| Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド 11g リリース1(11.1.1) B56247-03 |
|
 前 |
 次 |
この付録では、ポリシーの作成に使用することや、新規ポリシー作成のためにコピーすることが可能な事前定義済アサーション・テンプレートについて説明します。
|
注意: 有効なテンプレートの既知のセットを常に手元に置いておけるように、事前定義済アサーション・テンプレートを編集しないことをお薦めします。ただし、ポリシーに添付した後は、事前定義済アサーション・テンプレートから新規のテンプレートを作成するか、アサーションに属性を構成してください。アサーション・テンプレートの管理とポリシーへのアサーション・テンプレートの追加に関する詳細は、「ポリシー・アサーション・テンプレートの管理」を参照してください。 |
この章の内容は次のとおりです。
次の項では、セキュリティ・アサーション・テンプレートをより詳細に説明します。
次のリンク(アルファベット順)を使用すると、具体的なアサーション・テンプレートの説明に移動できます。
oracle/wss_http_token_over_ssl_client_templateまたはoracle/wss_http_token_over_ssl_service_template
oracle/wss_http_token_client_templateまたはoracle/wss_http_token_service_template
oracle/wss_saml_token_bearer_over_ssl_client_templateまたはoracle/wss_saml_token_bearer_over_ssl_service_template
oracle/wss_saml20_token_bearer_over_ssl_client_templateまたはoracle/wss_saml20_token_bearer_over_ssl_service_template
oracle/wss_saml_token_over_ssl_client_templateまたはoracle/wss_saml_token_over_ssl_service_template
oracle/wss_saml20_token_over_ssl_client_templateまたはoracle/wss_saml20_token_over_ssl_service_template
oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_templateまたはoracle/wss_sts_issued_saml_bearer_token_over_ssl_service_template
oracle/wss_username_token_over_ssl_client_templateまたはoracle/wss_username_token_over_ssl_service_template
oracle/wss_username_token_client_templateまたはoracle/wss_username_token_service_template
oracle/wss_username_token_over_ssl_client_templateまたはoracle/wss_username_token_over_ssl_service_template
oracle/wss10_message_protection_client_templateまたはoracle/wss10_message_protection_service_template
oracle/wss10_saml_token_client_templateまたはoracle/wss10_saml_token_service_template
oracle/wss10_saml20_token_client_templateまたはoracle/wss10_saml20_token_service_template
oracle/wss10_saml_token_with_message_protection_client_templateまたはoracle/wss10_saml_token_with_message_protection_service_template
oracle/wss10_saml20_token_with_message_protection_client_templateまたはoracle/wss10_saml20_token_with_message_protection_service_template
oracle/wss10_username_token_with_message_protection_client_templateまたはoracle/wss10_username_token_with_message_protection_service_template
oracle/wss10_x509_token_with_message_protection_client_templateまたはoracle/wss10_x509_token_with_message_protection_service_template
oracle/wss11_kerberos_token_client_templateまたはoracle/wss11_kerberos_token_service_template
oracle/wss11_kerberos_token_with_message_protection_client_templateまたはoracle/wss11_kerberos_token_with_message_protection_service_template
oracle/wss11_saml_token_with_message_protection_client_templateまたはoracle/wss11_saml_token_with_message_protection_service_template
oracle/wss11_saml20_token_with_message_protection_client_templateまたはoracle/wss11_saml20_token_with_message_protection_service_template
oracle/wss11_sts_issued_saml_hok_with_message_protection_client_templateまたはoracle/wss11_sts_issued_saml_hok_with_message_protection_service_template
oracle/wss11_sts_issued_saml_with_message_protection_client_template
oracle/wss11_username_token_with_message_protection_client_templateまたはoracle/wss11_username_token_with_message_protection_service_template
oracle/wss11_x509_token_with_message_protection_client_templateまたはoracle/wss11_x509_token_with_message_protection_service_template
表C-1に、認証のみを実行するアサーション・テンプレートをまとめ、トークンがトランスポート・レイヤーまたはSOAPヘッダーに挿入されるかどうかを示します。
表C-1 認証のみのアサーション・テンプレート
| クライアント・テンプレート | サービス・テンプレート | 認証(トランスポート) | 認証(SOAP) | メッセージ保護(トランスポート) | メッセージ保護(SOAP) |
|---|---|---|---|---|---|
|
oracle/wss_http_token_client_template |
oracle/wss_http_token_service_template |
はい |
いいえ |
いいえ |
いいえ |
|
oracle/wss_username_token_client_template |
oracle/wss_username_token_service_template |
いいえ |
はい |
いいえ |
いいえ |
|
oracle/wss10_saml_token_client_template |
oracle/wss10_saml_token_service_template |
いいえ |
はい |
いいえ |
いいえ |
|
oracle/wss10_saml20_token_client_template |
oracle/wss10_saml20_token_service_template |
いいえ |
はい |
いいえ |
いいえ |
|
oracle/wss11_kerberos_token_client_template |
oracle/wss11_kerberos_token_service_template |
いいえ |
はい |
いいえ |
いいえ |
wss_http_token_client_templateアサーション・テンプレートは、HTTPヘッダー内にユーザー名およびパスワード資格証明を含めます。一方向認証または双方向認証が必要かどうかを制御できます。
設定
表C-2に、wss_http_token_client_templateアサーション・テンプレートの設定をリストします。
表C-2 wss_http_token_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
認証ヘッダー - メカニズム |
認証のメカニズム。 有効な値は次のとおりです。
|
基本 |
|
認証ヘッダー - ヘッダー名 |
認証ヘッダーの名前。 |
なし |
|
トランスポート・セキュリティ - 相互認証が必要 |
双方向認証が必要かどうかを指定するフラグ。 有効な値は次のとおりです。
|
無効 |
|
トランスポート・セキュリティ - タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
無効 |
構成
表C-3に、wss_http_token_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss_http_token_service_templateアサーション・テンプレートでは、HTTPヘッダーの資格証明を使用して、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーを認証します。一方向認証または双方向認証が必要かどうかを制御できます。
設定
wss_http_token_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-2を参照してください。
構成
表C-4に、wss_http_token_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss_username_token_client_templateアサーション・テンプレートは、WS-Security UsernameTokenヘッダー内にユーザー名およびパスワード資格証明を使用した認証を含めます。アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
|
注意: このリリースでは、ダイジェスト・パスワードはサポートされていません。 |
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。
設定
表C-5に、wss_username_token_client_templateアサーション・テンプレートの設定をリストします。
表C-5 wss_username_token_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
パスワード・タイプ |
必要なパスワードのタイプ。 有効な値は次のとおりです。
注意: 保護されていないチャネルでトークンの伝播が発生する場合、プレーン・テキスト・タイプはお薦めできません。ただし、クライアントとサーバー間のポイント・ツー・ポイント接続を保護するためにSSLを転送チャネルとして使用している場合は、チャネルでパスワードが保護されるため、プレーン・テキストタイプを使用できます。 |
「平文」 |
|
必要なNonce |
リプレイ攻撃を防止するためユーザー名にNonceを含める必要があるかどうかを指定するフラグ。 注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。 |
False |
|
必要な作成時間 |
ユーザー名トークンの作成にタイム・スタンプが必要かどうかを指定するフラグ。 注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。 |
False |
構成
表C-6に、wss_username_token_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss_username_token_service_templateアサーション・テンプレートは、WS-Security UsernameToken SOAPヘッダー内のユーザー名およびパスワード資格証明を使用した認証を実行します。アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
|
注意: このリリースでは、ダイジェスト・パスワードはサポートされていません。 |
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。
設定
wss_username_token_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-5を参照してください。
構成
表C-7に、wss_username_token_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss10_saml_token_client_templateアサーション・テンプレートは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。SAMLトークンは自動的に作成されます。
設定
表C-8に、wss10_saml_token_client_templateアサーション・テンプレートの設定をリストします。
表C-8 wss10_saml_token_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は1.1のみです。 |
1.1 |
|
確認タイプ |
確認タイプ。次の値のみ有効です。
|
sender-vouches |
|
「名前識別子フォーマット」 |
名前識別子用に使用されるフォーマットのタイプを指定します。 次のいずれかの値を指定します。
|
指定なし |
構成
表C-9に、wss10_saml_token_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-9 wss10_saml_token_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 カンマ区切りのリストとして含まれる属性を指定します(例:attrib1、attrib2)。指定する属性名は、構成済アイデンティティ・ストアの有効な属性と厳密に一致させる必要があります。Oracle WSMの実行時に、これらの値が構成済アイデンティティ・ストアから読み込まれ、SAMLアサーションに属性と値が組み込まれます。 「件名」が使用可能であり、 デフォルト設定:
クライアント・ポリシーは、構成したアイデンティティ・ストアの
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合は、さらにアイデンティティ・ストアを検索するよう指定できます。詳細は「サーションへのユーザー属性の組込み」を参照してください。 |
|
user.roles.include |
