Oracle® Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護 11g リリース1(10.3.4) B61620-02 |
|
前 |
次 |
次の項では、Webサービス・セキュリティを構成する方法について説明します。
WebLogic Webサービスを保護するには、次の3種類のセキュリティを1つ以上構成します。
表1-1 Webサービスのセキュリティ
セキュリティのタイプ | 説明 |
---|---|
メッセージ・レベルのセキュリティ |
SOAPメッセージのデータをデジタル署名または暗号化します。認証用のアイデンティティ・トークンを含めることもできます。第2章「メッセージ・レベルのセキュリティの構成」を参照してください。 |
トランスポート・レベルのセキュリティ |
SSLを使用してクライアント・アプリケーションとWebサービスの間の接続を保護します。第3章「トランスポート・レベルのセキュリティの構成」を参照してください。 |
アクセス制御セキュリティ |
Webサービスにアクセスできるロールを指定します。第4章「アクセス制御セキュリティの構成(JAX-RPCのみ)」を参照してください。 |
メッセージ・レベルのセキュリティでは、SSLのセキュリティのメリットすべてに加えて、さらなる柔軟性と機能が得られます。メッセージ・レベルのセキュリティはエンドツーエンドに適用されるため、伝送に1つ以上の中間物が含まれる場合でもSOAPメッセージが保護されます。接続だけでなく、SOAPメッセージ自体がデジタル署名され、暗号化されます。また、メッセージの個々の部分や要素のみを署名または暗号化したり、要求したりすることができます。これに対し、トランスポート・レベルのセキュリティでは接続自体しか保護されません。つまり、クライアントとWebLogic Serverの間にルーターやメッセージ・キューなどの中間物がある場合、中間物はSOAPメッセージをプレーン・テキストで取得します。中間物が次の受信者にメッセージを送信するとき、その受信者には元の送信者がわかりません。さらに、SSLで使用される暗号化は「オール・オア・ナッシング」であり、SOAPメッセージの全体が暗号化されるか、まったく暗号化されないかのいずれかになります。SOAPメッセージの一部のみを選択して暗号化する方法はありません。メッセージ・レベルのセキュリティには認証用のアイデンティティ・トークンを含めることもできます。
トランスポート・レベルのセキュリティでは、クライアント・アプリケーションとWebLogic Serverの間の接続がSecure Sockets Layer (SSL)で保護されます。SSLでは、ネットワーク接続している2つのアプリケーションが互いのアイデンティティを認証できるようにするとともに、アプリケーション間でやりとりされるデータを暗号化することでセキュアな接続が実現します。認証を使用すると、サーバーは(場合によってはクライアントも)ネットワーク接続の相手側アプリケーションのアイデンティティを検証できます。クライアント証明書(双方向SSL)を使用してユーザーを認証できます。
暗号化により、ネットワーク経由で伝送されるデータは、予定された受信者にのみ理解できるようになります。
トランスポート・レベルのセキュリティには、SSLだけでなくHTTP基本認証も含まれます。
アクセス制御セキュリティは、「誰が何を実行できるか」という問いに答えます。まず、Webサービスへのアクセスが許可されているセキュリティ・ロールを指定します。セキュリティ・ロールとは、特定の条件に基づいてユーザーまたはグループに付与される権限です。これにより、クライアント・アプリケーションがWebサービスの操作を呼び出そうとするとき、そのクライアントはWebLogic Serverに対して自身を認証し、認可されている場合はその呼出しの続行を許可されます。アクセス制御セキュリティは、WebLogic Serverのリソースのみを保護します。つまり、アクセス制御セキュリティだけが構成されている場合、クライアント・アプリケーションとWebLogic Serverの接続は保護されず、SOAPメッセージはプレーン・テキストになります。