Oracle Fusion Middleware Oracle SOA SuiteおよびOracle Business Process Management Suite管理者ガイド 11g リリース1(11.1.1.7) B55916-08 |
|
前 |
次 |
この章では、SOAコンポジット・アプリケーション固有のセキュリティ構成手順について説明します。ほとんどのSOAコンポジット・アプリケーションのセキュリティ手順では、SOA固有の構成手順は必要ありません。これらのタスクを実行するための別のドキュメントへの参照を示します。
この章では、次の項目について説明します。
注意: ポリシーのアタッチおよびデタッチについては、次の各項を参照してください。 |
この章では、SOAコンポジット・アプリケーション固有のセキュリティ手順について説明します。ほとんどのSOAコンポジット・アプリケーションのセキュリティ手順は、SOA固有の手順を必要とせず、表5-1に示すドキュメントに従って実行できます。
表5-1 セキュリティに関するドキュメント
セキュリティ情報 | 参照ガイド |
---|---|
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』 |
|
『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』 |
|
『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティについて』 |
|
『Oracle Fusion Middleware Oracle WebLogic Server本番環境の保護』 |
|
『Oracle Fusion Middleware Oracle WebLogic Serverの保護』 |
|
『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティ・プロバイダの開発』 |
|
『Oracle Fusion Middleware Oracle WebLogic Server WebLogic Webサービスの保護』 |
|
『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティのプログラミング』 |
|
Oracle Business Activity Monitoringの保護 |
|
Oracle User Messaging Serviceの保護 |
第27.6項「Oracle User Messaging Serviceの保護」 |
Oracle BPM WorklistがOracle HTTP Server経由で動作するように、Oracle HTTP Serverのmod_wl_ohs.conf
ファイルに/integration
の場所を追加する必要があります。
<Location /integration>
SetHandler weblogic-handler
# PathTrim /weblogic
ErrorPage http:/WEBLOGIC_HOME:WEBLOGIC_PORT/
</Location>
この項では、Oracle WebLogic Scripting Tool (WLST)を使用して、SOAインフラストラクチャのメッセージ保護付きSecurity Assertion Markup Language (SAML)ポリシー構成を設定および検証する方法を説明します。この項の例では、タスク問合せサービスの構成について説明します。ただし、これらの説明はSAMLトークン・ポートをサポートするすべてのヒューマン・ワークフロー・サービスに関連します。
アクティビティ・ガイド問合せサービス
アクティビティ・ガイド・メタデータ・サービス
アクティビティ・ガイド管理サービス
タスク問合せサービス
タスク・サービス
タスク・メタデータ・サービス
ランタイム構成サービス
タスク・エビデンス・サービス
ユーザー・メタデータ・サービス
別のサービスのポリシーを変更する場合は、同じWLSTコマンドをそのサービスのSAMLトークン・ポートに適用する必要があります。
SAMLメッセージ保護付きポリシー構成を設定する手順は、次のとおりです。
WLSTを使用してSOAドメイン(たとえば、base_domain
)にログインします。
既存のwss10_saml_token_service_policy
というサービス・ポリシーをデタッチします。
wls:/base_domain/domainRuntime> detachWebServicePolicy('/base_domain/soa _server1/soa-infra','integration/services/TaskQueryService','web', 'WorkflowProvider','TaskQueryServicePortSAML','oracle/ wss10_saml_token_service_policy')
アプリケーションを再起動して、ポリシーまたは構成の変更をアクティブ化します。
新しいポリシーをアタッチします。この場合、ポリシーにはoracle/wss10_saml_token_with_message_protection_service_policy
という名前が付けられます。
wls:/base_domain/domainRuntime> attachWebServicePolicy('/base_domain/soa _server1/soa-infra','integration/services/TaskQueryService', 'web','WorkflowProvider','TaskQueryServicePortSAML','ora cle/wss10_saml_token_with_message_protection_service_policy')
アプリケーションを再起動して、ポリシーまたは構成の変更をアクティブ化します。
ポリシーを表示して検証します。
wls:/base_domain/domainRuntime> listWebServicePolicies('/base_domain/soa _server1/soa-infra','integration/services/TaskQueryService', 'web','WorkflowProvider','TaskQueryServicePortSAML') TaskQueryServicePortSAML : security : oracle/wss10_saml_token_with_message_protection_service_policy, enabled=true Attached policy or policies are valid; endpoint is secure.
