thumbprint |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
「リクエスト・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-64を参照してください。 |
N/A |
構成
表C-54に、wss11_x509_token_with_message_protection_client_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-54 wss11_x509_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 次のプロパティを指定します。
|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。セキュリティ実行時には、この別名を使用して構成済のキーストアからピア証明書が抽出され、ピアへのメッセージが暗号化されます。 次のプロパティを指定します。
|
wss11_x509_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ・レベルの保護と、証明書ベースの認証を行います。証明書は、WS-Securityバイナリ・セキュリティ・トークン・ヘッダーから抽出され、証明書内の資格証明はOracle Platform Security Servicesアイデンティティ・ストアに対して検証されます。
設定
wss11_x509_token_with_message_protection_service_templateの設定は、クライアント・バージョンのアサーションの設定と同じです。設定の詳細は、表C-53を参照してください。
構成
表C-55に、wss11_x509_token_with_message_protection_service_templateアサーション・テンプレートのアイデンティティ・ストア構成をリストします。
表C-55 wss11_x509_token_with_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 次のプロパティを指定します。
|
表C-56に、認可に使用されるアサーション・テンプレートをまとめます。それぞれの認可アサーション・テンプレートは、認証アサーション・テンプレートの後に続ける必要があります。
表C-56 認可アサーション・テンプレート
| サービス・テンプレート | 説明 |
|---|---|
|
oracle/binding_authorization_template |
SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロールベースの認可を行います。 |
|
oracle/binding_permission_authorization_template |
SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単な権限ベースの認可を行います。 |
|
oracle/component_authorization_template |
SOAコンポーネント・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロールベースの認可を行います。 |
|
oracle/component_permission_authorization_template |
SOAコンポーネント・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単な権限ベースの認可を行います。 |
binding_authorization_templateアサーション・テンプレートは、SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロールベースの認可を行います。認証アサーション・テンプレートの後に続ける必要があります。
設定
表C-57にbinding_authorization_templateアサーション・テンプレートの設定をリストします。
表C-57 binding_authorization_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
アクション・パターン |
認可チェックが実行されるアクションまたはWebサービス操作。この値は、値のカンマ区切りのリストにすることもできます。このフィールドではワイルドカードを使用できます。 たとえば、 |
actionMatchPattern |
|
リソース・パターン |
認可チェックが実行されるリソースの名前。このフィールドではワイルドカードを使用できます。 たとえば、Webサービスの名前空間が |
resourceMatchPattern |
|
認証設定 |
認可されたロールを指定します。 有効な値は次のとおりです。
ロールを追加するには、次のようにします。
ロールを削除するには、次のようにします。
|
選択したロール |
構成
定義されていません。
binding_permission_authorization_templateアサーションは、SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単な権限ベースの認可を行います。認証アサーションの後に続ける必要があります。
|
注意: system-jazn-data.xmlで指定したセキュリティ権限の緩和は、複数のサービス操作の実施に適用されるため、権限ベースのポリシーをEJBで使用する場合は注意が必要です。 |
設定
表C-58にbinding_permission_authorization_templateアサーション・テンプレートの設定をリストします。
表C-58 binding_permission_authorization_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
制約パターン |
今後の使用のため予約済です。 |
N/A |
|
アクション・パターン |
権限ベースの確認が実行されるアクションまたはWebサービス操作。この値は、値のカンマ区切りのリストにすることもできます。このフィールドではワイルドカードを使用できます。 たとえば、 |
* |
|
リソース・パターン |
権限ベースの確認が実行されるリソースの名前。このフィールドではワイルドカードを使用できます。 たとえば、Webサービスの名前空間が |
* |
|
権限チェック・クラス |
権限ベースの確認に使用されるクラス。 |
N/A |
構成
定義されていません。
component_authorization_templateアサーションは、SOAコンポーネント・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロールベースの認可を行います。認証アサーションの後に続ける必要があります。
設定
表C-59にcomponent_authorization_templateアサーション・テンプレートの設定をリストします。
