ヘッダーをスキップ
Oracle Application Server Web Servicesセキュリティ・ガイド
10
g
リリース3(10.1.3)
B31870-01
索引
次へ
目次
例一覧
図一覧
表一覧
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
サポートおよびサービス
1
概要
Webサービス・セキュリティの概念
SOAP
セキュリティ・ポリシー
インバウンド・ポリシー
アウトバウンド・ポリシー
グローバル・レベル・ポリシー
ポート・レベル・ポリシー
操作レベル・ポリシー
リクエスト・エンベロープ
レスポンス・エンベロープ
XMLデジタル署名
XML暗号
SAML
メッセージ・レベル・セキュリティ
トランスポート・レベル・セキュリティ
WS-Security
セキュリティ・トークン
ユーザー名トークン
X.509トークン
SAMLトークン
キーストア
OracleAS Web ServicesにおけるWebサービス・セキュリティ・サポート
OracleAS Web Servicesセキュリティでサポートされる標準
インターセプタ・フレームワーク
サービス・セキュリティ・インターセプタ
クライアント・セキュリティ・インターセプタ
アーキテクチャ
Webサービス・セキュリティの統合
JAASとの統合
Java Single Sign-Onとの統合
Oracle Identity Managementとの統合
外部LDAPサーバーとの統合
Oracle Access Managerとの統合
Webサービス・セキュリティに対するツール・サポート
Webサービス・セキュリティに対するApplication Server Controlサポート
グローバル・レベルおよびポート・レベルのキーストアとID証明書
ポート・レベルと操作レベルのセキュリティ構成
ポート・レベルと操作レベルのインバウンド・ポリシー構成
ポート・レベルと操作レベルのアウトバウンド・ポリシー構成
Webサービス・エージェント
Webサービス・セキュリティに対するOracle JDeveloperサポート
Oracle Web Services Manager
Webサービスの保護にOracle WSMを使用する場合
2
Webサービス・セキュリティの構成
セキュリティ構成要素
キーストア要素
署名および暗号の鍵の要素
Nonce構成要素
インバウンド・メッセージに対するセキュリティ要素
インバウンド・メッセージに対するユーザー名トークン要素
インバウンド・メッセージに対するX.509トークン要素
インバウンド・メッセージに対するSAMLトークン要素
インバウンド・メッセージに対する署名検証要素
インバウンド・メッセージに対する復号化要素
アウトバウンド・メッセージに対するセキュリティ要素
アウトバウンド・メッセージに対するユーザー名トークン要素
アウトバウンド・メッセージに対するX.509トークン要素
アウトバウンド・メッセージに対するSAMLトークン要素
外部SAML認証局からSAMLトークンを取得するための要素
アウトバウンド・メッセージに対する署名要素
アウトバウンド・メッセージに対する暗号化要素
3
Webサービス・セキュリティの管理
キーストアの使用方法
キーストアの作成
信頼できる証明書の取得方法
Java Key Storeの作成および使用方法
Oracle Walletの作成および使用方法
キーストアの構成
インスタンスのキーストアと鍵の構成
アプリケーションのキーストアと鍵の構成
パスワード・インダイレクションの使用によるクリアテキスト・パスワードの置換え
失効した間接ユーザー・アカウントの手動削除
セキュリティ・トークンとセキュリティ・プロバイダとの統合
ユーザー名トークンの使用方法
サーバー側のユーザー名トークンの構成方法
<verify-username-token>要素の構成
パスワードを要求しないサービスの構成
ダイジェスト・パスワードによるNonceキャッシュの構成
サーバーのユーザー名トークン構成用のツール
クライアント側のユーザー名トークンの構成方法
<username-token>要素の構成
コールバック・ハンドラによるユーザー名およびパスワードの受渡し
Stubプロパティによるユーザー名およびパスワードの受渡し
クライアントのユーザー名トークン構成用のツール
ユーザー名トークンとセキュリティ・プロバイダ(ファイルベースXML、LDAP、カスタム、Oracle Access Manager)との統合
ユーザー名トークン認証に対するセキュリティ・プロバイダとしてのOracle Access Managerの使用
リプレイ攻撃のNonceによる防止
X.509トークンの使用方法
サーバー側のX.509トークンの構成方法
<verify-x509-token>要素の構成
キーストアの構成
X.509証明書の有効ユーザーへのマップ
サーバー上のX.509トークン構成用のツール
クライアント側のX.509トークンの構成方法
<x509-token>要素の構成
署名鍵によるキーストアの構成
サブジェクト鍵識別子によるX.509トークンの認証
X.509トークンの署名
クライアント上のX.509トークン構成用のツール
X.509トークンとセキュリティ・プロバイダ(XML、LDAP、Oracle Access Manager)との統合
X.509トークン認証に対するセキュリティ・プロバイダとしてのOracle Access Managerの使用
SAMLトークンの使用方法
サーバー側のSAMLトークンの構成方法
<verify-saml-token>要素の構成
キーストアの構成
SAMLアサーション・サブジェクトのマップ
SAMLLoginModuleのオプションの設定
クライアント側のSAMLトークンの構成方法
<saml-token>要素の構成
静的なSAMLクライアント構成の提供
Stubプロパティの使用によるSAMLアサーション・サブジェクトの構成
ID伝播によるSAMLアサーション・サブジェクトの構成
SAMLトークン・コールバック・ハンドラの書込み
外部SAML認証局からのSAMLトークンの取得