組み込まれるユーザー・ロール。 デフォルト設定:
|
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 デフォルト設定:
|
|
saml.audience.uri |
リライング・パーティをカンマ区切りのURIで表現します。このフィールドはワイルドカードを受け入れます。 デフォルト設定:
|
wss10_saml_token_service_templateアサーション・テンプレートは、WS-Security SOAPヘッダー内のSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
設定
wss10_saml_token_service_templateの設定は、名前識別子フォーマットが存在しないことを除けば、クライアント・バージョンのアサーションと同じです。設定の詳細は、表C-8を参照してください。
構成
表C-10に、wss10_saml_token_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss10_saml20_token_client_templateアサーション・テンプレートは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。SAMLトークンは自動的に作成されます。
設定
表C-11に、wss10_saml20_token_client_templateアサーション・テンプレートの設定をリストします。
表C-11 wss10_saml20_token_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は2.0のみです。 |
2.0 |
|
確認タイプ |
確認タイプ。次の値のみ有効です。
|
sender-vouches |
|
「名前識別子フォーマット」 |
名前識別子用に使用されるフォーマットのタイプを指定します。 次のいずれかの値を指定します。
|
指定なし |
構成
表C-12に、wss10_saml20_token_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-12 wss10_saml20_token_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 カンマ区切りのリストとして含まれる属性を指定します(例:attrib1、attrib2)。指定する属性名は、構成済アイデンティティ・ストアの有効な属性と厳密に一致させる必要があります。Oracle WSMの実行時に、これらの値が構成済アイデンティティ・ストアから読み込まれ、SAMLアサーションに属性と値が組み込まれます。 「件名」が使用可能であり、 デフォルト設定:
クライアント・ポリシーは、構成したアイデンティティ・ストアの
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合は、さらにアイデンティティ・ストアを検索するよう指定できます。詳細は「サーションへのユーザー属性の組込み」を参照してください。 |
|
user.roles.include |
組み込まれるユーザー・ロール。 デフォルト設定:
|
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 デフォルト設定:
|
|
saml.audience.uri |
リライング・パーティをカンマ区切りのURIで表現します。このフィールドはワイルドカードを受け入れます。 デフォルト設定:
|
wss10_saml20_token_service_templateアサーション・テンプレートは、WS-Security SOAPヘッダー内のSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
設定
wss10_saml20_token_service_templateの設定は、名前識別子フォーマットが存在しないことを除けば、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表C-11を参照してください。
構成
表C-13に、wss10_saml20_token_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss11_kerberos_token_client_templateアサーション・テンプレートでは、WS-Security Kerberos Token Profile v1.1標準に従い、WS-SecurityヘッダーにKerberosトークンを含めます。
設定
表C-14に、wss11_kerberos_token_client_template アサーション・テンプレートの設定をリストします。
表C-14 wss11_kerberos_token_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
Kerberosトークン・タイプ |
Kerberosトークンのタイプ。有効な値は、gss-apreq-v5 (Kerberosバージョン5 GSS-API)のみです。 |
gss-apreq-v5 |
構成
表C-15に、wss11_kerberos_token_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss11_kerberos_token_service_templateアサーション・テンプレートは、WS-Security Kerberos Token Profile v1.1標準に従って実行します。このテンプレートは、SOAPヘッダーからKerberosトークンを抽出し、ユーザーを認証します。コンテナには、Oracle Platform Security Servicesを介して構成されたKerberosインフラストラクチャが含まれている必要があります。
設定
wss11_keberos_token_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-14を参照してください。
構成
表C-16に、wss11_kerberos_token_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-17に、メッセージ保護のみを実行するアサーション・テンプレートをまとめ、トークンがトランスポート・レイヤーまたはSOAPヘッダーに挿入されるかどうかを示します。
表C-17 メッセージ保護のみのアサーション・テンプレート
| クライアント・テンプレート | サービス・テンプレート | 認証(トランスポート) | 認証(SOAP) | メッセージ保護(トランスポート) | メッセージ保護(SOAP) |
|---|---|---|---|---|---|
|
oracle/wss10_message_protection_client_template |
oracle/wss10_message_protection_service_template |
いいえ |
いいえ |
いいえ |
はい |
|
oracle/wss11_message_protection_client_template |
oracle/wss11_message_protection_service_template |
いいえ |
いいえ |
いいえ |
はい |
wss10_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
設定
表C-18に、wss10_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-18 wss10_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者署名鍵参照メカニズム |
受信の署名に使用できるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者暗号化キー参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
有効 |
|
「リクエスト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「レスポンス・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「フォルト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
構成
表C-19に、wss10_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss10_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
設定
wss10_message_protection_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表C-18を参照してください。
構成
表C-20に、wss10_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss11_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
設定
表C-21に、wss11_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-21 wss11_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
シグネチャの確認 |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
True |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は次のとおりです。
|
thumbprint |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
有効 |
|
「リクエスト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「レスポンス・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「フォルト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
構成
表C-22に、wss11_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss11_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
設定
wss11_message_protection_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表C-21を参照してください。
構成
表C-23に、wss11_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-24に、メッセージ保護と認証の両方を実行するアサーション・テンプレートをまとめ、トークンがトランスポート・レイヤーまたはSOAPヘッダーに挿入されるかどうかを示します。
表C-24 メッセージ保護および認証のアサーション・テンプレート
wss_http_token_over_ssl_client_templateアサーション・テンプレートは、アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を含め、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーを認証します。
設定
表C-25に、wss_http_token_over_ssl_client_templateアサーション・テンプレートの設定をリストします。
表C-25 wss_http_token_over_ssl_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
認証ヘッダー - メカニズム |
認証のメカニズム。 有効な値は次のとおりです。
|
基本 |
|
認証ヘッダー - ヘッダー名 |
認証ヘッダーの名前。 |
なし |
|
トランスポート・セキュリティ - 相互認証が必要 |
双方向認証が必要かどうかを指定するフラグ。 有効な値は次のとおりです。
|
無効 |
|
トランスポート・セキュリティ - タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
無効 |
構成
表C-26に、wss_http_token_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss_http_token_over_ssl_service_templateアサーション・テンプレートでは、HTTPヘッダーの資格証明を抽出し、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーを認証します。
設定
wss_http_token_over_ssl_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表C-25を参照してください。
構成
表C-27に、wss_http_token_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss_saml_token_bearer_over_ssl_client_templateアサーション・テンプレートは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。確認方法がBearerのSAMLトークンが自動的に作成されます。
設定
表C-28に、wss_saml_token_bearer_over_ssl_client_templateアサーション・テンプレートの設定をリストします。
表C-28 wss_saml_token_bearer_over_ssl_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は1.1のみです。 |
1.1 |
|
確認タイプ |
確認タイプ。有効な値はbearerのみです。 |
bearer |
|
署名済 |
SAMLトークンを署名するかどうかを指定するフラグ。 |
False |
|
暗号化済 |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
「名前識別子フォーマット」 |
名前識別子用に使用されるフォーマットのタイプを指定します。 次のいずれかの値を指定します。
|
指定なし |
|
トランスポート・セキュリティ - 相互認証が必要 |
双方向認証が必要かどうかを指定するフラグ。 有効な値は次のとおりです。
|
無効 |
|
トランスポート・セキュリティ - タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
無効 |
構成
表C-29に、wss_saml_token_bearer_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-29 wss_saml_token_bearer_over_ssl_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 カンマ区切りのリストとして含まれる属性を指定します(例:attrib1、attrib2)。指定する属性名は、構成済アイデンティティ・ストアの有効な属性と厳密に一致させる必要があります。Oracle WSMの実行時に、これらの値が構成済アイデンティティ・ストアから読み込まれ、SAMLアサーションに属性と値が組み込まれます。 「件名」が使用可能であり、 デフォルト設定:
クライアント・ポリシーは、構成したアイデンティティ・ストアの
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合は、さらにアイデンティティ・ストアを検索するよう指定できます。詳細は「サーションへのユーザー属性の組込み」を参照してください。 |
