リファレンス・ガイド

     前  次    新規ウィンドウで目次を開く    PDFとして表示 - 新規ウィンドウ  Adobe Readerを取得 - 新規ウィンドウ
コンテンツはここから始まります

Oracle Service Architecture Leveraging Tuxedo WS-SecurityPolicyアサーション1.0リファレンス

次の項で、Oracle Service Architecture Leveraging Tuxedo (SALT) WS-SecurityPolicy (WSSP) 1.0アサーション・リファレンス情報について説明します。

 

概要

SALTでは、着信サービスに対してWS-Securityプロトコル・バージョン1.0の一部を実装しています。UsernameTokenとX509v3Tokenによる認証がサポートされています。WSDL定義では、認証方法を説明するにはWS-SecurityPolicy 1.0アサーションが使用されます。Oracle WebLogic 9.xとの相互運用性のために、WS-SecuirtyPolicy1.0仕様(2002)がサポートされています。

次に、SALTのサポート対象WS-SecurityPolicy 1.0アサーションをすべて示します。

WebLogic 9.xでいくつかの拡張アサーションが使用され、SALTはそれらのサブセットのみ実装します。認証のためにX509v3トークンを使用する場合、整合性アサーションのみ使用されます。署名は、SOAP本文のメッセージ部にのみ指定できます。

 

SALT WSSP 1.0ポリシー・アサーションの書式

図F-1には、WS-PolicyファイルでのSALTのサポート対象WS-SecurityPolicy 1.0アサーションのフォーマットのグラフィカルな表現を示します。

図F-1 SALTのサポート対象WS-SecurityPolicy 1.0アサーションの形式

SALTのサポート対象WS-SecurityPolicy 1.0アサーションの形式

 

SALT WSSP 1.0アサーション・ファイルの例

リストF-1には、WSSP 1.0アサーションによるユーザー名トークン認証を適用する方法を示します。

リストF-1 WSSP 1.0ポリシー・ファイルのサンプル 
<wsp:Policy xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
  xmlns:wssp="http://www.bea.com/WLS/security/policy"
  xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
  <wssp:Identity>
    <wssp:SupportedTokens>
      <wssp:SecurityToken             TokenType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken">
        <wssp:Claims>
          <wssp:UsePassword>http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText</wssp:UsePassword>
        </wssp:Claims>
      </wssp:SecurityToken>
    </wssp:SupportedTokens>
  </wssp:Identity>
</wsp:Policy>

 

SALT WSSP 1.0ポリシーのテンプレート

SALTには、代表的Webサービス・アプリケーションに使用できるいくつかのWS-SecurityPolicy 1.0テンプレート・ファイルが用意されています。これらのポリシー・ファイルはTUXDIR/udataobj/salt/policyディレクトリにあります。

表F-1 SALT WSSP 1.0ポリシーのテンプレート・ファイル
ポリシー・ファイル
説明
wssp1.0-UsernameToken-plain-auth.xml
ユーザー名トークンとプレーンなテキスト・パスワードが認証対象の要求に送信される。
wssp1.0-x509v3-auth.xml
X509 V3バイナリ・トークン(証明書)は認証対象の要求に送信される。必要に応じて、リクエストは、リクエスト中のいくつかのメッセージ部で署名されます。
wssp1.0-signbody.xml
すべてのSOAP本文が署名される。

これらのテンプレート・ファイルは次の場所値の形式でWSDFファイルで直接参照することができます。

salt:<template_file_name>

たとえば、signbodyを構成する場合は、WSDFファイルに次のsignbodyを指定することができます。

<Policy location=”salt:wssp1.0-signbody.xml” />

 

SALT WSSP 1.0アサーション要素の説明

SALTでは、WebLogic 9.x/10 WS-SecurityPolicy 1.0アサーションの一部を実装します。WebLogicでサポートされるWSSP 1.0アサーションのすべての一覧については、http://edocs.bea.com/wls/docs100/webserv_ref/sec_assert.htmlを参照してください。

<CanonicalizationAlgorithm>

デジタルで署名されるSOAPメッセージ要素を標準化するのに使用されるアルゴリズムを指定します。

表F-2 <CanonicalizationAlgorithm>属性
属性
説明
必須?
URI
署名されるSOAPメッセージを標準化するために使用されるアルゴリズム。
SALTでは、次の標準化するアルゴリズムのみサポートしている。
http://www.w3.org/TR/xml-exc-c14n/
はい

