| Oracle® Fusion Middleware Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理 12c (12.1.2) E47994-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理 12c (12.1.2) E47994-03 |
|
前 |
次 |
事前定義済アサーション・テンプレートは、独自のポリシーの作成または新規ポリシー作成のためのクローニングに使用します。この章では、現在のリリース用に定義されている事前定義済アサーション・テンプレートについて説明します。
|
注意:
|
この章の構成は、次のとおりです。
各表内の構成設定の詳細な説明については、「アサーション・テンプレート設定リファレンス」を参照してください。
各表内にリストされている構成プロパティの詳細な説明については、「アサーション・テンプレート構成プロパティ・リファレンス」を参照してください。構成プロパティを編集する方法の詳細は、「アサーション・テンプレートの構成プロパティの編集」を参照してください。ポリシーのオーバーライドの詳細は、「ポリシー構成のオーバーライドの概要」を参照してください。
次の項では、セキュリティ・アサーション・テンプレートをより詳細に説明します。
次のリンク(アルファベット順)を使用して、特定のアサーション・テンプレートの説明に移動できます。
oracle/http_spnego_token_client_templateまたはoracle/http_spnego_token_service_template
oracle/http_saml20_token_bearer_client_templateまたはoracle/http_saml20_token_bearer_service_template
oracle/wss_http_token_over_ssl_client_templateまたはoracle/wss_http_token_over_ssl_service_template
oracle/wss_http_token_client_templateまたはoracle/wss_http_token_service_template
oracle/wss_saml_token_bearer_over_ssl_client_templateまたはoracle/wss_saml_token_bearer_over_ssl_service_template
oracle/wss_saml20_token_bearer_over_ssl_client_templateまたはoracle/wss_saml20_token_bearer_over_ssl_service_template
oracle/wss_saml_token_over_ssl_client_templateまたはoracle/wss_saml_token_over_ssl_service_template
oracle/wss_saml20_token_over_ssl_client_templateまたはoracle/wss_saml20_token_over_ssl_service_template
oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_templateまたはoracle/wss_sts_issued_saml_bearer_token_over_ssl_service_template
oracle/wss_username_token_over_ssl_client_templateまたはoracle/wss_username_token_over_ssl_service_template
oracle/wss_username_token_client_templateまたはoracle/wss_username_token_service_template
oracle/wss_username_token_over_ssl_client_templateまたはoracle/wss_username_token_over_ssl_service_template
oracle/wss10_message_protection_client_templateまたはoracle/wss10_message_protection_service_template
oracle/wss10_saml_token_client_templateまたはoracle/wss10_saml_token_service_template
oracle/wss10_saml20_token_client_templateまたはoracle/wss10_saml20_token_service_template
oracle/wss10_saml_token_with_message_protection_client_templateまたはoracle/wss10_saml_token_with_message_protection_service_template
oracle/wss10_saml20_token_with_message_protection_client_templateまたはoracle/wss10_saml20_token_with_message_protection_service_template
oracle/wss10_username_token_with_message_protection_client_templateまたはoracle/wss10_username_token_with_message_protection_service_template
oracle/wss10_x509_token_with_message_protection_client_templateまたはoracle/wss10_x509_token_with_message_protection_service_template
oracle/wss11_kerberos_token_client_templateまたはoracle/wss11_kerberos_token_service_template
oracle/wss11_kerberos_token_with_message_protection_client_templateまたはoracle/wss11_kerberos_token_with_message_protection_service_template
oracle/wss11_saml_token_with_message_protection_client_templateまたはoracle/wss11_saml_token_with_message_protection_service_template
oracle/wss11_saml20_token_with_message_protection_client_templateまたはoracle/wss11_saml20_token_with_message_protection_service_template
oracle/wss11_sts_issued_saml_hok_with_message_protection_client_templateまたはoracle/wss11_sts_issued_saml_hok_with_message_protection_service_template
oracle/wss11_sts_issued_saml_with_message_protection_client_template
oracle/wss11_username_token_with_message_protection_client_templateまたはoracle/wss11_username_token_with_message_protection_service_template
oracle/wss11_x509_token_with_message_protection_client_templateまたはoracle/wss11_x509_token_with_message_protection_service_template
表19-1は、認証のみを実行するアサーション・テンプレートの概要、およびトークンがトランスポート・レイヤーまたはSOAPヘッダーに組み込まれるかどうかを示しています。
表19-1 認証のみのアサーション・テンプレート
| クライアント・テンプレート | サービス・テンプレート | 認証(トランスポート) | 認証(SOAP) | 認証(REST) | メッセージ保護(トランスポート) | メッセージ保護(SOAP) |
|---|---|---|---|---|---|---|
|
なし |
oracle/http_oam_token_service_template |
いいえ |
いいえ |
はい |
いいえ |
いいえ |
|
oracle/http_saml20_token_bearer_client_template |
oracle/http_saml20_token_bearer_service_template |
いいえ |
いいえ |
はい |
はい |
いいえ |
|
oracle/http_spnego_token_client_template |
oracle/http_spnego_token_service_template |
いいえ |
いいえ |
はい |
はい |
いいえ |
|
oracle/wss_http_token_client_template |
oracle/wss_http_token_service_template |
はい |
いいえ |
いいえ |
いいえ |
いいえ |
|
oracle/wss_username_token_client_template |
oracle/wss_username_token_service_template |
いいえ |
はい |
いいえ |
いいえ |
いいえ |
|
oracle/wss10_saml_token_client_template |
oracle/wss10_saml_token_service_template |
いいえ |
はい |
いいえ |
いいえ |
いいえ |
|
oracle/wss10_saml20_token_client_template |
oracle/wss10_saml20_token_service_template |
いいえ |
はい |
いいえ |
いいえ |
いいえ |
|
oracle/wss11_kerberos_token_client_template |
oracle/wss11_kerberos_token_service_template |
いいえ |
はい |
いいえ |
いいえ |
いいえ |
表示名: HTTP OAMサービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: http-oam-security
説明
http_oam_token_service_templateアサーション・テンプレートによって、OAMエージェントがユーザーを認証し、アイデンティティを確立したことが検証されます。このポリシーは、HTTPベースのすべてのエンドポイントに適用できます。
設定
表19-2は、http_oam_token_service_templateアサーション・テンプレートの設定を示しています。
構成
表19-3は、http_oam_token_service_templateアサーション・テンプレートのデフォルト構成プロパティを示しています。
表示名: HTTP Saml Bearer V2.0トークン・クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: http-saml20-bearer-security
説明
http_saml20_token_bearer_client_templateアサーション・テンプレートによって、アウトバウンドSOAPリクエスト・メッセージにSAML 2.0トークンが組み込まれます。確認方法がBearerのSAMLトークンが自動的に作成されます。
設定
表19-4は、http_saml20_token_bearer_client_templateアサーション・テンプレートの設定を示しています。
構成
表19-5は、http_saml20_token_bearer_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表19-5 http_saml20_token_bearer_client_templateの構成プロパティ
| Name | デフォルト値 | データ型 |
|---|---|---|
|
|
なし |
Optional |
|
|
|
Optional |
|
|
|
Optional |
|
|
|
Optional |
|
|
|
Optional |
|
|
なし |
Optional |
|
|
なし |
Optional |
|
saml.envelope.signature.required |
|
Optional |
|
|
なし |
Optional |
|
|
なし |
Optional |
表示名: HTTP Saml Bearer V2.0トークン・サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: http-saml20-bearer-security
説明
http_saml20_token_bearer_service_templateアサーション・テンプレートでは、WS-Security SOAPヘッダー内の、確認方式がBearerとなっているSAMLトークンに指定されている資格証明を使用して、ユーザーが認証されます。
設定
http_saml20_token_bearer_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表19-4を参照してください。
構成
表19-45は、http_saml20_token_bearer_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表19-6 http_saml20_token_bearer_service_templateの構成プロパティ
| Name | デフォルト値 | データ型 |
|---|---|---|
|
|
Null |
Optional |
|
saml.envelope.signature.required |
|
Optional |
|
|
なし |
Optional |
|
|
なし |
Optional |
表示名: SPNEGOトークン・クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: http-spnego-security
説明
http_spnego_token_client_templateアサーション・テンプレートは、KerberosトークンとSimple and Protected GSSAPI Negotiation Mechanism (SPNEGO)プロトコルを使用した認証を提供します。
設定
表19-7は、http_spnego_token_client_templateアサーション・テンプレートの設定を示しています。
構成
表19-8は、http_spnego_token_client_templateアサーション・テンプレートのデフォルト構成プロパティを示しています。
表示名: SPNEGOトークン・サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: http-spnego-security
説明
http_spnego_token_service_templateアサーション・テンプレートは、KerberosトークンとSPNEGOプロトコルを使用した認証を提供します。
設定
http_spnego_token_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表19-7を参照してください。
構成
表19-9は、http_spnego_token_service_templateアサーション・テンプレートのデフォルト構成プロパティを示しています。
表示名: Wss HTTPトークン・クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: http-security
説明
wss_http_token_client_templateアサーション・テンプレートでは、HTTPヘッダー内にユーザー名およびパスワード資格証明が組み込まれます。一方向認証または双方向認証が必要かどうかを制御できます。
設定
表19-10は、wss_http_token_client_templateアサーション・テンプレートの設定を示しています。
表19-10 wss_http_token_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
認証ヘッダー |
|
|
|
|
|
|
なし |
|
Transport Layer Security |
|
|
|
無効 |
|
Transport Layer Security - 相互認証が必要 |
無効 |
|
Transport Layer Security - タイムスタンプを含める |
無効 |
構成
表19-11は、wss_http_token_client_templateアサーション・テンプレートのデフォルト構成プロパティを示しています。
表示名: Wss HTTPトークン・サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: http-security
説明
wss_http_token_service_templateアサーション・テンプレートでは、HTTPヘッダーの資格証明を使用して、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーが認証されます。一方向認証または双方向認証が必要かどうかを制御できます。
設定
wss_http_token_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表19-10を参照してください。
構成
表19-12は、wss_http_token_service_templateアサーション・テンプレートのデフォルト構成プロパティを示しています。
表示名: Wssユーザー名トークン・クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-username-token
説明
