I SOAP Webサービス・アクセスの構成

この付録では、SOAP Webサービス・アクセスの構成に関する手順を示します。この章の内容は、次のとおりです。

• I.1項「Webサービス・アクセス」

• I.2項「要件」

• I.3項「OAAMのサーバー側設定」

• I.4項「クライアント側設定」

• I.5項「サーバーでのSOAPサービス認証の無効化」

I.1 Webサービス・アクセス

Webサービスを使用すると、リモート・コンピュータ上で使用可能となっているOracle Adaptive Access Manager機能にアクセスできます。OAAM Webサービスでは、アクションの実行をOAAMに要求できます。

OAAM Webサービスの利点は、すでに作成されているアプリケーション・ロジックを再作成する必要がないことです。

アプリケーション内のリモートWebサービスを参照することを、Webサービスを消費すると言います。.NETまたはJavaアプリケーションの一部として実装されたWebサービスを消費できます。

I.2 要件

OAAM Webサービスにアクセスするための要件は、次のとおりです。

• SOAP Webアクセスを構成するには、SOAPを使用したネイティブ統合のためにOAAM拡張共有ライブラリが必要です。

• 構成可能なプロパティをoaam_custom.propertiesで指定する必要があり、このファイルがクライアント・アプリケーションのJavaクラスパスにある必要があります。

I.3 OAAMのサーバー側設定

Webサービスへのアクセスは、コンピュータ上のライブラリを参照するのではなく、インターネットでリモート機能を参照することを除けば、ファンクション・コールに似ています。

SOAPによって、Webサービスのリクエストおよびレスポンスを送受信するための標準XML構造が提供されます。SOAPメッセージはHTTPを使用して送信されます。

Webサービス/SOAPクライアントは、OAAM Webサービスとの正常な通信のために、ユーザー名とパスワードを送信する必要があります。

セキュリティのために、パスワードはキーストアに格納される必要があります。

Webサービスを他者がリモート・アクセスで利用できるようにすることを、Webサービスを公開すると言います。

標準のOAAMでは、WebサービスがURL/oaam_server/servicesに公開されています。

このURLへのアクセスは、OAAM Webサービス・グループのロールを持つユーザーに許可されています。OAAM Webサービス・グループのロールを持つユーザー(SOAPユーザー)をOAAMドメインに追加する必要があります。

OAAM 11gリリース2 (11.1.2.0.0)以上では、Webサービスを保護するデフォルトのメカニズムにはOracle Web Service Managerのポリシーを使用します。OAAMSOAPServicesGroupは使用しなくなったため、作成しないでください。OAAM Webサービスのグループとユーザーの詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』のOAAM SOAP統合に関する項を参照してください。

注意: この手順は、OAAMサーバーでSOAP認証が無効の場合は不要です。

I.4 クライアント側設定

クライアント側設定について次に説明します。

I.4.1 SOAPユーザーのパスワードでのクライアント・キーストアの設定

ネイティブ・クライアントWebサービスのセキュリティを設定するには:

1. $ORACLE_HOME/oaam/cliディレクトリで、ファイル(soap_key.fileなど)を作成し、それにHTTP認証ユーザー・パスワードを入力します。(OAAM Webサービス・グループのロール/グループに追加されたユーザーのパスワード)。

2. sample.config_3des_input.propertiesをsoap_3des_input.propertiesにコピーします。

   cp sample.config_3des_input.properties soap_3des_input.properties
   

3. soap_3des_input.propertiesをキーストア・パスワード、別名パスワードおよびパスワード・ファイルで更新します。

   #This is the password for opening the keystore. 
   keystorepasswd= 
    
   #This is the password reading alias (key) in the keystore 
   keystorealiaspasswd= 
    
   #File containing from key. Please note, keys in AES could be binary. Also note algorithms like 3DES require minimum 24 characters in the key 
   #keyFile=soap_key.file 
   keyFile=
   
   keystorefilename=system_soap.keystore
   keystorealias=vcrypt.soap.call.passwd
   

4. ORACLE_MW_HOMEおよびJAVA_HOMEとソースsetCliEnv.shを設定します。

5. キーストアを生成します。

   • UNIX/Linuxの場合は、次を実行します。

     $JAVA_EXE -Djava.security.policy=conf/jmx.policy -classpath $CLSPTH com.bharosa.vcrypt.common.util.KeyStoreUtil updateOrCreateKeyStore readFromFile=soap_3des_input.properties
     

