Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
この章の内容は次のとおりです。
「セキュリティ・トークン・サービスの有効化および無効化」の説明に従って、セキュリティ・トークン・サービスを実行する必要があります。
「証明書、認証局および暗号化鍵について」で説明されているとおり、公開鍵インフラストラクチャにより、デジタル証明書はWebベースのトランザクションの資格証明を確立します。
実行時の公開鍵: 実行時に公開鍵インフラストラクチャの資格証明が使用される独自のケースがあります。たとえば、(OWSMエージェントを使用した)リクエスタとセキュリティ・トークン・サービスとの間のWebサービス・セキュリティ(WSS)プロトコル通信のときなどです。関連項目: 表37-1
表37-1 実行時に使用されるセキュリティ・トークン・サービスの公開鍵
セキュリティ・トークン・サービスの動作 | 説明 |
---|---|
SAMLアサーションの発行 |
|
トークンの発行 |
|
SAMLアサーションの検証 |
|
Webサービス・セキュリティ(WSS)プロトコル通信の使用 |
(OWSMエージェントを使用した)リクエスタとセキュリティ・トークン・サービスの間の通信 |
JMXフレームワークによってドメイン内のすべてのOAMサーバーに配布され、セキュリティ・トークン・サービスのために使用されるキーストア・ファイルのサマリーを次に示します。
.oamkeystore: OAMサーバー・インスタンスに関連付けられたキーおよび証明書用。
.oamkeystore: パートナ、クライアントおよびエージェントとの信頼性を確立するために使用されるキーおよび証明書のパートナ・キーストア。
amtruststore: OAMサーバー・インスタンスと相互作用するエンティティに信頼性を確立するために使用されるキーおよび証明書の信頼キーストア。
amcrl.jar: 証明書失効リスト(CRL)は、CRLベースの証明書失効確認の実行中に、OAMサーバー・インスタンスによって使用されます。
表37-2のファイルは、JMXフレームワークによってドメイン内のすべてのOAMサーバーに配布されます。$DOMAIN_HOME/config/fmwconfig /mbeansディレクトリでは、ファイルを管理し、ファイルをドメイン全体に伝播する必要があることを識別するために、MBeanを示すファイルごとに登録mbeans.xmlが定義されます。
表37-2 キーストアMBean
キーストア | Mbeanと説明 |
---|---|
システム/パートナ・キーストア: .oamkeystore |
.oamkeystoreの構成は、JREのkeytoolアプリケーションを使用して実行されます。 |
信頼キーストア: .amtruststore |
amtruststoreの構成は、JREのkeytoolアプリケーションを使用して実行されます。 |
CRL: amcrl.jar |
CRL MBean: CRLの管理に使用できます。 |
トークン・セキュリティの鍵ペアは、セキュリティ・トークン・サービスで共有される共通のキーストアに移入されます。これにより、Oracle Web Services Managerエージェントは共通キーストアと相互作用する必要がなくなります。
「システム・キーストア(.oamkeystore)および信頼キーストア(amtruststore)のパスワードのリセット」で説明されているとおり、WLSTコマンドを使用してキーストアおよびamtruststoreのパスワードを取得できます。
このトピックでは、システムおよびパートナのキーと証明書を追加するためにOracle WSMエージェントで必要なJKSタイプのキーストアについて説明します。
Security Token ServiceでOracle WSMエージェント機能を使用してWSポリシーを公開し、インバウンドおよびアウトバウンドWSメッセージのメッセージを保護できます。Oracle WSMでは、個別のキーストアにシステムおよびパートナのキーと証明書が含まれている必要があります。
