| Oracle® Fusion Middleware Oracle Web Services Manager相互運用ガイド 11g リリース1(11.1.1) B61391-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Web Services Manager相互運用ガイド 11g リリース1(11.1.1) B61391-01 |
|
| 前 |
次 |
この章の内容は次のとおりです。
Oracle Fusion Middleware 11gでは、Oracle WSMとOracle WebLogic ServerのいずれのWebサービス・ポリシーもWebLogic Java EE Webサービスにアタッチできます。
事前定義済のOracle WSM 11gポリシーの詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』の次の項を参照してください。
Webサービスへのポリシーのアタッチに関する項
ポリシーの構成に関する項
事前定義済ポリシーに関する項
Oracle WebLogic Server 11g Webサービスの事前定義済ポリシーの詳細は、次の資料を参照してください。
『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebLogic Webサービスおよびクライアントへのポリシーのアタッチに関する項
『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』
表4-1は、セキュリティ要件(認証、メッセージ保護およびトランスポート)に基づいたOracle WebLogic Server 11g Webサービス・ポリシーの最も一般的な相互運用性シナリオをまとめたものです。
表4-1 Oracle WebLogic Server 11g Webサービスのセキュリティ環境との相互運用性
| 相互運用性シナリオ | クライアント→Webサービス | Oracle WSM 11gのポリシー | Oracle WebLogic Server 11gのポリシー |
|---|---|---|---|
|
「メッセージ保護付きユーザー名トークン(WS-Security 1.1)」 |
Oracle WebLogic Server 11g→Oracle WSM 11g |
oracle/wss11_username_token_with_message_protection_service_policy |
|
|
「メッセージ保護付きユーザー名トークン(WS-Security 1.1)」 |
Oracle WSM 11g→Oracle WebLogic Server 11g |
oracle/wss11_username_token_with_message_protection_client_policy |
|
|
「メッセージ保護付きユーザー名トークン(WS-Security 1.0)」 |
Oracle WebLogic Server 11g→Oracle WSM 11g |
oracle/wss10_username_token_with_message_protection_service_policy |
|
|
メッセージ保護付きユーザー名トークン(WS-Security 1.0) |
Oracle WSM 11g→Oracle WebLogic Server 11g |
oracle/wss10_username_token_with_message_protection_client_policy |
|
|
|
Oracle WebLogic Server 11g→Oracle WSM 11g |
oracle/wss_username_token_over_ssl_service_policy |
Wssp1.2-2007-Https-UsernameToken-Plain.xml |
|
|
Oracle WebLogic Server 11g→Oracle WSM 11g |
oracle/wss_saml_token_over_ssl_service_policy |
Wssp1.2-2007-Saml1.1-SenderVouches-Https.xml |
|
「メッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.1)」 |
Oracle WebLogic Server 11g→Oracle WSM 11g |
oracle/wss11_saml_token_with_message_protection_service_policy |
|
|
「メッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.1)」 |
Oracle WSM 11g→Oracle WebLogic Server 11g |
oracle/wss11_saml_token_with_message_protection_client_policy |
|
|
「メッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.0)」 |
Oracle WebLogic Server 11g→Oracle WSM 11g |
oracle/wss10_saml_token_with_message_protection_service_policy |
|
|
「メッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.0)」 |
Oracle WSM 11g→Oracle WebLogic Server 11g |
oracle/wss10_saml_token_with_message_protection_client_policy |
|
|
「メッセージ保護付き相互認証(WS-Security 1.0)」 |
Oracle WebLogic Server 11g→Oracle WSM 11g |
oracle/wss10_x509_token_with_message_protection_service_policy |
|
|
「メッセージ保護付き相互認証(WS-Security 1.0)」 |
Oracle WSM 11g→Oracle WebLogic Server 11g |
oracle/wss10_x509_token_with_message_protection_client_policy |
|
|
「メッセージ保護付き相互認証(WS-Security 1.1)」 |
Oracle WebLogic Server 11g→Oracle WSM 11g |
oracle/wss11_x509_token_with_message_protection_service_policy |
|
|
「メッセージ保護付き相互認証(WS-Security 1.1)」 |
Oracle WSM 11g→Oracle WebLogic Server 11g |
oracle/wss11_x509_token_with_message_protection_client_policy |
|
