リファレンス・ガイド

Oracle SALT WS-SecurityPolicyアサーション1.2のリファレンス

以下の項では、SALT WSSP 1.2のリファレンス情報について説明します。

概要

Oracle SALTでは、着信サービスに対してWS-Securityプロトコル・バージョン1.1の一部を実装しています。 UsernameTokenとX509v3Tokenによる認証がサポートされています。 認証の実装方法を説明するには、WSDL定義にWS-SecurityPolicyを使用します。

WS-Security 1.1を介してOracle WebLogicリリース10と通信するために、SALTはWebLogic 10によってサポートされているWS-SecurityPolicy (WSSP) 1.2の対応物を実装しますが、サポートされているWSSP 1.2アサーションは以下のように制限されています。

WS-SecurityPolicy 1.2アサーションの制限の詳細は、「Oracle SALT WSSP1.2アサーションの説明」を参照してください。

WebLogic 10によってサポートされるWSSP 1.2アサーションの詳細は、『WebLogic Webサービス・プログラマーズ・ガイド』の「WS-SecurityPolicy 1.2ポリシー・ファイルの使用」を参照してください。

このドキュメントでは、接頭辞「sp」のXMLネームスペースは「http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512」ネームスペースURIを表しています。

Oracle SALT WSSP 1.2ポリシー・ファイルの例

リストE-1には、WSSP 1.2アサーションによるユーザー名トークン認証を適用する方法を示します。

<!-Binding Policy -->
<wsp:Policy
  xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
  xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512"> 
  <sp:TransportBinding>
    <wsp:Policy>
      <sp:TransportToken>
        <wsp:Policy>
          <sp:HttpToken/>
        </wsp:Policy>
      </sp:TransportToken>
      <sp:AlgorithmSuite>
        <wsp:Policy>
          <sp:Basic256/>
        </wsp:Policy>
      </sp:AlgorithmSuite>
      <sp:Layout>
        <wsp:Policy>
          <sp:Lax/>
        </wsp:Policy>
      </sp:Layout>
      <sp:IncludeTimestamp/>
    </wsp:Policy>
  </sp:TransportBinding>
  <sp:SupportingTokens>
    <wsp:Policy>
      <sp:UsernameToken
          sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512/IncludeToken/AlwaysToRecipient">
        <wsp:Policy>
          <sp:WssUsernameToken10/>
        </wsp:Policy>
      </sp:UsernameToken>
    </wsp:Policy>
  </sp:SupportingTokens>
</wsp:Policy>

Oracle SALT WSSP 1.2ポリシーのテンプレート

Oracle SALTには、ほとんどの典型的なWebサービス・アプリケーションに使用できるいくつかのWS-SecurityPolicy 1.2テンプレート・ファイルが用意されています。 これらのポリシー・ファイルはTUXDIR/udataobj/salt/policyディレクトリにあります。

これらのテンプレート・ファイルは以下の場所値の形式でWSDFファイルで直接参照することができます。

salt:<template_file_name>

たとえば、signbodyを構成する場合は、WSDFファイルに次のsignbodyを指定することができます。

<Policy location=”salt:wssp1.2-signbody.xml” />

Oracle SALT WSSP1.2アサーションの説明

以下に、Oracle SALTでサポートされるWSSP 1.2アサーションおよびその制限を示します。 顧客は独自のカスタマイズしたWSSP 1.2ポリシー・ファイルを書き込む時に制限に従う必要があります。 Oracle SALTは制限事項ルールに対しカスタマイズしたWSSP 1.2ポリシー・ファイルをチェックしません。 カスタマイズしたWSSP 1.2ポリシー・ファイルに請求したものがOracle SALTによってサポートされない場合は、webサービス・クライアント・プログラムには実行時エラーが報告されることがあります。

以下にリストされていないWS-SecurityPolicy 1.2アサーションは、Oracle SALTではサポートされません。

<sp:SignedParts>

署名しなければならないSOAPメッセージの部分を指定します。 Oracle SALTでは、署名するSOAP全体のみサポートします。

制限

<sp:UsernameToken>

SOAPメッセージに追加するユーザー名トークンを指定します。Oracle SALTでは、WS-Securityユーザー名トークン・プロファイル1.0に定義したクリア・テキスト・パスワードを持つユーザー名トークンのみをサポートします。<UsernameToken>アサーションは、セキュリティ・バインディングのアサーションおよびSupporting Tokenアサーションのネストされたアサーションとして使用する必要があります。