Oracle WSMエージェントは、様々な暗号化操作のためにキーストアを使用します。これらのタスクの場合、Oracle Web Services Manager AgentではOracle Web Services Managerタスク用に構成されたキーストア(OWSM秘密鍵とOWSM信頼証明書を含む)が使用されます。OPSSモジュールでは、証明書の検証操作のためにOracle Web Services Managerで使用されるキーストア・サービスが公開され、$DOMAIN_HOME/config/fmwconfig/jps-config.xmlにはキーストア・サービス用の設定が追加されます。デフォルト名はdefault-keystore.jksであり、jps-config.xmlで指定されます。
Oracle WSMエージェント・キーストアとセキュリティ・トークン・サービス・キーストアは常に別にしておくことをお薦めします。そのようにしないと、キーはOPSSによって認可された任意のモジュールでキーストアへのアクセスに使用できるようになり、Access Managerキーがアクセスされる可能性があります。
注意: Oracle WSMエージェント・キーストアとセキュリティ・トークン・サービス・キーストアは常に別にしておくことをお薦めします。 |
インストール中、Oracle WSMキーストアが構成されていない場合にインストーラが行うことを次に示します。
$DOMAIN_HOME/config/fmwconfigフォルダでの新しいキーストアの作成(デフォルト名はdefault-keystore.jks)
署名および暗号化操作のためにOWSMで使用される、対応する証明書を持つキー・エントリの作成。このキー・エントリは、orakey
別名の下のOWSMキーストアに格納されます。
キー・エントリおよびキーストアのパスワードをCSFに格納します
キーストアにアクセスするために、場合によっては必要となることを次に示します。
クライアントに配布するための署名/暗号化証明書の抽出(必要な場合)
署名/暗号化キー・エントリの更新または置換
信頼できる証明書を追加します
(Webサービス・リクエストの一部として受信される証明書トークンとは対照的に)クライアントがSKIなどの参照スキームを使用する特別な場合、リクエスタの証明書をOPSSキーストアに移入する必要があります。これは、キーをOPSSキーストアに手動でプロビジョニングする必要がある、一般的ではないシナリオです。
詳細は、「エージェントとセキュリティ・トークン・サービスについて」を参照してください。
セキュリティ・トークン・サービスでは、鍵を使用して次の処理が行われます。
送信アサーションの署名
WSSプロトコルで処理されないRSTメッセージに含まれる着信XML暗号化データ(トークン、エントロピなど)の復号化
セキュリティ・トークン・サービスでは、暗号化証明書および署名証明書の格納に次のキーストアが使用されます。
$DOMAIN_HOME/config/fmwconfig/.oamkeystore
タスクの概要: セキュリティ・トークン・サービスのキーの管理
次の手順を使用して、キーストアを保護するパスワード、およびそのキーストアと同じパスワードを使用するキー・エントリをリセットします。
Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドで説明されているように、これらのキーはインストール時に作成および構成されます。パスワードおよびキー・エントリのパスワードはランダムに生成されます。
管理者は次のようにWLST resetKeystorePassword
メソッドを使用して、.oamkeystoreパスワードおよび.oamkeystoreパスワードと同じパスワードを持つ任意のキー・エントリを新しい値に設定できます。
.oamkeystoreパスワードの更新
キーストアと同じパスワードを持つ.oamkeystore内のキー・エントリの更新
変更を反映させるためのAccess Manager、Identity Federationおよびセキュリティ・トークン・サービスの構成の更新
amtruststoreパスワードの更新(キーストアがデフォルトの.oamkeystoreと同じパスワードで保護されている場合)
関連項目: Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス |
システム・キーストアおよび信頼キーストアのパスワードをリセットするには
通常どおりWSLTスクリプト環境を入力します。
connect()
コマンドを使用してWebLogic Server AdminServerに接続します。
ドメイン実行時ツリーのdomainRuntime()
に移動します。
