2 OWSM 10gのセキュリティ環境との相互運用性

この章では、OWSM 10gのセキュリティ環境とOracle Web Services Manager (OWSM)の相互運用性について説明します。

この章では、次の項目について説明します。

• 第2.1項「OWSM 10gのセキュリティ環境との相互運用性の概要」

• 第2.2項「OWSM 10gのゲートウェイに関する注記」

• 第2.3項「サード・パーティ・ソフトウェアに関する注記」

• 第2.4項「メッセージ保護付き匿名認証(WS-Security 1.0)」

• 第2.5項「メッセージ保護付きユーザー名トークン(WS-Security 1.0)」

• 第2.6項「メッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.0)」

• 第2.7項「メッセージ保護付き相互認証(WS-Security 1.0)」

• 第2.8項「SSL経由のユーザー名トークン」

• 第2.9項「SSL経由のSAMLトークン(送信者保証)(WS-Security 1.0)」

2.1 OWSM 10gのセキュリティ環境との相互運用性の概要

OWSM 10gでは、各ポリシー強制ポイントでポリシー・ステップを指定します。OWSM 10gのポリシー強制ポイントには、ゲートウェイとエージェントがあります。ポリシー・ステップは、特定のセキュリティ処理を扱うきめの細かい操作タスクです。認証および認可、暗号化および復号化、セキュリティ署名、トークン、資格証明の検証、変換などの処理を扱います。各操作タスクはWebサービス要求またはWebサービス応答のいずれかによって実行されます。OWSM 10gのポリシー・ステップの詳細は、http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/policy_steps.htm#BABIAHEGの『Oracle Web Services Manager管理者ガイド 10g (10.1.3.4)』で、Oracle Web Services Managerのポリシー・ステップに関する説明を参照してください。

OWSM 12cでは、ポリシーをWebサービス・エンドポイントにアタッチします。ポリシーはドメインレベルで定義された1つ以上のアサーションで構成されています。アサーションはセキュリティ要件の定義です。そのまま使用できる事前定義のポリシーとアサーションのセットが用意されています。

表2-1および表2-2は、セキュリティ要件(認証、メッセージ保護およびトランスポート)に基づいたOWSM 10gの最も一般的な相互運用性シナリオをまとめたものです。

詳細の参照先は、次のとおりです。

• OWSM事前定義済ポリシーについては、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の事前定義済ポリシーに関する説明を参照してください。

• OWSM 12cポリシーの構成およびアタッチについては、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービスの保護に関する説明およびポリシーのアタッチに関する説明を参照してください。

• OWSM 10gのポリシー・ステップの詳細は、http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/policy_steps.htm#BABIAHEGの『Oracle Web Services Manager管理者ガイド 10g (10.1.3.4)』で、Oracle Web Services Managerのポリシー・ステップに関する項を参照してください。

注意: 以降のシナリオでは、v3証明書付きのキーストアを使用していることを確認してください。 OWSM 10gのゲートウェイおよびサード・パーティ・ソフトウェアの使用に関する重要な情報は、「OWSM 10gのゲートウェイに関する注記」および「サード・パーティ・ソフトウェアに関する注記」を参照してください。