wss_username_token_client_templateアサーション・テンプレートでは、WS-Security UsernameTokenヘッダー内にユーザー名およびパスワード資格証明を使用した認証が組み込まれます。アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
|
注意: ダイジェスト・パスワードを使用しないと、このテンプレートを使用して作成されたポリシーはセキュアではなくなります。このアサーションは、セキュリティが低くても問題にならない場合にのみプレーン・テキストでまたはパスワードなしで、または他のメカニズムでトランスポートが保護されていることがはっきりしている場合に使用してください。または、このアサーションのSSLバージョンであるoracle/wss_username_token_over_ssl_client_templateの使用を検討します。 |
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。
設定
表19-13は、wss_username_token_client_templateアサーション・テンプレートの設定を示しています。
構成
表19-14は、wss_username_token_client_templateアサーション・テンプレートのデフォルト構成プロパティを示しています。
表示名: Wssユーザー名トークン・サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-username-token
説明
wss_username_token_service_templateアサーション・テンプレートでは、WS-Security UsernameToken SOAPヘッダー内のユーザー名およびパスワード資格証明を使用した認証が実行されます。アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
|
注意: ダイジェスト・パスワードを使用しないと、このテンプレートを使用して作成されたポリシーはセキュアではなくなります。このアサーションは、セキュリティが低くても問題にならない場合にのみプレーン・テキストでまたはパスワードなしで、または他のメカニズムでトランスポートが保護されていることがはっきりしている場合に使用してください。または、このアサーションのSSLバージョンであるoracle/wss_username_token_over_ssl_service_templateの使用を検討します。 |
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。
設定
wss_username_token_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定については、表19-13を参照してください。
構成
表19-15は、wss_username_token_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss10 SAMLトークン・クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-token
説明
wss10_saml_token_client_templateアサーション・テンプレートでは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンが組み込まれます。SAMLトークンは自動的に作成されます。
設定
表19-16は、wss10_saml_token_client_templateアサーション・テンプレートの設定を示しています。
構成
表19-17は、wss10_saml_token_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss10 SAMLトークン・サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-token
説明
wss10_saml_token_service_templateアサーション・テンプレートでは、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明を使用してユーザーが認証されます。
設定
wss10_saml_token_service_templateの設定は、クライアント・バージョンのアサーションの設定と同じです。設定については、表19-16を参照してください。
構成
表19-18は、wss10_saml_token_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss10 SAML V2.0トークン・クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-token
説明
wss10_saml20_token_client_templateアサーション・テンプレートでは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンが組み込まれます。SAMLトークンは自動的に作成されます。
設定
表19-19は、wss10_saml20_token_client_templateアサーション・テンプレートの設定を示しています。
構成
表19-20は、wss10_saml20_token_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティの設定の詳細は、「アサーション・テンプレートの構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「ポリシー構成のオーバーライドの概要」を参照してください。
表示名: Wss10 SAML V2.0トークン・サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-token
説明
wss10_saml20_token_service_templateアサーション・テンプレートでは、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明を使用してユーザーが認証されます。
設定
wss10_saml20_token_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同様です。設定については、表19-19を参照してください。
構成
表19-21は、wss10_saml20_token_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティの設定の詳細は、「アサーション・テンプレートの構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「ポリシー構成のオーバーライドの概要」を参照してください。
表示名: Wss11 Kerberosトークン・クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: kerberos-security
説明
wss11_kerberos_token_client_templateアサーション・テンプレートでは、WS-Security Kerberos Token Profile v1.1標準に従って、WS-SecurityヘッダーにKerberosトークンが組み込まれます。
設定
表19-22は、wss11_kerberos_token_client_templateアサーション・テンプレートの設定を示しています。
構成
表19-23は、wss11_kerberos_token_client_templateアサーション・テンプレートのデフォルト構成プロパティを示しています。
表示名: Wss11 Kerberosトークン・サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: kerberos-security
説明
wss11_kerberos_token_service_templateアサーション・テンプレートは、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。このテンプレートは、SOAPヘッダーからKerberosトークンを抽出し、ユーザーを認証します。コンテナには、Oracle Platform Security Servicesを介して構成されたKerberosインフラストラクチャが含まれている必要があります。
設定
wss11_keberos_token_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定については、表19-22を参照してください。
構成
表19-24は、wss11_kerberos_token_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表19-25は、メッセージ保護のみを実行するアサーション・テンプレートの概要、およびトークンがトランスポート・レイヤーまたはSOAPヘッダーに組み込まれるかどうかを示しています。
表19-25 メッセージ保護のみのアサーション・テンプレート
| クライアント・テンプレート | サービス・テンプレート | 認証(トランスポート) | 認証(SOAP) | メッセージ保護(トランスポート) | メッセージ保護(SOAP) |
|---|---|---|---|---|---|
|
oracle/wss10_message_protection_client_template |
oracle/wss10_message_protection_service_template |
いいえ |
いいえ |
いいえ |
はい |
|
oracle/wss11_message_protection_client_template |
oracle/wss11_message_protection_service_template |
いいえ |
いいえ |
いいえ |
はい |
表示名: Wss10メッセージ保護クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-anonymous-with-certificates
説明
wss10_message_protection_client_templateアサーション・テンプレートでは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)が実行されます。
設定
表19-26は、wss10_message_protection_client_templateアサーション・テンプレートの設定を示しています。
表19-26 wss10_message_protection_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
X509トークン |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
無効 |
|
|
無効 |
|
セキュア通信 |
|
|
|
無効 |
|
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
|
無効 |
|
|
有効 |
|
|
有効 |
|
|
有効 |
|
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
|
|
|
有効 |
|
|
無効 |
|
なし |
|
|
|
なし |
|
|
なし |
構成
表19-27は、wss10_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss10メッセージ保護サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-anonymous-with-certificates
説明
wss10_message_protection_service_templateアサーション・テンプレートでは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)が実行されます。
設定
wss10_message_protection_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定については、表19-26を参照してください。
構成
表19-28は、wss10_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss11メッセージ保護クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-anonymous-with-certificates
説明
wss11_message_protection_client_templateアサーション・テンプレートでは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)が実行されます。
設定
表19-29は、wss11_message_protection_client_templateアサーション・テンプレートの設定を示しています。
表19-29 wss11_message_protection_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
X509トークン |
|
|
|
|
|
|
有効 |
|
|
無効 |
|
|
無効 |
|
セキュア通信 |
|
|
|
無効 |
|
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
|
無効 |
|
|
有効 |
|
|
有効 |
|
|
有効 |
|
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
|
|
|
有効 |
|
|
無効 |
|
|
有効 |
|
なし |
|
|
|
なし |
|
|
なし |
構成
表19-30は、wss11_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss11メッセージ保護サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-anonymous-with-certificates
説明
wss11_message_protection_service_templateアサーション・テンプレートでは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)が実行されます。
設定
wss11_message_protection_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定については、表19-29を参照してください。
構成
表19-31は、wss11_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表19-32は、メッセージ保護および認証の両方を実行するアサーション・テンプレートの概要、およびトークンがトランスポート・レイヤーまたはSOAPヘッダーに組み込まれるかどうかを示しています。
表19-32 メッセージ保護および認証のアサーション・テンプレート
表示名: Wss HTTP Token Over SSLクライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: http-security
説明
wss_http_token_over_ssl_client_templateアサーション・テンプレートでは、アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明が組み込まれ、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーが認証されます。このポリシーは、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのあらゆるクライアントに適用できます。
設定
表19-33は、wss_http_token_over_ssl_client_templateアサーション・テンプレートの設定を示しています。
表19-33 wss_http_token_over_ssl_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
認証ヘッダー |
|
|
|
|
|
|
なし |
|
Transport Layer Security |
|
|
|
有効 |
|
Transport Layer Security - 相互認証が必要 |
無効 |
|
Transport Layer Security - タイムスタンプを含める |
無効 |
構成
表19-34は、wss_http_token_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss HTTP Token Over SSLサービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: http-security
説明
wss_http_token_over_ssl_service_templateアサーション・テンプレートでは、HTTPヘッダーの資格証明が抽出され、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーが認証されます。
設定
wss_http_token_over_ssl_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定については、表19-33を参照してください。
構成
表19-35は、wss_http_token_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss SAML Bearerトークン・クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-token
説明
wss_saml_token_bearer_client_templateアサーション・テンプレートでは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンが組み込まれます。確認方法がBearerのSAMLトークンが自動的に作成されます。
設定
表19-36は、wss_saml_token_bearer_client_templateアサーション・テンプレートの設定を示しています。
構成
表19-41は、wss_saml_token_bearer_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表19-37 wss_saml_token_bearer_client_templateの構成プロパティ
| Name | デフォルト値 | データ型 |
