test

Oracle OpenSSO Update 2 リリースノート

セキュリティートークンの生成プロセスの流れ

Liberty Alliance Project のトークンを使用してセキュリティーを有効にしている場合、HTTP クライアント (ブラウザ) は Web サービスクライアントを通じて Web サービスプロバイダにアクセス要求を送信します。Web サービスのセキュリティーエージェントは、OpenSSO STS の認証サービスにその要求をリダイレクトします。Liberty Alliance Project のセキュリティー機構が機能している場合は、HTTP セキュリティーエージェントがリダイレクトを発行します。WS-IBS のセキュリティーを使用している場合は、SOAP セキュリティーエージェントがリダイレクトを発行します。

OpenSSO STS の認証サービスは、Web サービスプロバイダによって登録されたセキュリティー機構を判定し、適切なセキュリティートークンを取得します。認証成功後、Web サービスクライアント側の SOAP セキュリティーエージェントがセキュリティーヘッダーとトークンを挿入している間、Web サービスクライアントは SOAP メッセージ本文を提供します。その後、要求が WSP に送信される前にメッセージは署名されます。

Web サービスプロバイダ側の SOAP セキュリティーエージェントは、要求を Web サービスプロバイダ自身に転送する前に、SOAP 要求の中の署名とセキュリティートークンを検証します。Web サービスプロバイダはこの要求を処理して、SOAP セキュリティーエージェントによって署名された応答を Web サービスクライアントに返します。Web サービスクライアント側の SOAP セキュリティーエージェントは、応答を Web サービスクライアントに転送する前に、その署名を検証します。

Liberty Alliance Project のトランザクションでサポートされているトークンのリストと簡単な説明を次の表に示します。

表 3–1 要求者のトークン - Liberty Alliance Project

トークン

これらの要件を満たします

X.509 

  • 安全な Web サービスは公開鍵基盤 (PKI) を使用します。PKI では、要求元の特定手段として、および Web サービスプロバイダに対する認証手段として、Web サービスクライアントが公開鍵を提供します。

  • 安全な Web サービスは公開鍵基盤 (PKI) を使用します。PKI では、要求元の特定手段として、および Web サービスプロバイダに対する認証手段として、Web サービスクライアントが公開鍵を提供します。

BearerToken 

  • 安全な Web サービスは Security Assertion Markup Language (SAML) SAML Bearer トークンによる確認手法を利用します。

  • WSC は、要求元を Web サービスプロバイダに対して認証する手段として SAML 表明を公開鍵情報とともに提供します。

  • 2 つ目の署名は表明を SOAP メッセージにバインドします。

  • 2 つ目の署名バインディングは、Liberty Alliance Project で定義されたルールを使用します。

SAML トークン 

  • 安全な Web サービスは、SAML Holder-of-Key の確認手法を利用します。

  • WSC は、SAML 表明およびデジタル署名を SOAP ヘッダーに追加します。

  • 送信側の証明書または公開鍵も署名とともに提供されます。

  • この送信は、Liberty Alliance Project で定義されたルールを使用して処理されます。

WS-IBS のトランザクションでサポートされているトークンのリストと簡単な説明を次の表に示します。

表 3–2 要求者のトークン - WS-IBS

トークン

これらの要件を満たします

ユーザー名 

  • 安全な Web サービスはユーザー名、パスワード、およびオプションで署名された要求を必要とします。

  • Web サービスコンシューマは、要求元を特定する手段としてユーザー名トークンを提供します

  • Web サービスコンシューマは、パスワード、共有シークレット、またはパスワードに相当するものを提供して、Web サービスプロバイダに対して身元を認証します。

X.509 

安全な Web サービスでは PKI (公開鍵基盤) を使用しています。PKI では、要求元を特定する手段、および Web サービスプロバイダに対する認証を実現する手段として、Web サービスコンシューマが公開鍵を提供します。 

SAML-Holder-Of-Key 

  • 安全な Web サービスは、SAML Holder-of-Key の確認手法を利用します。

  • Web サービスコンシューマは、要求元を Web サービスプロバイダに対して認証する手段として SAML 表明を公開鍵情報とともに提供します。

  • 2 つ目の署名は表明を SOAP ペイロードにバインドします。

SAML-SenderVouches 

  • 安全な Web サービスは、SAML Sender-Vouches の確認手法を利用します。

  • Web サービスコンシューマは、SAML 表明およびデジタル署名を SOAP ヘッダーに追加します。送信側の証明書または公開鍵も署名とともに提供されます。