resetKeystorePassword(
)を実行します。
パスワードを入力および確認します。
管理者は、次の手順を使用して、新しいキー・エントリを作成および追加するkeytoolコマンドを使用してシステム・キーストア(.oamkeystore)に新しいキー・エントリを追加できます。エントリを追加した後、アサーションの署名および着信メッセージの復号化に使用できるように、エントリをセキュリティ・トークン・サービスの構成画面で定義する必要があります。
このトピックでは、新しいエントリを追加する次の手順により、SAMLアサーションの署名、またはWSSに含まれないXML暗号化データの復号化を実行します。
前提条件
システム・キーストア(.oamkeystore)および信頼キーストア(amtruststore)のパスワードのリセット
新しいエントリを構成する手順
keytoolを探します。
自己署名証明書を生成するか証明書リクエストを生成する場合は、リモート認証局にリクエストをエクスポートし、認証局が発行した証明書をインポートします。
画面のメッセージを確認します。
必要に応じて次の手順に進みます。
「署名鍵を使用するためのSAML発行テンプレートの構成」(必要な場合)
「デフォルトの暗号化鍵の設定」(必要な場合)
有効な管理者の資格証明を持つユーザーは、署名鍵を使用するように既存のテンプレートを編集する場合に、この手順をガイドとして使用できます。
署名鍵を使用するようにSAML発行テンプレートを構成する手順
既存のトークン発行テンプレートのリストを表示します。
新しい鍵を使用するSAML発行テンプレートを検索して開きます。たとえば、saml11-issuance-template
などです。
SAML発行テンプレート・ページで、「セキュリティ」タブをクリックします。
「セキュリティ」タブの「署名と暗号化」セクションで、「アサーションの署名」をクリックします。
「署名キーストア・アクセス・テンプレートID」リストから、署名キーストア・エントリとして「キーID」を選択します。
ページの上部にある「適用」ボタンをクリックしてこの情報を保存します。
必要に応じて、「デフォルトの暗号化鍵の設定」に進みます。
有効な管理者の資格証明を持つユーザーは、署名鍵を使用するように既存のテンプレートを編集する場合に、この手順をガイドとして使用できます。
デフォルトの暗号化鍵を設定する手順
「Security Token Serviceの設定」ページに移動します。
「デフォルト暗号化テンプレート」リストから、新しいキー・エントリを選択します。
ページの上部にある「適用」ボタンをクリックしてこの情報を保存します。
「デフォルトの暗号化鍵の設定」に進みます。
場合によっては、SAML署名操作またはXML暗号化操作に使用されるセキュリティ・トークン・サービス・キーを配布する必要があります。
セキュリティ・トークン・サービスにより発行されたSAMLアサーションを検証するために、リライイング・パーティがセキュリティ・トークン・サービス署名鍵にアクセスする必要がある場合
トークンをセキュリティ・トークン・サービス・サーバー用に暗号化する必要がある場合
SAML署名操作またはXML暗号化操作のためにセキュリティ・トークン・サービスで使用されるキー・エントリの証明書を配布するには、(「システム構成」→「セキュリティ・トークン・サービス」→「Security Token Serviceの設定」にリストされる)キーIDおよび優先エンコーディング(derとpem)を指定して、証明書取得サービスを使用します。詳細は、「証明書取得サービスの使用」を参照してください。
証明書取得サービスを使用する手順
(「Oracle Access Managementコンソール」の「システム構成」タブ、「セキュリティ・トークン・サービス」セクション、「Security Token Serviceの設定」にリストされる)証明書を取得するエントリのキーIDを取得します。
URLを作成します。たとえば、http(s)://osts-hostname:osts-port/sts/servlet/samlcert?id=<KEYID>&encoding=<ENCODING>などを作成し、次のものを指定します。
エントリのキーIDを保持するID
証明書が返されるフォーマットを表すエンコーディング。使用可能な値はpem (PEMフォーマット)またはder (DERフォーマット)です(オプション、デフォルト値はpem)。