表2-1 OWSM 10gサービス・ポリシーとOWSM 12cクライアント・ポリシーの相互運用性

アイデンティティ・トークン	WS-Securityバージョン	メッセージ保護	トランスポート・セキュリティ	サービス・ポリシー	クライアント・ポリシー
匿名	1.0	はい	いいえ	リクエスト・パイプライン: 署名の復号化と検証 レスポンス・パイプライン: メッセージの署名と暗号化	oracle/wss10_message_protection_client_policy
ユーザー名	1.0	はい	いいえ	リクエスト・パイプライン: 復号化および署名の検証 資格証明の抽出(WS-BASICとして構成された資格証明) ファイルの認証 レスポンス・パイプライン: メッセージの署名と暗号化	oracle/wss10_username_token_with_message_protection_client_policy
SAML	1.0	はい	いいえ	リクエスト・パイプライン: XML復号化 SAML - WSS 1.0トークンの検証 レスポンス・パイプライン: メッセージの署名と暗号化	oracle/wss10_saml_token_with_message_protection_client_policy
相互認証	1.0	はい	いいえ	リクエスト・パイプライン: 復号化と検証 レスポンス・パイプライン: メッセージの署名と暗号化	oracle/wss10_x509_token_with_message_protection_client_policy
SSL経由のユーザー名	1.0および1.1	いいえ	はい	リクエスト・パイプライン: 資格証明の抽出 ファイルの認証	wss_username_token_over_ssl_client_policy
SSL経由のSAML	1.0および1.1	いいえ	はい	リクエスト・パイプライン: 資格証明の抽出 ファイルの認証	oracle/wss_saml_token_over_ssl_client_policy

表2-2 OWSM 12cサービス・ポリシーとOWSM 10gクライアント・ポリシーの相互運用性

アイデンティティ・トークン	WS-Securityバージョン	メッセージ保護	トランスポート・セキュリティ	サービス・ポリシー	クライアント・ポリシー
匿名	1.0	はい	いいえ	oracle/wss10_message_protection_service_policy	リクエスト・パイプライン: メッセージの署名と暗号化 レスポンス・パイプライン: 署名の復号化と検証
ユーザー名	1.0	はい	いいえ	oracle/wss10_username_token_with_message_protection_service_policy	リクエスト・パイプライン: メッセージの署名と暗号化 レスポンス・パイプライン: 署名の復号化と検証
SAML	1.0	はい	いいえ	oracle/wss10_saml_token_with_message_protection_service_policy	リクエスト・パイプライン: 資格証明の抽出(WS-BASICとして構成された資格証明) SAML - WSS 1.0送信者保証トークンの挿入 署名と暗号化 レスポンス・パイプライン: 署名の復号化と検証
相互認証	1.0	はい	いいえ	oracle/wss10_x509_token_with_message_protection_service_policy	リクエスト・パイプライン: メッセージの署名と暗号化 レスポンス・パイプライン: 署名の復号化と検証
SSL経由のユーザー名	1.0および1.1	いいえ	はい	wss_username_token_over_ssl_service_policy	該当せず
SSL経由のSAML	1.0および1.1	いいえ	はい	oracle/wss_saml_token_over_ssl_service_policy	リクエスト・パイプライン: 資格証明の抽出 SAML - WSS 1.0送信者保証トークンの挿入

次の各項では、OWSM 12cでのOWSM 10gのゲートウェイおよびサード・パーティ・ソフトウェアの使用に関する追加の相互運用性情報を示します。

2.2 OWSM 10gのゲートウェイに関する注記

Oracle Fusion Middleware 12c (12.1.2)には、ゲートウェイ・コンポーネントは含まれていません。OWSM 10gのゲートウェイ・コンポーネントを、OWSM 10gのポリシーとともにアプリケーションで引き続き使用できます。

2.3 サード・パーティ・ソフトウェアに関する注記

OWSM 10gでは、IBM WebSphereおよびRed Hat JBossなどのサード・パーティのアプリケーション・サーバーのポリシー強制がサポートされています。Oracle Fusion Middleware 12c (12.1.2)でサポートされるのは、Oracle WebLogic Serverのみです。OWSM 10gポリシーを使用すると、引き続きサード・パーティ・アプリケーションのサーバーを使用できます。

2.4 メッセージ保護付き匿名認証(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠するメッセージ保護付き匿名認証を実装する方法について説明します。