この項では、次の相互運用性シナリオにおいてWS-Security 1.1標準に準拠するメッセージ保護付きユーザー名トークンを実装する方法について説明します。
「Oracle WebLogic Server 11gクライアントおよびOracle WSM 11g Webサービスの構成」
「Oracle WSM 11gクライアントおよびOracle WebLogic Server 11g Webサービスの構成」
Oracle WebLogic Server 11gクライアントおよびOracle WSM 11g Webサービスを構成するには、次の手順を実行します。
Webサービスを作成します。
oracle/wss11_username_token_with_message_protection_service_policyポリシーをWebサービスにアタッチします。
ポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービスへのポリシーのアタッチに関する項を参照してください。
clientgenを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。
詳細は、『Oracle Fusion Middleware Oracle WebLogic Server JAX-WS Webサービス・スタート・ガイド』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する項を参照してください。
次のポリシーをアタッチします。
Wssp1.2-2007-Wss1.1-UsernameToken-Plain-EncryptedKey-Basic128.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージ保護付きWebサービスを起動するためのクライアント・アプリケーションの更新に関する項の説明に従って、クライアント内にサーバーの構成(暗号化キー)を指定します。
指定する暗号化キーが、Webサービスに対して構成されている暗号化キーと一致していることを確認してください。
クライアントからWebサービス・メソッドを起動します。
Oracle WSM 11gクライアントおよびOracle WebLogic Server 11g Webサービスを構成するには、次の手順を実行します。
Webサービスを作成します。
次のポリシーをアタッチします。
Wssp1.2-2007-Wss1.1-UsernameToken-Plain-EncryptedKey-Basic128.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのアイデンティティおよびトラストの構成に関する項の説明に従って、アイデンティティ・ストアとトラスト・ストアを構成します。
次の項の説明に従って、メッセージレベルのセキュリティを構成します。
- 『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージレベルのセキュリティの構成に関する項
- Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのWebサービスのセキュリティ構成の作成に関する項。
WS-Security 1.1ポリシーに指定する必要があるのは、機密保護キーのみです。
Webサービスをデプロイします。
『Oracle Fusion Middleware Oracle WebLogic Serverへのアプリケーションのデプロイ』を参照してください。
(前述の)Webサービスへのクライアント・プロキシを作成します。
oracle/wss11_username_token_with_message_protection_client_policyポリシーをWebサービス・クライアントにアタッチします。
ポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービスへのポリシーのアタッチに関する項を参照してください。
『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のoracle/wss11_username_token_with_message_protection_client_policyに関する項の説明に従って、このポリシーを構成します。
クライアント構成内にkeystore.recipient.aliasを指定します。
クライアントに指定するkeystore.recipient.aliasキーが、Webサービスに対して構成されているトラスト・ストア内に信頼できる証明書エントリとして存在していることを確認してください。
有効なユーザー名およびパスワードを構成の一部として指定します。
クライアントからWebサービス・メソッドを起動します。
この項では、次の相互運用性シナリオにおいてWS-Security 1.0標準に準拠するメッセージ保護付きユーザー名トークンを実装する方法について説明します。
「Oracle WebLogic Server 11gクライアントおよびOracle WSM 11g Webサービスの構成」
「Oracle WSM 11gクライアントおよびOracle WebLogic Server 11g Webサービスの構成」
|
注意: WS-Security 1.0ポリシーは、レガシー・アプリケーションに対してのみサポートされています。最大のパフォーマンスを実現するためには、WS-Security 1.1ポリシーを使用してください。詳細は、「メッセージ保護付きユーザー名トークン(WS-Security 1.1)」を参照してください。 |
Oracle WebLogic Server 11gクライアントおよびOracle WSM 11g Webサービスを構成するには、次の手順を実行します。
Webサービスを作成します。
oracle/wss10_username_token_with_message_protection_service_policyポリシーをWebサービスにアタッチします。
ポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービスへのポリシーのアタッチに関する項を参照してください。
clientgenを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。
詳細は、『Oracle Fusion Middleware Oracle WebLogic Server JAX-WS Webサービス・スタート・ガイド』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する項を参照してください。
次のポリシーをアタッチします。
Wssp1.2-wss10_username_token_with_message_protection_owsm_policy.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージ保護付きWebサービスを起動するためのクライアント・アプリケーションの更新に関する項の説明に従って、サーバー(暗号化キー)およびクライアント証明書にクライアントを構成します。
