| Oracle® Fusion Middleware Oracle Web Services Manager相互運用性ソリューション・ガイド 12c (12.1.3) E59426-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Web Services Manager相互運用性ソリューション・ガイド 12c (12.1.3) E59426-02 |
|
前 |
次 |
この章では、セキュリティ要件(認証、メッセージ保護およびトランスポート)に基づいたOracle Containers for Java EE (OC4J) 10gの最も一般的な相互運用性シナリオについて説明します。
この章の内容は次のとおりです。
OC4J 10gでは、次のドキュメントの説明に従って、セキュリティ環境を構成します。
Application Server Controlを使用したWebサービスの構成方法の詳細は、http://download.oracle.com/docs/cd/B31017_01/web.1013/b28975/toc.htmにあるOracle Application ServerアドバンストWebサービス開発者ガイドを参照してください。
JDeveloperを使用したクライアント側アプリケーションの開発および構成方法の詳細は、『Oracle JDeveloperによるアプリケーションの開発』を参照してください。
XMLベースのデプロイメント・ディスクリプタ・ファイルの変更方法の詳細は、http://download.oracle.com/docs/cd/B31017_01/web.1013/b28976/toc.htmの『Oracle Application Server Web Services セキュリティ・ガイド 10g (10.1.3.1.0)』を参照してください。
OWSM 12cでは、ポリシーをWebサービス・エンドポイントにアタッチします。ポリシーはドメインレベルで定義された1つ以上のアサーションで構成されています。アサーションはセキュリティ要件の定義です。そのまま使用できる事前定義のポリシーとアサーションのセットが用意されています。
詳細の参照先は、次のとおりです。
OWSM事前定義済ポリシーについては、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の事前定義済ポリシーに関する説明を参照してください。
OWSM 12cポリシーの構成およびアタッチについては、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービスの保護に関する説明およびポリシーのアタッチに関する説明を参照してください。
表3-1および表3-2は、セキュリティ要件(認証、メッセージ保護およびトランスポート)に基づいたOC4J 10gの最も一般的な相互運用性シナリオをまとめたものです。
|
注意: 以降のシナリオでは、v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。 |
表3-1 OWSM 12cサービス・ポリシーとOracle OC4J 10gクライアント・ポリシーの相互運用性
| アイデンティティ・トークン | WS-Securityバージョン | メッセージ保護 | トランスポート・セキュリティ | サービス・ポリシー | クライアント・ポリシー |
|---|---|---|---|---|---|
|
匿名 |
1.0 |
はい |
いいえ |
|
「OC4J 10gクライアントの構成」を参照してください。 |
|
ユーザー名 |
1.0 |
はい |
いいえ |
|
表3-10「OC4J 10gクライアントの構成」を参照してください。 |
|
SAML |
1.0 |
はい |
いいえ |
|
表3-16「OC4J 10gクライアントの構成」を参照してください。 |
|
相互認証 |
1.0 |
はい |
いいえ |
|
表3-22「OC4J 10gクライアントの構成」を参照してください。 |
|
SSL経由のユーザー名 |
1.0および1.1 |
いいえ |
はい |
または
|
表3-28「OC4J 10gクライアントの構成」を参照してください。 |
|
SSL経由のSAML |
1.0および1.1 |
いいえ |
はい |
または
|
表3-34「OC4J 10gクライアントの構成」を参照してください。 |
表3-2 Oracle OC4J 10gサービス・ポリシーとOWSM 12cクライアント・ポリシーの相互運用性
| アイデンティティ・トークン | WS-Securityバージョン | メッセージ保護 | トランスポート・セキュリティ | サービス・ポリシー | クライアント・ポリシー |
|---|---|---|---|---|---|
|
匿名 |
1.0 |
はい |
いいえ |
表3-6「OC4J 10g Webサービスの構成」を参照してください。 |
|
|
ユーザー名 |
1.0 |
はい |
いいえ |
表3-12「OC4J 10g Webサービスの構成」を参照してください。 |
|
|
SAML |
1.0 |
はい |
いいえ |
表3-18「OC4J 10g Webサービスの構成」を参照してください。 |
|
|
相互認証 |
1.0 |
はい |
いいえ |
表3-24「OC4J 10g Webサービスの構成」を参照してください。 |
|
|
SSL経由のユーザー名 |
1.0および1.1 |
いいえ |
はい |
表3-30「OC4J 10g Webサービスの構成」を参照してください。 |
|
|
SSL経由のSAML |
1.0および1.1 |
いいえ |
はい |
表3-36「OC4J 10g Webサービスの構成」を参照してください。 |
|
この項では、次の相互運用性シナリオにおいて、WS-Security 1.0標準に準拠するメッセージ保護付き匿名認証を実装する方法を示します。
次の手順では、WS-Security 1.0標準に準拠するメッセージ保護付き匿名認証を実装するために、OWSM 12c WebサービスおよびOWSM 10gクライアントを構成する方法を示します。
表3-3 OWSM 12c Webサービスの構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
Webサービス・アプリケーションを作成します。 |
|
|
2 |
|
Oracle Web Services ManagerによるWebサービスの保護およびポリシーの管理のポリシーのアタッチ |
表3-4 OC4J 10gクライアントの構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
Oracle JDeveloperを使用して、(表3-3で説明した)Webサービスのクライアント・プロキシを作成します。 |
Oracle JDeveloperによるアプリケーションの開発のWebサービスの開発と保護に関する項 |
|
2 |
Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。 |
-- |
|
3 |
プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。
|
-- |
|
4 |
プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。
|
-- |
|
5 |
プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド整合性」をクリックし、次のオプションを設定します。
