この付録は、Oracle Web Services Manager(Oracle WSM)のポリシー・ステップのリファレンスです。
表A-1に、各ポリシー実行ポイントで使用できるポリシー・ステップを示します。
注意: Oracle Web Services Managerでは、SOAPバージョン1.1のみサポートしています。 |
表A-1 ポリシー実行ポイントでサポートされるポリシー・ステップ脚注 1
ステップ | ゲートウェイ | エージェント脚注 2 | |||
---|---|---|---|---|---|
OC4J脚注 3 | AXIS脚注 4 | ||||
クライアント | サーバー | クライアント | サーバー | ||
Active Directoryの認証 |
○ |
○ |
○ |
○ |
○ |
Active Directoryの認可 |
○ |
○ |
○ |
○ |
○ |
署名の復号化と検証 |
○ |
○ |
○ |
○ |
○ |
資格証明の抽出 |
○ |
○ |
○ |
○ |
○ |
ファイルの認証 |
○ |
○ |
○ |
○ |
○ |
ファイルの認可 |
○ |
○ |
○ |
○ |
○ |
一般的な障害の処理 |
○ |
NA |
NA |
○ |
○ |
Oracle Access Managerトークンの挿入 |
○ |
NA |
NA |
○ |
○ |
WSBASIC資格証明の挿入 |
○ |
○ |
○ |
○ |
○ |
LDAPの認証 |
○ |
○ |
○ |
○ |
○ |
LDAPの認可 |
○ |
○ |
○ |
○ |
○ |
ログ |
○ |
○ |
○ |
○ |
○ |
Oracle Access Managerの認証と認可 |
○ |
○ |
○ |
○ |
○ |
SAML - WSS 1.0送信者保証トークンの挿入 |
○ |
NA |
NA |
○ |
NA |
SAML - WSS 1.0トークンの検証 |
○ |
○ |
○ |
NA |
○ |
メッセージの署名 |
○ |
○ |
○ |
○ |
○ |
メッセージの署名と暗号化 |
○ |
○ |
○ |
○ |
○ |
SiteMinderの認証 |
○ |
○ |
○ |
○ |
○ |
SiteMinderの認可 |
○ |
○ |
○ |
○ |
○ |
証明書の検証 |
○ |
○ |
○ |
○ |
○ |
署名の検証 |
○ |
○ |
○ |
○ |
○ |
XML復号化 |
○ |
○ |
○ |
○ |
○ |
XML暗号化 |
○ |
○ |
○ |
○ |
○ |
XML変換 |
○ |
○ |
○ |
○ |
○ |
脚注 1 NA = 適用なし
脚注 2 各種エージェントの詳細は、『Oracle Web Services Managerデプロイメント・ガイド』を参照してください。
脚注 3 OC4JエージェントはOC4Jにネイティブです。このタイプのエージェントを使用するには、エージェントをデプロイするOC4Jの管理者権限が必要です。
脚注 4 AXISエージェントはフィルタ・エージェントであり、Webサービスまたはクライアント・アプリケーションに挿入されます。AXISエージェントは、AXISスタックベースのWebサービスの保護に使用されます。
Microsoft Active Directoryを使用して、送信者のIDを検証します。
使用方法
ユーザー名とパスワードを使用して送信者を認証します。
前提として必要なステップ
資格証明の抽出
プロパティ
表A-2 Active Directoryのプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
ADホスト |
ユーザー・スキーマを含む、Active Directoryサーバーが動作しているホスト名。 |
ADポート |
Active Directoryサーバーが接続をリスニングしているポート。 |
AD SSLポート |
Active DirectoryサーバーがSSL接続をリスニングしているポート。 |
AD baseDN |
ベースの識別名。ユーザーとグループ(ロールとしても知られる)のデータがこのActive Directoryサーバーに対して存在します。 |
ADドメイン |
ユーザーのActive Directoryドメイン。john.doe@oracle.comの場合、ドメインoracle.comを指定します。 |
ADSSLEnabled |
trueに設定されている場合、Active Directoryへの接続にSSLが使用されます。 |
Uid属性 |
ユーザーを一意に識別する属性。検索フィルタで使用されます。 |
取得するユーザー属性 |
認証後に読み取られるユーザー・プロファイル属性。これらの属性は、取得した値を使用して属性の記述を挿入するSAML: WSS 1.0送信者保証トークンの挿入などの後続のステップで使用できます。カスタム・ポリシー・ステップでもこれらの属性を使用できます。 |
想定される次のステップ
Active Directoryの認可
Microsoft Active Directoryを使用して、送信者のリクエストを許可または拒否します。
使用方法
Active Directoryのユーザー・グループ・メンバーシップに基づき、サービスへのアクセスを認可します。アクセスが許可されるためには、ユーザーがServiceRolesプロパティで構成されたグループのメンバーである必要があります。
前提として必要なステップ
Active Directoryの認証
プロパティ
表A-3 Active Directoryの認可のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
ADホスト |
ユーザーおよびそのロールを含む、Active Directoryサーバーが動作しているホスト名。 |
ADポート |
Active Directoryサーバーが接続をリスニングしているポート。 |
AD SSLポート |
Active DirectoryサーバーがSSL接続をリスニングしているポート。 |
AD baseDN |