指定する暗号化キーが、Webサービスに対して構成されている復号化キーと一致していることを確認してください。
クライアントからWebサービス・メソッドを起動します。
Oracle WSM 11gクライアントおよびOracle WebLogic Server 11g Webサービスを構成するには、次の手順を実行します。
Webサービスを作成します。
次のポリシーをアタッチします。
Wssp1.2-2007-SignBody.xml
Wssp1.2-wss10_username_token_with_message_protection_owsm_policy.xml
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのアイデンティティおよびトラストの構成に関する項の説明に従って、アイデンティティ・ストアとトラスト・ストアを構成します。
次の項の説明に従って、メッセージレベルのセキュリティを構成します。
- 『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージレベルのセキュリティの構成に関する項
- Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのWebサービスのセキュリティ構成の作成に関する項。
Webサービスをデプロイします。
『Oracle Fusion Middleware Oracle WebLogic Serverへのアプリケーションのデプロイ』を参照してください。
(前述の)Webサービスへのクライアント・プロキシを作成します。
oracle/wss10_username_token_with_message_protection_client_policyポリシーをWebサービス・クライアントにアタッチします。
ポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービス・クライアントへのポリシーのアタッチに関する項を参照してください。
『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のoracle/wss10_username_token_with_message_protection_client_policyに関する項の説明に従って、このポリシーを構成します。
クライアント(署名および復号化キー)とキーストア受信者別名(暗号化に使用されるサーバー公開鍵)には、必ず別々のキーを使用してください。受信者別名が、Webサービス・ポリシーのセキュリティ構成内に定義されているキーと一致していることを確認してください。
クライアントに指定する署名および暗号化キーが、Webサービスに対して構成されているトラスト・ストア内に信頼できる証明書エントリとして存在していることを確認してください。
有効なユーザー名およびパスワードを構成の一部として指定します。
クライアントからWebサービス・メソッドを起動します。
次の項では、次の相互運用性シナリオにおいてSSL経由のユーザー名トークンを実装する方法について説明します。
Oracle WebLogic Server 11gクライアントおよびOracle WSM 11g Webサービスを構成するには、次の手順を実行します。
サーバーを一方向SSL用に構成します。
詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebLogic ServerへのSSLの構成(一方向)に関する項を参照してください。
Webサービスを作成します。
oracle/wss_username_token_over_ssl_service_policyポリシーをアタッチします。
ポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービスへのポリシーのアタッチに関する項を参照してください。
clientgenを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。クライアント・プロキシ内に、このポリシーの構成の一部として有効なユーザー名およびパスワードを指定します。
詳細は、『Oracle Fusion Middleware Oracle WebLogic Server JAX-WS Webサービス・スタート・ガイド』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する項を参照してください。
WebLogic ServerをSSL用に構成します。
詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebLogic ServerへのSSLの構成(一方向)に関する項を参照してください。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのアイデンティティおよびトラストの構成に関する項の説明に従って、アイデンティティ・ストアとトラスト・ストアを構成します。
Wssp1.2-2007-Https-UsernameToken-Plain.xmlをWebサービス・クライアントにアタッチします。
『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティのプログラミング』のJavaクライアントでのSSL認証の使用に関する項の説明に従って、SSLクライアント内にトラストストアおよびその他の必須のシステム・プロパティを指定します。
Webサービスを起動します。
次の項では、SSL経由のユーザー名トークンを実装する方法について説明します。ここでは、次の相互運用性シナリオについて説明します。
Oracle WebLogic Server 11gクライアントおよびOracle WSM 11g Webサービスを構成するには、次の手順を実行します。
『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のoracle/wss_saml_token_over_ssl_service_policyに関する項の説明に従って、oracle/wss_saml_token_over_ssl_service_policyポリシーを双方向SSL用に構成します。
Webサービスを作成します。
oracle/wss_saml_token_over_ssl_service_policyポリシーをWebサービスにアタッチします。
ポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービスへのポリシーのアタッチに関する項を参照してください。
clientgenを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。
詳細は、『Oracle Fusion Middleware Oracle WebLogic Server JAX-WS Webサービス・スタート・ガイド』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する項を参照してください。
Oracle WebLogic Serverを双方向SSL用に構成します。
詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebLogic ServerへのSSLの構成(双方向)に関する項を参照してください。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのアイデンティティおよびトラストの構成に関する項の説明に従って、アイデンティティ・ストアとトラスト・ストアを構成します。
Wssp1.2-2007-Saml1.1-SenderVouches-Https.xmlをWebサービス・クライアントにアタッチします。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプの資格証明マッピング・プロバイダの構成に関する項の説明に従って、SAML資格証明マッピング・プロバイダを構成します。
WebLogic Server管理コンソールで、「セキュリティ・レルム」→「レルム名」→「プロバイダ」→「資格証明マッピング」ページにナビゲートし、「SAMLCredentialMapperV2」タイプの新しい資格証明マッピング・プロバイダを作成します。
新規のプロバイダを選択して「プロバイダ固有」をクリックし、プロバイダを次のように構成します。
「発行者URI」をwww.oracle.comに設定します。
「名前修飾子」をwww.oracle.comに設定します。
Oracle WebLogic Serverを再起動します。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのSAML 1.1リライイング・パーティの作成およびSAML 1.1リライイング・パーティの構成に関する項の説明に従って、SAMLリライイング・パーティを作成します。
「プロファイル」を「WSS/sender-vouches」に設定します。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのSAML 1.1リライイング・パーティの構成に関する項の説明に従って、SAMLリライイング・パーティを構成します。
次のようにSAMLリライイング・パーティを構成します(その他の値はデフォルトの設定のままにしておきます)。
ターゲットURL: <url_used_to_access_Web_service>
説明: <your_description>
「有効」チェック・ボックスを選択し、「保存」をクリックします。
「ターゲットURL」は必ず、クライアントWebサービスに使用されているURLに設定してください。
サーブレットを作成し、そのサーブレットからプロキシ・コードをコールします。
認証済サブジェクトを作成できるように、基本認証を使用します。
『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティのプログラミング』のJavaクライアントでのSSL認証の使用に関する項の説明に従って、SSLクライアント内にトラストストアおよびその他の必須のシステム・プロパティを指定します。
Webアプリケーション・クライアントを起動します。
SAMLトークンを使用してアイデンティティを伝播するユーザーの資格証明を入力します。
この項では、次の相互運用性シナリオにおいてWS-Security 1.1標準に準拠するメッセージ保護付きSAMLトークン送信者保証を実装する方法について説明します。
「Oracle WebLogic Server 11gクライアントおよびOracle WSM 11g Webサービスの構成」
「Oracle WSM 11gクライアントおよびOracle WebLogic Server 11g Webサービスの構成」
Oracle WebLogic Server 11gクライアントおよびOracle WSM 11g Webサービスを構成するには、次の手順を実行します。
Webサービスを作成します。
oracle/wss11_saml_token_with_message_protection_service_policyポリシーをWebサービスにアタッチします。
ポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービスへのポリシーのアタッチに関する項を参照してください。
clientgenを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。
詳細は、『Oracle Fusion Middleware Oracle WebLogic Server JAX-WS Webサービス・スタート・ガイド』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する項を参照してください。
次のポリシーをアタッチします。
Wssp1.2-wss11_saml_token_with_message_protection_owsm_policy.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージ保護付きWebサービスを起動するためのクライアント・アプリケーションの更新に関する項の説明に従って、サーバー(暗号化キー)およびクライアント証明書にクライアントを構成します。
指定する暗号化キーが、Webサービスに対して構成されている復号化キーと一致していることを確認してください。
基本認証を使用してWebアプリケーション・クライアントを保護します。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティのプログラミング』の基本認証のWebアプリケーションの開発に関する項を参照してください。
Webサービス・クライアントをデプロイします。
『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービス・アプリケーションのデプロイに関する項を参照してください。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプの資格証明マッピング・プロバイダの構成に関する項の説明に従って、SAML資格証明マッピング・プロバイダを構成します。
Oracle WebLogic Server管理コンソールで、「セキュリティ・レルム」→「レルム名」→「プロバイダ」→「資格証明マッピング」ページにナビゲートし、「SAMLCredentialMapperV2」タイプの新しい資格証明マッピング・プロバイダを作成します。
新規のプロバイダを選択して「プロバイダ固有」をクリックし、プロバイダを次のように構成します。
「発行者URI」をwww.oracle.comに設定します。
「名前修飾子」をwww.oracle.comに設定します。
WebLogic Serverを再起動します。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのSAML 1.1リライイング・パーティの作成およびSAML 1.1リライイング・パーティの構成に関する項の説明に従って、SAMLリライイング・パーティを作成します。
「プロファイル」を「WSS/sender-vouches」に設定します。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのSAML 1.1リライイング・パーティの構成に関する項の説明に従って、SAMLリライイング・パーティを構成します。
