3 Oracle Containers for Java EE (OC4J) 10gのセキュリティ環境との相互運用性

この章では、セキュリティ要件(認証、メッセージ保護およびトランスポート)に基づいたOracle Containers for Java EE (OC4J) 10gの最も一般的な相互運用性シナリオについて説明します。

この章の構成は、次のとおりです。

• 第3.1項「OC4J 10gのセキュリティ環境との相互運用性の概要」

• 第3.2項「メッセージ保護付き匿名認証(WS-Security 1.0)」

• 第3.3項「メッセージ保護付きユーザー名トークン(WS-Security 1.0)」

• 第3.4項「メッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.0)」

• 第3.5項「メッセージ保護付き相互認証(WS-Security 1.0)」

• 第3.6項「SSL経由のユーザー名トークン」

• 第3.7項「SSL経由のSAMLトークン(送信者保証)(WS-Security 1.0)」

3.1 OC4J 10gのセキュリティ環境との相互運用性の概要

OC4J 10gで、セキュリティ環境を構成します。

• Application Server Controlを使用したWebサービスの構成方法の詳細は、http://download.oracle.com/docs/cd/B31017_01/web.1013/b28975/toc.htmの『Oracle Application Server Web Servicesアドバンスト開発者ガイド』を参照してください。

• JDeveloperを使用したクライアント側アプリケーションの開発および構成方法の詳細は、『Oracle JDeveloperによるアプリケーションの開発』を参照してください。

• XMLベースのデプロイメント・ディスクリプタ・ファイルの変更方法の詳細は、http://download.oracle.com/docs/cd/B31017_01/web.1013/b28976/toc.htmの『Oracle Application Server Web Services セキュリティ・ガイド 10g (10.1.3.1.0)』を参照してください。

OWSM 12cでは、ポリシーをWebサービス・エンドポイントにアタッチします。ポリシーはドメインレベルで定義された1つ以上のアサーションで構成されています。アサーションはセキュリティ要件の定義です。そのまま使用できる事前定義のポリシーとアサーションのセットが用意されています。

詳細の参照先は、次のとおりです。

• OWSM事前定義済ポリシーについては、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の事前定義済ポリシーに関する説明を参照してください。

• OWSM 12cポリシーの構成およびアタッチについては、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービスの保護に関する説明およびポリシーのアタッチに関する説明を参照してください。

表3-1および表3-2は、セキュリティ要件(認証、メッセージ保護およびトランスポート)に基づいたOC4J 10gの最も一般的な相互運用性シナリオをまとめたものです。

注意: 以降のシナリオでは、v3証明書付きのキーストアを使用していることを確認してください。

表3-1 OWSM 12cサービス・ポリシーとOracle OC4J 10gクライアント・ポリシーの相互運用性

アイデンティティ・トークン	WS-Securityバージョン	メッセージ保護	トランスポート・セキュリティ	サービス・ポリシー	クライアント・ポリシー
匿名	1.0	はい	いいえ	oracle/wss10_message_protection_service_policy	「OC4J 10gクライアントの構成」を参照
ユーザー名	1.0	はい	いいえ	oracle/wss10_username_token_with_message_protection_service_policy	「OC4J 10gクライアントの構成」を参照
SAML	1.0	はい	いいえ	oracle/wss10_saml_token_with_message_protection_service_policy	「OC4J 10gクライアントの構成」を参照
相互認証	1.0	はい	いいえ	oracle/wss10_x509_token_with_message_protection_service_policy	「OC4J 10gクライアントの構成」を参照
SSL経由のユーザー名	1.0および1.1	いいえ	はい	oracle/wss_username_token_over_ssl_service_policy または oracle/wss_saml_or_username_token_over_ssl_service_policy	「OC4J 10gクライアントの構成」を参照
SSL経由のSAML	1.0および1.1	いいえ	はい	oracle/wss_saml_token_over_ssl_service_policy または oracle/wss_saml_or_username_token_over_ssl_service_policy	「OC4J 10gクライアントの構成」を参照

表3-2 Oracle OC4J 10gサービス・ポリシーとOWSM 12cクライアント・ポリシーの相互運用性

アイデンティティ・トークン	WS-Securityバージョン	メッセージ保護	トランスポート・セキュリティ	サービス・ポリシー	クライアント・ポリシー
匿名	1.0	はい	いいえ	「OC4J 10g Webサービスの構成」を参照	oracle/wss10_message_protection_client_policy
ユーザー名	1.0	はい	いいえ	「OC4J 10g Webサービスの構成」を参照	oracle/wss10_username_token_with_message_protection_client_policy
SAML	1.0	はい	いいえ	「OC4J 10g Webサービスの構成」を参照	oracle/wss10_saml_token_with_message_protection_client_policy
相互認証	1.0	はい	いいえ	「OC4J 10g Webサービスの構成」を参照	oracle/wss10_x509_token_with_message_protection_client_policy
SSL経由のユーザー名	1.0および1.1	いいえ	はい	「OC4J 10g Webサービスの構成」を参照	oracle/wss_username_token_over_ssl_client_policy
SSL経由のSAML	1.0および1.1	いいえ	はい	「OC4J 10g Webサービスの構成」を参照	oracle/wss_saml_token_over_ssl_client_policy

