ヘッダーをスキップ
Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド
11g リリース1 (11.1.1)
B62265-02
  目次へ移動
目次
索引へ移動
索引

前
 
次
 

17 Oracle Security Token Serviceの設定値と設定の管理

この章では、Oracle Security Token Serviceエンドポイントの保護に含まれるコンポーネントを管理する方法について説明します。この章は、次の項目で構成されています。

前提条件

この項では、この章のタスクの要件を明らかにします。

この章のタスクを開始する前に、次のトピックを確認してください。

Oracle Security Token Service構成の概要

Oracle Security Token Serviceは、Oracle Access Manager 11gと共存するWebサービスです。Oracle Security Token Serviceは、いくつかのOracle Access Managerコンポーネントを起動して、セキュリティ・トークンを検証および発行します。通常、Webクライアントはユーザー名トークンやX.509トークンのようなセキュリティ・トークンを提供することで、Oracle Security Token Serviceを使用してSAMLなどのアウトバウンド・トークンを要求できます。

Oracle Security Token ServiceはOracle Access Managerコンソールと統合され、統一された一貫性のある管理機能を提供します。Oracle Security Token Serviceシステムのすべての構成は、Oracle Access Managerコンソールを使用して実行します。

Oracle Security Token Serviceは次のものを提供します。

ここでは、次の内容について説明します。


関連項目:

『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』

インストール後の構成

インストールおよびサーバーの起動後、OAMサーバー上のOracle Access Managerコンソールにアクセスできます。たとえば、OAMサーバーのURLがhttp://machine:14100/oamの場合、次のものにアクセスできます。

  • Oracle Access Managerコンソール: http://machine:7001/oamconsole

  • Oracle Security Token Service: http://machine:14100/sts/wss11user?wsdl: デフォルトで使用できる/sts/wss11userエンドポイントのWSDLを表示して、OSTSが正しくインストールされていることを確認します。

    デフォルトではOSTSは無効になっているため、すべてのランタイム機能およびWebサービス・エンドポイントも無効になっています。そのエンドポイントにアクセスするには、Oracle Access Managerコンソールを使用してまずOSTSを有効にする必要があります。その後、エンドポイントにアクセスできるようになります。

インストール後の構成には次の概要に示すタスクが含まれており、詳細が記載されているこのマニュアル内の他の項を参照しています。

タスクの概要: Oracle Security Token Serviceの構成に必要なもの

  1. サーバー側の構成: 次のタスクにOracle Access Managerコンソールを使用します。

    1. サービス有効化: 「Oracle Security Token Serviceのサービスの有効化および無効化」

    2. 設定の構成: 「「セキュリティ・トークン・サービスの設定」の管理」

    3. エンドポイント登録: 「エンドポイントの管理」

    4. トークン発行テンプレート構成: 「トークン発行テンプレートの管理」

    5. トークン検証テンプレート構成: 「トークン検証テンプレートの管理」

    6. パートナ・プロファイル作成: 「Token Serviceパートナ・プロファイルの管理」

    7. パートナ構成: 「Token Serviceパートナの管理」

    8. 特定のリライイング・パーティに対してOSTSを使用してトークンを発行するための認可ルールを定義するトークン発行ポリシー: 「Oracle Access Managerを使用したトークン発行ポリシーおよび制約の管理」

  2. 次の項の説明に従って、Oracle WSMエージェントとの相互作用を設定します。

    1. Oracle WSMエージェントのためのWSSポリシーの使用および管理

    2. WSSプロトコル通信のためのOWSMの構成

  3. 「Oracle Security Token Serviceメッセージのロギングの概要」の説明に従って、メッセージ・ロギングを設定します。

  4. 「Oracle Security Token Service管理イベントとランタイム・イベントの監査」の説明に従って、イベント監査を構成します。

  5. ライフサイクル管理の構成

    1. 項目1cの説明に従って、Oracle Security Token Serviceトラスト・エンドポイントを登録します。

    2. 「Token Serviceパートナの管理」の説明に従って、リクエスタまたはリライイング・パートナをOracle Security Token Serviceに登録します。

    3. 第26章「Fusion Middleware Controlを使用したパフォーマンスおよびログの監視」の説明に従って、パフォーマンスを監視します。

サーバーとOracle Security Token Serviceについて

Oracle Access Manager 11gでは、すべてのOracle Security Token ServiceインスタンスはOAMサーバー(管理対象サーバーとも呼ばれる)上にインストールされます。各サーバーをOracle Access Managerに登録する必要があります。

Oracle Security Token Serviceでは、共有サービスの共通インフラストラクチャおよびOracle Access Manager 11g管理モデルが利用されます。

Oracle Security Token ServiceではWeb Services Securityプロトコル1.0および1.1がサポートされており、次のトークン(Security SOAPヘッダーに存在する場合)が処理されます。

  • ユーザー名トークン(UNT)

  • SAML 1.1またはSAML 2.0アサーション

  • Kerberos

  • X.509


注意:

第6章「OAMサーバー登録の管理」の説明に従って、Oracle Access Manager with Oracle Security Token Serviceをホストする管理対象サーバーを、Oracle Access Managerに登録する必要があります。

サード・パーティのサーバー: Oracle Security Token Serviceは、サード・パーティのセキュリティ・トークン・サーバーと相互運用できます。たとえば、サード・パーティのセキュリティ・トークン・サービスでは、Oracle Security Token Serviceで使用できる有効なSecurity Assertion Markup Language (SAML)アサーションを作成できます。

Oracle Security Token Serviceクライアントについて

Oracle Security Token Serviceは、様々なOracleクライアント(Oracle Web Services Managerクライアント)またはサード・パーティ・クライアント(MicrosoftおよびIBM)にサービスを提供します。

Oracle WSMクライアント: Oracle Web Services Managerクライアント・バインディングは、Oracle Web Services Managerの担当です(このマニュアルの範囲外)。詳細は、「WSS KerberosポリシーのためのOracle WSMエージェントの構成」を参照してください。


関連項目:

『Oracle Fusion Middleware Web Servicesのためのセキュリティおよび管理者ガイド』のWS-Trustポリシーと構成手順に関する項

サード・パーティ・クライアント: Oracle WSMクライアントとサーバーの間でセキュアなキー交換が必要です。単に、Oracle Security Token Service証明書をクライアントにインポートします。

SOAPの相互作用中に、WS-Securityプロトコルでは、OSTSエンドポイントを保護するOWSMエージェントによるWSS操作に使用される署名/暗号化証明書を信頼することをクライアントに要求する場合があります。その場合、OSTS管理者はWSS操作に使用されるOSTS OWSM署名/暗号化証明書を抽出し、WSクライアントに提供する必要があります。詳細は、「Oracle STS/Oracle WSM署名証明書および暗号化証明書の抽出」を参照してください。

エージェントとOracle Security Token Serviceについて

Oracle Web Services Managerはエージェントを介して通信します。このトピックでは、Oracle Security Token Serviceを操作するエージェントについて説明します。

Oracle WSMエージェント: Oracle Web Services Manager (Oracle WSM)エージェントはOracle Security Token Serviceと統合されます。このエージェントは、Oracle Security Token Service Webサービス・エンドポイントに対してWebサービス・セキュリティ・サポートを提供します。