ブラウザに返された証明書を確認します。
この項の内容は次のとおりです。
WS-Trustメッセージの処理中に、セキュリティ・トークン・サービスではパートナ証明書を使用することが必要となる場合があります。表37-3に示すように、必要な証明書は状況によって異なります。
表37-3 WS-Trust通信のパートナ・キー
セキュリティ・トークン・サービス必須の実行内容 | OAMサーバーの対応 |
---|---|
リライイング・パーティ用に暗号化されたSAMLアサーションの発行 |
リライイング・パーティの暗号化証明書を使用して、送信トークンを暗号化します。 |
Holder of Key/非対称タイプのサブジェクト確認を使用したSAMLアサーションの発行 |
リクエスタ・パートナの署名証明書をアサーションに含まれる証明鍵として使用します。 注意: 署名に使用されたSOAPヘッダー内のX.509バイナリ・セキュリティ・トークンを参照するUseKey要素がWS-Trust RSTに含まれている場合、セキュリティ・トークン・サービスではこの証明書を証明鍵として使用できます。 |
Holder of Key/対称タイプのサブジェクト確認を使用したSAMLアサーションの発行 |
リライイング・パーティの暗号化証明書を使用して、アサーションに含まれる秘密証明鍵を暗号化します。 |
Holder of Key/対称タイプのサブジェクト確認を使用したSAMLアサーションの発行 |
リクエスタ、秘密またはサーバー・エントロピのRSTRで暗号化できます。 この場合、サーバーは次の処理を行います。
注意: 署名に使用されたSOAPヘッダー内のX.509バイナリ・セキュリティ・トークンを参照するProofEncryption要素がWS-Trust RSTに含まれている場合、セキュリティ・トークン・サービスではこの証明書を使用して、クライアントに返された秘密またはエントロピを暗号化できます。 |
着信SAMLアサーションの検証 |
発行局の署名証明書を使用して、アサーションに存在するXMLデジタル署名を検証します。 |
セキュリティ・トークン・サービスは実行時に、RSTのAppliesToフィールドにリストされるサービスのリライイング・パーティWSSポリシーをダウンロードできます。セキュリティ・トークン・サービスがリライイング・パーティのWS-Secポリシーをダウンロードするように構成されている場合は、セキュリティ・トークン・サービスがリライイング・パーティに接続できるように、必要に応じてプロキシ設定が正しく入力されていることを確認します。
リライイング・パーティ・パートナ・プロファイルがそのように構成されている場合、セキュリティ・トークン・サービスに対してサービスからWS-Secポリシーをダウンロードするように指示されます。その後、セキュリティ・トークン・サービスではポリシーに存在する証明書を抽出し、必要に応じて暗号化操作に使用します。また、次の点にも注意が必要です。
セキュリティ・トークン・サービスがリライイング・パーティに対して暗号化されたSAMLアサーションを発行する場合、サーバーではリライイング・パーティのWS-Secポリシーからダウンロードされた証明書を使用して送信トークンが暗号化されます。
セキュリティ・トークン・サービスがHolder of Key/対称タイプのサブジェクト確認を使用してSAMLアサーションを発行する場合、セキュリティ・トークン・サービスではリライイング・パーティのWS-Secポリシーからダウンロードされた証明書を使用して、アサーションに含まれる秘密証明鍵が暗号化されます。
リライイング・パーティ・パートナ・プロファイルが実行時に証明書をダウンロードするように構成するには、「パートナの署名証明書または暗号化証明書の設定」を参照してください。
パートナの署名証明書または暗号化証明書を設定するには、次の操作を実行します。
または、WLSTパートナ・コマンドを使用して、特定のパートナの署名証明書または暗号化証明書を設定します。
前提条件
表37-3「WS-Trust通信のパートナ・キー」を確認します。
パートナの証明書を設定する手順
「Oracle Access Managementコンソール」の「システム構成」タブの「セキュリティ・トークン・サービス」セクションで、「パートナ」ノードを展開します。
「パートナ」ノード内で、「リクエスタ」(または、「リライイング・パーティ」または「発行局」(表37-3を参照))を展開します。