|
-- |
|
6 |
プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。
|
-- |
|
7 |
プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。
|
-- |
|
8 |
プロキシ・エディタ・ナビゲーション・バーの「キーストア・オプション」をクリックし、必要に応じてキーストア・プロパティを構成します。 v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。 |
-- |
|
9 |
「OK」をクリックし、ウィザードを閉じます。 |
-- |
|
10 |
「構造」ペインで<appname>Binding_Stub.xmlをクリックし、次の項の説明に従ってこのファイルを編集します。 |
-- |
|
11 |
クライアントからWebサービス・メソッドを起動します。 |
-- |
表3-5 <appname>Binding_Stub.xmlファイルの編集
| タスク | 説明 |
|---|---|
|
1 |
キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。 |
|
2 |
インバウンド署名で、次のように指定します。 <inbound><verify-signature><tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity- utility-1.0.xsd" local-part="Timestamp" /> ... |
|
3 |
アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。 <outbound>/<signature>/<tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ... |
|
4 |
アウトバウンド暗号化で、次のようにキー・トランスポート・アルゴリズムを指定します。 <outbound><encrypt> <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> ... |
次の手順では、WS-Security 1.0標準に準拠するメッセージ保護付き匿名認証を実装するために、OC4J 10g WebサービスおよびOWSM 12cクライアントを構成する方法を示します。
表3-6 OC4J 10g Webサービスの構成
| タスク | 説明 |
|---|---|
|
1 |
Webサービス・アプリケーションを作成してデプロイします。 |
|
2 |
Application Server Controlを使用して、デプロイしたWebサービスを保護します。 |
|
3 |
「認証」タブをクリックし、いずれのオプションも選択されていなことを確認します。 |
|
4 |
「インバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。
|
|
5 |
「アウトバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。
|
|
6 |
「インバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。
|
|
7 |
「アウトバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。
|
|
8 |
キーストア・プロパティおよびアイデンティティ証明書を構成します。 v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。 |
|
9 |
表3-8「wsmgmt.xmlファイルの編集」の説明に従って、wsmgmt.xmlデプロイメント・ディスクリプタ・ファイルを編集します。 |
表3-7 OWSM 12cクライアントの構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
OC4J 10g Webサービスのクライアント・プロキシを作成します。 |
-- |
|
2 |
|
Oracle Web Services ManagerによるWebサービスの保護およびポリシーの管理のポリシーのアタッチ |
|
3 |
ポリシーを構成します。 |
『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_username_token_with_message_protection_client_policyに関する説明 |
|
4 |
クライアントからWebサービス・メソッドを起動します。 |
-- |
表3-8 wsmgmt.xmlファイルの編集
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
|
Oracle® Application ServerアドバンストWebサービス開発者ガイドのWebサービス管理スキーマの理解に関する項 |
|
2 |
インバウンド署名で、次のように指定します。 <inbound><verify-signature><tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ... |
-- |
|
3 |
アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。 <outbound>/<signature>/<tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ... |
-- |
|
4 |
アウトバウンド暗号化で、次のようにキー・トランスポート・アルゴリズムを指定します。 <outbound><encrypt> <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> ... |
-- |
この項では、WS-Security 1.0標準に準拠するメッセージ保護付きユーザー名トークンを実装する方法を示します。
次の手順では、WS-Security 1.0標準に準拠するメッセージ保護付きユーザー名トークンを実装するために、OWSM 12c WebサービスおよびOC4J 10gクライアントを構成する方法を示します。
表3-9 OWSM 12c Webサービスの構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
OWSM 12c Webサービスを作成します。 |
-- |
|
2 |
|
Oracle Web Services ManagerによるWebサービスの保護およびポリシーの管理のポリシーのアタッチ |
表3-10 OC4J 10gクライアントの構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。 |
Oracle JDeveloperによるアプリケーションの開発のWebサービスの開発と保護に関する項 |
|
2 |
クライアント・プロキシ内のユーザー名およびパスワードを次のように指定します。 port.setUsername(<username>) port.setPassword(<password>) |
-- |
|
3 |
Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。 |
-- |
|
4 |
プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。