「ターゲットURL」は必ず、クライアントWebサービスに使用されているURLに設定してください。
Webアプリケーション・クライアントを起動します。
SAMLトークンを使用してアイデンティティを伝播するユーザーの資格証明を入力します。
Oracle WSM 11gクライアントおよびOracle WebLogic Server 11g Webサービスを構成するには、次の手順を実行します。
Webサービスを作成します。
次のポリシーをアタッチします。
Wssp1.2-wss11_saml_token_with_message_protection_owsm_policy.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのアイデンティティおよびトラストの構成に関する項の説明に従って、アイデンティティ・ストアとトラスト・ストアを構成します。
次の項の説明に従って、メッセージレベルのセキュリティを構成します。
『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージレベルのセキュリティの構成に関する項
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのWebサービスのセキュリティ構成の作成に関する項。
これはWS-Security 1.1ポリシーなので、指定する必要があるのは機密保護キーのみです。
Webサービスをデプロイします。
『Oracle Fusion Middleware Oracle WebLogic Serverへのアプリケーションのデプロイ』を参照してください。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプの認証プロバイダとIDアサーション・プロバイダの構成に関する項の説明に従って、SAMLIdentityAsserterV2認証プロバイダを作成します。
WebLogic Server管理コンソールで、「セキュリティ・レルム」→「レルム名」→「プロバイダ」→「資格証明マッピング」ページにナビゲートし、「SAMLCredentialMapperV2」タイプの新しい資格証明マッピング・プロバイダを作成します。
WebLogic Serverを再起動します。
手順5で作成した認証プロバイダを選択します。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのSAML 1.1アサーティング・パーティの作成に関する項の説明に従って、SAMLアサーティング・パーティを作成します。
「プロファイル」を「WSS/sender-vouches」に設定します。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのSAML 1.1アサーティング・パーティの構成に関する項の説明に従って、SAMLアサーティング・パーティを構成します。
次のようにして、SAMLアサーティング・パーティを構成します。
「発行者URI」をwww.oracle.comに設定します。
「ターゲットURL」を<url_used_to_access_Web_service>に設定します。
(前述の)Webサービスへのクライアント・プロキシを作成します。
oracle/wss11_saml_token_with_message_protection_client_policyポリシーをWebサービス・クライアントにアタッチします。
ポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービス・クライアントへのポリシーのアタッチに関する項を参照してください。
oracle/wss11_saml_token_with_message_protection_client_policyの説明に従って、このポリシーを構成します。
クライアント構成内にkeystore.recipient.aliasを指定します。
keystore.recipient.aliasが、Webサービスに対して指定されている復号化キーと同じであることを確認してください。
クライアントに指定するkeystore.recipient.aliasキーが、Webサービスに対して構成されているトラスト・ストア内に信頼できる証明書エントリとして存在していることを確認してください。
クライアント構成内に、SAMLトークンを使用してアイデンティティを伝播する必要のあるユーザーの有効なユーザー名を指定します。
Webアプリケーション・クライアントを起動します。
SAMLトークンを使用してアイデンティティを伝播するユーザーの資格証明を入力します。
この項では、次の相互運用性シナリオにおいてWS-Security 1.0標準に準拠する送信者保証およびメッセージ保護付きのSAMLトークンを実装する方法について説明します。
「Oracle WebLogic Server 11gクライアントおよびOracle WSM 11g Webサービスの構成」
「Oracle WSM 11gクライアントおよびOracle WebLogic Server 11g Webサービスの構成」
|
注意: WS-Security 1.0ポリシーは、レガシー・アプリケーションに対してのみサポートされています。最大のパフォーマンスを実現するためには、WS-Security 1.1ポリシーを使用してください。詳細は、「メッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.1)」を参照してください。 |
Oracle WebLogic Server 11gクライアントおよびOracle WSM 11g Webサービスを構成するには、次の手順を実行します。
Webサービスを作成します。
oracle/wss10_saml_token__with_message_protection_service_policyポリシーをWebサービスにアタッチします。
ポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービスへのポリシーのアタッチに関する項を参照してください。
clientgenを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。
詳細は、『Oracle Fusion Middleware Oracle WebLogic Server JAX-WS Webサービス・スタート・ガイド』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する項を参照してください。
次のポリシーをアタッチします。
Wssp1.2-wss10_saml_token_with_message_protection_owsm_policy.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージ保護付きWebサービスを起動するためのクライアント・アプリケーションの更新に関する項の説明に従って、サーバー(暗号化キー)およびクライアント証明書にクライアントを構成します。