キーストアを作成して、orakey
という別名を追加し、Oracle Web Service Manager (OWSM)構成を実行して、SAMLメッセージ保護付きポリシーをアクティブ化します。例:
keytool -genkeypair -keystore domain_home/config/fmwconfig/default-keystore.jks -keyalg RSA -dname "cn=consumer,dc=example,dc=com" -alias clientalias -keypass password -storepass password -validity 3600 keytool -exportcert -keystore domain_home/config/fmwconfig/default-keystore.jks -v -alias clientalias -storepass password -rfc -file domain_home/config/fmwconfig/certificate.cer keytool -importcert -keystore domain_home/config/fmwconfig/default-keystore.jks -alias orakey -file domain_home/config/fmwconfig/certificate.cer -storepass password createCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key") createCred(map="oracle.wsm.security", key="enc-csf-key", user="clientalias", password="welcome1", desc="Encryption key") createCred(map="oracle.wsm.security", key="sign-csf-key", user="clientalias", password="welcome1", desc="Signing key")
サーバーを再起動します。
この項では、様々な環境でOracle BPM WorklistおよびOracle Business Process Managementのユーザーを認証する方法について説明します。
SAML SSO環境で最初のOracle BPM Worklistから2番目のOracle BPM Worklistにアクセスするとき自動認証されるようにするには、次の手順を実行する必要があります。この手順を実行しないと、2番目のOracle BPM Worklistにアクセスするときに再度ログインするように求められます。この環境では、最初のOracle BPM WorklistはSAML IDプロバイダとして構成され、アクセスする2番目のOracle BPM WorklistはSAMLサービス・プロバイダとして構成されます。
SAML SSO環境でOracle BPM Worklistユーザーを自動認証する手順は、次のとおりです。
/integration/worklistapp/*
をworklistapp
のリダイレクトURLとして、SAMLサービス・プロバイダ・サイトのSAML2IdentityAsserter
構成に追加します。
Oracle WebLogic Server管理コンソールで、「セキュリティ・レルム」を選択します。
サービス・プロバイダのレルムをクリックします。
「プロバイダ」タブを選択し、「認証」サブタブを選択します。
プロバイダ・リストから、SAML 2.0 IDアサーション・プロバイダと説明されているプロバイダを選択します。
SAML IDアサーション・プロバイダ構成が見つからない場合は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の説明に従ってください。
「管理」タブを選択します。
「管理」タブには、IDプロバイダ・パートナのリストが表示されます。これらは、このSAML IDサービス・プロバイダ・サイトのSAML IDプロバイダ・パートナとして構成されているホストです。この構成手順は、Oracle BPM Worklistがホスト管理されるIDサービス・プロバイダ・サイトで実行されることに注意してください。
ユーザーが最初のログインを実行するIDプロバイダ・サイトを選択します。
「リダイレクトURI」フィールドが表示されるまでページを下にスクロールします。
/integration/worklistapp/*
をリストに追加します。
この手順を実行した後、通常の/integration/worklistapp
というURLを使用してSAML IDプロバイダ・サイトでOracle BPM Worklistにログインできます。必要に応じて、SAMLサービス・プロバイダ・サイトでURL /integration/worklistapp/ssologin
に移動できます。ここで、Oracle BPM Worklistにアクセスして自動認証されます。
SAML2IdentityAsserter
、およびWebブラウザとHTTPクライアントを使用したSSOの構成の詳細は、「Oracle Fusion Middleware Oracle WebLogic Serverの保護」を参照してください。
SAML SSO環境で最初のOracle BPM Workspaceから2番目のOracle BPM Workspaceにアクセスするときに自動的に認証されるようにするには、次の手順を実行する必要があります。この手順を実行しないと、2番目のOracle BPM Workspaceにアクセスするときに再度ログインするように求められます。この環境では、最初のOracle BPM WorkspaceはSAML IDプロバイダとして構成され、アクセスする2番目のOracle BPM WorkspaceはSAMLサービス・プロバイダとして構成されます。
SAML SSO環境でOracle BPM Workspaceユーザーを自動認証する手順は、次のとおりです。
workspace
のリダイレクトURLとして、SAMLサービス・プロバイダ・サイトのSAML2IdentityAsserter
構成に/bpm/workspace/*
を次のように追加します。