|
-- |
|
5 |
プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。
|
-- |
|
6 |
プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド整合性」をクリックし、次のオプションを設定します。
|
-- |
|
7 |
プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。
|
-- |
|
8 |
プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。
|
-- |
|
9 |
プロキシ・エディタ・ナビゲーション・バーの「キーストア・オプション」をクリックし、必要に応じてキーストア・プロパティを構成します。 v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。 |
-- |
|
10 |
「OK」をクリックし、ウィザードを閉じます。 |
-- |
|
11 |
「構造」ペインで<appname>Binding_Stub.xmlをクリックし、表3-11「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。 |
-- |
|
12 |
Webサービスを起動します。 |
-- |
表3-11 <appname>Binding_Stub.xmlファイルの編集
| タスク | 説明 |
|---|---|
|
1 |
キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。 |
|
2 |
インバウンド署名で、次のように指定します。 <inbound><verify-signature><tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp" /> ... |
|
3 |
アウトバウンド署名で、次のようにタイムスタンプおよびUsernameTokenに署名が必要であることを指定します。 <outbound>/<signature>/<tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity- utility-1.0.xsd" local-part="Timestamp"/> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -secext-1.0.xsd" local-part="UsernameToken"/> ... |
|
4 |
アウトバウンド暗号化で、次のようにキー・トランスポート・アルゴリズムを指定します。 <outbound><encrypt> <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> ... |
|
5 |
アウトバウンド暗号化で、次のようにUsernameTokenに暗号化が必要であることを指定します。 <outbound>/<encrypt>/<tbe-elements> <tbe-element local-part="UsernameToken" name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -secext-1.0.xsd" mode="CONTENT"/> ... |
次の手順では、WS-Security 1.0標準に準拠するメッセージ保護付きユーザー名トークンを実装するために、OC4J 10g WebサービスおよびOWSM 12cクライアントを構成する方法を示します。
表3-12 OC4J 10g Webサービスの構成
| タスク | 説明 |
|---|---|
|
1 |
JAX-RPC Webサービスを作成してOC4Jにデプロイします。 |
|
2 |
Application Server Controlを使用して、デプロイしたWebサービスを保護します。 |
|
3 |
「認証」タブをクリックし、次のオプションを設定します。
|
|
4 |
「インバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。
|
|
5 |
「アウトバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。
|
|
6 |
「インバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。
|
|
7 |
「アウトバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。
|
|
8 |
キーストア・プロパティおよびアイデンティティ証明書を構成します。 v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。 |
|
9 |
表3-14「wsmgmt.xmlファイルの編集」の説明に従って、wsmgmt.xmlデプロイメント・ディスクリプタ・ファイルを編集します。 |
表3-13 OWSM 02cクライアントの構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
OC4J 10g Webサービスのクライアント・プロキシを作成します。 |
-- |
|
2 |
|
Oracle Web Services ManagerによるWebサービスの保護およびポリシーの管理のポリシーのアタッチ |
|
3 |
ポリシーを構成します。 |
『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_username_token_with_message_protection_client_policyに関する説明 |
|
4 |
クライアントからWebサービス・メソッドを起動します。 |
-- |
表3-14 wsmgmt.xmlファイルの編集
| タスク | 説明 |
|---|---|
|
1 |
|
|
2 |
インバウンド署名で、次のように指定します。 <inbound><verify-signature><tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ... |
|
3 |
アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。 <outbound>/<signature>/<tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ... |
|
4 |
アウトバウンド暗号化で、次のようにUsernameTokenに暗号化が必要であることを指定します。 <outbound>/<encrypt>/<tbe-elements> <tbe-element local-part="UsernameToken" name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -secext-1.0.xsd" mode="CONTENT"/> ... |
この項では、次の相互運用性シナリオにおいて、WS-Security 1.0標準に準拠するメッセージ保護付きSAMLトークン送信者保証を実装する方法を示します。
次の手順では、WS-Security 1.0標準に準拠するメッセージ保護付きSAMLトークン送信者保証を実装するために、OWSM 12c WebサービスおよびOC4J 10gクライアントを構成する方法を示します。