• 「OWSM 10gクライアントおよびOWSM 12c Webサービスの構成」

• 「OWSM 12cクライアントおよびOWSM 10g Webサービスの構成」

2.4.1 OWSM 10gクライアントおよびOWSM 12c Webサービスの構成

OWSM 10gクライアントおよびOWSM 12c Webサービスを構成するには、次の手順を実行します。

2.4.1.1 OWSM 12c Webサービスの構成

1. oracle/wss10_message_protection_service_policyポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

2. 次のようにして、ポリシー設定を編集します。

   1. 「タイムスタンプを含める」構成設定を無効にします。

   2. それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください。

3. ポリシーをWebサービスにアタッチします。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

2.4.1.2 OWSM 10gクライアントの構成

1. (前述の)WebサービスをOWSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOWSMの管理者ガイド10gで、OWSMゲートウェイへのWebサービスの登録に関する説明を参照してください。

2. 「メッセージの署名と暗号化」ポリシー・ステップをリクエスト・パイプラインにアタッチします。

3. リクエスト・パイプライン内の「メッセージの署名と暗号化」ポリシー・ステップを次のように構成します。

   1. 「暗号化アルゴリズム」を「AES-128」に設定します。

   2. 「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。

   3. メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

4. 「署名の復号化と検証」ポリシー・ステップをレスポンス・パイプラインにアタッチします。

5. レスポンス・パイプライン内の「署名の復号化と検証」ポリシー・ステップを次のように構成します。

   1. 復号化および署名検証のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

6. OWSMテスト・ページにナビゲートし、Webサービスの仮想化されたURLを入力します。

7. Webサービスを起動します。

2.4.2 OWSM 12cクライアントおよびOWSM 10g Webサービスの構成

OWSM 12cクライアントおよびOWSM 10g Webサービスを構成するには、次の手順を実行します。

2.4.2.1 OWSM 10g Webサービスの構成

1. WebサービスをOWSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOWSMの管理者ガイド10gで、OWSMゲートウェイへのWebサービスの登録に関する説明を参照してください。

2. 「署名の復号化と検証」ポリシー・ステップをリクエスト・パイプラインにアタッチします。

3. リクエスト・パイプライン内の「署名の復号化と検証」ポリシー・ステップを次のように構成します。

   1. 復号化および署名検証のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

4. 「メッセージの署名と暗号化」ポリシー・ステップをレスポンス・パイプラインにアタッチします。

5. レスポンス・パイプライン内の「メッセージの署名と暗号化」ポリシーを次のように構成します。

   1. 「暗号化アルゴリズム」を「AES-128」に設定します。

   2. 「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。

   3. メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

2.4.2.2 OWSM 12cクライアントの構成

1. OWSMゲートウェイに登録されているWebサービスの仮想化されたURLを使用して、クライアント・プロキシを作成します。

2. oracle/wss10_message_protection_client_policy.ポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

   次のようにして、ポリシー設定を編集します。

   1. 「タイムスタンプを含める」構成設定を無効にします。

   2. それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください。

3. ポリシーをWebサービス・クライアントにアタッチします。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

4. 『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_message_protection_client_policyに関する説明に従って、このポリシーを構成します。

5. Webサービスを起動します。

2.5 メッセージ保護付きユーザー名トークン(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠するメッセージ保護付きユーザー名トークンを実装する方法について説明します。

• 「OWSM 10gクライアントおよびOWSM 12c Webサービスの構成」

• 「OWSM 12cクライアントおよびOWSM 10g Webサービスの構成」

2.5.1 OWSM 10gクライアントおよびOWSM 12c Webサービスの構成

OWSM 10gクライアントおよびOWSM 12c Webサービスを構成するには、次の手順を実行します。

2.5.1.1 OWSM 12c Webサービスの構成

1. oracle/wss10_username_token_with_message_protection_service_policyポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

   次のようにして、ポリシー設定を編集します。

   1. 「タイムスタンプを含める」構成設定を無効にします。

   2. それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください。

2. ポリシーをWebサービスにアタッチします。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

2.5.1.2 OWSM 10gクライアントの構成

1. (前述の)WebサービスをOWSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOWSMの管理者ガイド10gで、OWSMゲートウェイへのWebサービスの登録に関する説明を参照してください。