Oracle WebLogic Server管理コンソールで、「セキュリティ・レルム」を選択します。
サービス・プロバイダのレルムをクリックします。
「プロバイダ」タブを選択し、「認証」サブタブを選択します。
プロバイダ・リストから、SAML 2.0 IDアサーション・プロバイダと説明されているプロバイダを選択します。
SAML IDアサーション・プロバイダ構成が見つからない場合は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の説明に従ってください。
「管理」タブを選択します。
「管理」タブには、IDプロバイダ・パートナのリストが表示されます。これらは、このSAML IDサービス・プロバイダ・サイトのSAML IDプロバイダ・パートナとして構成されているホストです。この構成手順は、Oracle BPM Workspaceがホスト管理されるIDサービス・プロバイダ・サイトで実行されることを忘れないでください。
ユーザーが最初のログインを実行するIDプロバイダ・サイトを選択します。
「リダイレクトURI」フィールドが表示されるまでページを下にスクロールします。
リストに/bpm/workspace/*
を追加します。
この手順の実行後は、/bpm/workspace
の通常のURLを使用してSAML IDプロバイダにあるOracle BPM Workspaceにログインできます。必要に応じて、SAMLサービス・プロバイダ・サイトでURL /bpm/workspace/ssologin
に移動でき、ここからOracle BPM Workspaceにアクセスすると自動認証されます。
SAML2IdentityAsserter
、およびWebブラウザとHTTPクライアントを使用したSSOの構成の詳細は、「Oracle Fusion Middleware Oracle WebLogic Serverの保護」を参照してください。
SAML SSO環境で最初のOracle Business Process Composerから2番目のOracle Business Process Composerにアクセスするときに自動的に認証されるようにするには、次の手順を実行する必要があります。この手順を実行しないと、2番目のOracle Business Process Composerにアクセスするときに再度ログインするように求められます。この環境では、最初のOracle Business Process ComposerはSAML IDプロバイダとして構成され、アクセスする2番目のOracle Business Process ComposerはSAMLサービス・プロバイダとして構成されます。
SAML SSO環境でOracle Business Process Composerユーザーを自動認証する手順は、次のとおりです。
composer
のリダイレクトURLとして、SAMLサービス・プロバイダ・サイトのSAML2IdentityAsserter
構成に/bpm/composer/*
を次のように追加します。
Oracle WebLogic Server管理コンソールで、「セキュリティ・レルム」を選択します。
サービス・プロバイダのレルムをクリックします。
「プロバイダ」タブを選択し、「認証」サブタブを選択します。
プロバイダ・リストから、SAML 2.0 IDアサーション・プロバイダと説明されているプロバイダを選択します。
SAML IDアサーション・プロバイダ構成が見つからない場合は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の説明に従ってください。
「管理」タブを選択します。
「管理」タブには、IDプロバイダ・パートナのリストが表示されます。これらは、このSAML IDサービス・プロバイダ・サイトのSAML IDプロバイダ・パートナとして構成されているホストです。この構成手順は、Oracle Business Process Composerがホスト管理されるIDサービス・プロバイダ・サイトで実行されることを忘れないでください。
ユーザーが最初のログインを実行するIDプロバイダ・サイトを選択します。
「リダイレクトURI」フィールドが表示されるまでページを下にスクロールします。
リストに/bpm/composer/*
を追加します。
この手順の実行後は、/bpm/composer
の通常のURLを使用してSAML IDプロバイダにあるOracle Business Process Composerにログインできます。必要に応じて、SAMLサービス・プロバイダ・サイトでURL /bpm/composer/ssologin
に移動でき、ここからOracle Business Process Composerにアクセスすると自動認証されます。
SAML2IdentityAsserter
、およびWebブラウザとHTTPクライアントを使用したSSOの構成の詳細は、「Oracle Fusion Middleware Oracle WebLogic Serverの保護」を参照してください。
Kerberosを使用したWindowsのネイティブ認証をOracle BPM Worklistで使用するには、保護されたURL /integration/worklistapp/ssologin
を使用する必要があります。たとえば、Windowsのネイティブ認証を構成した後は、次のようにOracle BPM Worklistにアクセスします。
http://host_name.domain_name:8001/integration/worklistapp/ssologin
Microsoftクライアントを使用したSSOの構成については、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
Kerberosを使用したWindowsのネイティブ認証をOracle Business Process Composerで使用するには、保護されたURL bpm/composer/ssologin
を使用する必要があります。たとえば、Windowsのネイティブ認証を構成した後は、次のようにProcess Composerにアクセスします。
http://host_name.domain_name:8001/bpm/composer/ssologin