3.2 メッセージ保護付き匿名認証(WS-Security 1.0)

この項では、次のシナリオにおいてWS-Security 1.0標準に準拠するメッセージ保護付き匿名認証を実装する方法について説明します。

• 「OC4J 10gクライアントおよびOWSM 12c Webサービスの構成」

• 「OWSM 12cクライアントおよびOC4J 10g Webサービスの構成」

3.2.1 OC4J 10gクライアントおよびOWSM 12c Webサービスの構成

OC4J 10gクライアントおよびOWSM 12c Webサービスを構成するには、次の手順を実行します。

3.2.1.1 OWSM 12c Webサービスの構成

1. Webサービス・アプリケーションを作成します。

2. oracle/wss10_message_protection_service_policyポリシーをWebサービスのエントリ・ポイントにアタッチします。

   ポリシーをアタッチする方法の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

3.2.1.2 OC4J 10gクライアントの構成

1. Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。

2. Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。

3. プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。

   • 「認証なし」を選択します。

4. プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。

   • 「インバウンド署名リクエスト本体の検証」を選択します。

   • 「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。

   • 「有効期限」(秒)を入力します。

   • 「許容する署名アルゴリズム」の下のすべてのオプションを選択します。

5. プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド整合性」をクリックし、次のオプションを設定します。

   • 「アウトバウンド・メッセージの署名」を選択します。

   • 「アウトバウンド・メッセージにタイムスタンプを追加」および「タイムスタンプに必要な作成時間」を選択します。

   • 「有効期限」(秒)を入力します。

6. プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。

   • 「インバウンド・メッセージ・コンテンツの復号化」を選択します。

   • 「許容する署名アルゴリズム」の下のすべてのオプションを選択します。

7. プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。

   • 「アウトバウンド・メッセージの暗号化」を選択します。

   • 「アルゴリズム」を「AES-128」に設定します。

8. プロキシ・エディタ・ナビゲーション・バーの「キーストア・オプション」をクリックし、必要に応じてキーストア・プロパティを構成します。

   v3証明書付きのキーストアを使用していることを確認してください。

9. 「OK」をクリックし、ウィザードを閉じます。

10. 「構造」ペインで<appname>Binding_Stub.xmlをクリックし、次の項の説明に従ってこのファイルを編集します。

11. クライアントからWebサービス・メソッドを起動します。

<appname>Binding_Stub.xmlファイルの編集

1. キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。

2. インバウンド署名で、次のように指定します。

   <inbound><verify-signature><tbs-elements>
   <tbs-element
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-
   utility-1.0.xsd" local-part="Timestamp" />
   ...
   

3. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。

   <outbound>/<signature>/<tbs-elements>
   <tbs-element
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
   -utility-1.0.xsd" local-part="Timestamp"/>
   ...
   

4. アウトバウンド暗号化で、次のようにキー・トランスポート・アルゴリズムを指定します。

   <outbound><encrypt>
   <keytransport-method>RSA-OAEP-MGF1P</keytransport-method>
   ...
   

3.2.2 OWSM 12cクライアントおよびOC4J 10g Webサービスの構成

OWSM 12cクライアントおよびOC4J 10g Webサービスを構成するには、次の手順を実行します。

3.2.2.1 OC4J 10g Webサービスの構成

1. Webサービス・アプリケーションを作成してデプロイします。

2. Application Server Controlを使用して、デプロイしたWebサービスを保護します。

3. 「認証」タブをクリックし、いずれのオプションも選択されていなことを確認します。

4. 「インバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。

   • 「メッセージ本文に署名が必要」を選択します。

   • 「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。

   • 「有効期限」(秒)を入力します。

5. 「アウトバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。

   • 「メッセージのbody要素への署名」を選択します。

   • 「署名メソッド」を「RSA-SHA1」に設定します。

   • 「タイムスタンプの追加」および「タイムスタンプ中に作成時間が必要」を選択します。

   • 「有効期限」(秒)を入力します。

6. 「インバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。

   • 「メッセージ本文に暗号化が必要」を選択します。

7. 「アウトバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。

   • 「メッセージのbody要素の暗号化」を選択します。

   • 「暗号化メソッド」を「AES-128」に設定します。

   • 公開鍵を暗号化に設定します。

8. キーストア・プロパティおよびアイデンティティ証明書を構成します。

   v3証明書付きのキーストアを使用していることを確認してください。

9. 「wsmgmt.xmlファイルの編集」の説明に従って、wsmgmt.xmlデプロイメント・ディスクリプタ・ファイルを編集します。

3.2.2.2 OWSM 12cクライアントの構成

1. OC4J 10g Webサービスのクライアント・プロキシを作成します。

2. oracle/wss10_message_protection_client_policyポリシーをアタッチします。

   ポリシーをアタッチする方法の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

3. 『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_username_token_with_message_protection_client_policyに関する説明に従って、このポリシーを構成します。

4. クライアントからWebサービス・メソッドを起動します。

wsmgmt.xmlファイルの編集

次のようにして、ORACLE_HOME/j2ee/oc4j_instance/config内のwsmgmt.xmlファイルを編集します。

1. インバウンド署名で、次のように指定します。

   <inbound><verify-signature><tbs-elements>
   <tbs-element
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
   -utility-1.0.xsd" local-part="Timestamp"/>
   ...
   

2. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。

   <outbound>/<signature>/<tbs-elements>
   <tbs-element
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
   -utility-1.0.xsd" local-part="Timestamp"/>
   ...
   

3. アウトバウンド暗号化で、次のようにキー・トランスポート・アルゴリズムを指定します。

   <outbound><encrypt>
   <keytransport-method>RSA-OAEP-MGF1P</keytransport-method>
   ...
   

3.3 メッセージ保護付きユーザー名トークン(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠するメッセージ保護付きユーザー名トークンを実装する方法について説明します。

• 「OC4J 10gクライアントおよびOWSM 12c Webサービスの構成」

• 「OWSM 12cクライアントおよびOC4J 10g Webサービスの構成」

3.3.1 OC4J 10gクライアントおよびOWSM 12c Webサービスの構成

OC4J 10gクライアントおよびOWSM 12c Webサービスを構成するには、次の手順を実行します。

3.3.1.1 OWSM 12c Webサービスの構成

1. OWSM 12c Webサービスを作成します。

2. oracle/wss10_username_token_with_message_protection_service_policyポリシーをWebサービスにアタッチします。

   ポリシーをアタッチする方法の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

3.3.1.2 OC4J 10gクライアントの構成

1. Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。

2. クライアント・プロキシ内のユーザー名およびパスワードを次のように指定します。

   port.setUsername(<username>)
   port.setPassword(<password>)
   

3. Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。

4. プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。

   • 「認証にユーザー名を使用」を選択します。

   • 「Nonceを追加」および「作成時間を追加」を選択解除します。

5. プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。

   • 「インバウンド署名リクエスト本体の検証」を選択します。

   • 「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。

   • 「有効期限」(秒)を入力します。

   • 「許容する署名アルゴリズム」の下のすべてのオプションを選択します。

6. プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド整合性」をクリックし、次のオプションを設定します。

   • 「アウトバウンド・メッセージの署名」を選択します。

   • 「アウトバウンド・メッセージにタイムスタンプを追加」および「タイムスタンプに必要な作成時間」を選択します。

   • 「有効期限」(秒)を入力します。

7. プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。

   • 「インバウンド・メッセージ・コンテンツの復号化」を選択します。

   • 「許容する署名アルゴリズム」の下のすべてのオプションを選択します。

8. プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。

   • 「アウトバウンド・メッセージの暗号化」を選択します。

   • 「アルゴリズム」を「AES-128」に設定します。

9. プロキシ・エディタ・ナビゲーション・バーの「キーストア・オプション」をクリックし、必要に応じてキーストア・プロパティを構成します。

   v3証明書付きのキーストアを使用していることを確認してください。

10. 「OK」をクリックし、ウィザードを閉じます。

11. 「構造」ペインで<appname>Binding_Stub.xmlをクリックし、「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。

12. Webサービスを起動します。

<appname>Binding_Stub.xmlファイルの編集

次のようにして、<appname>Binding_Stub.xmlファイルを編集します。

1. キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。

2. インバウンド署名で、次のように指定します。

   <inbound><verify-signature><tbs-elements>
   <tbs-element
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
   -utility-1.0.xsd" local-part="Timestamp" />
   ...
   

3. アウトバウンド署名で、次のようにタイムスタンプおよびUsernameTokenに署名が必要であることを指定します。

   <outbound>/<signature>/<tbs-elements>
   <tbs-element
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-
   utility-1.0.xsd" local-part="Timestamp"/>
    <tbs-element
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
   -secext-1.0.xsd" local-part="UsernameToken"/>
   ...
   

4. アウトバウンド暗号化で、次のようにキー・トランスポート・アルゴリズムを指定します。

   <outbound><encrypt>
   <keytransport-method>RSA-OAEP-MGF1P</keytransport-method>
   ...
   

5. アウトバウンド暗号化で、次のようにUsernameTokenに暗号化が必要であることを指定します。

   <outbound>/<encrypt>/<tbe-elements>
   <tbe-element local-part="UsernameToken"
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
   -secext-1.0.xsd" mode="CONTENT"/>
   ...
   