ベースの識別名。ユーザーとグループ(ロールとしても知られる)のデータがこのActive Directoryサーバーに対して存在します。 |
ServiceRoles |
サービスにアクセスできるサービス・ロールの、カンマで区切られたリスト。 |
ADAdminUser |
Active Directoryサーバーに接続して、スキーマに対して検索を実行する権限を持つ管理者ユーザー。 |
ADAdminPwd |
Active Directoryサーバーに接続する権限を持つ管理者ユーザーのパスワード。 |
ADドメイン |
ユーザーのActive Directoryドメイン。john.doe@oracle.comの場合、ドメインoracle.comを指定します。 |
ADSSLEnabled |
Active Directory接続をSSL接続にする必要がある場合、trueに設定します。 |
Uid属性 |
Active Directoryでのユーザー・エントリを一意に識別する、uidなどの属性。 |
想定される次のステップ
推奨する次のステップはありません。
XMLメッセージを復号化し、署名が有効であるかどうかを検証します。
使用方法
メッセージを復号化してから署名を検証します。最初に署名してから暗号化する順序でメッセージが保護された場合にのみ、このポリシー・ステップを使用できます。
その他の状況では、署名の検証やXML復号化のポリシー・ステップをそれぞれ使用してください。たとえば、次のようになります。
暗号化と署名が逆の順序で行われた場合、つまりメッセージを暗号化してから署名した場合、署名の検証ステップの後にXML復号化ステップを使用します。これは、暗号化と署名が1つのステップで行われた場合にも、個別のステップで行われた場合にも当てはまります。
メッセージを暗号化して署名しなかった場合、XML復号化ステップを使用します。
メッセージを署名して暗号化しなかった場合、署名の検証ステップを使用します。
前提として必要なステップ
なし
プロパティ
表A-4 署名の復号化と検証のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
復号化実行者のキーストアの場所 |
復号化に使用する秘密鍵を含む、ローカル・ファイル・システム上のキーストアの場所。 |
復号化キーストア・タイプ |
キーストアのファイル形式。有効な値は次のとおりです。
|
復号化実行者のキーストアのパスワード |
復号化のキーストアにアクセスするためのパスワード。 |
復号化実行者の秘密鍵の別名 |
復号化に使用する秘密鍵の別名。 |
暗号化の強制 |
trueに設定されている場合、Oracle WSMは、暗号化されていないメッセージの通過を許可しません。 |
検証キーストアの場所 |
署名の検証に使用する公開鍵を含む、ローカル・ファイル・システム上のキーストアの場所。 |
検証キーストア・タイプ |
キーストアのファイル形式。有効な値は次のとおりです。
|
検証キーストアのパスワード |
検証キーストアにアクセスするためのパスワード。 |
署名者の公開鍵の別名 |
署名の検証に使用する公開鍵の別名。 |
署名の削除 |
選択した場合、検証の成功後にSOAPセキュリティ・ヘッダーから署名が削除されます。 |
署名の強制 |
trueに設定されている場合、Oracle WSMは、署名していないメッセージの通過を許可しません。 |
想定される次のステップ
資格証明の抽出
資格証明を見つけて、抽出し、認証可能なフォームでその資格証明を表します。資格証明の抽出元の場所を把握する必要があります。
前提として必要なステップ
メッセージが保護された場合、XMLメッセージの復号化または署名の検証、あるいはその両方に必要な適切なステップを最初に実行する必要があります。
プロパティ
表A-5 資格証明の抽出のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このプロパティは有効です。 |
資格証明の場所 |
資格証明の抽出元の場所。次の4つの場所が考えられます。
|
ネームスペース |
UserID xpathおよびパスワードxpathプロパティで使用する接頭辞のための、接頭辞とネームスペースUniform Resource Identifier(URI)のペアが空白で区切られたリスト。たとえば、次のようになります。
URI自体に空白が含まれている場合、文字%20に置換する必要があります。 このパラメータは、資格証明の場所プロパティがXPath式で指定されている場合のみ適用されます。 |
UserID xpath |
ユーザー名のXPath。このXPathは、資格証明の場所プロパティで指定されたXPathに関連します。たとえば、次のようになります。
このパラメータは、資格証明の場所プロパティがXPath式で指定されている場合のみ適用されます。 |
パスワードxpath |
パスワードのXPath。このXPathは、資格証明の場所プロパティで指定されたXPathに関連します。たとえば、次のようになります。
このパラメータは、資格証明の場所プロパティがXPath式で指定されている場合のみ適用されます。 |
想定される次のステップ
次のステップは資格証明の認証です。これは、Active Directoryの認証、Oracle Access Managerの認証と認可、ファイルの認証、LDAPの認証またはSiteMinderの認証のいずれかのステップを使用して行われます。
ファイル内のエントリと照らし合せて確認することにより、送信者のIDを検証します。
使用方法
ほとんどの場合、テスト状況で使用します。ファイル形式は、Apache Webサーバーで使用する.htpasswdファイル形式と同じです。パスワードは、MD5、SHA1、プレーン・テキスト、またはこれら3つを組み合せた形式でエンコードできます。
Oracle Web Services Managerで使用するMD5形式は、その他のMD5エンコーディングと互換性がありません。したがって、MD5エンコーディングを使用する場合、パスワードのエンコード用に提供されるツールを使用する必要があります。
wsmadmin
コマンドライン・ツールは次の場所にあります。