|
user.roles.include |
組み込まれるユーザー・ロール。 デフォルト設定:
|
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 デフォルト設定:
|
|
saml.audience.uri |
リライング・パーティをカンマ区切りのURIで表現します。このフィールドはワイルドカードを受け入れます。 デフォルト設定:
|
wss_saml_token_bearer_over_ssl_service_templateアサーション・テンプレートは、WS-Security SOAPヘッダー内の確認方法がBearerのSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
設定
wss_saml_token_bearer_over_ssl_service_templateアサーション・テンプレートの設定は、名前識別子フォーマットが存在しないことを除けば、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-28を参照してください。
構成
表C-30に、wss_saml_token_bearer_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss_saml20_token_bearer_over_ssl_clientアサーション・テンプレートは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。確認方法がBearerのSAMLトークンが自動的に作成されます。
設定
表C-31に、wss_saml20_token_bearer_over_ssl_client_templateアサーション・テンプレートの設定をリストします。
表C-31 wss_saml20_token_bearer_over_ssl_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は2.0のみです。 |
2.0 |
|
確認タイプ |
確認タイプ。有効な値はbearerのみです。 |
bearer |
|
署名済 |
SAMLトークンを署名するかどうかを指定するフラグ。 |
False |
|
暗号化済 |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
「名前識別子フォーマット」 |
名前識別子用に使用されるフォーマットのタイプを指定します。 次のいずれかの値を指定します。
|
指定なし |
|
トランスポート・セキュリティ - 相互認証が必要 |
双方向認証が必要かどうかを指定するフラグ。 有効な値は次のとおりです。
|
無効 |
|
トランスポート・セキュリティ - タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
無効 |
構成
表C-32に、wss_saml20_token_bearer_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-32 wss_saml20_token_bearer_over_ssl_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 カンマ区切りのリストとして含まれる属性を指定します(例:attrib1、attrib2)。指定する属性名は、構成済アイデンティティ・ストアの有効な属性と厳密に一致させる必要があります。Oracle WSMの実行時に、これらの値が構成済アイデンティティ・ストアから読み込まれ、SAMLアサーションに属性と値が組み込まれます。 「件名」が使用可能であり、 デフォルト設定:
クライアント・ポリシーは、構成したアイデンティティ・ストアの
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合は、さらにアイデンティティ・ストアを検索するよう指定できます。詳細は「サーションへのユーザー属性の組込み」を参照してください。 |
|
user.roles.include |
組み込まれるユーザー・ロール。 デフォルト設定:
|
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 デフォルト設定:
|
|
saml.audience.uri |
リライング・パーティをカンマ区切りのURIで表現します。このフィールドはワイルドカードを受け入れます。 デフォルト設定:
|
wss_saml20_token_bearer_over_ssl_service_templateアサーション・テンプレートは、WS-Security SOAPヘッダー内の確認方法がBearerのSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
設定
wss_saml20_token_bearer_over_ssl_service_templateアサーション・テンプレートの設定は、名前識別子フォーマットが存在しないことを除けば、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-31を参照してください。
構成
表C-33に、wss_saml20_token_bearer_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss_saml_token_over_ssl_client_templateアサーション・テンプレートは、sender-vouches確認タイプを使用して、WS-Security SOAPヘッダーのSAMLトークンに含まれる資格証明の認証を可能にします。
設定
表C-34に、wss_saml_token_over_ssl_client_templateアサーション・テンプレートの設定をリストします。
表C-34 wss_saml_token_over_ssl_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は1.1のみです。 |
1.1 |
|
確認タイプ |
確認タイプ。次の値のみ有効です。
|
sender-vouches |
|
署名済 |
SAMLトークンを署名するかどうかを指定するフラグ。このポリシーの場合、有効な値はTrueのみです。 |
True |
|
暗号化済 |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
「名前識別子フォーマット」 |
名前識別子用に使用されるフォーマットのタイプを指定します。 次のいずれかの値を指定します。
|
指定なし |
|
トランスポート・セキュリティ - 相互認証が必要 |
双方向認証が必要かどうかを指定するフラグ。 有効な値は次のとおりです。
|
有効 |
|
トランスポート・セキュリティ - タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
無効 |
構成
表C-35に、wss_saml_token_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-35 wss_saml_token_over_ssl_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 カンマ区切りのリストとして含まれる属性を指定します(例:attrib1、attrib2)。指定する属性名は、構成済アイデンティティ・ストアの有効な属性と厳密に一致させる必要があります。Oracle WSMの実行時に、これらの値が構成済アイデンティティ・ストアから読み込まれ、SAMLアサーションに属性と値が組み込まれます。 「件名」が使用可能であり、 デフォルト設定:
クライアント・ポリシーは、構成したアイデンティティ・ストアの
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合は、さらにアイデンティティ・ストアを検索するよう指定できます。詳細は「サーションへのユーザー属性の組込み」を参照してください。 |
|
user.roles.include |
組み込まれるユーザー・ロール。 デフォルト設定:
|
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 デフォルト設定:
|
|
saml.audience.uri |
リライング・パーティをカンマ区切りのURIで表現します。このフィールドはワイルドカードを受け入れます。 デフォルト設定:
|
wss_saml_token_over_ssl_service_templateは、sender-vouchesタイプを使用して、WS-Security SOAPヘッダーのSAMLトークンに含まれる資格証明の認証を実行します。
設定
wss_saml_token_over_ssl_service_templateアサーション・テンプレートの設定は、名前識別子フォーマットが存在しないことを除けば、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表C-34を参照してください。
構成
表C-36に、wss_saml_token_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss_saml20_token_over_ssl_client_templateアサーション・テンプレートは、sender-vouches確認タイプを使用して、WS-Security SOAPヘッダーのSAMLトークンを介して提供される資格証明の認証を有効にします。
設定
表C-37に、wss_saml20_token_over_ssl_client_templateアサーション・テンプレートの設定をリストします。
表C-37 wss_saml20_token_over_ssl_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は2.0のみです。 |
2.0 |
|
確認タイプ |
確認タイプ。次の値のみ有効です。
|
sender-vouches |
|
署名済 |
SAMLトークンを署名するかどうかを指定するフラグ。このポリシーの場合、有効な値はTrueのみです。 |
True |
|
暗号化済 |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
「名前識別子フォーマット」 |
名前識別子用に使用されるフォーマットのタイプを指定します。 次のいずれかの値を指定します。
|
指定なし |
|
トランスポート・セキュリティ - 相互認証が必要 |
双方向認証が必要かどうかを指定するフラグ。 有効な値は次のとおりです。
|
有効 |
|
トランスポート・セキュリティ - タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
無効 |
構成
表C-38に、wss_saml20_token_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-38 wss_saml20_token_over_ssl_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 カンマ区切りのリストとして含まれる属性を指定します(例:attrib1、attrib2)。指定する属性名は、構成済アイデンティティ・ストアの有効な属性と厳密に一致させる必要があります。Oracle WSMの実行時に、これらの値が構成済アイデンティティ・ストアから読み込まれ、SAMLアサーションに属性と値が組み込まれます。 「件名」が使用可能であり、 デフォルト設定:
クライアント・ポリシーは、構成したアイデンティティ・ストアの
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合は、さらにアイデンティティ・ストアを検索するよう指定できます。詳細は「サーションへのユーザー属性の組込み」を参照してください。 |
|
user.roles.include |
組み込まれるユーザー・ロール。 デフォルト設定:
|
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 デフォルト設定:
|
|
saml.audience.uri |
リライング・パーティをカンマ区切りのURIで表現します。このフィールドはワイルドカードを受け入れます。 デフォルト設定:
|
wss_saml20_token_over_ssl_service_templateは、sender-vouchesタイプを使用して、WS-Security SOAPヘッダーのSAMLトークンに含まれる資格証明の認証を実行します。
設定
wss_saml20_token_over_ssl_service_templateアサーション・テンプレートの設定は、名前識別子フォーマットが存在しないことを除けば、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表C-37を参照してください。
構成
表C-39に、wss_saml20_token_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss_username_token_over_ssl_client_templateアサーション・テンプレートは、SOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を含めます。アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
|
注意: このリリースでは、ダイジェスト・パスワードはサポートされていません。 |
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。
設定
表C-40に、wss_username_token_over_ssl_client_templateアサーション・テンプレートの設定をリストします。
表C-40 wss_username_token_over_ssl_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
パスワード・タイプ |
必要なパスワードのタイプ。 有効な値は次のとおりです。
注意: 保護されていないチャネルでトークンの伝播が発生する場合、プレーン・テキスト・タイプはお薦めできません。ただし、クライアントとサーバー間のポイント・ツー・ポイント接続を保護するためにSSLを転送チャネルとして使用している場合は、チャネルでパスワードが保護されるため、プレーン・テキストタイプを使用できます。 |
「平文」 |
|
必要な作成時間 |
ユーザー名トークンの作成にタイム・スタンプが必要かどうかを指定するフラグ。 注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。 |
False |
|
必要なNonce |
リプレイ攻撃を防止するためユーザー名にNonceを含める必要があるかどうかを指定するフラグ。 注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。 |
False |
|
トランスポート・セキュリティ - 相互認証が必要 |
双方向認証が必要かどうかを指定するフラグ。 有効な値は次のとおりです。
|
無効 |
|
トランスポート・セキュリティ - タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
無効 |
構成
表C-41に、wss_username_token_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss_username_token_over_ssl_service_templateアサーション・テンプレートは、UsernameToken WS-Security SOAPヘッダーの資格証明を使用して、Oracle Platform Security Servicesの構成済のアイデンティティ・ストアに対してユーザーを認証します。アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