指定する暗号化キーが、Webサービスに対して構成されている復号化キーと一致していることを確認してください。
基本認証を使用してWebアプリケーション・クライアントを保護します。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティのプログラミング』の基本認証のWebアプリケーションの開発に関する項を参照してください。
Webサービス・クライアントをデプロイします。
『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービス・アプリケーションのデプロイに関する項を参照してください。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプの資格証明マッピング・プロバイダの構成に関する項の説明に従って、SAML資格証明マッピング・プロバイダを構成します。
WebLogic Server管理コンソールで、「セキュリティ・レルム」→「レルム名」→「プロバイダ」→「資格証明マッピング」ページにナビゲートし、「SAMLCredentialMapperV2」タイプの新しい資格証明マッピング・プロバイダを作成します。
「SAMLCredentialMapperV2」を選択して「プロバイダ固有」をクリックし、これを次のように構成します。
「発行者URI」をwww.oracle.comに設定します。
「名前修飾子」をwww.oracle.comに設定します。
WebLogic Serverを再起動します。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのSAML 1.1リライイング・パーティの作成に関する項の説明に従って、SAMLリライイング・パーティを作成します。
「プロファイル」を「WSS/sender-vouches」に設定します。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのSAML 1.1リライイング・パーティの構成に関する項の説明に従って、SAMLリライイング・パーティを構成します。
「ターゲットURL」は必ず、クライアントWebサービスに使用されているURLに設定してください。
Webアプリケーション・クライアントを起動し、適切な資格証明を入力します。
Oracle WSM 11gクライアントおよびOracle WebLogic Server 11g Webサービスを構成するには、次の手順を実行します。
Webサービスを作成します。
次のポリシーをアタッチします。
Wssp1.2-wss10_saml_token_with_message_protection_owsm_policy.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのアイデンティティおよびトラストの構成に関する項の説明に従って、アイデンティティ・ストアとトラスト・ストアを構成します。
次の項の説明に従って、メッセージレベルのセキュリティを構成します。
『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージレベルのセキュリティの構成に関する項
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのWebサービスのセキュリティ構成の作成に関する項。
これはWS-Security 1.1ポリシーなので、指定する必要があるのは機密保護キーのみです。
Webサービスをデプロイします。
『Oracle Fusion Middleware Oracle WebLogic Serverへのアプリケーションのデプロイ』を参照してください。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプの認証プロバイダとIDアサーション・プロバイダの構成に関する項の説明に従って、SAMLIdentityAsserterV2認証プロバイダを作成します。
WebLogic Server管理コンソールで、「セキュリティ・レルム」→「レルム名」→「プロバイダ」→「資格証明マッピング」ページにナビゲートし、「SAMLCredentialMapperV2」タイプの新しい資格証明マッピング・プロバイダを作成します。
WebLogic Serverを再起動します。
手順5で作成した認証プロバイダを選択します。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのSAML 1.1アサーティング・パーティの作成に関する項の説明に従って、SAMLアサーティング・パーティを作成します。
「プロファイル」を「WSS/sender-vouches」に設定します。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのSAML 1.1アサーティング・パーティの構成に関する項の説明に従って、SAMLアサーティング・パーティを構成します。
次のようにSAMLアサーティング・パーティを構成します(その他の値はデフォルトの設定のままにしておきます)。
「発行者URI」をwww.oracle.comに設定します。
「ターゲットURL」を<url_used_by_client>に設定します。
(前述の)Webサービスへのクライアント・プロキシを作成します。
oracle/wss10_saml_token_with_message_protection_client_policyポリシーをWebサービス・クライアントにアタッチします。
ポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービス・クライアントへのポリシーのアタッチに関する項を参照してください。
oracle/wss10_saml_token_with_message_protection_client_policyの説明に従って、このポリシーを構成します。
クライアント(署名および復号化キー)とキーストア受信者別名(暗号化に使用されるサーバー公開鍵)には、必ず別々のキーを使用してください。受信者別名が、Webサービス・ポリシーのセキュリティ構成内に定義されているキーと一致していることを確認してください。
クライアントに指定する署名および暗号化キーが、Webサービスに対して構成されているトラスト・ストア内に信頼できる証明書エントリとして存在していることを確認してください。
クライアント構成内に、SAMLトークンを使用してアイデンティティを伝播する必要のあるユーザーの有効なユーザー名を指定します。
Webサービス・メソッドを起動します。
次の各項では、WS-Security 1.0標準に準拠するメッセージ保護付き相互認証を実装する方法について説明します。
「Oracle WebLogic Server 11gクライアントおよびOracle WSM 11g Webサービスの構成」
「Oracle WSM 11gクライアントおよびOracle WebLogic Server 11g Webサービスの構成」
Oracle WebLogic Server 10gクライアントおよびOracle WSM 11g Webサービスを構成するには、次の各項の手順を実行します。
Webサービスを作成します。