  • Oracle Security Token ServiceのWebサービス・エンドポイントの保護

  • SOAPメッセージをリライイング・パーティに送信するためのWS-Securityサポートの提供。そのプロセスの一部として、OWSMクライアントはOracle Security Token Serviceとの相互作用により、リライイング・パーティに表示されるセキュリティ・トークンを取得します。

  • トークン取得およびトークン検証のためのOracle Security Token Serviceとの相互作用

Oracle Security Token Serviceでは、Oracle Web Services Manager (Oracle WSM)エージェントによるトークン取得およびトークン検証がサポートされています。Oracle Web Services Managerエージェントでは、インバウンドまたはアウトバウンド・セキュリティ・ポリシー施行の一部としてOracle Security Token Serviceを使用する必要はありません。Oracle Web Services Managerクライアント・バインディングは、Oracle Web Services Manager管理者の担当です。

Oracle WSMエージェントは、Oracle Security Token Serviceとクライアントの間のSOAP通信チャネルのメッセージを保護するために、Oracle Security Token Serviceで使用されます。Oracle WSMエージェントでは、WSSクライアントの証明書を検証するときに、関連する信頼できる証明書を含むOPSSキーストア(デフォルトでは$DOMAIN_HOME/config/fmwconfigディレクトリにあるdefault-keystore.jksキーストア)がキャッシュされます。その後、キーストアの内容またはキーストア名を変更する場合は、Oracle Enterprise Manager Fusion Middleware Control、WebLogic ServerコンソールまたはNodeManagerを使用して管理対象サーバーを再起動する必要があります。

Oracle Security Token Serviceで使用できるOracle WSMエージェントは、次のタスクを実行するために、Oracle Security Token Serviceエンドポイントを保護するように構成する必要があります。

  • リクエストの復号化(必要な場合)

  • リクエストに表示されるデジタル証明書の検証

  • リクエストのデジタル署名を作成するために使用される証明書の検証(署名が秘密鍵で作成された場合)

  • SOAPヘッダー内のX.509トークンの検証(存在する場合)

  • SOAPヘッダー内のKerberosトークンの検証(存在する場合)

  • 送信レスポンスの署名(必要な場合)

  • 送信レスポンスの暗号化(必要な場合)

Oracle WSMエージェント・キーストア: Oracle WSMエージェントでは、様々な暗号化操作にキーストアが使用されます。これらの操作では、Oracle WSMエージェントはOracle WSMタスク用に構成されたキーストアを使用します。

OAM Webgate: Oracle Security Token Serviceでは、OAM 11gセッション伝播トークンにWebgateが使用されます。このアイデンティティ伝播のユースケースは、より高度なものです。WebLogic Serverおよび一部のカスタム統合でアイデンティティ・アサーション・プロバイダを必要とします。

Oracle Security Token Serviceエンドポイントとポリシーについて

エンドポイントを追加すると、Oracle Security Token Serviceエンドポイントと関連付けるポリシーURIおよび検証テンプレートのリストから選択できるようになります。デフォルトでは、Oracle Security Token Serviceは図17-1に示すエンドポイントで構成されています。

図17-1 デフォルト・エンドポイント、ポリシーおよび検証テンプレート

デフォルト・エンドポイント
「図17-1 デフォルト・エンドポイント、ポリシーおよび検証テンプレート」の説明

ORAPROVIDERはOracle WSMエージェントと統合されており、クライアントとOracle Security Token Serviceの間で交換されているSOAPメッセージ上でWebサービス・セキュリティをサポートします。Oracle Security Token ServiceはWebサービスのORAPROVIDERを利用して、次の処理を行います。

  • Web Servicesエンドポイントの動的な公開

  • SOAPメッセージを処理するためのOracle Security Token Serviceの起動

  • 各WSエンドポイントのWSDLファイルの公開

Oracle WSMエージェントWSSポリシー・ストア: Oracle WSMエージェントでは、リポジトリで必要なWebサービス・セキュリティ(WSS)ポリシーを取得する必要があります。Oracle Security Token Serviceでは2つのタイプのリポジトリがサポートされています。

  • WSSポリシーを含むJARファイル: WLSドメインがクラスパス用に構成されている場合に使用されます。

  • Oracle WSM Policy Manager: SOAデプロイメントから使用できます。


関連項目:

  • 「WSSプロトコル通信のためのOWSMの構成」

  • Oracle Security Token ServiceのためのWebサービス・セキュリティ・ポリシーの管理

  • 『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』: Oracle Security Token Serviceのポリシーの詳細


ポリシー・アサーション: 即時利用可能です。Oracle Security Token Serviceでは、Webサービス・セキュリティ: SOAPメッセージ・セキュリティおよびWS-Trustのコンテキストでメッセージを保護する方法を示すために、WS-Policyフレームワークで使用するセキュリティ・ポリシー・アサーションのセットを提供しています。

  • Oracle Security Token Serviceでは、セキュリティ・ポリシー・ファイルをデプロイ済のWSDLにアタッチすることで、関連するセキュリティ・ポリシー・ファイルをパブリックに使用できるようになります。

  • Oracle Security Token Serviceランタイムでは、WS-Security暗号化およびデジタル署名操作のためにjps-config.xmlで定義されているキーストアに格納された秘密鍵とX.509証明書のペアが使用されます。

次の段落および表では、Oracle Security Token ServiceおよびOracle WSMエージェントで即時に利用できるポリシーを示します。

メッセージ・レベルのセキュリティが不要: メッセージ・レベルのセキュリティが不要な場合は、名前にmessage_protectionが指定されていないOracle Security Token Serviceポリシーを使用します。これは、WS-Security SOAPヘッダーのトークンに含まれる資格証明を使用してユーザーを認証します。Fusion Applicationsトークンに含まれる資格証明は、検証テンプレートに指定されているルールに基づいてマップされます。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。

メッセージ・レベルのセキュリティが不要な場合のトランスポート・セキュリティ: クライアント・アプリケーションとWebLogicサーバーの両方が相互に資格証明を提示する双方向のSSLを構成できます。コアWebLogic Serverセキュリティの双方向または一方向のSSLを構成するには、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のSSLの構成に関する項を参照してください。表17-1に説明されているポリシーを使用します。

表17-1 メッセージ・レベルのセキュリティが不要な場合のポリシー・トランスポート・セキュリティ

ポリシー 説明

sts/wss_username_token_over_ssl_service_policy

WS-Security SOAPヘッダーのUNTトークンに含まれる資格証明を使用してユーザーをマップします。UNTトークンに含まれる資格証明は、検証テンプレートに指定されているルールに基づいてマップされます。プレーン・テキストおよびダイジェストの両方のメカニズムがサポートされます。このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。

sts/wss_saml_token_over_ssl_service_policy

sts/wss_saml20_token_over_ssl_service_policy

WS-Security SOAPヘッダーのSAML SVトークンに含まれる資格証明を使用してユーザーをマップします。SAMLトークンに含まれる資格証明は、検証テンプレートに指定されているルールに基づいてマップされます。このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。

sts/wss_saml_token_bearer_over_ssl_service_policy

sts/wss_saml20_token_bearer_over_ssl_service

WS-Security SOAPヘッダーの、確認メソッドがBearerのSAMLトークンに含まれる資格証明を使用してユーザーをマップします。SAMLトークンに含まれる資格証明は、検証テンプレートに指定されているルールに基づいてマップされます。このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。

sts/wss_sts_issued_saml_bearer_token_over_ssl_service_policy



WS-Security 1.0および1.1ポリシーの相互運用性: WS-Security 1.0または1.1 (認証要件および資格証明の可用性により異なる)との相互運用性が必要な場合は、図17-2のポリシーを使用します。強力なセキュリティ要件がある場合は、WS-Security 1.1ポリシーを使用します。