2. 「メッセージの署名と暗号化」ポリシー・ステップをリクエスト・パイプラインにアタッチします。

3. リクエスト・パイプライン内の「メッセージの署名と暗号化」ポリシー・ステップを次のように構成します。

   1. 「暗号化アルゴリズム」を「AES-128」に設定します。

   2. 「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。

   3. 「暗号化されたコンテンツ」を「エンベロープ」に設定します。

   4. 「署名されたコンテンツ」を「エンベロープ」に設定します。

   5. メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

4. 「署名の復号化と検証」ポリシー・ステップをレスポンス・パイプラインにアタッチします。

5. レスポンス・パイプライン内の「署名の復号化と検証」ポリシー・ステップを次のように構成します。

   1. 復号化および署名検証のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

6. OWSMテスト・ページにナビゲートし、Webサービスの仮想化されたURLを入力します。

7. WS-Securityに対応するヘッダーを含めるチェック・ボックスを選択し、有効な資格証明を指定します。

8. Webサービスを起動します。

2.5.2 OWSM 12cクライアントおよびOWSM 10g Webサービスの構成

OWSM 12cクライアントおよびOWSM 10g Webサービスを構成するには、次の手順を実行します。

2.5.2.1 OWSM 10g Webサービスの構成

1. WebサービスをOWSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOWSMの管理者ガイド10gで、OWSMゲートウェイへのWebサービスの登録に関する説明を参照してください。

2. 次のポリシー・ステップをリクエスト・パイプラインにアタッチします。

   - 署名の復号化と検証

   - 資格証明の抽出(WS-BASICとして構成された資格証明)

   - ファイルの認証

   
   

   注意: 「ファイルの認証」は、「LDAPの認証」、「Oracle Access Managerの認証」、「Active Directoryの認証」または「SiteMinderの認証」に置き換えることができます。

   
   

3. リクエスト・パイプライン内の「署名の復号化と検証」ポリシー・ステップを次のように構成します。

   1. 資格証明を抽出するためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

4. リクエスト・パイプライン内の「資格証明の抽出」ポリシー・ステップを次のように構成します。

   1. 「資格証明の場所」を「WS-BASIC」に設定します。

5. リクエスト・パイプライン内の「ファイルの認証」ポリシー・ステップを、有効な資格証明を使用するように構成します。

6. 「メッセージの署名と暗号化」ポリシー・ステップをレスポンス・パイプラインにアタッチします。

7. レスポンス・パイプライン内の「メッセージの署名と暗号化」ポリシーを次のように構成します。

   1. 「暗号化アルゴリズム」を「AES-128」に設定します。

   2. 「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。

   3. メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

2.5.2.2 OWSM 12cクライアントの構成

1. OWSMゲートウェイに登録されているWebサービスの仮想化されたURLを使用して、クライアント・プロキシを作成します。

2. oracle/wss10_username_token_with_message_protection_client_policyポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

   次のようにして、ポリシー設定を編集します。

   1. 「タイムスタンプを含める」構成設定を無効にします。

   2. それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください。

3. ポリシーをWebサービス・クライアントにアタッチします。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

4. 『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_username_token_with_message_protection_client_policyに関する説明に従って、このポリシーを構成します。

5. Webサービスを起動します。

2.6 メッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠するメッセージ保護付きSAMLトークン(送信者保証)を実装する方法について説明します。

• 「OWSM 10gクライアントおよびOWSM 12c Webサービスの構成」

• 「OWSM 12cクライアントおよびOWSM 10g Webサービスの構成」

2.6.1 OWSM 10gクライアントおよびOWSM 12c Webサービスの構成

OWSM 10gクライアントおよびOWSM 12c Webサービスを構成するには、次の手順を実行します。

2.6.1.1 OWSM 12c Webサービスの構成

1. oracle/wss10_saml_token_with_message_protection_service_policy.ポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