<Claims>

特定のセキュリティ・トークンの型に関連付けられている追加のメタデータ情報を指定します。セキュリティ・トークンの型によって、次の子要素を指定する必要があります。

この要素に対する属性はありません。

<DigestAlgorithm>

SOAPメッセージの指定部分にデジタル署名する際に使用するダイジェスト・アルゴリズムを指定します。デジタル署名するSOAPメッセージの一部を指定するには、<MessageParts>兄弟要素を使用します。

表F-3 <DigestAlgorithm>属性
属性
説明
必須?
URI
SOAPメッセージの指定された部分をデジタルで署名する時に使用されたダイジェスト・アルゴリズム。
SALTでは、次のダイジェスト・アルゴリズムのみサポートしている。
http://www.w3.org/2000/09/xmldsig#sha1
はい

<Identity>

認証のためにサポートされているセキュリティ・トークンの型(ユーザー名またはX.509)を指定します。

この要素に対する属性はありません。

<Integrity>

デジタルで署名しなければならないSOAPメッセージ全体またはその一部ならびにSOAPメッセージを署名するために使用されたアルゴリズムとキーを指定します。

たとえば、Webサービスでは、SOAPメッセージ全体がデジタルで署名され、SHA1を使用したアルゴリズムとRSAキーが受け付けられている必要がある可能性があります。

表F-4 <Integrity>属性
属性
説明
必須?
SignToken
SOAPメッセージの指定部分に加え、<Integrity>の<SecurityToken>子要素で指定したセキュリティ・トークンにもデジタル署名するかどうかを指定します。
この要素に対する有効な値はtrueまたはfalseである。デフォルト値はtrueである。
いいえ

<MessageParts>

署名しなければならないSOAPメッセージの部分を指定します。SALTでは、特定のあらかじめ定義されたメッセージ部分の関数、wsp:Body()、つまりデジタルで署名する全体のSOAP本文のみサポートします。

MessagePartsアサーションは常に<Target>アサーションの子です。<Target>アサーションは、(SOAPメッセージをデジタルで署名する方法を指定するための)整合性アサーションの子である可能性があります。

署名しなければならないSOAPメッセージの部分を指定する方法については、「MessagePartsの使用」を参照してください。

表F-5 <MessageParts>属性
属性
説明
必須?
Dialect
署名しなければならないSOAPメッセージの部分を識別するために使用した方言を指定する。
SALTでは次の値のみがサポートされている。
  • http://schemas.xmlsoap.org/2002/12/wsse#part

    • 署名しなければならないSOAPメッセージの部分を指定するために使用する便利な方言。

はい

<SecurityToken>

親要素によって、認証またはデジタル署名に対してサポートされているセキュリティ・トークンを指定します。

この要素を<Identity>親要素に定義すると、クライアント・アプリケーションにおいて、Webサービスを呼び出すときにSOAPリクエストにセキュリティ・トークンを添付する必要があります。たとえば、Webサービスでは、WebサービスによってTuxedoサービスにアクセスできるようにクライアント・アプリケーションがユーザー名トークンを提示する必要がある可能性があります。この要素が<Integrity>の一部である場合、デジタル署名に対して使用するトークンを指定します。

特定のセキュリティ・トークンの型は、TokenType属性の値と親要素によって決まります。

表F-6 <SecurityToken>属性
属性
説明
必須?
IncludeInMessage
SOAPメッセージにトークンを含むかどうかを指定する。
有効な値はtrueまたはfalseである。
この属性のデフォルト値は、<Integrity>アサーションで使用する場合はtrueです。
この属性の値は、<Identity>アサーションで使用する場合は、明示的にfalseに設定したとしても、常にtrueです。
いいえ
TokenType
セキュリティ・トークンの型を指定する。有効な値は次のとおりである。
  • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 (バイナリX.509 v3トークンを指定)
  • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken (ユーザー名トークンを指定)
はい