図17-2 WS-Security 1.0および1.1ポリシー

WS-Security 1.0および1.1ポリシー
「図17-2 WS-Security 1.0および1.1ポリシー」の説明

タスクの概要: WS-Sポリシーの使用および変更

  1. 「Oracle Access Managerコンソール」の「システム構成」タブから、「セキュリティ・トークン・サービス」セクションを開きます。

  2. 「エンドポイント」ノードから、「Oracle Security Token Serviceエンドポイントの管理」の説明に従って、保護されるエンドポイントを検索または作成します。

  3. 「ポリシーURI」リストから、次の説明に従って、エンドポイントを保護するための特定のWS Securityポリシーを選択します。

Oracle Security Token Serviceの有効化および無効化

このトピックの内容は次のとおりです。

Oracle Security Token ServiceとOracle Access Managerコンソールについて

Oracle Access Managerコンソールの要素を使用すると、管理者はトークン・サービスを容易に構成してWS Trustトークンをパートナと交換できます。トークン・サービスの要素は、パートナ、エンドポイント、検証テンプレート、発行テンプレートおよびデータ・ストア接続の作成、表示、変更および削除のために用意されています。

Oracle Security Token Serviceシステムのすべての構成は、Oracle Access Managerコンソールを使用して実行します。これには、このマニュアルの第II部で説明する次の一般的なタスクが含まれています。

  • 共通のOAMサーバーとプロキシ情報の登録および管理

  • 共通のデフォルト・ユーザー・アイデンティティ・ストアの登録および管理

  • WSS処理に使用されるOWSMキーストアとは異なるOAMキーストアの構成

  • 証明書の検証と失効

Oracle Access Managerコンソールを使用すると、管理者は次のOracle Security Token Service固有のタスクを実行できます。

  • 検証トークン・テンプレートの管理: 検証テンプレートには、Webサービス・セキュリティ/WSTrustトークンを検証し、デフォルト・ユーザー・アイデンティティ・ストア内のリクエスタ・パートナまたはユーザー・レコードにマップするための構成プロパティが含まれています。

  • 発行テンプレートの管理: 発行テンプレートには、トークンの作成方法に関するルールが含まれています。

  • パートナ・データの管理: パートナは、OSTSが信頼しているパートナを表します。OSTSは、リクエスタ、リライイング・パーティおよび発行局の3つのタイプのパートナを定義します。各パートナ・エントリは、パートナ・プロファイルに関連付けられます。パートナ・エントリには、パートナを一意に識別するための署名証明書および暗号化証明書と識別子が含まれています。

  • パートナ・プロファイルの管理: パートナ・プロファイルには、パートナのセットに共通の構成プロパティが含まれています。

    • 要求マッピング

    • トークン・タイプの定義

    • トークン・タイプに対して定義される発行および検証テンプレート

    • 発行局(その他のSTS)の検証テンプレート・ルールの上書き

  • Oracle Security Token Serviceエンドポイントの管理

  • トークン発行ポリシーの管理(リクエスタ・パートナがリクエストで参照されるリライイング・パーティに基づいてトークンをリクエストできるかどうかを判断するために評価される認可ポリシー)

  • Oracle Security Token Serviceのグローバル設定

  • カスタム・トークン

Oracle Security Token Service管理者について

Oracle Access Managerコンソールへの管理アクセス権を持つユーザーには、Oracle Security Token Servicesへのアクセス権があります。

最初は管理者ユーザーは、初回構成時に設定されたWebLogic管理者の資格証明を使用してOracle Access Managerコンソールにログインする必要があります。ただし、企業によっては、Oracle Access Managerを担当するユーザーとOracle Security Token Serviceを担当するユーザーに別の管理者グループが必要になることがあります。

Oracle Security Token Serviceへのログインおよびサインアウトについて

Oracle Security Token ServiceをOracle Access Managerとともに使用する場合、Oracle Access Managerコンソールへのログインとサインアウトは同じです。


関連項目:

次のトピックについては、第3章を参照してください。

Oracle Security Token Serviceのサービスの有効化について

Oracle Security Token Serviceを使用するには、図17-3に示すように、Oracle Security Token ServiceとOracle Access Managerの両方を有効にする必要があります。デフォルトでは、Oracle Security Token Serviceは無効になっているため、有効にする必要があります。

図17-3 有効になっているOracle Access Manager with Oracle Security Token Service

サービス有効
「図17-3 有効になっているOracle Access Manager with Oracle Security Token Service」の説明

サービス名の横にある「ステータス」フィールドの緑のチェック・マークは、サービスが有効であることを示します。中に線がある赤の円は、該当するサービスが無効であることを示します。

Oracle Security Token Serviceのサービスの有効化および無効化

前提条件

Oracle Access Managerサービスを有効にする必要があります。

Oracle Security Token Serviceを有効または無効にする手順

  1. 通常どおり、Oracle Access Managerコンソールにログインします。

         https://hostname:port/oamconsole/
    
  2. 「システム構成」タブの「共通構成」セクションから「使用可能なサービス」をクリックします。

  3. OSTSの有効化: Oracle Security Token Serviceの横で、「有効」をクリック(または「ステータス」チェック・マークが緑になっていることを確認)し、Oracle Access Manager Serviceも有効になっていることを確認します。

  4. OSTSの無効化: Oracle Security Token Serviceの横で、「無効」をクリック(または「ステータス」チェック・マークが赤になっていることを確認)します。

Oracle Access Managerコンソールを使用したセキュリティ・トークン・サービスの設定の定義

この項の内容は次のとおりです。

「セキュリティ・トークン・サービスの設定」について

「セキュリティ・トークン・サービスの設定」は、「システム構成」タブの「セキュリティ・トークン・サービス」セクションから表示または変更できます。これらの設定を図17-4に示します。

図17-4 「セキュリティ・トークン・サービスの設定」ページ

「セキュリティ・トークン・サービスの設定」ページ
「図17-4 「セキュリティ・トークン・サービスの設定」ページ」の説明

表17-2に、「セキュリティ・トークン・サービスの設定」ページの要素を示します。

表17-2 セキュリティ・トークン・サービスの設定

要素 説明

パートナ識別属性

「パートナ」ページの「アイデンティティ属性」表で使用できる必要がある、デフォルトで使用可能な属性以外の属性をリストするフィールド。これらの属性を使用すると、属性の値を着信リクエストに含まれる値と照合することでパートナを識別できます。