Microsoftクライアントを使用したSSOの構成については、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
この項では、最初の認証プロバイダを設定する方法を説明します。
Oracle BPM Worklistおよびワークフロー・サービスでは、Java Platform Security (JPS)と、ユーザーおよびロールAPIが使用されます。このため、Oracle Internet Directoryでワークフローが使用されるときは、Oracle Internet Directory認証者が最初のプロバイダとして表示される必要があります。Oracle Internet Directoryが最初に表示されない場合(たとえば、DefaultAuthenticator
の下に表示される場合)、ログイン認証は失敗します。
認証プロバイダの順序の変更方法については、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
Oracle Internet Directoryの認証を使用している場合、Webベースのアプリケーションへのログインが失敗することがあります。これは、Oracle WebLogic Serverの構成が、デフォルトの認証の前にOracle Internet Directoryの認証を使用するように設定されている場合に起こります。
この場合、次のエラーが発生することがあります。
"@ User "weblogic" is not found in configuration "jazn.com" Check if the user exists in the repository specified by the configurations. Check the error stack and fix the cause of the error. Contact oracle support if error is not fixable."
セキュリティ・プロバイダの順序は次のようにしてください。
デフォルトの認証
Oracle Internet Directory/LDAP認証
NT LAN Manager (NTLM)認証をリクエストするWebサービスを起動しようとするときは、composite.xml
ファイルで次のプロパティを設定する必要があります。
oracle.webservices.auth.username
oracle.webservices.auth.password
oracle.webservices.preemptiveBasicAuth
oracle.webservices.preemptiveBasicAuth
は、false
に設定する必要があります。
例5-1に詳細を示します。
例5-1 NTLM認証が構成されたcomposite.xmlファイル
<reference name="Service1" ui:wsdlLocation="test1.wsdl"> <interface.wsdl interface="http://tempuri.org/#wsdl.interface(IService1)"/> <binding.ws port="http://tempuri.org/#wsdl.endpoint(Service1/BasicHttpBinding_IService1)" location="test1.wsdl" soapVersion="1.1"> <property name="weblogic.wsee.wsat.transaction.flowOption" type="xs:string" many="false">WSDLDriven</property> <property name="oracle.webservices.auth.username" type="xs:string" many="false">test</property> <property name="oracle.webservices.auth.password" type="xs:string" many="false">password</property> <property name="oracle.webservices.preemptiveBasicAuth" type="xs:string" many="false">false</property> </binding.ws> </reference>
これらのプロパティを設定していない場合は、BPELプロセスがWebサービスを起動しようとしたときに次のエラーが発生します。
setting preemptive basic auth" and "invoke failed...Bad response: 401 Unauthorized
この項では、Oracle SOA SuiteおよびOracle Business Process Managementの環境でSecure Socket Layer(SSL)を構成する方法について説明します。
SOA/BPMサーバーがHTTPSポートで構成されている場合は、SSL証明書が次の標準に従っていることを確認します。
サーバーがSSLクライアント(ブラウザ、または通知送信者などの他の内部クライアント)に提示する証明書は、その独自のトラスト・ストア(CAストア)で信頼される証明書です。
サーバーの証明書が自己署名されている場合は、その証明書がトラスト・ストアに追加されていることを確認します。つまり、サーバーが提示する証明書は、サーバーのトラスト・ストアに対する自己検証が必要です。
このようにされていない場合は、タスク通知の送信時に問題が発生する可能性があります。たとえば、サーバーの出力ログ(例: soa_server1.out
)で例5-2に示されるようなエラー・メッセージを受信する場合があります。
例5-2 タスク通知エラー
