3 Oracle Infrastructure Webサービスの保護

この章では、Oracle Infrastructure Webサービスを保護する方法について説明します。

この章の内容は次のとおりです。

• Webサービスのセキュリティの概要

• OWSMの事前定義済セキュリティ・ポリシーとアサーション・テンプレート

• セキュリティ・ポリシーのアタッチ

• セキュリティ・ポリシーの構成

Webサービスのセキュリティの概要

Webサービス・セキュリティには次の側面があります。

• 認証: ユーザーが表明しているとおりのユーザーであるかを検証します。ユーザーのアイデンティティは、ユーザー自身が提供する資格証明に基づいて検証されます。資格証明には次のものがあります。

  1. ユーザーが所有しているもの。たとえばパスポート(実世界)やスマート・カード(ITの世界)など、信頼できる機関が発行した資格証明。

  2. ユーザーが知っているもの。たとえばパスワードなどの共有の秘密鍵。

  3. ユーザーの特性。たとえばバイオメトリック情報。

  複数のタイプの資格情報を組み合せて使用することは、強い認証と呼ばれます。たとえば、ATMカード(ユーザーが持っているもの)とPINやパスワード(ユーザーが知っていること)を使用する場合などです。

• 認可(またはアクセス制御): 認証されたユーザーの権限に基づいて、特定のリソースへのアクセスを許可します。権限は1つ以上の属性によって定義されます。属性とはユーザーのプロパティまたは特性のことです。たとえば、「Marc」はユーザーで、「会議の発言者」は属性です。

• 機密保護、プライバシ: 情報の機密性を保ちます。Webサービス・リクエストや電子メールなどのメッセージと、送信ユーザーおよび受信ユーザーのアイデンティティに、機密を保つ方法でアクセスします。メッセージのコンテンツを暗号化し、送信ユーザーおよび受信ユーザーのアイデンティティを不明瞭化することで機密保護とプライバシが実現されます。

• 整合性、否認防止: 送信ユーザーがメッセージにデジタルで署名することによって、メッセージが転送中に変更されないようにします。デジタル署名を使用することによって、署名が検証され、否認防止が実現されます。署名内のタイムスタンプにより、このメッセージが有効期限後にリプレイされることを防ぎます。

これらのWebサービス・セキュリティの概念の詳細は、『Oracle Web Services Managerの理解』のWebサービスのセキュリティの概念の理解に関する項を参照してください。

Oracle Web Services Manager (WSM)は、異種の環境においてWebサービスのセキュリティを定義して実装できるように設計されています。たとえば、認証、認可、メッセージの暗号化と復号化、署名の生成と検証、および複数のWebサービス間のアイデンティティ伝播などを使用して、1つのトランザクションが完成します。さらに、OWSMには、サービスレベル契約に基づいてWebサービスを管理するためのツールが用意されています。たとえば、ユーザー(セキュリティ設計者やシステム管理者)は、Webサービスの可用性、レスポンス時間および請求目的で使用可能なその他の情報を定義できます。OWSMの詳細は、『Oracle Web Services Managerの理解』のOWSMポリシーのフレームワークの理解に関する説明を参照してください。

OWSMの事前定義済セキュリティ・ポリシーとアサーション・テンプレート

第2章「Oracle Infrastructure Webサービスへのポリシーのアタッチ」で説明されているように、OWSMには、Oracle Fusion Middlewareをインストールすると自動的に使用可能になる一連の事前定義済のポリシーおよびアサーション・テンプレートが用意されています。

次のカテゴリのセキュリティ・ポリシーおよびアサーション・テンプレートは、即時に利用可能です。

• 認証のみのポリシー

• メッセージ保護のみのポリシー

• メッセージ保護および認証ポリシー

• 認可のみのポリシー

事前定義済のOWSMポリシーおよびアサーション・テンプレートの詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の次の項を参照してください。

• 事前定義済ポリシーに関する項

• 事前定義済アサーション・テンプレートに関する項

使用するセキュリティ・ポリシーを決定する際には、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の使用するセキュリティ・ポリシーの決定に関する説明を参照してください。

セキュリティ・ポリシーのアタッチ

Oracle Infrastructure Webサービスおよびクライアントにセキュリティ・ポリシーをアタッチします。設計時にはOracle JDeveloperを使用して、実行時にはFusion Middleware Controlを使用して行います。詳細は、第2章「Oracle Infrastructure Webサービスへのポリシーのアタッチ」を参照してください。

セキュリティ・ポリシーの構成

セキュリティ・ポリシーを環境内で使用するには、あらかじめ構成する必要があります。セキュリティ・ポリシーの構成手順の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービスの保護に関する説明を参照してください。