|---|---|---|
|
|
Null |
Optional |
|
|
|
Optional |
|
|
|
Optional |
|
|
|
Optional |
|
|
|
Optional |
|
|
Null |
Optional |
|
|
なし |
Optional |
|
saml.envelope.signature.required |
|
Optional |
|
|
なし |
Optional |
|
|
なし |
Optional |
|
|
なし |
Optional |
表示名: Wss SAML Bearerトークン・サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-token
説明
wss_saml_token_bearer_service_templateアサーション・テンプレートでは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンが組み込まれます。確認方法がBearerのSAMLトークンが自動的に作成されます。
設定
表19-36は、wss_saml_token_bearer_service_templateアサーション・テンプレートの設定を示しています。
構成
表19-41は、wss_saml_token_bearer_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表19-39 wss_saml_token_bearer_service_templateの構成プロパティ
| Name | デフォルト値 | データ型 |
|---|---|---|
|
|
|
定数 |
|
|
なし |
Optional |
|
saml.envelope.signature.required |
|
Optional |
|
|
なし |
Optional |
|
|
なし |
Optional |
表示名: Wss SAML Token Over SSL (Bearer確認方式)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-saml-token-bearer-over-ssl
説明
wss_saml_token_bearer_over_ssl_clientアサーション・テンプレートでは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンが組み込まれます。確認方法がBearerのSAMLトークンが自動的に作成されます。
設定
表19-40は、wss_saml_token_bearer_over_ssl_client_templateアサーション・テンプレートの設定を示しています。
表19-40 wss_saml_token_bearer_over_ssl_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
SAMLトークン・タイプ |
|
|
|
|
|
|
|
|
|
無効 |
|
|
無効 |
|
|
未指定 |
|
Transport Layer Security |
|
|
|
有効 |
|
Transport Layer Security - 相互認証が必要 |
無効 |
|
Transport Layer Security - タイムスタンプを含める |
無効 |
|
|
なし |
|
セキュア通信 |
|
|
|
無効 |
|
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
|
無効 |
|
|
有効 |
|
|
無効 |
|
|
有効 |
構成
表19-41は、wss_saml_token_bearer_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss SAML Token Over SSL (Bearer確認方式)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-saml-token-bearer-over-ssl
説明
wss_saml_token_bearer_over_ssl_service_templateアサーション・テンプレートでは、WS-Security SOAPヘッダー内の、確認方式がBearerとなっているSAMLトークンに指定されている資格証明を使用して、ユーザーが認証されます。
設定
wss_saml_token_bearer_over_ssl_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定については、表19-40を参照してください。
構成
表19-42は、wss_saml_token_bearer_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss SAML V2.0 Token Over SSL (Bearer確認方式)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-saml-token-bearer-over-ssl
説明
wss_saml20_token_bearer_over_ssl_client_templateアサーション・テンプレートでは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンが組み込まれます。確認方法がBearerのSAMLトークンが自動的に作成されます。
設定
表19-43は、wss_saml20_token_bearer_over_ssl_client_templateアサーション・テンプレートの設定を示しています。
表19-43 wss_saml20_token_bearer_over_ssl_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
SAMLトークン・タイプ |
|
|
|
|
|
|
|
|
|
無効 |
|
|
無効 |
|
|
未指定 |
|
Transport Layer Security |
|
|
|
有効 |
|
Transport Layer Security - 相互認証が必要 |
無効 |
|
Transport Layer Security - タイムスタンプを含める |
無効 |
|
|
なし |
|
セキュア通信 |
|
|
|
無効 |
|
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
|
無効 |
|
|
有効 |
|
|
無効 |
|
|
有効 |
構成
表19-44は、wss_saml20_token_bearer_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss SAML V2.0 Token Over SSL (Bearer確認方式)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-saml-token-bearer-over-ssl
説明
wss_saml20_token_bearer_over_ssl_service_templateアサーション・テンプレートでは、WS-Security SOAPヘッダー内の、確認方式がBearerとなっているSAMLトークンに指定された資格証明を使用して、ユーザーが認証されます。
設定
wss_saml20_token_bearer_over_ssl_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定については、表19-43を参照してください。
構成
表19-45は、wss_saml20_token_bearer_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss SAML Token Over SSLクライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-saml-token-over-ssl
説明
wss_saml_token_over_ssl_client_templateアサーション・テンプレートは、sender-vouches確認タイプを使用した、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証を可能にします。
設定
表19-46は、wss_saml_token_over_ssl_client_templateアサーション・テンプレートの設定を示しています。
表19-46 wss_saml_token_over_ssl_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
SAMLトークン・タイプ |
|
|
|
|
|
|
|
|
|
有効 |
|
|
無効 |
|
|
未指定 |
|
Transport Layer Security |
|
|
|
有効 |
|
Transport Layer Security - 相互認証が必要 |
有効 |
|
Transport Layer Security - タイムスタンプを含める |
無効 |
|
|
なし |
|
セキュア通信 |
|
|
|
無効 |
|
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
|
無効 |
|
|
有効 |
|
|
有効 |
|
|
有効 |
構成
表19-47は、wss_saml_token_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss SAML Token Over SSLサービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-saml-token-over-ssl
説明
wss_saml_token_over_ssl_service_templateでは、sender-vouches確認タイプを使用して、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証が実行されます。
設定
wss_saml_token_over_ssl_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定については、表19-46を参照してください。
構成
表19-48は、wss_saml_token_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss SAML V2.0 Token Over SSLクライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-saml-token-over-ssl
説明
wss_saml20_token_over_ssl_client_templateアサーション・テンプレートは、sender-vouches確認タイプを使用した、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証を可能にします。
設定
表19-49は、wss_saml20_token_over_ssl_client_templateアサーション・テンプレートの設定を示しています。
表19-49 wss_saml20_token_over_ssl_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
SAMLトークン・タイプ |
|
|
|
|
|
|
|
|
|
有効 |
|
|
無効 |
|
|
未指定 |
|
Transport Layer Security |
|
|
|
有効 |
|
Transport Layer Security - 相互認証が必要 |
有効 |
|
Transport Layer Security - タイムスタンプを含める |
無効 |
|
|
なし |
|
セキュア通信 |
|
|
|
無効 |
|
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
|
無効 |
|
|
有効 |
|
|
無効 |
|
|
有効 |
構成
表19-50は、wss_saml20_token_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss SAML V2.0 Token Over SSLサービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-saml-token-over-ssl
説明
wss_saml20_token_over_ssl_service_templateでは、sender-vouches確認タイプを使用して、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証が実行されます。
設定
wss_saml20_token_over_ssl_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定については、表19-49を参照してください。
構成
表19-51は、wss_saml20_token_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss Username Token Over SSLクライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-username-token-over-ssl
説明
wss_username_token_over_ssl_client_templateアサーション・テンプレートでは、アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明が組み込まれます。アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。
設定
表19-52は、wss_username_token_over_ssl_client_templateアサーション・テンプレートの設定を示しています。
表19-52 wss_username_token_over_ssl_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
ユーザー名トークン |
|
|
|
|
|
|
無効 |
|
|
有効 |
|
Transport Layer Security |
|
|
|
有効 |
|
Transport Layer Security - 相互認証が必要 |
無効 |
|
Transport Layer Security - タイムスタンプを含める |
無効 |
|
|
なし |
|
セキュア通信 |
|
|
|
無効 |
|
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
|
無効 |
|
|
有効 |
|
|
無効 |
|
|
有効 |
構成
表19-53は、wss_username_token_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss Username Token Over SSLサービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-username-token-over-ssl
説明
wss_username_token_over_ssl_service_templateアサーション・テンプレートでは、UsernameToken WS-Security SOAPヘッダーの資格証明を使用して、Oracle Platform Security Servicesの構成済のアイデンティティ・ストアに対してユーザーが認証されます。アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。
設定
wss_username_token_over_ssl_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定については、表19-52を参照してください。
構成
表19-54は、wss_username_token_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss10 SAML Holder-Of-Keyトークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-hok-with-certificates
説明
wss10_saml_hok_token_with_message_protection_client_templateアサーション・テンプレートでは、WS-Security 1.0標準に従って、アウトバウンドSOAPメッセージに対して、メッセージ保護(整合性と機密保護)およびSAML鍵所有者ベースの認証が実行されます。
設定
表19-55は、wss10_saml_hok_token_with_message_protection_client_templateアサーション・テンプレートの設定を示しています。
表19-55 wss10_saml_hok_token_with_message_protection_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
SAMLトークン・タイプ |
|
|
|
|
|
|
|
|
|
有効 |
|
|
無効 |
|
|
未指定 |
|
X509トークン |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
無効 |
|
|
無効 |
|
メッセージ・セキュリティ |
|
|
|
|
|
|
有効 |
|
|
無効 |
|
なし |
|
|
|
なし |
|
|
なし |
構成
表19-56は、wss10_saml_hok_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss10 SAML Holder-Of-Keyトークン(メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-hok-with-certificates
説明
wss10_saml_hok_token_with_message_protection_service_templateアサーション・テンプレートでは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストに対して、メッセージ保護およびSAML鍵所有者ベースの認証が実行されます。
設定
wss10_saml_hok_token_with_message_protection_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定については、表19-55を参照してください。
