| Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド 11g リリース1(11.1.1.7) B56247-06 |
|
 戻る |
 次へ |
この付録では、ポリシーの作成に使用することや、新規ポリシー作成のためにコピーすることが可能な事前定義済アサーション・テンプレートについて説明します。
|
注意: 有効な既知のテンプレート・セットをいつでも使用できるように、事前定義済アサーション・テンプレートは編集しないことをお薦めします。ただし、事前定義済アサーション・テンプレートから新規のアサーション・テンプレートを作成したり、ポリシーに添付した後にアサーションの属性を構成できます。アサーション・テンプレートの管理およびポリシーへの追加の詳細は、「ポリシー・アサーション・テンプレートの管理」を参照してください。 |
この章の内容は次のとおりです。
次の項では、セキュリティ・アサーション・テンプレートをより詳細に説明します。
次のリンク(アルファベット順)を使用して、特定のアサーション・テンプレートの説明に移動できます。
oracle/http_saml20_token_bearer_client_templateまたはoracle/http_saml20_token_bearer_service_template
oracle/http_spnego_token_client_templateまたはoracle/http_spnego_token_service_template
oracle/wss_http_token_client_templateまたはoracle/wss_http_token_service_template
oracle/wss_http_token_over_ssl_client_templateまたはoracle/wss_http_token_over_ssl_service_template
oracle/wss_saml_token_bearer_over_ssl_client_templateまたはoracle/wss_saml_token_bearer_over_ssl_service_template
oracle/wss_saml20_token_bearer_over_ssl_client_templateまたはoracle/wss_saml20_token_bearer_over_ssl_service_template
oracle/wss_saml_token_over_ssl_client_templateまたはoracle/wss_saml_token_over_ssl_service_template
oracle/wss_saml20_token_over_ssl_client_templateまたはoracle/wss_saml20_token_over_ssl_service_template
oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_templateまたはoracle/wss_sts_issued_saml_bearer_token_over_ssl_service_template
oracle/wss_username_token_over_ssl_client_templateまたはoracle/wss_username_token_over_ssl_service_template
oracle/wss_username_token_client_templateまたはoracle/wss_username_token_service_template
oracle/wss_username_token_over_ssl_client_templateまたはoracle/wss_username_token_over_ssl_service_template
oracle/wss10_message_protection_client_templateまたはoracle/wss10_message_protection_service_template
oracle/wss10_saml_token_client_templateまたはoracle/wss10_saml_token_service_template
oracle/wss10_saml20_token_client_templateまたはoracle/wss10_saml20_token_service_template
oracle/wss10_saml_token_with_message_protection_client_templateまたはoracle/wss10_saml_token_with_message_protection_service_template
oracle/wss10_saml20_token_with_message_protection_client_templateまたはoracle/wss10_saml20_token_with_message_protection_service_template
oracle/wss10_username_token_with_message_protection_client_templateまたはoracle/wss10_username_token_with_message_protection_service_template
oracle/wss10_x509_token_with_message_protection_client_templateまたはoracle/wss10_x509_token_with_message_protection_service_template
oracle/wss11_kerberos_token_client_templateまたはoracle/wss11_kerberos_token_service_template
oracle/wss11_kerberos_token_with_message_protection_client_templateまたはoracle/wss11_kerberos_token_with_message_protection_service_template
oracle/wss11_saml_token_with_message_protection_client_templateまたはoracle/wss11_saml_token_with_message_protection_service_template
oracle/wss11_saml20_token_with_message_protection_client_templateまたはoracle/wss11_saml20_token_with_message_protection_service_template
oracle/wss11_sts_issued_saml_hok_with_message_protection_client_templateまたはoracle/wss11_sts_issued_saml_hok_with_message_protection_service_template
oracle/wss11_sts_issued_saml_with_message_protection_client_template
oracle/wss11_username_token_with_message_protection_client_templateまたはoracle/wss11_username_token_with_message_protection_service_template
oracle/wss11_x509_token_with_message_protection_client_templateまたはoracle/wss11_x509_token_with_message_protection_service_template
表C-1に、認証のみを実行するアサーション・テンプレートをまとめ、トークンがトランスポート・レイヤーまたはSOAPヘッダーに組み込まれるかどうかを示します。
表C-1 認証のみのアサーション・テンプレート
| クライアント・テンプレート | サービス・テンプレート | 認証(トランスポート) | 認証(SOAP) | 認証(REST) | メッセージ保護(トランスポート) | メッセージ保護(SOAP) |
|---|---|---|---|---|---|---|
|
N/A |
oracle/http_oam_token_service_template |
いいえ |
いいえ |
はい |
いいえ |
いいえ |
|
oracle/http_saml20_token_bearer_client_template |
oracle/http_saml20_token_bearer_service_template |
いいえ |
いいえ |
はい |
はい |
いいえ |
|
oracle/http_spnego_token_client_template |
oracle/http_spnego_token_service_template |
いいえ |
いいえ |
はい |
はい |
いいえ |
|
oracle/wss_http_token_client_template |
oracle/wss_http_token_service_template |
はい |
いいえ |
いいえ |
いいえ |
いいえ |
|
oracle/wss_username_token_client_template |
oracle/wss_username_token_service_template |
いいえ |
はい |
いいえ |
いいえ |
いいえ |
|
oracle/wss10_saml_token_client_template |
oracle/wss10_saml_token_service_template |
いいえ |
はい |
いいえ |
いいえ |
いいえ |
|
oracle/wss10_saml20_token_client_template |
oracle/wss10_saml20_token_service_template |
いいえ |
はい |
いいえ |
いいえ |
いいえ |
|
oracle/wss11_kerberos_token_client_template |
oracle/wss11_kerberos_token_service_template |
いいえ |
はい |
いいえ |
いいえ |
いいえ |
http_oam_token_service_templateアサーション・テンプレートは、OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。このポリシーは、HTTPベースのすべてのエンドポイントに適用できます。
設定
表C-2は、http_oam_token_service_templateアサーション・テンプレートの設定を示しています。
表C-2 http_oam_token_service_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
認証ヘッダー - メカニズム |
認証のメカニズム。 有効な値は次のとおりです。
|
<orasp:auth-header orasp:mechanism="oam"/> |
|
認証ヘッダー - ヘッダー名 |
認証ヘッダーの名前。 |
なし |
構成
表C-3は、http_oam_token_service_templateアサーション・テンプレートのデフォルト構成プロパティを示しています。
表C-3 http_oam_token_service_templateの構成プロパティ
| 名前 | 説明 |
|---|---|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="reference.priority" orawsp:type="string"/> |
http_saml20_token_bearer_client templateアサーション・テンプレートは、アウトバウンドSOAPリクエスト・メッセージにSAML 2,0トークンを含めます。確認方法がBearerのSAMLトークンが自動的に作成されます。
設定
表C-4は、http_saml20_token_bearer_client_templateアサーション・テンプレートの設定を示しています。
表C-4 http_saml20_token_bearer_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
認証ヘッダー - メカニズム |
認証のメカニズム。 有効な値は次のとおりです。
|
<orasp:auth-header orasp:mechanism="saml20-bearer"/> |
|
認証ヘッダー - ヘッダー名 |
認証ヘッダーの名前。 |
なし |
構成
表C-5は、http_saml20_token_bearer_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表C-5 http_saml20_token_bearer_client_templateの構成プロパティ
| 名前 | デフォルト値 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2と指定します。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。Oracle WSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をSAMLアサーションに含めます。 サブジェクトが有効であり、 クライアント・ポリシーは、
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合、検索する追加のアイデンティティ・ストアを指定できます。詳細は、「アサーションへのユーザー属性の組込み」を参照してください。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="user.attributes" orawsp:type="string"/> |
|
saml.issuer.name |
発行者URI。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="saml.issuer.name" orawsp:type="string"> <orawsp:Value>www.oracle.com</orawsp:Value> </orawsp:Property> |
|
user.roles.include |
ユーザー・ロールの組込み。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="user.roles.include" orawsp:type="string"> <orawsp:Value>false</orawsp:Value> </orawsp:Property> |
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="csf-key" orawsp:type="string"> <orawsp:Value>basic.credentials</orawsp:Value> </orawsp:Property> |
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトからのみ取得されます。同様に、subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティからのみ取得されます。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="subject.precedence" orawsp:type="string"> <orawsp:Value>true</orawsp:Value> </orawsp:Property> |
|
saml.audience.uri |
リライイング・パーティをカンマ区切りのURIで表します。このフィールドでは次のワイルドカードを使用できます。
<orawsp:Property orawsp:contentType="optional" orawsp:name="saml.audience.uri" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> |
|
keystore.sig.csf.key |
署名キー・パスワードをキーストアに格納するために使用する別名とパスワード。このプロパティにより、ドメイン・レベルのかわりに添付レベルで署名キーを指定できます。このキーは、 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key" orawsp:type="string"/> |
|
saml.envelope.signature.required |
Bearerトークンがドメインの署名鍵を使用して署名されるかどうかを指定するフラグ。ドメインの署名鍵は、 Bearerトークンを未署名にするには、(クライアントおよびサービス・ポリシーの両方で)このフラグをfalseに設定します。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="saml.enveloped.signature.required" orawsp:type="boolean"> <orawsp:Value>true</orawsp:Value> </orawsp:Property> |
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="reference.priority" orawsp:type="string"/> |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="propagate.identity.context" orawsp:type="string"><orawsp:Value/> |
http_saml20_token_bearer_service_templateアサーション・テンプレートは、WS-Security SOAPヘッダー内の確認方法がBearerのSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
設定
http_saml20_token_bearer_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-4を参照してください。
構成
表C-6は、http_saml20_token_bearer_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表C-6 http_saml20_token_bearer_service_templateの構成プロパティ
| 名前 | デフォルト値 |
|---|---|
|
saml.trusted.issuers |
SAMLトークンの信頼できる発行者のカンマ区切りのリスト。信頼できる発行者をドメイン・レベルでオーバーライドするアプリケーション用です。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="saml.trusted.issuers" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> |
|
saml.envelope.signature.required |
Bearerトークンがドメインの署名鍵を使用して署名されるかどうかを指定するフラグ。ドメインの署名鍵は、 Bearerトークンを未署名にするには、(クライアントおよびサービス・ポリシーの両方で)このフラグをfalseに設定します。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="saml.enveloped.signature.required" orawsp:type="boolean"> <orawsp:Value>true</orawsp:Value> </orawsp:Property> |
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="reference.priority" orawsp:type="string"/> |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="propagate.identity.context" orawsp:type="string"><orawsp:Value/> |
http_spnego_token_client_templateアサーション・テンプレートは、KerberosトークンとSimple and Protected GSSAPI Negotiation Mechanism (SPNEGO)プロトコルを使用した認証を提供します。
設定
表C-7は、http_spnego_token_client_templateアサーション・テンプレートの設定を示しています。
表C-7 http_spnego_token_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
認証ヘッダー - メカニズム |
認証のメカニズム。 有効な値は次のとおりです。
|
<orasp:auth-header orasp:mechanism="spnego"/> |
|
認証ヘッダー - ヘッダー名 |
認証ヘッダーの名前。 |
なし |
構成
表C-8は、http_spnego_token_client_templateアサーション・テンプレートのデフォルト構成プロパティを示しています。
表C-8 http_spnego_token_client_templateの構成プロパティ
| 名前 | デフォルト値 |
|---|---|
|
service.principal.name |
サービスを識別するKerberosプリンシパルの名前。 デフォルト設定: <orawsp:Property orawsp:name="service.principal.name" orawsp:type="string"> <orawsp:Value>HOST/localhost@EXAMPLE.COM</orawsp:Value> </orawsp:Property> |
|
keytab.location |
クライアントのキータブ・ファイルの場所。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="keytab.location" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> |
|
caller.principal.name |
注意: デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="caller.principal.name" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> |
|
role |
SOAPロール。 デフォルト設定:
<orawsp:Property orawsp:contentType="constant"
orawsp:name="role" orawsp:type="string">
<orawsp:DefaultValue>
ultimateReceiver
</orawsp:DefaultValue>