   次のようにして、ポリシー設定を編集します。

   1. 「タイムスタンプを含める」構成設定を無効にします。

   2. それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください。

2. ポリシーをWebサービスにアタッチします。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

2.6.1.2 OWSM 10gクライアントの構成

1. (前述の)WebサービスをOWSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOWSMの管理者ガイド10gで、OWSMゲートウェイへのWebサービスの登録に関する説明を参照してください。

2. 次のポリシー・ステップをリクエスト・パイプラインにアタッチします。

   - 資格証明の抽出(WS-BASICとして構成された資格証明)

   - SAML - WSS 1.0送信者保証トークンの挿入

   - メッセージの署名と暗号化

3. リクエスト・パイプライン内の「資格証明の抽出」ポリシー・ステップを次のように構成します。

   1. 「資格証明の場所」を「WS-BASIC」に設定します。

4. リクエスト・パイプライン内の「SAML - WSS 1.0送信者保証トークンの挿入」ポリシー・ステップを次のように構成します。

   1. 「サブジェクト名修飾子」をwww.oracle.comに設定します。

   2. 「アサーション発行者」をwww.oracle.comとして設定します。

   3. 「サブジェクト・フォーマット」を「未指定」として設定します。

   4. その他の署名プロパティを必要に応じて設定します。

5. リクエスト・パイプライン内の「メッセージの署名と暗号化」ポリシー・ステップを次のように構成します。

   1. 「暗号化アルゴリズム」を「AES-128」に設定します。

   2. 「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。

   3. 復号化および署名検証のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

6. 「署名の復号化と検証」ポリシー・ステップをレスポンス・パイプラインにアタッチします。

7. レスポンス・パイプライン内の「署名の復号化と検証」ポリシー・ステップを次のように構成します。

   1. 復号化および署名検証のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

8. OWSMテスト・ページにナビゲートし、Webサービスの仮想化されたURLを入力します。

9. WS-Securityに対応するヘッダーを含めるチェック・ボックスを選択し、有効な資格証明を指定します。

10. Webサービスを起動します。

2.6.2 OWSM 12cクライアントおよびOWSM 10g Webサービスの構成

OWSM 12cクライアントおよびOWSM 10g Webサービスを構成するには、次の手順を実行します。

2.6.2.1 OWSM 10g Webサービスの構成

1. WebサービスをOWSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOWSMの管理者ガイド10gで、OWSMゲートウェイへのWebサービスの登録に関する説明を参照してください。

2. 次のポリシー・ステップをリクエスト・パイプラインにアタッチします。

   - XML復号化

   - SAML - WSS 1.0トークンの検証

3. リクエスト・パイプライン内の「XML復号化」ポリシー・ステップを次のように構成します。

   1. XML復号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

4. リクエスト・パイプライン内の「SAML - WSS 1.0トークンの検証」ポリシー・ステップを次のように構成します。

   1. 「信頼できる発行者名」をwww.oracle.comとして設定します。

5. 「メッセージの署名と暗号化」ポリシー・ステップをレスポンス・パイプラインにアタッチします。

6. レスポンス・パイプライン内の「メッセージの署名と暗号化」ポリシー・ステップを次のように構成します。

   1. 「暗号化アルゴリズム」を「AES-128」に設定します。

   2. 「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。

   3. メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

2.6.2.2 OWSM 12cクライアントの構成

1. OWSMゲートウェイに登録されているWebサービスの仮想化されたURLを使用して、クライアント・プロキシを作成します。

2. oracle/wss10_saml_token_with_message_protection_client_policyポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

   次のようにして、ポリシー設定を編集します。

   1. 「タイムスタンプを含める」構成設定を無効にします。

   2. それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください。

3. ポリシーをWebサービス・クライアントにアタッチします。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