リクエスタがOracle Security Token ServiceにWS-Trustリクエストを送信すると、サーバーはリクエスタのアイデンティティを含む着信トークンを、Oracle Security Token Serviceパートナ・ストアのパートナ・エントリにマップできます。

そのために、Oracle Security Token Serviceでは検証テンプレートで構成されているマッピング設定を使用し、トークン・データをパートナ・アイデンティティ属性と照合することで参照を実行して、トークン・データをパートナ・エントリにマップします。

デフォルトでは、各リクエスタ・パートナには、ユーザー名、HTTP Basicユーザー名、SSLクライアント証明書DNの3つのアイデンティティ属性が含まれています。

リクエスタ・パートナ・エントリごとに設定できる追加のアイデンティティ属性を定義できます。

このセクションでは、新しい属性を設定できます。新しい属性を定義すると、その属性は「リクエスタ・パートナ」エントリ・セクションで使用可能になり、WSS検証テンプレートのマッピング・ルールで使用できます。

カスタム信頼アンカー・ファイル

デフォルトでは、Oracle Access ManagerおよびOracle Security Token Serviceでは、X.509トークンの検証時、またはSAMLアサーション署名で使用される証明書の検証時に、Oracle Security Token Serviceによる証明書検証に使用される信頼アンカーを含むデフォルトの$DOMAIN_HOME/config/fmwconfig/amtruststoreキーストアが使用されます。

必要に応じて、Oracle Security Token Serviceの操作および検証にのみ使用される信頼アンカーを含む特定の信頼アンカー・ファイルを使用するように、Oracle Security Token Serviceを構成できます。この場合、このフィールドには使用するJKSキーストアの場所を指定する必要があります。

次の点に注意してください。

  • カスタム信頼アンカー・キーストアを使用する場合、クラスタ全体に自動的に複製されることはありません。複製を管理する必要があります。

  • ほとんどの場合、デフォルトのOracle Access ManagerおよびOracle Security Token Service信頼アンカーで十分です。

関連項目: 第18章「Oracle Security Token Serviceの証明書と鍵の管理」

デフォルト暗号化テンプレート

Oracle Security Token Service暗号化用のデフォルト・テンプレートを選択できるリストを次に示します。

  • osts_encryption

  • osts_signing

関連項目: 「デフォルトの暗号化鍵の設定」

プロキシ

アウトバウンド接続のプロパティ、HTTPプロキシ設定: このセクションを使用して、オプションで実行時にリライイング・パーティのWS-Secポリシーを取得する場合、送信HTTP接続にプロキシを使用するようにOracle Security Token Serviceを構成します。

  • 有効: このボックスが選択されている場合、プロキシ機能が有効になっており、リライイング・パーティのWS-Securityポリシーを取得するときに使用されます。このボックスが選択されていない場合、プロキシ機能は無効になっており、関連するフィールドにアクセスして編集することはできません。

  • ホスト: プロキシ・ホスト名。

  • ポート: プロキシ・ポート番号。デフォルトは8080です。

  • 非プロキシ・ホスト: プロキシを使用しないホストのリスト。複数のホストを区切るには、「;」を使用します。

  • ユーザー名: プロキシに接続するときに使用するユーザー名。

  • パスワード: プロキシに接続するときに使用するパスワード。

キーストア

ロケーション: Oracle Security Token Serviceのインストール時に設定されたアクティブなキーストアのパス。

キーストア表には、表内のテンプレートごとに次の情報が含まれており、各テンプレートは、デフォルト暗号化テンプレートとして使用できます。

  • テンプレートID: キーストアにアクセスできるテンプレートの名前。

  • 別名: テンプレートの別名を識別します。テンプレートを追加するときに、リストされている別名から選択できます。次に例を示します。

    OSTS暗号化テンプレートで使用される別名
  • パスワード: 選択した別名のパスワード。

  • 説明: オプション。

キーストア・セクションでは、OAM/OSTSキーストア($DOMAIN_HOME/config/fmwconfig/.oamkeystore、JCEKSタイプ)にあるキー・エントリが定義されます。

エントリが定義されると、そのエントリを(SAML発行テンプレートのように)他のOracle Security Token Serviceテンプレートで使用できます。


「セキュリティ・トークン・サービスの設定」の管理

有効な管理者の資格証明を持つユーザーは、この手順を使用して、「セキュリティ・トークン・サービスの設定」を確認または変更できます。

前提条件

Oracle Access Manager ServiceとOracle Security Token Serviceの両方が有効になっている必要があります。

「セキュリティ・トークン・サービスの設定」を表示または編集する手順

  1. 通常どおり、Oracle Access Managerコンソールにログインします。

         https://hostname:port/oamconsole/
    
  2. 「システム構成」タブから「セキュリティ・トークン・サービス」セクションを開きます。

  3. 「セキュリティ・トークン・サービスの設定」をダブルクリックします。

  4. 「セキュリティ・トークン・サービスの設定」ページで、次の情報を表示(または変更)します(表17-2を参照)。

    • パートナ識別属性

    • カスタム信頼アンカー・ファイル

    • 「プロキシ」の詳細

  5. キーストア表: 新しい暗号化テンプレートを表示、追加または削除します。

  6. 「適用」をクリックし、変更を送信します(または、「元に戻す」をクリックして変更を取り消します)。

  7. 終了したらページを閉じます。

Oracle WSMエージェントのためのWSSポリシーの使用および管理

既存のWebサービス・セキュリティ・ポリシーを使用して、Oracle Security Token Service Web Serviceエンドポイントを保護できます。次に例を示します。

この項では、次の各トピックでOracle Security Token ServiceのWebサービス・セキュリティ・ポリシーを管理する方法を説明します。

Webサービス・セキュリティ・ポリシーの使用および変更

この項では、Oracle Security Token Service WSエンドポイントの保護に使用されるWS-Securityポリシー、およびこれらのポリシーの変更方法を説明します。Oracleが提供するWS-Securityポリシーは、ほとんどのユースケースに対応している必要があります。


関連項目:


Oracle Security Token ServiceのためのWSSポリシーの管理: クラスパス

事前定義済のOracle Web Services Managerポリシーは、事前定義済アサーション・テンプレートに基づくアサーションを使用して構成します。WSSポリシーのクラスパス・モードの場合、OWSMエージェントはクラスパスにあるsts-policies.jarからポリシーを取得します。

SOAがWebLogic Serverドメインにデプロイされていない場合、Oracle Security Token ServiceインストーラではWSSポリシーのクラスパス・モード用にWebLogic Serverドメインが構成されます。WLSドメインがクラスパス用に構成されるときに使用されるWSSポリシーを含むJARファイルは、次の場所にあります。

$IDM_ORACLE_HOME/oam/server/policy/sts-policies.jar

ご使用の環境がクラスパス・モードの場合は、管理者が次のタスクを実行してsts-policies.jarがクラスパスにあることを確認します。


関連項目:


タスクの概要: Oracle Security Token ServiceのためのWSSポリシーの管理: クラスパス

  1. OWSMアサーション・テンプレートを定義します。

  2. 必要に応じて、次の作業を実行します。

    • OWSMポリシーの変更

    • ポリシーの定義(OWSMアサーション・テンプレートを使用)