表3-15 OWSM 12c Webサービスの構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
OWSM 12c Webサービスを作成します。 |
-- |
|
2 |
|
Oracle Web Services ManagerによるWebサービスの保護およびポリシーの管理のポリシーのアタッチ |
表3-16 OC4J 10gクライアントの構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。 |
Oracle JDeveloperによるアプリケーションの開発のWebサービスの開発と保護に関する項 |
|
2 |
Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。 |
-- |
|
3 |
プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。
|
-- |
|
4 |
プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。
|
-- |
|
5 |
プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド整合性」をクリックし、次のオプションを設定します。
|
-- |
|
6 |
プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。
|
-- |
|
7 |
プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。
|
-- |
|
8 |
プロキシ・エディタ・ナビゲーション・バーの「キーストア・オプション」をクリックし、必要に応じてキーストア・プロパティを構成します。 v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。 |
-- |
|
9 |
「OK」をクリックし、ウィザードを閉じます。 |
-- |
|
10 |
「構造」ペインで<appname>Binding_Stub.xmlをクリックし、表3-17「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。 |
-- |
|
11 |
Webサービス・メソッドを起動します。 |
-- |
表3-17 <appname>Binding_Stub.xmlファイルの編集
| タスク | 説明 |
|---|---|
|
1 |
キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。 |
|
2 |
インバウンド署名で、次のように指定します。 <inbound><verify-signature><tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp" /> ... |
|
3 |
アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。 <outbound>/<signature>/<tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ... |
|
4 |
アウトバウンド暗号化で、次のようにキー・トランスポート・アルゴリズムを指定します。 <outbound><encrypt> <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> ... |
次の手順では、WS-Security 1.0標準に準拠するメッセージ保護付きSAMLトークン送信者保証を実装するために、OC4J 10g WebサービスおよびOWSM 12cクライアントを構成する方法を示します。
表3-18 OC4J 10g Webサービスの構成
| タスク | 説明 |
|---|---|
|
1 |
JAX-RPC Webサービスを作成してOC4Jにデプロイします。 |
|
2 |
Application Server Controlを使用して、デプロイしたWebサービスを保護します。 |
|
3 |
ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。
|
|
4 |
ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。
|
|
5 |
ナビゲーション・バーの「アウトバウンド整合性」をクリックし、次のオプションを設定します。
|
|
6 |
ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。
|
|
7 |
ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。
|
|
8 |
キーストア・プロパティおよびアイデンティティ証明書を構成します。 v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。 |
|
9 |
|
|
10 |
Webサービスを起動します。 |
表3-19 OWSM 12cクライアントの構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
OC4J 10g Webサービスのクライアント・プロキシを作成します。 |
-- |
|
2 |
|
Oracle Web Services ManagerによるWebサービスの保護およびポリシーの管理のポリシーのアタッチ |
|
3 |
ポリシーを構成します。 |
『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_saml_token_with_message_protection_client_policyに関する説明 |
|
4 |
クライアントからWebサービス・メソッドを起動します。 |
-- |
表3-20 wsmgmt.xmlファイルの編集
| タスク | 説明 |
|---|---|
|
1 |
|
|
2 |
インバウンド署名で、次のように指定します。 <inbound><verify-signature><tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ... |
|
3 |
アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。 <outbound>/<signature>/<tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ... |
|
4 |
アウトバウンド暗号化で、次のようにUsernameTokenに暗号化が必要であることを指定します。 <outbound>/<encrypt>/<tbe-elements> <tbe-element local-part="UsernameToken" name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -secext-1.0.xsd" mode="CONTENT"/> ... |
この項では、次の相互運用性シナリオにおいて、WS-Security 1.0標準に準拠するメッセージ保護付き相互認証を実装する方法を示します。
次の手順では、WS-Security 1.0標準に準拠するメッセージ保護付き相互認証を実装するために、OWSM 12c WebサービスおよびOC4J 10gクライアントを構成する方法を示します。