4. 『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_saml_token_with_message_protection_client_policyに関する説明に従って、このポリシーを構成します。

5. Webサービスを起動します。

2.7 メッセージ保護付き相互認証(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠するメッセージ保護付き相互認証を実装する方法について説明します。

• 「OWSM 10gクライアントおよびOWSM 12c Webサービスの構成」

• 「OWSM 12cクライアントおよびOWSM 10g Webサービスの構成」

2.7.1 OWSM 10gクライアントおよびOWSM 12c Webサービスの構成

OWSM 10gクライアントおよびOWSM 12c Webサービスを構成するには、次の手順を実行します。

2.7.1.1 OWSM 12c Webサービスの構成

1. oracle/wss10_x509_token_with_message_protection_service_policyポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

   次のようにして、ポリシー設定を編集します。

   1. 「タイムスタンプを含める」構成設定を無効にします。

   2. それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください。

2. ポリシーをWebサービスにアタッチします。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

2.7.1.2 OWSM 10gクライアントの構成

1. (前述の)WebサービスをOWSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOWSMの管理者ガイド10gで、OWSMゲートウェイへのWebサービスの登録に関する説明を参照してください。

2. 「メッセージの署名と暗号化」ポリシー・ステップをリクエスト・パイプラインにアタッチします。

3. リクエスト・パイプライン内の「メッセージの署名と暗号化」ポリシー・ステップを次のように構成します。

   1. 「暗号化アルゴリズム」を「AES-128」に設定します。

   2. 「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。

   3. メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

4. 「署名の復号化と検証」ポリシー・ステップをレスポンス・パイプラインにアタッチします。

5. レスポンス・パイプライン内の「署名の復号化と検証」ポリシー・ステップを次のように構成します。

   1. 復号化および署名検証のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

6. ORACLE_HOME/j2ee/oc4j_instance/applications/gateway/gateway/WEB-INFにあるgateway-config-installer.propertiesファイル内の次のプロパティを更新します。

   pep.securitysteps.signBinarySecurityToken=true

7. OWSM 10gゲートウェイを再起動します。

8. OWSMテスト・ページにナビゲートし、Webサービスの仮想化されたURLを入力します。

9. Webサービスを起動します。

2.7.2 OWSM 12cクライアントおよびOWSM 10g Webサービスの構成

OWSM 12cクライアントおよびOWSM 10g Webサービスを構成するには、次の手順を実行します。

2.7.2.1 OWSM 10g Webサービスの構成

1. WebサービスをOWSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOWSMの管理者ガイド10gで、OWSMゲートウェイへのWebサービスの登録に関する説明を参照してください。

2. 「復号化と検証」ポリシー・ステップをリクエスト・パイプラインにアタッチします。

3. リクエスト・パイプライン内の「署名の復号化と検証」ポリシー・ステップを次のように構成します。

   1. 復号化および署名検証のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

4. 「メッセージの署名と暗号化」ポリシー・ステップをレスポンス・パイプラインにアタッチします。

5. レスポンス・パイプライン内の「メッセージの署名と暗号化」ポリシー・ステップを次のように構成します。

   1. 「暗号化アルゴリズム」を「AES-128」に設定します。

   2. 「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。

   3. メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。

2.7.2.2 OWSM 12cクライアントの構成

1. OWSMゲートウェイに登録されているWebサービスの仮想化されたURLを使用して、クライアント・プロキシを作成します。

2. oracle/wss10_x509_token_with_message_protection_client_policyポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

   次のようにして、ポリシー設定を編集します。

   1. 「タイムスタンプを含める」構成設定を無効にします。

   2. それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください。

3. ポリシーをWebサービス・クライアントにアタッチします。

   ポリシーをアタッチする方法の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

4. 『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_x509_token_with_message_protection_client_policyに関する説明に従って、このポリシーを構成します。