構成
表19-57は、wss10_saml_hok_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss10 SAMLトークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-with-certificates
説明
wss10_saml_token_with_message_protection_client_templateアサーション・テンプレートでは、WS-Security 1.0標準に従って、アウトバウンドSOAPメッセージのメッセージ・レベルの保護と、SAMLベースの認証が実行されます。
Webサービス・コンシューマにはSOAPヘッダーのSAMLトークンが含まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
設定
表19-58は、wss10_saml_token_with_message_protection_client_templateアサーション・テンプレートの設定を示しています。
表19-58 wss10_saml_token_with_message_protection_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
SAMLトークン・タイプ |
|
|
|
|
|
|
|
|
|
有効 |
|
|
無効 |
|
|
未指定 |
|
X509トークン |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
無効 |
|
|
無効 |
|
セキュア通信 |
|
|
|
無効 |
|
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
|
無効 |
|
|
有効 |
|
|
有効 |
|
|
有効 |
|
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
|
|
|
有効 |
|
|
無効 |
|
なし |
|
|
|
なし |
|
|
なし |
構成
表19-59は、wss10_saml_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss10 SAMLトークン(メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-with-certificates
説明
wss10_saml_token_with_message_protection_service_templateアサーション・テンプレートでは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAMLベースの認証が実行されます。
Webサービス・コンシューマにはSOAPヘッダーのSAMLトークンが含まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
設定
wss10_saml_token_with_message_protection_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定については、表19-58を参照してください。
構成
表19-60は、wss10_saml_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss10 SAML V2.0トークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-with-certificates
説明
wss10_saml20_token_with_message_protection_client_templateアサーション・テンプレートでは、WS-Security 1.0標準に従って、アウトバウンドSOAPメッセージに対して、メッセージ・レベルの保護およびSAMLベースの認証が実行されます。
Webサービス・コンシューマにはSOAPヘッダーのSAMLトークンが含まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
設定
表19-61は、wss10_saml20_token_with_message_protection_client_templateアサーション・テンプレートの設定を示しています。
表19-61 wss10_saml20_token_with_message_protection_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
SAMLトークン・タイプ |
|
|
|
|
|
|
|
|
|
有効 |
|
|
無効 |
|
|
未指定 |
|
X509トークン |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
無効 |
|
|
無効 |
|
セキュア通信 |
|
|
|
無効 |
|
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
|
無効 |
|
|
有効 |
|
|
有効 |
|
|
有効 |
|
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
|
|
|
有効 |
|
|
無効 |
|
なし |
|
|
|
なし |
|
|
なし |
構成
表19-62は、wss10_saml20_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss10 SAML V2.0トークン(メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-with-certificates
説明
wss10_saml20_token_with_message_protection_service_templateアサーション・テンプレートでは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAMLベースの認証が実行されます。
Webサービス・コンシューマにはSOAPヘッダーのSAMLトークンが含まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
設定
wss10_saml20_token_with_message_protection_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定については、表19-61を参照してください。
構成
表19-63は、wss10_saml20_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss10ユーザー名トークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-username-with-certificates
説明
wss10_username_token_with_message_protection_client_templateアサーション・テンプレートでは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証が実行されます。資格証明は、アウトバウンドSOAPメッセージのWS-Security UsernameTokenヘッダーに含まれます。
アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
設定
表19-64は、wss10_username_token_with_message_protection_client_templateアサーション・テンプレートの設定を示しています。
表19-64 wss10_username_token_with_message_protection_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
ユーザー名トークン |
|
|
|
|
|
|
無効 |
|
|
無効 |
|
|
有効 |
|
|
有効 |
|
X509トークン |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
無効 |
|
|
無効 |
|
セキュア通信 |
|
|
|
無効 |
|
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
|
無効 |
|
|
有効 |
|
|
有効 |
|
|
有効 |
|
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
|
|
|
有効 |
|
|
無効 |
|
なし |
|
|
|
なし |
|
|
なし |
構成
表19-65は、wss10_username_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss10ユーザー名トークン(メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-username-with-certificates
説明
wss10_username_token_with_message_protection_service_templateアサーション・テンプレートでは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証が実行されます。
アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
設定
wss10_username_token_with_message_protection_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定については、表19-64を参照してください。
構成
表19-66は、wss10_username_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss10 X509トークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-mutual-auth-with-certificates
説明
wss10_x509_token_with_message_protection_client_templateアサーション・テンプレートでは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および証明書資格証明の移入が実行されます。
設定
表19-67は、wss10_x509_token_with_message_protection_client_templateアサーション・テンプレートの設定を示しています。
表19-67 wss10_x509_token_with_message_protection_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
X509トークン |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
無効 |
|
|
無効 |
|
セキュア通信 |
|
|
|
無効 |
|
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
|
無効 |
|
|
有効 |
|
|
有効 |
|
|
有効 |
|
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
|
|
|
有効 |
|
|
無効 |
|
なし |
|
|
|
なし |
|
|
なし |
構成
表19-68は、wss10_x509_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss10 X509トークン(メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-mutual-auth-with-certificates
説明
wss10_x509_token_with_message_protection_service_templateアサーション・テンプレートでは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性と機密保護)および証明書ベースの認証が実行されます。
設定
wss10_x509_token_with_message_protection_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定については、表19-67を参照してください。
構成
表19-69は、wss10_x509_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss11 Kerberos Token Over SSLクライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-kerberos-over-ssl-security
説明
wss11_kerberos_token_over_ssl_client_templateアサーション・テンプレートでは、WS-Security Kerberos Token Profile v1.1標準に従って、WS-Security SOAPヘッダーにKerberosトークンが組み込まれます。Kerberosトークンは、EndorsingSupportingTokenとして通知され、認証およびタイムスタンプの署名にのみ使用されます。メッセージの保護は、SSLによって提供されます。
設定
表19-70は、wss11_kerberos_token_over_ssl_client_templateアサーション・テンプレートの設定を示しています。
表19-70 wss11_kerberos_token_over_ssl_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
Kerberosトークン・タイプ |
|
|
|
|
|
Transport Layer Security |
|
|
|
有効 |
|
Transport Layer Security - 相互認証が必要 |
無効 |
|
Transport Layer Security - タイムスタンプを含める |
有効 |
構成
表19-71は、wss11_kerberos_token_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss11 Kerberos Token Over SSLサービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-kerberos-over-ssl-security
説明
wss11_kerberos_token_service_templateアサーション・テンプレートは、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。このテンプレートは、SOAPヘッダーからKerberosトークンを抽出し、ユーザーを認証します。コンテナには、Oracle Platform Security Servicesを介して構成されたKerberosインフラストラクチャが含まれている必要があります。Kerberosトークンは、EndorsingSupportingTokenとして通知され、認証およびタイムスタンプの署名にのみ使用されます。メッセージの保護は、SSLによって提供されます。
設定
wss11_kerberos_token_over_ssl_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定については、表19-70を参照してください。
構成
表19-72は、wss11_kerberos_token_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss11 Kerberosトークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: kerberos-security
説明
wss11_kerberos_token_with_message_protection_client_templateアサーション・テンプレートでは、WS-Security Kerberos Token Profile v1.1標準に従って、WS-SecurityヘッダーにKerberosトークンが組み込まれます。
設定
表19-73は、wss11_kerberos_token_with_message_protection_client_templateアサーション・テンプレートの設定を示しています。
表19-73 wss11_kerberos_token_with_message_protection_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
Kerberosトークン・タイプ |
|
|
|
|
|
|
無効 |
|
セキュア通信 |
|
|
|
無効 |
|
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
|
無効 |
|
|
有効 |
|
|
有効 |
|
|
有効 |
|
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
|
|
|
有効 |
|
なし |
|
|
|
なし |
|
|
なし |
構成
表19-74は、wss11_kerberos_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss11 Kerberosトークン・サービス(メッセージ保護付き)アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: kerberos-security
説明
wss11_kerberos_token_with_message_protection_service_templateアサーション・テンプレートは、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。このテンプレートは、SOAPヘッダーからKerberosトークンを抽出し、ユーザーを認証します。コンテナには、Oracle Platform Security Servicesを介して構成されたKerberosインフラストラクチャが含まれている必要があります。
設定
wss11_keberos_token_with_message_protection_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定については、表19-73を参照してください。