証明書を設定する必要があるパートナを検索して開きます(または作成します)。
必要に応じて「パートナ」設定を編集(「Token Serviceパートナの管理」を参照)し、「保存」をクリックします。
暗号化証明書: 「参照」ボタンをクリックし、暗号化証明書を検索して選択します。
署名証明書: 「参照」ボタンをクリックし、署名明書を検索して選択します。
情報を保存してページを閉じます。
「証明書検証の管理」に進みます。
この項では、証明書検証の管理について説明します。証明書検証の条件は、表37-4で説明されています。
表37-4 セキュリティ・トークン・サービスの証明書検証の条件
STSによって証明書が検証される場合... |
---|
検証されるセキュリティ・トークンは次のタイプのいずれかです。
|
SAMLアサーションを検証する必要があります。 |
セキュリティ・トークン・サービスはSAML発行局の署名証明書を検証するように構成されます。 |
検証が成功するための要件を表37-5に示します。
表37-5 証明書検証が成功するための要件
証明書が次の状態であること | 方法... |
---|---|
信頼できるアンカーにリンクされていること: |
|
取り消されていないこと:
|
証明書の取消ステータスは、次のものを確認することで判断できます。
|
証明書検証には信頼アンカー・ストア(.amtruststore)が必要です。このストアおよび検証を管理する手順については、次のトピックで説明します。
信頼アンカー・キーストアは、keytoolコマンドを使用して管理されます。キーストアに追加された証明書は、証明書検証モジュールによって検出されます。
注意: 通知はJMX通知フレームワークを使用して実行されますが、通知のリフレッシュ時間(デフォルトでは60秒)に応じて時間を要する場合があります。 |
前提条件
システム・キーストア(.oamkeystore)および信頼キーストア(amtruststore)のパスワードのリセット
信頼アンカー・ストア(amtruststore)を管理する手順
keytoolを探します。
次のコマンドを実行します。
keytool -keystore $DOMAIN_HOME/config/fmwconfig/amtruststore -storetype JKS -alias orakey -file $CERT_FILE
画面のメッセージを確認し、要求された場合はパスワードを入力します。
「証明書失効リストの管理」に進みます。
セキュリティ・トークン・サービスでは、共通インフラストラクチャ証明書検証モジュールが使用されます。証明書の検証中に使用される信頼できる証明書および証明書失効リスト(CRL)は、信頼キーストアおよびCRLのZIPファイルに格納されます。Security Token Serviceの構成には、OCSP/CDPの設定が格納されます。
この項では、証明書の失効ステータスを確認し、次の操作を実行するために証明書失効リスト(CRL)を追加または削除する方法を説明します。
前提条件
証明書失効リストをインポート可能な状態にします。
タスクの概要: 証明書検証および失効リストの管理
Oracle Access Managementコンソールの「システム構成」タブの「共通構成」セクションから、「証明書検証」を選択します。
「証明書失効リストの管理」を参照してください。
「OCSP証明書検証の有効化」を参照してください。
「CRL配布ポイント拡張機能」を参照してください。
オプションで、特定のデプロイメントにAccess Managerの信頼アンカーとは別の信頼アンカーのセットが必要な場合、別のキーストアをセキュリティ・トークン・サービスの信頼できる証明書ストアとして構成できます。これを実行するには、管理者が次のタスクを実行しておく必要があります。
注意: カスタム信頼アンカー・ストアの使用は、ほとんどの顧客に不要なオプション機能です。 |
タスクの概要: 信頼できる証明書のカスタム・キーストアのデプロイ
$DOMAIN_HOME/config/fmwconfigディレクトリにJKSキーストアを作成します。
「Oracle Access Managementコンソール」の「Security Token Serviceの設定」ページで、新しい信頼ストアのフルパス名を入力し、変更を適用します。
セキュリティ・トークン・サービスがデプロイされているドメインで、管理者がカスタム信頼アンカー・キーストアをすべてのサーバーに手動で伝播する必要があります。