  3. sts-policies.jarファイルでアサーション・テンプレートおよびポリシーをバンドルします。

    META-INF/assertiontemplates/oracle of the $IDM_ORACLE_HOME/oam/server/policy/
    sts-policies.jar
    
  4. sts-policies.jarが次のパスにあることを確認して、「ポリシーURI」ドロップダウン・リストで使用できるようにポリシーURIを有効にします。

    $IDM_ORACLE_HOME/oam/server/policy/sts-policies.jar
    
  5. Oracle Security Token Serviceを実行している管理対象サーバーを再起動します。

  6. OAM管理コンソールに移動し、Oracle Security Token Serviceエンドポイントを構成します。

Oracle Security Token ServiceのためのWSSポリシーの管理: Oracle WSM Policy Manager

Oracle WSM Policy Managerは、Oracle Fusion Middleware WebサービスおよびSOAアプリケーションのセキュリティの根幹です。Oracle WSM Policy Managerがポリシー・フレームワークを管理する方法の詳細は、『Oracle Fusion Middleware Web Servicesのためのセキュリティおよび管理者ガイド』のOracle WSMポリシー・フレームワークの理解に関する項を参照してください。

設計時に、Oracle JDeveloperなど好みのIDEを使用して、プログラムによってアプリケーションにOracle WSMポリシーおよびWebLogic Webサービス・ポリシーを添付します。また、デプロイ時に、SOAコンポジット、ADFおよびWebCenterアプリケーションにはOracle Enterprise Manager Fusion Middleware Controlを使用し、WebLogic Webサービス(Java EE)にはWebLogic Server管理コンソールを使用して、ポリシーを添付します。

システム管理者は、Oracle Enterprise Manager Fusion Middleware Controlを使用して、Oracle WSMで次のことを実行できます。

  • Oracle WSM Policy Managerを使用して、ポリシーを一元的に定義。

  • Oracle WSMのセキュリティおよび管理ポリシーを実行時にローカルで実行。

ご使用の環境がOWSM Policy Managerと統合されている場合は、次のタスクを実行し、Oracle Web Services Managerを使用してセキュリティ・トークン・サービスの設定のWSSポリシーを追加または変更します。


注意:

管理者は、Oracle Enterprise Manager Fusion Middleware ControlからOracle WSMのすべての機能にアクセスできます。


関連項目:

『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』
  • 第II部、「基本管理」

  • 第III部、「高度な管理」


タスクの概要: Oracle Security Token ServiceのためのWSSポリシーの管理: OWSM Policy Manager

  1. OWSM Policy Managerから、目的のポリシーを探して開きます。

  2. 『Oracle Fusion Middleware Web Servicesのためのセキュリティおよび管理者ガイド』を参照して、必要に応じてポリシーを変更します。

  3. Oracle Security Token Serviceを実行しているすべての管理対象サーバーを再起動します。

  4. 「WSSプロトコル通信のためのOWSMの構成」に進みます。

WSSプロトコル通信のためのOWSMの構成

この項では、Oracle Security Token Serviceに組み込まれているWS-SecクライアントとOracle WSMエージェントの間の通信を構成する方法を説明します。

Oracle WSMエージェントはOracle Security Token ServiceのWebサービス・エンドポイントを保護し、WSSプロトコル交換をサポートします。クライアントがOracle WSMエージェントと正常に通信するためには、次のことが必要です。

タスクの概要: Oracle WSMエージェントとの通信の構成

  1. 「Oracle Security Token ServiceのOracle WSMエージェントのWS-Securityポリシーについて」を参照

  2. Oracle WSMキーストア・パスワードの取得

  3. Oracle STS/Oracle WSM署名証明書および暗号化証明書の抽出

  4. Oracle WSMキーストアへの信頼できる証明書の追加

  5. Oracle WSMキーストア内の信頼できる証明書の検証

  6. WSS KerberosポリシーのためのOracle WSMエージェントの構成

Oracle Security Token ServiceのOracle WSMエージェントのWS-Securityポリシーについて

Oracle WSMエージェントでは、リポジトリで必要なWeb Services Security (WSS)ポリシーを取得する必要があります。Oracle Access Managerでは、Oracle Security Token Serviceに対して次の2つのタイプのリポジトリがサポートされています。

  • WSSポリシーを含むJARファイル: WLSドメインがクラスパス用に構成されている場合に使用されます。必要なJARファイルは$IDM_ORACLE_HOME/oam/server/policy/ sts-policies.jarにあります。

  • SOAデプロイメントから使用できるOracle WSM Policy Manager

Oracle Security Token Serviceのインストール時に、インストーラにより、Oracle Web Services Manager Policy Managerが存在し、WebLogicセキュリティ・ドメインにデプロイされているかどうかが検出されます。

  • WebLogicセキュリティ・ドメインにデプロイされていない場合、インストーラでは、Webサービス・セキュリティ・ポリシー・クラスパス・モード用にWebLogicセキュリティ・ドメインが構成されます。このモードでは、WSMエージェントによりJARファイルからポリシーが取得されます。

  • 存在する場合、インストーラはOracle Web Services Manager Policy Managerに接続し、Oracle Security Token Serviceエンドポイントの保護に使用されるポリシーをアップロードします。


関連項目:

「ポリシーおよびセッション・データベース・ストアについて」: OAMポリシー・データ(オプション)およびOAMユーザー・セッション・データに対するOAM 11gの必須データベースの詳細

Oracle WSMキーストア・パスワードの取得

管理者は、特定のアクティビティに対してCSFからキーストア・パスワードおよびキー・エントリ・パスワードを取得する必要があります。それ以外の場合、キーストアまたはキー・エントリを変更することはできません。キーストアへのアクセス権があると、次のことが必要になる場合があります。

  • クライアントに配布するための署名/暗号化証明書の抽出(必要な場合)

  • 署名/暗号化キー・エントリの更新または置換

  • 信頼できる証明書を追加します

次の手順により、Oracle WSMキーストアおよびキー・エントリの保護に使用されるパスワードが表示されます。

Oracle WSMキーストア・パスワードを取得する手順

  1. WSLTスクリプト環境を入力します。

  2. connect()コマンドを使用してWebLogic Server AdminServerに接続します。

  3. AdminServerに接続情報を提供することにより、コマンドlistCred(map="OAM_STORE", key="jks")を実行します。

  4. パスワードを書き留めます。

  5. 「Oracle STS/Oracle WSM署名証明書および暗号化証明書の抽出」に進みます。

Oracle STS/Oracle WSM署名証明書および暗号化証明書の抽出

SOAPの相互作用中に、WS-Securityプロトコルでは、OSTSエンドポイントを保護するOWSMエージェントによるWSS操作に使用される署名/暗号化証明書を信頼することをクライアントに要求する場合があります。その場合、OSTS管理者はWSS操作に使用されるOSTS OWSM署名/暗号化証明書を抽出し、WSクライアントに提供する必要があります。

管理者は、WSS暗号操作のためにOracle Security Token Serviceで使用される署名証明書および暗号化証明書をエクスポートする必要があります。次の手順は、この操作の実行方法を示しています。