構成
表19-75は、wss11_kerberos_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss11 SAMLトークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-saml-with-certificates
説明
wss11_saml_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.1に従った、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密保護)およびSAMLトークンの移入を可能にします。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
設定
表19-76は、wss11_saml_token_with_message_protection_client_templateアサーション・テンプレートの設定を示しています。
表19-76 wss11_saml_token_with_message_protection_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
SAMLトークン・タイプ |
|
|
|
|
|
|
|
|
|
有効 |
|
|
無効 |
|
|
未指定 |
|
X509トークン |
|
|
|
|
|
|
|
|
|
有効 |
|
|
無効 |
|
|
無効 |
|
セキュア通信 |
|
|
|
無効 |
|
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
|
無効 |
|
|
有効 |
|
|
有効 |
|
|
有効 |
|
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
|
|
|
有効 |
|
|
有効 |
|
|
無効 |
|
なし |
|
|
|
なし |
|
|
なし |
構成プロパティ
表19-77は、wss11_saml_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss11 SAMLトークン(メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-saml-with-certificates
説明
wss11_saml_token_with_message_protection_service_templateアサーション・テンプレートでは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストに対して、メッセージ・レベルの整合性の保護およびSAMLベースの認証が実行されます。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。
設定
wss11_saml_token_with_message_protection_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定については、表19-76を参照してください。
構成
表19-78は、wss11_saml_token__with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss11 SAML V2.0トークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-saml-with-certificates
説明
wss11_saml20_token_with_message_protection_client_templateアサーション・テンプレートは、WS-Security 1.1に従った、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密保護)およびSAMLトークンの移入を可能にします。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
設定
表19-79は、wss11_saml20_token_with_message_protection_client_templateアサーション・テンプレートの設定を示しています。
表19-79 wss11_saml20_token_with_message_protection_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
SAMLトークン・タイプ |
|
|
|
|
|
|
|
|
|
有効 |
|
|
無効 |
|
|
未指定 |
|
X509トークン |
|
|
|
|
|
|
|
|
|
有効 |
|
|
無効 |
|
|
無効 |
|
セキュア通信 |
|
|
|
無効 |
|
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
|
無効 |
|
|
有効 |
|
|
有効 |
|
|
有効 |
|
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
|
|
|
有効 |
|
|
有効 |
|
|
無効 |
|
なし |
|
|
|
なし |
|
|
なし |
構成
表19-80は、wss11_saml20_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss11 SAML V2.0トークン(メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-saml-with-certificates
説明
wss11_saml20_token_with_message_protection_service_templateアサーション・テンプレートでは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストに対して、メッセージ・レベルの整合性の保護およびSAMLベースの認証が実行されます。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。
設定
wss11_saml_token_with_message_protection_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定については、表19-78を参照してください。
構成
表19-81は、wss11_saml20_token__with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss11ユーザー名トークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-username-with-certificates
説明
ws11_username_token_with_message_protection_client_templateアサーション・テンプレートでは、WS-Security v1.1標準に従って、認証およびメッセージ保護が実行されます。
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
設定
表19-82は、wss11_username_token_with_message_protection_client_templateアサーション・テンプレートの設定を示しています。
表19-82 wss11_username_token_with_message_protection_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
ユーザー名トークン |
|
|
|
|
|
|
無効 |
|
|
無効 |
|
|
有効 |
|
|
有効 |
|
X509トークン |
|
|
|
|
|
|
有効 |
|
|
無効 |
|
|
無効 |
|
セキュア通信 |
|
|
|
無効 |
|
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
|
無効 |
|
|
有効 |
|
|
有効 |
|
|
有効 |
|
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
|
|
|
有効 |
|
|
有効 |
|
|
無効 |
|
なし |
|
|
|
なし |
|
|
なし |
構成
表19-83は、wss11_username_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss11ユーザー名トークン(メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-username-with-certificates
説明
ws11_username_token_with_message_protection_service_templateアサーション・テンプレートでは、WS-Security v1.1標準に従って、認証およびメッセージ保護が実行されます。
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
設定
wss11_username_token_with_message_protection_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定については、表19-82を参照してください。
構成
表19-84は、wss11_username_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss11 X509トークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-mutual-auth-with-certificates
説明
wss11_x509_token_with_message_protection_client_templateアサーション・テンプレートでは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および証明書ベースの認証が実行されます。資格証明は、SOAPメッセージのWS-Securityバイナリ・セキュリティ・トークンに組み込まれます。
設定
表19-85は、wss11_x509_token_with_message_protection_client_templateアサーション・テンプレートの設定を示しています。
表19-85 wss11_x509_token_with_message_protection_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
X509トークン |
|
|
|
|
|
|
|
|
|
有効 |
|
|
無効 |
|
|
無効 |
|
セキュア通信 |
|
|
|
無効 |
|
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
|
無効 |
|
|
有効 |
|
|
有効 |
|
|
有効 |
|
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
|
|
|
有効 |
|
|
有効 |
|
|
無効 |
|
なし |
|
|
|
なし |
|
|
なし |
構成
表19-86は、wss11_x509_token_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss11 X509トークン(メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-mutual-auth-with-certificates
説明
wss11_x509_token_with_message_protection_service_templateアサーション・テンプレートでは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストに対して、メッセージ・レベルの保護および証明書ベースの認証が実行されます。証明書は、WS-Securityバイナリ・セキュリティ・トークン・ヘッダーから抽出され、証明書内の資格証明はOracle Platform Security Servicesアイデンティティ・ストアに対して検証されます。
設定
wss11_x509_token_with_message_protection_service_templateの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定については、表19-85を参照してください。
構成
表19-87は、wss11_x509_token_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表19-88は、OES統合に使用されるアサーション・テンプレートの概要を示しています。
表19-88 OES統合用のテンプレート
| サービス・テンプレート | 説明 |
|---|---|
|
oracle/binding_oes_authrization_template |
将来使用するために予約されています。 |
|
oracle/binding_oes_masking_template |
将来使用するために予約されています。 |
|
oracle/component_oes_authorization_template |
将来使用するために予約されています。 |
将来使用するために予約されています。
将来使用するために予約されています。
将来使用するために予約されています。
表19-90は、WS-Trustアサーション・テンプレートの概要を示しています。
このリリースでは、Fusion Middleware Controlを使用してアサーション・テンプレートを直接編集できますが、「設定」ページおよび「構成」ページは使用できません。
表19-90 WS-Trustアサーション・テンプレート
| Name | 説明 |
|---|---|
|
oracle/sts_trust_config_client_template |
トークン交換用のSTS呼出しに使用されるSTS構成情報アサーション・テンプレート。 |
|
oracle/sts_trust_config_service_template |
トークン交換用のSTS呼出しに使用されるSTS構成情報アサーション・テンプレート。 |
|
oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_template |
SSLメッセージ保護付き発行トークンSAML認証(Bearer確認方式)のSOAPバインディング・レベル・クライアント・アサーション・テンプレート。 |
|
oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_template |
SSLメッセージ保護付き発行トークンSAML認証(Bearer確認方式)のSOAPバインディング・レベル・サービス・アサーション・テンプレート。 |
|
oracle/wss11_sts_issued_saml_hok_with_message_protection_client_template |
WS-Security 1.1発行トークンSAML HOKトークン(証明書付き)クライアント・アサーション・テンプレート。Basic128を使用した認証およびメッセージ保護を提供します。 |
|
oracle/wss11_sts_issued_saml_hok_with_message_protection_service_template |
証明書付きWS-Security 1.1発行トークンSAML HOKサービス・アサーション・テンプレート。Basic128を使用した認証およびメッセージ保護を提供します。 |
|
oracle/wss11_sts_issued_saml_with_message_protection_client_template |
証明書付きWS-Security 1.1発行トークンSAML送信者保証。Basic128を使用した認証およびメッセージ保護を提供します。 |
表示名: 信頼構成クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: sts-trust-config
説明
STS構成情報。クライアント側で提供され、トークン交換用のSTSの呼出しに使用されます。
設定
表19-91は、oracle/sts_trust_config_client_templateアサーション・テンプレートの設定を示しています。
表19-91 oracle/sts_trust_config_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
STS構成 |
|
|
|
はい |
|
WSDL |
http://host:port/sts?wsdl |
|
|
空白 |
|
サービス |
空白 |
|
ポート |
空白 |
|
|
target-namespace#wsdl.endpoint(service-name/port-name) |
|
|
空白 |
|
クライアント・ポリシーURI |
すべてのクライアント・ポリシーを表示 |
|
|
sts-csf-key |
構成
表19-92は、oracle/sts_trust_config_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: 信頼構成サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: sts-trust-config
説明
最小のSTS構成情報。サービス側で提供され、その他すべてのSTS情報の取得およびトークン交換用のSTSの呼出しに使用されます。
設定
表19-93は、oracle/sts_trust_config_service_templateアサーション・テンプレートの設定を示しています。
表19-93 oracle/sts_trust_config_service_templateの設定
| Name | デフォルト値 |
|---|---|
|
STS構成 |
|
|
|
はい |
|
WSDL |
|
|
|
|
構成
表19-94は、oracle/sts_trust_config_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss発行SAML Bearerトークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-sts-issued-token-over-ssl
説明