3.3.2 OWSM 12cクライアントおよびOC4J 10g Webサービスの構成

OWSM 12cクライアントおよびOC4J 10g Webサービスを構成するには、次の手順を実行します。

3.3.2.1 OC4J 10g Webサービスの構成

1. JAX-RPC Webサービスを作成してOC4Jにデプロイします。

2. Application Server Controlを使用して、デプロイしたWebサービスを保護します。

3. 「認証」タブをクリックし、次のオプションを設定します。

   • 「ユーザー名/パスワード認証の使用」を選択します。

   • 「パスワード」を「プレーン・テキスト」に設定します。

4. 「インバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。

   • 「メッセージ本文に署名が必要」を選択します。

   • 「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。

   • 「有効期限」(秒)を入力します。

5. 「アウトバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。

   • 「メッセージのbody要素への署名」を選択します。

   • 「署名メソッド」を「RSA-SHA1」に設定します。

   • 「タイムスタンプの追加」および「タイムスタンプ中に作成時間が必要」を選択します。

   • 「有効期限」(秒)を入力します。

6. 「インバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。

   • 「メッセージ本文に暗号化が必要」を選択します。

7. 「アウトバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。

   • 「メッセージのbody要素の暗号化」を選択します。

   • 「暗号化メソッド」を「AES-128」に設定します。

   • 公開鍵を暗号化に設定します。

8. キーストア・プロパティおよびアイデンティティ証明書を構成します。

   v3証明書付きのキーストアを使用していることを確認してください。

9. 「wsmgmt.xmlファイルの編集」の説明に従って、wsmgmt.xmlデプロイメント・ディスクリプタ・ファイルを編集します。

3.3.2.2 OWSM 12cクライアントの構成

1. OC4J 10g Webサービスのクライアント・プロキシを作成します。

2. oracle/wss10_username_token_with_message_protection_client_policyポリシーをアタッチします。

   ポリシーをアタッチする方法の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

3. 『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_username_token_with_message_protection_client_policyに関する説明に従って、このポリシーを構成します。

4. クライアントからWebサービス・メソッドを起動します。

wsmgmt.xmlファイルの編集

次のようにして、ORACLE_HOME/j2ee/oc4j_instance/config内のwsmgmt.xmlファイルを編集します。

1. インバウンド署名で、次のように指定します。

   <inbound><verify-signature><tbs-elements>
   <tbs-element
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
   -utility-1.0.xsd" local-part="Timestamp"/>
   ...
   

2. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。

   <outbound>/<signature>/<tbs-elements>
   <tbs-element
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
   -utility-1.0.xsd" local-part="Timestamp"/>
   ...
   

3. アウトバウンド暗号化で、次のようにUsernameTokenに暗号化が必要であることを指定します。

   <outbound>/<encrypt>/<tbe-elements>
   <tbe-element local-part="UsernameToken"
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
   -secext-1.0.xsd" mode="CONTENT"/>
   ...
   

3.4 メッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠するメッセージ保護付きSAMLトークン送信者保証を実装する方法について説明します。

• 「OC4J 10gクライアントおよびOWSM 12c Webサービスの構成」

• 「OWSM 12cクライアントおよびOC4J 10g Webサービスの構成」

3.4.1 OC4J 10gクライアントおよびOWSM 12c Webサービスの構成

OC4J 10gクライアントおよびOWSM 12c Webサービスを構成するには、次の手順を実行します。

3.4.1.1 OWSM 12c Webサービスの構成

1. OWSM 12c Webサービスを作成します。

2. oracle/wss10_saml_token__with_message_protection_service_policyポリシーをWebサービスにアタッチします。

   ポリシーをアタッチする方法の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

3.4.1.2 OC4J 10gクライアントの構成

1. Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。

2. Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。

3. プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。

   • 「SAMLトークンの使用」を選択します。

   • 「SAML詳細」をクリックします。

   • 「送信者保証確認」および「署名の使用」を選択します。

   • 「デフォルト・サブジェクト名」として、伝播する必要のあるユーザー名を入力します。

   • 「デフォルト発行者名」としてwww.oracle.comを入力します。

4. プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。

   • 「インバウンド署名リクエスト本体の検証」を選択します。

   • 「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。

   • 「有効期限」(秒)を入力します。

   • 「許容する署名アルゴリズム」の下のすべてのオプションを選択します。

5. プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド整合性」をクリックし、次のオプションを設定します。

   • 「アウトバウンド・メッセージの署名」を選択します。

   • 「アウトバウンド・メッセージにタイムスタンプを追加」および「タイムスタンプに必要な作成時間」を選択します。

   • 「有効期限」(秒)を入力します。

6. プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。

   • 「インバウンド・メッセージ・コンテンツの復号化」を選択します。

   • 「許容する署名アルゴリズム」の下のすべてのオプションを選択します。

7. プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。

   • 「アウトバウンド・メッセージの暗号化」を選択します。

   • 「アルゴリズム」を「AES-128」に設定します。

8. プロキシ・エディタ・ナビゲーション・バーの「キーストア・オプション」をクリックし、必要に応じてキーストア・プロパティを構成します。

   v3証明書付きのキーストアを使用していることを確認してください。

9. 「OK」をクリックし、ウィザードを閉じます。

10. 「構造」ペインで<appname>Binding_Stub.xmlをクリックし、「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。

11. Webサービス・メソッドを起動します。

<appname>Binding_Stub.xmlファイルの編集

次のようにして、<appname>Binding_Stub.xmlファイルを編集します。

1. キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。

2. インバウンド署名で、次のように指定します。

   <inbound><verify-signature><tbs-elements>
   <tbs-element
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
   -utility-1.0.xsd" local-part="Timestamp" />
   ...
   

3. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。

   <outbound>/<signature>/<tbs-elements>
   <tbs-element
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
   -utility-1.0.xsd" local-part="Timestamp"/>
   ...
   

4. アウトバウンド暗号化で、次のようにキー・トランスポート・アルゴリズムを指定します。

   <outbound><encrypt>
   <keytransport-method>RSA-OAEP-MGF1P</keytransport-method>
   ...
   

3.4.2 OWSM 12cクライアントおよびOC4J 10g Webサービスの構成

OWSM 12cクライアントおよびOC4J 10g Webサービスを構成するには、次の手順を実行します。

3.4.2.1 OC4J 10g Webサービスの構成

1. JAX-RPC Webサービスを作成してOC4Jにデプロイします。

2. Application Server Controlを使用して、デプロイしたWebサービスを保護します。

3. ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。

   • 「SAML認証の使用」を選択します。

   • 「送信者保証の許容」を選択します。

   • 「署名の検証」を選択解除します。

4. ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。

   • 「メッセージ本文に署名が必要」を選択します。

   • 「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。

   • 「有効期限」(秒)を入力します。

5. ナビゲーション・バーの「アウトバウンド整合性」をクリックし、次のオプションを設定します。

   • 「メッセージのbody要素への署名」を選択します。

   • 「署名メソッド」を「RSA-SHA1」に設定します。

   • 「タイムスタンプの追加」および「タイムスタンプ中に作成時間が必要」を選択します。

   • 「有効期限」(秒)を入力します。

6. ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。

   • 「メッセージ本文に暗号化が必要」を選択解除します。

7. ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。

   • 「メッセージのbody要素の暗号化」を選択します。

   • 「暗号化メソッド」を「AES-128」に設定します。

   • 公開鍵を暗号化に設定します。

8. キーストア・プロパティおよびアイデンティティ証明書を構成します。

   v3証明書付きのキーストアを使用していることを確認してください。

9. 「wsmgmt.xmlファイルの編集」の説明に従って、wsmgmt.xmlデプロイメント・ディスクリプタ・ファイルを編集します。

10. Webサービスを起動します。

3.4.2.2 OWSM 12cクライアントの構成

1. OC4J 10g Webサービスのクライアント・プロキシを作成します。

2. oracle/wss10_saml_token_with_message_protection_client_policyポリシーをアタッチします。

   ポリシーをアタッチする方法の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

3. 『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_saml_token_with_message_protection_client_policyに関する説明に従って、このポリシーを構成します。

4. クライアントからWebサービス・メソッドを起動します。

wsmgmt.xmlファイルの編集

次のようにして、ORACLE_HOME/j2ee/oc4j_instance/config内のwsmgmt.xmlファイルを編集します。

1. インバウンド署名で、次のように指定します。

   <inbound><verify-signature><tbs-elements>
   <tbs-element
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
   -utility-1.0.xsd" local-part="Timestamp"/>
   ...
   

2. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。

   <outbound>/<signature>/<tbs-elements>
   <tbs-element
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
   -utility-1.0.xsd" local-part="Timestamp"/>
   ...
   

3. アウトバウンド暗号化で、次のようにUsernameTokenに暗号化が必要であることを指定します。

   <outbound>/<encrypt>/<tbe-elements>
   <tbe-element local-part="UsernameToken"
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
   -secext-1.0.xsd" mode="CONTENT"/>
   ...
   

3.5 メッセージ保護付き相互認証(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠するメッセージ保護付き相互認証を実装する方法について説明します。

• 「OC4J 10gクライアントおよびOWSM 12c Webサービスの構成」

• 「OWSM 12cクライアントおよびOC4J 10g Webサービスの構成」

3.5.1 OC4J 10gクライアントおよびOWSM 12c Webサービスの構成

OC4J 10gクライアントおよびOWSM 12c Webサービスを構成するには、次の手順を実行します。

3.5.1.1 OWSM 12c Webサービスの構成

1. Webサービス・アプリケーションを作成します。

2. oracle/wss10_x509_token_with_message_protection_service_policyポリシーをWebサービスにアタッチします。

   ポリシーをアタッチする方法の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

3.5.1.2 OC4J 10gクライアントの構成

1. Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。

2. Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。

3. プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。

   • 「認証にX509を使用」を選択します。

4. プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。

   • 「インバウンド署名リクエスト本体の検証」を選択します。

   • 「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。

   • 「有効期限」(秒)を入力します。

   • 「許容する署名アルゴリズム」の下のすべてのオプションを選択します。

5. プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド整合性」をクリックし、次のオプションを設定します。

   • 「アウトバウンド・メッセージの署名」を選択します。

   • 「アウトバウンド・メッセージにタイムスタンプを追加」および「タイムスタンプに必要な作成時間」を選択します。

   • 「有効期限」(秒)を入力します。

6. プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。

   • 「インバウンド・メッセージ・コンテンツの復号化」を選択します。

   • 「許容する署名アルゴリズム」の下のすべてのオプションを選択します。

7. プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。

   • 「アウトバウンド・メッセージの暗号化」を選択します。

   • 「アルゴリズム」を「AES-128」に設定します。

8. プロキシ・エディタ・ナビゲーション・バーの「キーストア・オプション」をクリックし、必要に応じてキーストア・プロパティを構成します。

   v3証明書付きのキーストアを使用していることを確認してください。

9. 「OK」をクリックし、ウィザードを閉じます。

10. 「構造」ペインで<appname>Binding_Stub.xmlをクリックし、「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。

11. Webサービスを起動します。

<appname>Binding_Stub.xmlファイルの編集

次のようにして、<appname>Binding_Stub.xmlファイルを編集します。

1. キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。

2. インバウンド署名で、次のように指定します。

   <inbound><verify-signature><tbs-elements>
   <tbs-element
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
   -utility-1.0.xsd" local-part="Timestamp" />
   ...
   

3. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。

   <outbound>/<signature>/<tbs-elements>
   <tbs-element
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
   -utility-1.0.xsd" local-part="Timestamp"/>
   ...
   

4. アウトバウンド暗号化で、次のようにキー・トランスポート・アルゴリズムを指定します。

   <outbound><encrypt>
   <keytransport-method>RSA-OAEP-MGF1P</keytransport-method>
   ...
   

3.5.2 OWSM 12cクライアントおよびOC4J 10g Webサービスの構成

OWSM 12cクライアントおよびOC4J 10g Webサービスを構成するには、次の手順を実行します。

3.5.2.1 OC4J 10g Webサービスの構成

1. JAX-RPC Webサービスを作成してOC4Jにデプロイします。

2. Application Server Controlを使用して、デプロイしたWebサービスを保護します。

3. 「認証」タブをクリックし、次のオプションを設定します。

   • 「X509証明書認証の使用」を選択します。

4. 「インバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。

   • 「メッセージ本文に署名が必要」を選択します。

   • 「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。

   • 「有効期限」(秒)を入力します。

5. 「アウトバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。

   • 「メッセージのbody要素への署名」を選択します。

   • 「署名メソッド」を「RSA-SHA1」に設定します。

   • 「タイムスタンプの追加」および「タイムスタンプ中に作成時間が必要」を選択します。

   • 「有効期限」(秒)を入力します。

6. 「インバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。

   • 「メッセージ本文に暗号化が必要」を選択します。

7. 「アウトバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。

   • 「メッセージのbody要素の暗号化」を選択します。

   • 「暗号化メソッド」を「AES-128」に設定します。

   • 公開鍵を暗号化に設定します。

8. キーストア・プロパティおよびアイデンティティ証明書を構成します。

   v3証明書付きのキーストアを使用していることを確認してください。

9. 「wsmgmt.xmlファイルの編集」の説明に従って、wsmgmt.xmlデプロイメント・ディスクリプタ・ファイルを編集します。

3.5.2.2 OWSM 12cクライアントの構成

1. OC4J 10g Webサービスへのクライアント・プロキシを作成します。

2. oracle/wss10_x509_token_with_message_protection_client_policyポリシーをアタッチします。

   ポリシーをアタッチする方法の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

3. 『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_x509_token_with_message_protection_client_policyに関する説明に従って、このポリシーを構成します。

4. Webサービスを起動します。

wsmgmt.xmlファイルの編集

次のようにして、ORACLE_HOME/j2ee/oc4j_instance/config内のwsmgmt.xmlファイルを編集します。

1. インバウンド署名で、次のように指定します。

   <inbound><verify-signature><tbs-elements>
   <tbs-element
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
   -utility-1.0.xsd" local-part="Timestamp"/>
   ...
   

2. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。

   <outbound>/<signature>/<tbs-elements>
   <tbs-element
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
   -utility-1.0.xsd" local-part="Timestamp"/>
   ...
   

3. アウトバウンド暗号化で、次のようにUsernameTokenに暗号化が必要であることを指定します。

   <outbound>/<encrypt>/<tbe-elements>
   <tbe-element local-part="UsernameToken"
   name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
   -secext-1.0.xsd" mode="CONTENT"/>
   ...
   

3.6 SSL経由のユーザー名トークン

次の各項では、SSL経由のユーザー名トークンを実装する方法について説明します。

• 「OC4J 10gクライアントおよびOWSM 12c Webサービスの構成」

• 「OWSM 12cクライアントおよびOC4J 10g Webサービスの構成」

次を参照してください。

• WebLogic ServerでのSSLの構成の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のトランスポート・レベルのセキュリティ(SSL)の構成に関する説明を参照してください。

• OC4JでのSSLの構成の詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください。

3.6.1 OC4J 10gクライアントおよびOWSM 12c Webサービスの構成

OC4J 10gクライアントおよびOWSM 12c Webサービスを構成するには、次の手順を実行します。

3.6.1.1 OWSM 12c Webサービスの構成

1. サーバーをSSL用に構成します。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のトランスポート・レベルのセキュリティ(SSL)の構成に関する説明を参照してください。

2. 次のポリシーの1つをWebサービスにアタッチします。

   oracle/wss_username_token_over_ssl_service_policy

   oracle/wss_username_or_saml_token_over_ssl_service_policy

   ポリシーをアタッチする方法の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

3.6.1.2 OC4J 10gクライアントの構成

1. Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。

   Webサービス・エンドポイントが、Oracle WebLogic ServerでHTTPSおよびSSLポートが構成されているURLを参照していることを確認してください。