<Sep 13, 2011 12:59:41 AM PDT> <Error> <oracle.soa.services.workflow.common> <BEA-000000> <<.> ORABPEL-0 at oracle.bpel.services.workflow.task.notification. TaskNotifications.getEmailPaylOad (TaskNotifications.java:1354) at oracle.bpel.services.workflow.task.notification. TaskNotifications.getEmailNotificationContent (TaskNotifications.java:987) at weblogic.jms.client.JMSSession$UseForRunnable.run (JMSSession.java:5170) at weblogic.work.SelfTuningWorkManagerImpl$WorkAdapterImpl.run(SelfTuningWorkManagerI mpl.java:528) at weblogic.work.ExecuteThread.execute(ExecuteThread.java:209) at weblogic.work.ExecuteThread.run(ExecuteThread.java:178) Caused By: javax.net.ssl.SSLKeyException: [Security:090477]Certificate chain received from myhost.us.example.com - 10.232.152.78 was not trusted causing SSL handshake failure. at com.certicom.tls.interfaceimpl.TLSConnectionImpl. fireException(UnknownSource) at com.certicom.tls.interfaceimpl.TLSConnectionImpl. fireAlertSent(UnknownSource) at com.certicom.tls.record.handshake.HandshakeHandler. fireAlert(Unknown Source). ficationContent(TaskNotifications.java:987) at weblogic.jms.client.JMSSession$UseForRunnable.run(JMSSession.java:5170) at weblogic.work.SelfTuningWorkManagerImpl$WorkAdapterImpl.run(SelfTuningWorkManagerI mpl.java:528) at weblogic.work.ExecuteThread.execute(ExecuteThread.java:209) at weblogic.work.ExecuteThread.run(ExecuteThread.java:178) Caused By: javax.net.ssl.SSLKeyException: [Security:090477]Certificate chain received from myhost.us.example.com - 10.232.152.78 was not trusted causing SSL handshake failure. at com.certicom.tls.interfaceimpl.TLSConnectionImpl. fireException(UnknownSource) at com.certicom.tls.interfaceimpl.TLSConnectionImpl. fireAlertSent(UnknownSource) at com.certicom.tls.record.handshake.HandshakeHandler. fireAlert(Unknown Source
概要および構成の詳細は、「Oracle Fusion Middleware Oracle WebLogic Serverの保護」を参照してください。
SSL (SOA、BAMなど)で管理対象サーバーを全部構成するか、構成しないかのいずれかをベスト・プラクティスとしてお薦めします。一部の管理対象サーバーをSSLで構成し、他の管理対象サーバーを構成しないと、Oracle BPM WorklistおよびOracle Web Services Manager (OWSM)では好ましくない結果になる可能性があります。たとえば、SSL構成された管理対象サーバー(bam_server)が存在する場合、SSLの構成がないサーバーはOWSMでは使用されません。SSL構成されたサーバーが停止した場合、OWSMは停止状態になり、Oracle BPM Worklistが停止状態になる原因となります。
Oracle BPM Worklistで非SSLからSSL構成に切り替えるには、Oracle WebLogic Server管理コンソールで「フロントエンド・ホスト」および「フロントエンドHTTPSポート」フィールドを設定する必要があります。設定しないと、To-Doタスクを作成するときに例外エラーが発生します。
Oracle BPM Worklistで非SSLからSSL構成に切り替える手順は、次のとおりです。
Oracle WebLogic Server管理コンソールにログインします。
「環境」セクションで、「サーバー」を選択します。
管理対象サーバーの名前(たとえば、soa_server1)を選択します。
「プロトコル」を選択し、次に「HTTP」を選択します。
「フロントエンド・ホスト」フィールドに、Oracle BPM Worklistがあるホスト名を入力します。
「フロントエンドHTTPSポート」フィールドに、SSLリスナー・ポートを入力します。
「保存」をクリックします。
Oracle SOA Suiteでは、Oracle WebLogic ServerとOracle Secure Socket Layer(SSL)スタックの両方を使用し、て双方向SSL通信を構成します。
インバウンドのWebサービス・バインディングの場合、Oracle SOA SuiteではOracle WebLogic Serverインフラストラクチャを使用し、SSL用にOracle WebLogic Serverライブラリを使用します。
アウトバウンドのWebサービス・バインディングの場合、Oracle SOA SuiteはJRF HttpClientを使用するため、SSLにはOracle JDKライブラリを使用します。
このように違いがあるため、次のJVMオプションを使用してOracle WebLogic Serverを起動します。