5. Webサービスを起動します。

2.8 SSL経由のユーザー名トークン

この項では、次のシナリオにおいてSSL経由のユーザー名トークンを実装する方法について説明します。

• 「OWSM 10gクライアントおよびOWSM 12c Webサービスの構成」

• 「OWSM 12cクライアントおよびOWSM 10g Webサービスの構成」

詳細の参照先は、次のとおりです。

• WebLogic ServerでのSSLの構成の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のトランスポート・レベルのセキュリティ(SSL)の構成に関する説明を参照してください。

• OC4JでのSSLの構成の詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください。

2.8.1 OWSM 10gクライアントおよびOWSM 12c Webサービスの構成

OWSM 10gクライアントおよびOWSM 12c Webサービスを構成するには、次の手順を実行します。

2.8.1.1 OWSM 12c Webサービスの構成

1. サーバーをSSL用に構成します。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のトランスポート・レベルのセキュリティ(SSL)の構成に関する説明を参照してください。

2. wss_username_token_over_ssl_service_policyポリシーをアタッチします。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

2.8.1.2 OWSM 10gクライアントの構成

1. サーバーをSSL用に構成します。

   詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください。

2. (前述の)WebサービスをOWSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOWSMの管理者ガイド10gで、OWSMゲートウェイへのWebサービスの登録に関する説明を参照してください。

3. OWSMテスト・ページにナビゲートし、Webサービスの仮想化されたURLを入力します。

4. WS-Securityに対応するヘッダーを含めるチェック・ボックスを選択し、有効な資格証明を指定します。

5. Webサービスを起動します。

2.8.2 OWSM 12cクライアントおよびOWSM 10g Webサービスの構成

OWSM 12cクライアントおよびOWSM 10g Webサービスを構成するには、次の手順を実行します。

2.8.2.1 OWSM 10g Webサービスの構成

1. サーバーをSSL用に構成します。

   詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください。

2. WebサービスをOWSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOWSMの管理者ガイド10gで、OWSMゲートウェイへのWebサービスの登録に関する説明を参照してください。

3. 次のポリシー・ステップをリクエスト・パイプラインにアタッチします。

   - 資格証明の抽出

   - ファイルの認証

   
   

   注意: 「ファイルの認証」は、「LDAPの認証」、「Oracle Access Managerの認証」、「Active Directoryの認証」または「SiteMinderの認証」に置き換えることができます。

   
   

4. リクエスト・パイプライン内の「資格証明の抽出」ポリシー・ステップを次のように構成します。

   1. 「資格証明の場所」を「WS-BASIC」として設定します。

5. リクエスト・パイプライン内の「ファイルの認証」ポリシー・ステップを、適切な資格証明とともに構成します。

2.8.2.2 OWSM 12cクライアントの構成

1. OWSMゲートウェイに登録されているWebサービスの仮想化されたURLを使用して、クライアント・プロキシを作成します。

   クライアントを生成する際は、URL内にHTTPがHTTPポート番号とともに指定されていることを確認してください。

2. oracle/wss_username_token_over_ssl_client_policyポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

   次のようにして、ポリシー設定を編集します。

   1. 「タイムスタンプを含める」構成設定を無効にします。

   2. それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください。

3. ポリシーをWebサービス・クライアントにアタッチします。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

4. 『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss_username_token_over_ssl_client_policyに関する説明に従って、このポリシーを構成します。

5. Webサービスを起動します。

2.9 SSL経由のSAMLトークン(送信者保証)(WS-Security 1.0)

次の各項では、WS-Security 1.0標準に準拠するSSL経由のSAMLトークン(送信者保証)を実装する方法について説明します。

• 「OWSM 10gクライアントおよびOWSM 12c Webサービスの構成」

• 「OWSM 12cクライアントおよびOWSM 10g Webサービスの構成」

詳細の参照先は、次のとおりです。

• WebLogic ServerでのSSLの構成の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のトランスポート・レベルのセキュリティ(SSL)の構成に関する説明を参照してください。

