Oracle Fusion Middleware Oracle SOA Suite、WebCenterおよびADFアップグレード・ガイド 11g リリース1 (11.1.1) B55926-03 |
|
前 |
次 |
この章では、Oracle SOAアプリケーションをOracle Fusion Middleware 11gにアップグレードする際に重要な追加情報について説明します。
Oracle SOA Suite、WebCenterおよびADFの各アプリケーションのアップグレード時に必要となる主なタスクは、第8章「Oracle SOA Suite、WebCenterおよびADFアプリケーションのアップグレードの概要」で説明しています。
ここでは、Oracle SOAアプリケーションのアップグレードのみに該当するタスクについて説明します。
Oracle WSM 10gでは、各ポリシー強制ポイントでポリシー・ステップを指定します。ポリシー・ステップは、特定のセキュリティ処理を扱うきめの細かい操作タスクです。認証および認可、暗号化および複合化、セキュリティ署名、トークン、資格証明の検証、変換などの処理を扱います。各操作タスクはWebサービス要求またはWebサービス応答のいずれかによって実行されます。
Oracle WSM 10gポリシー・ステップの詳細は、Oracle Application Server 10g リリース3 (10.1.3.1.0)ドキュメント・ライブラリで提供されている『Oracle Web Services Manager管理者ガイド』のOracle Web Services Managerのポリシー・ステップに関する項を参照してください。
http://www.oracle.com/technology/documentation/
Oracle WSM 11gでは、ポリシーをWebサービス・エンドポイントにアタッチします。ポリシーはドメインレベルで定義された1つ以上のアサーションで構成されています。アサーションはセキュリティ要件の定義です。そのまま使用できる事前定義のポリシーとアサーションのセットが用意されています。事前定義ポリシーの詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』の事前定義ポリシー参照に関する項を参照してください。
Oracle WSMのポリシーをアップグレードする前に、次のタスクを実行する必要があります。
Oracle WSM 11gをインストールします。詳細は、『Oracle Fusion Middleware Oracle SOA Suite and Oracle Business Process Management Suiteインストレーション・ガイド』を参照してください。
Oracle Containers for J2EE (OC4J) 10gのWebサービスをOracle WebLogic Server 11gのWebサービスにアップグレードします。
詳細は、『Oracle Fusion Middleware Java EEアップグレード・ガイド』のタスク6: アプリケーションのWebサービスのアップグレードに関する項を参照してください。
『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のOracle Fusion MiddlewareでのOracle WSMの再アーキテクチャの調査に関する項で説明されているように、Oracle Fusion Middleware 11g リリース1(11.1.1)には、ゲートウェイ・コンポーネントが含まれていません。
Oracle WSM 10gのポリシーとともに、アプリケーションのOracle WSM 10g Gatewayのコンポーネントを引き続き使用できます。Oracle WSM 10gの相互運用性の詳細は、『Oracle Fusion Middleware Oracle Web Services Manager相互運用ガイド』を参照してください。
『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のOracle Fusion MiddlewareでのOracle WSMの再アーキテクチャの調査に関する項で説明されているように、Oracle WSM 10gは、IBM WebSphereやRed Hat JBossなどのサード・パーティ・アプリケーション・サーバーに対するポリシー強制をサポートしていました。Oracle Fusion Middleware 11g リリース1 (11.1.1)では、Oracle WebLogic Serverのみをサポートします。
Oracle WSM 10gのポリシーとともに、サード・パーティ・アプリケーション・サーバーを引き続き使用できます。Oracle WSM 10gの相互運用性の詳細は、『Oracle Fusion Middleware Oracle Web Services Manager相互運用ガイド』を参照してください。
表13-1は、認証および認可、メッセージ保護、転送、ロギングなどのセキュリティ要件に基づいた、一般的なOracle WSMの事前定義ポリシーのアップグレード・シナリオを示したものです。Oracle WSM 10g環境とOracle WSM 11g環境の両方で各セキュリティ要件を実装するために必要なステップが比較されています。
詳細は、次のリソースを参照してください。
Oracle Fusion Middleware 11gにおけるポリシーの添付の詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のWebサービスへのポリシーの添付に関する項を参照してください。
Oracle WSM 10gポリシー・ステップの詳細は、Oracle Application Server 10g リリース3 (10.1.3.1.0)ドキュメント・ライブラリで提供されている『Oracle Web Services Manager管理者ガイド』のOracle Web Services Managerのポリシー・ステップに関する項を参照してください。
http://www.oracle.com/technology/documentation/
表13-1 Oracle WSM 10gの事前定義ポリシーのアップグレード
セキュリティ要件 | Oracle WSM 10g | Oracle WSM 11g |
---|---|---|
メッセージ保護付き匿名認証(WS-Security 1.0) |
ポリシー・ステップを次のように添付します。
|
|
メッセージ整合性付き匿名認証(WS-Security 1.0) |
ポリシー・ステップを次のように添付します。
|
|
メッセージの機密保持付き匿名認証(WS-Security 1.0) |
ポリシー・ステップを次のように添付します。
|
|
メッセージ保護付きユーザー名トークン(WS-Security 1.0) |
ポリシー・ステップを次のように添付します。