ORACLE_HOME
/OWSM_1/owsm/bin
暗号化されていないユーザー名とパスワードを含んだテキスト・ファイルを作成します。たとえば、テキスト・ファイルpassword.txtに次のエントリが含まれるとします。
johndoe:baseball janedoe:rollarskating
md5encode
コマンドは、ユーザー名とパスワードの組合せごとに実行する必要があります。
次に、ツールを実行するコマンドを示します。
wsmadmin md5encode
htpasswdfile
user_name password
パラメータは次のとおりです。
htpasswdfile
: ユーザー名とパスワードを追加するファイルの名前
user_name
: テキスト・ファイルのユーザー名
password
: ユーザーに割り当てられたパスワード
たとえば、次のようになります。
ORACLE_HOME
/OWSM_1/owsm/bin/wsdadmin.sh md5encode johndoe baseball C:/password.txt
wsmadmin
ツールにより、暗号化されていないテキストで入力したパスワードが暗号化された形式に置き換えられます。次に示すのは、コマンド実行後のファイル内のエントリの例です。
johndoe:{MD5}JMnhX1KvxHwiW3V+e+4fnQ== janedoe:{MD5}dqIXO+Y5M1TnL/pNbfEDCg==
前提として必要なステップ
資格証明の抽出
プロパティ
表A-6 ファイルの認証のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
パスワードのファイルの場所 |
ユーザー名とパスワードを含むファイルの場所。フルパスまたは相対パスを入力できます。ゲートウェイおよびOC4Jエージェントの場合、ORACLE_HOME/j2ee/homeを基準にした相対パスになります。 |
.htpasswdファイル形式 |
パスワードを暗号化する形式。有効な値は次のとおりです。
|
想定される次のステップ
ファイルの認可
ローカル・ロール・ファイルを使用して、認証されたユーザーに対してアクセスを許可または拒否します。
使用方法
ほとんどの場合、テスト状況で使用します。
ロール情報が、次の形式を使用してテキスト・ファイルで定義されます。
<user username=
"name_of_user
" roles=
role_1,
role_2,
role_n
"/>
各エントリは、ユーザーと、そのユーザーが割り当てられているロールを特定します。各ユーザーのエントリは、ファイルの各行にあります。サンプル・ファイルは、ORACLE_HOME/owsm/config/gateway/roles.xmlにあります。
ユーザーが割り当てられているロールが、許可されたロール・プロパティで定義するいずれかのロールと一致する場合、そのユーザーはサービスへのアクセスを許可されます。
前提として必要なステップ
ファイルの認証
プロパティ
表A-7 ファイルの認可のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
ユーザー・ロール・ファイルの場所 |
ユーザー・ロールを記述するファイルの場所。フルパスまたは相対パスを入力できます。ゲートウェイおよびOC4Jエージェントの場合、ORACLE_HOME/j2ee/homeを基準にした相対パスになります。 |
許可されたロール |
サービスへのアクセスが認可されたロールの、カンマで区切られたリスト。 |
想定される次のステップ
推奨する次のステップはありません。
エラーが発生すると、SOAP障害でカスタム・メッセージを提供します。
使用方法
ポリシーの処理でエラーが発生した場合に返されるSOAP障害のメッセージをカスタマイズします。
前提として必要なステップ
なし
プロパティ
表A-8 一般的な障害の処理のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
CustomMessage |
エラー・ハンドラが返すメッセージ・テキスト。このメッセージは、デフォルトのOracle WSMエラー・メッセージをオーバーライドします。 |
想定される次のステップ
推奨する次のステップはありません。
SOAPセキュリティ・ヘッダーにObSSOCookieを挿入します。
使用方法
クライアントがHTTPヘッダーでObSSOCookieを送信し、WebサービスがSOAPセキュリティ・ヘッダーでObSSOCookieを要求する場合に、ゲートウェイのポリシー実行ポイントで使用します。
前提として必要なステップ
なし
プロパティ
想定される次のステップ
トークンを保護するには、メッセージの署名またはメッセージの署名と暗号化のポリシー・ステップを使用します。
SOAPセキュリティ・ヘッダーにユーザー名とパスワードの資格証明を挿入します。
使用方法
クライアントの資格証明が1つの形式で指定され、WebサービスがWS-BASIC SOAPヘッダーで資格証明を要求する場合に、ゲートウェイのポリシー実行ポイントで使用します。まず資格証明の抽出ステップを使用して資格証明を取得し、次にWSBASIC資格証明の挿入を使用して、Web Services Security Username Tokenプロファイル1.0で指定するように、SOAPヘッダーにWSBASIC資格証明を挿入します。
前提として必要なステップ
資格証明の抽出
プロパティ
表A-10 WSBASIC資格証明の挿入のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
ユーザー名 |
ユーザーの資格証明のユーザー名。 |
ユーザーのパスワード |
ユーザーの資格証明のパスワード。 |
想定される次のステップ
トークンを保護するには、このステップの後に、メッセージの署名と暗号化ポリシー・ステップを実行してください。
LDAPディレクトリでユーザー名とパスワードを確認することにより、送信者のIDを検証します。
使用方法
Webサービスを起動しようとしているのが有効なクライアントかどうかを検証します。
