31 暗号化データの転送

この章の内容は次のとおりです。

ファイル転送の暗号化の設定: 手順

Oracle WebCenter Contentサーバーを介したOracle HCM Cloudとユーザー独自のサーバーの間でのセキュアな転送を実現するために、暗号化キーを使用してファイルを暗号化します。このPGPベースの暗号化サポートは、HCMデータ・ローダー、給与バッチ・ローダーおよびHCM抽出を使用したセキュアなファイル転送を実現するために使用できます。

(Oracle HCM Cloudへの)インバウンド・ファイルのプロセスは、次のとおりです。

  1. Oracle HCM Cloud公開キーを使用して、ファイルを暗号化します。

  2. データ・ロード・プロセスにより、Oracle HCM Cloud非公開キーを使用してファイルが復号化されます。

(Oracle HCM Cloudによって生成された)アウトバウンド・ファイルのプロセスは、次のとおりです。

  1. Oracle HCM Cloudでは、カスタマの公開キーを使用してファイルを暗号化します。

  2. カスタマの非公開キーを使用してファイルを復号化します。

このため、ファイルを暗号化または復号化するには、次のことを行う必要があります。

  1. カスタマの公開キーをOracle HCM Cloudにインポートします。

  2. PGP暗号化キー・ペアを生成し、Oracle HCM Cloud公開キーをダウンロードします。

次のように、ファイルに署名することもできます。

  • アウトバウンド・ファイルは、HCM Cloud非公開キーを使用して署名されます。HCM Cloud公開キーを使用して、これらのファイルを検証します。

  • インバウンド・ファイルは、カスタマの非公開キーを使用して署名されます。データ・ロード・プロセスにより、カスタマの公開キーを使用してインバウンド・ファイルが検証されます。

このトピックでは、ファイルの暗号化、復号化および署名を設定する方法について説明します。

暗号化キーとシグネチャ・キー

この表では、サポートされている各暗号化モードにおいて、暗号化、復号化、署名および検証に使用されるキーを識別します。

暗号化モード 暗号化キー 復号化キー シグネチャ・キー 検証キー

アウトバウンドPGP署名済

customer-key_pub

customer-key_priv

fusion-key_priv

fusion-key_pub

アウトバウンドPGP未署名

customer-key_pub

customer-key_priv

N/A

N/A

インバウンドPGP署名済

fusion-key_pub

fusion-key_priv

customer-key_priv

customer-key_pub

インバウンドPGP未署名

fusion-key_pub

fusion-key_priv

N/A

N/A

カスタマの公開キーのインポート

カスタマの公開キー(customer-key_pub)は、アウトバウンド・ファイルの暗号化に使用されます。カスタマの非公開キー(customer-key_priv)を使用してファイルを復号化できます。アウトバウンド・ファイルにも署名する必要がある場合は、HCM Cloud非公開キー(fusion-key_priv)が署名に使用されます。署名済のアウトバウンド・ファイルは、HCM Cloud公開キー(fusion-key_pub)を使用して検証できます。

カスタマの公開キーをインポートするには、次のようにします。

  1. Oracle HCM Cloudに、「ITセキュリティ・マネージャ」ジョブ・ロールまたは権限でサインインします。

  2. 「ナビゲータ」「ツール」「セキュリティ・コンソール」を選択して、セキュリティ・コンソールを開きます。

  3. 「証明書」タブをクリックして、「証明書」ページを開きます。

  4. 「インポート」をクリックして、「インポート」ページを開きます。

  5. 「証明書タイプ」「PGP」に設定します。

  6. 「別名」フィールドに、customer-keyと入力します。

    注意: このフィールドには、customer-keyと入力する必要があります。そうしない場合、暗号化APIで、このキーを使用してアウトバウンド・ファイルを暗号化することはできません。
  7. 「参照」をクリックして、カスタマの公開キーの場所を特定します。

  8. 「インポートおよびクローズ」をクリックして、公開キーをOracle HCM Cloudキーストアにインポートします。

これで、カスタマの公開キーが、セキュリティ・コンソールの「証明書」ページに表示されます。

PGP暗号化キー・ペアの生成

セキュリティ・コンソールで、PGPキー・ペアを生成します。公開キーをダウンロードして、HCM Cloudへのインバウンド・ファイル(HCMデータ・ローダー用の入力データ・ファイルなど)を暗号化します。これらのインバウンド・ファイルに署名するには、カスタマの非公開キー(customer-key_priv)を使用でき、これは、Oracle HCM Cloudでカスタマの公開キー(customer-key_pub)を使用して検証されます。カスタマの公開キーをインポートしておく必要があります。