注意: ファイル認証のかわりに、LDAP認証、Oracle Access Manager認証、Active Directory認証またはSetMinder認証を使用する方法もあります。 |
|
メッセージ保護付きユーザー名トークン(WS-Security 1.0)とファイル認証 |
ポリシー・ステップを次のように添付します。
注意: ファイル認証のかわりに、LDAP認証、Active Directory認証またはSetMinder認証を使用する方法もあります。 同様に、ファイル認可のかわりに、LDAP認可、Active Directory認可またはSetMinder認可を使用する方法もあります。 |
|
メッセージ保護付きSAMLトークン(送信者保証)を使用したID伝播(WS-Security 1.0) |
ポリシー・ステップを次のように添付します。
|
|
HTTP Basic認証 |
ポリシー・ステップを次のように添付します。
|
ポリシーを次のように添付します。
|
Oracle Access Managerセキュリティ(WS-Security 1.0) |
ポリシー・ステップを次のように添付します。
|
ポリシーを次のように添付します。
|
メッセージ保護付き相互認証(WS-Security 1.0) |
ポリシー・ステップを次のように添付します。
注意: ファイル認証のかわりに、LDAP認証、Oracle Access Manager認証、Active Directory認証またはSetMinder認証を使用する方法もあります。 |
|
SSL上のユーザー名トークン |
|
|
SSL上のSAMLトークン(送信者保証)を使用したID伝播(WS-Security 1.0) |
|
|
情報のログ記録 |
クライアントまたはWebサービスに次のポリシー・ステップを添付します: 「ログ」 |
クライアントまたはWebサービスに次のポリシーを添付します: oracle/log_policy |
Oracle WSM 10gでは、次のOracle Application Server 10g リリース3 (10.1.3.1.0)のドキュメント・ライブラリにある『Oracle Web Services Manager 拡張ガイド』に記載されている手順を使用して、カスタム・ポリシー・ステップを作成、開発およびデプロイします。
http://www.oracle.com/technology/documentation/
Oracle WSM 11gでは、カスタム・ポリシー・アサーションを作成、開発およびデプロイします。『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のカスタム・アサーションの作成に関する項で説明されている手順を使用して、カスタム・ポリシー・ステップをカスタム・ポリシー・アサーションとして再定義する必要があります。
OC4J 10gでは、XMLベースのデプロイメント・ディスクリプタ・ファイルの内容を変更することによってセキュリティ環境を構成します。OC4J環境の保護の詳細は、『Oracle Application Server Web Servicesセキュリティ・ガイド』を参照してください。
http://www.oracle.com/technology/documentation/
Oracle WSM 11gでは、ポリシーをWebサービス・エンドポイントにアタッチします。ポリシーはドメインレベルで定義された1つ以上のアサーションで構成されています。アサーションはセキュリティ要件の定義です。そのまま使用できる事前定義のポリシーとアサーションのセットが用意されています。事前定義ポリシーの詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』の事前定義ポリシー参照に関する項を参照してください。
次の各項では、認証、メッセージ保護、転送、ロギングなどのセキュリティ要件に基づいた、一般的なOC4Jのアップグレード・シナリオについて説明します。OC4J 10g環境とOracle WSM 11g環境の両方で各セキュリティ要件を実装するために必要なステップが比較されています。
第13.2.6項「メッセージ保護付きSAMLトークン(送信者保証)を使用したID伝播(WS-Security 1.0)」
第13.2.7項「メッセージ保護付きSAMLトークン(キーのホルダー)を使用したID伝播(WS-Security 1.0)」
注意: Oracle Fusion Middleware 11gでのポリシー添付の構成の詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』を参照してください。 |
次の項では、アップグレード前に必要な前提条件について説明します。
OC4Jのセキュリティ環境をアップグレードする前に、次のタスクを実行する必要があります。
Oracle WSM 11gをインストールします。詳細は、『Oracle Fusion Middleware Oracle SOA Suite and Oracle Business Process Management Suiteインストレーション・ガイド』を参照してください。
『Oracle Fusion Middleware Java EEアップグレード・ガイド』のタスク6: アプリケーションのWebサービスのアップグレードに関する項を確認します。
この項では、OC4J WebサービスのOracle WebLogic Serverへのアップグレードに関する一般情報について説明します。
次の各項では、WS-Security 1.0標準に準拠したメッセージ保護付き認証の実装方法について説明し、OC4J 10g環境とOracle WSM 11g環境で必要となるステップを比較します。
次の項の説明に従って、Webサービスとクライアントのデプロイメント・ディスクリプタを編集します。
デプロイメント・ディスクリプタ要素の詳細は、次のOracle Application Server 10g リリース3 (10.1.3.1.0)のドキュメント・ライブラリにある『Oracle Application Server Web Servicesセキュリティ・ガイド』のOracleAS Webサービスのセキュリティ・スキーマに関する項を参照してください。
http://www.oracle.com/technology/documentation/
Webサービス・クライアント(サンプル・データ)
クライアントのデプロイメント・ディスクリプタで、<signature>および<encrypt>要素を定義します。例:
<signature> <signature-method>RSA-SHA1</signature-method> <tbs-elements> <tbs-element local-part="Body" name-space= "http://schemas.xmlsoap.org/soap/envelope/" /> <tbs-element name-space= "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" local-part="Timestamp" /> </tbs-elements> <add-timestamp created="true" expiry="28800" /> </signature> <encrypt> <recipient-key alias="orakey"/> <encryption-method>AES-128</encryption-method> <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> <tbe-elements> <tbe-element local-part="Body" name-space= "http://schemas.xmlsoap.org/soap/envelope/" mode="CONTENT" /> </tbe-elements> </encrypt>
Webサービス(サンプル・データ)
サービスのデプロイメント・ディスクリプタで、<verify-signature>および<decrypt>要素を定義します。例:
<verify-signature> <tbs-elements> <tbs-element name-space="http://schemas.xmlsoap.org/soap/envelope/" local-part="Body" /> <tbs-element name-space= "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" local-part="Timestamp" /> </tbs-elements> <verify-timestamp expiry="28800" created="true" /> </verify-signature> <decrypt> <tbe-elements> <tbe-element name-space="http://schemas.xmlsoap.org/soap/envelope/" local-part="Body" mode="CONTENT" /> </tbe-elements> </decrypt>
次のステップを実行します。
ポリシーを次のように添付します。
クライアント: oracle/wss10_message_protection_client_policy
Webサービス: oracle/wss10_message_protection_service_policy
Oracle Fusion Middleware 11gにおけるポリシーの添付の詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のWebサービスへのポリシーの添付に関する項を参照してください。
メッセージ本体の署名と暗号化の構成はそのまま残します。
次の各項では、WS-Security 1.0標準に準拠したメッセージ整合性付き認証の実装方法について説明し、OC4J 10g環境とOracle WSM 11g環境で必要となるステップを比較します。
次の項の説明に従って、Webサービスとクライアントのデプロイメント・ディスクリプタを編集します。
デプロイメント・ディスクリプタ要素の詳細は、次のOracle Application Server 10g リリース3 (10.1.3.1.0)のドキュメント・ライブラリにある『Oracle Application Server Web Servicesセキュリティ・ガイド』のOracleAS Webサービスのセキュリティ・スキーマに関する項を参照してください。
http://www.oracle.com/technology/documentation/
Webサービス・クライアント(サンプル・データ)
クライアントのデプロイメント・ディスクリプタで、<signature>要素を定義します。例:
<signature> <signature-method>RSA-SHA1</signature-method> <tbs-elements> <tbs-element local-part="Body" name-space= "http://schemas.xmlsoap.org/soap/envelope/" /> <tbs-element name-space= "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" local-part="Timestamp" /> </tbs-elements> <add-timestamp created="true" expiry="28800" /> </signature>
Webサービス(サンプル・データ)
サービスのデプロイメント・ディスクリプタで、<verify-signature>要素を定義します。例:
<verify-signature> <tbs-elements> <tbs-element name-space="http://schemas.xmlsoap.org/soap/envelope/" local-part="Body" /> <tbs-element name-space= "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" local-part="Timestamp" /> </tbs-elements> <verify-timestamp expiry="28800" created="true" /> </verify-signature>
次のステップを実行します。
ポリシーを次のように添付します。
クライアント: oracle/wss10_message_protection_client_policy
Webサービス: oracle/wss10_message_protection_service_policy
Oracle Fusion Middleware 11gにおけるポリシーの添付の詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のWebサービスへのポリシーの添付に関する項を参照してください。
メッセージ本体の署名のポリシー・アサーションのみを構成します。
次の各項では、WS-Security 1.0標準に準拠したメッセージの機密保持付き認証の実装方法について説明し、OC4J 10g環境とOracle WSM 11g環境で必要となるステップを比較します。
デプロイメント・ディスクリプタ要素の詳細は、次の10g リリース3 (10.1.3.1.0)のドキュメント・ライブラリにある『Oracle Application Server Web Servicesセキュリティ・ガイド』のOracleAS Webサービスのセキュリティ・スキーマに関する項を参照してください。
http://www.oracle.com/technology/documentation/