前提として必要なステップ
資格証明の抽出
プロパティ
表A-11 LDAPの認証のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
LDAPホスト |
LDAPディレクトリ・サーバーが動作しているホスト。認証に必要なユーザー・スキーマが含まれます。 |
LDAPポート |
LDAPディレクトリ・サーバーが接続をリスニングしているポート。 |
LDAP SSLポート |
LDAPディレクトリ・サーバーがSSL接続をリスニングしているポート。 |
ユーザーobjectclass |
認証が行われているユーザーのオブジェクト・クラス。 |
LDAP baseDN |
ベースの識別名。ユーザーとグループ(ロールとしても知られる)のデータがこのLDAPディレクトリ・サーバーに対して存在します。 |
LDAP adminDN |
このプロパティは、LDAP管理ログインの有効化プロパティがtrueに設定されている場合に必要です。管理者用の識別名です。cn=DirectoryManagerなどです。 |
LDAP管理パスワード |
LDAP管理ログインの有効化プロパティがtrueに設定されている場合の管理ユーザーのパスワード。 |
LDAP管理ログインの有効化 |
管理ユーザーがLDAPディレクトリ・サーバーに接続する必要がある場合、trueに設定します。falseに設定すると、匿名アクセスが許可されます。 |
LDAPSSLEnabled |
LDAP接続をSSL接続にする必要がある場合、trueに設定します。 |
Uid属性 |
LDAPでのユーザー・エントリを一意に識別する、uidなどのプロパティ。 |
取得するユーザー属性 |
読み取られるユーザー・プロファイルのプロパティ。これらのプロパティは、取得した値を使用して属性の記述を挿入するSAML: WSS 1.0送信者保証トークンの挿入などの後続のステップで使用できます。カスタム・ポリシー・ステップでもこれらの属性を使用できます。 |
想定される次のステップ
LDAPの認可
LDAPディレクトリ・サーバーを使用して、認証されたユーザーにアクセスを許可または拒否します。
使用方法
LDAPのユーザー・グループ・メンバーシップに基づき、Webサービスへのアクセスを認可します。アクセスが許可されるためには、ユーザーがServiceRolesプロパティで構成されたグループのメンバーである必要があります。
前提として必要なステップ
LDAPの認証
プロパティ
表A-12 LDAPの認可のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
LDAPホスト |
ユーザーおよびそのロールを含む、LDAPディレクトリ・サーバーが動作しているホスト。 |
LDAPポート |
LDAPディレクトリ・サーバーが接続をリスニングしているポート。 |
LDAP SSLポート |
LDAPディレクトリ・サーバーがSSL接続をリスニングしているポート。 |
LDAP baseDN |
ベースの識別名。ユーザーとグループ(ロールとしても知られる)のデータがこのLDAPディレクトリ・サーバーに対して存在します。ユーザーとグループの両方のルートDNにベースの識別名を設定します。たとえば、ユーザーがcn=users、dc=company、dc=comにあり、グループがcn=groups、dc=company、dc=comにある場合、LDAP baseDNをdc=company、dc=comに設定してください。 |
ServiceRoles |
サービスにアクセスできるロール。名前で空白を示すにはアスタリスクを使用します。たとえば、Customer Supportというロールの場合、Customer*Supportと指定します。 |
LDAPAdminDN |
管理者用の識別名です。このプロパティは、LDAPAdminLoginEnabledプロパティがtrueに設定されている場合に必要です。falseに設定すると、匿名バインドが許可されます。 |
LDAPAdminPwd |
LDAPAdminLoginEnabledプロパティがtrueに設定されている場合の管理ユーザーのパスワード。 |
LDAPAdminLoginEnabled |
管理ユーザーがLDAPディレクトリ・サーバーに接続する必要がある場合、trueに設定します。falseに設定すると、匿名バインドが許可されます。 |
LDAPSSLEnabled |
LDAPへの接続にSSLを使用する必要がある場合はtrueに設定します。 |
Uid属性 |
LDAPでのユーザー・エントリを一意に識別する、uidなどの属性。 |
LDAPグループ・オブジェクト・クラス |
LDAPグループのオブジェクト・クラスの名前。 |
想定される次のステップ
推奨する次のステップはありません。
現在のメッセージを、このポリシー・ステップで受信したメッセージとして記録します。
使用方法
これ以外のポリシー・ステップをデバッグします。デバッグするポリシー・ステップの後にログ・ステップを挿入すると、そのステップでメッセージがどのように変更されたかがわかります。
メッセージはデータベースに格納され、Web Services Manager Controlから表示できます。
前提として必要なステップ
なし
プロパティ
表A-13 ログのプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
ログ・レベル |
メッセージのどの部分についてログを記録するかを指定します。有効な値は、envelope、body、headerおよびallです。値envelopeおよびallは同じであることに注意してください。 |
想定される次のステップ
推奨するポリシー・ステップはありません。
Oracle Access Managerで送信者のIDを検証します。送信者が認証されると、Oracle Access Managerポリシーを使用して送信者にアクセス権が付与されます。
使用方法
認証と認可を1つのステップに組み合せます。デフォルトで、認証が自動的に実行され、認可が実行されます。認可パラメータで認可を無効にできます。