SOAコンポジット・アプリケーションの双方向SSL通信を構成する手順は、次のとおりです。
次のファイルを開きます。
UNIXオペレーティング・システムでは、$MIDDLEWARE_HOME/user_projects/domains/
domain_name
/bin/setDomainEnv.sh
を開きます。
Windowsオペレーティング・システムでは、MIDDLEWARE_HOME
\user_projects\domains\
domain_name
\bin\setDomainEnv.bat
を開きます。
サーバーで一方向SSL(サーバー認可のみ)が有効化されている場合は、次の行をJAVA_OPTIONS
セクションに追加します。
-Djavax.net.ssl.trustStore=your_truststore_location
双方向SSLの場合は、キーストア情報(場所とパスワード)は不要です。
また、次の手順を実行してSOAコンポジット・アプリケーションの双方向SSLが別のSOAコンポジット・アプリケーションまたは別の非SOAアプリケーションを起動できるようにします。
注意: サーバーとクライアントの両方が相互認証でSSL用に構成されていることが前提となります。 |
SOAコンポジット・アプリケーションが別のアプリケーションを呼び出すために双方向SSLを有効化する手順は、次のとおりです。
「SOAインフラストラクチャ」メニューから、「SOA管理」→「共通プロパティ」の順に選択します。
ページの下部で、「詳細SOAインフラ拡張構成プロパティ」をクリックします。
「KeystoreLocation」をクリックします。
「値」列に、キーストアの場所を入力します。
「適用」をクリックします。
「戻る」をクリックします。
Oracle JDeveloperでの設計時に、composite.xml
ファイル内の参照セクションをoracle.soa.two.way.ssl.enabled
プロパティで更新します。
<reference name="Service1"
ui:wsdlLocation=". . .">
<interface.wsdl interface=". . ."/>
<binding.ws port=". . .">
<property name="oracle.soa.two.way.ssl.enabled">true</property>
</binding.ws>
</reference>
Oracle Enterprise Manager Fusion Middleware Controlで、「WebLogicドメイン」→「domain_name」の順に選択します。
「domain_name」を右クリックし、「セキュリティ」→「資格証明」の順に選択します。
「マップの作成」をクリックします。
「マップ名」フィールドに名前(SOA
など)を入力し、「OK」をクリックします。
「キーの作成」をクリックします。
次の詳細を入力します。
フィールド | 説明 |
---|---|
マップの選択 |
ステップ6で作成したマップ(この場合はSOA)を選択します。 |
キー |
キー名を入力します( |
タイプ |
「パスワード」を選択します。 |
ユーザー名 |
ユーザー名を入力します( |
パスワード |
キーストアに対して作成したパスワードを入力します。 |
Oracle Enterprise Manager Fusion Middleware Controlでキーストアの場所を設定します。方法については、ステップ1を参照してください。
https
およびsslport
を使用してSOAコンポジット・アプリケーションを起動するように、composite.xml
を変更します。たとえば、次の太字で示されている構文を変更します。
<?xml version="1.0" encoding="UTF-8" ?> <!-- Generated by Oracle SOA Modeler version 1.0 at [4/1/09 11:01 PM]. --> <composite name="InvokeEchoBPELSync" revision="1.0" label="2009-04-01_23-01-53_994" mode="active" state="on" xmlns="http://xmlns.oracle.com/sca/1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy" xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy" xmlns:ui="http://xmlns.oracle.com/soa/designer/"> <import namespace="http://xmlns.oracle.com/CustomApps/InvokeEchoBPELSync/BPELProcess1" location="BPELProcess1.wsdl" importType="wsdl"/> <import namespace="http://xmlns.oracle.com/CustomApps/EchoBPELSync/ BPELProcess1"location="http://hostname:port/soa-infra/services/default/EchoBPEL Sync/BPELProcess1.wsdl" importType="wsdl"/>
https
およびsslport
を使用するように変更します。
location="https://hostname:sslport/soa-infra/services/default/EchoBPELSync /BPELProcess1.wsdl"
Webサービスを一方向SSL環境でSOAコンポジット・アプリケーションからの外部参照として呼び出す場合は、サーバーの証明書名(CN)とホスト名が完全に一致することを確認します。これにより、正しいSSLハンドシェイクが保証されます。
たとえば、Webサービスの名前がadfbc
で、証明書のサーバー名がmyhost05
の場合、次の構文ではSSLハンドシェイク例外が発生します。
