3 Oracle Infrastructure Webサービスの保護

この章では、Oracle Infrastructure Webサービスを保護する方法について説明します。

この章の内容は次のとおりです。

• Webサービスのセキュリティの概要

• Oracle WSMの事前定義済のセキュリティ・ポリシーおよびアサーション・テンプレート

• セキュリティ・ポリシーのアタッチ

• セキュリティ・ポリシーの構成

Webサービスのセキュリティの概要

Webサービスのセキュリティには、いくつかの側面があります。

• 認証: ユーザーが本物であることを検証します。ユーザーのアイデンティティは、そのユーザーが提示した次のような資格証明に基づいて検証されます。

  1. ユーザーが所有する物。たとえば、パスポート(リアル・ワールド)やスマート・カード(ITワールド)のような、信頼できる認証局が発行した資格証明など。

  2. ユーザーが持っている情報。たとえば、パスワードのような共有秘密情報。

  3. ユーザー自身の情報。たとえば、バイオメトリック情報など。

  いくつかのタイプの資格証明を組み合せて使用すること、たとえば、ATMカード(ユーザーが所有する物)をPINまたはパスワード(ユーザーの持っている情報)と組み合せて使用することを、「厳密」認証といいます。

• 認可(アクセス制御): 認証されたユーザーの資格に基づいて、特定のリソースへのアクセスを許可すること。資格は、1つまたは複数の属性によって定義されます。属性は、ユーザーのプロパティまたは特性です。たとえば、Marcがユーザーであれば、conference speakerが属性です。

• 機密保護、プライバシ: 情報を秘密にしておくこと。Webサービス・リクエストや電子メールなどのメッセージに、送信者や受信者のアイデンティティとともに機密保護をしてアクセスします。機密保護とプライバシは、メッセージの内容を暗号化し、送信者と受信者のアイデンティティを不明瞭化することによって実現できます。

• 整合性、非拒否: 送信者にメッセージのデジタル署名をさせることにより、メッセージが送信中に変更されないことを保証します。デジタル署名は、署名を検証し、非拒否を提供するために使用します。署名内のタイムスタンプにより、メッセージの期限切れ後には誰もこのメッセージを再生できなくなります。

これらのWebサービス・セキュリティの概念の詳細は、Web Servicesのセキュリティおよび管理者ガイドのWebサービスのセキュリティの概念の理解に関する項を参照してください。

Oracle Web Services Manager (WSM)は、異種の環境においてWebサービスのセキュリティを定義して実装できるように設計されています。たとえば、認証、認可、メッセージの暗号化と復号化、署名の生成と検証、および複数のWebサービス間のアイデンティティ伝播などを使用して、1つのトランザクションが完成します。さらにOracle WSMには、サービスレベル契約に基づいてWebサービスを管理するためのツールが用意されています。たとえば、ユーザー(セキュリティ設計者やシステム管理者)は、Webサービスの可用性、レスポンス時間、および請求目的で使用可能なその他の情報を定義できます。Oracle WSMの詳細は、Web Servicesのセキュリティおよび管理者ガイドのOracle WSMポリシー・フレームワークの理解に関する項を参照してください。

Oracle WSMの事前定義済のセキュリティ・ポリシーおよびアサーション・テンプレート

第2章「Oracle Infrastructure Webサービスへのポリシーのアタッチ」で説明されているように、Oracle WSMには、Oracle Fusion Middlewareをインストールすると自動的に使用可能になる一連の事前定義済のポリシーおよびアサーション・テンプレートが用意されています。

次のカテゴリのセキュリティ・ポリシーおよびアサーション・テンプレートは、即時に利用可能です。

• 認証のみのポリシー

• メッセージ保護のみのポリシー

• メッセージ保護および認証のポリシー

• 認可のみのポリシー

事前定義済のセキュリティ・ポリシーおよびアサーション・テンプレートの詳細は、Web Servicesのセキュリティおよび管理者ガイドの次の項を参照してください。

• セキュリティ・ポリシーに関する項

• セキュリティ・アサーション・テンプレートに関する項

使用するセキュリティ・ポリシーを決定する際には、Web Servicesのセキュリティおよび管理者ガイドの使用するセキュリティ・ポリシーの決定に関する項を参照してください。

セキュリティ・ポリシーのアタッチ

セキュリティ・ポリシーは、設計時にOracle JDeveloperを使用して、あるいは実行時にOracle Enterprise Managerを使用して、Oracle Infrastructure Webサービスにアタッチできます。詳細は、第2章「Oracle Infrastructure Webサービスへのポリシーのアタッチ」を参照してください。

セキュリティ・ポリシーの構成

セキュリティ・ポリシーを環境内で使用するには、あらかじめ構成する必要があります。セキュリティ・ポリシーの構成手順については、Web Servicesのセキュリティおよび管理者ガイドのポリシーの構成に関する項を参照してください。

次の表に、各ポリシー・カテゴリの構成手順の参照先を示します。

表3-1 セキュリティ・ポリシーの構成

ポリシー・カテゴリ	Web Servicesのセキュリティおよび管理者ガイドでの構成手順
認証のみのポリシー	認証のみのポリシーと構成手順に関する項
メッセージ保護のみのポリシー	メッセージ保護のみのポリシーと構成手順に関する項
メッセージ保護および認証のポリシー	メッセージ保護および認証ポリシーと構成手順に関する項
認可ポリシー	認可ポリシーに関する項