Oracle Access Managerは、資格証明を抽出し、次の順序で送信者を認証します。
HTTPヘッダーのObSSOCookie
SOAPヘッダーのObSSOCookie
以前の資格証明の抽出ステップで抽出されたユーザー名とパスワード
以前の署名の検証ステップで抽出された署名証明書
トランスポート・レイヤーで使用するSSL証明書
SOAPヘッダーのObSSOCookieは、Security/BinarySecurityToken/@ValueType = ObSSOCookie
を使用してBinarySecurityToken
として設定する必要があります。
Oracle Access Managerは、最初にHTTPヘッダーにObSSOCookieがあるかどうかを確認します。ObSSOCookieを検出した場合、これを使用して送信者を認証します。検出しない場合、引き続きSOAPヘッダーにObSSOCookieがあるかどうかを確認します。前述の順序で、資格証明が見つかるまで検索が続けられます。
認可プロパティがtrueに設定されている場合、認可ルールを使用してOracle Access Managerで構成されているポリシーに基づいて認可が実行されます。次のタイプの認可を実行できます。
グループのメンバーシップ(静的または動的)
認可に基づく時間帯
インターネット・プロトコル(IP)検証
Oracle Access Managerの認可プラグインを使用するカスタム認可
必要な構成
Oracle Access Managerの認証と認可は、Java Native Interface(JNI)ライブラリを使用します。そのため、共有ライブラリをロードするために環境変数を設定する必要があります。詳細は、『Oracle Web Services Managerデプロイメント・ガイド』の付録E「認証ソース」を参照してください。
ユーザーの属性またはグループの情報
ユーザー属性またはユーザー・グループの情報を取得する必要があるのは、後続のポリシー・ステップ(たとえば、SAML: WSS 1.0送信者保証トークンの挿入)またはカスタム・ポリシー・ステップでそれらの情報が必要になる場合です。このような情報は、Oracle Access Managerの認証と認可ステップを使用して取得できます。Oracle Access Managerの戻りアクション機能を使用する必要があります。アクセス・システム・コンソールを使用して、アクションを認証ルールに追加します。「アクション」ページの「認証成功」セクションで、「戻り」セクションを探します。次のフィールドに値を指定します。
ユーザー属性を取得するには、次の値を入力します。
タイプ: HeaderVar
名前: 属性を識別するための名前を選択して入力します。後続のポリシー・ステップではこの名前を使用して属性を参照する必要があることに注意してください。たとえば、SAML: WSS 1.0送信者保証トークンの挿入ポリシー・ステップの「属性の記述に関するユーザー属性」パラメータに入力する名前です。
戻り属性: LDAPユーザー属性名を入力します。LDAPディレクトリ内で属性を識別するための名前を使用する必要があります。
ユーザー・グループを取得するには、次の値を入力します。
タイプ: HeaderVar
名前: 属性を識別するための名前を選択して入力します。後続のポリシー・ステップではこの名前を使用して属性を参照する必要があることに注意してください。たとえば、SAML: WSS 1.0送信者保証トークンの挿入ポリシー・ステップまたはカスタム・ステップの、「属性の記述に関するユーザー属性」パラメータに入力する名前です。
戻り属性: obmygroups
取得した属性またはグループの情報は、SAML: WSS 1.0送信者保証トークンの挿入ポリシー・ステップまたはカスタム・ステップで使用できます。
戻りアクションを設定する方法の詳細は、『Oracle Access Managerアクセス管理ガイド』の認証アクションに関する項を参照してください。
前提として必要なステップ
資格証明の立証に使用する方法によって異なりますが、資格証明の抽出または署名の検証が前提として必要です。
プロパティ
表A-14 Oracle Access Managerの認証と認可のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
リソース・タイプ |
保護対象のリソースのタイプ(HTTPなど)。Oracle Access Managerポリシーで構成するリソース・タイプと一致する必要があります。 |
AccessGateインストール・ディレクトリ |
AccessServerSDKをインストールするディレクトリ。 |
認可 |
trueに設定されている場合、認可が実行されます。 |
ForwardCookie |
trueに設定されている場合、ObSSOCookieがヘッダーに挿入されます。 |
想定される次のステップ
これが、クライアントのIDを検証するクライアント側のポリシーである場合、想定される次のステップは、SAML: WSS 1.0送信者保証トークンの挿入です。
これが、Webサービスへのアクセスを検証するサーバー側のポリシーである場合、想定される次のステップは、取得したユーザー属性に基づいてユーザーを認可するカスタム・ステップです。
SAMLアサーションを挿入してSOAPメッセージを保護します。オプションで、アサーションに署名できます。
使用方法
SAML 1.1アサーションを使用して、セキュリティ・ドメイン間で統一した方法でユーザーの資格証明を送信します。トークンはWeb Services Security SAML Token Profile 1.0(WSS STP 1.0)に準拠し、送信者保証確認方法を使用します。ユーザーの認証および属性の記述と、署名済アサーションまたは無署名アサーションの両方を、SOAPメッセージの一部として送信できます。Oracle WSMはSAML発行者として機能し、WS-Security SAML準拠のサード・パーティ製ツールは、Oracle WSMで生成したSAMLアサーションを消費できます。
前提として必要なステップ
資格証明の抽出