<import namespace="/adfbc1/common/" location="https://myhost05.us.example.com:8002/CustomApps-adfbc1-context-root/Ap pModuleService?WSDL" importType="wsdl"/> <import namespace="/adfbc1/common/" location="Service1.wsdl" importType="wsdl"/>
import
の順序を入れ替えると、SSLハンドシェイクに成功します。
<import namespace="/adfbc1/common/" location="Service1.wsdl" importType="wsdl"/> <import namespace="/adfbc1/common/" location="https://myhost05.us.example.com:8002/CustomApps-adfbc1-context-root/Ap pModuleService?WSDL" importType="wsdl"/>
この問題に関連して次の制限があります。
Oracle WebLogic Server管理コンソールにあるようなホスト名の検証を無視するオプションはOracle JDeveloperにありません。これは、Oracle JDeveloperで使用されているSSLキットが異なるためです。トラスト・ストアのみコマンドラインから構成できます。他のすべての証明書引数は渡されません。
WSDLファイルで、https://
hostname
は前述のように証明書内の名前と一致する必要があります。ブラウザで行う場合と同じ手順は実行できません。たとえば、証明書のCNのホスト名がmyhost05.us.example.com
の場合、ブラウザではmyhost05
、myhost05.us.example.com
またはIPアドレスを使用できます。Oracle JDeveloperでは、必ず証明書内の名前と同じ名前(myhost05.us.example.com
)を使用する必要があります。
ここでは、Oracle SOA SuiteとOracle HTTP Server間でSSL通信を構成する手順について説明します。
Oracle HTTP ServerのSSL通信を構成する手順は、次のとおりです。
<Location /integration/services>
場所ディレクティブを使用してmod_ssl.conf
を更新します。
LoadModule weblogic_module ${ORACLE_HOME}/ohs/modules/mod_wl_ohs.so <IfModule mod_weblogic.c> WebLogicHost host.domain.com WLLogFile <logdir>/ohs_ssl.log Debug ALL DebugConfigInfo ON SecureProxy ON MatchExpression *.jsp WlSSLWallet <OHS_ HOME>/instances/instance1/config/OHS/ohs1/keystores/default </IfModule> <Location /soa-infra> WebLogicPort 8002 SetHandler weblogic-handler ErrorPage http://host.domain.com:port/error.html </Location> <Location /b2bconsole> WebLogicPort 8002 SetHandler weblogic-handler ErrorPage http://host.domain.com:port/error.html </Location> <Location /b2b> WebLogicPort 8002 SetHandler weblogic-handler ErrorPage http://host.domain.com:port/error.html </Location> <Location /integration/worklistapp> WebLogicPort 8002 SetHandler weblogic-handler ErrorPage http://host.domain.com:port/error.html </Location> <Location /integration/services> WebLogicPort 8002 SetHandler weblogic-handler ErrorPage http://host.domain.com:port/error.html </Location> <Location /DefaultToDoTaskFlow> WebLogicPort 8002 SetHandler weblogic-handler ErrorPage http://host.domain.com:port/error.html </Location> <Location /OracleBAM> WebLogicPort 9002 SetHandler weblogic-handler ErrorPage http://host.domain.com:port/error.html </Location> <Location /OracleBAMWS> WebLogicPort 9002 SetHandler weblogic-handler ErrorPage http://host.domain.com:port/error.html </Location> <Location /sdpmessaging/userprefs-ui/> WebLogicPort 8002 SetHandler weblogic-handler ErrorPage http://host.domain.com:port/error.html </Location>
第5.7.4項「SOAコンポジット・アプリケーションの双方向SSL通信の構成」の説明に従って、Oracle WebLogic Serverを起動します。
Oracle Client、Oracle HTTP ServerおよびOracle WebLogic Serverの証明書を構成する手順は、次のとおりです。
Oracle HTTP Serverウォレットからユーザー証明書をエクスポートします。