</orawsp:Property>
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="reference.priority" orawsp:type="string"/> |
このhttp_spnego_token_service_templateアサーション・テンプレートは、KerberosトークンとSPNEGOプロトコルを使用した認証を提供します。
設定
http_spnego_token_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-7を参照してください。
構成
表C-9は、http_spnego_token_service_templateアサーション・テンプレートのデフォルト構成プロパティを示しています。
表C-9 http_spnego_token_service_templateの構成プロパティ
| 名前 | デフォルト値 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
<orawsp:Property orawsp:contentType="constant"
orawsp:name="role" orawsp:type="string">
<orawsp:DefaultValue>
ultimateReceiver
</orawsp:DefaultValue>
</orawsp:Property>
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="reference.priority" orawsp:type="string"/> |
wss_http_token_client_templateアサーション・テンプレートは、HTTPヘッダー内にユーザー名およびパスワード資格証明を含めます。一方向認証または双方向認証が必要かどうかを制御できます。
設定
表C-10に、wss_http_token_client_templateアサーション・テンプレートの設定をリストします。
表C-10 wss_http_token_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
認証ヘッダー - メカニズム |
認証のメカニズム。 有効な値は次のとおりです。
|
basic |
|
認証ヘッダー - ヘッダー名 |
認証ヘッダーの名前。 |
なし |
|
トランスポート・セキュリティ |
SSLを有効にするかどうかを指定するフラグ。 |
Enabled |
|
トランスポート・セキュリティ - 相互認証が必要 |
双方向認証が必要かどうかを指定するフラグ。 有効な値は次のとおりです。
|
Disabled |
|
トランスポート・セキュリティ - タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Disabled |
構成
表C-11は、wss_http_token_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-11 wss_http_token_client_templateの構成
| 名前 | 説明 |
|---|---|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
role |
SOAPロール。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
wss_http_token_service_templateアサーション・テンプレートでは、HTTPヘッダーの資格証明を使用して、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーを認証します。一方向認証または双方向認証が必要かどうかを制御できます。
設定
wss_http_token_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-10を参照してください。
構成
表C-12は、wss_http_token_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-12 wss_http_token_service_templateの構成
| 名前 | 説明 |
|---|---|
|
realm |
HTTPレルム。 デフォルト設定:
|
|
role |
SOAPロール。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
wss_username_token_client_templateアサーション・テンプレートは、WS-Security UsernameTokenヘッダー内にユーザー名およびパスワード資格証明を使用した認証を含めます。アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
|
注意: このリリースでは、ダイジェスト・パスワードはサポートされていません。 このテンプレートを使用して作成したポリシーは安全ではありません。パスワードをクリア・テキストで送信します。このアサーションは、セキュリティが低くても問題にならない場合のみ、または他のメカニズムでトランスポートが保護されていることがはっきりしている場合に使用してください。または、このアサーションのSSLバージョンであるoracle/wss_username_token_over_ssl_client_templateの使用を検討します。 |
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。
設定
表C-13に、wss_username_token_client_templateアサーション・テンプレートの設定をリストします。
表C-13 wss_username_token_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
パスワード・タイプ |
必要なパスワードのタイプ。 有効な値は次のとおりです。
注意: 保護されていないチャネルでトークンの伝播が発生する場合、プレーン・テキスト・タイプはお薦めできません。ただし、クライアントとサーバー間のポイント・ツー・ポイント接続を保護するためにSSLを転送チャネルとして使用している場合は、チャネルでパスワードが保護されるため、プレーン・テキストタイプを使用できます。 |
plaintext |
|
必要なNonce |
リプレイ攻撃を防止するためユーザー名にNonceを含める必要があるかどうかを指定するフラグ。 注意:
|
False |
|
必要な作成時間 |
ユーザー名トークンの作成にタイム・スタンプが必要かどうかを指定するフラグ。 注意:
|
False |
構成
表C-14は、wss_username_token_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-14 wss_username_token_client_templateの構成
| 名前 | 説明 |
|---|---|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
role |
SOAPロール。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
user.tenant.name |
Oracle Cloud用に予約済。 |
wss_username_token_service_templateアサーション・テンプレートは、WS-Security UsernameToken SOAPヘッダー内のユーザー名およびパスワード資格証明を使用した認証を実行します。アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
|
注意: このリリースでは、ダイジェスト・パスワードはサポートされていません。 このテンプレートを使用して作成したポリシーは安全ではありません。パスワードをクリア・テキストで送信します。このアサーションは、セキュリティが低くても問題にならない場合のみ、または他のメカニズムでトランスポートが保護されていることがはっきりしている場合に使用してください。または、このアサーションのSSLバージョンであるoracle/wss_username_token_over_ssl_service_templateの使用を検討します。 |
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。
設定
wss_username_token_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-13を参照してください。
構成
表C-15は、wss_username_token_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-15 wss_username_token_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
wss10_saml_token_client_templateアサーション・テンプレートは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。SAMLトークンは自動的に作成されます。
設定
表C-16に、wss10_saml_token_client_templateアサーション・テンプレートの設定をリストします。
表C-16 wss10_saml_token_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は1.1のみです。 |
1.1 |
|
確認タイプ |
確認タイプ。次の値のみ有効です。
|
sender-vouches |
|
名前識別子フォーマット |
名前識別子で使用するフォーマットのタイプを指定します。 「名前識別子フォーマット」は、subject.precedenceがfalseに設定されている場合のみ適用されます。subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティまたはusernameプロパティ(「SAMLアサーションのユーザー名の構成」を参照)から取得されます。ユーザー名のフォーマットは、「名前識別子フォーマット」に設定されたフォーマットと同じである必要があります。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトから取得されます。この場合、「名前識別子フォーマット」は常に「未指定」であり、「名前識別子フォーマット」を設定してこれを変更することはできません。 次のいずれかの値を指定します。
|
unspecified |
構成
表C-17は、wss10_saml_token_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-17 wss10_saml_token_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2と指定します。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。Oracle WSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をSAMLアサーションに含めます。 サブジェクトが有効であり、 デフォルト設定:
クライアント・ポリシーは、
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合、検索する追加のアイデンティティ・ストアを指定できます。詳細は、「アサーションへのユーザー属性の組込み」を参照してください。 |
|
user.roles.include |
ユーザー・ロールの組込み。 デフォルト設定:
|
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトからのみ取得されます。同様に、subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティからのみ取得されます。 デフォルト設定:
|
|
saml.audience.uri |
リライイング・パーティをカンマ区切りのURIで表します。このフィールドでは次のワイルドカードを使用できます。
デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
wss10_saml_token_service_templateアサーション・テンプレートは、WS-Security SOAPヘッダー内のSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
設定
wss10_saml_token_service_templateの設定は、「名前識別子フォーマット」がないことを除けば、クライアント・バージョンのアサーションの設定と同じです。設定の詳細は、表C-16を参照してください。
構成
表C-18は、wss10_saml_token_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-18 wss10_saml_token_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
saml.trusted.issuers |
SAMLトークンの信頼できる発行者のカンマ区切りのリスト。信頼できる発行者をドメイン・レベルでオーバーライドするアプリケーション用です。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
wss10_saml20_token_client_templateアサーション・テンプレートは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。SAMLトークンは自動的に作成されます。
設定
表C-19は、wss10_saml20_token_client_templateアサーション・テンプレートの設定を示しています。
表C-19 wss10_saml20_token_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は2.0のみです。 |
2.0 |
|
確認タイプ |
確認タイプ。次の値のみ有効です。
|
sender-vouches |
|
名前識別子フォーマット |
名前識別子で使用するフォーマットのタイプを指定します。 「名前識別子フォーマット」は、subject.precedenceがfalseに設定されている場合のみ適用されます。subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティまたはusernameプロパティ(「SAMLアサーションのユーザー名の構成」を参照)から取得されます。ユーザー名のフォーマットは、「名前識別子フォーマット」に設定されたフォーマットと同じである必要があります。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトから取得されます。この場合、「名前識別子フォーマット」は常に「未指定」であり、「名前識別子フォーマット」を設定してこれを変更することはできません。 次のいずれかの値を指定します。
|
unspecified |
構成
表C-20は、wss10_saml20_token_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-20 wss10_saml20_token_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2と指定します。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。Oracle WSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をSAMLアサーションに含めます。 サブジェクトが有効であり、 デフォルト設定:
クライアント・ポリシーは、
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合、検索する追加のアイデンティティ・ストアを指定できます。詳細は、「アサーションへのユーザー属性の組込み」を参照してください。 |
|
user.roles.include |
ユーザー・ロールの組込み。 デフォルト設定:
|
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトからのみ取得されます。同様に、subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティからのみ取得されます。 デフォルト設定:
|
|
saml.audience.uri |
リライイング・パーティをカンマ区切りのURIで表します。このフィールドでは次のワイルドカードを使用できます。
デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
wss10_saml20_token_service_templateアサーション・テンプレートは、WS-Security SOAPヘッダー内のSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
設定
wss10_saml20_token_service_templateの設定は、「名前識別子フォーマット」がないことを除けば、クライアント・バージョンのアサーション・テンプレートの設定と似ています。設定の詳細は、表C-19を参照してください。
構成
表C-21は、wss10_saml20_token_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-21 wss10_saml20_token_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
saml.trusted.issuers |
SAMLトークンの信頼できる発行者のカンマ区切りのリスト。信頼できる発行者をドメイン・レベルでオーバーライドするアプリケーション用です。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
wss11_kerberos_token_client_templateアサーション・テンプレートでは、WS-Security Kerberos Token Profile v1.1標準に従い、WS-SecurityヘッダーにKerberosトークンを含めます。
設定
表C-22は、wss11_kerberos_token_client_templateアサーション・テンプレートの設定を示しています。
表C-22 wss11_kerberos_token_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
Kerberosトークン・タイプ |
Kerberosトークンのタイプ。有効な値は、gss-apreq-v5(Kerberosバージョン5 GSS-API)のみです。 |
gss-apreq-v5 |
構成
表C-23は、wss11_kerberos_token_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-23 wss11_kerberos_token_client_templateの構成
| 名前 | 説明 |
|---|---|
|
service.principal.name |
サービスを識別するKerberosプリンシパルの名前。 デフォルト設定:
|
|
keytab.location |
クライアントのキータブ・ファイルの場所。 デフォルト設定:
|
|
caller.principal.name |
デフォルト設定:
注意: |
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
wss11_kerberos_token_service_templateアサーション・テンプレートは、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。このテンプレートは、SOAPヘッダーからKerberosトークンを抽出し、ユーザーを認証します。コンテナには、Oracle Platform Security Servicesを介して構成されたKerberosインフラストラクチャが含まれている必要があります。
設定
wss11_keberos_token_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-22を参照してください。
構成
表C-24は、wss11_kerberos_token_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-24 wss11_kerberos_token_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
表C-25に、メッセージ保護のみを実行するアサーション・テンプレートをまとめ、トークンがトランスポート・レイヤーまたはSOAPヘッダーに組み込まれるかどうかを示します。
表C-25 メッセージ保護のみのアサーション・テンプレート
| クライアント・テンプレート | サービス・テンプレート | 認証(トランスポート) | 認証(SOAP) | メッセージ保護(トランスポート) | メッセージ保護(SOAP) |
|---|---|---|---|---|---|
|
oracle/wss10_message_protection_client_template |
oracle/wss10_message_protection_service_template |
いいえ |
いいえ |
いいえ |
はい |
|
oracle/wss11_message_protection_client_template |
oracle/wss11_message_protection_service_template |
いいえ |
いいえ |
いいえ |
はい |
wss10_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
設定
表C-26に、wss10_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-26 wss10_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
X509トークン |
||
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者署名鍵参照メカニズム |
受信の署名に使用できるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者暗号化キー参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
メッセージ・セキュリティ |
||
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
署名の暗号化 |
署名を暗号化するかどうかを指定するフラグ。 |
Disabled |
|
「リクエスト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