|
注意: このリリースでは、ダイジェスト・パスワードはサポートされていません。 |
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。
設定
wss_username_token_over_ssl_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表C-40を参照してください。
構成
表C-42に、wss_username_token_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss10_saml_hok_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、アウトバウンドSOAPメッセージに関するメッセージ保護(整合性および機密保護)およびSAML鍵所有者ベースの認証を行います。
設定
表C-43に、wss10_saml_hok_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-43 wss10_saml_hok_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は1.1のみです。 |
1.1 |
|
確認タイプ |
確認タイプ。有効な値はholder-of-keyのみです。 |
holder-of-key |
|
署名済 |
SAMLトークンを署名するかどうかを指定するフラグ。有効な値はTrueのみです。 |
True |
|
暗号化済 |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
「名前識別子フォーマット」 |
名前識別子用に使用されるフォーマットのタイプを指定します。 次のいずれかの値を指定します。
|
指定なし |
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
ski |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は次のとおりです。
|
direct |
|
受信者署名鍵参照メカニズム |
受信の署名に使用できるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者暗号化キー参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
有効 |
|
「リクエスト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「レスポンス・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「フォルト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
構成
Table C-44に、wss10_saml_hok_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-44 wss10_saml_hok_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 カンマ区切りのリストとして含まれる属性を指定します(例:attrib1、attrib2)。指定する属性名は、構成済アイデンティティ・ストアの有効な属性と厳密に一致させる必要があります。Oracle WSMの実行時に、これらの値が構成済アイデンティティ・ストアから読み込まれ、SAMLアサーションに属性と値が組み込まれます。 「件名」が使用可能であり、 デフォルト設定:
クライアント・ポリシーは、構成したアイデンティティ・ストアの
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合は、さらにアイデンティティ・ストアを検索するよう指定できます。詳細は「サーションへのユーザー属性の組込み」を参照してください。 |
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。セキュリティ実行時には、この別名を使用して構成済のキーストアからピア証明書が抽出され、ピアへのメッセージが暗号化されます。 デフォルト設定:
|
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
user.roles.include |
組み込まれるユーザー・ロール。 デフォルト設定:
|
|
saml.assertion.filename |
SAMLトークン・ファイルの名前。 デフォルト設定:
|
wss10_saml_hok_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストに関するメッセージ・レベルの保護およびSAML鍵所有者ベースの認証を行います。
設定
wss10_saml_hok_token_with_message_protection_service_templateの設定は、名前識別子フォーマットが存在しないことを除けば、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-43を参照してください。
構成
Table C-45に、wss10_saml_hok_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss10_saml_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、アウトバウンドSOAPメッセージのメッセージ・レベルの保護と、SAMLベースの認証を行います。
Webサービス・コンシューマにはSOAPヘッダーのSAMLトークンが含まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
設定
表C-46に、wss10_saml_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-46 wss10_saml_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は1.1のみです。 |
1.1 |
|
確認タイプ |
確認タイプ。有効な値はsender-vouchesのみです。 |
sender-vouches |
|
署名済 |
SAMLトークンを署名するかどうかを指定するフラグ。このポリシーの場合、有効な値はTrueのみです。 |
True |
|
暗号化済 |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
「名前識別子フォーマット」 |
名前識別子用に使用されるフォーマットのタイプを指定します。 次のいずれかの値を指定します。
|
指定なし |
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者署名鍵参照メカニズム |
受信の署名に使用できるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者暗号化キー参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
有効 |
|
「リクエスト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「レスポンス・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「フォルト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
構成
表C-47に、wss10_saml_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-47 wss10_saml_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 カンマ区切りのリストとして含まれる属性を指定します(例:attrib1、attrib2)。指定する属性名は、構成済アイデンティティ・ストアの有効な属性と厳密に一致させる必要があります。Oracle WSMの実行時に、これらの値が構成済アイデンティティ・ストアから読み込まれ、SAMLアサーションに属性と値が組み込まれます。 「件名」が使用可能であり、 デフォルト設定:
クライアント・ポリシーは、構成したアイデンティティ・ストアの
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合は、さらにアイデンティティ・ストアを検索するよう指定できます。詳細は「サーションへのユーザー属性の組込み」を参照してください。 |
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。セキュリティ実行時には、この別名を使用して構成済のキーストアからピア証明書が抽出され、ピアへのメッセージが暗号化されます。 デフォルト設定:
|
|
user.roles.include |
組み込まれるユーザー・ロール。 デフォルト設定:
|
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 デフォルト設定:
|
|
saml.audience.uri |
リライング・パーティをカンマ区切りのURIで表現します。このフィールドはワイルドカードを受け入れます。 デフォルト設定:
|
wss10_saml_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。
Webサービス・コンシューマにはSOAPヘッダーのSAMLトークンが含まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
設定
wss10_saml_token_with_message_protection_service_templateの設定は、名前識別子フォーマットが存在しないことを除けば、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-46を参照してください。
構成
表C-48に、wss10_saml_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss10_saml20_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、アウトバウンドSOAPメッセージに関するメッセージ・レベルの保護およびSAMLベースの認証を行います。
Webサービス・コンシューマにはSOAPヘッダーのSAMLトークンが含まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
設定
表C-49に、wss10_saml20_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-49 wss10_saml20_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は2.0のみです。 |
2.0 |
|
確認タイプ |
確認タイプ。有効な値はsender-vouchesのみです。 |
sender-vouches |
|
署名済 |
SAMLトークンを署名するかどうかを指定するフラグ。このポリシーの場合、有効な値はTrueのみです。 |
True |
|
暗号化済 |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
「名前識別子フォーマット」 |
名前識別子用に使用されるフォーマットのタイプを指定します。 次のいずれかの値を指定します。
|
指定なし |
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者署名鍵参照メカニズム |
受信の署名に使用できるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者暗号化キー参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
有効 |
|
「リクエスト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「レスポンス・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「フォルト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
構成
表C-50に、wss10_saml20_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-50 wss10_saml20_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 カンマ区切りのリストとして含まれる属性を指定します(例:attrib1、attrib2)。指定する属性名は、構成済アイデンティティ・ストアの有効な属性と厳密に一致させる必要があります。Oracle WSMの実行時に、これらの値が構成済アイデンティティ・ストアから読み込まれ、SAMLアサーションに属性と値が組み込まれます。 「件名」が使用可能であり、 デフォルト設定:
クライアント・ポリシーは、構成したアイデンティティ・ストアの
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合は、さらにアイデンティティ・ストアを検索するよう指定できます。詳細は「サーションへのユーザー属性の組込み」を参照してください。 |
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。セキュリティ実行時には、この別名を使用して構成済のキーストアからピア証明書が抽出され、ピアへのメッセージが暗号化されます。 デフォルト設定:
|
|
user.roles.include |
組み込まれるユーザー・ロール。 デフォルト設定:
|
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 デフォルト設定:
|
|
attesting.mapping.attribute |
アテスト・エンティティを表現する場合に使用されるマッピング属性。現在サポートされているのはDNのみです。この属性は、送信者保証とメッセージ保護ユース・ケースにのみ適用されます。SAML over SSLポリシーには適用できません。 デフォルト設定:
|
|
saml.audience.uri |
リライング・パーティをカンマ区切りのURIで表現します。このフィールドはワイルドカードを受け入れます。 デフォルト設定:
|
wss10_saml20_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストに関するメッセージ保護(整合性および機密保護)およびSAMLベースの認証を行います。
Webサービス・コンシューマにはSOAPヘッダーのSAMLトークンが含まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
設定
wss10_saml20_token_with_message_protection_service_templateの設定は、名前識別子フォーマットが存在しないことを除けば、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表C-49を参照してください。
構成
表C-51に、wss10_saml20_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss10_username_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と認証を行います。資格証明は、アウトバウンドSOAPメッセージのWS-Security UsernameTokenヘッダーに含まれます。
アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
|
