3 認証およびセキュリティ・ポリシーの構成

この章では認証およびセキュリティ・ポリシーの概要と構成方法、基本認証用のSSL通信の指定方法、Imaging WebサービスへのOWSMセキュリティ・ポリシーの適用方法およびJava APIログインにおけるクライアント側セキュリティ・ポリシーを再構成する方法について説明します。

この章の内容は次のとおりです。

• 3.1項「認証およびセキュリティ・ポリシーの構成について」

• 3.2項「Basic認証のためのSSL通信の提供」

• 3.3項「Imaging WebサービスへのOWSMセキュリティ・ポリシーの適用」

• 3.4項「Java APIログインにおけるクライアント側セキュリティ・ポリシーの再構成」

3.1 認証およびセキュリティ・ポリシーの構成について

認証およびセッション管理の処理は使用される統合メソッドに応じて異なります。最初のインストール時には、Imaging WebサービスはOracle Web Service Managerのセキュリティ・ポリシーを適用せずに構成されます。セキュリティ・ポリシーが適用されない場合、サービスではHTTP Basic認証メカニズムかユーザー名トークン認証のいずれかを使用します。ただし、ユーザー資格情報(ユーザーIDとパスワード)がWebサービスのHTTPメッセージ・ヘッダー・メカニズムで送信されるBasic認証は、Secure Socket Layer (SSL)転送メカニズムが使用されていないかぎり、いかなる方法でも暗号化されないため、十分安全であるとは言えません。

3.2 Basic認証のためのSSL通信の提供

Imagingサーバー・インスタンスに対してSSLが適切に構成されていれば、すべてのWebサービス通信でSSLが強制的に使用されるようにImagingを構成できます。このためには、Imaging構成MBean、RequireBasicAuthSSLをtrueに設定します。デフォルトはfalseです。

注意: RequireBasicAuthSSL設定は、HTTP Basic認証が使用されていない場合のみ適用されます。これはOWSMセキュリティ・ポリシーが適用されていないためです。

OWSMセキュリティ・ポリシーの使用

より高いレベルのセキュリティが望ましい場合、Imaging Webサービスは、次のOracle Webサービス管理(OWSM)セキュリティ・ポリシーをサポートしています。

• wss_username_token

• wss_username_token_over_ssl

• wss11_username_token_with_message_protection

セキュリティ・ポリシーをImaging Webサービスに適用する際には、DocumentContentServiceを除き、すべてのWebサービスに同じポリシーを適用する必要があります。DocumentContentServiceはOWSMセキュリティ・ポリシーと互換性のないストリーミングMTOMを使用するように設計されています。DocumentContentServiceのセキュリティはまず、OWSMセキュリティ・ポリシーを利用するLoginServiceによる別のステートフル・ログインを要求します。この情報は主としてWebサービスの直接コールにとって重要です。正しいログイン・シーケンスはネイティブのJava APIを使用した場合に自動的に発生します。

3.3 Imaging WebサービスへのOWSMセキュリティ・ポリシーの適用

セキュリティ・ポリシーをImaging Webサービスに適用するには、WebLogicサーバー管理コンソールから次の手順を実行します。

1. 管理コンソールにログインします。

2. 「デプロイメント」をクリックします。「デプロイメントの概要」ページが表示されます。

3. 「デプロイメント」表の「名前」列で「Imaging」の横にあるプラス(+)アイコンをクリックします。Imagingデプロイメントが展開されます。

4. DocumentContentServiceを除く「Webサービス」の下にある各Imaging Webサービスで次の操作を行います。

   1. Webサービスを選択します。そのサービスの設定ページが表示されます。

   2. 「構成」タブを選択します。「構成」タブがアクティブになります。

   3. 「WS-Policy」タブを選択します。「WS-Policy」タブがアクティブになります。

   4. 「このWebサービスに関連付けられているWS-Policyファイル」表の「サービスのエンドポイントおよび操作」列で目的のWebサービス・ポートをクリックします。「Webサービスのポリシーのタイプを構成」ページが表示されます。

   5. 「OWSM」が選択されていることを確認し、「次へ」をクリックします。WebLogicポリシーがサポートされていないことに注意してください。「WebServiceポリシーの構成」ページIDが表示されます。

   6. 「選択可能なエンドポイント・ポリシー」フィールドからサポートされているサービス・ポリシーを選択します。サポートされているポリシーのリストは、「Basic認証のためのSSL通信の提供」に記載されています。

   7. 右矢印をクリックして、選択したポリシーを「選択されたエンドポイント・ポリシー」フィールドに移動します。ただし、選択するセキュリティ・ポリシーは1つのみにします。

   8. 「終了」をクリックします。「デプロイメント計画の保存アシスタント」ページが表示されます。

   9. 「OK」をクリックして、デプロイメント計画を保存します。

   10. DocumentContentServiceを除くすべてのWebサービスに同じポリシーが割当てられるまで、それぞれのサービスについて、ステップ4を繰返します。

5. 「デプロイメント」をクリックして、「デプロイメント」ページに戻ります。

6. 「デプロイメント」表の「名前」列で「Imaging」の横にあるチェック・ボックスを選択し、「更新」をクリックします。「アプリケーション更新アシスタント」ページが開き、指定した新しいデプロイメント・プランが「デプロイメント・プランのパス」の隣に表示されます。

7. 「終了」をクリックします。新しいポリシーが適用され、デプロイメントが更新されます。

3.4 Java APIログインにおけるクライアント側セキュリティ・ポリシーの再構成

OWSMセキュリティ・ポリシーがImaging Webサービスに適用される場合、Java APIコードはBasicUserTokenクラスではなく、WsmUserTokenクラスを使用する必要があります。WsmUserTokenクラスはOWSMクライアント側のセキュリティ・ポリシーを構成するためのヘルパー・クラスで、正しいクライアント側ポリシーを設定するための静的定数のセットが含まれています。使用されているポリシーによっては、追加の構成設定も必要になる場合があります。様々な構成オプションの意味の詳細は、OWSMのドキュメントを参照してください。

例3-1のコード部分は、様々なポリシー・タイプのWsmUserTokenクラスの使用例を示しています。

例3-1 様々なポリシー・タイプのWsmUserTokenクラス

WsmUserToken userToken = new WsmUserToken ("weblogic", "weblogic");
userToken.setClientPolicy(WsmUserToken.USERNAME_TOKEN_POLICY);
ServicesFactory.login(userToken, wsurl);