属性の記述がアサーションに含まれる場合、LDAPの認証、Oracle Access Managerの認証と認可またはActive Directoryの認証を使用して、属性の値を取得する必要があります。
プロパティ
表A-15 SAML: WSS 1.0送信者保証トークンの挿入のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
サブジェクト名修飾子 |
サブジェクト名を修飾するセキュリティ・ドメインまたは管理ドメイン。 |
サブジェクト形式 |
サブジェクトの識別に使用する構文。有効な値は次のとおりです。
|
アサーション発行者 |
アサーションの発行者。URI形式で発行者を指定します。 アサーション発行者のURIに空白は使用できません。エントリを区切るにはカンマを使用します。 |
現在の時間より前のアサーション有効時間 |
システムの現在の時間より前にアサーションが有効な時間(秒数)。このプロパティは、IDプロバイダをホストするコンピュータとWebサービス・プロバイダをホストするコンピュータ間にあるわずかな時間差を考慮します。 |
現在の時間以降のアサーション有効時間 |
システムの現在の時間から、アサーションの期限が切れて有効でなくなるまでの時間(秒数)。 |
属性の記述に関するユーザー属性 |
SAML属性の記述がアサーションで生成される場合の、カンマで区切られたユーザー属性。このプロパティを指定する場合、ユーザー属性を抽出するこのステップの前に認証ステップを行う必要があります。 |
ユーザー属性に対応するネームスペースURI |
属性の記述に関するユーザー属性プロパティで指定した属性に使用する、カンマで区切られたネームスペースURI。 |
アサーションの署名 |
trueに設定されている場合、SAMLアサーションおよびSOAPボディに署名します。 |
キーストアの場所 |
署名に使用するキーストアの場所。 |
キーストア・タイプ |
キーストアのファイル形式。有効な値は次のとおりです。
|
キーストアのパスワード |
キーストア・ファイルのパスワード。 |
署名の方法 |
メッセージの署名に使用するアルゴリズム。署名キーの別名に使用する署名アルゴリズムと同じにします。有効な値は次のとおりです。
|
署名キーの別名 |
メッセージの署名に使用するキーの別名。 |
署名キーのパスワード |
署名キーの別名のパスワード。 |
想定される次のステップ
SOAPメッセージを暗号化する場合、XML暗号化を使用します。
Web Services Security SAML Token Profile 1.0(WSS STP 1.0)標準に従い、SAMLトークンを検証します。
使用方法
SAMLアサーションとして送信されたユーザーの資格証明を検証します。SAML 1.1プロトコルを使用するセキュリティ・ドメイン間で統一した方法で、アサーションがクライアントによって送信されます。受信するトークンは、Web Services Security SAML Token Profile 1.0(WSS STP 1.0)標準に準拠する必要があります。ユーザーの認証と属性の記述の両方を検証できます。受信するアサーションに署名することも、署名しないようにすることもできます。Oracle WSMはSAML発行者として機能し、WS-Security SAML準拠のサード・パーティ製ツールは、Oracle WSMで生成したSAMLアサーションを消費できます。
前提として必要なステップ
メッセージを暗号化した場合、まずXML復号化を使用してメッセージを復号化する必要があります。
プロパティ
表A-16 SAML - WSS 1.0トークンの検証のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
信頼できるアサーション発行者の名前 |
信頼できるアサーション発行者の、カンマで区切られた名前のリスト。アサーション発行者のURIに空白は使用できません。 |
署名したアサーションのみを許可 |
trueに設定されている場合、アサーションの署名が必要です。署名していないアサーションは拒否されます。 |
トラスト・ストアの場所 |
信頼できるルートと中間認証証明書を含むキーストアの場所。 |
トラスト・ストアのタイプ |
トラスト・ストアのファイル形式。有効な値は次のとおりです。
|
トラスト・ストアのパスワード |
キーストアのパスワード。 |
想定される次のステップ
SubjectNameのみを使用してユーザーを追加認証するために、Oracle Access Managerの認証と認可ステップを使用できます。認証にユーザーIDのみを使用しているOracle Access Managerでは、この処理のための認証方式を構成する必要があります。
属性の記述に基づく認可は、カスタム・ステップで実行できます。次のAPIを介して、カスタム・ステップでSAMLアサーションを使用できます。
ArrayList[] IMessageContext.getProperty("SAML_ASSERTIONS");
ArrayList[]
は、文字列の配列です。
メッセージにデジタル署名を行います。
使用方法
メッセージの整合性を保護します。
前提として必要なステップ
なし
プロパティ
表A-17 メッセージの署名のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
キーストアの場所 |
キーストア・ファイルの場所。 |
署名キーストア・タイプ |
署名に使用するキーストア形式のタイプ。 |
キーストアのパスワード |
キーストア・ファイルのパスワード。 |
署名者の秘密鍵の別名 |
署名操作に使用するキーの別名。 |
署名者の秘密鍵のパスワード |
署名キーの別名のパスワード。 |
署名アルゴリズム |
データの署名に使用するブロック暗号。有効な値は、RSA-SHA1およびDSA-SHA1です。 |
署名されるコンテンツ |
署名するSOAPエンベロープの一部。有効な値は、BODY、HEADERS、ENVELOPEまたはXPATHです。デフォルトはBODYです。 |
署名XPATH式 |