構成
表C-27は、wss10_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-27 wss10_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。実行時セキュリティは、この別名を使用して構成済のキーストアからピア証明書を抽出し、ピアへのメッセージを暗号化します。 デフォルト設定:
|
|
role |
SOAPロール。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
ignore.timestamp.in.response |
サービスからレスポンスを受信したときにSOAPセキュリティ・ヘッダー内のタイムスタンプを無視するために、クライアントが使用するプロパティ。デフォルト動作では、タイムスタンプは無視されません(このプロパティのデフォルト値は タイムスタンプは、リプレイ攻撃を防止するために必要です。そのため、相互運用性の問題を解決する場合を除いて、通常は、このプロパティを 注意: このプロパティはFusion Middleware Controlには表示されません。プロパティの追加の詳細は、「ユーザー定義のクライアント側またはサーバー側のオーバーライド・プロパティの構成」を参照してください。 |
wss10_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
設定
wss10_message_protection_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-26を参照してください。
構成
表C-28は、wss10_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-28 wss10_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
wss11_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
設定
表C-29に、wss11_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-29 wss11_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
X509トークン |
||
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は次のとおりです。
|
thumbprint |
|
メッセージ・セキュリティ |
||
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
署名の暗号化 |
署名を暗号化するかどうかを指定するフラグ。 |
Disabled |
|
シグネチャの確認 |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
Enabled |
|
導出キー |
導出キーを使用するどうかを指定するフラグ。 |
Disabled |
|
「リクエスト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
構成
表C-30は、wss11_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-30 wss11_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。実行時セキュリティは、この別名を使用して構成済のキーストアからピア証明書を抽出し、ピアへのメッセージを暗号化します。 デフォルト設定:
|
|
role |
SOAPロール。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
ignore.timestamp.in.response |
サービスからレスポンスを受信したときにSOAPセキュリティ・ヘッダー内のタイムスタンプを無視するために、クライアントが使用するプロパティ。デフォルト動作では、タイムスタンプは無視されません(このプロパティのデフォルト値は タイムスタンプは、リプレイ攻撃を防止するために必要です。そのため、相互運用性の問題を解決する場合を除いて、通常は、このプロパティを 注意: このプロパティはFusion Middleware Controlには表示されません。プロパティの追加の詳細は、「ユーザー定義のクライアント側またはサーバー側のオーバーライド・プロパティの構成」を参照してください。 |
wss11_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
設定
wss11_message_protection_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-29を参照してください。
構成
表C-31は、wss11_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-31 wss11_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
表C-32に、メッセージ保護および認証の両方を実行するアサーション・テンプレートをまとめ、トークンがトランスポート・レイヤーまたはSOAPヘッダーに組み込まれるかどうかを示します。
表C-32 メッセージ保護および認証のアサーション・テンプレート
wss_http_token_over_ssl_client_templateアサーション・テンプレートは、アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を含め、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーを認証します。
設定
表C-33に、wss_http_token_over_ssl_client_templateアサーション・テンプレートの設定をリストします。
表C-33 wss_http_token_over_ssl_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
認証ヘッダー - メカニズム |
認証のメカニズム。 有効な値は次のとおりです。
|
basic |
|
認証ヘッダー - ヘッダー名 |
認証ヘッダーの名前。 |
なし |
|
トランスポート・セキュリティ |
SSLを有効にするかどうかを指定するフラグ。 |
Enabled |
|
トランスポート・セキュリティ - 相互認証が必要 |
双方向認証が必要かどうかを指定するフラグ。 有効な値は次のとおりです。
|
Disabled |
|
トランスポート・セキュリティ - タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Disabled |
構成
表C-34は、wss_http_token_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-34 wss_http_token_over_ssl_client_templateの構成
| 名前 | 説明 |
|---|---|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
role |
SOAPロール。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
wss_http_token_over_ssl_service_templateアサーション・テンプレートでは、HTTPヘッダーの資格証明を抽出し、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーを認証します。
設定
wss_http_token_over_ssl_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-33を参照してください。
構成
表C-35は、wss_http_token_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-35 wss_http_token_over_ssl_service_templateの構成
| 名前 | 説明 |
|---|---|
|
realm |
HTTPレルム。 デフォルト設定:
|
|
role |
SOAPロール。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
wss_saml_token_bearer_clientアサーション・テンプレートは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。確認方法がBearerのSAMLトークンが自動的に作成されます。
設定
表C-36は、wss_saml_token_bearer_client_templateアサーション・テンプレートの設定を示しています。
表C-36 oracle/wss_saml_token_bearer_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は1.1のみです。 |
1.1 |
|
確認タイプ |
確認タイプ。有効な値はbearerのみです。 |
bearer |
|
署名済 |
SAMLトークンを署名するかどうかを指定するフラグ。 |
False |
|
暗号化済 |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
名前識別子フォーマット |
名前識別子で使用するフォーマットのタイプを指定します。 「名前識別子フォーマット」は、subject.precedenceがfalseに設定されている場合のみ適用されます。subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティまたはusernameプロパティ(「SAMLアサーションのユーザー名の構成」を参照)から取得されます。ユーザー名のフォーマットは、「名前識別子フォーマット」に設定されたフォーマットと同じである必要があります。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトから取得されます。この場合、「名前識別子フォーマット」は常に「未指定」であり、「名前識別子フォーマット」を設定してこれを変更することはできません。 次のいずれかの値を指定します。
|
unspecified |
構成
wss_saml_token_bearer_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-37 wss_saml_token_bearer_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2と指定します。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。Oracle WSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をSAMLアサーションに含めます。 サブジェクトが有効であり、 デフォルト設定:
クライアント・ポリシーは、
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合、検索する追加のアイデンティティ・ストアを指定できます。詳細は、「アサーションへのユーザー属性の組込み」を参照してください。 |
|
user.roles.include |
ユーザー・ロールの組込み。 デフォルト設定:
|
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトからのみ取得されます。同様に、subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティからのみ取得されます。 デフォルト設定:
|
|
saml.audience.uri |
リライイング・パーティをカンマ区切りのURIで表します。このフィールドでは次のワイルドカードを使用できます。
デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
|
user.tenant.name |
Oracle Cloud用に予約済。 |
wss_saml_token_bearer_service_templateアサーション・テンプレートは、WS-Security SOAPヘッダー内の確認方法がBearerのSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
設定
表C-38は、wss_saml_token_bearer_service_templateアサーション・テンプレートの設定を示しています。
表C-38 wss_saml_token_bearer_service_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は1.1のみです。 |
1.1 |
|
確認タイプ |
確認タイプ。次の値のみ有効です。
|
sender-vouches |
|
署名済 |
SAMLトークンを署名するかどうかを指定するフラグ。このポリシーの場合、有効な値はTrueのみです。 |
True |
|
暗号化済 |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
構成
表C-39は、wss_saml_token_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-39 wss_saml_token_bearer_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
saml.trusted.issuers |
SAMLトークンの信頼できる発行者のカンマ区切りのリスト。信頼できる発行者をドメイン・レベルでオーバーライドするアプリケーション用です。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
|
user.tenant.name |
Oracle Cloud用に予約済。 |
wss_saml_token_bearer_over_ssl_client_templateアサーション・テンプレートは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。確認方法がBearerのSAMLトークンが自動的に作成されます。
設定
表C-40に、wss_saml_token_bearer_over_ssl_client_templateアサーション・テンプレートの設定をリストします。
表C-40 wss_saml_token_bearer_over_ssl_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は1.1のみです。 |
1.1 |
|
確認タイプ |
確認タイプ。有効な値はbearerのみです。 |
bearer |
|
署名済 |
SAMLトークンを署名するかどうかを指定するフラグ。 |
False |
|
暗号化済 |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
名前識別子フォーマット |
名前識別子で使用するフォーマットのタイプを指定します。 「名前識別子フォーマット」は、subject.precedenceがfalseに設定されている場合のみ適用されます。subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティまたはusernameプロパティ(「SAMLアサーションのユーザー名の構成」を参照)から取得されます。ユーザー名のフォーマットは、「名前識別子フォーマット」に設定されたフォーマットと同じである必要があります。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトから取得されます。この場合、「名前識別子フォーマット」は常に「未指定」であり、「名前識別子フォーマット」を設定してこれを変更することはできません。 次のいずれかの値を指定します。
|
unspecified |
|
トランスポート・セキュリティ |
SSLを有効にするかどうかを指定するフラグ。 |
Enabled |
|
トランスポート・セキュリティ - 相互認証が必要 |
双方向認証が必要かどうかを指定するフラグ。 有効な値は次のとおりです。
|
Disabled |
|
トランスポート・セキュリティ - タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Disabled |
構成
表C-41は、wss_saml_token_bearer_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-41 wss_saml_token_bearer_over_ssl_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2と指定します。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。Oracle WSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をSAMLアサーションに含めます。 サブジェクトが有効であり、 デフォルト設定:
クライアント・ポリシーは、
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合、検索する追加のアイデンティティ・ストアを指定できます。詳細は、「アサーションへのユーザー属性の組込み」を参照してください。 |
|
user.roles.include |
ユーザー・ロールの組込み。 デフォルト設定:
|
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトからのみ取得されます。同様に、subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティからのみ取得されます。 デフォルト設定:
|
|
saml.audience.uri |
リライイング・パーティをカンマ区切りのURIで表します。このフィールドでは次のワイルドカードを使用できます。
デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
|
user.tenant.name |
Oracle Cloud用に予約済。 |
wss_saml_token_bearer_over_ssl_service_templateアサーション・テンプレートは、WS-Security SOAPヘッダー内の確認方法がBearerのSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
設定
wss_saml_token_bearer_over_ssl_service_templateアサーション・テンプレートの設定は、「名前識別子フォーマット」がないことを除けば、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-40を参照してください。
構成
表C-42は、wss_saml_token_bearer_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-42 wss_saml_token_bearer_over_ssl_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
saml.trusted.issuers |
SAMLトークンの信頼できる発行者のカンマ区切りのリスト。信頼できる発行者をドメイン・レベルでオーバーライドするアプリケーション用です。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
wss_saml20_token_bearer_over_ssl_client_templateアサーション・テンプレートは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。確認方法がBearerのSAMLトークンが自動的に作成されます。
設定
表C-43は、wss_saml20_token_bearer_over_ssl_client_templateアサーション・テンプレートの設定を示しています。
表C-43 wss_saml20_token_bearer_over_ssl_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は2.0のみです。 |
2.0 |
|
確認タイプ |
確認タイプ。有効な値はbearerのみです。 |
bearer |
|
署名済 |
SAMLトークンを署名するかどうかを指定するフラグ。 |
False |
|
暗号化済 |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
名前識別子フォーマット |
名前識別子で使用するフォーマットのタイプを指定します。 「名前識別子フォーマット」は、subject.precedenceがfalseに設定されている場合のみ適用されます。subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティまたはusernameプロパティ(「SAMLアサーションのユーザー名の構成」を参照)から取得されます。ユーザー名のフォーマットは、「名前識別子フォーマット」に設定されたフォーマットと同じである必要があります。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトから取得されます。この場合、「名前識別子フォーマット」は常に「未指定」であり、「名前識別子フォーマット」を設定してこれを変更することはできません。 次のいずれかの値を指定します。
|
unspecified |
|
トランスポート・セキュリティ |
SSLを有効にするかどうかを指定するフラグ。 |
Enabled |
|
トランスポート・セキュリティ - 相互認証が必要 |
双方向認証が必要かどうかを指定するフラグ。 有効な値は次のとおりです。
|
Disabled |
|
トランスポート・セキュリティ - タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Disabled |
構成
表C-44は、wss_saml20_token_bearer_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-44 wss_saml20_token_bearer_over_ssl_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2と指定します。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。Oracle WSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をSAMLアサーションに含めます。 サブジェクトが有効であり、 デフォルト設定:
クライアント・ポリシーは、
