3 Oracle Infrastructure Webサービスの保護

この章では、Oracle Infrastructure Webサービスを保護する方法について説明します。

この章では、次の項目について説明します。

• Webサービスのセキュリティの概要

• OWSMの事前定義済セキュリティ・ポリシーとアサーション・テンプレート

• セキュリティ・ポリシーのアタッチ

• セキュリティ・ポリシーの構成

Webサービスのセキュリティの概要

Webサービス・セキュリティには次の側面があります。

• 認証: ユーザーが表明しているとおりのユーザーであるかを検証します。ユーザーのアイデンティティは、ユーザー自身が提供する資格証明に基づいて検証されます。資格証明には次のものがあります。

  1. ユーザーが所有しているもの。たとえばパスポート(実世界)やスマート・カード(ITの世界)など、信頼できる機関が発行した資格証明。

  2. ユーザーが知っているもの。たとえばパスワードなどの共有の秘密鍵。

  3. ユーザーの特性。たとえばバイオメトリック情報。

  複数のタイプの資格情報を組み合せて使用することは、強い認証と呼ばれます。たとえば、ATMカード(ユーザーが持っているもの)とPINやパスワード(ユーザーが知っていること)を使用する場合などです。

• 認可(またはアクセス制御): 認証されたユーザーの権限に基づいて、特定のリソースへのアクセスを許可します。権限は1つ以上の属性によって定義されます。属性とはユーザーのプロパティまたは特性のことです。たとえば、「Marc」はユーザーで、「会議の発言者」は属性です。

• 機密保護、プライバシ: 情報の機密性を保ちます。Webサービス・リクエストや電子メールなどのメッセージと、送信ユーザーおよび受信ユーザーのアイデンティティに、機密を保つ方法でアクセスします。メッセージのコンテンツを暗号化し、送信ユーザーおよび受信ユーザーのアイデンティティを不明瞭化することで機密保護とプライバシが実現されます。

• 整合性、否認防止: 送信ユーザーがメッセージにデジタルで署名することによって、メッセージが転送中に変更されないようにします。デジタル署名を使用することによって、署名が検証され、否認防止が実現されます。署名内のタイムスタンプにより、このメッセージが有効期限後にリプレイされることを防ぎます。

これらのWebサービス・セキュリティの概念の詳細は、『Oracle Web Services Managerの理解』のWebサービスのセキュリティの概念を理解するための説明を参照してください。

Oracle Web Services Manager (WSM)は、異機種間環境でWebサービス・セキュリティを定義、実装するために設計され、単一トランザクションを完了するために使用される複数のWebサービスにわたる認証、認可、メッセージの暗号化および復号化、署名の生成および検証、およびアイデンティティ伝播が含まれます。さらにOWSMには、サービスレベル契約に基づいてWebサービスを管理するためのツールが用意されています。たとえば、ユーザー(セキュリティ設計者やシステム管理者)は、Webサービスの可用性、レスポンス時間、および請求目的で使用可能なその他の情報を定義できます。OWSMの詳細は、『Oracle Web Services Managerの理解』のOWSMポリシーのフレームワークの理解に関する説明を参照してください。

OWSMの事前定義済セキュリティ・ポリシーとアサーション・テンプレート

第2章「Oracle Infrastructure Webサービスへのポリシーのアタッチ」で説明されているように、OWSMには、Oracle Fusion Middlewareをインストールすると自動的に使用可能になる一連の事前定義済のポリシーおよびアサーション・テンプレートが用意されています。

次のカテゴリのセキュリティ・ポリシーおよびアサーション・テンプレートは、即時に利用可能です。

• 認証のみのポリシー

• メッセージ保護のみのポリシー

• メッセージ保護および認証ポリシー

• 認可のみのポリシー

事前定義済のOWSMポリシーおよびアサーション・テンプレートの詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の次の項を参照してください。

• 事前定義済ポリシーに関する項

• 事前定義済アサーション・テンプレートに関する項

使用するセキュリティ・ポリシーを決定する際には、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の使用するセキュリティ・ポリシーの決定に関する説明を参照してください。

セキュリティ・ポリシーのアタッチ

Oracle Infrastructure Webサービスおよびクライアントにセキュリティ・ポリシーをアタッチします。設計時にはOracle JDeveloperを使用して、実行時にはFusion Middleware Controlを使用して行います。詳細は、第2章「Oracle Infrastructure Webサービスへのポリシーのアタッチ」を参照してください。

セキュリティ・ポリシーの構成

セキュリティ・ポリシーを環境内で使用するには、あらかじめ構成する必要があります。セキュリティ・ポリシーの構成手順の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービスの保護に関する説明を参照してください。