SSLメッセージ保護付き発行トークンSAML認証(Bearer確認方式)のSOAPバインディング・レベル・ポリシー。
設定
表19-95は、oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_templateアサーション・テンプレートの設定を示しています。
表19-95 oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
発行済トークン |
|
|
|
|
|
|
|
|
|
空白 |
|
|
無効 |
|
Transport Layer Security |
|
|
|
有効 |
|
|
無効 |
|
|
有効 |
|
|
なし |
|
セキュア通信 |
|
|
|
無効 |
|
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
|
無効 |
|
|
有効 |
|
|
無効 |
|
|
有効 |
構成
表19-96は、oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表19-96 oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_templateのプロパティ
| Name | デフォルト値 | データ型 |
|---|---|---|
|
|
なし |
Optional |
|
|
なし |
Optional |
|
|
|
必須 |
|
|
なし |
Optional |
|
sts.auth.on.behalf.of.username.only |
|
Optional |
|
|
なし |
Optional |
|
sts.auth.service.principal.name |
|
Optional |
|
|
なし |
Optional |
|
sts.auth.caller.principal.name |
なし |
Optional |
|
|
なし |
Optional |
|
|
なし |
Optional |
|
|
なし |
Optional |
|
|
|
Optional |
|
|
なし |
Optional |
表示名: Wss発行SAML Bearerトークン(メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-sts-issued-token-over-ssl
説明
SSLメッセージ保護付き発行トークンSAML認証(Bearer確認方式)のSOAPバインディング・レベル・ポリシー。
設定
表19-95は、oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_templateアサーション・テンプレートの設定を示しています。
構成
表19-97は、oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-sts-issued-token-with-certificates
説明
証明書付きWS-Security 1.1発行トークンSAML HOK。Basic128を使用した認証およびメッセージ保護を提供します。
設定
表19-98は、wss11_sts_issued_saml_hok_with_message_protection_client_templateアサーション・テンプレートの設定を示しています。
表19-98 oracle/wss11_sts_issued_saml_hok_with_message_protection_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
発行済トークン |
|
|
|
|
|
|
|
|
|
|
|
|
無効 |
|
X509トークン |
|
|
|
|
|
|
|
|
|
有効 |
|
|
無効 |
|
|
無効 |
|
セキュア通信 |
|
|
|
無効 |
|
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
|
無効 |
|
|
有効 |
|
|
有効 |
|
|
有効 |
|
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
|
|
|
有効 |
|
|
有効 |
|
|
無効 |
構成
表19-99は、wss11_sts_issued_saml_hok_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表19-99 oracle/wss11_sts_issued_saml_hok_with_message_protection_client_templateのプロパティ
| Name | デフォルト値 | データ型 |
|---|---|---|
|
|
なし |
Optional |
|
|
なし |
Optional |
|
|
|
必須 |
|
|
なし |
Optional |
|
sts.auth.on.behalf.of.username.only |
|
Optional |
|
|
なし |
Optional |
|
|
|
必須 |
|
|
なし |
Optional |
|
sts.auth.service.principal.name |
|
Optional |
|
|
なし |
Optional |
|
sts.auth.caller.principal.name |
なし |
Optional |
|
|
なし |
Optional |
|
|
なし |
Optional |
|
|
なし |
Optional |
|
|
|
Optional |
|
|
なし |
Optional |
表示名: Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-sts-issued-token-with-certificates
説明
証明書付きWS-Security 1.1発行トークンSAML HOK。Basic128を使用した認証およびメッセージ保護を提供します。
設定
表19-98は、wss11_sts_issued_saml_hok_with_message_protection_service_templateアサーション・テンプレートの設定を示しています。
構成
表19-100は、wss11_sts_issued_saml_hok_with_message_protection_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: Wss11発行トークン(SAML送信者保証方式/メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-sts-issued-token-with-certificates
説明
証明書付きWS-Security 1.1発行トークンSAML送信者保証。Basic128を使用した認証およびメッセージ保護を提供します。
設定
表19-101は、wss11_sts_issued_saml_with_message_protection_client_templateアサーション・テンプレートの設定を示しています。
表19-101 wss11_sts_issued_saml_with_message_protection_client_templateの設定
| Name | デフォルト値 |
|---|---|
|
発行済トークン |
|
|
|
|
|
|
空白 |
|
|
|
|
|
無効 |
|
X509トークン |
|
|
|
|
|
|
|
|
|
有効 |
|
|
無効 |
|
|
無効 |
|
セキュア通信 |
|
|
|
無効 |
|
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
|
無効 |
|
|
有効 |
|
|
有効 |
|
|
有効 |
|
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
|
|
|
有効 |
|
|
有効 |
|
|
無効 |
構成
表19-102は、wss11_sts_issued_saml_with_message_protection_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表19-102 oracle/wss11_sts_issued_saml_with_message_protection_client_templateのプロパティ
| Name | デフォルト値 | データ型 |
|---|---|---|
|
|
なし |
Optional |
|
|
なし |
Optional |
|
|
|
必須 |
|
|
なし |
Optional |
|
sts.auth.on.behalf.of.username.only |
|
Optional |
|
|
なし |
Optional |
|
|
|
Optional |
|
|
なし |
Optional |
|
|
なし |
Optional |
|
|
なし |
Optional |
|
|
なし |
Optional |
|
|
|
Optional |
|
|
なし |
Optional |
表19-103は、認可に使用されるアサーション・テンプレートの概要を示しています。それぞれの認可アサーション・テンプレートは、認証アサーション・テンプレートの後に続ける必要があります。
表19-103 認可アサーション・テンプレート
| サービス・テンプレート | 説明 |
|---|---|
|
oracle/binding_authorization_template |
SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロールベースの認可を行います。 |
|
oracle/binding_permission_authorization_template |
SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単な権限ベースの認可を行います。 |
|
oracle/component_authorization_template |
SOAコンポーネント・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロールベースの認可を行います。 |
|
oracle/component_permission_authorization_template |
SOAコンポーネント・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単な権限ベースの認可を行います。 |
表示名: バインディング認可アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: binding-authorization
説明
binding_authorization_templateアサーション・テンプレートでは、SOAPバインディング・レベルで認証されたサブジェクトに基づいて、リクエストに対して簡単なロールベースの認可が実行されます。認証アサーション・テンプレートの後に続ける必要があります。
設定
表19-104は、binding_authorization_templateアサーション・テンプレートの設定を示しています。
表19-104 binding_authorization_templateの設定
| Name | デフォルト値 |
|---|---|
|
認可権限 |
|
|
権限 - アクション一致 |
空白 |
|
権限 - 制約一致 |
空白 |
|
権限 - リソース一致 |
空白 |
|
|
未設定 |
構成
表19-105は、binding_authorization_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表示名: バインディング権限ベース認可アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: binding-permission-authorization
説明
binding_permission_authorization_templateアサーションでは、SOAPバインディング・レベルで認証されたサブジェクトに基づいて、リクエストに対して簡単な権限ベースの認可が実行されます。認証アサーションの後に続く必要があります。
設定
表19-106は、binding_permission_authorization_templateアサーション・テンプレートの設定を示しています。
表19-106 binding_permission_authorization_templateの設定
| Name | デフォルト値 |
|---|---|
|
認可権限 |
|
|
権限 - アクション一致 |
* |
|
権限 - 制約一致 |
空白 |
|
権限 - リソース一致 |
* |
|
|
空白 |
構成
表19-107は、binding_permission_authorization_templateアサーション・テンプレートの構成プロパティを示しています。
表示名: コンポーネント認可アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: sca-component-authorization
説明
component_authorization_templateアサーションでは、SOAコンポーネント・レベルで認証されたサブジェクトに基づいて、リクエストに対して簡単なロールベースの認可が実行されます。認証アサーションの後に続く必要があります。
設定
表19-108は、component_authorization_templateアサーション・テンプレートの設定を示しています。
表19-108 component_authorization_templateの設定
| Name | デフォルト値 |
|---|---|
|
認可権限 |
|
|
権限 - アクション一致 |
空白 |
|
権限 - 制約一致 |
空白 |
|
権限 - リソース一致 |
空白 |
|
|
未設定 |
構成
表19-109は、component_authorization_templateアサーション・テンプレートの構成プロパティを示しています。
表示名: コンポーネント権限ベース認可アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: sca-component-permission-authorization
説明
component_permission_authorization_templateアサーション・テンプレートでは、SOAコンポーネント・レベルで認証されたサブジェクトに基づき、リクエストに対して簡単な権限ベースの認可が実行されます。認証アサーションの後に続く必要があります。
|
注意: system-jazn-data.xmlで指定したセキュリティ権限の緩和は、複数のサービス操作の実施に適用されるため、権限ベースのポリシーをEJBで使用する場合は注意が必要です。 |
設定
表19-110は、component_permission_authorization_templateアサーション・テンプレートの設定を示しています。
表19-110 component_permission_authorization_templateの設定
| Name | デフォルト値 |
|---|---|
|
認可権限 |
|
|
権限 - アクション一致 |
* |
|
権限 - 制約一致 |
なし |
|
権限 - リソース一致 |
* |
|
|
なし |
構成
表19-111は、component_permission_authorization_templateアサーション・テンプレートの構成プロパティを示しています。
表19-112は、メッセージ保護でサポートされているアルゴリズム・スイートを示しています。アルゴリズム・スイートを使用すると、メッセージ保護に使用されるアルゴリズムの暗号文字を制御できます。
表19-112 サポートされているアルゴリズム・スイート
| アルゴリズム・スイート | ダイジェスト | 暗号化 | 対称鍵のラップ | 非対称鍵のラップ | 暗号化鍵の導出 | 署名キーの導出 | 署名キーの最小長 |
|---|---|---|---|---|---|---|---|
|
Basic256 |
Sha1 |
Aes256 |
KwAes256 |
KwRsaOaep |
PSha1L256 |
PSha1L192 |
256 |
|
Basic192 |
Sha1 |
Aes192 |
KwAes192 |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
|
Basic128 |
Sha1 |
Aes128 |
KwAes128 |
KwRsaOaep |
PSha1L128 |
PSha1L128 |
128 |
|
TripleDes |
Sha1 |
TripleDes |
KwTripleDes |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
|
Basic256Rsa15 |
Sha1 |
Aes256 |
KwAes256 |
KwRsa15 |
PSha1L256 |
PSha1L192 |
256 |
|
Basic192Rsa15 |
Sha1 |
Aes192 |
KwAes192 |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
|
Basic128Rsa15 |
Sha1 |
Aes128 |
KwAes128 |
KwRsa15 |
PSha1L128 |
PSha1L128 |
128 |
|
TripleDesRsa15 |
Sha1 |
TripleDes |
KwTripleDes |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
|
Basic256Sha256 |
Sha256 |
Aes256 |
KwAes256 |
KwRsaOaep |
PSha1L256 |
PSha1L192 |
256 |
|
Basic192Sha256 |
Sha256 |
Aes192 |
KwAes192 |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
|
Basic128Sha256 |
Sha256 |
Aes128 |
KwAes128 |
KwRsaOaep |
PSha1L128 |
PSha1L128 |
128 |
|
TripleDesSha256 |
Sha256 |
TripleDes |
KwTripleDes |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
|