   • Windowsの場合は、次を実行します。

     genkeystore.cmd soap_3des_input.properties
     

   KeyStoreコマンドが成功した場合は、次のような出力が表示されます。

   updateOrCreateKeyStore done!
   Keystore file:system_soap.keystore,algorithm=DESede
   KeyStore Password=ZG92ZTEyMzQ=
   Alias Password=ZG92ZTEyMw==
   

6. 画面に出力されたキーストア・パスワードと別名パスワードを書き留めます。これらをoaam_custom.propertiesに追加する必要があります。

7. system_soap.keystoreファイルをソース・コード制御システムに保存します。このファイルの処理ではセキュリティについて十分に注意してください。ファイルには重要なパスワード情報が含まれています。認可された担当者のみがこのファイルに読取りアクセスできるようにします。これを失うと、暗号化されたデータをOracle Adaptive Access Managerでリカバリできません。

8. system_soap.keystoreをネイティブ・クライアントのデプロイメント・フォルダのクラスパスにコピーします。

9. soap_key.fileファイルとsoap_3des_input.propertiesファイルを両方とも削除します。

10. 次のプロパティをエンコードされたパスワード(手順6)および認証ユーザー名とともにoaam_custom.propertiesに追加します。

    vcrypt.soap.auth.keystorePassword=<base64 encoded keystore password>
    vcrypt.soap.auth.aliasPassword=<based64 encoded password to the alias>
    vcrypt.soap.auth.username=<user configured for accessing the soap services>
    vcrypt.soap.auth.keystoreFile=system_soap.keystore
    

注意: この手順は、OAAMサーバーでSOAP認証が無効の場合は不要です。

クライアント側からの認証の無効化の詳細は、「SOAP認証の無効化」の項を参照してください。

I.4.2 SOAP認証の無効化

Adaptive Strong AuthenticatorのHTTP認証を無効化または有効化するには、次のプロパティをtrue (有効)またはfalse (無効)に設定します。

vcrypt.soap.auth=

I.4.3 SOAPクラスの指定

vcrypt.common.util.vcryptsoap.impl.classnameプロパティを設定します。

この設定によって、OAAMサービスと交換するSOAPメッセージを作成するときにアプリケーションがどのライブラリを使用するかが指定されます。

使用可能なオプションは、次のとおりです。

com.bharosa.vcrypt.common.impl.VCryptSOAPGenericImpl

I.4.4 SOAPサーバー側URLの指定

vcrypt.tracker.soap.urlプロパティを設定します。

例:

vcrypt.tracker.soap.url=http://localhost:14300/oaam_server/services/

この設定は、アプリケーションが通信するWebサービスのロケーションです。

I.4.5 SOAPコール・タイムアウトの指定

vcrypt.soap.call.timeoutプロパティをミリ秒単位で設定します。

例:

vcrypt.soap.call.timeout=10000

I.5 サーバーでのSOAPサービス認証の無効化

Oracle Enterprise Manager Fusion Middleware ControlからOracle Web Services Manager (OWSM)ポリシーを使用して、認証を有効化または無効化できます。

サーバーでSOAP Webサービス認証を無効化すると(デフォルトでは有効)、クライアントは認証されなくてもWebサービスを使用できます。

1. URL http://<host-name>:7001/emとWebLogic管理ユーザー名およびパスワードを使用して、アイデンティティ管理ドメインのOracle Enterprise Manager Fusion Middleware Controlにログインします。

2. 左側のメニューで「WebLogicドメイン」およびその下にあるOAAMドメインを展開して、oaam_server_server1を見つけます。

3. oaam_server_server1を右クリックして、「Webサービス」メニュー・オプションを選択します。

4. 「Oracle Infrastructure Web Services」タブをクリックします。

5. ページの右上にある「ポリシーのアタッチ」リンクをクリックします。

6. 次のページでOAAM Webサービスに関連する行をすべて選択し、「次」ボタンをクリックします。

7. 行oracle/no_authentication_service_policyおよびoracle/no_authorization_service_policyを選択し、「次」ボタンをクリックします。

8. 次のページで「アタッチ」ボタンをクリックします。

9. 必要に応じてOAAMサーバーを再起動します。