制限

<sp:X509Token>

SOAPメッセージに追加するX509トークンを含むバイナリ・セキュリティ・トークンを指定します。<X509Token>アサーションは、セキュリティ・バインディングのアサーションおよびSupporting Tokenアサーションのネストされたアサーションとして使用する必要があります。

制限

<sp:AlgorithmSuite>

セキュリティ・トークンにおいて暗号操作を実行するのに使用するアルゴリズム・スイートを指定します。<AlgorithmSuite>アサーションは、セキュリティ・バインディング・アサーションのネストされたアサーションとして使用する必要があります。

制限

<sp:Layout>

セキュリティ・ヘッダーに項目を追加する場合のレイアウト・ルールを指定します。<Layout>アサーションは、セキュリティ・バインディング・アサーションのネストされたアサーションとして使用する必要があります。

制限

<sp:TransportBinding >

メッセージの保護とセキュリティ間の相互関係はトランスポート方法によって提供されることを示します。<TransportBinding>トークンを使用して、主にSOAPメッセージにおける遠隔ユーザー名トークンを実行します。

制限

リストE-2には、Oracle SALTでサポート対象のTransportTokenアサーションの例を示します。

  <sp:TransportBinding>
    <wsp:Policy>
      <sp:TransportToken>
        <wsp:Policy>
          <sp:HttpToken />
        </wsp:Policy>
      </sp:TransportToken>
      <sp:Algorithm>
        <wsp:Policy>
          <sp:Basic256>
        </wsp:Policy>
      </sp:Algorithm>
    </wsp:Policy>
  </sp:TransportBinding>

<sp:AsymmetricBinding>

メッセージの保護はWS-Security SOAPメッセージ・セキュリティで定義した方法によって提供されることを示します。また、リクエスト・メッセージとレスポンス・メッセージのライフサイクルが異なっているため、それらの暗号化および署名に対して別のキーを使用できます。<AsymmetricBinding>アサーションは、主に着信呼出しに対してSOAPリクエスト・メッセージでのX.509バイナリ・セキュリティ・トークンを実行するために使用します。

制限

リストE-3には、Oracle SALTでサポート対象のAsymmetricBindingアサーションの例を示します。このアサーションは、WS-Security X.509 Token Profile 1.1仕様で定義したX.509 V3バイナリ・トークンがSOAPリクエスト・メッセージのデジタル署名のために使用されること、およびX.509トークンは常にSOAPメッセージ・セキュリティ・ヘッダーに含まれていることを示します。

  <sp:AsymmetricBinding>
    <wsp:Policy>
      <sp:InitiatorToken>
        <wsp:Policy>
          <sp:X509Token               sp:IncludeToken=”http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512/IncludeToken/AlwaysToRecipient”>
            <wsp:Policy>
              <sp:WssX509V3Token11 />
            </wsp:Policy>
          </sp:X509Token>
        </wsp:Policy>
      </sp:InitiatorToken>
      <sp:RecipientToken>
        <wsp:Policy>
          <sp:X509Token               sp:IncludeToken=”http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512/IncludeToken/Never”>
            <wsp:Policy>
              <sp:WssX509V3Token11 />
            </wsp:Policy>
          </sp:X509Token>
        </wsp:Policy>
      </sp:RecipientToken>
      <sp:Algorithm>
        <wsp:Policy>
          <sp:Basic256>
        </wsp:Policy>
      </sp:Algorithm>
      <sp:Layout>
        <wsp:Policy>
          <sp:Lax>
        </wsp:Policy>
      </sp:Layout>
      <sp:IncludeTimestamp />
    </wsp:Policy>
  </sp:AsymmetricBinding>

<sp:SupportingToken>

セキュリティ・トークンがセキュリティ・ヘッダーにあり、必要に応じて、署名および/または暗号化する追加のメッセージ部分を含む場合があることを示します。Oracle SALTでは、<sp:AsymmetricBinding>アサーションを使用すると、主にユーザー名トークンをセキュリティ・ヘッダーにインクルードするために<SupportingToken>アサーションが使用されます。

制限

リストE-4には、Oracle SALTでサポート対象のSupportingTokenアサーションの例を示します。このアサーションは、ユーザー名トークンが常にSOAPリクエスト・メッセージに含まれていることを示します。

  <sp:SupportingTokens>
    <wsp:Policy>
      <sp:UsernameToken           sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512/IncludeToken/AlwaysToRecipient">
        <wsp:Policy>
          <sp:WssUsernameToken10/>
        </wsp:Policy>
      </sp:UsernameToken>
    </wsp:Policy>
  </sp:SupportingTokens>