2. 次のコードを(クライアント・プロキシ・コードの最初に)追加して、双方向SSLを初期化します。

   HostnameVerifier hv = new HostnameVerifier()
   httpsURLConnection.setDefaultHostnameVerifier(hv);
   System.setProperty("javax.net.ssl.trustStore","<trust_store>");
   System.setProperty("javax.net.ssl.trustStorePassword","<trust_store
   _password>");
   System.setProperty("javax.net.ssl.keyStore","<key_store>");
   System.setProperty("javax.net.ssl.keyStorePassword","<key_store_password>");
   System.setProperty("javax.net.ssl.keyStoreType","JKS");
   

3. Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。

4. プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。

   • 「認証にユーザー名を使用」を選択します。

   • 「Nonceを追加」および「作成時間を追加」を選択解除します。

5. プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、すべてのオプションを選択解除します。

6. プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、すべてのオプションを選択解除します。

7. プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、すべてのオプションを選択解除します。

8. プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、すべてのオプションを選択解除します。

9. プロキシ・エディタ・ナビゲーション・バーの「キーストア・オプション」をクリックし、必要に応じてキーストア・プロパティを構成します。

   v3証明書付きのキーストアを使用していることを確認してください。

10. 「OK」をクリックし、ウィザードを閉じます。

11. 「構造」ペインで<appname>Binding_Stub.xmlをクリックし、「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。

12. Webサービスを起動します。

<appname>Binding_Stub.xmlファイルの編集

次のようにして、<appname>Binding_Stub.xmlファイルを編集します。

1. キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。

2. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します(それ以外のタグはすべて削除します)。

   <outbound>
      <signature>
         <add-timestamp created="true" expiry="<Expiry_Time>"/> 
      </signature>
   ...
   

3.6.2 OWSM 12cクライアントおよびOC4J 10g Webサービスの構成

OWSM 12cクライアントおよびOC4J 10g Webサービスを構成するには、次の手順を実行します。

3.6.2.1 OC4J 10g Webサービスの構成

1. サーバーをSSL用に構成します。

   詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください。

2. Application Server Controlを使用して、デプロイしたWebサービスを保護します。

3. 「認証」タブをクリックし、次のオプションを設定します。

   • 「ユーザー名/パスワード認証の使用」を選択します。

4. 「インバウンド・ポリシー」ページの「完全性」タブをクリックし、すべてのオプションを選択解除します。

5. 「アウトバウンド・ポリシー」ページの「完全性」タブをクリックし、すべてのオプションを選択解除します。

6. 「インバウンド・ポリシー」ページの「秘匿性」タブをクリックし、すべてのオプションを選択解除します。

7. 「アウトバウンド・ポリシー」ページの「秘匿性」タブをクリックし、すべてのオプションを選択解除します。

8. 「wsmgmt.xmlファイルの編集」の説明に従って、wsmgmt.xmlデプロイメント・ディスクリプタ・ファイルを編集します。

3.6.2.2 OWSM 12cクライアントの構成

1. clientgenを使用して、OC4J 10g Webサービスへのクライアント・プロキシを作成します。

   Webサービス・エンドポイントが、Oracle WebLogic ServerでHTTPSおよびSSLポートが構成されているURLを参照していることを確認してください。

2. 次のコードを(クライアント・プロキシ・コードの最初に)追加して、双方向SSLを初期化します。

   HostnameVerifier hv = new HostnameVerifier()
   httpsURLConnection.setDefaultHostnameVerifier(hv);
   System.setProperty("javax.net.ssl.trustStore","<trust_store>");
   System.setProperty("javax.net.ssl.trustStorePassword","<trust_store
   _password>");
   System.setProperty("javax.net.ssl.keyStore","<key_store>");
   System.setProperty("javax.net.ssl.keyStorePassword","<key_store_password>");
   System.setProperty("javax.net.ssl.keyStoreType","JKS");
   

3. oracle/wss_username_token_over_ssl_client_policyポリシーをアタッチします。

   ポリシーをアタッチする方法の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

4. 『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss_username_token_over_ssl_client_policyに関する説明に従って、このポリシーを構成します。

5. Webサービスを起動します。

wsmgmt.xmlファイルの編集

次のようにして、ORACLE_HOME/j2ee/oc4j_instance/config内のwsmgmt.xmlファイルを編集します。

1. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します(それ以外のタグはすべて削除します)。

   <outbound>
      <signature>
         <add-timestamp created="true" expiry="<Expiry_Time>"/> 
      </signature>
   ...
   