次の項の説明に従って、Webサービスとクライアントのデプロイメント・ディスクリプタを編集します。
Webサービス・クライアント(サンプル・データ)
クライアントのデプロイメント・ディスクリプタで、<encrypt>要素を定義します。例:
<encrypt> <recipient-key alias="orakey"/> <encryption-method>AES-128</encryption-method> <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> <tbe-elements> <tbe-element local-part="Body" name-space= "http://schemas.xmlsoap.org/soap/envelope/" mode="CONTENT" /> </tbe-elements> </encrypt>
Webサービス(サンプル・データ)
サービスのデプロイメント・ディスクリプタで、<decrypt>要素を定義します。例:
<decrypt> <tbe-elements> <tbe-element name-space="http://schemas.xmlsoap.org/soap/envelope/" local-part="Body" mode="CONTENT" /> </tbe-elements> </decrypt>
次のステップを実行します。
ポリシーを次のように添付します。
クライアント: oracle/wss10_message_protection_client_policy
Webサービス: oracle/wss10_message_protection_service_policy
Oracle Fusion Middleware 11gにおけるポリシーの添付の詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のWebサービスへのポリシーの添付に関する項を参照してください。
メッセージ本体の暗号化のポリシー・アサーションのみを構成します。
次の各項では、WS-Security 1.0標準に準拠したメッセージ保護付きユーザー名トークンの実装方法について説明し、OC4J 10g環境とOracle WSM 11g環境で必要となるステップを比較します。
次の項の説明に従って、Webサービスとクライアントのデプロイメント・ディスクリプタを編集します。
デプロイメント・ディスクリプタ要素の詳細は、次の10g リリース3 (10.1.3.1.0)のドキュメント・ライブラリにある『Oracle Application Server Web Servicesセキュリティ・ガイド』のOracleAS Webサービスのセキュリティ・スキーマに関する項を参照してください。
http://www.oracle.com/technology/documentation/
Webサービス・クライアント(サンプル・データ)
クライアントのデプロイメント・ディスクリプタで、<username-token>、<signature>および<encrypt>要素を定義します。例:
<username-token password-type="PLAINTEXT" add-nonce="false" add-created="false" /> <signature> <signature-method>RSA-SHA1</signature-method> <tbs-elements> <tbs-element local-part="Body" name-space= "http://schemas.xmlsoap.org/soap/envelope/"/> <tbs-element name-space= "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" local-part="Timestamp" /> <tbs-element name-space= "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" local-part="UsernameToken" /> </tbs-elements> <add-timestamp created="true" expiry="28800" /> </signature> <encrypt> <recipient-key alias="orakey" /> <encryption-method>AES-128</encryption-method> <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> <tbe-elements> <tbe-element local-part="Body" name-space= "http://schemas.xmlsoap.org/soap/envelope/" mode="CONTENT" /> <tbe-element name-space= "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" local-part="UsernameToken" /> </tbe-elements> </encrypt>
Webサービス(サンプル・データ)
サービスのデプロイメント・ディスクリプタで、<verify-username-token>、<verify-signature>および<decrypt>要素を定義します。例:
<verify-username-token password-type="PLAINTEXT" require-nonce="false" require-created="false" /> <verify-signature> <tbs-elements> <tbs-element name-space="http://schemas.xmlsoap.org/soap/envelope/" local-part="Body" /> <tbs-element name-space= "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" local-part="Timestamp" /> </tbs-elements> <verify-timestamp expiry="28800" created="true" /> </verify-signature> <decrypt> <tbe-elements> <tbe-element name-space="http://schemas.xmlsoap.org/soap/envelope/" local-part="Body" mode="CONTENT" /> </tbe-elements> </decrypt>
次のステップを実行します。
ポリシーを次のように添付します。
クライアント: oracle/wss10_username_token_with_message_protection_client_policy