PGP暗号化キー・ペアを生成するには、次のようにします。

  1. Oracle HCM Cloudに、「ITセキュリティ・マネージャ」ジョブ・ロールまたは権限でサインインします。

  2. 「ナビゲータ」「ツール」「セキュリティ・コンソール」を選択して、セキュリティ・コンソールを開きます。

  3. 「証明書」タブをクリックして、「証明書」ページを開きます。

  4. 「生成」をクリックして、「生成」ダイアログ・ボックスを開きます。

  5. 「生成」ダイアログ・ボックスで、「証明書タイプ」「PGP」に設定します。

  6. 「別名」フィールドに、fusion-keyと入力します。

    注意: このフィールドには、fusion-keyと入力する必要があります。そうしない場合、暗号化APIで、このキーを使用して、暗号化されたすべてのインバウンド・ファイルを復号化することはできません。
  7. 「パスフレーズ」フィールドに、非公開キーのパスフレーズを入力します。このパスフレーズは、非公開キーを編集、削除またはダウンロードする場合に必要になります。

    注意: パスフレーズを忘れた場合は、非公開キーを削除するための支援を求めるサービス要求の発行が必要になることがあります。古いキーが削除された後、ここで説明するプロセスを使用して、新しいキーを生成できます。
  8. 「キー・アルゴリズム」フィールドで、RSAを選択します。

  9. 「キー長」フィールドで、1024または2048のいずれかを選択します。

  10. 「保存してクローズ」をクリックします。fusion-keyペアが生成され、ダウンロードできるようになります。セキュリティ・コンソールの「証明書」ページで、fusion-keyペアを確認できます。

  11. 「証明書」ページのfusion-keyペアに対する「ステータス」処理で、「エクスポート」「公開キー」を選択します。HCM Cloud公開キー(fusion-key_pub.asc)を自分のデスクトップに保存します。ダウンロードしたキーを使用して、Oracle HCM Cloudへのインバウンド・ファイルを暗号化します。

ファイルの自動的な暗号化およびアップロード: 手順

PGP暗号化を使用してデータのファイルを暗号化し、APIおよびWebサービスを使用して、自分のサーバーとOracle WebCenter Contentとの間で自動的に転送します。たとえば、従業員の機密データや機密文書を含むファイルを暗号化および復号化できます。ファイル・サーバーから暗号化されたファイルを収集するプログラムを記述します。次に、それらをOracle WebCenter Contentサーバー上に配置し、データ・ローダーをコールしてデータを復号化し、Oracle HCM Cloudにロードします。

注意: これらのタスクを実行する前に、カスタマの暗号化キーを設定する必要があります。

サポートされている暗号化アルゴリズム

Oracle HCM Cloudでは、次の暗号化アルゴリズムがサポートされています。サポートされている暗号化アルゴリズムのみを使用していることを確認する必要があります。

  • 暗号: AES-128、Blowfish、CAST5、3DES

    注意: 暗号アルゴリズムTwofish、IDEA、AES-192およびAES-256はサポートされていません
  • 圧縮: bzip2、zlib、.zip、圧縮なし

  • ハッシュ: SHA-1、SHA-256、SHA-224、SHA-512、MD5、SHA-384、RIPEMD-160

ファイルの暗号化

この項では、Microsoft WindowsおよびLinuxの環境で、GnuPG暗号化ツールを使用してファイルを暗号化するコマンドについて説明します。その他のツールやプラットフォームについては、サプライヤに依頼して、暗号アルゴリズムを設定するために必要なコマンドを確認してください。

  • Microsoft Windows用のGnuPGの公式配布であるGpg4winでは、暗号化、復号化、署名および検証のためのコマンドライン・インタフェースとグラフィカル・ユーザー・インタフェースの両方が提供されています。暗号化の場合は、コマンドライン・インタフェースを使用します。Gpg4winは、https://www.gpg4win.org/about.htmlから入手できます。

  • Linux用のGnuPGは、使用しているLinuxディストリビューションに応じて、様々なソースからダウンロードできます。一般的に使用されているGnuPGバージョンは、https://www.gnupg.org/index.htmlから入手できます。

