4 Webサービスのセキュリティの確保

Webサービスのセキュリティは、『Oracle Application Server Web Servicesセキュリティ・ガイド』で説明されています。セキュリティ・ガイドの内容は、次のとおりです。

• 第1章「概要」

  この章では、Webサービスのセキュリティに必要な概念、標準および仕様を説明しています。この章の内容は、次のとおりです。

  • Webサービス・セキュリティの概念

  • OracleAS Web ServicesにおけるWebサービス・セキュリティ・サポート

  • Webサービス・セキュリティに対するツール・サポート

• 第2章「Webサービス・セキュリティの構成」

  この章では、クライアントおよびサーバー上でWebサービスの保護に使用されるWebサービスのセキュリティ構成要素を説明しています。この章の内容は、次のとおりです。

  • キーストア要素

  • 署名および暗号の鍵の要素

  • Nonce構成要素

  • インバウンド・メッセージに対するセキュリティ要素

  • アウトバウンド・メッセージに対するセキュリティ要素

• 第3章「Webサービス・セキュリティの管理」

  この章では、Webサービスのセキュリティの管理タスクを説明しています。この章の内容は、次のとおりです。

  • キーストアの使用方法

  • セキュリティ・トークンとセキュリティ・プロバイダとの統合

  • ユーザー名トークンの使用方法

  • X.509トークンの使用方法

  • SAMLトークンの使用方法

  • XML暗号の構成

  • XML署名の構成

  • 構成におけるトークン、暗号および署名の組合せ

• 第4章「安全なWebサービスの構築」

  この章では、セキュアなWebサービスをアセンブルするための一般化された手順が示されています。Oracle Application Server Web Servicesには、WebServicesAssemblerツールが用意されています。このツールを使用すると、（WSDLから）トップダウン方式、または（Javaクラス、EJBまたはデータベース・リソースから）ボトムアップ方式でサービスをアセンブルできます。

  • 安全なWebサービスのアセンブル

  • サーバー側セキュリティ構成ファイルの作成

  • クライアント側セキュリティ構成ファイルの作成

  • クライアントJARファイル

  • トランスポート・レベル・セキュリティのWebサービスへの追加

  • AntタスクとWebServicesAssembler

  • Webサービス・アプリケーションにおける認証済ユーザーIDの取得

  • Webサービス・アプリケーションにおけるJAAS Provider認証の実行

  • WS-SecurityとXML API

  • 開発の決定

• 第5章「安全なWebサービスの使用例」

  この章では、Webサービスのセキュリティを使用する一般的なシナリオを説明しています。最も簡単な使用例から始まり、より複雑な使用例が説明されています。この章の最初の項では、セキュリティが実装されていない使用例を紹介し、その後セキュリティ機能を追加するために変更しています。この章の内容は、次のとおりです。

  • 保護されていないWebサービス

  • HTTPベースのセキュリティ

  • WS-Security

  • XML署名

  • XML暗号

  • ゲートウェイ

  • Identity Management

  • 相互運用性

• 第6章「トラブルシューティング」

  この章では、OracleAS Web Servicesのセキュリティの使用中に発生する可能性のあるいくつかのエラーに対するソリューションを説明しています。エラーは次のようなカテゴリに分類されます。

  • 一般エラー

  • キーストア関連エラー

  • メッセージ整合性エラー

  • メッセージ秘匿性エラー

  • 認証エラー

• 付録A「OracleAS Web Servicesセキュリティ・スキーマ」

  この付録では、OracleAS Web Servicesのセキュリティ・スキーマ・ファイルoracle-webservices-security-10_0.xsdの内容を説明しています。

• 付録B「セキュリティの脅威とソリューション」

  この付録では、今日のWeb環境に存在するセキュリティに対する脅威に対応するために、OracleAS Web Servicesの機能をどのように使用できるかを説明しています。

追加情報

詳細は、次を参照してください。

• Webサービスの保護については、『Oracle Application Server Web Servicesセキュリティ・ガイド』を参照してください。

• Webサービスにセキュリティを含むWebサービス管理情報を追加する場合は、第3章「Webサービスの管理」を参照してください。

• Webサービスに信頼性のある情報を追加する場合は、第5章「Webサービスの信頼性の確保」を参照してください。

• Webサービスに監査およびロギング情報を追加する場合は、第6章「メッセージの監査およびトレース」を参照してください。

• Webサービスをトップダウン方式でアセンブルする場合は、『Oracle Application Server Web Services開発者ガイド』の「WSDLからのWebサービスのアセンブル」を参照してください。

• Javaクラスを使用してWebサービスをアセンブルする場合は、『Oracle Application Server Web Services開発者ガイド』の「Javaクラスを使用したWebサービスのアセンブル」を参照してください。

• EJBを使用してWebサービスをアセンブルする場合は、『Oracle Application Server Web Services開発者ガイド』の「EJBを使用したWebサービスのアセンブル」を参照してください。

• JMSトピックおよび宛先を使用してWebサービスをアセンブルする場合は、『Oracle Application Server Web Services開発者ガイド』の「JMS宛先を使用したWebサービスのアセンブル」を参照してください。

• PL/SQLパッケージ、SQL問合せ、DML文、Oracle Streams AQまたはサーバー・サイドJavaクラスなどのデータベース・リソースを使用してWebサービスをアセンブルする場合は、『Oracle Application Server Web Services開発者ガイド』の「データベースWebサービスのアセンブル」を参照してください。

• J2EE Webサービス・クライアントをアセンブルする場合は、『Oracle Application Server Web Services開発者ガイド』の「J2EE Webサービス・クライアントのアセンブル」を参照してください。

• J2SE Webサービス・クライアントをアセンブルする場合は、『Oracle Application Server Web Services開発者ガイド』の「J2SE Webサービス・クライアントのアセンブル」を参照してください。

• WebServicesAssemblerコマンドを使用してWebサービス・アーティファクトをアセンブルする場合は、『Oracle Application Server Web Services開発者ガイド』の「WebServicesAssemblerの使用方法」を参照してください。

• Webサービス管理構成を含むoracle-webservices.xmlデプロイメント・ディスクリプタの内容については、『Oracle Application Server Web Services開発者ガイド』の「Webサービスのパッケージ化およびデプロイ」を参照してください。

• セキュリティ構成を含むwsmgmt.xmlファイルの内容については、付録A「Webサービス管理スキーマの概要」を参照してください。