  • $DOMAIN_HOMEをDomainディレクトリへのパスに置換

  • CERT_FILEを、証明書が保存されるファイルの場所に置換

パスワードの入力を求められたら、[Enter]キーを押します。

前提条件

Oracle WSMキーストア・パスワードの取得

署名証明書および暗号化証明書をエクスポートする手順

  1. keytoolを探します。

  2. 次のコマンドを実行します。

    keytool -exportcert -keystore $DOMAIN_HOME/config/fmwconfig/default-keystore.j 
    ks -storetype JKS -alias orakey -file $CERT_FILE
    
  3. プロンプトが表示されたら、前の項で取得したキーストア・パスワードを入力します。

  4. 「Oracle WSMキーストアへの信頼できる証明書の追加」に進みます。

Oracle WSMキーストアへの信頼できる証明書の追加

WSS暗号操作のためにOWSMキーストアに信頼できる証明書を追加する手順

  • 次の手順でコマンドを実行

  • $DOMAIN_HOMEをDomainディレクトリへのパスに置換

  • $TRUSTED_CERT_FILEを、信頼できる証明書を含むファイルの場所に置換

  • TRUSTED_CERT_ALIASを、信頼できる証明書が格納される別名に置換

パスワードの入力を求められた場合は、以前に取得したOWSMキーストアのパスワードを入力します。

前提条件

Oracle WSMキーストア・パスワードの取得

管理者は、インポートする証明書を持っている必要があります。

Oracle WSMキーストアに信頼できる証明書を追加する手順

  1. keytoolを探します。

  2. 次のコマンドを実行します。

    keytool -importcert -trustcacerts -keystore $DOMAIN_HOME/config/fmwconfig/de 
    fault-keystore.jks -storetype JKS -alias $TRUSTED_CERT_ALIAS -file $TRUSTED_ 
    CERT_ALIAS
    
  3. 画面のメッセージを確認し、要求された場合はパスワードを入力します。

  4. 「Oracle WSMキーストア内の信頼できる証明書の検証」に進みます。

Oracle WSMキーストア内の信頼できる証明書の検証

Oracle WSMエージェントが証明書検証を実行する場合、Oracle WSMタスク用に構成されたキーストアを使用し、キーストアに含まれる信頼できる証明書エントリに対して証明書を検証します。これらの操作では、OWSMキーストアでの信頼できる証明書エントリ(証明書自体または発行者の証明書)の追加が必要な場合があります。

SOAPリクエスタを受信すると、Oracle WSMエージェントはメッセージを保護するためにリクエストを処理します。手順の一部では、着信メッセージが次の場合に証明書検証操作が行われます。

  • タイプがWSS 1.0で、秘密鍵で作成されたデジタル証明書を含み、証明書が存在しない場合。この場合、次のようになります。

    処置: Oracle WSMキーストアには署名証明書を含める必要があります。

  • タイプがWSS 1.0で、秘密鍵で作成されたデジタル証明書を含み、証明書が存在する場合。

    処置: Oracle WSMキーストアには、署名証明書または署名証明書の発行者の証明書を含める必要があります。

  • タイプがWSS 1.1で、秘密鍵で作成されたデジタル証明書を含み、証明書が存在しない場合。

    処置: Oracle WSMキーストアには署名証明書を含める必要があります。

  • タイプがWSS 1.1で、秘密鍵で作成されたデジタル証明書を含み、証明書が存在する場合。この場合、OWSMキーストアには署名証明書または署名証明書の発行者の証明書を含める必要があります。

    処置: Oracle WSMキーストアには、署名証明書または署名証明書の発行者の証明書を含める必要があります。

WSS KerberosポリシーのためのOracle WSMエージェントの構成

Oracle Security Token Serviceは、様々なOracleクライアント(Oracle Web Services Managerクライアント)またはサード・パーティ・クライアント(MicrosoftおよびIBM)にサービスを提供します。Oracle WSMエージェントは、着信リクエストに対してメッセージ保護のみを実行します(認証は実行しません)。Oracle WSMエージェントでは、OPSSアイデンティティ・ストア内のユーザー・レコードへの着信Kerberosチケットのマップは試行されません。

Oracle WSMがWSS Kerberosポリシーを使用してOracle Security Token Serviceとやり取りするクライアントの場合、『Oracle Fusion Middleware Web Servicesのためのセキュリティおよび管理者ガイド』のOracle WSM Kerberos全体の設定に関する項が適用されます。

ただし、クライアントがOracle WSMではない場合は表17-3を参照し、クライアントの構成方法に関する項、およびKerberosチケットで参照されるユーザーの認証に関する項は無視してください。

表17-3 WSS KerberosポリシーのためのOracle WSM以外のクライアントの構成

Oracle以外のクライアントに対して実行するタスク Oracle以外のクライアントに対してスキップするタスク

KDCの構成


MIT Kerberos KDCの初期化および起動


プリンシパルの作成


正しいKDCを使用するためのWebサービス・クライアントの構成



Webサービス・クライアントでのサービス・プリンシパル名の設定


設計時のWebサービス・クライアントでのサービス・プリンシパル名の設定

正しいKDCを使用するためのWebサービスの構成


Enterprise Managerでの正しいkeytabファイルの使用方法


keytabファイルの抽出とエクスポート


keytabファイルを使用するためのkrb5ログイン・モジュールの変更


サービス・プリンシパルに対応するユーザーの認証


Webサービス・クライアントのチケット・キャッシュの作成


Active DirectoryのKerberosおよびメッセージ保護との使用



Webサービス・クライアントの設定

ユーザー・アカウントの作成


Keytabファイルの作成



サービス・プリンシパル名の設定

Webサービスの設定



Oracle Security Token Serviceポリシーの管理および移行

ここでは、次の内容について説明します。

Oracle Security Token Serviceポリシーの管理および移行について

Oracle Security Token Serviceでは、sts-policies.jarファイル内のエンドポイントのポリシーがパッケージ化されます。このjarは、WLS_HOMEの下の次の場所($WL_HOME/Oracle_IDM1など)にコピーされます。

$DW_HOME/oam/server/policy

sts-policies.jarには、JARの次の場所にstspolicies.propファイルが含まれています。

META-INF/policies/sts/

このファイルは、ポリシーを宛先リポジトリに移行するときにサーバーがJARエントリをプログラムによって読み取れるように、ディレクトリにパッケージ化されたすべてのポリシーをファイル名としてリストします。


注意:

移行の前に、必要に応じてポリシーおよびstspolicies.propを更新してください。

Oracle Security Token Serviceポリシーの管理

次の手順は、ポリシー更新の様々なシナリオを示しています。

タスクの概要: ポリシーおよびstspolicies.propの更新

  1. sts-policies jarへのポリシーの追加: 新しいjarを作成する前に、この新しいポリシー・ファイル名を含めるように、META-INF/policies/sts/にあるstspolicies.propファイルも更新する必要があります。

  2. sts-policies jarからのポリシーの削除: ファイルMETA-INF/policies/sts/stspolicies.propからエントリも削除する必要があります。

  3. 既存のポリシー・ファイル名の更新: META-INF/policies/sts/にあるポリシー・ファイルの名前を変更するときに、META-INF/policies/sts/stspolicies.propファイル内の対応するエントリも更新する必要があります。