表3-21 OWSM 12c Webサービスの構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
Webサービス・アプリケーションを作成します。 |
-- |
|
2 |
|
Oracle Web Services ManagerによるWebサービスの保護およびポリシーの管理のポリシーのアタッチ |
表3-22 OC4J 10gクライアントの構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。 |
Oracle JDeveloperによるアプリケーションの開発のWebサービスの開発と保護に関する項 |
|
2 |
Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。 |
-- |
|
3 |
プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。
|
-- |
|
4 |
プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。
|
-- |
|
5 |
プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド整合性」をクリックし、次のオプションを設定します。
|
-- |
|
6 |
プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。
|
-- |
|
7 |
プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。
|
-- |
|
8 |
プロキシ・エディタ・ナビゲーション・バーの「キーストア・オプション」をクリックし、必要に応じてキーストア・プロパティを構成します。 v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。 |
-- |
|
9 |
「OK」をクリックし、ウィザードを閉じます。 |
-- |
|
10 |
「構造」ペインで<appname>Binding_Stub.xmlをクリックし、表3-23「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。 |
-- |
|
11 |
Webサービスを起動します。 |
-- |
表3-23 <appname>Binding_Stub.xmlファイルの編集
| タスク | 説明 |
|---|---|
|
1 |
キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。 |
|
2 |
インバウンド署名で、次のように指定します。 <inbound><verify-signature><tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp" /> ... |
|
3 |
アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。 <outbound>/<signature>/<tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ... |
|
4 |
アウトバウンド暗号化で、次のようにキー・トランスポート・アルゴリズムを指定します。 <outbound><encrypt> <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> ... |
次の手順では、WS-Security 1.0標準に準拠するメッセージ保護付き相互認証を実装するために、OC4J 10g WebサービスおよびOWSM 12cクライアントを構成する方法を示します。
表3-24 OC4J 10g Webサービスの構成
| タスク | 説明 |
|---|---|
|
1 |
JAX-RPC Webサービスを作成してOC4Jにデプロイします。 |
|
2 |
Application Server Controlを使用して、デプロイしたWebサービスを保護します。 |
|
3 |
「認証」タブをクリックし、次のオプションを設定します。
|
|
4 |
「インバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。
|
|
5 |
「アウトバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。
|
|
6 |
「インバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。
|
|
7 |
「アウトバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。
|
|
8 |
キーストア・プロパティおよびアイデンティティ証明書を構成します。 v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。 |
|
9 |
|
表3-25 OWSM 12cクライアントの構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
OC4J 10g Webサービスへのクライアント・プロキシを作成します。 |
-- |
|
2 |
|
Oracle Web Services ManagerによるWebサービスの保護およびポリシーの管理のポリシーのアタッチ |
|
3 |
ポリシーを構成します。 |
『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_x509_token_with_message_protection_client_policyに関する項 |
|
4 |
Webサービスを起動します。 |
-- |
表3-26 wsmgmt.xmlファイルの編集
| タスク | 説明 |
|---|---|
|
1 |
|
|
2 |
インバウンド署名で、次のように指定します。 <inbound><verify-signature><tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ... |
|
3 |
アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。 <outbound>/<signature>/<tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ... |
|
4 |
アウトバウンド暗号化で、次のようにUsernameTokenに暗号化が必要であることを指定します。 <outbound>/<encrypt>/<tbe-elements> <tbe-element local-part="UsernameToken" name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -secext-1.0.xsd" mode="CONTENT"/> ... |
この項では、次の相互運用性シナリオにおいて、SSL経由のユーザー名トークンを実装する方法を示します。
次を参照してください。
WebLogic ServerでのSSLの構成の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のトランスポート・レベルのセキュリティ(SSL)の構成に関する説明を参照してください。