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合、検索する追加のアイデンティティ・ストアを指定できます。詳細は、「アサーションへのユーザー属性の組込み」を参照してください。 |
|
user.roles.include |
ユーザー・ロールの組込み。 デフォルト設定:
|
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトからのみ取得されます。同様に、subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティからのみ取得されます。 デフォルト設定:
|
|
saml.audience.uri |
リライイング・パーティをカンマ区切りのURIで表します。このフィールドでは次のワイルドカードを使用できます。
デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
wss_saml20_token_bearer_over_ssl_service_templateアサーション・テンプレートは、WS-Security SOAPヘッダー内の確認方法がBearerのSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
設定
wss_saml20_token_bearer_over_ssl_service_templateアサーション・テンプレートの設定は、「名前識別子フォーマット」がないことを除けば、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-43を参照してください。
構成
表C-45は、wss_saml20_token_bearer_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-45 wss_saml20_token_bearer_over_ssl_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
saml.trusted.issuers |
SAMLトークンの信頼できる発行者のカンマ区切りのリスト。信頼できる発行者をドメイン・レベルでオーバーライドするアプリケーション用です。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
wss_saml_token_over_ssl_client_templateアサーション・テンプレートは、sender-vouches確認タイプを使用して、WS-Security SOAPヘッダーのSAMLトークンに含まれる資格証明の認証を可能にします。
設定
表C-46に、wss_saml_token_over_ssl_client_templateアサーション・テンプレートの設定をリストします。
表C-46 wss_saml_token_over_ssl_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は1.1のみです。 |
1.1 |
|
確認タイプ |
確認タイプ。次の値のみ有効です。
|
sender-vouches |
|
署名済 |
SAMLトークンを署名するかどうかを指定するフラグ。このポリシーの場合、有効な値はTrueのみです。 |
True |
|
暗号化済 |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
名前識別子フォーマット |
名前識別子で使用するフォーマットのタイプを指定します。 「名前識別子フォーマット」は、subject.precedenceがfalseに設定されている場合のみ適用されます。subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティまたはusernameプロパティ(「SAMLアサーションのユーザー名の構成」を参照)から取得されます。ユーザー名のフォーマットは、「名前識別子フォーマット」に設定されたフォーマットと同じである必要があります。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトから取得されます。この場合、「名前識別子フォーマット」は常に「未指定」であり、「名前識別子フォーマット」を設定してこれを変更することはできません。 次のいずれかの値を指定します。
|
unspecified |
|
トランスポート・セキュリティ |
SSLを有効にするかどうかを指定するフラグ。 |
Enabled |
|
トランスポート・セキュリティ - 相互認証が必要 |
双方向認証が必要かどうかを指定するフラグ。 有効な値は次のとおりです。
|
Enabled |
|
トランスポート・セキュリティ - タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Disabled |
構成
表C-47は、wss_saml_token_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-47 wss_saml_token_over_ssl_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2と指定します。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。Oracle WSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をSAMLアサーションに含めます。 サブジェクトが有効であり、 デフォルト設定:
クライアント・ポリシーは、
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合、検索する追加のアイデンティティ・ストアを指定できます。詳細は、「アサーションへのユーザー属性の組込み」を参照してください。 |
|
user.roles.include |
ユーザー・ロールの組込み。 デフォルト設定:
|
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトからのみ取得されます。同様に、subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティからのみ取得されます。 デフォルト設定:
|
|
saml.audience.uri |
リライイング・パーティをカンマ区切りのURIで表します。このフィールドでは次のワイルドカードを使用できます。
デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
|
user.tenant.name |
Oracle Cloud用に予約済。 |
wss_saml_token_over_ssl_service_templateは、sender-vouchesタイプを使用して、WS-Security SOAPヘッダーのSAMLトークンに含まれる資格証明の認証を実行します。
設定
wss_saml_token_over_ssl_service_templateアサーション・テンプレートの設定は、「名前識別子フォーマット」がないことを除けば、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-46を参照してください。
構成
表C-48は、wss_saml_token_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-48 wss_saml_token_over_ssl_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
saml.trusted.issuers |
SAMLトークンの信頼できる発行者のカンマ区切りのリスト。信頼できる発行者をドメイン・レベルでオーバーライドするアプリケーション用です。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
wss_saml20_token_over_ssl_client_templateアサーション・テンプレートは、sender-vouches確認タイプを使用して、WS-Security SOAPヘッダーのSAMLトークンに含まれる資格証明の認証を可能にします。
設定
表C-49は、wss_saml20_token_over_ssl_client_templateアサーション・テンプレートの設定を示しています。
表C-49 wss_saml20_token_over_ssl_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
バージョン |
SAMLバージョン。有効な値は2.0のみです。 |
2.0 |
|
確認タイプ |
確認タイプ。次の値のみ有効です。
|
sender-vouches |
|
署名済 |
SAMLトークンを署名するかどうかを指定するフラグ。このポリシーの場合、有効な値はTrueのみです。 |
True |
|
暗号化済 |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
名前識別子フォーマット |
名前識別子で使用するフォーマットのタイプを指定します。 「名前識別子フォーマット」は、subject.precedenceがfalseに設定されている場合のみ適用されます。subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティまたはusernameプロパティ(「SAMLアサーションのユーザー名の構成」を参照)から取得されます。ユーザー名のフォーマットは、「名前識別子フォーマット」に設定されたフォーマットと同じである必要があります。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトから取得されます。この場合、「名前識別子フォーマット」は常に「未指定」であり、「名前識別子フォーマット」を設定してこれを変更することはできません。 次のいずれかの値を指定します。
|
unspecified |
|
トランスポート・セキュリティ |
SSLを有効にするかどうかを指定するフラグ。 |
Enabled |
|
トランスポート・セキュリティ - 相互認証が必要 |
双方向認証が必要かどうかを指定するフラグ。 有効な値は次のとおりです。
|
Enabled |
|
トランスポート・セキュリティ - タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Disabled |
構成
表C-50は、wss_saml20_token_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-50 wss_saml20_token_over_ssl_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2と指定します。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。Oracle WSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をSAMLアサーションに含めます。 サブジェクトが有効であり、 デフォルト設定:
クライアント・ポリシーは、
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合、検索する追加のアイデンティティ・ストアを指定できます。詳細は、「アサーションへのユーザー属性の組込み」を参照してください。 |
|
user.roles.include |
ユーザー・ロールの組込み。 デフォルト設定:
|
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトからのみ取得されます。同様に、subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティからのみ取得されます。 デフォルト設定:
|
|
saml.audience.uri |
リライイング・パーティをカンマ区切りのURIで表します。このフィールドでは次のワイルドカードを使用できます。
デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
wss_saml20_token_over_ssl_service_templateは、sender-vouchesタイプを使用して、WS-Security SOAPヘッダーのSAMLトークンに含まれる資格証明の認証を実行します。
設定
wss_saml20_token_over_ssl_service_templateアサーション・テンプレートの設定は、「名前識別子フォーマット」がないことを除けば、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-49を参照してください。
構成
表C-51は、wss_saml20_token_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-51 wss_saml20_token_over_ssl_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
saml.trusted.issuers |
SAMLトークンの信頼できる発行者のカンマ区切りのリスト。信頼できる発行者をドメイン・レベルでオーバーライドするアプリケーション用です。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
wss_username_token_over_ssl_client_templateアサーション・テンプレートは、SOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を含めます。アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
|
注意: このリリースでは、ダイジェスト・パスワードはサポートされていません。 |
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。
設定
表C-52に、wss_username_token_over_ssl_client_templateアサーション・テンプレートの設定をリストします。
表C-52 wss_username_token_over_ssl_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
パスワード・タイプ |
必要なパスワードのタイプ。 有効な値は次のとおりです。
注意: 保護されていないチャネルでトークンの伝播が発生する場合、プレーン・テキスト・タイプはお薦めできません。ただし、クライアントとサーバー間のポイント・ツー・ポイント接続を保護するためにSSLを転送チャネルとして使用している場合は、チャネルでパスワードが保護されるため、プレーン・テキストタイプを使用できます。 |
plaintext |
|
必要な作成時間 |
ユーザー名トークンの作成にタイム・スタンプが必要かどうかを指定するフラグ。 注意:
|
False |
|
必要なNonce |
リプレイ攻撃を防止するためユーザー名にNonceを含める必要があるかどうかを指定するフラグ。 注意:
|
False |
|
トランスポート・セキュリティ |
SSLを有効にするかどうかを指定するフラグ。 |
Enabled |
|
トランスポート・セキュリティ - 相互認証が必要 |
双方向認証が必要かどうかを指定するフラグ。 有効な値は次のとおりです。
|
Disabled |
|
トランスポート・セキュリティ - タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Disabled |
構成
表C-53は、wss_username_token_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-53 wss_username_token_over_ssl_client_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Services(OPSS)アイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
user.tenant.name |
Oracle Cloud用に予約済。 |
wss_username_token_over_ssl_service_templateアサーション・テンプレートは、UsernameToken WS-Security SOAPヘッダーの資格証明を使用して、Oracle Platform Security Servicesの構成済のアイデンティティ・ストアに対してユーザーを認証します。アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
|
注意: このリリースでは、ダイジェスト・パスワードはサポートされていません。 |
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。
設定
wss_username_token_over_ssl_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-52を参照してください。
構成
表C-54は、wss_username_token_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-54 wss_username_token_over_ssl_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
wss10_saml_hok_token_with_message_protection_client_templateアサーション・テンプレートは、アウトバウンドSOAPメッセージに対してWS-Security 1.0標準に従ったメッセージ保護(整合性と機密保護)およびSAML Holder of Keyベースの認証を行います。
設定
表C-55は、wss10_saml_hok_token_with_message_protection_client_templateアサーション・テンプレートの設定を示しています。
表C-55 wss10_saml_hok_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
SAMLトークン・タイプ |
||
|
バージョン |
SAMLバージョン。有効な値は1.1のみです。 |
1.1 |
|
確認タイプ |
確認タイプ。有効な値はholder-of-keyのみです。 |
holder-of-key |
|
署名済 |
SAMLトークンを署名するかどうかを指定するフラグ。有効な値はTrueのみです。 |
True |
|
暗号化済 |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
名前識別子フォーマット |
「名前識別子フォーマット」は、subject.precedenceがfalseに設定されている場合のみ適用されます。subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティまたはusernameプロパティ(「SAMLアサーションのユーザー名の構成」を参照)から取得されます。ユーザー名のフォーマットは、「名前識別子フォーマット」に設定されたフォーマットと同じである必要があります。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトから取得されます。この場合、「名前識別子フォーマット」は常に「未指定」であり、「名前識別子フォーマット」を設定してこれを変更することはできません。 名前識別子で使用するフォーマットのタイプを指定します。 次のいずれかの値を指定します。
|
unspecified |
|
X509トークン |
||
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
ski |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は次のとおりです。
|
direct |
|
受信者署名鍵参照メカニズム |
受信の署名に使用できるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者暗号化キー参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
メッセージ・セキュリティ |
||
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
署名の暗号化 |
署名を暗号化するかどうかを指定するフラグ。 |
Disabled |
|
「リクエスト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
構成
表C-56は、wss10_saml_hok_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-56 wss10_saml_hok_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2と指定します。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。Oracle WSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をSAMLアサーションに含めます。 サブジェクトが有効であり、 デフォルト設定:
クライアント・ポリシーは、
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合、検索する追加のアイデンティティ・ストアを指定できます。詳細は、「アサーションへのユーザー属性の組込み」を参照してください。 |
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。実行時セキュリティは、この別名を使用して構成済のキーストアからピア証明書を抽出し、ピアへのメッセージを暗号化します。 デフォルト設定:
|
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
user.roles.include |
ユーザー・ロールの組込み。 デフォルト設定:
|
|
saml.assertion.filename |
SAMLトークン・ファイルの名前。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
ignore.timestamp.in.response |
サービスからレスポンスを受信したときにSOAPセキュリティ・ヘッダー内のタイムスタンプを無視するために、クライアントが使用するプロパティ。デフォルト動作では、タイムスタンプは無視されません(このプロパティのデフォルト値は タイムスタンプは、リプレイ攻撃を防止するために必要です。そのため、相互運用性の問題を解決する場合を除いて、通常は、このプロパティを 注意: このプロパティはFusion Middleware Controlには表示されません。プロパティの追加の詳細は、「ユーザー定義のクライアント側またはサーバー側のオーバーライド・プロパティの構成」を参照してください。 |