  4. 既存のポリシー内容の更新: ファイル名を変更せずにポリシー・ファイルの内容を更新する場合、その他の処理を実行する必要はありません。

Oracle Security Token Serviceポリシーの移行

インストール時に、Oracle Security Token Serviceがインストールされるドメイン内にSOAがデプロイされているかどうかを確認するために、チェックが行われます。

  • SOAがインストールされていない場合、Oracle WSMプロトコルはクラスパスに設定され、クラスパス上のJARからポリシーが読み込まれます。

  • SOAがドメイン内に存在する場合、Oracle Security Token Serviceはsts-policies.jarからポリシーを読み取り、Oracle WSM MbeansをコールすることでOracle WSM PMリポジトリに移行します。

  • Oracle Security Token Serviceの後、同じドメイン内にSOAがインストールされる場合、次のようにSOAとOracle Security Token Serviceの間のスムーズな操作が保証されます。

    • Oracle WSMプロトコルを「remote」に設定する必要があります。

    • Oracle WSMが提供するツールを使用して、Oracle Security Token Serviceポリシーをsts-policies jarからOracle WSM PMリポジトリに移行する必要があります。

Oracle Security Token Serviceメッセージのロギングの概要

ロギングは、コンポーネントがファイルにメッセージを書き込むためのメカニズムです。管理者は、ロギング・メカニズムを使用して重要なコンポーネント・イベントを取得できます。Oracle Access Manager 11gのコンポーネントは、Oracle Fusion Middleware 11gの他のコンポーネントと同じロギング・インフラストラクチャとガイドラインを使用しています。これはjava.util.loggingパッケージを使用して行いますが、このパッケージは標準的なもので、すべてのJava環境で使用できます。ロギング・システムはフラット・ファイルにのみ出力を書き出します。Oracle Databaseインスタンスへのロギングはサポートされていません。

ロギングの構成とログ・ファイルの検索がこの項の焦点です。ログ・ファイルの情報を使用した問題診断については、このマニュアルでは取り上げません。

ログ・メッセージは問題の診断に使用されます。ロギング・インフラストラクチャは、Oracle Access Managerコンポーネントからのメッセージを記録します。管理者は、ロガーの定義対象となる各Oracle Access Managerコンポーネントに対してログ・レベルを指定することにより、メッセージ内の記録情報量を制御します。


注意:

一般に、ユーザーは、問題診断のためにOracleテクニカル・サポートへ送るファイルを作成するためにロギングを有効にします。ログ・メッセージに関するドキュメントはありません。場合によっては、ログ・ファイルを参照することによってユーザー自身で問題を診断できることもあります。

デフォルトでは、すべてのOracle Access Managerコンポーネントのログ・レベルが通知レベルになっています。「エラー」レベルでのロギングで生成される出力は少量ですが、他のログ・レベルではロギング出力が大量になることがあり、その場合はOAMのパフォーマンスに影響します。本番環境では、通常はロギングを無効にするか、ロギング出力量が少くなるようなレベル(たとえばエラー・レベル)に設定します。

Oracle Access Manager with Oracle Security Token Serviceは、WebLogicコンテナのロギング・デフォルトを使用します。

Oracle Security Token Serviceの監査の概要

Oracle Access Manager with Oracle Security Token ServiceとOracle Fusion Middleware 11gの監査機能は、説明責任を果たすための手段と、「誰がいつ何をしたか」というタイプの質問への回答を提供します。監査データは、ダッシュボードの作成、履歴データの集計、およびリスクの評価に使用できます。記録された監査データを分析すれば、コンプライアンス担当者がコンプライアンス方針を定期的に確認できます。

この項では、監査可能なOracle Security Token Service管理イベントとランタイム・イベントを説明します。Oracle Security Token Serviceの共通監査設定を構成すること、および設定した監査構成の検証がこの章の主題です。ただし、監査データの分析と監査についてはこのマニュアルでは取り上げません。

Oracle Access Manager with Oracle Security Token Serviceは、Oracle Fusion Middlewareの共通監査フレームワークを使用し、大量のユーザー・ランタイム・イベントおよび管理イベント(システムへの変更)の監査を支援します。Oracle Fusion Middlewareの共通監査フレームワークを使用すれば、ロギングと例外を一様な形で取り扱い、すべての監査イベントの診断を行うことができます。

監査機能は有効または無効のどちらに設定しておくことも可能ですが、本番環境では有効にしておくのが普通です。監査による性能への影響は最小限に抑えられており、監査によって得られた情報は有用です(業務に不可欠な場合もあります)。

Oracle Access Manager with Oracle Security Token Serviceは、1人のユーザーまたはユーザーのセットに対してデータ・キャプチャを有効にする、Oracle Access Managerコンソールで設定される構成パラメータに基づいています。

監査データは、集中管理された1つのOracle Databaseインスタンスや、フラットファイルに書き込むことができます。監査記録の保存場所にかかわらず、記録には、特定の要件に合わせて構成することのできる一連の項目が含まれています。監査ログ・ファイルは、監査フレームワークが正常に機能しない場合に監査管理者がエラーを追跡したり問題を診断したりする助けとなります。

Oracle Access Manager with Oracle Security Token Serviceは、あらかじめ設定されたコンプライアンス・レポートを提供するOracle Business Intelligence Publisherと統合できます。

Oracle Security Token Service監査レコードの格納について

Oracle Access Manager with Oracle Security Token Serviceは、共通監査フレームワークでサポートされている様々なターゲットに監査レコードを書き込むように構成できます。

  • ローカル・フラット・ファイル: デフォルトでは、Oracle Access Manager with Oracle Security Token Serviceは監査データをファイルに記録します。

  • 中央データベース: 本番環境においては、共通監査フレームワークのスケーラビリティと高可用性を実現するために、データベース監査ストアを使用することをお薦めします。監査データは累積的なもので、その量は時間とともに増大します。これは監査データ専用のデータベースとして、他のアプリケーションは使用しないようにするのが理想です。

  • プラットフォーム固有のログ(LinuxのSyslogおよびWindowsのイベント・ログ)

  • Audit Vault

監査記録用の恒久的ストアとしてのデータベースに切り替えるには、まず、リポジトリ作成ユーティリティ(RCU)を使用して監査データ用のデータベース・スキーマを作成する必要があります。RCUは、データベースに監査記録を格納するために必要なスキーマを使用して、そのデータベース・ストアをシードします。スキーマ作成後にデータベースの構成を設定するには次の操作が必要です。

  • 作成した監査スキーマを参照するデータ・ソースの作成

  • そのデータ・ソースを参照する監査ストアの設定


関連項目:


監査レポートおよびOracle Business Intelligence Publisherについて

データベース監査ストア内のデータは、Oracle Business Intelligence Publisherであらかじめ定義されたレポートを通じて表示されます。これらのレポートを使用すれば、ユーザー名、時間範囲、アプリケーション・タイプ、実行コンテキスト識別子(ECID)などの様々な基準に基づいて、監査データをドリルダウンできます。