注意: このリリースでは、ダイジェスト・パスワードはサポートされていません。 |
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
設定
表C-52に、wss10_username_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-52 wss10_username_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
パスワード・タイプ |
必要なパスワードのタイプ。 有効な値は次のとおりです。
|
「平文」 |
|
必要なNonce |
リプレイ攻撃を防止するためユーザー名にNonceを含める必要があるかどうかを指定するフラグ。 注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。 |
False |
|
必要な作成時間 |
ユーザー名トークンの作成にタイム・スタンプが必要かどうかを指定するフラグ。 注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。 |
False |
|
署名済 |
ユーザー名を署名するかどうかを指定するフラグ。 |
True |
|
暗号化済 |
ユーザー名を暗号化するかどうかを指定するフラグ。 |
True |
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者署名鍵参照メカニズム |
受信の署名に使用できるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者暗号化キー参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
有効 |
|
「リクエスト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「レスポンス・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「フォルト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
構成
表C-53に、wss10_username_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-53 wss10_username_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
role |
SOAPロール。 デフォルト設定:
|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。セキュリティ実行時には、この別名を使用して構成済のキーストアからピア証明書が抽出され、ピアへのメッセージが暗号化されます。 デフォルト設定:
|
wss10_username_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と認証を行います。
アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
|
注意: このリリースでは、ダイジェスト・パスワードはサポートされていません。 |
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
設定
wss10_username_token_with_message_protection_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-52を参照してください。
構成
表C-54に、wss10_username_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss10_x509_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性および機密保護)および証明資料情報の移入を行います。
設定
表C-55に、wss10_x509_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-55 wss10_x509_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者署名鍵参照メカニズム |
受信の署名に使用できるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者暗号化キー参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
有効 |
|
「リクエスト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「レスポンス・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「フォルト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
構成
表C-56に、wss10_x509_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-56 wss10_x509_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。セキュリティ実行時には、この別名を使用して構成済のキーストアからピア証明書が抽出され、ピアへのメッセージが暗号化されます。 デフォルト設定:
|
wss10_x509_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、証明書ベースの認証を行います。
設定
wss10_x509_token_with_message_protection_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-52を参照してください。
構成
表C-57に、wss10_x509_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss11_kerberos_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security Kerberos Token Profile v1.1標準に従い、WS-SecurityヘッダーにKerberosトークンを含めます。
設定
表C-58に、wss11_kerberos_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-58 wss11_kerberos_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
Kerberosトークン・タイプ |
Kerberosトークンのタイプ。有効な値は、gss-apreq-v5 (Kerberosバージョン5 GSS-API)のみです。 |
gss-apreq-v5 |
|
シグネチャの確認 |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
True |
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
TripleDes |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
有効 |
|
「リクエスト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「レスポンス・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「フォルト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
構成
表C-59に、wss11_kerberos_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss11_kerberos_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security Kerberos Token Profile v1.1標準に従って実行します。このテンプレートは、SOAPヘッダーからKerberosトークンを抽出し、ユーザーを認証します。コンテナには、Oracle Platform Security Servicesを介して構成されたKerberosインフラストラクチャが含まれている必要があります。
設定
wss11_keberos_token_with_message_protection_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-58を参照してください。
構成
不要。
wss11_saml_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.1に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLトークンの移入を可能にします。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
設定
表C-60に、wss11_saml_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-60 wss11_saml_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は1.1のみです。 |
なし |
|
確認タイプ |
確認タイプ。有効な値はsender-vouchesです。 |
sender-vouches |
|
署名済 |
SAMLトークンを署名するかどうかを指定するフラグ。SAMLポリシーの場合、有効な値はTrueのみです。 |
True |
|
暗号化済 |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
「名前識別子フォーマット」 |
名前識別子用に使用されるフォーマットのタイプを指定します。 次のいずれかの値を指定します。
|
指定なし |
|
シグネチャの確認 |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
True |
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
thumbprint |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
有効 |
|
「リクエスト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「レスポンス・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「フォルト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
構成
表C-61に、wss11_saml_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-61 wss11_saml_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 カンマ区切りのリストとして含まれる属性を指定します(例:attrib1、attrib2)。指定する属性名は、構成済アイデンティティ・ストアの有効な属性と厳密に一致させる必要があります。Oracle WSMの実行時に、これらの値が構成済アイデンティティ・ストアから読み込まれ、SAMLアサーションに属性と値が組み込まれます。 「件名」が使用可能であり、 デフォルト設定:
クライアント・ポリシーは、構成したアイデンティティ・ストアの
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合は、さらにアイデンティティ・ストアを検索するよう指定できます。詳細は「サーションへのユーザー属性の組込み」を参照してください。 |
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
role |
SOAPロール。 デフォルト設定:
|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。セキュリティ実行時には、この別名を使用して構成済のキーストアからピア証明書が抽出され、ピアへのメッセージが暗号化されます。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 デフォルト設定:
|
|
saml.audience.uri |
リライング・パーティをカンマ区切りのURIで表現します。このフィールドはワイルドカードを受け入れます。 デフォルト設定:
|
wss11_saml_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストに対してメッセージレベルの整合性保護およびSOAPベースの認証を行います。このアサーション・テンプレートは、SAMLトークンをWS-Securityバイナリ・セキュリティ・トークンから抽出し、それらの資格証明を使用してOracle Platform Security Servicesアイデンティティ・ストアに照らしてユーザーを検証します。
設定
wss11_saml_token_with_message_protection_service_templateの設定は、名前識別子フォーマットが存在しないことを除けば、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-60を参照してください。
構成
表C-62に、wss11_saml_token__with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss11_saml20_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.1に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLトークンの移入を可能にします。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
設定
表C-63に、wss11_saml20_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-63 wss11_saml20_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は2.0のみです。 |
2.0 |
|
確認タイプ |
確認タイプ。有効な値はsender-vouchesです。 |
sender-vouches |
|
署名済 |
SAMLトークンを署名するかどうかを指定するフラグ。SAMLポリシーの場合、有効な値はTrueのみです。 |
True |
|
暗号化済 |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
「名前識別子フォーマット」 |
名前識別子用に使用されるフォーマットのタイプを指定します。 次のいずれかの値を指定します。
|
指定なし |
|
シグネチャの確認 |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
True |
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
thumbprint |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
有効 |
|
「リクエスト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「レスポンス・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「フォルト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