wss10_saml_hok_token_with_message_protection_service_templateアサーション・テンプレートは、インバウンドSOAPリクエストに対してWS-Security 1.0標準に従ったメッセージ保護およびSAML Holder of Keyベースの認証を行います。
設定
wss10_saml_hok_token_with_message_protection_service_templateの設定は、「名前識別子フォーマット」がないことを除けば、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-55を参照してください。
構成
表C-57は、wss10_saml_hok_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-57 wss10_saml_hok_token_with_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
saml.trusted.issuers |
SAMLトークンの信頼できる発行者のカンマ区切りのリスト。信頼できる発行者をドメイン・レベルでオーバーライドするアプリケーション用です。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
wss10_saml_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、アウトバウンドSOAPメッセージのメッセージ・レベルの保護と、SAMLベースの認証を行います。
Webサービス・コンシューマにはSOAPヘッダーのSAMLトークンが含まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
設定
表C-58に、wss10_saml_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-58 wss10_saml_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
SAMLトークン・タイプ |
||
|
バージョン |
SAMLバージョン。有効な値は1.1のみです。 |
1.1 |
|
確認タイプ |
確認タイプ。有効な値はsender-vouchesのみです。 |
sender-vouches |
|
署名済 |
SAMLトークンを署名するかどうかを指定するフラグ。このポリシーの場合、有効な値はTrueのみです。 |
True |
|
暗号化済 |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
名前識別子フォーマット |
名前識別子で使用するフォーマットのタイプを指定します。 「名前識別子フォーマット」は、subject.precedenceがfalseに設定されている場合のみ適用されます。subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティまたはusernameプロパティ(「SAMLアサーションのユーザー名の構成」を参照)から取得されます。ユーザー名のフォーマットは、「名前識別子フォーマット」に設定されたフォーマットと同じである必要があります。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトから取得されます。この場合、「名前識別子フォーマット」は常に「未指定」であり、「名前識別子フォーマット」を設定してこれを変更することはできません。 次のいずれかの値を指定します。
|
unspecified |
|
X509トークン |
||
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者署名鍵参照メカニズム |
受信の署名に使用できるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者暗号化キー参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
メッセージ・セキュリティ |
||
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
署名の暗号化 |
署名を暗号化するかどうかを指定するフラグ。 |
Disabled |
|
「リクエスト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
構成
表C-59は、wss10_saml_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-59 wss10_saml_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2と指定します。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。Oracle WSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をSAMLアサーションに含めます。 サブジェクトが有効であり、 デフォルト設定:
クライアント・ポリシーは、
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合、検索する追加のアイデンティティ・ストアを指定できます。詳細は、「アサーションへのユーザー属性の組込み」を参照してください。 |
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。実行時セキュリティは、この別名を使用して構成済のキーストアからピア証明書を抽出し、ピアへのメッセージを暗号化します。 デフォルト設定:
|
|
user.roles.include |
ユーザー・ロールの組込み。 デフォルト設定:
|
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトからのみ取得されます。同様に、subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティからのみ取得されます。 デフォルト設定:
|
|
saml.audience.uri |
リライイング・パーティをカンマ区切りのURIで表します。このフィールドでは次のワイルドカードを使用できます。
デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
ignore.timestamp.in.response |
サービスからレスポンスを受信したときにSOAPセキュリティ・ヘッダー内のタイムスタンプを無視するために、クライアントが使用するプロパティ。デフォルト動作では、タイムスタンプは無視されません(このプロパティのデフォルト値は タイムスタンプは、リプレイ攻撃を防止するために必要です。そのため、相互運用性の問題を解決する場合を除いて、通常は、このプロパティを 注意: このプロパティはFusion Middleware Controlには表示されません。プロパティの追加の詳細は、「ユーザー定義のクライアント側またはサーバー側のオーバーライド・プロパティの構成」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
wss10_saml_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。
Webサービス・コンシューマにはSOAPヘッダーのSAMLトークンが含まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
設定
wss10_saml_token_with_message_protection_service_templateの設定は、「名前識別子フォーマット」がないことを除けば、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-58を参照してください。
構成
表C-60は、wss10_saml_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-60 wss10_saml_token_with_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
saml.trusted.issuers |
SAMLトークンの信頼できる発行者のカンマ区切りのリスト。信頼できる発行者をドメイン・レベルでオーバーライドするアプリケーション用です。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
wss10_saml20_token_with_message_protection_client_templateアサーション・テンプレートは、アウトバウンドSOAPメッセージに対してWS-Security 1.0標準に従ったメッセージ・レベルの保護およびSAMLベースの認証を行います。
Webサービス・コンシューマにはSOAPヘッダーのSAMLトークンが含まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
設定
表C-61は、wss10_saml20_token_with_message_protection_client_templateアサーション・テンプレートの設定を示しています。
表C-61 wss10_saml20_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
SAMLトークン・タイプ |
||
|
バージョン |
SAMLバージョン。有効な値は2.0のみです。 |
2.0 |
|
確認タイプ |
確認タイプ。有効な値はsender-vouchesのみです。 |
sender-vouches |
|
署名済 |
SAMLトークンを署名するかどうかを指定するフラグ。このポリシーの場合、有効な値はTrueのみです。 |
True |
|
暗号化済 |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
名前識別子フォーマット |
名前識別子で使用するフォーマットのタイプを指定します。 「名前識別子フォーマット」は、subject.precedenceがfalseに設定されている場合のみ適用されます。subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティまたはusernameプロパティ(「SAMLアサーションのユーザー名の構成」を参照)から取得されます。ユーザー名のフォーマットは、「名前識別子フォーマット」に設定されたフォーマットと同じである必要があります。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトから取得されます。この場合、「名前識別子フォーマット」は常に「未指定」であり、「名前識別子フォーマット」を設定してこれを変更することはできません。 次のいずれかの値を指定します。
|
unspecified |
|
X509トークン |
||
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者署名鍵参照メカニズム |
受信の署名に使用できるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者暗号化キー参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
メッセージ・セキュリティ |
||
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
署名の暗号化 |
署名を暗号化するかどうかを指定するフラグ。 |
Disabled |
|
「リクエスト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
構成
表C-62は、wss10_saml20_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-62 wss10_saml20_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2と指定します。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。Oracle WSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をSAMLアサーションに含めます。 サブジェクトが有効であり、 デフォルト設定:
クライアント・ポリシーは、
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合、検索する追加のアイデンティティ・ストアを指定できます。詳細は、「アサーションへのユーザー属性の組込み」を参照してください。 |
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。実行時セキュリティは、この別名を使用して構成済のキーストアからピア証明書を抽出し、ピアへのメッセージを暗号化します。 デフォルト設定:
|
|
user.roles.include |
ユーザー・ロールの組込み。 デフォルト設定:
|
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトからのみ取得されます。同様に、subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティからのみ取得されます。 デフォルト設定:
|
|
attesting.mapping.attribute |
アテスト・エンティティの表現で使用されるマッピング属性。現在サポートされているのはDNのみです。この属性は、送信者保証およびメッセージ保護ユースケースにのみ適用されます。SAML over SSLポリシーには適用されません。 デフォルト設定:
|
|
saml.audience.uri |
リライイング・パーティをカンマ区切りのURIで表します。このフィールドでは次のワイルドカードを使用できます。
デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
ignore.timestamp.in.response |
サービスからレスポンスを受信したときにSOAPセキュリティ・ヘッダー内のタイムスタンプを無視するために、クライアントが使用するプロパティ。デフォルト動作では、タイムスタンプは無視されません(このプロパティのデフォルト値は タイムスタンプは、リプレイ攻撃を防止するために必要です。そのため、相互運用性の問題を解決する場合を除いて、通常は、このプロパティを 注意: このプロパティはFusion Middleware Controlには表示されません。プロパティの追加の詳細は、「ユーザー定義のクライアント側またはサーバー側のオーバーライド・プロパティの構成」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
wss10_saml20_token_with_message_protection_service_templateアサーション・テンプレートは、インバウンドSOAPリクエストに対してWS-Security 1.0標準に従ったメッセージ保護(整合性と機密保護)およびSAMLベースの認証を行います。
Webサービス・コンシューマにはSOAPヘッダーのSAMLトークンが含まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
設定
wss10_saml20_token_with_message_protection_service_templateの設定は、「名前識別子フォーマット」がないことを除けば、クライアント・バージョンのアサーション・テンプレートの設定と似ています。設定の詳細は、表C-61を参照してください。
構成
表C-63は、wss10_saml20_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-63 wss10_saml20_token_with_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
saml.trusted.issuers |
SAMLトークンの信頼できる発行者のカンマ区切りのリスト。信頼できる発行者をドメイン・レベルでオーバーライドするアプリケーション用です。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
wss10_username_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と認証を行います。資格証明は、アウトバウンドSOAPメッセージのWS-Security UsernameTokenヘッダーに含まれます。
アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
|
注意: このリリースでは、ダイジェスト・パスワードはサポートされていません。 |
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
設定
表C-64に、wss10_username_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-64 wss10_username_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
ユーザー名トークン |
||
|
パスワード・タイプ |
必要なパスワードのタイプ。 有効な値は次のとおりです。
|
plaintext |
|
必要な作成時間 |
ユーザー名トークンの作成にタイム・スタンプが必要かどうかを指定するフラグ。 注意:
|
False |
|
必要なNonce |
リプレイ攻撃を防止するためユーザー名にNonceを含める必要があるかどうかを指定するフラグ。 注意:
|
False |
|
署名済 |
ユーザー名を署名するかどうかを指定するフラグ。 |
True |
|
暗号化済 |
ユーザー名を暗号化するかどうかを指定するフラグ。 |
True |
|
X509トークン |
||
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者署名鍵参照メカニズム |
受信の署名に使用できるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者暗号化キー参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
メッセージ・セキュリティ |
||
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
署名の暗号化 |
署名を暗号化するかどうかを指定するフラグ。 |
Disabled |
|
「リクエスト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
構成
表C-65は、wss10_username_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-65 wss10_username_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
role |
SOAPロール。 デフォルト設定:
|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。実行時セキュリティは、この別名を使用して構成済のキーストアからピア証明書を抽出し、ピアへのメッセージを暗号化します。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
ignore.timestamp.in.response |
サービスからレスポンスを受信したときにSOAPセキュリティ・ヘッダー内のタイムスタンプを無視するために、クライアントが使用するプロパティ。デフォルト動作では、タイムスタンプは無視されません(このプロパティのデフォルト値は タイムスタンプは、リプレイ攻撃を防止するために必要です。そのため、相互運用性の問題を解決する場合を除いて、通常は、このプロパティを 注意: このプロパティはFusion Middleware Controlには表示されません。プロパティの追加の詳細は、「ユーザー定義のクライアント側またはサーバー側のオーバーライド・プロパティの構成」を参照してください。 |
wss10_username_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と認証を行います。
アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
|
注意: このリリースでは、ダイジェスト・パスワードはサポートされていません。 |
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
設定
wss10_username_token_with_message_protection_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-64を参照してください。
構成
表C-66は、wss10_username_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-66 wss10_username_token_with_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
wss10_x509_token_with_message_protection_client_templateアサーション・テンプレートは、アウトバウンドSOAPメッセージに対してWS-Security 1.0標準に従ったメッセージ保護(整合性と機密保護)および証明書資格証明の移入を行います。
設定
表C-67は、wss10_x509_token_with_message_protection_client_templateアサーション・テンプレートの設定を示しています。
表C-67 wss10_x509_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
X509トークン |
||
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者署名鍵参照メカニズム |
受信の署名に使用できるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
受信者暗号化キー参照メカニズム |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
メッセージ・セキュリティ |
||
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
署名の暗号化 |
署名を暗号化するかどうかを指定するフラグ。 |
Disabled |
|
「リクエスト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
構成