Webサービス: oracle/wss10_username_token_with_message_protection_service_policy
Oracle Fusion Middleware 11gにおけるポリシーの添付の詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のWebサービスへのポリシーの添付に関する項を参照してください。
メッセージ本体の署名と暗号化の構成はそのまま残します。
認証プロバイダとアイデンティティ・アサーション・プロバイダを構成します。
次の各項では、WS-Security 1.0標準に準拠した、メッセージ保護付きSAMLトークン(送信者保証)を使用したID伝播の実装方法について説明し、OC4J 10g環境とOracle WSM 11g環境で必要となるステップを比較します。
デプロイメント・ディスクリプタ要素の詳細は、次のリンクにある『Oracle Application Server Web Servicesセキュリティ・ガイド10g (10.1.3.1.0)』のOracleAS Webサービスのセキュリティ・スキーマに関する項を参照してください。
http://www.oracle.com/technology/documentation/
次の項の説明に従って、Webサービスとクライアントのデプロイメント・ディスクリプタを編集します。
Webサービス・クライアント(サンプル・データ)
クライアントのデプロイメント・ディスクリプタで、<saml-token>、<signature>および<encrypt>要素を定義します。例:
<saml-token issuer-name="www.oracle.com" name="weblogic" name-format="UNSPECIFIED"> <subject-confirmation-method> <confirmation-method>SENDER-VOUCHES</confirmation-method> </subject-confirmation-method> </saml-token> <signature> <signature-method>RSA-SHA1</signature-method> <tbs-elements> <tbs-element local-part="Body" name-space="http://schemas.xmlsoap.org/soap/envelope/" /> <tbs-element name-space= "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" local-part="Timestamp" /> </tbs-elements> <add-timestamp created="true" expiry="28800" /> </signature> <encrypt> <recipient-key alias="orakey" /> <encryption-method>AES-128</encryption-method> <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> <tbe-elements> <tbe-element local-part="Body" name-space= "http://schemas.xmlsoap.org/soap/envelope/" mode="CONTENT" /> </tbe-elements> </encrypt>
Webサービス(サンプル・データ)
サービスのデプロイメント・ディスクリプタで、<verify-saml-token>、<verify-signature>および<decrypt>要素を定義します。例:
<verify-saml-token> <subject-confirmation-methods> <confirmation-method>SENDER-VOUCHES</confirmation-method> </subject-confirmation-methods> </verify-saml-token> <verify-signature> <tbs-elements> <tbs-element name-space="http://schemas.xmlsoap.org/soap/envelope/" local-part="Body" /> <tbs-element name-space= "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" local-part="Timestamp" /> </tbs-elements> <verify-timestamp expiry="28800" created="true" /> </verify-signature> <decrypt> <tbe-elements> <tbe-element name-space="http://schemas.xmlsoap.org/soap/envelope/" local-part="Body" mode="CONTENT" /> </tbe-elements> </decrypt>
ポリシーを次のように添付します。
クライアント: oracle/wss10_saml_token_with_message_protection_client_policy
Webサービス: oracle/wss10_saml_token_with_message_protection_service_policy
Oracle Fusion Middleware 11gにおけるポリシーの添付の詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のWebサービスへのポリシーの添付に関する項を参照してください。
次の各項では、WS-Security 1.0標準に準拠した、メッセージ保護付きSAMLトークン(キーのホルダー)を使用したID伝播の実装方法について説明し、OC4J 10g環境とOracle WSM 11g環境で必要となるステップを比較します。
デプロイメント・ディスクリプタ要素の詳細は、次の10g リリース3 (10.1.3.1.0)のドキュメント・ライブラリにある『Oracle Application Server Web Servicesセキュリティ・ガイド』のOracleAS Webサービスのセキュリティ・スキーマに関する項を参照してください。
http://www.oracle.com/technology/documentation/
次の項の説明に従って、Webサービスとクライアントのデプロイメント・ディスクリプタを編集します。
Webサービス・クライアント(サンプル・データ)
クライアントのデプロイメント・ディスクリプタで、<saml-token>、<signature>および<encrypt>要素を定義します。例:
<saml-token issuer-name="www.oracle.com" name="weblogic" name-format="UNSPECIFIED"> <subject-confirmation-method> <confirmation-method>HOLDER-OF-KEY</confirmation-method> </subject-confirmation-method> </saml-token> <signature> <signature-method>RSA-SHA1</signature-method> <tbs-elements> <tbs-element local-part="Body" name-space="http://schemas.xmlsoap.org/soap/envelope/" /> <tbs-element name-space= "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" local-part="Timestamp" /> </tbs-elements> <add-timestamp created="true" expiry="28800" /> </signature> <encrypt> <recipient-key alias="orakey" /> <encryption-method>AES-128</encryption-method> <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> <tbe-elements> <tbe-element local-part="Body" name-space= "http://schemas.xmlsoap.org/soap/envelope/" mode="CONTENT" /> </tbe-elements> </encrypt>
Webサービス(サンプル・データ)
サービスのデプロイメント・ディスクリプタで、<verify-saml-token>、<verify-signature>および<decrypt>要素を定義します。例:
<verify-saml-token> <subject-confirmation-methods> <confirmation-method>HOLDER-OF-KEY</confirmation-method> </subject-confirmation-methods> </verify-saml-token> <verify-signature> <tbs-elements> <tbs-element name-space="http://schemas.xmlsoap.org/soap/envelope/" local-part="Body" /> <tbs-element name-space= "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" local-part="Timestamp" /> </tbs-elements> <verify-timestamp expiry="28800" created="true" /> </verify-signature> <decrypt> <tbe-elements> <tbe-element name-space="http://schemas.xmlsoap.org/soap/envelope/" local-part="Body" mode="CONTENT" /> </tbe-elements> </decrypt>
ポリシーを次のように添付します。
クライアント: oracle/wss10_saml_hok_with_message_protection_client_policy
Webサービス: oracle/wss10_saml_hok_with_message_protection_service_policy
Oracle Fusion Middleware 11gにおけるポリシーの添付の詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のWebサービスへのポリシーの添付に関する項を参照してください。
次の各項では、WS-Security 1.0標準に準拠したメッセージ保護付き相互認証の実装方法について説明し、OC4J 10g環境とOracle WSM 11g環境で必要となるステップを比較します。
デプロイメント・ディスクリプタ要素の詳細は、次の10g リリース3 (10.1.3.1.0)のドキュメント・ライブラリにある『Oracle Application Server Web Servicesセキュリティ・ガイド』のOracleAS Webサービスのセキュリティ・スキーマに関する項を参照してください。
http://www.oracle.com/technology/documentation/
次の項の説明に従って、Webサービスとクライアントのデプロイメント・ディスクリプタを編集します。
Webサービス・クライアント(サンプル・データ)
クライアントのデプロイメント・ディスクリプタで、<x509-token>、<signature>および<encrypt>要素を定義します。例:
<x509-token /> <signature> <signature-method>RSA-SHA1</signature-method> <tbs-elements> <tbs-element local-part="Body" name-space="http://schemas.xmlsoap.org/soap/envelope/" /> <tbs-element name-space= "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" local-part="Timestamp" /> </tbs-elements> <add-timestamp created="true" expiry="28800" /> </signature> <encrypt> <recipient-key alias="orakey" /> <encryption-method>AES-128</encryption-method> <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> <tbe-elements> <tbe-element local-part="Body" name-space="http://schemas.xmlsoap.org/soap/envelope/" mode="CONTENT" /> </tbe-elements> </encrypt>
Webサービス(サンプル・データ)
サービスのデプロイメント・ディスクリプタで、<verify-x509-token>、<verify-signature>および<decrypt>要素を定義します。例:
<verify-x509-token /> <verify-signature> <tbs-elements> <tbs-element name-space="http://schemas.xmlsoap.org/soap/envelope/" local-part="Body" /> <tbs-element name-space= "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" local-part="Timestamp" /> </tbs-elements> <verify-timestamp expiry="28800" created="true" /> </verify-signature> <decrypt> <tbe-elements> <tbe-element name-space="http://schemas.xmlsoap.org/soap/envelope/" local-part="Body" mode="CONTENT" /> </tbe-elements> </decrypt>
次のステップを実行します。
ポリシーを次のように添付します。
クライアント: oracle/wss10_x509_token_with_message_protection_client_policy
Webサービス: oracle/wss10_x509_token_with_message_protection_service_policy
Oracle Fusion Middleware 11gにおけるポリシーの添付の詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のWebサービスへのポリシーの添付に関する項を参照してください。
メッセージ本体の署名と暗号化の構成はそのまま残します。
認証プロバイダとアイデンティティ・アサーション・プロバイダを構成します。
次の各項では、SSL上のユーザー名トークンの実装方法について説明し、OC4J 10g環境とOracle WSM 11g環境で必要となるステップを比較します。
デプロイメント・ディスクリプタ要素の詳細は、次の10g リリース3 (10.1.3.1.0)のドキュメント・ライブラリにある『Oracle Application Server Web Servicesセキュリティ・ガイド』のOracleAS Webサービスのセキュリティ・スキーマに関する項を参照してください。
http://www.oracle.com/technology/documentation/
アプリケーション・サーバーをSSL用に構成し、次の各項の説明に従って、Webサービスとクライアントのデプロイメント・ディスクリプタを編集します。
Webサービス・クライアント(サンプル・データ)
クライアントのデプロイメント・ディスクリプタで、<username-token>および<signature>要素を定義します。例:
<username-token password-type="PLAINTEXT" add-nonce="true" add-created="true" /> <signature> <add-timestamp created="true" expiry="28800" /> </signature>
Webサービス(サンプル・データ)
サービスのデプロイメント・ディスクリプタで、<verify-username>要素を定義します。例:
<verify-username-token password-type="PLAINTEXT" require-nonce="false" require-created="false" /> <signature> <verify-timestamp expiry="28800" created="true" /> </signature>
次のステップを実行します。
アプリケーション・サーバーをSSL用に構成します。
ポリシーを次のように添付します。
クライアント: oracle/wss_username_token_over_ssl_client_policy
Webサービス: oracle/wss_username_token_over_ssl_service_policy
Oracle Fusion Middleware 11gにおけるポリシーの添付の詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』のWebサービスへのポリシーの添付に関する項を参照してください。
次の各項では、WS-Security 1.0標準に準拠した、SSL上のSAMLトークン(送信者保証)を使用したID伝播の実装方法について説明し、OC4J 10g環境とOracle WSM 11g環境で必要となるステップを比較します。
デプロイメント・ディスクリプタ要素の詳細は、次の10g リリース3 (10.1.3.1.0)のドキュメント・ライブラリにある『Oracle Application Server Web Servicesセキュリティ・ガイド』のOracleAS Webサービスのセキュリティ・スキーマに関する項を参照してください。
http://www.oracle.com/technology/documentation/
アプリケーション・サーバーをSSL用に構成し、次の各項の説明に従って、Webサービスとクライアントのデプロイメント・ディスクリプタを編集します。
Webサービス・クライアント(サンプル・データ)
クライアントのデプロイメント・ディスクリプタで、<saml-token>および<signature>要素を定義します。例:
<saml-token name="weblogic" issuer-name="www.oracle.com" name-format="UNSPECIFIED"> <subject-confirmation-method> <confirmation-method>SENDER-VOUCHES</confirmation-method> </subject-confirmation-method> </saml-token> <signature> <add-timestamp created="true" expiry="28800" /> </signature>
Webサービス(サンプル・データ)
サービスのデプロイメント・ディスクリプタで、<verify-saml-token>要素を定義します。例:
<verify-saml-token> <subject-confirmation-methods> <confirmation-method>SENDER-VOUCHES-UNSIGNED</confirmation-method> </subject-confirmation-methods> </verify-saml-token> <signature> <verify-timestamp expiry="28800" created="true" /> </signature>