署名する要素のXPath式( |
署名XMLネームスペース |
XPath式の、カンマで区切られたネームスペースURL。 注意: ネームスペースURIは、XMLドキュメントのネームスペースURIと正確に一致する必要があります。たとえば、スラッシュ(/)がURIの最後にある場合は、これも署名XMLネームスペースに含める必要があります。 |
想定される次のステップ
推奨する次のステップはありません。
XMLメッセージに署名を付け、メッセージを暗号化します。
使用方法
メッセージの整合性と機密保護の両方を保護します。これを行うには、保護された部分が読み取られないように、メッセージに署名して、メッセージ全体またはその一部を暗号化します。
前提として必要なステップ
なし
プロパティ
表A-18 メッセージの署名と暗号化のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
署名キーストアの場所 |
キーストア・ファイルの場所。 |
署名キーストア・タイプ |
署名に使用するキーストア形式のタイプ。 |
署名キーストアのパスワード |
キーストア・ファイルのパスワード。 |
署名者の秘密鍵の別名 |
署名操作のキーの別名。 |
署名者の秘密鍵のパスワード |
署名キーの別名のパスワード。 |
署名アルゴリズム |
データの署名に使用するブロック暗号。有効な値は、RSA-SHA1およびDSA-SHA1です。 |
署名されるコンテンツ |
署名するSOAPエンベロープの一部。有効な値は、BODY、HEADERS、ENVELOPEまたはXPATHです。デフォルトはBODYです。 |
署名XPATH式 |
署名する要素のXPath式( |
署名XMLネームスペース |
XPath式のネームスペースURL。 注意: ネームスペースURIは、XMLドキュメントのネームスペースURIと正確に一致する必要があります。たとえば、スラッシュ(/)がURIの最後にある場合は、これも署名XMLネームスペースに含める必要があります。 |
暗号化キーストアの場所 |
キーストア・ファイルの場所。 |
暗号化キーストア・タイプ |
暗号化に使用するキーストア形式のタイプ。 |
暗号化キーストアのパスワード |
キーストア・ファイルのパスワード。 |
復号化実行者の公開鍵の別名 |
復号化操作のキーの別名。 |
暗号化アルゴリズム |
データの暗号化に使用するブロック暗号。有効な値は、3DES(Triple Data Encryption Standard)、AES-128およびAES-256(Advanced Encryption Standard)です。 |
キー・トランスポート・アルゴリズム |
有効な値は、RSA-1_5およびRSA-OAEP-MGF1Pです。 |
暗号化されるコンテンツ |
暗号化するSOAPエンベロープの一部。有効な値は、BODY、HEADERS、ENVELOPEまたはXPATHです。デフォルトはBODYです。 |
暗号化XPATH式 |
署名する要素のXPath式( |
暗号化XMLネームスペース |
XPath式のネームスペースURL。 注意: ネームスペースURIは、XMLドキュメントのネームスペースURIと正確に一致する必要があります。たとえば、スラッシュ(/)がURIの最後にある場合は、これも暗号化XMLネームスペースに含める必要があります。 |
想定される次のステップ
推奨する次のステップはありません。
CA eTrust SiteMinderアクセス・システムでユーザー名とパスワードを確認して、送信者のIDを検証します。
使用方法
サービスを起動しようとしているのが有効なクライアントであるかどうかを検証します。
前提として必要なステップ
資格証明の抽出
プロパティ
表A-19 SiteMinderの認証のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
SmServerホスト |
CA eTrust SiteMinderサーバーを実行しているシステムのIPアドレス。 |
SmAgent名 |
CA eTrust SiteMinderサーバーで構成されたエージェントの名前。 |
SmAgentのシークレット |
エージェントのパスワード。 |
リソース |
SiteMinderポリシーでBasic認証を使用して構成されたリソースの名前。 |
操作 |
SiteMinderポリシーで構成された操作の名前。 |
想定される次のステップ
SiteMinderの認可
CA eTrust SiteMinderを使用して、認証されたユーザーにアクセスを許可または拒否します。
使用方法
CA eTrust SiteMinderを使用して、ユーザーがアクセスできるかどうかを検証します。
前提として必要なステップ
SiteMinderの認証
プロパティ
表A-20 SiteMinderの認可のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
TransactionID |
CA eTrust SiteMinderサーバーでトランザクションの識別に使用するID。このパラメータはオプションです。 |
想定される次のステップ
推奨する次のステップはありません。
信頼できるルートおよび中間証明書を検証して、証明書パスが有効であるかどうかを検証します。
使用方法
署名またはSSL接続に使用されている証明書が、信頼できるルートおよび中間CA認証局によって発行されたものかどうかを検証します。検証を通過するには、キーストアに実際の証明書と、ルートおよび中間証明書が必要です。
前提として必要なステップ
署名の検証、または署名の復号化と検証。あるいはトランスポート・セキュリティでSSLを使用する場合。
プロパティ
表A-21 証明書の検証のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
キーストアの場所 |
証明書と、その信頼できるルートおよび中間証明書の検証に使用するキーストア・ファイルの場所。 |
キーストアのパスワード |
キーストアにアクセスするためのパスワード。 |
想定される次のステップ
資格証明の抽出