Basic256Sha256Rsa15 |
Sha256 |
Aes256 |
KwAes256 |
KwRsa15 |
PSha1L256 |
PSha1L192 |
256 |
|
Basic192Sha256Rsa15 |
Sha256 |
Aes192 |
KwAes192 |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
|
Basic128Sha256Rsa15 |
Sha256 |
Aes128 |
KwAes128 |
KwRsa15 |
PSha1L128 |
PSha1L128 |
128 |
|
TripleDesSha256Rsa15 |
Sha256 |
TripleDes |
KwTripleDes |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
表19-113は、リクエスト、レスポンスおよびフォルト・メッセージの設定を示しています。これらの設定は、メッセージの署名および暗号化用に構成します。
表19-114は、管理アサーション・テンプレートの概要を示しています。
表示名: セキュリティ・ログ・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: Logging
説明
security_log_templateアサーション・テンプレートは、すべてのバインディングまたはコンポーネントにアタッチ可能な、ロギング・アサーション・テンプレートを提供します。
|
注意: ロギング・アサーションは、デバッグおよび監査にのみ使用することをお薦めします。 |
設定
表19-115は、security_log_templateアサーション・テンプレートの設定を示しています。
構成
表19-116は、security_log_templateアサーション・テンプレートの構成プロパティを示しています。
次の各項では、事前定義済のアサーション・テンプレートに設定可能な設定の概要を示しています。設定は、アルファベット順にリストされています。
|
注意: すべての設定がすべてのアサーション・テンプレートに適用されるわけではありません。 |
認可チェックが実行されるアクションまたはWebサービス操作。この値は、値のカンマ区切りのリストにすることもできます。このフィールドでは、ワイルドカードを使用できます。例: validate、amountAvailable
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。
認証ヘッダーの名前。
認証のメカニズム。
次の値が有効です。
basic: ユーザー名およびパスワードを送信することで、クライアントが自身を認証します。
注意: Basic認証を使用する場合はSSLを構成することをお薦めします。詳細は、「SSLに関するキーストアの構成」を参照してください。
cert: このリリースではサポートされていません。証明書を送信することで、クライアントが自身を認証します。
custom: このリリースではサポートされていません。カスタムの認証メカニズム。
digest: このリリースではサポートされていません。暗号化されたパスワードをMD5ダイジェストを使用して送信することで、クライアントが自身を認証します。
oam: クライアントはOAMエージェントを使用して自身を認証します。
saml20-bearer: クライアントはSAML 2.0 Bearerトークンを使用して自身を認証します。
spnego: クライアントはKerberos SPNEGOを使用して自身を認証します。
注意: このフィールドは、「本体全体を含める」が無効化されている場合に使用できます。
指定された本体要素に署名するか暗号化します。このフィールドは、「ボディを含める」が無効化されている場合に使用できます。
本体要素を追加するには、次のようにします。
「追加」をクリックします。
ネームスペースURIを入力します。
ヘッダー要素のローカル名を入力します。
「OK」をクリックします。
本体要素を編集するには、次のようにします。
「本体要素」リストで、編集するbpdu要素を選択します。
「編集」をクリックします。
必要に応じて値を変更します。
「OK」をクリックします。
本体要素を削除するには、次のようにします。
「本体要素」リストで、削除する本体要素を選択します。
「削除」をクリックします。
確認を要求されたら、「OK」をクリックします。
実際は、「セキュア通信」ポリシーには、内部と外部の2つのポリシーがあります。「ブートストラップ・メッセージ・セキュリティ」コントロールによって、内部ポリシーおよび外部ポリシーが公開されます。ブートストラップ(内部)ポリシーは、トークンを取得し、クライアントとWebサービス間のハンドシェークを確立するために使用されます。外部ポリシーは、トークンを使用してリクエストする際のアプリケーション・メッセージに使用されます。
詳細は、『Oracle Web Services Managerの理解』の基本モードと拡張モードの使用に関する項を参照してください。
これは、セキュア通信でリクエストされた証明トークンの鍵マテリアルとして使用されます。
クライアントがSTSと通信する際に使用するクライアント・ポリシーURI。WSDLでの識別に従い、選択するポリシーはSTSの認証要件に応じて異なります。
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。
確認タイプ。次の値のみ有効です。
sender-vouches: 認証に送信者保証のSAMLトークンが使用されます。
認可チェックが実行される制約を表す式。制約式は、次の2つのmessageContextプロパティを使用して指定します。
messageContext.authenticationMethod: ユーザーの認証に使用する認証方法を決定します。有効な値はSAML_SVです。
messageContext.requestOrigin: リクエストが内部ネットワークまたは外部ネットワークから発行されたかどうかを決定します。このプロパティは、Oracle HTTP Serverを使用しており、Oracle HTTP Server管理者がカスタムのVIRTUAL_HOST_TYPEヘッダーをリクエストに追加した場合のみ有効です。
制約パターン・プロパティとその値では、大文字と小文字が区別されます。
制約式では、サポートされている標準的な演算子(==、!=、&&、||、!)を使用します。
ユーザー名トークンの作成にタイム・スタンプが必要かどうかを指定するフラグ。
注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。そうしない場合、アタッチ先のポリシーは検証されません。
導出キーを使用するどうかを指定するフラグ。
事前構成済のWS-SCポリシーの場合、「セキュア通信」はデフォルトで有効になります。その他すべてのポリシーで、「セキュア通信」はデフォルトで無効になります。
署名を暗号化するかどうかを指定するフラグ。
リクエストの暗号化に使用されるメカニズム。
wss10_message_protection_client_templateおよびwss10_saml_token_with_message_protection_client_templateの場合の有効な値は、次のとおりです。
direct: リクエストに含まれるX.509トークン。
ski: 証明書の参照に使用されるX.509証明書のサブジェクト・キー識別子(SKI)の拡張子の値。(一部の証明書にはこの拡張子がありません。)メッセージの受信者は、SKIに対応する証明書のキーストアを調査し、それに対して署名を検証します。
issuerserial: 発行者名およびX.509証明書の参照に使用されるシリアル番号属性のコンポジット・キー。メッセージの受信者は、発行者名およびシリアル番号に対応する証明書のキーストアを調査し、それに対して署名を検証します。
wss11_message_protection_client_template、wss11_saml_token_with_message_protection_client_template、wss11_saml20_token_with_message_protection_client_template、wss11_username_token_with_message_protection_client_template、wss11_x509_token_with_message_protection_client_templateおよびwss11_username_token_with_message_protection_client_templateの場合の有効な値は、次のとおりです。
direct: リクエストに含まれるX.509トークン。
ski: 証明書の参照に使用されるX.509証明書のサブジェクト・キー識別子(SKI)の拡張子の値。(一部の証明書にはこの拡張子がありません。)メッセージの受信者は、SKIに対応する証明書のキーストアを調査し、それに対して署名を検証します。
issuerserial: 発行者名およびX.509証明書の参照に使用されるシリアル番号属性のコンポジット・キー。メッセージの受信者は、発行者名およびシリアル番号に対応する証明書のキーストアを調査し、それに対して署名を検証します。
thumbprint: 証明書のコンテンツのメッセージ・ダイジェスト(SHA1ハッシュ)。証明書を格納する、オーバーヘッドの少ない方法を提供します。
表19-113を参照してください。
指定されたSOAPヘッダー要素に署名するか暗号化します。
ヘッダー要素を追加するには、次のようにします。
「追加」をクリックします。
ネームスペースURIを入力します。
ヘッダー要素のローカル名を入力します。
「OK」をクリックします。
ヘッダー要素を編集するには、次のようにします。
「ヘッダー要素」リストで、編集するヘッダー要素を選択します。
「編集」をクリックします。
必要に応じて値を変更します。
「OK」をクリックします。
ヘッダー要素を削除するには、次のようにします。
「ヘッダー要素」リストで、削除するヘッダー要素を選択します。
「削除」をクリックします。
確認を要求されたら、「OK」をクリックします。
SOAPメッセージのボディ全体に署名するか暗号化します。
falseの場合は、「本体要素」セクションを使用して特定の本体要素を追加できます。
MIMEヘッダー付きのSOAPアタッチメントに署名するか暗号化します。
注意: このフィールドは、「SwAアタッチメントを含める」が有効な場合に有効であり、適用されます。MTOMアタッチメントには適用されません。
アタッチメント付きSOAPメッセージに署名するか暗号化します。
注意: このフィールドは、MTOMアタッチメントには適用されません。
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。
SAMLトークンを暗号化するかどうかを指定するフラグ。
SAMLトークンを署名するかどうかを指定するフラグ。
Kerberosトークンのタイプ。有効な値は、gss-apreq-v5 (Kerberosバージョン5 GSS-API)のみです。
キー・タイプ。有効な値はbearerのみです。
キーストアに追加したSTS証明書の別名。デフォルトの別名はsts-csf-keyです。
双方向認証が必要かどうかを指定するフラグ。
次の値が有効です。
Enabled: サービスをクライアントに対して認証し、クライアントをサービスに対して認証する必要があります。
Disabled: 一方向認証が必要です。サービスをクライアントに対して認証する必要がありますが、クライアントをサービスに対して認証する必要はありません。
名前識別子で使用するフォーマットのタイプを指定します。
次のいずれかの値を指定します。
未指定
emailAddress
X509SubjectName
WindowsDomainQualifiedName
次のアサーション・テンプレートには、さらに値kerberosが指定されます。
wss10_saml20_token_client_template、wss_saml20_token_bearer_over_ssl_client_template、wss10_saml20_token_with_message_protection_client_template、wss11_saml20_token_with_message_protection_client_template
「名前識別子フォーマット」は、subject.precedenceがfalseに設定されている場合のみ適用されます。subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティまたはusernameプロパティ(「SAMLアサーションのユーザー名の構成」を参照)から取得されます。ユーザー名のフォーマットは、「名前識別子フォーマット」に設定されたフォーマットと同じである必要があります。
subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトから取得されます。この場合、「名前識別子フォーマット」は常に「未指定」であり、「名前識別子フォーマット」を設定してこれを変更することはできません。
リプレイ攻撃を防止するためユーザー名にNonceを含める必要があるかどうかを指定するフラグ。
注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。そうしない場合、アタッチ先のポリシーは検証されません。
必要なパスワードのタイプ。
次の値が有効です。
none: パスワードは使用されません。
plaintext: クリア・テキストのパスワード。
digest: 暗号化されたパスワードをMD5ダイジェストを使用して送信することで、クライアントが自身を認証します。
パスワード・タイプを「なし」に指定した場合、キーにパスワードを含める必要はありません。
|
注意: ダイジェスト・パスワードを使用しないと、このテンプレートを使用して作成されたポリシーはセキュアではなくなります。 |
ロールベースまたは権限ベースのポリシーでは、guard要素(「orawsp:guard」を参照)を使用して、リソース、アクションおよび制約一致の値が定義されます。これらの値によって、guardの結果がtrueの場合にのみ、アサーション実行が許可されるようになります。アクセスしたリソース名およびアクションが一致した場合にのみ、アサーションの実行が許可されます。
デフォルトで、リソース名およびアクションでは、ワイルドカードのアスタリスク(*)が使用され、すべてが許可されます。
権限ベースの確認に使用されるクラス。oracle.wsm.security.WSFuncPermissionなどが該当します。
そのポリシーの構成プロパティpermission_classを変更する方法もあります。これはJAAS標準によって権限クラスを識別します。権限クラスは、アプリケーションまたはサーバーのクラスパスに存在する必要があります。
カスタムの権限クラスは、抽象的な権限クラスを拡張し、シリアライズ可能なインタフェースを実装する必要があります。http://docs.oracle.com/javase/7/docs/api/java/security/Permission.html.にあるJavadocを参照してください。
デフォルトはoracle.wsm.security.WSFunctionPermissionです。
STS Webサービスのエンドポイント。WSDL 2.0 STSの場合、target-namespace#wsdl.endpoint(service-name/port-name)の形式で指定されます。たとえば、http://samples.otn.com.LoanFlow#wsdl.endpoint(LoanFlowService/LoanFlowPort)と指定します。WSDL 1.1 STSの場合、targetnamespace#wsdl11.endpoint(servicename/portname)という形式で指定します。たとえば、http://samples.otn.com.LoanFlow#wsdl11.endpoint(LoanFlowService/LoanFlowPort)と指定します。
STSポートの実際のエンドポイントURI。たとえば、http://host:port/context-root/service1と指定します。
『Oracle Web Services Managerの理解』の再認証を使用するタイミングに関する項で説明されているように、再認証コントロールは、propagate.identity.context構成属性がTrueに設定されている場合に、SAML送信者保証ポリシーに対してのみ有効にできます。
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。
受信の署名に使用できるメカニズム。有効な値は、「署名鍵参照メカニズム」と同じです。
ロギング・リクエスト・メッセージの要件。
有効な値は、次のとおりです。
all: SOAPメッセージ全体が記録されます。
header: SOAPヘッダー情報のみが記録されます。
soap_body: SOAP本文の情報のみが記録されます。
soap_envelope: SOAPエンベロープの情報のみが記録されます。
表19-113を参照してください。
オプション要素です。リクエストのXPathのカンマ区切りのリストです。デフォルト値は空白です。
オプション要素です。リクエストのネームスペースのカンマ区切りのリストです。各ネームスペースの接頭辞とURIは、等号で区切られます。デフォルト値は空白です。
RSTのオプション要素。存在する場合、OWSMによって、トークンがリクエストされているWebサービスのエンドポイント・アドレスが送信されます。デフォルト動作では、クライアントからSTSへのメッセージでappliesTo要素が常に送信されます。
Webサービスのセキュリティ・ポリシーによって対称証明鍵が求められる場合、要求者は証明鍵の計算に含めることができる鍵の内容の一部(エントロピ)を渡すことができます。Webサービス・ポリシーでは、クライアント・エントロピ、STSエントロピ、またはその両方が必要であるかどうかを示すことができます。
トークンの外部参照が必要かどうかを指定します。
トークンの内部参照が必要かどうかを指定します。
Webサービスのセキュリティ・ポリシーによって対称証明鍵が求められる場合、要求者は証明鍵の計算に含めることができる鍵の内容の一部(エントロピ)を渡すことができます。Webサービス・ポリシーでは、クライアント・エントロピ、STSエントロピ、またはその両方が必要であるかどうかを示すことができます。
認可チェックが実行されるリソースの名前。このフィールドには、ワイルドカードを使用できます。たとえば、Webサービスのネームスペースがhttp://project11で、サービス名がCreditValidationの場合、リソース名はhttp://project11/CreditValidationになります。