構成
表C-64に、wss11_saml20_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-64 wss11_saml20_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 カンマ区切りのリストとして含まれる属性を指定します(例:attrib1、attrib2)。指定する属性名は、構成済アイデンティティ・ストアの有効な属性と厳密に一致させる必要があります。Oracle WSMの実行時に、これらの値が構成済アイデンティティ・ストアから読み込まれ、SAMLアサーションに属性と値が組み込まれます。 「件名」が使用可能であり、 デフォルト設定:
クライアント・ポリシーは、構成したアイデンティティ・ストアの
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合は、さらにアイデンティティ・ストアを検索するよう指定できます。詳細は「サーションへのユーザー属性の組込み」を参照してください。 |
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
role |
SOAPロール。 デフォルト設定:
|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。セキュリティ実行時には、この別名を使用して構成済のキーストアからピア証明書が抽出され、ピアへのメッセージが暗号化されます。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 デフォルト設定:
|
|
attesting.mapping.attribute |
アテスト・エンティティを表現する場合に使用されるマッピング属性。現在サポートされているのはDNのみです。この属性は、送信者保証とメッセージ保護ユース・ケースにのみ適用されます。SAML over SSLポリシーには適用できません。 デフォルト設定:
|
|
saml.audience.uri |
リライング・パーティをカンマ区切りのURIで表現します。このフィールドはワイルドカードを受け入れます。 デフォルト設定:
|
wss11_saml20_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストに対してメッセージレベルの整合性保護およびSOAPベースの認証を行います。このアサーション・テンプレートは、SAMLトークンをWS-Securityバイナリ・セキュリティ・トークンから抽出し、それらの資格証明を使用してOracle Platform Security Servicesアイデンティティ・ストアに照らしてユーザーを検証します。
設定
wss11_saml_token_with_message_protection_service_templateの設定は、名前識別子フォーマットが存在しないことを除けば、クライアント・バージョンのアサーション・テンプレートの設定に類似します。設定の詳細は、表C-62を参照してください。
構成
表C-65に、wss11_saml20_token__with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
ws11_username_token_with_message_protection_client_templateアサーション・テンプレートは、 WS-Security v1.1標準に従って認証とメッセージ保護を含めます。
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
設定
表C-66に、wss11_username_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-66 wss11_username_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
パスワード・タイプ |
必要なパスワードのタイプ。 有効な値は次のとおりです。
|
「平文」 |
|
必要なNonce |
リプレイ攻撃を防止するためユーザー名にNonceを含める必要があるかどうかを指定するフラグ。 注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。 |
False |
|
必要な作成時間 |
ユーザー名トークンの作成にタイム・スタンプが必要かどうかを指定するフラグ。 注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。 |
False |
|
署名済 |
ユーザー名を署名するかどうかを指定するフラグ。 |
True |
|
暗号化済 |
ユーザー名を暗号化するかどうかを指定するフラグ。 |
True |
|
シグネチャの確認 |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
True |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。 有効な値は次のとおりです。
|
thumbprint |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic256 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
有効 |
|
「リクエスト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「レスポンス・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「フォルト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
構成
表C-67に、wss11_username_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-67 wss11_username_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
role |
SOAPロール。 デフォルト設定:
|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。セキュリティ実行時には、この別名を使用して構成済のキーストアからピア証明書が抽出され、ピアへのメッセージが暗号化されます。 デフォルト設定:
|
ws11_username_token_with_message_protection_service_templateアサーション・テンプレートは、 WS-Security v1.1標準に従って認証とメッセージ保護を行います。
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。リプレイ攻撃から保護するために、アサーションには、タイム・スタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
設定
wss11_username_token_with_message_protection_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-66を参照してください。
構成
表C-68に、wss11_username_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
wss11_x509_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、証明書ベースの認証を行います。資格証明は、SOAPメッセージのWS-Securityバイナリ・セキュリティ・トークンに含まれます。]
設定
表C-69に、wss11_x509_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-69 wss11_x509_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
シグネチャの確認 |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
True |
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
thumbprint |
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
有効 |
|
「リクエスト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「レスポンス・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
|
「フォルト・メッセージ」設定 |
表C-91を参照してください。 |
該当なし |
構成
表C-70に、wss11_x509_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-70 wss11_x509_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。セキュリティ実行時には、この別名を使用して構成済のキーストアからピア証明書が抽出され、ピアへのメッセージが暗号化されます。 デフォルト設定:
|
wss11_x509_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ・レベルの保護と、証明書ベースの認証を行います。証明書は、WS-Securityバイナリ・セキュリティ・トークン・ヘッダーから抽出され、証明書内の資格証明はOracle Platform Security Servicesアイデンティティ・ストアに対して検証されます。
設定
wss11_x509_token_with_message_protection_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-69を参照してください。
構成
表C-71に、wss11_x509_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-72に、WS-Trustアサーション・テンプレートをまとめます。
このリリースでは、Fusion Middleware Controlを使用してアサーション・テンプレートを直接編集しますが、「設定」ページと「構成」ページは使用できません。
表C-72 WS-Trustアサーション・テンプレート
| 名前 | 説明 |
|---|---|
|
oracle/sts_trust_config_client_template |
STSを呼び出す際に使用されるトークン交換用のSTS構成情報アサーション・テンプレート |
|
oracle/sts_trust_config_service_template |
STSを呼び出す際に使用されるトークン交換用のSTS構成情報アサーション・テンプレート |
|
oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_template |
発行されたSAMLトークンの認証(確認方法はBearer)に使用するSOAPバインディングレベルのクライアント・アサーション・テンプレート。SSLメッセージ保護付きです。 |
|
oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_template |
発行されたSAMLトークンの認証(確認方法はBearer)に使用するSOAPバインディングレベルのサービス・アサーション・テンプレート。SSLメッセージ保護付きです。 |
|
oracle/wss11_sts_issued_saml_hok_with_message_protection_client_template |
WS-Security 1.1発行の証明書付きSAMLトークン(HOK方式)クライアント・アサーション・テンプレート。認証およびメッセージ保護はBasic128を使用して提供されます。 |
|
oracle/wss11_sts_issued_saml_hok_with_message_protection_service_template |
WS-Security 1.1発行の証明書付きSAMLトークン(HOK方式)サービス・アサーション・テンプレート。認証およびメッセージ保護はBasic128を使用して提供されます。 |
|
oracle/wss11_sts_issued_saml_with_message_protection_client_template |
WS-Security 1.1発行の証明書付きSAMLトークン(送信者保証方式)アサーション・テンプレート。認証およびメッセージ保護はBasic128を使用して提供されます。 |
oracle/sts_trust_config_client_templateは、トークン交換の際にSTSを呼び出します。
設定
表C-73に、oracle/sts_trust_config_client_templateアサーション・テンプレートの設定をリストします。
表C-73 oracle/sts_trust_config_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
policy-reference-uri |
クライアント・ポリシーURIは、STSとの通信を行うためにクライアントによって使用されます。このポリシーは、WSDLで定義されているように、STS認証要件に応じて選択してください。 |
oracle/wss10_username_token_with_message_protection_client_policy |
|
port-endpoint |
STS Webサービスのエンドポイント。 WSDL 2.0 STSのフォーマットは、 WSDL 1.1 STSのフォーマットは、 |
なし |
|
port-uri |
STSポートの実際のエンドポイントURI。たとえば、 |
なし |
|
sts-keystore-recipient-alias |
キーストアに追加するSTS証明書の別名。デフォルト別名は |
|
|
wsdl-uri |
WSDLの実施あのエンドポイントURI。 |
なし |
構成
表C-74に、oracle/sts_trust_config_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
The oracle/sts_trust_config_service_template invokes the STS for token exchange.
設定
表C-73に、oracle/sts_trust_config_service_templateアサーション・テンプレートの設定をリストします。
表C-75 oracle/sts_trust_config_service_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
port-uri |
STSポートの実際のエンドポイントURI。たとえば、 |
なし |
|
wsdl-uri |
WSDLの実施あのエンドポイントURI。 |
なし |
構成
表C-74に、oracle/sts_trust_config_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
このテンプレートは、信頼されるSTSによって発行されたSAML Bearerアサーションを挿入します。メッセージはSSLを使用して保護されます。
設定
表C-77 に、oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_templateアサーション・テンプレートの設定をリストします。
表C-77 oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
require-applies-to |