3.7 SSL経由のSAMLトークン(送信者保証)(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠するSSL経由のSAMLトークン(送信者保証)を実装する方法について説明します。

• 「OC4J 10gクライアントおよびOWSM 12c Webサービスの構成」

• 「OWSM 12cクライアントおよびOC4J 10g Webサービスの構成」

次を参照してください。

• WebLogic ServerでのSSLの構成の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のトランスポート・レベルのセキュリティ(SSL)の構成に関する説明を参照してください。

• OC4JでのSSLの構成の詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください。

3.7.1 OC4J 10gクライアントおよびOWSM 12c Webサービスの構成

OC4J 10gクライアントおよびOWSM 12c Webサービスを構成するには、次の手順を実行します。

3.7.1.1 OWSM 12c Webサービスの構成

1. サーバーを双方向SSL用に構成します。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebLogic ServerへのSSLの構成(双方向)に関する説明を参照してください。

2. 次のポリシーをWebサービスにアタッチします。

   oracle/wss_saml_token_over_ssl_service_policy

   oracle/wss_username_or_saml_token_over_ssl_service_policy

   ポリシーをアタッチする方法の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

3.7.1.2 OC4J 10gクライアントの構成

1. サーバーを双方向SSL用に構成します。

   詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください。

2. Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。

   Webサービス・エンドポイントが、Oracle WebLogic ServerでHTTPSおよびSSLポートが構成されているURLを参照していることを確認してください。

3. 次のコードを(クライアント・プロキシ・コードの最初に)追加して、双方向SSLを初期化します。

   HostnameVerifier hv = new HostnameVerifier()
   httpsURLConnection.setDefaultHostnameVerifier(hv);
   System.setProperty("javax.net.ssl.trustStore","<trust_store>");
   System.setProperty("javax.net.ssl.trustStorePassword","<trust_store
   _password>");
   System.setProperty("javax.net.ssl.keyStore","<key_store>");
   System.setProperty("javax.net.ssl.keyStorePassword","<key_store_password>");
   System.setProperty("javax.net.ssl.keyStoreType","JKS");
   

4. Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。

5. プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。

   • 「SAMLトークンの使用」を選択します。

   • 「SAML詳細」をクリックします。

   • 「送信者保証確認」を選択します。

   • 「デフォルト・サブジェクト名」として有効なユーザー名を入力します。

6. プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。

   • 「署名されたインバウンド・メッセージ本体の検証」を選択解除します。

7. プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、すべてのオプションを選択解除します。

8. プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。

   • 「インバウンド・メッセージ・コンテンツの復号化」を選択解除します。

9. プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。

   • 「アウトバウンド・メッセージの暗号化」を選択解除します。

10. 使用するキーストアに必要な情報を指定します。

11. 「OK」をクリックし、ウィザードを閉じます。

12. 「構造」ペインで<appname>Binding_Stub.xmlをクリックし、「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。

13. Webサービスを起動します。

<appname>Binding_Stub.xmlファイルの編集

次のようにして、<appname>Binding_Stub.xmlファイルを編集します。

1. キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。

2. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します(それ以外のタグはすべて削除します)。

   <outbound>
      <signature>
         <add-timestamp created="true" expiry="<Expiry_Time>"/> 
      </signature>
   ...
   

3.7.2 OWSM 12cクライアントおよびOC4J 10g Webサービスの構成

OWSM 12cクライアントおよびOC4J 10g Webサービスを構成するには、次の手順を実行します。

3.7.2.1 OC4J 10g Webサービスの構成

1. サーバーを双方向SSL用に構成します。

   詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください。

2. Application Server Controlを使用して、デプロイしたWebサービスを保護します。

3. ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。

   • 「SAML認証の使用」を選択します。

   • 「送信者保証の許容」を選択します。

   • 「署名の検証」を選択解除します。

4. 「インバウンド・ポリシー」ページの「完全性」タブをクリックし、すべてのオプションを選択解除します。

5. 「アウトバウンド・ポリシー」ページの「完全性」タブをクリックし、すべてのオプションを選択解除します。

6. 「インバウンド・ポリシー」ページの「秘匿性」タブをクリックし、すべてのオプションを選択解除します。

7. 「アウトバウンド・ポリシー」ページの「秘匿性」タブをクリックし、すべてのオプションを選択解除します。

8. 「wsmgmt.xmlファイルの編集」の説明に従って、wsmgmt.xmlデプロイメント・ディスクリプタ・ファイルを編集します。

3.7.2.2 OWSM 12cクライアントの構成

1. サーバーを双方向SSL用に構成します。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebLogic ServerへのSSLの構成(双方向)に関する説明を参照してください。

2. OC4J 10g Webサービスへのクライアント・プロキシを作成します。

   Webサービス・エンドポイントが、Oracle WebLogic ServerでHTTPSおよびSSLポートが構成されているURLを参照していることを確認してください。

3. oracle/wss_saml_token_over_ssl_client_policyポリシーをアタッチします。

   ポリシーをアタッチする方法の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

4. 『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss_saml_token_over_ssl_client_policyに関する説明に従って、このポリシーを構成します。

5. Webサービスを起動します。

wsmgmt.xmlファイルの編集

次のようにして、ORACLE_HOME/j2ee/oc4j_instance/config内のwsmgmt.xmlファイルを編集します。

1. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します(それ以外のタグはすべて削除します)。

   <outbound>
      <signature>
         <add-timestamp created="true" expiry="<Expiry_Time>"/> 
      </signature>
   ...