表C-68は、wss10_x509_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-68 wss10_x509_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。実行時セキュリティは、この別名を使用して構成済のキーストアからピア証明書を抽出し、ピアへのメッセージを暗号化します。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
ignore.timestamp.in.response |
サービスからレスポンスを受信したときにSOAPセキュリティ・ヘッダー内のタイムスタンプを無視するために、クライアントが使用するプロパティ。デフォルト動作では、タイムスタンプは無視されません(このプロパティのデフォルト値は タイムスタンプは、リプレイ攻撃を防止するために必要です。そのため、相互運用性の問題を解決する場合を除いて、通常は、このプロパティを 注意: このプロパティはFusion Middleware Controlには表示されません。プロパティの追加の詳細は、「ユーザー定義のクライアント側またはサーバー側のオーバーライド・プロパティの構成」を参照してください。 |
wss10_x509_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、証明書ベースの認証を行います。
設定
wss10_x509_token_with_message_protection_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-67を参照してください。
構成
表C-69は、wss10_x509_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-69 wss10_x509_token_with_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
wss11_kerberos_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security Kerberos Token Profile v1.1標準に従い、WS-SecurityヘッダーにKerberosトークンを含めます。
設定
表C-70に、wss11_kerberos_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-70 wss11_kerberos_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
Kerberosトークン・タイプ |
Kerberosトークンのタイプ。有効な値は、gss-apreq-v5(Kerberosバージョン5 GSS-API)のみです。 |
gss-apreq-v5 |
|
X509トークン |
||
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
direct |
|
メッセージ・セキュリティ |
||
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
TripleDes |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
署名の暗号化 |
署名を暗号化するかどうかを指定するフラグ。 |
Disabled |
|
シグネチャの確認 |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
Enabled |
|
「リクエスト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
構成
表C-71は、wss11_kerberos_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-71 wss11_kerberos_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
service.principal.name |
サービスを識別するKerberosプリンシパルの名前。 デフォルト設定:
|
|
keytab.location |
クライアントのキータブ・ファイルの場所。 デフォルト設定:
|
|
caller.principal.name |
デフォルト設定:
注意: |
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
ignore.timestamp.in.response |
サービスからレスポンスを受信したときにSOAPセキュリティ・ヘッダー内のタイムスタンプを無視するために、クライアントが使用するプロパティ。デフォルト動作では、タイムスタンプは無視されません(このプロパティのデフォルト値は タイムスタンプは、リプレイ攻撃を防止するために必要です。そのため、相互運用性の問題を解決する場合を除いて、通常は、このプロパティを 注意: このプロパティはFusion Middleware Controlには表示されません。プロパティの追加の詳細は、「ユーザー定義のクライアント側またはサーバー側のオーバーライド・プロパティの構成」を参照してください。 |
wss11_kerberos_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。このテンプレートは、SOAPヘッダーからKerberosトークンを抽出し、ユーザーを認証します。コンテナには、Oracle Platform Security Servicesを介して構成されたKerberosインフラストラクチャが含まれている必要があります。
設定
wss11_keberos_token_with_message_protection_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-70を参照してください。
構成
不要。
wss11_saml_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.1に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLトークンの移入を可能にします。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
設定
表C-72に、wss11_saml_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-72 wss11_saml_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
SAMLトークン・タイプ |
||
|
バージョン |
SAMLバージョン。有効な値は1.1のみです。 |
なし |
|
確認タイプ |
確認タイプ。有効な値はsender-vouchesです。 |
sender-vouches |
|
署名済 |
SAMLトークンを署名するかどうかを指定するフラグ。SAMLポリシーの場合、有効な値はTrueのみです。 |
True |
|
暗号化済 |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
名前識別子フォーマット |
名前識別子で使用するフォーマットのタイプを指定します。 「名前識別子フォーマット」は、subject.precedenceがfalseに設定されている場合のみ適用されます。subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティまたはusernameプロパティ(「SAMLアサーションのユーザー名の構成」を参照)から取得されます。ユーザー名のフォーマットは、「名前識別子フォーマット」に設定されたフォーマットと同じである必要があります。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトから取得されます。この場合、「名前識別子フォーマット」は常に「未指定」であり、「名前識別子フォーマット」を設定してこれを変更することはできません。 次のいずれかの値を指定します。
|
unspecified |
|
X509トークン |
||
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
thumbprint |
|
メッセージ・セキュリティ |
||
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
署名の暗号化 |
署名を暗号化するかどうかを指定するフラグ。 |
Disabled |
|
シグネチャの確認 |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
Enabled |
|
導出キー |
導出キーを使用するどうかを指定するフラグ。 |
Disabled |
|
「リクエスト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
構成
表C-73は、wss11_saml_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-73 wss11_saml_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2と指定します。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。Oracle WSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をSAMLアサーションに含めます。 サブジェクトが有効であり、 デフォルト設定:
クライアント・ポリシーは、
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合、検索する追加のアイデンティティ・ストアを指定できます。詳細は、「アサーションへのユーザー属性の組込み」を参照してください。 |
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
role |
SOAPロール。 デフォルト設定:
|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。実行時セキュリティは、この別名を使用して構成済のキーストアからピア証明書を抽出し、ピアへのメッセージを暗号化します。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトからのみ取得されます。同様に、subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティからのみ取得されます。 デフォルト設定:
|
|
saml.audience.uri |
リライイング・パーティをカンマ区切りのURIで表します。このフィールドでは次のワイルドカードを使用できます。
デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
ignore.timestamp.in.response |
サービスからレスポンスを受信したときにSOAPセキュリティ・ヘッダー内のタイムスタンプを無視するために、クライアントが使用するプロパティ。デフォルト動作では、タイムスタンプは無視されません(このプロパティのデフォルト値は タイムスタンプは、リプレイ攻撃を防止するために必要です。そのため、相互運用性の問題を解決する場合を除いて、通常は、このプロパティを 注意: このプロパティはFusion Middleware Controlには表示されません。プロパティの追加の詳細は、「ユーザー定義のクライアント側またはサーバー側のオーバーライド・プロパティの構成」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
|
user.tenant.name |
Oracle Cloud用に予約済。 |
wss11_saml_token_with_message_protection_service_templateアサーション・テンプレートは、インバウンドSOAPリクエストに対してWS-Security 1.1標準に従ったメッセージ・レベルの整合性の保護およびSAMLベースの認証を行います。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。
設定
wss11_saml_token_with_message_protection_service_templateの設定は、「名前識別子フォーマット」がないことを除けば、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-72を参照してください。
構成
表C-74は、wss11_saml_token__with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-74 wss11_saml_token_with_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
saml.trusted.issuers |
SAMLトークンの信頼できる発行者のカンマ区切りのリスト。信頼できる発行者をドメイン・レベルでオーバーライドするアプリケーション用です。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
wss11_saml20_token_with_message_protection_client_templateアサーション・テンプレートは、アウトバウンドSOAPメッセージに対してWS-Security 1.1に従ったメッセージ保護(整合性と機密保護)およびSAMLトークンの移入を行います。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
設定
表C-75は、wss11_saml20_token_with_message_protection_client_templateアサーション・テンプレートの設定を示しています。
表C-75 wss11_saml20_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
SAMLトークン・タイプ |
||
|
バージョン |
SAMLバージョン。有効な値は2.0のみです。 |
2.0 |
|
確認タイプ |
確認タイプ。有効な値はsender-vouchesです。 |
sender-vouches |
|
署名済 |
SAMLトークンを署名するかどうかを指定するフラグ。SAMLポリシーの場合、有効な値はTrueのみです。 |
True |
|
暗号化済 |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
名前識別子フォーマット |
名前識別子で使用するフォーマットのタイプを指定します。 「名前識別子フォーマット」は、subject.precedenceがfalseに設定されている場合のみ適用されます。subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティまたはusernameプロパティ(「SAMLアサーションのユーザー名の構成」を参照)から取得されます。ユーザー名のフォーマットは、「名前識別子フォーマット」に設定されたフォーマットと同じである必要があります。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトから取得されます。この場合、「名前識別子フォーマット」は常に「未指定」であり、「名前識別子フォーマット」を設定してこれを変更することはできません。 次のいずれかの値を指定します。
|
unspecified |
|
X509トークン |
||
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
thumbprint |
|
メッセージ・セキュリティ |
||
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
署名の暗号化 |
署名を暗号化するかどうかを指定するフラグ。 |
Disabled |
|
シグネチャの確認 |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
Enabled |
|
導出キー |
導出キーを使用するどうかを指定するフラグ。 |
Disabled |
|
「リクエスト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
構成
表C-76は、wss11_saml20_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-76 wss11_saml20_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
user.attributes |
SAMLトークンのプリンシパルに関連するユーザー属性。 含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2と指定します。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。Oracle WSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をSAMLアサーションに含めます。 サブジェクトが有効であり、 デフォルト設定:
クライアント・ポリシーは、
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合、検索する追加のアイデンティティ・ストアを指定できます。詳細は、「アサーションへのユーザー属性の組込み」を参照してください。 |
|
saml.issuer.name |
発行者URI。 デフォルト設定:
|
|
role |
SOAPロール。 デフォルト設定:
|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。実行時セキュリティは、この別名を使用して構成済のキーストアからピア証明書を抽出し、ピアへのメッセージを暗号化します。 デフォルト設定:
|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトからのみ取得されます。同様に、subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティからのみ取得されます。 デフォルト設定:
|
|
attesting.mapping.attribute |
アテスト・エンティティの表現で使用されるマッピング属性。現在サポートされているのはDNのみです。この属性は、送信者保証およびメッセージ保護ユースケースにのみ適用されます。SAML over SSLポリシーには適用されません。 デフォルト設定:
|
|
saml.audience.uri |
リライイング・パーティをカンマ区切りのURIで表します。このフィールドでは次のワイルドカードを使用できます。
デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
ignore.timestamp.in.response |
サービスからレスポンスを受信したときにSOAPセキュリティ・ヘッダー内のタイムスタンプを無視するために、クライアントが使用するプロパティ。デフォルト動作では、タイムスタンプは無視されません(このプロパティのデフォルト値は タイムスタンプは、リプレイ攻撃を防止するために必要です。そのため、相互運用性の問題を解決する場合を除いて、通常は、このプロパティを 注意: このプロパティはFusion Middleware Controlには表示されません。プロパティの追加の詳細は、「ユーザー定義のクライアント側またはサーバー側のオーバーライド・プロパティの構成」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
wss11_saml20_token_with_message_protection_service_templateアサーション・テンプレートは、インバウンドSOAPリクエストに対してWS-Security 1.1標準に従ったメッセージ・レベルの整合性の保護およびSAMLベースの認証を行います。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。
設定
wss11_saml_token_with_message_protection_service_templateの設定は、「名前識別子フォーマット」がないことを除けば、クライアント・バージョンのアサーション・テンプレートの設定と似ています。設定の詳細は、表C-74を参照してください。
構成
表C-77は、wss11_saml20_token__with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-77 wss11_saml20_token_with_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
saml.trusted.issuers |
SAMLトークンの信頼できる発行者のカンマ区切りのリスト。信頼できる発行者をドメイン・レベルでオーバーライドするアプリケーション用です。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。デフォルトはfalseです。 |
ws11_username_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security v1.1標準に従った認証およびメッセージ保護を行います。
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
設定
表C-78に、wss11_username_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-78 wss11_username_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
ユーザー名トークン |
||
|
パスワード・タイプ |
必要なパスワードのタイプ。 有効な値は次のとおりです。
|
plaintext |
|
必要な作成時間 |
ユーザー名トークンの作成にタイム・スタンプが必要かどうかを指定するフラグ。 注意:
|
False |
|
必要なNonce |
リプレイ攻撃を防止するためユーザー名にNonceを含める必要があるかどうかを指定するフラグ。 注意:
|
False |
|
署名済 |
ユーザー名を署名するかどうかを指定するフラグ。 |
True |
|
暗号化済 |
ユーザー名を暗号化するかどうかを指定するフラグ。 |
True |
|
X509トークン |
||
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。 有効な値は次のとおりです。
|
thumbprint |
|
メッセージ・セキュリティ |
||
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
署名の暗号化 |
署名を暗号化するかどうかを指定するフラグ。 |
Disabled |
|
シグネチャの確認 |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
Enabled |