キーストアの構成
静的および動的なSAML構成の組合せ
SAMLトークンとセキュリティ・プロバイダ(XML、LDAP、Oracle Access Manager)との統合
SAMLトークン認証に対するセキュリティ・プロバイダとしてのOracle Access Managerの使用
外部LDAPプロバイダによるSAMLトークンの認証
SAMLを使用したシングル・サインオンの構成
XML暗号の構成
アウトバウンド・メッセージに対する暗号の構成
インバウンド・メッセージに対する暗号の構成
SOAPメッセージのボディの暗号化
SOAPメッセージのボディの復号化
SOAPメッセージの要素の暗号化
SOAPメッセージの要素の復号化
署名鍵によるメッセージの暗号化
メッセージ復号化における複数の鍵の受入れ
XML署名の構成
アウトバウンド・メッセージに対する署名の構成
インバウンド・メッセージに対する署名の構成
SOAPメッセージのボディの署名
SOAPメッセージの要素の署名
特定の要素上の署名の検証
署名用のサブジェクト鍵識別子の使用方法
リプレイ攻撃のタイムスタンプによる防止
タイムスタンプの追加
タイムスタンプの検証
クライアントとWebサービス・アプリケーション間の時間誤差の調整
構成におけるトークン、暗号および署名の組合せ
4
安全なWebサービスの構築
安全なWebサービスのアセンブル
トップ・ダウンによるセキュリティのWebサービスへのアセンブル
ボトム・アップによるセキュリティのWebサービスへのアセンブル
サーバー側セキュリティ構成ファイルの作成
ユーザー名トークンに対するサーバー側ポート・レベル・セキュリティ構成の定義
ユーザー名トークンに対するサーバー側操作レベル・セキュリティ構成の定義
XML署名および復号化を検証するためのサーバー側ポート・レベル・セキュリティ構成の定義
XML署名および復号化に対するサーバー側操作レベル・セキュリティ構成の定義
クライアント側セキュリティ構成ファイルの作成
ユーザー名トークンに対するクライアント側ポート・レベル・セキュリティ構成の定義
XML署名および暗号化に対するクライアント側ポート・レベル・セキュリティ構成の定義
認証のためのユーザーの作成
Application Server Controlを使用したユーザー・エントリの追加
クライアントJARファイル
トランスポート・レベル・セキュリティのWebサービスへの追加
Basic認証の追加
Digest認証の追加
クライアント証明書認証の追加
EJBをベースとするWebサービスに対するトランスポート・レベル・セキュリティの追加
ユーザー名とパスワードを要求するWebサービスへのアクセス
HTTP認証プロパティ
WS-Securityユーザー名トークン認証のフィールド値
プログラム的な認証情報の受渡し
静的な認証情報の受渡し
WebサービスからEJBへのIDの伝播
AntタスクとWebServicesAssembler
Webサービス・アプリケーションにおける認証済ユーザーIDの取得
AccessControlContext APIによる認証済サブジェクトの取得
ServiceLifeCycle APIによる認証済プリンシパルの取得
WebサービスにおけるJAAS Provider認証の実行
WS-SecurityとXML API
開発の決定
5
安全なWebサービスの使用例
保護されていないWebサービス
基本Webサービス
複合ビジネス・プロセス
中間点
フェデレーテッド
HTTPベースのセキュリティ
Secure Sockets Layer
HTTPのBasic認証とDigest認証
Basic認証
Digest認証
WS-Security
Webサービス・セキュリティの認証
ユーザー名トークン・プロファイル
X.509トークン・プロファイル
SAMLトークン・プロファイル
XML署名
XML暗号
ゲートウェイ
Identity Management
相互運用性
6
トラブルシューティング
一般エラー
キーストア関連エラー
メッセージ整合性エラー
メッセージ秘匿性エラー
認証エラー
A
OracleAS Web Servicesセキュリティ・スキーマ
セキュリティ構成の階層
セキュリティ・スキーマの要素および属性
<add-timestamp>
<attribute>
<confirmation-method>
<decrypt>
<encrypt>
<encryption-key>
<encryption-method>
<encryption-methods>
<inbound>
<key-store>
<keytransport-method>
<keytransport-methods>
<nonce-config>
<outbound>
<recipient-key>
<saml-authority>
<saml-token>
<security>
<signature>
<signature-key>
<signature-methods>
<signature-methods>
<subject-confirmation-method>
<subject-confirmation-methods>
<tbe-element>
<tbe-elements>
<tbs-element>
<tbs-elements>
<use-cert-request>
<username-token>
<verify-saml-token>
<verify-signature>
<verify-timestamp>
<verify-username-token>
<verify-x509-token>
<x509-token>
Oracle Web Services Securityスキーマの表示
セキュリティ構成リスト
B
セキュリティの脅威とソリューション
C
サード・パーティ・ライセンス
Apache
Apacheソフトウェア・ライセンス
Apache SOAP
Apache SOAPライセンス
JSR 110
Jaxen
Jaxenライセンス
SAXPath
SAXPathライセンス
W3C DOM
W3Cライセンス
索引