ロギング・レスポンス・メッセージの要件。有効な値は、前述の「リクエスト」と同じです。
表19-113を参照してください。
オプション要素です。ネームスペースのカンマ区切りのリストです。各ネームスペースの接頭辞とURIは、等号で区切られます。デフォルト値は空白です。
オプション要素です。レスポンスのXPathのカンマ区切りのリストです。デフォルト値は空白です。
認可されたロールを指定します。
有効な値は、次のとおりです。
すべてを許可: すべてのロールのユーザーを許可します。
すべてを拒否: ロールを持つすべてのユーザーを拒否します。
選択したロール: 選択したロールを許可します。
ロールを追加するには、次のようにします。
「追加」をクリックします。
ロールを追加するには、「使用可能なロール」列の追加する各ロールの隣にあるチェック・ボックスをクリックし、「移動」をクリックします。すべてのロールを追加するには、「すべて移動」をクリックします。
ロールを削除するには、「追加対象として選択したロール」列の削除する各ロールの隣にあるチェック・ボックスをクリックし、「削除」をクリックします。すべてのロールを削除するには、「すべて削除」をクリックします。
ロールを検索するには、「ロール名」検索ボックスに検索文字列を入力して、実行の矢印をクリックします。検索文字列に一致するロールのみが含まれるように、「使用可能なロール」列が更新されます。
「OK」をクリックします。
ロールを削除するには、次のようにします。
「選択したロール」リストで削除するロールを選択します。
「削除」をクリックします。
これは、セキュア通信でリクエストされた証明トークンの鍵マテリアルとして使用されます。
リクエストの署名に使用できるメカニズム。
次の値が有効です。
direct: リクエストに含まれるX.509トークン。
ski: 証明書の参照に使用されるX.509証明書のサブジェクト・キー識別子(SKI)の拡張子の値。(一部の証明書にはこの拡張子がありません。)メッセージの受信者は、SKIに対応する証明書のキーストアを調査し、それに対して署名を検証します。
issuerserial: 発行者名およびX.509証明書の参照に使用されるシリアル番号属性のコンポジット・キー。メッセージの受信者は、発行者名およびシリアル番号に対応する証明書のキーストアを調査し、それに対して署名を検証します。
thumbprint: 証明書のコンテンツのメッセージ・ダイジェスト(SHA1ハッシュ)。証明書を格納する、オーバーヘッドの少ない方法を提供します。このプロパティは、次のテンプレートの場合にのみ有効です。wss11_saml_token_with_message_protection_client_template、wss11_saml20_token_with_message_protection_client_template、wss11_x509_token_with_message_protection_client_template、wss11_sts_issued_saml_with_message_protection_client_template、oracle/wss11_sts_issued_saml_hok_with_message_protection_client_template。
リクエストが署名され、暗号化されるかどうかを指定するフラグ。
SAMLトークン・タイプ。有効な値は1.1のみです。
Secure Socket Layer (SSL)(別名Transport Layer Security (TLS))を有効にするかどうかを指定するフラグ。
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。
双方向認証が必要かどうかを指定するフラグ。
次の値が有効です。
Enabled: サービスをクライアントに対して認証し、クライアントをサービスに対して認証する必要があります。
Disabled: 一方向認証が必要です。サービスをクライアントに対して認証する必要がありますが、クライアントをサービスに対して認証する必要はありません。
SAMLまたはセキュア通信のバージョン。
WS-Trustのバージョン。
導出キーを使用するどうかを指定するフラグ。
X509PKIPathV1トークンを処理して伝播する必要があるかどうかを指定するフラグ。
WSDLの実際のエンドポイントURI。
次の各項では、事前定義済のアサーション・テンプレートに設定可能な構成プロパティの概要を示しています(アルファベット順)。
|
注意: すべての構成プロパティがすべてのアサーション・テンプレートに適用されるわけではありません。 |
鍵導出アルゴリズム。PBKDF2である必要があります。
OESに定義されたアプリケーション名。${}表記法を使用した値は、静的にも動的にもできます。
アテスト・エンティティの表現で使用されるマッピング属性。現在サポートされているのはDNのみです。この属性は、送信者保証およびメッセージ保護ユースケースにのみ適用されます。SAML over SSLポリシーには適用されません。
ktpassコマンドを使用して生成されたクライアントのプリンシパル名で、kerberosトークンの生成先のユーザー名にマップされます。<username>@<REALM NAME>の形式を使用します。
注意: keytab.locationとcaller.principal.nameは、Java EEアプリケーションのクライアント・アイデンティティの伝播で必要です。
転送されたTGTによる資格証明委任がサポートされるかどうかを指定するフラグ。詳細は、「資格証明委任の構成」を参照してください。デフォルトで、この値はfalseです。
OPSSアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。資格証明ストアに鍵を追加する方法については、「資格証明ストアへの鍵およびユーザー資格証明の追加」を参照してください。
データ暗号化アルゴリズム。この形式は、algorithm/mode/paddingである必要があります。
オプションのプロパティ。実際の認可で使用されるアクションです。${}表記法を使用した値は、静的にも動的にもできます。
サービスからレスポンスを受信したときにSOAPセキュリティ・ヘッダー内のタイムスタンプを無視するために、クライアントが使用するプロパティ。デフォルト動作では、タイムスタンプは無視されません(このプロパティのデフォルト値はfalse)。trueに設定されている場合、レスポンス・メッセージ内にタイムスタンプは必要ありません。タイムスタンプがある場合は、無視されます。
タイムスタンプは、リプレイ攻撃を防止するために必要です。そのため、相互運用性の問題を解決する場合を除いて、通常は、このプロパティをtrueに設定することはお薦めできません。
発行済トークンをセキュリティ・トークン・サービス(STS)から取得する際に、OWSMがトークンの存続時間をリクエストするかどうかを制御します。issued.token.cachingをtrueに設定すると、OWSMは、issued.token.lifetimeに指定されている期間に返されたトークンのトークン存続時間をリクエストします。falseに設定すると、OWSMはトークンの存続時間をリクエストしません。
STSがリクエストされたissued.token.lifetime値とは異なるトークン存続期間の値を返す場合、OWSMは返されたトークンをキャッシュするための期間として戻り値を使用します。STSから空のトークン存続時間値が返された場合、issued.token.cachingがtrueに設定されている場合でも、OWSMは返されたトークンをキャッシュしません。
セキュリティ・トークン・サービス(STS)から発行済トークンを取得するときにOWSMがトークンの存続時間としてリクエストする時間(ミリ秒)。この値のドメイン・デフォルト値は28800000ミリ秒(8時間)です。このデフォルト値を変更する方法については、「Fusion Middleware Controlを使用した発行済トークンの存続期間の構成」を参照してください。
鍵導出の反復回数。
鍵導出で使用する鍵のサイズ。
クライアントのkeytabファイルの場所。
復号化鍵パスワードをキーストアに格納するために使用する別名とパスワード。
「ポリシー構成のオーバーライドの概要」で説明されているように、この値を設定すると、keystore.enc.csf.keyをオーバーライドできます。
この値をオーバーライドする場合は、新しい値のキーがキーストアにあることが必要です。つまり、値をオーバーライドしても、キーをキーストアに構成する必要がなくなるわけではありません。
ピア証明書に関連付けられているキーストア別名。実行時セキュリティは、この別名を使用して構成済のキーストアからピア証明書を抽出し、ピアへのメッセージを暗号化します。ポリシーのオーバーライドの詳細は、「ポリシー構成のオーバーライドの概要」を参照してください。
署名キー・パスワードをキーストアに格納するために使用する別名とパスワード。このプロパティにより、ドメイン・レベルのかわりにアタッチメント・レベルで署名キーを指定できます。このキーは、saml.envelope.signature.requiredフラグを使用して指定されるエンベロープ署名の生成時に使用されます。
オプションのプロパティ。属性の参照時に使用されるアクションです。${}表記法を使用した値は、静的にも動的にもできます。
オプションのプロパティ。リクエストが別のエンティティの代理かどうかを指定するには、このプロパティをオーバーライドします。このフラグのデフォルト値はfalseです。
trueに設定され、sts.auth.on.behalf.of.csf.keyが構成されている場合、これが優先されて、CSFキーを使用して確立されたアイデンティティがonBehalfOfトークンで送信されます。sts.auth.on.behalf.of.username.onlyプロパティもtrueに設定すると、CSFキー内のアイデンティティのパスワード部分は、onBehalfOfトークンで送信されることはなくなります。
それ以外の場合、サブジェクトがすでに確立されていれば、サブジェクトのユーザー名がonBehalfOfトークンとして送信されます。
sts.auth.on.behalf.of.csf.keyが設定されておらず、サブジェクトも存在しない場合、on.behalf.ofは、他のエンティティではなくリクエスタのトークン交換として処理されます。リクエスト内のonBehalfOf要素には含まれません。
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝播し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
HTTPレルム。
|
注意:
|
ポリシー・アタッチメントの優先度を指定するオプションのプロパティ。アタッチされたポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先度を持つポリシーを、そのスコープにかかわらず、競合するポリシー・アタッチメントより優先します。
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先度が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。
詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。
そのまま使用できる様々なマッピング・モデルを切り替えるオプションのプロパティ。デフォルト値は、operation_as_actionです。指定可能なその他の値として、operation_as_resource_hierarchyおよびlookup_action_fixed_execute_action_as_operationがあります。
オプションのプロパティ。OESに定義されたリソース名。${}表記法を使用した値は、静的にも動的にもできます。
オプションのプロパティ。OESに定義されたリソース・タイプ。${}表記法を使用した値は、静的にも動的にもできます。
Webサービス・クライアントにのみ適用されます。これを設定すると、createSequence()やterminateSequence()などのプロトコル・リクエストの本体が暗号化されます。デフォルトで、WS-RMプロトコル・メッセージは暗号化されません。
プロトコル・メッセージのレスポンス・メッセージ本文は、リクエスト・メッセージ本文に依存します。クライアントからのリクエスト・メッセージがプロトコル・メッセージに対して暗号化されている場合、Webサービスは暗号化されたレスポンスを送信します。逆についても同様です。
SOAPロール。
鍵導出で使用されるNULL以外の空でないsalt。
SAMLトークン・ファイルの名前。
リライイング・パーティをカンマ区切りのURIで表します。このフィールドでは次のワイルドカードを使用できます。
任意の場所の*。
URI末尾の/*。
URI末尾の.*。
Bearerトークンがドメインの署名鍵を使用して署名されるかどうかを指定するフラグ。ドメインの署名鍵は、keystore.sig.csf.keyを使用して構成されるプライベートの署名鍵でオーバーライドできます。
Bearerトークンを未署名にするには、(クライアントおよびサービス・ポリシーの両方で)このフラグをfalseに設定します。
SAML発行者URI。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
SAMLトークンの信頼できる発行者のカンマ区切りのリスト。信頼できる発行者をドメイン・レベルでオーバーライドするアプリケーション用です。
ミリ秒単位でのセキュア通信トークンの存続時間。通信セッションの存続期間に関して、クライアントとWebサービスはセキュリティ・コンテキストを共有します。この時間が経過すると、SCTは時間切れとなります。
サービスを識別するKerberosプリンシパルの名前。
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。
subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトからのみ取得されます。同様に、subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティからのみ取得されます。
ktpassコマンドを使用して生成されたクライアントのプリンシパル名であり、kerberosトークンの生成先のユーザー名にマップされます。<username>@<REALM NAME>の形式で指定します。
クライアントのkeytabファイルの場所。
オプションのプロパティ。代理エンティティの構成で使用します。存在する場合、サブジェクト(存在する場合)より優先されます。代理エンティティについては、「on.behalf.of」を参照してください。
オプションのプロパティ。sts.auth.on.behalf.of.csf.keyが指定されている場合の代理エンティティの構成に使用します。代理エンティティについては、「on.behalf.of」を参照してください。
保護する必要があるWebサービスのプリンシパル名。<host>/<machine name>@<REALM NAME>の形式で指定します。たとえば、HTTP/mymachine@MYREALM.COMと指定します。
STSに対する認証用のユーザー名/パスワードを構成する場合に使用します。
oracle/sts_trust_config_templateクライアント・アサーション・テンプレート内のpolicy-reference-uriが、ユーザー名ベースのポリシーを指している場合は、sts.auth.user.csf.keyプロパティを構成して、STSに対する認証用のユーザー名/パスワードを指定します。
STSに対する認証用のX509証明書を構成する場合に使用します。
oracle/sts_trust_config_templateクライアント・アサーション・テンプレート内のpolicy-reference-uriが、x509ベースのポリシーを指している場合は、sts.auth.x509.csf.keyプロパティを構成して、STSに対する認証用のX509証明書を指定します。
Webサービスが信頼するRP-STSから、Webクライアントが認証に使用するIP-STSまでのトラスト・チェーンにSTSを指定するために、Web Services Federationのケースで使用します。
接続先のSTS URIのカンマ区切りのリストに、sts.in.orderの値を設定します。このとき、RP-STSで開始して、IP-STSで終わるようにします。
このプロパティの使用の詳細は、「Web Services Federationの構成」を参照してください。
キーストアに追加したSTS証明書の別名。デフォルトの別名はsts-csf-keyです。
オプションのプロパティ。参照フェーズを省略するには、値をtrueに設定します。マスキング・ポリシーには適用されません。
SAMLトークンのプリンシパルに関連するユーザー属性。
含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2のようにします。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。OWSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をSAMLアサーションに含めます。
サブジェクトが有効であり、subject.precedenceがtrueに設定されている必要があります。
クライアント・ポリシーは、user.attributesを使用して指定された属性の値を、構成済のアイデンティティ・ストアから読み取ります。すべての有効な属性名と値を使用して、SAML属性文が作成されます。
user.attributesプロパティは1つのアイデンティティ・ストアに対してサポートされるものであり、リスト内の先頭のアイデンティティ・ストアのみが使用されます。このため、ユーザーは、構成済WebLogic Serverの認証プロバイダで使用されるアイデンティティ・ストアに存在し、有効になっている必要があります。認証プロバイダについては、「WebLogic Serverへの認証プロバイダの構成」を参照してください。
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合、検索する追加のアイデンティティ・ストアを指定できます。詳細は、「アサーションへのユーザー属性の組込み」を参照してください。
ユーザー・ロールの組込み。
trueに設定すると、OWSMでは、ユーザー・リポジトリ(LDAP)からユーザーのロールが読み取られ、それらのロールがSAML属性として伝播されます。
Oracle Cloud用に予約済。