表C-59 component_authorization_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
認証設定 |
認可されたロールを指定します。 有効な値は次のとおりです。
ロールを追加するには、次のようにします。
ロールを削除するには、次のようにします。
|
選択したロール |
構成
定義されていません。
component_permission_authorization_templateアサーションは、SOAコンポーネント・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単な権限ベースの認可を行います。認証アサーションの後に続ける必要があります。
|
注意: system-jazn-data.xmlで指定したセキュリティ権限の緩和は、複数のサービス操作の実施に適用されるため、権限ベースのポリシーをEJBで使用する場合は注意が必要です。 |
設定
表C-60にcomponent_permission_authorization_templateアサーション・テンプレートの設定をリストします。
表C-60 component_permission_authorization_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
制約パターン |
今後の使用のため予約済です。 |
N/A |
|
アクション・パターン |
権限ベースの確認が実行されるアクションまたはWebサービス操作。この値は、値のカンマ区切りのリストにすることもできます。このフィールドではワイルドカードを使用できます。 たとえば、 |
* |
|
リソース・パターン |
権限ベースの確認が実行されるリソースの名前。このフィールドではワイルドカードを使用できます。 たとえば、Webサービスのコンポジット名が |
* |
|
権限チェック・クラス |
権限ベースの確認に使用されるクラス。 |
N/A |
構成
定義されていません。
表C-61に、管理アサーション・テンプレートをまとめます。
security_log_templateアサーション・テンプレートは、すべてのバインディングまたはコンポーネントに添付可能な、ロギング・アサーション・テンプレートを提供します。
|
注意: ロギング・アサーションは、デバッグおよび監査にのみ使用することをお薦めします。 |
設定
表C-62に、security_log_templateアサーション・テンプレートの設定をリストします。
表C-62 security_log_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
リクエスト |
ロギング・リクエスト・メッセージの要件。 有効な値は次のとおりです。
|
all |
|
レスポンス |
ロギング・レスポンス・メッセージの要件。有効な値は、前述の「リクエスト」と同じです。 |
soap_body |
構成
定義されていません。
表C-63に、メッセージ保護でサポートされているアルゴリズム・スイートを示します。アルゴリズム・スイートを使用すると、メッセージ保護に使用されるアルゴリズムの暗号文字を制御できます。
表C-63 サポートされているアルゴリズム・スイート
| アルゴリズム・スイート | Digest | 暗号化 | 対称鍵のラップ | 非対称鍵のラップ | 暗号化鍵の導出 | 署名キーの導出 | 署名キーの最小長 |
|---|---|---|---|---|---|---|---|
|
Basic256 |
Sha1 |
Aes256 |
KwAes256 |
KwRsaOaep |
PSha1L256 |
PSha1L192 |
256 |
|
Basic192 |
Sha1 |
Aes192 |
KwAes192 |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
|
Basic128 |
Sha1 |
Aes128 |
KwAes128 |
KwRsaOaep |
PSha1L128 |
PSha1L128 |
128 |
|
TripleDes |
Sha1 |
TripleDes |
KwTripleDes |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
|
Basic256Rsa15 |
Sha1 |
Aes256 |
KwAes256 |
KwRsa15 |
PSha1L256 |
PSha1L192 |
256 |
|
Basic192Rsa15 |
Sha1 |
Aes192 |
KwAes192 |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
|
Basic128Rsa15 |
Sha1 |
Aes128 |
KwAes128 |
KwRsa15 |
PSha1L128 |
PSha1L128 |
128 |
|
TripleDesRsa15 |
Sha1 |
TripleDes |
KwTripleDes |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
表C-64に、リクエスト、レスポンスおよびフォルト・メッセージの設定をリストします。これらの設定は、メッセージの署名および暗号化用に構成します。
表C-64 リクエスト、レスポンスおよびフォルト・メッセージへの署名と暗号化の設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
本体全体を含める |
SOAPメッセージのボディ全体に署名するか暗号化します。 falseの場合は、「本体要素」セクションを使用して特定の本体要素を追加できます。 |
リクエストおよびレスポンス・メッセージの場合はTrue フォルト・メッセージの場合はFalse |
|
添付を含める |
添付ファイル付きSOAPメッセージに署名するか暗号化します。 注意: このフィールドは、MTOMアタッチメントには適用されません。 |
False |
|
MIMEヘッダーとともに添付を含める |
MIMEヘッダー付きのSOAP添付ファイルに署名するか暗号化します。 注意: このフィールドは、「添付を含める」フィールドが有効化されている場合に適用できます。このフィールドは、MTOMアタッチメントには適用されません。 |
False |
|
ヘッダー要素 |
指定されたSOAPヘッダー要素に署名するか暗号化します。 ヘッダー要素を追加するには、次のようにします。
ヘッダー要素を編集するには、次のようにします。
ヘッダー要素を削除するには、次のようにします。
|
なし |
|
本体要素 |
注意: このフィールドは、「本体全体を含める」が無効化されている場合に使用できます。 指定された本体要素に署名するか暗号化します。このフィールドは、「ボディを含める」が無効化されている場合に使用できます。 本体要素を追加するには、次のようにします。
本体要素を編集するには、次のようにします。
本体要素を削除するには、次のようにします。
|
なし |