メッセージの整合性を保護するために署名されたXMLメッセージの署名を検証します。
使用方法
XMLメッセージの署名を復号化して検証します。メッセージを2つのステップで暗号化および署名した場合、署名を復号化および検証するポリシー・ステップは逆の順序で実行する必要があります。暗号化および署名が1つのステップで実行された場合、署名の復号化と検証ステップを使用します。
有効プロパティを使用すると、署名の検証が可能です。署名の強制プロパティを使用すると、署名していないメッセージの通過を許可するかどうかを制御できます。
前提として必要なステップ
なし
プロパティ
表A-22 署名の検証のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
キーストアの場所 |
署名および暗号化に使用するキーストア・ファイルの場所。 |
検証キーストア・タイプ |
キーストアのファイル形式。有効な値は次のとおりです。
|
キーストアのパスワード |
キーストア・ファイルにアクセスするためのパスワード。 |
署名者の公開鍵の別名 |
公開鍵の別名。この別名はキーの検索に使用します。 |
署名の削除 |
trueに設定されている場合、署名要素がメッセージから削除されます。その署名要素でメッセージが通過するようにする場合は、falseに設定します。 |
署名の強制 |
trueに設定されている場合、署名していないメッセージの通過は許可されません。falseに設定すると、署名しているメッセージと署名していないメッセージのどちらも許可されます。 |
想定される次のステップ
メッセージを暗号化した後に署名した場合、次のステップはXML復号化です。
それ以外の場合、次のステップは資格証明の抽出になります。
機密保護を目的に暗号化されたXMLメッセージまたはメッセージの一部を復号化します。
使用方法
メッセージを2つの異なるポリシー・ステップで暗号化および署名した場合、署名を復号化および検証するポリシー・ステップは逆の順序で実行する必要があります。暗号化および署名が1つのステップで実行された場合、署名の復号化と検証ステップを使用します。
有効プロパティを使用すると、暗号化されたメッセージの復号化が可能です。暗号化の強制プロパティを使用すると、暗号化されていないメッセージの通過を許可するかどうかを制御できます。
前提として必要なステップ
なし
プロパティ
表A-23 XML復号化のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
キーストアの場所 |
署名および暗号化に使用するキーストア・ファイルの場所。 |
復号化キーストア・タイプ |
キーストアのファイル形式。有効な値は次のとおりです。
|
キーストアのパスワード |
キーストア・ファイルにアクセスするためのパスワード。 |
復号化実行者の秘密鍵の別名 |
メッセージの復号化に使用する秘密鍵の別名。 |
復号化実行者の秘密鍵のパスワード |
復号化に使用する秘密鍵にアクセスするためのパスワード。 |
暗号化の強制 |
trueに設定されている場合、暗号化されたメッセージのみが通過を許可されます。暗号化されていないメッセージの通過は許可されません。falseに設定すると、暗号化されたメッセージと暗号化されていないメッセージのどちらも許可されます。 |
想定される次のステップ
メッセージの署名の後に暗号化した場合、次のステップは署名の検証です。
それ以外の場合、次のステップは資格証明の抽出になります。
XMLメッセージを暗号化します。
使用方法
保護された部分が読み取られないように、メッセージ全体またはその一部の機密を保護します。
前提として必要なステップ
なし
プロパティ
表A-24 XML暗号化のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
キーストアの場所 |
キーストア・ファイルの場所。 |
暗号化キーストア・タイプ |
暗号化に使用するキーストア形式のタイプ。 |
キーストアのパスワード |
キーストア・ファイルのパスワード。 |
復号化実行者の公開鍵の別名 |
暗号化操作のキー。 |
暗号化アルゴリズム |
データの暗号化に使用するブロック暗号。有効な値は、3DES(Triple Data Encryption Standard)、AES-128およびAES-256(Advanced Encryption Standard)です。 |
キー・トランスポート・アルゴリズム |
有効な値は、RSA-1_5およびRSA-OAEP-MGF1Pです。 |
暗号化されるコンテンツ |
暗号化するSOAPエンベロープの一部。有効な値は、BODY、HEADERS、ENVELOPEおよびXPATHです。デフォルトはBODYです。 |
暗号化XPATH式 |
署名する要素のXPath式( |
暗号化XMLネームスペース |
XPath式の、カンマで区切られたネームスペースURL。 注意: ネームスペースURIは、XMLドキュメントのネームスペースURIと正確に一致する必要があります。たとえば、スラッシュ(/)がURIの最後にある場合は、これも暗号化XMLネームスペースに含める必要があります。 |
想定される次のステップ
推奨する次のステップはありません。
XSLTファイルを使用して、受信XMLを変更します。
使用方法
XSLTを使用して、クライアントに変更を求めることなく、エージェントまたはゲートウェイ内でメッセージを変換します。サービス・インタフェースが変わる場合は、すべてのクライアント・インタフェースも変更される必要があります。
XSLTUrlまたはXSLTFileNameプロパティを設定します。両方を設定すると、XSLTUrlが使用されます。
前提として必要なステップ
なし
プロパティ
表A-25 XML変換のプロパティ
プロパティ | 説明 |
---|---|
有効 |
trueに設定されている場合、このステップは有効です。 |
XSLTUrl |
XSLTファイルの場所を指定するURL。 |
XSLTFileName |
Oracle WSMをインストールするシステム上のXSLTファイルのパス。 |
想定される次のステップ
推奨する次のステップはありません。