• OC4JでのSSLの構成の詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください。

2.9.1 OWSM 10gクライアントおよびOWSM 12c Webサービスの構成

OWSM 10gクライアントおよびOWSM 12c Webサービスを構成するには、次の手順を実行します。

2.9.1.1 OWSM 12c Webサービスの構成

1. サーバーを双方向SSL用に構成します。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のトランスポート・レベルのセキュリティ(SSL)の構成に関する説明を参照してください。

2. oracle/wss_saml_token_over_ssl_service_policyポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

   次のようにして、ポリシー設定を編集します。

   1. 「タイムスタンプを含める」構成設定を無効にします。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください。

3. ポリシーをアタッチします。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

2.9.1.2 OWSM 10gクライアントの構成

1. サーバーを双方向SSL用に構成します。

   詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください。

2. (前述の)WebサービスをOWSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOWSMの管理者ガイド10gで、OWSMゲートウェイへのWebサービスの登録に関する説明を参照してください。

3. 次のポリシー・ステップをリクエスト・パイプラインにアタッチします。

   - 資格証明の抽出

   - SAML - WSS 1.0送信者保証トークンの挿入

4. リクエスト・パイプライン内の「追加の資格証明」ポリシー・ステップを次のように構成します。

   1. 「資格証明の場所」を「WS-BASIC」として設定します。

5. リクエスト・パイプライン内の「SAML - WSS 1.0送信者保証トークンの挿入」ポリシー・ステップを次のように構成します。

   1. 「サブジェクト名修飾子」をwww.oracle.comとして構成します。

   2. 「アサーション発行者」をwww.oracle.comとして構成します。

   3. 「サブジェクト・フォーマット」を「未指定」として構成します。

   4. 「アサーションに署名」を「false」として構成します。

6. OWSMテスト・ページにナビゲートし、Webサービスの仮想化されたURLを入力します。

7. WS-Securityに対応するヘッダーを含めるチェック・ボックスを選択し、有効な資格証明を指定します。

8. Webサービスを起動します。

2.9.2 OWSM 12cクライアントおよびOWSM 10g Webサービスの構成

OWSM 12cクライアントおよびOWSM 10g Webサービスを構成するには、次の手順を実行します。

2.9.2.1 OWSM 10g Webサービスの構成

1. サーバーを双方向SSL用に構成します。

   詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください。

2. WebサービスをOWSM 10gゲートウェイに登録します。http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htmのOWSMの管理者ガイド10gで、OWSMゲートウェイへのWebサービスの登録に関する説明を参照してください。

3. 「SAML - WSS 1.0トークンの検証」ポリシー・ステップをアタッチします。

4. リクエスト・パイプライン内の「SAML - WSS 1.0トークンの検証」ポリシー・ステップを次のように構成します。

   1. 「署名の検証プロパティ」で、「署名付きアサーションのみを許可」を「false」に設定します。

   2. 「信頼できる発行者名」をwww.oracle.comに設定します。

2.9.2.2 OWSM 12cクライアントの構成

1. サーバーを双方向SSL用に構成します。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebLogic ServerへのSSLの構成(双方向)に関する説明を参照してください。

2. OWSMゲートウェイに登録されているWebサービスの仮想化されたURLを使用して、クライアント・プロキシを作成します。

3. oracle/wss_saml_token_over_ssl_client_policyポリシーのコピーを作成します。

   
   

   注意: 使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。

   
   

   次のようにして、ポリシー設定を編集します。

   1. 「タイムスタンプを含める」構成設定を無効にします。

   2. それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください。

4. ポリシーをWebサービス・クライアントにアタッチします。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。

5. 『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss_saml_token_over_ssl_client_policyに関する説明に従って、このポリシーを構成します。

6. Webサービスを起動します。