| Oracle® Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護 12cリリース1(12.1.1) B65929-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護 12cリリース1(12.1.1) B65929-01 |
|
前 |
次 |
この章では、WebLogic Webサービスのセキュリティを構成する方法について説明します。
この章の内容は以下のとおりです。
WebLogic Webサービスを保護するには、次の3種類のセキュリティを1つ以上構成します。
表1-1 Webサービスのセキュリティ
| セキュリティのタイプ | 説明 |
|---|---|
|
メッセージ・レベルのセキュリティ |
SOAPメッセージのデータをデジタル署名または暗号化します。認証用のアイデンティティ・トークンを含めることもできます。第2章「メッセージ・レベルのセキュリティの構成」を参照してください。 |
|
トランスポート・レベルのセキュリティ |
SSLを使用してクライアント・アプリケーションとWebサービスの間の接続を保護します。第3章「トランスポート・レベルのセキュリティの構成」を参照してください。 |
|
アクセス制御セキュリティ |
Webサービスにアクセスできるロールを指定します。第4章「アクセス制御セキュリティの構成(JAX-RPCのみ)」を参照してください。 |
メッセージ・レベルのセキュリティには、SSLのすべてのセキュリティの利点が含まれますが、追加の柔軟性と機能が伴います。メッセージ・レベルのセキュリティはエンド・ツーエンドです。つまり、トランザクションに複数の仲介機能が含まれる場合でもSOAPメッセージのセキュリティは保護されます。接続だけでなく、SOAPメッセージ自体がデジタル署名および暗号化されます。また、メッセージの個々の部分や要素のみを署名または暗号化したり、必須にするよう指定できます。これに対し、トランスポート・レベルのセキュリティでは接続そのものしか保護されません。つまり、クライアントとWebLogic Serverの間にルーターやメッセージ・キューなどの仲介機能がある場合、その仲介機能はSOAPメッセージをプレーン・テキストで取得します。仲介機能から次の送信先にメッセージが送信されたとき、その受信側では元々そのメッセージがどこから来たのかわかりません。また、SSLで使用される暗号化は「オール・オア・ナッシング」です。つまり、SOAPメッセージの全体が暗号化されるか、あるいはまったく暗号化されないかのいずれかになります。SOAPメッセージの選択部分のみを暗号化するように指定する方法はありません。メッセージ・レベルのセキュリティには認証用のIDトークンを含めることができます。
トランスポート・レベルのセキュリティでは、クライアント・アプリケーションとWebLogic Serverの間の接続がSecure Sockets Layer (SSL)で保護されます。SSLでは、ネットワーク接続している2つのアプリケーションが互いのアイデンティティを認証できるようにするとともに、アプリケーション間でやりとりされるデータを暗号化することでセキュアな接続が実現します。認証を使用すると、サーバーは(場合によってはクライアントも)ネットワーク接続の相手側アプリケーションのアイデンティティを検証できます。クライアント証明書(双方向SSL)を使用してユーザーを認証できます。
暗号化により、ネットワーク経由で伝送されるデータは、予定された受信者にのみ理解できるようになります。
トランスポート・レベルのセキュリティには、SSLだけでなくHTTP基本認証も含まれます。
アクセス制御のセキュリティは、「誰が何を実行できるか」という質問の回答となります。まず、Webサービスへのアクセスが許可されているセキュリティ・ロールを指定します。セキュリティ・ロールとは、特定の条件に基づいてユーザーまたはグループに付与される権限です。次に、クライアント・アプリケーションがWebサービス操作を呼び出そうとするときに、そのクライアントはWebLogic Serverに対して自身を認証し、権限がある場合はその呼出しを続行することができます。アクセス制御セキュリティは、WebLogic Serverのリソースのみを保護します。つまり、アクセス制御のセキュリティしか構成されていない場合は、クライアント・アプリケーションとWebLogic Serverの接続が保護されず、SOAPメッセージはプレーン・テキストになります。