RST内のオプション要素。存在している場合には、Oracle WSMにより、トークンをリクエストしているWebサービスのエンドポイント・アドレスが送信されます。デフォルトの動作は、クライアントのメッセージ内のappliesTo要素をSTSに常に送信するようになっています。 |
True |
|
require-client-entropy |
Webサービスのセキュリティによって対称証明鍵が要求される場合、リクエスタは証明鍵の計算に含めることのできる鍵資料(エントロピー)を渡すことができます。クライアント・エントロピー、STSエントロピーまたはその両方を要求するかどうかは、Webサービス・ポリシーで指定できます。 |
HOKにのみ適用します。 |
|
require-server-entropy |
Webサービスのセキュリティによって対称証明鍵が要求される場合、リクエスタは証明鍵の計算に含めることのできる鍵資料(エントロピー)を渡すことができます。クライアント・エントロピー、STSエントロピーまたはその両方を要求するかどうかは、Webサービス・ポリシーで指定できます。 |
HOKにのみ適用します。 |
|
trust -version |
WS-Trustのバージョン。 |
1.3 |
|
require-external-reference |
トークンの外部参照を要求するかどうかどうかを指定します。 |
True |
|
require-internal-reference |
内部参照を要求するかどうかを指定します。 |
True |
|
use-derived-keys |
導出した鍵を要求するかどうかを指定します。 |
False |
|
token-type |
SAMLのトークンのタイプ。有効値は1.1です。 |
SAML11 |
|
key-type |
鍵の種類。有効な値はbearerのみです。 |
bearer |
|
mutual-auth |
双方向認証が必要かどうかを指定するフラグ。 有効な値は次のとおりです。
|
False |
|
include-timestamp |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
True |
構成
表C-78に、oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-78 oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_templateのプロパティ
| 名前 | 説明 |
|---|---|
|
sts.auth.user.csf.key |
このプロパティはオーバーライドできます。 ユーザー名/パスワードをSTSで認証するように構成する場合に使用します。 クライアント「oracle/sts_trust_config_client_template」の |
|
sts.auth.x509.csf.key |
このプロパティはオーバーライドできます。 X509証明書をSTSで認証するように構成する場合に使用します。 クライアント「oracle/sts_trust_config_client_template」の |
|
on.behalf.of |
このプロパティはオーバーライドできます。 オプション・プロパティです。リクエストが第三者の代理かどうかを指定する場合は、このプロパティをオーバーライドします。このフラグのデフォルト値はfalseです。 trueに設定した場合、 そうでない場合、件名が確立済であれば、その件名のユーザー名が
|
|
sts.auth.on.behalf.of.csf.key |
このプロパティはオーバーライドできます。 オプション・プロパティです。代理人を構成する場合に使用します。代理人がいる場合は、「件名」(存在する場合)の上に表示される特定のプリファレンスとなります。 |
|
sts.auth.service.principal.name |
保護する必要のあるWebサービスのプリンシパル名。フォーマットは |
|
sts.auth.keytab.location |
クライアントのキータブ・ファイルの場所。 |
|
sts.keystore.recipient.alias |
キーストアに追加するSTS証明書の別名。デフォルト別名はsts-csf-keyです。 |
|
sts.auth.caller.principal.name |
|
このテンプレートは、信頼されるSTSによって発行されたSAML Bearerアサーションを認証します。メッセージはSSLを使用して保護されます。
設定
表C-77 に、oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_templateアサーション・テンプレートの設定をリストします。
構成
表C-79に、oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
このテンプレートは、信頼されるSTS(セキュリティ・トークン・サービス)によって発行されたSAML HOKアサーションを挿入します。メッセージは、STSから提供される証明鍵資料を使用して保護されます。
設定
表C-80に、wss11_sts_issued_saml_hok_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-80 oracle/wss11_sts_issued_saml_hok_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
require-applies-to |
RST内のオプション要素。存在している場合には、Oracle WSMにより、トークンをリクエストしているWebサービスのエンドポイント・アドレスが送信されます。デフォルトの動作は、クライアントのメッセージ内のappliesTo要素をSTSに常に送信するようになっています。 |
True |
|
require-client-entropy |
Webサービスのセキュリティによって対称証明鍵が要求される場合、リクエスタは証明鍵の計算に含めることのできる鍵資料(エントロピー)を渡すことができます。クライアント・エントロピー、STSエントロピーまたはその両方を要求するかどうかは、Webサービス・ポリシーで指定できます。 |
True |
|
equire-server-entropy |
Webサービスのセキュリティによって対称証明鍵が要求される場合、リクエスタは証明鍵の計算に含めることのできる鍵資料(エントロピー)を渡すことができます。クライアント・エントロピー、STSエントロピーまたはその両方を要求するかどうかは、Webサービス・ポリシーで指定できます。 |
True |
|
trust -version |
WS-Trustのバージョン。 |
1.3 |
|
require-external-reference |
トークンの外部参照を要求するかどうかどうかを指定します。 |
True |
|
require-internal-reference |
内部参照を要求するかどうかを指定します。 |
True |
|
use-derived-keys |
導出した鍵を要求するかどうかを指定します。 |
False |
|
token-type |
SAMLトークンのタイプ。有効値は1.1と2.0のみです。 |
SAML11およびSAML20 |
|
key-type |
キー・タイプ。 |
symmetric |
|
is-signed |
SAMLトークンを署名するかどうかを指定するフラグ。SAMLポリシーの場合、有効な値はTrueのみです。 |
True |
|
is-encrypted |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
confirm-signature |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
True |
|
sign-key-ref-mech |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
Thumbprint |
|
enc-key-ref-mech |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
Thumbprint |
|
encrypt-signature |
署名が暗号化されているかどうかを指定するフラグ。 |
False |
|
sign-then-encrypt |
リクエストが署名され暗号化されているかどうかを指定するフラグ。 |
True |
|
algorithm-suite |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
include-timestamp |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
True |
構成
Table C-81に、wss11_sts_issued_saml_hok_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-81 oracle/wss11_sts_issued_saml_hok_with_message_protection_client_templateのプロパティ
| 名前 | 説明 |
|---|---|
|
sts.auth.user.csf.key |
このプロパティはオーバーライドできます。 ユーザー名/パスワードをSTSで認証するように構成する場合に使用します。 クライアント「oracle/sts_trust_config_client_template」の |
|
sts.auth.x509.csf.key |
このプロパティはオーバーライドできます。 X509証明書をSTSで認証するように構成する場合に使用します。 クライアント「oracle/sts_trust_config_client_template」の |
|
on.behalf.of |
このプロパティはオーバーライドできます。 オプション・プロパティです。リクエストが第三者の代理かどうかを指定する場合は、このプロパティをオーバーライドします。このフラグのデフォルト値はfalseです。 trueに設定した場合、 そうでない場合、件名が確立済であれば、その件名のユーザー名が
|
|
sts.auth.on.behalf.of.csf.key |
このプロパティはオーバーライドできます。 オプション・プロパティです。代理人を構成する場合に使用します。代理人がいる場合は、「件名」(存在する場合)の上に表示される特定のプリファレンスとなります。 |
|
sts.keystore.recipient.alias |
キーストアに追加するSTS証明書の別名。デフォルト別名はsts-csf-keyです。 |
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。セキュリティ実行時には、この別名を使用して構成済のキーストアからピア証明書が抽出され、ピアへのメッセージが暗号化されます。 デフォルト設定:
|
|
keystore.enc.csf.key |
この値を設定すると、「オーバーライド可能なWebサービス・ポリシーの添付」の説明に従って、keystore.enc.csf.keyをオーバーライドできます。 この値をオーバーライドした場合、新しい値に対応するキーは必ずキーストアに含まれている必要があります。つまり、キーストア内のキー構成に関する要件により、値を自由にオーバーライドすることはできません。 |
|
sts.auth.service.principal.name |
保護する必要のあるWebサービスのプリンシパル名。フォーマットは |
|
sts.auth.keytab.location |
クライアントのキータブ・ファイルの場所。 |
|
sts.auth.caller.principal.name |
|
このテンプレートは、信頼されるSTS(セキュリティ・トークン・サービス)によって発行されたSAML HOKアサーションを認証します。メッセージは、WS-Securityの非対称鍵テクノロジのBasic 128スイートを使用して保護されます。
設定
表C-80に、wss11_sts_issued_saml_hok_with_message_protection_service_templateアサーション・テンプレートの設定をリストします。
構成
Table C-82に、wss11_sts_issued_saml_hok_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-82 oracle/wss11_sts_issued_saml_hok_with_message_protection_service_templateのプロパティ
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
keystore.enc.csf.key |
この値を設定すると、「オーバーライド可能なWebサービス・ポリシーの添付」の説明に従って、keystore.enc.csf.keyをオーバーライドできます。 この値をオーバーライドした場合、新しい値に対応するキーは必ずキーストアに含まれている必要があります。つまり、キーストア内のキー構成に関する要件により、値を自由にオーバーライドすることはできません。 デフォルト設定:
|
このテンプレートは、信頼されるSTS(セキュリティ・トークン・サービス)によって発行されたSAML送信者保証アサーションを挿入します。メッセージは、クライアントの秘密鍵を使用して用して保護されます。
設定
表C-83に、wss11_sts_issued_saml_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-83 wss11_sts_issued_saml_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
require-applies-to |
RST内のオプション要素。存在している場合には、Oracle WSMにより、トークンをリクエストしているWebサービスのエンドポイント・アドレスが送信されます。デフォルトの動作は、クライアントのメッセージ内のappliesTo要素をSTSに常に送信するようになっています。 |
True |
|
require-client-entropy |
Webサービスのセキュリティによって対称証明鍵が要求される場合、リクエスタは証明鍵の計算に含めることのできる鍵資料(エントロピー)を渡すことができます。クライアント・エントロピー、STSエントロピーまたはその両方を要求するかどうかは、Webサービス・ポリシーで指定できます。 |
HOKのみに適用します。 |
|
equire-server-entropy |
Webサービスのセキュリティによって対称証明鍵が要求される場合、リクエスタは証明鍵の計算に含めることのできる鍵資料(エントロピー)を渡すことができます。クライアント・エントロピー、STSエントロピーまたはその両方を要求するかどうかは、Webサービス・ポリシーで指定できます。 |
HOKのみに適用します。 |
|
trust-version |
WS-Trustのバージョン。 |
1.3 |
|
require-external-reference |
トークンの外部参照を要求するかどうかどうかを指定します。 |
True |
|
require-internal-reference |
内部参照を要求するかどうかを指定します。 |
True |
|
use-derived-keys |
導出した鍵を要求するかどうかを指定します。 |
False |
|
token-type |
SAMLのトークンのタイプ。有効値は1.1です。 |
SAML11 |
|
is-signed |
SAMLトークンを署名するかどうかを指定するフラグ。SAMLポリシーの場合、有効な値はTrueのみです。 |
True |
|
is-encrypted |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
confirm-signature |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
True |
|
sign-key-ref-mech |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
