| Oracle SOA Suite開発者ガイド 10g(10.1.3.1.0) B31839-01 |
|
 前へ |
 次へ |
この項では、Oracle Web Services Managerのセキュリティ・ポリシーおよびポリシー・パイプラインについて説明し、実装ステップの高レベルな概要を示します。
Oracle Web Services Manager Agentは、エンドツーエンドのセキュリティを実装するサイトを対象としています。 このコンポーネントは、ビジネス・プロセス実行の最初から最後までを保護するように設計されています。 エージェントは、サービス・エンドポイントがすでにクライアントに認識されていて、そのエンドポイントの変更を望まない状況における設定にも使用できます。
一方、ゲートウェイは、セキュリティの要衝をデプロイする必要がある場合に使用されます。 これは、集中した場所で複数のセキュリティ・ポリシーを採用できるファイアウォールに類似しています。 ゲートウェイは、エージェントが実行できないメッセージ・ルーティング、トランスフォーメーションおよびフェイルオーバーなどの機能を実行することもできます。
|
注意: エージェントは、ゲートウェイとともに使用できます。 一方の使用によって、他方の使用が妨げられることはありません。 |
ポリシーは、Webサービスを管理および保護するために使用します。ポリシーには、認証、認可、暗号化、復号化、プロトコル・トランスフォーメーションなどのタスクが含まれます。
前述したように、ポリシーは、ゲートウェイとエージェントの2種類のポリシー実行点にデプロイできます。
管理者は、次のステップからポリシーを組み立てることができます。
Oracle Web Services Managerに同梱されている事前定義のポリシー・ステップ
カスタム・ポリシー・ステップ
各ステップは、そのステップが適用されるメッセージ・ストリーム内の位置に応じて、次の4つのポリシー・パイプラインのいずれかに割り当てられます。
リクエスト前パイプライン。受信Webサービス・リクエストの事前処理時に実行されるポリシー・ステップが含まれます。
リクエスト・パイプライン。受信リクエストの処理時に実行されるポリシー・ステップが含まれます。
レスポンス・パイプライン。送信リクエストの処理時に実行されるポリシー・ステップが含まれます。
レスポンス後パイプライン。レスポンス・パイプラインのポリシー・ステップが処理された後に、送信リクエストを処理する場合に実行されるポリシーが含まれます。
リクエスト前パイプラインおよびレスポンス後パイプラインの概要
Oracle Web Services Managerには、サービスを柔軟に管理できるように、受信ストリームと送信ストリームの両方に対して2つのパイプライン・セットが用意されています。
リクエスト前パイプラインおよびレスポンス後パイプラインは、会社全体および部門全体のポリシーを設定するために使用できます。 たとえば、リクエスト前パイプラインは、受信Webサービス・リクエストの事前処理時に構成されます。
一方、リクエスト・パイプラインおよびレスポンス・パイプラインは、特定のサービスに対して追加のポリシー実行ステップを提供するために使用されます。 これらのサービスの管理者は、追加のポリシー・ステップを実装するためにパイプラインを使用できます。
SOA Order Bookingアプリケーションでは、顧客は、Webインタフェースを介してアプリケーションにサインオンし、製品を注文します。 顧客が「Place Order」ボタンをクリックすると、(Oracle Enterprise Service Busフレームワークで開発された)OrderBookingESBフローが起動されます。 次に、このフローによって、Webクライアントからの情報がルーティングされてSOAOrderBooking BPELフローが起動されます。
SOAOrderBooking BPELフローによって、注文プロセスが処理されます。注文がデータベース表に挿入されると、顧客データがクレジット・カードの検証のために与信検証サービスに送信されます。
一部のセキュリティ上の問題は、このアプリケーション・フローで処理する必要があります。
Oracle BPEL Process Managerが受け取る受信資格証明の認証
BPELパートナ・サービスに対するセキュリティを実行するために、Oracle WSM Server AgentをBPELパートナ・サービスにデプロイできます。 たとえば、WS-SecurityのUsernameトークンを使用して、サービスに対する認証を要求できます。
第10.3項「Oracle Web Services Manager Server Agentを使用したユーザーの認証」では、Oracle BPEL Process Managerと、エージェントによって保護されたパートナ・サービス間での認証の実装方法について説明します。
ネットワークを介して与信検証サービスに送信する顧客のクレジット・カード・データの暗号化
Oracle WSM Gatewayは、データの暗号化とデジタル署名を利用して、与信検証サービスとの顧客データの交換を保護するように構成できます。
第10.4項「Oracle Web Services Manager Gatewayを使用した暗号化」では、認証を実装するための手順について説明します。
デモ・アプリケーションでのOracle Web Services Managerの役割
Webサービス・セキュリティは、SOA Order Bookingアプリケーションで使用されるサービスに対してデフォルトで構成されていません。 この章の例では、Oracle Web Services Managerを使用した、プログラム作業のないサービスの保護方法を示します。 Oracle Web Services ManagerはOracle SOA Suiteの統合コンポーネントの1つであるため、ここで示した例に従ってレプリケートするために追加のインストール・タスクは不要です。
構成の多くは、Oracle SOA SuiteのUIツールを使用して実行しますが、いくつかのステップでは、例の中で説明されているように、コマンドライン・ツールを使用する必要があります。