oracle/wss10_x509_token_with_message_protection_service_policyポリシーをWebサービスにアタッチします。
ポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービスへのポリシーのアタッチに関する項を参照してください。
clientgenを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。
詳細は、『Oracle Fusion Middleware Oracle WebLogic Server JAX-WS Webサービス・スタート・ガイド』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する項を参照してください。
次のポリシーをアタッチします。
Wssp1.2-wss10_x509_token_with_message_protection_owsm_policy.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージ保護付きWebサービスを起動するためのクライアント・アプリケーションの更新に関する項の説明に従って、クライアント内にサーバーの構成(暗号化キー)を指定します。
指定する暗号化キーが、Webサービスに対して構成されている暗号化キーと一致していることを確認してください。
クライアントからWebサービス・メソッドを起動します。
Oracle WSM 11gクライアントおよびOracle WebLogic Server 11g Webサービスを構成するには、次の各項の手順を実行します。
JAX-WS Webサービスを作成します。
次のポリシーをアタッチします。
Wssp1.2-wss10_x509_token_with_message_protection_owsm_policy.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのアイデンティティおよびトラストの構成に関する項の説明に従って、アイデンティティ・ストアとトラスト・ストアを構成します。
次の項の説明に従って、メッセージレベルのセキュリティを構成します。
- 『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージレベルのセキュリティの構成に関する項
- Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのWebサービスのセキュリティ構成の作成に関する項
WS-Security 1.0ポリシーに指定する必要があるのは、機密保護キーのみです。
X.509およびユーザー名トークンのトークン・ハンドラを作成して構成します。WebLogic管理コンソールで、ドメインの「Webサービス・セキュリティ」ページにナビゲートし、次のようにしてトークン・ハンドラを作成します。
ユーザー名トークンのトークン・ハンドラを作成し、次のように構成します。
名前: <name>
クラス名: weblogic.xml.crypto.wss.UsernameTokenHandler
トークンのタイプ: ut
処理順序: 1
X.509のトークン・ハンドラを作成し、次のように構成します。
名前: <name>
クラス名: weblogic.xml.crypto.wss.BinarySecurityTokenHandler
トークンのタイプ: x509
処理順序: 0
X.509のトークン・ハンドラに対しては、次のプロパティを追加します。
名前: UserX509ForIdentity
値: true
暗号化: False
トークン・ハンドラの詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのWebサービスのセキュリティ構成のトークン・ハンドラの作成に関する項を参照してください。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプの資格証明マッピング・プロバイダの構成に関する項の説明に従って、資格証明マッピング・プロバイダを構成します。
PKICredentialMapperを作成し、次のように構成します(その他の値はすべてデフォルト設定のままにしておきます)。
キーストア・プロバイダ: なし
キーストアのタイプ: jks
キーストア・ファイル名: default_keystore.jks
キーストアのパスフレーズ: <password>
キーストアのパスフレーズを確認: <password>
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプの認証プロバイダとIDアサーション・プロバイダの構成に関する項の説明に従って、認証を構成します。
「認証」タブを選択し、次のように構成します。
「DefaultIdentityAsserter」をクリックし、「X.509」を「選択済み」アクティブ・タイプに追加します。
「プロバイダ固有」をクリックし、次のように構成します。
デフォルト・ユーザー名マッパーの属性のタイプ: CN
アクティブなタイプ: X.509
デフォルト・ユーザー名マッパーの使用: True
ユーザーを追加していない場合は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのユーザーの作成に関する項の説明に従って、証明書内に指定されている一般名(CN)ユーザーを追加します。
Oracle WebLogic Serverを再起動します。
Webサービスをデプロイします。
『Oracle Fusion Middleware Oracle WebLogic Serverへのアプリケーションのデプロイ』を参照してください。
clientgenを使用して、Webサービスのクライアント・プロキシを作成します。
詳細は、『Oracle Fusion Middleware Oracle WebLogic Server JAX-WS Webサービス・スタート・ガイド』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する項を参照してください。
wss10_x509_token_with_message_protection_client_policyポリシーをクライアントにアタッチします。
『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージ保護付きWebサービスを起動するためのクライアント・アプリケーションの更新に関する項の説明に従って、クライアント内にサーバーの構成(暗号化キー)を指定します。
指定する暗号化キーが、Webサービスに対して構成されている暗号化キーと一致していることを確認してください。
クライアントからWebサービス・メソッドを起動します。
次の各項では、WS-Security 1.1標準に準拠するメッセージ保護付き相互認証を実装する方法について説明します。
「Oracle WebLogic Server 11gクライアントおよびOracle WSM 11g Webサービスの構成」
「Oracle WSM 11gクライアントおよびOracle WebLogic Server 11g Webサービスの構成」