Direct |
|
enc-key-ref-mech |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
Thumbprint |
|
encrypt-signature |
署名が暗号化されているかどうかを指定するフラグ |
False |
|
sign-then-encrypt |
リクエストが署名され暗号化されているかどうかを指定するフラグ。 |
True |
|
algorithm-suite |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
include-timestamp |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
True |
構成
表C-84に、wss11_sts_issued_saml_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定をリストします。構成プロパティの設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-84 oracle/wss11_sts_issued_saml_with_message_protection_client_templateのプロパティ
| 名前 | 説明 |
|---|---|
|
sts.auth.user.csf.key |
このプロパティはオーバーライドできます。 ユーザー名/パスワードをSTSで認証するように構成する場合に使用します。 クライアント「oracle/sts_trust_config_client_template」の |
|
sts.auth.x509.csf.key |
このプロパティはオーバーライドできます。 X509証明書をSTSで認証するように構成する場合に使用します。 クライアント「oracle/sts_trust_config_client_template」の |
|
on.behalf.of |
このプロパティはオーバーライドできます。 オプション・プロパティです。リクエストが第三者の代理かどうかを指定する場合は、このプロパティをオーバーライドします。このフラグのデフォルト値はfalseです。 trueに設定した場合、 そうでない場合、件名が確立済であれば、その件名のユーザー名が
|
|
sts.auth.on.behalf.of.csf.key |
このプロパティはオーバーライドできます。 オプション・プロパティです。代理人を構成する場合に使用します。代理人がいる場合は、「件名」(存在する場合)の上に表示される特定のプリファレンスとなります。 |
|
sts.keystore.recipient.alias |
キーストアに追加するSTS証明書の別名。デフォルト別名はsts-csf-keyです。 |
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。セキュリティ実行時には、この別名を使用して構成済のキーストアからピア証明書が抽出され、ピアへのメッセージが暗号化されます。 デフォルト設定:
|
|
keystore.enc.csf.key |
この値を設定すると、「オーバーライド可能なWebサービス・ポリシーの添付」の説明に従って、keystore.enc.csf.keyをオーバーライドできます。 この値をオーバーライドした場合、新しい値に対応するキーは必ずキーストアに含まれている必要があります。つまり、キーストア内のキー構成に関する要件により、値を自由にオーバーライドすることはできません。 |
表C-85に、認可に使用されるアサーション・テンプレートをまとめます。各認可アサーション・テンプレートは、認証アサーション・テンプレートの後に続ける必要があります。
表C-85 認可アサーション・テンプレート
| サービス・テンプレート | 説明 |
|---|---|
|
oracle/binding_authorization_template |
SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロールベースの認可を行います。 |
|
oracle/binding_permission_authorization_template |
SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単な権限ベースの認可を行います。 |
|
oracle/component_authorization_template |
SOAコンポーネント・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロールベースの認可を行います。 |
|
oracle/component_permission_authorization_template |
SOAコンポーネント・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単な権限ベースの認可を行います。 |
binding_authorization_templateアサーション・テンプレートは、SOAPバインディング・レベルの認証済サブジェクトに基づき、リクエストに対してロールベースの簡素な認可を行います。このアサーション・テンプレートは認証アサーション・テンプレートの後ろに記述してください。
設定
表C-86に、binding_authorization_templateアサーション・テンプレートの設定をリストします。
表C-86 binding_authorization_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
制約パターン |
認可チェックを実行するときの照合元である制約を表す表現式です。制約表現式は次のようにmessageContextの2つのプロパティを使用して指定されます。
制約パターンのプロパティおよびその値は大文字と小文字を区別します。 制約表現式は、サポートされている標準的な演算子として |
|
|
アクション・パターン |
認可チェックが実行されるアクションまたはWebサービス操作。この値は、値のカンマ区切りのリストにすることもできます。このフィールドではワイルドカードを使用できます。 たとえば、 |
actionMatchPattern |
|
リソース・パターン |
認可チェックが実行されるリソースの名前。このフィールドではワイルドカードを使用できます。 たとえば、Webサービスの名前空間が |
resourceMatchPattern |
|
認証設定 |
認可されたロールを指定します。 有効な値は次のとおりです。
ロールを追加するには、次のようにします。
ロールを削除するには、次のようにします。
|
選択したロール |
構成
定義されていません。
binding_permission_authorization_templateアサーションは、SOAPバインディング・レベルの認証済サブジェクトに基づき、リクエストに対して権限ベースの簡素な認可を行います。このアサーションは、認証アサーションの後ろに記述してください。
設定
表C-87に、binding_permission_authorization_templateアサーション・テンプレートの設定をリストします。
表C-87 binding_permission_authorization_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
制約パターン |
今後の使用のため予約済です。 |
該当なし |
|
アクション・パターン |
権限ベースの確認が実行されるアクションまたはWebサービス操作。この値は、値のカンマ区切りのリストにすることもできます。このフィールドではワイルドカードを使用できます。 たとえば、 |
* |
|
リソース・パターン |
権限ベースの確認が実行されるリソースの名前。このフィールドではワイルドカードを使用できます。 たとえば、Webサービスの名前空間が |
* |
|
権限チェック・クラス |
権限ベースの確認に使用されるクラス。 |
該当なし |
構成
定義されていません。
component_authorization_templateアサーションは、SOAコンポーネント・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロールベースの認可を行います。このアサーションは認証アサーションの後ろに記述してください。
設定
表C-88にcomponent_authorization_templateアサーション・テンプレートの設定をリストします。
表C-88 component_authorization_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
認証設定 |
認可されたロールを指定します。 有効な値は次のとおりです。
ロールを追加するには、次のようにします。
ロールを削除するには、次のようにします。
|
選択したロール |
構成
定義されていません。
component_permission_authorization_templateアサーション・テンプレートは、SOAコンポーネント・レベルの認証済サブジェクトに基づき、リクエストに対してロールベースの簡素な認可を行います。このアサーション・テンプレートは認証アサーションの後ろに記述してください。
|
注意: system-jazn-data.xmlで指定したセキュリティ権限の緩和は、複数のサービス操作の実施に適用されるため、権限ベースのポリシーをEJBで使用する場合は注意が必要です。 |
設定
表C-89にcomponent_permission_authorization_templateアサーション・テンプレートの設定をリストします。
表C-89 component_permission_authorization_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
制約パターン |
今後の使用のため予約済です。 |
該当なし |
|
アクション・パターン |
権限ベースの確認が実行されるアクションまたはWebサービス操作。この値は、値のカンマ区切りのリストにすることもできます。このフィールドではワイルドカードを使用できます。 たとえば、 |
* |
|
リソース・パターン |
権限ベースの確認が実行されるリソースの名前。このフィールドではワイルドカードを使用できます。 たとえば、Webサービスのコンポジット名が |
* |
|
権限チェック・クラス |
権限ベースの確認に使用されるクラス。 |
該当なし |
構成
定義されていません。
表C-90に、メッセージ保護としてサポートされているアルゴリズム・スイートを示します。アルゴリズム・スイートを使用すると、メッセージのセキュリティを確保する際に使用されるアルゴリズムの暗号文字を制御できます。
表C-90 サポートされているアルゴリズム・スイート
| アルゴリズム・スイート | Digest | 暗号化 | 対称鍵のラップ | 非対称鍵のラップ | 暗号化鍵の導出 | 署名キーの導出 | 署名キーの最小長 |
|---|---|---|---|---|---|---|---|
|
Basic256 |
Sha1 |
Aes256 |
KwAes256 |
KwRsaOaep |
PSha1L256 |
PSha1L192 |
256 |
|
Basic192 |
Sha1 |
Aes192 |
KwAes192 |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
|
Basic128 |
Sha1 |
Aes128 |
KwAes128 |
KwRsaOaep |
PSha1L128 |
PSha1L128 |
128 |
|
TripleDes |
Sha1 |
TripleDes |
KwTripleDes |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
|
Basic256Rsa15 |
Sha1 |
Aes256 |
KwAes256 |
KwRsa15 |
PSha1L256 |
PSha1L192 |
256 |
|
Basic192Rsa15 |
Sha1 |
Aes192 |
KwAes192 |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
|
Basic128Rsa15 |
Sha1 |
Aes128 |
KwAes128 |
KwRsa15 |
PSha1L128 |
PSha1L128 |
128 |
|
TripleDesRsa15 |
Sha1 |
TripleDes |
KwTripleDes |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
表C-91に、リクエスト、レスポンスおよびフォルトの各メッセージの設定をリストします。これらの設定は、メッセージの署名と暗号化を行うために構成します。
表C-91 リクエスト、レスポンスおよびフォルト・メッセージへの署名と暗号化の設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
本体全体を含める |
SOAPメッセージのボディ全体に署名するか暗号化します。 falseの場合は、「本体要素」セクションを使用して特定の本体要素を追加できます。 |
リクエストおよびレスポンス・メッセージの場合はTrue フォルト・メッセージの場合はFalse |
|
SwA添付を含める |
添付ファイル付きSOAPメッセージに署名するか暗号化します。 注意: このフィールドは、MTOMアタッチメントには適用されません。 |
False |
|
MIMEヘッダーを含める |
MIMEヘッダー付きのSOAP添付ファイルに署名するか暗号化します。 注意: このフィールドは、「SwAアタッチメントを含める」フィールドが有効化されている場合に有効となり適用可能です。このフィールドは、MTOMアタッチメントには適用できません。 |
False |
|
ヘッダー要素 |
指定されたSOAPヘッダー要素に署名するか暗号化します。 ヘッダー要素を追加するには、次のようにします。
ヘッダー要素を編集するには、次のようにします。
ヘッダー要素を削除するには、次のようにします。
|
なし |
|
本体要素 |
注意: このフィールドは、「本体全体を含める」が無効化されている場合に使用できます。 指定された本体要素に署名するか暗号化します。このフィールドは、「ボディを含める」が無効化されている場合に使用できます。 本体要素を追加するには、次のようにします。
本体要素を編集するには、次のようにします。
本体要素を削除するには、次のようにします。
|
なし |
表C-92に、管理アサーション・テンプレートをまとめます。
security_log_templateアサーション・テンプレートは、すべてのバインディングまたはコンポーネントに添付可能な、ロギング・アサーション・テンプレートを提供します。
|
注意: ロギング・アサーションは、デバッグおよび監査にのみ使用することをお薦めします。 |
設定
表C-93に、security_log_templateアサーション・テンプレートの設定をリストします。
表C-93 security_log_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
リクエスト |
ロギング・リクエスト・メッセージの要件。 有効な値は次のとおりです。
|
すべて |
|
レスポンス |
ロギング・レスポンス・メッセージの要件。有効な値は、前述の「リクエスト」と同じです。 |
soap_body |
構成
定義されていません。
「動作無効ポリシー」で説明されているように、事前定義済の動作無効ポリシーはそれぞれ、そのカテゴリの動作を原則として実行しないアサーションと同じものを使用します。
このアサーションにはアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。削除すると、再作成ができないため、オリジナル・ポリシーでリポジトリをリストアする必要が生じます。リポジトリのリストアに関する情報は、「Oracle WSMリポジトリの再構築」を参照してください。