<SignatureAlgorithm>

デジタル署名を計算するために使用された暗号書記法のアルゴリズムを指定します。

表F-7 <SignatureAlgorithm>属性
属性
説明
必須?
URI
署名を計算するために使用された暗号書記法のアルゴリズムを指定する。

注意: 企業において使用する証明書と互換性のあるアルゴリズムが指定されていることを確認すること。

有効な値は次のとおり。
  • http://www.w3.org/2000/09/xmldsig#rsa-sha1
  • http://www.w3.org/2000/09/xmldsig#dsa-sha1
はい

<SupportedTokens>

親要素によって、認証またはデジタル署名に対して使用できるサポートされているセキュリティ・トークンのリストを指定します。

この要素に対する属性はありません。

<Target>

SOAPメッセージの署名するターゲットについての情報をカプセル化します。<Integrity>で使用する場合は、<DigestAlgorithm><Transform>および<MessageParts>子要素を指定できます。

理想的に、1つまたは複数のターゲットが含めることができます。ただし、SALTにはデジタル署名に対して構成するSOAP全体のみをサポートしているので、最大で1つのターゲットが必要となります。

この要素に対する属性はありません。

<Transform>

署名されたSOAPメッセージの部分に適用する変換アルゴリズムのURIを指定します。<Integrity>要素の子要素のみで存在できます。

0個以上の任意の数のトランスフォーメーションを指定できます。指定したトランスフォーメーションは、<Target>親要素で指定されている順序で実行されます。

表F-8 <Transform>属性
属性
説明
必須?
URI
変換アルゴリズムのURIを指定する。
SALTでは、次の変換アルゴリズムのみサポートしている。
  • http://www.w3.org/2000/09/xmldsig#base64 (Base64のデコード変換)
これらの変換アルゴリズムの詳細は、「XML-Signature Syntax and Processing」を参照してください。
はい

<UsePassword>

SOAPメッセージにパスワードのプレーンなテキストまたはダイジェストを表示するかどうかを指定します。この要素はユーザー名トークンのみに使用されます。SALTでは、プレーンなテキストとして指定する必要があります。

表F-9 <UsePassword>属性
属性
説明
必須?
Type
パスワードのタイプを指定する。SALTでは、クリア・テキスト・パスワードのみサポートされている。URIの値は次のとおりである。
  • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText

    • SOAPメッセージでクリア・テキスト・パスワードを使用する必要があることを指定する。

注意: 後方互換性のため、前のURIには最初に「www」を指定することも可能です。たとえば、次のように指定します。

    • http://www.docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText
はい

MessagePartsの使用

WS-Policyファイル内で<Integrity>アサーションを使用すると、デジタルで署名するSOAPメッセージのターゲットを指定するには、Targetの子アサーションも使用する必要があります。<Target>アサーションでは、デジタルで署名する必要があるSOAPメッセージの実際の部分を指定するために<MessageParts>子アサーションを使用する必要があります。SOAPメッセージの部分を識別するために使用する方言を指定するには、<MessageParts>Dialect属性を使用できます。SALT Webサービスのセキュリティ・モジュールでは、次の言語のみがサポートされています。

クライアントがmessage-secured Webサービスを呼び出すようにSOAPメッセージ内に実際に存在しているメッセージ部分を指定するようにします。Webサービスのセキュリティ・モジュールは、WS-Policyファイルによりる署名または暗号化される必要がある部分を含まれていない着信SOAPメッセージを受信すると、そのモジュールはエラーを返し、メッセージを呼び出すことに失敗します。

あらかじめ定義されたメッセージ部分の選択関数

この項では、メッセージ部分を選択するために「http://schemas.xmlsoap.org/2002/12/wsse#part」方言で使用されたSALTのサポート対象関数を示します。

表F-10 SALTのサポート対象メッセージ部分の選択関数
関数
説明
wsp:Body()
部分的に選択するSOAPメッセージ全体を指定する。

署名するSOAP全体のみ指定することができます。このためにはwsp:Body()関数をあらかじめ定義した方言を使用することをお薦めします。

リストF-2には、wsp:Body()関数の例を示します。

リストF-2 wsp:Body()関数 
<wssp:MessageParts
    Dialect="http://schemas.xmlsoap.org/2002/12/wsse#part">
      wsp:Body()
</wssp:MessageParts>

  先頭に戻る       前  次