Oracle WebLogic Server 11gクライアントおよびOracle WSM 11g Webサービスを構成するには、次の各項の手順を実行します。
JAX-WS Webサービスを作成します。
oracle/wss11_x509_token_with_message_protection_service_policyポリシーをWebサービスにアタッチします。
ポリシーをアタッチする方法の詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のWebサービスへのポリシーのアタッチに関する項を参照してください。
clientgenを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。
詳細は、『Oracle Fusion Middleware Oracle WebLogic Server JAX-WS Webサービス・スタート・ガイド』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する項を参照してください。
次のポリシーをアタッチします。
Wssp1.2-wss11_x509_token_with_message_protection_owsm_policy.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージ保護付きWebサービスを起動するためのクライアント・アプリケーションの更新に関する項の説明に従って、クライアント内にサーバーの構成(暗号化キー)を指定します。
指定する暗号化キーが、Webサービスに対して構成されている暗号化キーと一致していることを確認してください。
クライアントからWebサービス・メソッドを起動します。
Oracle WSM 11gクライアントおよびOracle WebLogic Server 11g Webサービスを構成するには、次の各項の手順を実行します。
JAX-WS Webサービスを作成します。
次のポリシーをアタッチします。
Wssp1.2-wss11_x509_token_with_message_protection_owsm_policy.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのアイデンティティおよびトラストの構成に関する項の説明に従って、アイデンティティ・ストアとトラスト・ストアを構成します。
次の項の説明に従って、メッセージレベルのセキュリティを構成します。
- 『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージレベルのセキュリティの構成に関する項
- Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのWebサービスのセキュリティ構成の作成に関する項。
WS-Security 1.1ポリシーに指定する必要があるのは、機密保護キーのみです。
X.509およびユーザー名トークンのトークン・ハンドラを作成して構成します。WebLogic管理コンソールで、ドメインの「Webサービス・セキュリティ」ページにナビゲートし、次のようにしてトークン・ハンドラを作成します。
ユーザー名トークンのトークン・ハンドラを作成し、次のように構成します。
名前: <name>
クラス名: weblogic.xml.crypto.wss.UsernameTokenHandler
トークンのタイプ: ut
処理順序: 1
X.509のトークン・ハンドラを作成し、次のように構成します。
名前: <name>
クラス名: weblogic.xml.crypto.wss.BinarySecurityTokenHandler
トークンのタイプ: x509
処理順序: 0
X.509のトークン・ハンドラに対しては、次のプロパティを追加します。
名前: UserX509ForIdentity
値: true
暗号化: False
トークン・ハンドラの詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのWebサービスのセキュリティ構成のトークン・ハンドラの作成に関する項を参照してください。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプの資格証明マッピング・プロバイダの構成に関する項の説明に従って、資格証明マッピング・プロバイダを構成します。
PKICredentialMapperを作成し、次のように構成します(その他の値はすべてデフォルト設定のままにしておきます)。
キーストア・プロバイダ: なし
キーストアのタイプ: jks
キーストア・ファイル名: default_keystore.jks
キーストアのパスフレーズ: <password>
キーストアのパスフレーズを確認: <password>
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプの認証プロバイダとIDアサーション・プロバイダの構成に関する項の説明に従って、認証を構成します。
「認証」タブを選択し、次のように構成します。
「DefaultIdentityAsserter」をクリックし、「X.509」を「選択済み」アクティブ・タイプに追加します。
「プロバイダ固有」をクリックし、次のように構成します。
デフォルト・ユーザー名マッパーの属性のタイプ: CN
アクティブなタイプ: X.509
デフォルト・ユーザー名マッパーの使用: True
ユーザーを追加していない場合は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのユーザーの作成に関する項の説明に従って、証明書内に指定されている一般名(CN)ユーザーを追加します。
Oracle WebLogic Serverを再起動します。
Webサービスをデプロイします。
『Oracle Fusion Middleware Oracle WebLogic Serverへのアプリケーションのデプロイ』を参照してください。
clientgenを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。
詳細は、『Oracle Fusion Middleware Oracle WebLogic Server JAX-WS Webサービス・スタート・ガイド』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する項を参照してください。
wss11_x509_token_with_message_protection_client_policyポリシーをクライアントにアタッチします。
|
注意: ポリシーを次のように編集します。
|
『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージ保護付きWebサービスを起動するためのクライアント・アプリケーションの更新に関する項の説明に従って、クライアント内にサーバーの構成(暗号化キー)を指定します。
指定する暗号化キーが、Webサービスに対して構成されている暗号化キーと一致していることを確認してください。
クライアントからWebサービス・メソッドを起動します。