OC4JでのSSLの構成の詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください。
次の手順では、SSL経由のユーザー名トークンを実装するために、OWSM 12c WebサービスおよびOC4J 10gクライアントを構成する方法を示します。
表3-27 OWSM 12c Webサービスの構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
サーバーをSSL用に構成します。 |
『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のトランスポート・レベルのセキュリティ(SSL)の構成に関する項 |
|
2 |
次のポリシーの1つをWebサービスにアタッチします。
|
Oracle Web Services ManagerによるWebサービスの保護およびポリシーの管理のポリシーのアタッチ |
表3-28 OC4J 10gクライアントの構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。 Webサービス・エンドポイントが、Oracle WebLogic ServerでHTTPSおよびSSLポートが構成されているURLを参照していることを確認してください。 |
Oracle JDeveloperによるアプリケーションの開発のWebサービスの開発と保護に関する項 |
|
2 |
次のコードを(クライアント・プロキシ・コードの最初に)追加して、双方向SSLを初期化します。
HostnameVerifier hv = new HostnameVerifier()
httpsURLConnection.setDefaultHostnameVerifier(hv);
System.setProperty("javax.net.ssl.trustStore","<trust_store>");
System.setProperty("javax.net.ssl.trustStorePassword","<trust_store
_password>");
System.setProperty("javax.net.ssl.keyStore","<key_store>");
System.setProperty("javax.net.ssl.keyStorePassword","<key_store_password>");
System.setProperty("javax.net.ssl.keyStoreType","JKS");
|
-- |
|
3 |
Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。 |
-- |
|
4 |
プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。
|
-- |
|
5 |
プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、すべてのオプションを選択解除します。 |
-- |
|
6 |
プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、すべてのオプションを選択解除します。 |
-- |
|
7 |
プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、すべてのオプションを選択解除します。 |
-- |
|
8 |
プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、すべてのオプションを選択解除します。 |
-- |
|
9 |
プロキシ・エディタ・ナビゲーション・バーの「キーストア・オプション」をクリックし、必要に応じてキーストア・プロパティを構成します。 v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。 |
-- |
|
10 |
「OK」をクリックし、ウィザードを閉じます。 |
-- |
|
11 |
「構造」ペインで<appname>Binding_Stub.xmlをクリックし、次の表の説明に従ってこのファイルを編集します。表3-29「<appname>Binding_Stub.xmlファイルの編集」 |
-- |
|
12 |
Webサービスを起動します。 |
-- |
次の手順では、SSL経由のユーザー名トークンを実装するために、OC4J 10g WebサービスおよびOWSM 12cクライアントを構成する方法を示します。
表3-30 OC4J 10g Webサービスの構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
サーバーをSSL用に構成します。 |
|
|
2 |
Application Server Controlを使用して、デプロイしたWebサービスを保護します。 |
-- |
|
3 |
「認証」タブをクリックし、次のオプションを設定します。
|
-- |
|
4 |
「インバウンド・ポリシー」ページの「完全性」タブをクリックし、すべてのオプションを選択解除します。 |
-- |
|
5 |
「アウトバウンド・ポリシー」ページの「完全性」タブをクリックし、すべてのオプションを選択解除します。 |
-- |
|
6 |
「インバウンド・ポリシー」ページの「秘匿性」タブをクリックし、すべてのオプションを選択解除します。 |
-- |
|
7 |
「アウトバウンド・ポリシー」ページの「秘匿性」タブをクリックし、すべてのオプションを選択解除します。 |
-- |
|
8 |
|
-- |
表3-31 OWSM 12cクライアントの構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
clientgenを使用して、OC4J 10 Webサービス・エンドポイントが、Oracle WebLogic ServerでHTTPSおよびSSLポートが構成されているURLを参照していることを確認してください。 |
-- |
|
2 |
次のコードを(クライアント・プロキシ・コードの最初に)追加して、双方向SSLを初期化します。
HostnameVerifier hv = new HostnameVerifier()
httpsURLConnection.setDefaultHostnameVerifier(hv);
System.setProperty("javax.net.ssl.trustStore","<trust_store>");
System.setProperty("javax.net.ssl.trustStorePassword","<trust_store
_password>");
System.setProperty("javax.net.ssl.keyStore","<key_store>");
System.setProperty("javax.net.ssl.keyStorePassword","<key_store_password>");
System.setProperty("javax.net.ssl.keyStoreType","JKS");
|
-- |
|
3 |
|
Oracle Web Services ManagerによるWebサービスの保護およびポリシーの管理のポリシーのアタッチ |
|
4 |
ポリシーを構成します。 |
『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss_username_token_over_ssl_client_policyに関する項 |
|
5 |
