3 認証およびセキュリティ・ポリシーの構成

この章の内容は次のとおりです。

• 3.1項「認証およびセキュリティ・ポリシーの構成について」

• 3.2項「Basic認証のためのSSL通信の提供」

• 3.3項「Imaging WebサービスへのOWSMセキュリティ・ポリシーの適用」

• 3.4項「Java APIログインにおけるクライアント側セキュリティ・ポリシーの再構成」

3.1 認証およびセキュリティ・ポリシーの構成について

認証およびセッション管理は、使用される統合方法に応じて異なる方法で処理されます。初めてインストールされたImaging Webサービスは、Oracle Web Service Managerのセキュリティ・ポリシーを適用せずに構成されています。セキュリティ・ポリシーが適用されていない場合、このサービスでは、HTTP Basic認証メカニズム、またはユーザー名トークン認証が使用されます。ただし、Basic認証メカニズムでは、ユーザー資格証明(ユーザーIDとパスワード)がWebサービスのHTTPメッセージ・ヘッダーに入れて送信されるため、あまり安全ではありません。これは、Secure Socket Layer (SSL)トランスポート・メカニズムが使用されていないかぎり、ユーザー資格証明が暗号化されることはないからです。

3.2 Basic認証のためのSSL通信の提供

Imagingサーバー・インスタンスに対してSSLが適切に構成されていれば、すべてのWebサービス通信でSSLが強制的に使用されるようにImagingを構成できます。このためには、Imaging構成MBean、RequireBasicAuthSSLをtrueに設定します。デフォルトはfalseです。

注意: RequireBasicAuthSSL設定は、HTTP Basic認証が使用されていない場合のみ適用されます。これはOWSMセキュリティ・ポリシーが適用されていないためです。

OWSMセキュリティ・ポリシーの使用

より高いレベルのセキュリティが望ましい場合、Imaging Webサービスは、次のOracle Webサービス管理(OWSM)セキュリティ・ポリシーをサポートしています。

• wss_username_token

• wss_username_token_over_ssl

• wss11_username_token_with_message_protection

Imaging Webサービスにセキュリティ・ポリシーを適用するときには、必ず、すべてのWebサービスに同じポリシーを適用します。ただし、DocumentContentServiceは例外です。DocumentContentServiceは、OWSMセキュリティ・ポリシーと互換性のない、ストリームMTOMを使用するように設計されています。DocumentContentServiceのセキュリティを確保するには、まず、LoginServiceを使って、ステートフル・ログインを行う必要があります。これにより、OWSMセキュリティ・ポリシーが使用されます(この情報は主に、ダイレクトWebサービス・コールを行うときに重要です。ネイティブJava APIを使用しているときには、適切な順序で自動的にログインが行われます)。

3.3 Imaging WebサービスへのOWSMセキュリティ・ポリシーの適用

セキュリティ・ポリシーをImaging Webサービスに適用するには、WebLogicサーバー管理コンソールから次の手順を実行します。

1. 管理コンソールにログインします。

2. 「デプロイメント」をクリックします。「デプロイメントのサマリー」ページが表示されます。

3. 「デプロイメント」表の「名前」列で「Imaging」の横にあるプラス(+)アイコンをクリックします。Imagingデプロイメントが展開されます。

4. DocumentContentServiceを除く「Webサービス」の下にある各Imaging Webサービスで次の操作を行います。

   1. Webサービスを選択します。そのサービスの設定ページが表示されます。

   2. 「構成」タブを選択します。「構成」タブがアクティブになります。

   3. 「WS-Policy」タブを選択します。「WS-Policy」タブがアクティブになります。

   4. 「このWebサービスに関連付けられているWS-Policyファイル」表の「サービスのエンドポイントおよび操作」列で目的のWebサービス・ポートをクリックします。「Webサービスのポリシーのタイプを構成」ページが表示されます。

   5. 「OWSM」が選択されていることを確認し、「次へ」をクリックします。WebLogicポリシーがサポートされていないことに注意してください。「WebServiceポリシーの構成」ページIDが表示されます。

   6. 「選択可能なエンドポイント・ポリシー」フィールドからサポートされているサービス・ポリシーを選択します。サポートされているポリシーのリストは、「Basic認証のためのSSL通信の提供」に記載されています。

   7. 右矢印をクリックして、選択したポリシーを「選択されたエンドポイント・ポリシー」フィールドに移動します。ただし、選択するセキュリティ・ポリシーは1つのみにします。

   8. 「終了」をクリックします。「デプロイメント計画の保存アシスタント」ページが表示されます。

   9. 「OK」をクリックして、デプロイメント計画を保存します。

   10. DocumentContentServiceを除くすべてのWebサービスに同じポリシーが割当てられるまで、それぞれのサービスについて、ステップ4を繰返します。

5. 「デプロイメント」をクリックして、「デプロイメント」ページに戻ります。

6. 「デプロイメント」表の「名前」列で「Imaging」の横にあるチェック・ボックスを選択し、「更新」をクリックします。「アプリケーション更新アシスタント」ページが表示されます。「デプロイメント・プランのパス」の隣には、新しいデプロイメント計画が指定されています。

7. 「終了」をクリックします。新しいポリシーが適用され、デプロイメントが更新されます。

3.4 Java APIログインにおけるクライアント側セキュリティ・ポリシーの再構成

OWSMセキュリティ・ポリシーをImaging Webサービスに適用するとき、Java APIコードはログインに、BasicUserTokenクラスではなく、WsmUserTokenクラスを使用する必要があります。WsmUserTokenクラスは、OWSMクライアント側セキュリティ・ポリシーを構成するためのHelperクラスです。このクラスには、正しいクライアント側ポリシーを設定するための静的定数のセットが含まれます。使用しているポリシーに応じて、追加の構成設定が必要になる場合もあります。各種構成オプションの意味についての詳細は、OWSMのドキュメントを参照してください。

例3-1のコード部分は、様々なポリシー・タイプのWsmUserTokenクラスの使用例を示しています。

例3-1 様々なポリシー・タイプのWsmUserTokenクラス

WsmUserToken userToken = new WsmUserToken ("weblogic", "weblogic");
userToken.setClientPolicy(WsmUserToken.USERNAME_TOKEN_POLICY);
ServicesFactory.login(userToken, wsurl);