Gpg4winまたはGnuPGツールをインストールした後、次の手順に従って、ファイルを暗号化したり、暗号化してさらに署名します。

  1. コマンド・プロンプトでこのコマンドを使用して、(セキュリティ・コンソールからダウンロードした) HCM Cloud公開キーをインポートします。

    gpg --import <fusion public key file>
  2. 次のいずれかの手順を実行します。

    • 署名なしでファイルを暗号化するには、次のコマンドを使用します。

      gpg --cipher-algo <one_of_the_supported_algorithms> -r fusion-key --encrypt <inbound_file_name>
    • ファイルの暗号化と署名を両方行うには、次のコマンドを使用します。

      gpg --cipher-algo <one_of_the_supported_algorithms> -r fusion-key -se <inbound_file_name>
      注意: ファイルに署名する場合は、署名に使用するカスタマの非公開キーが、キーストアにインポートされていることを確認してください。

暗号化されたファイルのロード

次の手順を実行して、Oracle WebCenter ContentサーバーからOracle HCM Cloudに、暗号化されたファイルをロードします。

  1. Oracle WebCenter Content Webサービスを使用して、Oracle WebCenter Contentに暗号化されたファイルを送信するプログラムを記述します。ホーム・ページがhttps://Hostname/homePage/faces/AtkHomePageWelcomeである場合、Oracle WebCenterContentサーバーWSDLは、https://Hostname/idcws/GenericSoap?wsdlとなります。

  2. ローダー・プログラムをコールして、暗号化パラメータをその他の必須パラメータとともに渡します。loaderIntegrationServiceでは、追加パラメータencryptTypeを含むsubmitEncryptedBatchメソッドを使用します。このパラメータには、ORA_HRC_FILE_ENCRYPT_TYPE参照タイプで定義された次の値が含まれます。

    • NONE

    • PGPSIGNED

    • PGPUNSIGNED

PGP暗号化によるHCM抽出からのファイルの自動転送: 手順

HCM抽出およびカスタマの暗号化キーを使用して、暗号化されたファイルをOracle WebCenter Contentに転送します。HCM抽出では、暗号化された出力を生成し、WebCenter Contentサーバーに格納できます。たとえば、従業員の機密データや機密文書を含むファイルを暗号化および復号化できます。HCM抽出を使用して暗号化されたファイルを生成し、WebCenter Contentサーバーに提供します。ファイルを収集する独自のプログラムを記述します。

注意: データの暗号化または復号化を試行する前に、カスタマの暗号化キーを設定する必要があります。

アウトバウンド統合

次の情報を設定して、HCM抽出をアウトバウンド統合で使用します。

  1. 「データ交換」作業領域で、「抽出定義の管理」タスクを選択します。

  2. 「提供」ページで、「WebCenterコンテンツ」提供タイプを選択します。

  3. 統合名を入力します。アプリケーションでは、この名前を使用して、WebCenter Contentでのエントリのタイトルを作成します。

  4. 暗号化モードを選択します。暗号化モードは、ORA_HRC_FILE_ENCRYPT_TYPE参照タイプの値のいずれかになります。これにより、WebCenter Contentにファイルをロードする前に、アプリケーションでこのファイルを暗号化する方法が決まります。HCM抽出によりファイルがWebCenter Contentに転送されるときには、コンテンツIDが、UCMFAnnnnnnという形式で自動的に生成されます。

    このファイルには、次のプロパティが含まれます。

    フィールド名

    作成者

    FUSION_APPS_HCM_ESS_APPID

    セキュリティ・グループ

    FAFusionImportExport

    アカウント

    hcm/dataloader/export

    タイトル

    HEXTV1CON_{Integration Name}_{Encryption Type}_{Date Time Stamp}

    例: HEXTV1CON_ExtractConn1_PGPUNSIGNED_17-11-2014 14-16-44

  5. XML (データ)ファイルをBIパブリッシャで書式設定しないで、WebCenter Contentに直接出力するよう、HCM抽出の提供オプションを構成します。このためには、出力形式として「データ」を選択し、テンプレート名を省略して、「WebCenterコンテンツ」提供タイプを選択します。

  6. クライアントのコマンドライン・ツールまたはWebサービス・コールを使用して、WebCenter Contentから暗号化されたファイルをダウンロードします。

アウトバウンド・ファイルの復号化

カスタマの非公開キーを使用して、Oracle HCM Cloudから生成された暗号化されたファイルを復号化できます。署名されたファイルを検証するには、Oracle HCM Cloud公開キーを使用します。これらの2つのキーが、キーストアにインポートされていることを確認してください。Microsoft WindowsとLinuxのどちらの場合でも、次のコマンドを使用して、署名済と未署名の両方のファイルを復号化します。

gpg --decrypt <inbound_file_name> --output <output_file_name>