|
導出キー |
導出キーを使用するどうかを指定するフラグ。 |
Disabled |
|
「リクエスト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
構成
表C-79は、wss11_username_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-79 wss11_username_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定:
|
|
role |
SOAPロール。 デフォルト設定:
|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。実行時セキュリティは、この別名を使用して構成済のキーストアからピア証明書を抽出し、ピアへのメッセージを暗号化します。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
ignore.timestamp.in.response |
サービスからレスポンスを受信したときにSOAPセキュリティ・ヘッダー内のタイムスタンプを無視するために、クライアントが使用するプロパティ。デフォルト動作では、タイムスタンプは無視されません(このプロパティのデフォルト値は タイムスタンプは、リプレイ攻撃を防止するために必要です。そのため、相互運用性の問題を解決する場合を除いて、通常は、このプロパティを 注意: このプロパティはFusion Middleware Controlには表示されません。プロパティの追加の詳細は、「ユーザー定義のクライアント側またはサーバー側のオーバーライド・プロパティの構成」を参照してください。 |
|
user.tenant.name |
Oracle Cloud用に予約済。 |
ws11_username_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security v1.1標準に従った認証およびメッセージ保護を行います。
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
設定
wss11_username_token_with_message_protection_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-78を参照してください。
構成
表C-80は、wss11_username_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-80 wss11_username_token_with_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
wss11_x509_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、証明書ベースの認証を行います。資格証明は、SOAPメッセージのWS-Securityバイナリ・セキュリティ・トークンに含まれます。]
設定
表C-81に、wss11_x509_token_with_message_protection_client_templateアサーション・テンプレートの設定をリストします。
表C-81 wss11_x509_token_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
X509トークン |
||
|
署名鍵参照メカニズム |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
direct |
|
暗号化キー参照メカニズム |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
thumbprint |
|
メッセージ・セキュリティ |
||
|
アルゴリズム・スイート |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
Enabled |
|
署名の暗号化 |
署名を暗号化するかどうかを指定するフラグ。 |
Disabled |
|
シグネチャの確認 |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
Enabled |
|
導出キー |
導出キーを使用するどうかを指定するフラグ。 |
Disabled |
|
「リクエスト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「レスポンス・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
|
「フォルト・メッセージ」設定 |
表C-104を参照してください。 |
N/A |
構成
表C-82は、wss11_x509_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-82 wss11_x509_token_with_message_protection_client_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。実行時セキュリティは、この別名を使用して構成済のキーストアからピア証明書を抽出し、ピアへのメッセージを暗号化します。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
|
ignore.timestamp.in.response |
サービスからレスポンスを受信したときにSOAPセキュリティ・ヘッダー内のタイムスタンプを無視するために、クライアントが使用するプロパティ。デフォルト動作では、タイムスタンプは無視されません(このプロパティのデフォルト値は タイムスタンプは、リプレイ攻撃を防止するために必要です。そのため、相互運用性の問題を解決する場合を除いて、通常は、このプロパティを 注意: このプロパティはFusion Middleware Controlには表示されません。プロパティの追加の詳細は、「ユーザー定義のクライアント側またはサーバー側のオーバーライド・プロパティの構成」を参照してください。 |
wss11_x509_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ・レベルの保護と、証明書ベースの認証を行います。証明書は、WS-Securityバイナリ・セキュリティ・トークン・ヘッダーから抽出され、証明書内の資格証明はOracle Platform Security Servicesアイデンティティ・ストアに対して検証されます。
設定
wss11_x509_token_with_message_protection_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表C-81を参照してください。
構成
表C-83は、wss11_x509_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-83 wss11_x509_token_with_message_protection_service_templateの構成
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
表C-84に、WS-Trustアサーション・テンプレートをまとめます。
このリリースでは、Fusion Middleware Controlを使用してアサーション・テンプレートを直接編集できますが、「設定」ページおよび「構成」ページは使用できません。
表C-84 WS-Trustアサーション・テンプレート
| 名前 | 説明 |
|---|---|
|
oracle/sts_trust_config_client_template |
トークン交換用のSTS呼出しに使用されるSTS構成情報アサーション・テンプレート。 |
|
oracle/sts_trust_config_service_template |
トークン交換用のSTS呼出しに使用されるSTS構成情報アサーション・テンプレート。 |
|
oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_template |
SSLメッセージ保護付き発行トークンSAML認証(Bearer確認方式)のSOAPバインディング・レベル・クライアント・アサーション・テンプレート。 |
|
oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_template |
SSLメッセージ保護付き発行トークンSAML認証(Bearer確認方式)のSOAPバインディング・レベル・サービス・アサーション・テンプレート。 |
|
oracle/wss11_sts_issued_saml_hok_with_message_protection_client_template |
WS-Security 1.1発行トークンSAML HOKトークン(証明書付き)クライアント・アサーション・テンプレート。Basic128を使用した認証およびメッセージ保護を提供します。 |
|
oracle/wss11_sts_issued_saml_hok_with_message_protection_service_template |
証明書付きWS-Security 1.1発行トークンSAML HOKサービス・アサーション・テンプレート。Basic128を使用した認証およびメッセージ保護を提供します。 |
|
oracle/wss11_sts_issued_saml_with_message_protection_client_template |
証明書付きWS-Security 1.1発行トークンSAML送信者保証。Basic128を使用した認証およびメッセージ保護を提供します。 |
oracle/sts_trust_config_client_templateは、トークン交換用のSTSを呼び出します。
設定
表C-85は、oracle/sts_trust_config_client_templateアサーション・テンプレートの設定を示しています。
表C-85 oracle/sts_trust_config_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
policy-reference-uri |
クライアントがSTSと通信する際に使用するクライアント・ポリシーURI。WSDLでの識別に従い、選択するポリシーはSTSの認証要件に応じて異なります。 |
oracle/wss10_username_token_with_message_protection_client_policy |
|
port-endpoint |
STS Webサービスのエンドポイント。 WSDL 2.0 STSの場合、 WSDL 1.1 STSの場合、 |
なし |
|
port-uri |
STSポートの実際のエンドポイントURI。たとえば、 |
なし |
|
sts-keystore-recipient-alias |
キーストアに追加したSTS証明書の別名。デフォルトの別名は |
|
|
wsdl-uri |
WSDLの実際のエンドポイントURI。 |
なし |
構成
表C-86は、oracle/sts_trust_config_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-86 oracle/sts_trust_config_client_templateのプロパティ
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
oracle/sts_trust_config_service_templateは、トークン交換用のSTSを呼び出します。
設定
表C-85は、oracle/sts_trust_config_service_templateアサーション・テンプレートの設定を示しています。
表C-87 oracle/sts_trust_config_service_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
port-uri |
STSポートの実際のエンドポイントURI。たとえば、 |
なし |
|
wsdl-uri |
WSDLの実際のエンドポイントURI。 |
なし |
構成
表C-86は、oracle/sts_trust_config_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-88 oracle/sts_trust_config_service_templateのプロパティ
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
このテンプレートは、信頼できるSTSが発行したSAML Bearerアサーションを挿入します。メッセージは、SSLを使用して保護されます。
設定
表C-89は、oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_templateアサーション・テンプレートの設定を示しています。
表C-89 oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
require-applies-to |
RSTのオプション要素。存在する場合、Oracle WSMによって、トークンがリクエストされているWebサービスのエンドポイント・アドレスが送信されます。デフォルト動作では、クライアントからSTSへのメッセージでappliesTo要素が常に送信されます。 |
True |
|
require-client-entropy |
Webサービスのセキュリティ・ポリシーによって対称証明鍵が求められる場合、要求者は証明鍵の計算に含めることができる鍵の内容の一部(エントロピ)を渡すことができます。Webサービス・ポリシーでは、クライアント・エントロピ、STSエントロピ、またはその両方が必要であるかどうかを示すことができます。 |
HOKのみに適用。 |
|
require-server-entropy |
Webサービスのセキュリティ・ポリシーによって対称証明鍵が求められる場合、要求者は証明鍵の計算に含めることができる鍵の内容の一部(エントロピ)を渡すことができます。Webサービス・ポリシーでは、クライアント・エントロピ、STSエントロピ、またはその両方が必要であるかどうかを示すことができます。 |
HOKのみに適用。 |
|
trust -version |
WS-Trustのバージョン。 |
1.3 |
|
require-external-reference |
トークンの外部参照が必要かどうかを指定します。 |
True |
|
require-internal-reference |
トークンの内部参照が必要かどうかを指定します。 |
True |
|
use-derived-keys |
導出キーが必要かどうかを指定します。 |
False |
|
token-type |
SAMLトークン・タイプ。有効な値は1.1のみです。 |
SAML11 |
|
key-type |
キー・タイプ。有効な値はbearerのみです。 |
bearer |
|
mutual-auth |
双方向認証が必要かどうかを指定するフラグ。 有効な値は次のとおりです。
|
False |
|
include-timestamp |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
True |
構成
表C-90は、oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-90 oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_templateのプロパティ
| 名前 | 説明 |
|---|---|
|
sts.auth.user.csf.key |
STSに対する認証用のユーザー名/パスワードを構成する場合に使用します。 クライアントのoracle/sts_trust_config_client_template内の デフォルト設定:
|
|
sts.auth.x509.csf.key |
STSに対する認証用のX509証明書を構成する場合に使用します。 クライアントのoracle/sts_trust_config_client_template内の デフォルト設定:
|
|
on.behalf.of |
オプションのプロパティ。リクエストが別のエンティティの代理かどうかを指定するには、このプロパティをオーバーライドします。このフラグのデフォルト値はfalseです。 trueに設定され、 それ以外の場合、サブジェクトがすでに確立されていれば、サブジェクトのユーザー名が
デフォルト設定:
|
|
sts.auth.on.behalf.of.csf.key |
オプションのプロパティ。代理エンティティの構成で使用します。存在する場合、サブジェクト(存在する場合)より優先されます。 デフォルト設定:
|
|
sts.auth.service.principal.name |
保護する必要があるWebサービスのプリンシパル名。 デフォルト設定:
|
|
sts.auth.keytab.location |
クライアントのキータブ・ファイルの場所。 デフォルト設定:
|
|
sts.keystore.recipient.alias |
キーストアに追加したSTS証明書の別名。デフォルトの別名はsts-csf-keyです。 デフォルト設定:
|
|
sts.auth.caller.principal.name |
デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
このテンプレートは、信頼できるSTSが発行したSAML Bearerアサーションを認証します。メッセージは、SSLを使用して保護されます。
設定
表C-89は、oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_templateアサーション・テンプレートの設定を示しています。
構成
表C-91は、oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-91 oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_templateのプロパティ
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
このテンプレートは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを挿入します。メッセージは、STSで提供される証明鍵マテリアルを使用して保護されます。
設定
表C-92は、wss11_sts_issued_saml_hok_with_message_protection_client_templateアサーション・テンプレートの設定を示しています。
表C-92 oracle/wss11_sts_issued_saml_hok_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
require-applies-to |
RSTのオプション要素。存在する場合、Oracle WSMによって、トークンがリクエストされているWebサービスのエンドポイント・アドレスが送信されます。デフォルト動作では、クライアントからSTSへのメッセージでappliesTo要素が常に送信されます。 |
True |
|
require-client-entropy |
Webサービスのセキュリティ・ポリシーによって対称証明鍵が求められる場合、要求者は証明鍵の計算に含めることができる鍵の内容の一部(エントロピ)を渡すことができます。Webサービス・ポリシーでは、クライアント・エントロピ、STSエントロピ、またはその両方が必要であるかどうかを示すことができます。 |
True |
|
require-server-entropy |
Webサービスのセキュリティ・ポリシーによって対称証明鍵が求められる場合、要求者は証明鍵の計算に含めることができる鍵の内容の一部(エントロピ)を渡すことができます。Webサービス・ポリシーでは、クライアント・エントロピ、STSエントロピ、またはその両方が必要であるかどうかを示すことができます。 |
True |
|
trust -version |
WS-Trustのバージョン。 |
1.3 |
|
require-external-reference |
トークンの外部参照が必要かどうかを指定します。 |
True |
|
require-internal-reference |
トークンの内部参照が必要かどうかを指定します。 |
True |
|
use-derived-keys |
導出キーが必要かどうかを指定します。 |
False |
|
token-type |
SAMLトークン・タイプ。有効な値は、1.1および2.0のみです。 |
SAML11およびSAML20 |
|
key-type |
キー・タイプ。 |
symmetric |
|
is-signed |
SAMLトークンを署名するかどうかを指定するフラグ。SAMLポリシーの場合、有効な値はTrueのみです。 |
True |
|
is-encrypted |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
confirm-signature |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
True |
|
sign-key-ref-mech |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
Thumbprint |
|
enc-key-ref-mech |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
Thumbprint |
|
encrypt-signature |
署名を暗号化するかどうかを指定するフラグ。 |
False |
|
sign-then-encrypt |
リクエストが署名され、暗号化されるかどうかを指定するフラグ。 |
True |
|
algorithm-suite |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
include-timestamp |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
True |
構成
表C-93は、wss11_sts_issued_saml_hok_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-93 oracle/wss11_sts_issued_saml_hok_with_message_protection_client_templateのプロパティ
| 名前 | 説明 |
|---|---|
|
sts.auth.user.csf.key |
STSに対する認証用のユーザー名/パスワードを構成する場合に使用します。 クライアントのoracle/sts_trust_config_client_template内の デフォルト設定:
|
|
sts.auth.x509.csf.key |
STSに対する認証用のX509証明書を構成する場合に使用します。 クライアントのoracle/sts_trust_config_client_template内の デフォルト設定:
|
|
on.behalf.of |
オプションのプロパティ。リクエストが別のエンティティの代理かどうかを指定するには、このプロパティをオーバーライドします。このフラグのデフォルト値はfalseです。 trueに設定され、 それ以外の場合、サブジェクトがすでに確立されていれば、サブジェクトのユーザー名が
|
|
sts.auth.on.behalf.of.csf.key |
オプションのプロパティ。代理エンティティの構成で使用します。存在する場合、サブジェクト(存在する場合)より優先されます。 デフォルト設定:
|
|
sts.keystore.recipient.alias |
キーストアに追加したSTS証明書の別名。デフォルトの別名はsts-csf-keyです。 デフォルト設定:
|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。実行時セキュリティは、この別名を使用して構成済のキーストアからピア証明書を抽出し、ピアへのメッセージを暗号化します。 デフォルト設定:
|
|
keystore.enc.csf.key |
「オーバーライド可能なWebサービス・ポリシーの添付」で説明されているように、この値を設定すると、keystore.enc.csf.keyをオーバーライドできます。 この値をオーバーライドする場合は、新しい値のキーがキーストアにあることが必要です。つまり、値をオーバーライドしても、キーをキーストアに構成する必要がなくなるわけではありません。 デフォルト設定:
|
|
sts.auth.service.principal.name |
保護する必要があるWebサービスのプリンシパル名。 デフォルト設定:
|
|
sts.auth.keytab.location |
クライアントのキータブ・ファイルの場所。 デフォルト設定:
|
|
sts.auth.caller.principal.name |
デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
このテンプレートは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを認証します。メッセージは、対称鍵テクノロジのWS-SecurityのBasic 128スイートを使用して保護されます。
設定
表C-92は、wss11_sts_issued_saml_hok_with_message_protection_service_templateアサーション・テンプレートの設定を示しています。
構成
表C-94は、wss11_sts_issued_saml_hok_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なWebサービス・ポリシーの添付」を参照してください。
表C-94 oracle/wss11_sts_issued_saml_hok_with_message_protection_service_templateのプロパティ
| 名前 | 説明 |
|---|---|
|
role |
SOAPロール。 デフォルト設定:
|
|
keystore.enc.csf.key |
「オーバーライド可能なWebサービス・ポリシーの添付」で説明されているように、この値を設定すると、keystore.enc.csf.keyをオーバーライドできます。 この値をオーバーライドする場合は、新しい値のキーがキーストアにあることが必要です。つまり、値をオーバーライドしても、キーをキーストアに構成する必要がなくなるわけではありません。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
このテンプレートは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML送信者保証アサーションを挿入します。メッセージは、クライアントの秘密鍵を使用して保護されます。
設定
表C-95は、 wss11_sts_issued_saml_with_message_protection_client_templateアサーション・テンプレートの設定を示しています。
表C-95 wss11_sts_issued_saml_with_message_protection_client_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
require-applies-to |
RSTのオプション要素。存在する場合、Oracle WSMによって、トークンがリクエストされているWebサービスのエンドポイント・アドレスが送信されます。デフォルト動作では、クライアントからSTSへのメッセージでappliesTo要素が常に送信されます。 |
True |
|
require-client-entropy |
Webサービスのセキュリティ・ポリシーによって対称証明鍵が求められる場合、要求者は証明鍵の計算に含めることができる鍵の内容の一部(エントロピ)を渡すことができます。Webサービス・ポリシーでは、クライアント・エントロピ、STSエントロピ、またはその両方が必要であるかどうかを示すことができます。 |
HOKのみに適用。 |
|
require-server-entropy |
Webサービスのセキュリティ・ポリシーによって対称証明鍵が求められる場合、要求者は証明鍵の計算に含めることができる鍵の内容の一部(エントロピ)を渡すことができます。Webサービス・ポリシーでは、クライアント・エントロピ、STSエントロピ、またはその両方が必要であるかどうかを示すことができます。 |
HOKのみに適用。 |
|
trust-version |
WS-Trustのバージョン。 |
1.3 |
|
require-external-reference |
トークンの外部参照が必要かどうかを指定します。 |
True |
|
require-internal-reference |
トークンの内部参照が必要かどうかを指定します。 |
True |
|
use-derived-keys |
導出キーが必要かどうかを指定します。 |
False |
|
token-type |
SAMLトークン・タイプ。有効な値は1.1のみです。 |
SAML11 |
|
is-signed |
SAMLトークンを署名するかどうかを指定するフラグ。SAMLポリシーの場合、有効な値はTrueのみです。 |
True |
|
is-encrypted |
SAMLトークンを暗号化するかどうかを指定するフラグ。 |
False |
|
confirm-signature |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。 |
True |
|
sign-key-ref-mech |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
Direct |
|
enc-key-ref-mech |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
Thumbprint |
|
encrypt-signature |
署名を暗号化するかどうかを指定するフラグ。 |
False |
|
sign-then-encrypt |
リクエストが署名され、暗号化されるかどうかを指定するフラグ。 |
True |
|
algorithm-suite |
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。 |
Basic128 |
|
include-timestamp |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
True |
構成
表C-96は、wss11_sts_issued_saml_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティ設定の詳細は、「構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「オーバーライド可能なクライアント・ポリシーの添付」を参照してください。
表C-96 oracle/wss11_sts_issued_saml_with_message_protection_client_templateのプロパティ
| 名前 | 説明 |
|---|---|
|
sts.auth.user.csf.key |
STSに対する認証用のユーザー名/パスワードを構成する場合に使用します。 クライアントのoracle/sts_trust_config_client_template内の デフォルト設定:
|
|
sts.auth.x509.csf.key |
STSに対する認証用のX509証明書を構成する場合に使用します。 クライアントのoracle/sts_trust_config_client_template内の デフォルト設定:
|
|
on.behalf.of |
オプションのプロパティ。リクエストが別のエンティティの代理かどうかを指定するには、このプロパティをオーバーライドします。このフラグのデフォルト値はtrueです。 trueに設定され、 それ以外の場合、サブジェクトがすでに確立されていれば、サブジェクトのユーザー名が
|
|
sts.auth.on.behalf.of.csf.key |
オプションのプロパティ。代理エンティティの構成で使用します。存在する場合、サブジェクト(存在する場合)より優先されます。 デフォルト設定:
|
|
sts.keystore.recipient.alias |
キーストアに追加したSTS証明書の別名。デフォルトの別名はsts-csf-keyです。 デフォルト設定:
|
|
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。実行時セキュリティは、この別名を使用して構成済のキーストアからピア証明書を抽出し、ピアへのメッセージを暗号化します。 デフォルト設定:
|
|
keystore.enc.csf.key |
「オーバーライド可能なWebサービス・ポリシーの添付」で説明されているように、この値を設定すると、keystore.enc.csf.keyをオーバーライドできます。 この値をオーバーライドする場合は、新しい値のキーがキーストアにあることが必要です。つまり、値をオーバーライドしても、キーをキーストアに構成する必要がなくなるわけではありません。 デフォルト設定:
|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
表C-97に、認可に使用されるアサーション・テンプレートをまとめます。それぞれの認可アサーション・テンプレートは、認証アサーション・テンプレートの後に続ける必要があります。
表C-97 認可アサーション・テンプレート
| サービス・テンプレート | 説明 |
|---|---|
|
oracle/binding_authorization_template |
SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロールベースの認可を行います。 |
|
oracle/binding_permission_authorization_template |
SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単な権限ベースの認可を行います。 |
|
oracle/component_authorization_template |
SOAコンポーネント・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロールベースの認可を行います。 |
|
oracle/component_permission_authorization_template |
SOAコンポーネント・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単な権限ベースの認可を行います。 |
binding_authorization_templateアサーション・テンプレートは、SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロールベースの認可を行います。認証アサーション・テンプレートの後に続ける必要があります。
設定
表C-98にbinding_authorization_templateアサーション・テンプレートの設定をリストします。
表C-98 binding_authorization_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
制約パターン |
認可チェックが実行される制約を表す式。制約式は、次の2つのmessageContextプロパティを使用して指定します。
制約パターン・プロパティとその値では、大文字と小文字が区別されます。 制約式では、サポートされている標準的な演算子( |
|
|
アクション・パターン |
認可チェックが実行されるアクションまたはWebサービス操作。この値は、値のカンマ区切りのリストにすることもできます。このフィールドではワイルドカードを使用できます。 たとえば、 |
actionMatchPattern |
|
リソース・パターン |
認可チェックが実行されるリソースの名前。このフィールドではワイルドカードを使用できます。 たとえば、Webサービスの名前空間が |
resourceMatchPattern |
|
認証設定 |
認可されたロールを指定します。 有効な値は次のとおりです。
ロールを追加するには、次のようにします。
ロールを削除するには、次のようにします。
|
選択したロール |
構成
定義されていません。
binding_permission_authorization_templateアサーションは、SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単な権限ベースの認可を行います。認証アサーションの後に続く必要があります。
設定
表C-99にbinding_permission_authorization_templateアサーション・テンプレートの設定をリストします。
表C-99 binding_permission_authorization_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
制約パターン |
今後の使用のため予約済です。 |
N/A |
|
アクション・パターン |
権限ベースの確認が実行されるアクションまたはWebサービス操作。この値は、値のカンマ区切りのリストにすることもできます。このフィールドではワイルドカードを使用できます。 たとえば、 |
* |
|
リソース・パターン |
権限ベースの確認が実行されるリソースの名前。このフィールドではワイルドカードを使用できます。 たとえば、Webサービスの名前空間が |
* |
|
権限チェック・クラス |
権限ベースの確認に使用されるクラス。 |
N/A |
構成
表C-100は、binding_permission_authorization_templateアサーション・テンプレートのデフォルト構成プロパティを示しています。
表C-100 binding_permission_authorization_templateのプロパティ
| 名前 | 説明 |
|---|---|
|
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 デフォルト設定:
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 |
component_authorization_templateアサーションは、SOAコンポーネント・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロールベースの認可を行います。認証アサーションの後に続く必要があります。
設定
表C-101にcomponent_authorization_templateアサーション・テンプレートの設定をリストします。
表C-101 component_authorization_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
認証設定 |
認可されたロールを指定します。 有効な値は次のとおりです。
ロールを追加するには、次のようにします。
ロールを削除するには、次のようにします。
|
選択したロール |
構成
定義されていません。
component_permission_authorization_templateアサーション・テンプレートは、SOAコンポーネント・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単な権限ベースの認可を行います。認証アサーションの後に続く必要があります。
|
注意: system-jazn-data.xmlで指定したセキュリティ権限の緩和は、複数のサービス操作の実施に適用されるため、権限ベースのポリシーをEJBで使用する場合は注意が必要です。 |
設定
表C-102にcomponent_permission_authorization_templateアサーション・テンプレートの設定をリストします。
表C-102 component_permission_authorization_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
制約パターン |
今後の使用のため予約済です。 |
N/A |
|
アクション・パターン |
権限ベースの確認が実行されるアクションまたはWebサービス操作。この値は、値のカンマ区切りのリストにすることもできます。このフィールドではワイルドカードを使用できます。 たとえば、 |
* |
|
リソース・パターン |
権限ベースの確認が実行されるリソースの名前。このフィールドではワイルドカードを使用できます。 たとえば、Webサービスのコンポジット名が |
* |
|
権限チェック・クラス |
権限ベースの確認に使用されるクラス。 |
N/A |
構成
定義されていません。
表C-103に、メッセージ保護でサポートされているアルゴリズム・スイートを示します。アルゴリズム・スイートを使用すると、メッセージ保護に使用されるアルゴリズムの暗号文字を制御できます。
表C-103 サポートされているアルゴリズム・スイート
| アルゴリズム・スイート | ダイジェスト | 暗号化 | 対称鍵のラップ | 非対称鍵のラップ | 暗号化鍵の導出 | 署名キーの導出 | 署名キーの最小長 |
|---|---|---|---|---|---|---|---|
|
Basic256 |
Sha1 |
Aes256 |
KwAes256 |
KwRsaOaep |
PSha1L256 |
PSha1L192 |
256 |
|
Basic192 |
Sha1 |
Aes192 |
KwAes192 |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
|
Basic128 |
Sha1 |
Aes128 |
KwAes128 |
KwRsaOaep |
PSha1L128 |
PSha1L128 |
128 |
|
TripleDes |
Sha1 |
TripleDes |
KwTripleDes |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
|
Basic256Rsa15 |
Sha1 |
Aes256 |
KwAes256 |
KwRsa15 |
PSha1L256 |
PSha1L192 |
256 |
|
Basic192Rsa15 |
Sha1 |
Aes192 |
KwAes192 |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
|
Basic128Rsa15 |
Sha1 |
Aes128 |
KwAes128 |
KwRsa15 |
PSha1L128 |
PSha1L128 |
128 |
|
TripleDesRsa15 |
Sha1 |
TripleDes |
KwTripleDes |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
表C-104に、リクエスト、レスポンスおよびフォルト・メッセージの設定をリストします。これらの設定は、メッセージの署名および暗号化用に構成します。
表C-104 リクエスト、レスポンスおよびフォルト・メッセージへの署名と暗号化の設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
本体全体を含める |
SOAPメッセージのボディ全体に署名するか暗号化します。 falseの場合は、「本体要素」セクションを使用して特定の本体要素を追加できます。 |
リクエストおよびレスポンス・メッセージの場合はTrue フォルト・メッセージの場合はFalse |
|
SwA添付を含める |
添付ファイル付きSOAPメッセージに署名するか暗号化します。 注意: このフィールドは、MTOMアタッチメントには適用されません。 |
False |
|
MIMEヘッダーを含める |
MIMEヘッダー付きのSOAP添付ファイルに署名するか暗号化します。 注意: このフィールドは、「SwAアタッチメントを含める」が有効な場合に有効であり、適用されます。MTOM添付には適用されません。 |
False |
|
ヘッダー要素 |
指定されたSOAPヘッダー要素に署名するか暗号化します。 ヘッダー要素を追加するには、次のようにします。
ヘッダー要素を編集するには、次のようにします。
ヘッダー要素を削除するには、次のようにします。
|
なし |
|
本体要素 |
注意: このフィールドは、「本体全体を含める」が無効化されている場合に使用できます。 指定された本体要素に署名するか暗号化します。このフィールドは、「ボディを含める」が無効化されている場合に使用できます。 本体要素を追加するには、次のようにします。
本体要素を編集するには、次のようにします。
本体要素を削除するには、次のようにします。
|
なし |
表C-105に、管理アサーション・テンプレートをまとめます。
security_log_templateアサーション・テンプレートは、すべてのバインディングまたはコンポーネントに添付可能な、ロギング・アサーション・テンプレートを提供します。
|
注意: ロギング・アサーションは、デバッグおよび監査にのみ使用することをお薦めします。 |
設定
表C-106に、security_log_templateアサーション・テンプレートの設定をリストします。
表C-106 security_log_templateの設定
| 名前 | 説明 | デフォルト値 |
|---|---|---|
|
リクエスト |
ロギング・リクエスト・メッセージの要件。 有効な値は次のとおりです。
|
すべて |
|
レスポンス |
ロギング・レスポンス・メッセージの要件。有効な値は、前述の「リクエスト」と同じです。 |
soap_body |
構成
定義されていません。
「動作無効ポリシー」で説明されている、事前定義済の各動作無効ポリシーは、そのカテゴリの動作を基本的に実行しない同じアサーションを使用します。
このアサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。削除すると、再作成できないため、元のポリシーでリポジトリをリストアする必要があります。リポジトリのリストアの詳細は、「Oracle WSMリポジトリの再構築」を参照してください。