Oracle Access Managerには、そのまますぐに使用できるサンプル監査レポートがいくつか用意されており、これらのレポートにはOracle Business Intelligence Publisherでアクセスできます。また、Oracle Business Intelligence Publisherを使用して、独自のカスタム監査レポートを作成することもできます。

監査ログについて

監査ログ・ファイルは、監査フレームワークが正常に機能しない場合に監査管理者がエラーを追跡したり問題を診断したりする助けとなります。監査ログ・ファイルには、Date、Time、Initiator、EventType、EventStatus、MessageText、ECID、RID ContextFields、SessionId、TargetComponentType、ApplicationName、EventCategoryなどを含むいくつかのフィールドが記録されます。


関連項目:

『Oracle Fusion Middlewareセキュリティ・ガイド』の監査の構成と管理に関する章に含まれる監査ログ関連項目

Oracle Security Token Service管理イベントとランタイム・イベントの監査

Oracle Security Token Serviceには、特定のイベント・タイプおよび監査対象イベントを定義する独立した監査構成ファイル(component_events.xml)が用意されています。

ここでは、次の内容について説明します。

すべてのイベントに共通の監査レコード・コンテンツについて

次のデータは、監査されるイベントまたはイベント・タイプに関係なく、各監査レコードに含まれています。

  • イベントの日付と時刻

  • イベントを開始するクライアントのIPアドレス

  • クライアント・アイデンティティ

  • イベントの処理時間

監査可能なOracle Security Token Service管理イベント

Oracle Security Token Service管理イベントは、component_events.xmlに定義されているいくつかの構成管理操作に分類されます。詳細は、表17-4を参照してください。

表17-4 Oracle Security Token Serviceの構成管理操作

OSTSの構成管理操作 説明

共通属性

  • OldSettings: 変更が適用される前の、以前の設定を表す文字列。

  • NewSettings: 新しい設定を表す文字列。

  • TemplateID: 作成、更新または削除されている検証テンプレートまたは発行テンプレートのID。

  • ProfileID: 作成、更新または削除されているパートナ・プロファイルのID。

  • PartnerID: 作成、更新または削除されているパートナのID。

  • SettingsID: 作成、更新または削除されている汎用設定のID。

検証テンプレートの作成

CreateValidationTemplateで参照される検証テンプレートの作成に関して記録される監査イベント。

属性:

  • TemplateID

  • NewSettings

検証テンプレートの更新

UpdateValidationTemplateで参照される検証テンプレートの更新に関して記録される監査イベント。

属性:

  • TemplateID

  • OldSettings

  • NewSettings

検証テンプレートの削除

DeleteValidationTemplateで参照される検証テンプレートの削除イベントに関して記録される監査イベント。

属性:

  • TemplateID

  • OldSettings

発行テンプレートの作成

CreateIssuanceTemplateで参照される発行テンプレートの作成に関して記録される監査イベント。

属性:

  • TemplateID

  • NewSettings

発行テンプレートの更新

UpdateIssuanceTemplateで参照される発行テンプレートの更新に関して記録される監査イベント。

属性:

  • TemplateID

  • OldSettings

  • NewSettings

発行テンプレートの削除

DeleteIssuanceTemplateで参照される発行テンプレートの削除イベントに関して記録される監査イベント。

属性:

  • TemplateID

  • OldSettings

パートナ・プロファイルの作成

CreatePartnerProfileで参照されるパートナ・プロファイルの作成に関して記録される監査イベント。

属性:

  • ProfileID

  • NewSettings

パートナ・プロファイルの更新

UpdatePartnerProfileで参照されるパートナ・プロファイルの更新に関して記録される監査イベント。

属性:

  • ProfileID

  • OldSettings

  • NewSettings

パートナ・プロファイルの削除

DeletePartnerProfileで参照されるパートナ・プロファイルの削除イベントに関して記録される監査イベント。

属性:

  • ProfileID

  • OldSettings

パートナの作成

CreatePartnerで参照されるパートナ・プロファイルの作成に関して記録される監査イベント。

属性:

  • PartnerID

  • NewSettings

パートナの更新

UpdatePartnerで参照されるパートナ・プロファイルの更新に関して記録される監査イベント。

属性:

  • PartnerID

  • OldSettings

  • NewSettings

パートナの削除

DeletePartnerで参照されるパートナ・プロファイルの削除イベントに関して記録される監査イベント。

属性:

  • PartnerID

  • OldSettings

汎用管理作成

GenericAdminCreationで参照される汎用作成管理操作に関して記録される監査イベント。

属性:

  • SettingsID

  • NewSettings

汎用管理更新

GenericAdminUpdateで参照される汎用更新管理操作の更新に関して記録される監査イベント。

属性:

  • SettingsID

  • OldSettings

  • NewSettings

汎用管理削除

GenericAdminDeletionで参照される汎用削除管理操作に関して記録される監査イベント。

属性:

  • SettingsID

  • OldSettings


監査可能なOracle Security Token Serviceランタイム・イベント

トークン操作のためのOracle Security Token Service固有のランタイム・イベントはcomponent_events.xmlに定義されています。詳細は、表17-5を参照してください。

表17-5 Oracle Security Token Service固有のランタイム・イベント

トークン操作 説明

共通属性

  • Requester: RSTの送信によってリクエストしたユーザー

  • RelyingParty: トークンが作成されるユーザー

  • UserID: エンド・ユーザー・アイデンティティ

  • TokenType: SAML11、SAML20、ユーザー名、X.509、Kerberos、OAMまたはカスタム

  • Token: トークンのXML値

  • TokenContext: トークン操作のために渡されるコンテキスト・データ

  • Message: 着信または送信メッセージのXML表現

着信メッセージ

OutgoingMessageで参照されるOracle Security Token Serviceが受信する着信RSTRメッセージ。

このイベントに対して移入される属性(使用可能な場合):

  • Requester

  • RelyingParty

  • Message

送信メッセージ

IncomingMessageで参照されるOracle Security Token Serviceが受信する送信RSTRメッセージ。

このイベントに対して移入される属性(使用可能な場合):

  • Requester

  • RelyingParty

  • Message

トークン検証

TokenValidationで参照されるOracle Security Token Service内のトークン検証の監査イベント。ステータス属性は、検証操作が成功したかどうかを示します。

このイベントに対して移入される属性(使用可能な場合):

  • Requester

  • RelyingParty

  • Token

  • TokenType

  • TokenContext

  • ステータス

トークン生成

TokenGenerationで参照されるOracle Security Token Service内のトークン生成の監査イベント。

このイベントに対して移入される属性(使用可能な場合):

  • Requester

  • RelyingParty

  • Token

  • TokenType

  • TokenContext

  • UserID

LDAPユーザー認証

LDAPUserAuthenticationで参照されるLDAPディレクトリでのローカル・ユーザー認証の監査イベント。

このイベントに対して移入される属性(使用可能な場合):

  • UserID

  • ステータス

汎用ランタイム操作

GenericRuntimeOperationで参照されるOracle Security Token Serviceによって実行される汎用操作の監査イベント。

このイベントに対して移入される属性(使用可能な場合):

  • OperationType: 操作のタイプ

  • OperationData: 操作のコンテキストを表す文字列