orapki wallet export -wallet . -cert cert.txt -dn 'CN=\"Self-Signed Certificate for ohs1 \",OU=OAS,O=ORACLE,L=REDWOODSHORES,ST=CA,C=US'
エクスポートした証明書をOracle WebLogic Serverトラスト・ストアに信頼できる証明書としてインポートします。
keytool -file cert.txt -importcert -trustcacerts -keystore DemoTrust.jks
Oracle WebLogic Serverトラスト・ストアから証明書をエクスポートします。
keytool -keystore DemoTrust.jks -exportcert -alias wlscertgencab -rfc -file certgencab.crt
エクスポートした証明書をOracle HTTP Serverウォレットに信頼できる証明書としてインポートします。
orapki wallet add -wallet . -trusted_cert -cert certgencab.crt -auto_login_only
Oracle HTTP Serverを再起動します。
第5.7.4項「SOAコンポジット・アプリケーションの双方向SSL通信の構成」の説明に従って、Oracle WebLogic Serverを再起動します。
Oracle WebCacheおよびOracle HTTP Server環境では、「Webサービスのテスト」ページでOracle WebCacheとの通信が必要になる場合があります。したがって、SOAコンポジット・アプリケーション・インスタンスとOracle WebCache間でSSLを構成する必要があります(つまり、ユーザー証明書をOracle WebCacheウォレットからエクスポートし、その証明書をOracle WebLogic Serverトラスト・ストアに信頼できる証明書としてインポートします)。
keytool
やorapki
などのツールで作成したカスタム・トラスト・ストアを使用している場合にHTTPSを介してSOAコンポジット・アプリケーションを別のコンポジットから起動するには、Oracle JDeveloperで次の操作を実行します。
設計時に一方向SSLでカスタム・トラスト・ストアを使用する手順は、次のとおりです。
参照セクションでWSDLファイルをフェッチするには、「ツール」→「プリファレンス」→「HTTPアナライザ」→「HTTPS設定」→「クライアントの信頼する証明書キーストア」でトラスト・ストア情報を設定します。
SSL対応サーバーへのデプロイメント時に、コマンドラインでJSSEプロパティを使用します。
jdev -J-Djavax.net.ssl.trustStore=your_trusted_location
非同期BPELプロセスAが非同期BPELプロセスBを起動する
非同期BPELプロセスAは一方向SSL対応の管理対象サーバーにデプロイされる
すべてのWSDL参照およびバインディングでプレーンHTTPを使用する
実行時に、WSDLはHTTPSを介して検索され、非同期BPELプロセスBからのコールバック・メッセージが失敗します。
この問題を解決するには、callbackServerURL
プロパティをcomposite.xml
ファイルの参照バインディング・レベルで渡す必要があります。これは、特定の参照呼出しのコールバックURLの値を示します。クライアント・コンポジットがSSL管理対象サーバーで実行されている場合、コールバックはデフォルトでSSLになります。
<reference name="Service1"
ui:wsdlLocation="http://localhost:8000/soa-infra/services/default/AsyncSecondB
PELMTOM/BPELProcess1.wsdl">
<interface.wsdl
interface="http://xmlns.oracle.com/Async/AsyncSecondBPELMTOM/BPELProcess1#wsdl
.interface(BPELProcess1)"
callbackInterface="http://xmlns.oracle.com/Async/AsyncSecondBPELMTOM/BPELProce
ss1#wsdl.interface(BPELProcess1Callback)"/>
<binding.ws
port="http://xmlns.oracle.com/Async/AsyncSecondBPELMTOM/BPELProcess1#wsdl.endp
oint(bpelprocess1_client_ep/BPELProcess1_pt)"
location="http://localhost:8000/soa-infra/services/default/AsyncSecondBPELMTOM
/bpelprocess1_client_ep?WSDL">
<wsp:PolicyReference URI="oracle/wss_username_token_client_policy"
orawsp:category="security"
orawsp:status="enabled"/>
<wsp:PolicyReference URI="oracle/wsaddr_policy"
orawsp:category="addressing"
orawsp:status="enabled"/>
.
<property name="callbackServerURL">http://localhost:8000/</property>
.
</binding.ws>
.
<callback>
<binding.ws
port="http://xmlns.oracle.com/Async/AsyncSecondBPELMTOM/BPELProcess1#wsdl.endp
oint(bpelprocess1_client_ep/BPELProcess1Callback_pt)">
<wsp:PolicyReference
URI="oracle/wss_username_token_service_policy"
orawsp:category="security"
orawsp:status="enabled"/>
</binding.ws>
</callback>
.
</reference>