Webサービスを起動します。 |
-- |
この項では、次の相互運用性シナリオにおいて、WS-Security 1.0標準に準拠するSSL経由のSAMLトークン(送信者保証)を実装する方法を示します。
次を参照してください。
WebLogic ServerでのSSLの構成の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のトランスポート・レベルのセキュリティ(SSL)の構成に関する説明を参照してください。
OC4JでのSSLの構成の詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください。
次の手順では、WS-Security 1.0標準に準拠するSSL経由のSAMLトークン(送信者保証)を実装するために、OWSM 12c WebサービスおよびOC4J 10gクライアントを構成する方法を示します。
表3-33 OWSM 12c Webサービスの構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
サーバーを双方向SSL用に構成します。 |
『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebLogic ServerへのSSLの構成(双方向)に関する項。 |
|
2 |
次のポリシーをWebサービスにアタッチします。
|
Oracle Web Services ManagerによるWebサービスの保護およびポリシーの管理のポリシーのアタッチ |
表3-34 OC4J 10gクライアントの構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
サーバーを双方向SSL用に構成します。 |
|
|
2 |
Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。 Webサービス・エンドポイントが、Oracle WebLogic ServerでHTTPSおよびSSLポートが構成されているURLを参照していることを確認してください。 |
Oracle JDeveloperによるアプリケーションの開発のWebサービスの開発と保護に関する項 |
|
3 |
次のコードを(クライアント・プロキシ・コードの最初に)追加して、双方向SSLを初期化します。
HostnameVerifier hv = new HostnameVerifier()
httpsURLConnection.setDefaultHostnameVerifier(hv);
System.setProperty("javax.net.ssl.trustStore","<trust_store>");
System.setProperty("javax.net.ssl.trustStorePassword","<trust_store
_password>");
System.setProperty("javax.net.ssl.keyStore","<key_store>");
System.setProperty("javax.net.ssl.keyStorePassword","<key_store_password>");
System.setProperty("javax.net.ssl.keyStoreType","JKS");
|
-- |
|
4 |
Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。 |
-- |
|
5 |
プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。
|
-- |
|
6 |
プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。
|
-- |
|
7 |
プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、すべてのオプションを選択解除します。 |
-- |
|
8 |
プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。
|
-- |
|
9 |
プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。
|
-- |
|
10 |
使用するキーストアに必要な情報を指定します。 |
-- |
|
11 |
「OK」をクリックし、ウィザードを閉じます。 |
-- |
|
12 |
「構造」ペインで<appname>Binding_Stub.xmlをクリックし、表3-35「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。 |
-- |
|
13 |
Webサービスを起動します。 |
-- |
次の手順では、WS-Security 1.0標準に準拠するSSL経由のSAMLトークン(送信者保証)を実装するために、OC4J 10g WebサービスおよびOWSM 12cクライアントを構成する方法を示します。
表3-36 OC4J 10g Webサービスの構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
サーバーを双方向SSL用に構成します。 |
|
|
2 |
Application Server Controlを使用して、デプロイしたWebサービスを保護します。 |
-- |
|
3 |
ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。
|
-- |
|
4 |
「インバウンド・ポリシー」ページの「完全性」タブをクリックし、すべてのオプションを選択解除します。 |
-- |
|
5 |
「アウトバウンド・ポリシー」ページの「完全性」タブをクリックし、すべてのオプションを選択解除します。 |
-- |
|
6 |
「インバウンド・ポリシー」ページの「秘匿性」タブをクリックし、すべてのオプションを選択解除します。 |
-- |
|
7 |
「アウトバウンド・ポリシー」ページの「秘匿性」タブをクリックし、すべてのオプションを選択解除します。 |
-- |
|
7 |
表3-38「wsmgmt.xmlファイルの編集」の説明に従って、wsmgmt.xmlデプロイメント・ディスクリプタ・ファイルを編集します。 |
-- |
表3-37 OWSM 12cクライアントの構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
1 |
サーバーを双方向SSL用に構成します。 |
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebLogic ServerへのSSLの構成(双方向)に関する説明を参照してください。 |
|
2 |
OC4J 10g Webサービスへのクライアント・プロキシを作成します。 Webサービス・エンドポイントが、Oracle WebLogic ServerでHTTPSおよびSSLポートが構成されているURLを参照していることを確認してください。 |
-- |
|
3 |
|
Oracle Web Services ManagerによるWebサービスの保護およびポリシーの管理のポリシーのアタッチ |
|
4 |
ポリシーを構成します。 |
『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss_saml_token_over_ssl_client_policyに関する項 |
|
5 |
Webサービスを起動します。 |
-- |
