Oracle® Fusion Middleware Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理 12c (12.1.3) E59414-02 |
|
前 |
次 |
この章では、ドメインの認証、メッセージ保護およびポリシー・アクセスを目的にOWSM環境を構成する方法について説明します。この構成は、Fusion Middleware ControlまたはWLSTを使用して行えます。ここでは両方の方法を説明します。
この章の内容は次のとおりです。
OWSMでは、管理者は、Fusion Middleware Controlの「WSMドメイン構成」ページを使用して、OWSM環境を集中的に構成および管理できます。このページから、ポリシー・マネージャの接続情報、キャッシュ・リフレッシュ間隔、nonceタイムアウト、クロック・スキュー、OWSMキーストア構成、ログイン・モジュール、信頼できるSAML発行者および他の類似の構成パラメータを指定できます。
WLSTコマンドでも、コマンド行またはスクリプトを使用してOWSMを構成できます。WLSTコマンドの詳細は、「WLSTを使用したOWSMドメイン構成の管理」を参照してください。
OWSM構成は、OWSMリポジトリ内にドキュメントとして格納されます。Fusion Middlewareをインストールし、OWSMが含まれるドメインを作成すると、デフォルトで次の構成ドキュメントが作成されます。
ブートストラップ構成ドキュメント: ポリシー・マネージャへの接続で使用するブートストラップ情報が含まれています。ブートストラップ構成ドキュメントにも指定されているプロパティのドメイン構成を変更すると(Fusion Middleware ControlまたはWLSTを使用)、ブートストラップ構成に指定されている値はポリシー・マネージャの初期接続でのみ使用されます。以降のアクセスでは、ドメイン構成ドキュメント内の値が使用されます。
ブートストラップ構成ドキュメントは、domain_home
/config/fmwconfig/wsm-config.xml
ファイルに格納されます。ここで、domain_home
は、ドメインのインストール先のディレクトリです。デフォルトでは、このディレクトリはOracle_Home
/user_projects/domains/base_domain
です。
トークン発行者信頼ドキュメント: デフォルトの信頼できるSAML発行者(www.oracle.com
)が含まれています。このドキュメントは読取り専用です。信頼できる発行者を追加し、DNリストを定義するたびに、追加の信頼ドキュメントが作成され、リポジトリに格納されます。
デフォルト構成ドキュメント: コンテキストで有効なすべてのプロパティとそのデフォルト値が含まれています。デフォルト構成を変更すると、ドメインの構成ドキュメントが作成され、リポジトリに保存されます。
「WSMドメイン構成」ページまたはカスタム構成WLSTコマンドを使用して行う構成は、アプリケーション・レベルではなくドメイン・レベルでのみ適用されます。
ほとんどの場合、OWSM構成を変更してもサーバーの再起動は必要ありません。ただし、キーストア構成やキーストア・タイプの変更など、状況によっては、構成の変更によってサーバーの再起動が必要です。また、キャッシュ・プロパティ(cache.refresh
など)を変更し、変更を即時に反映する場合は、サーバーを再起動する必要があります。
OWSMの構成は、「WSMドメイン構成」ページを使用して行います。このページから、ドメインに関する一般情報の表示と、認証、メッセージ・セキュリティおよびポリシー・アクセス・プロパティの構成を行えます。
「WSMドメイン構成」ページに移動するには:
ナビゲーション・ペインで、「WebLogicドメイン」を開き、構成するドメインを選択します。
「WebLogicドメイン」メニューから、「Webサービス」→「WSMドメイン構成」を選択します。
「WSMドメイン構成」ページの「一般」タブには、ドメイン名やプラットフォーム・タイプなど、ドメインに関する基本的な情報が表示され、ドメインの表示名および説明を指定できます。ドメインに関するバージョン情報も表示されます。これには、構成のバージョン番号、構成に対して最後に行われた更新のタイムスタンプ、およびドメインを最後に更新したユーザー名が含まれます。
注意: バージョン情報はデータベース・ベースのOWSMリポジトリを使用している場合のみ更新されます。 |
ドメインに関する一般情報を表示するには:
「「WSMドメイン構成」ページへの移動」の説明に従って、「WSMドメイン構成」ページに移動します。
「General」タブを選択します。
ドメインに関する基本情報(「名前」、「プラットフォーム・タイプ」、「バージョン情報」など)を表示します。
必要に応じて、構成の「表示名」および「説明」を指定します。
「適用」をクリックします。
「WSMドメイン構成」ページの「認証」タブでは、SAML信頼、発行済トークンに対して使用する存続期間、およびOWSM認証後に作成されるJAASサブジェクトのサブジェクト・プロパティを構成できます。SAML、SAML2、Kerberos、X509およびカスタムのログイン・モジュールを構成することもできます。
次の各項では、構成の詳細を説明します。
「認証」タブの「SAML信頼」セクションで、SAML署名証明書の、信頼できるSAML発行者および信頼できる識別名(DN)のリストを定義できます。
このページで定義したSAML発行者のリストは、このドメイン内のすべてのWebサービスに適用できるデフォルトのリストとなります。また、この方法で発行者を追加する場合、ドメインの再起動は必要ありません。
デフォルトの場合、OWSMでは、受信した発行者名を構成済の発行者のリストと照合してチェックし、SAML署名をOWSMキーストアにある構成済の証明書と照合してチェックします。信頼できる発行者の信頼できるDNリストを定義した場合は、そのDNが信頼できるDNリストに属する特定の証明書に基づいてSAML署名が署名されているかどうかも検証されます。
信頼できるDNリストの構成はオプションです。詳細な制御を必要とするユーザーは、これにより各発行者を1つ以上の署名証明書のリストに関連付けることができます。信頼できる発行者のDNリストが定義されていない場合、署名証明書の証明書チェーン内のすべての中間証明書およびCA証明書がOWSMキーストアに存在するかぎり、その証明書に基づいて署名できます。署名証明書が自己署名の場合、これがキーストア自体にある必要があります。
重要な注意事項:
「SAML信頼」セクションの「信頼できるSTS」表および「信頼できるクライアント」表を使用して、証明書自体ではなく、署名証明書のDNを定義します。
署名証明書のCA証明書および中間証明書は、署名証明書がキーストアにあるか、メッセージで渡されるかにかかわらず、OWSMキーストアにある必要があります。
双方向SSLの場合は、次のようにします。
Java EEコンテナのトラスト・ストアに証明書をインポートする必要があります。
検証にはクライアントSSL証明書のDNを使用します。このDNは信頼できるDNリストに存在している必要があります。
どのような場合も、署名証明書はOWSMキーストアに存在する証明書によって信頼されている必要があります。
SAML発行者の追加、SAML署名証明書の信頼できるDNリストの定義、または発行者のDNリストへのDNの追加を行うには、次の手順を使用します。
「「WSMドメイン構成」ページへの移動」の説明に従って、「WSMドメイン構成」ページにアクセスします。
「認証」タブを選択します。
ページの「SAML信頼」セクション(図14-1)で、次のいずれかを実行します。
信頼できるSTSサーバーの信頼できる発行者を追加し、信頼できるDNリストを定義するには、「信頼できるSTS」表の「追加」をクリックします。SAML HOKおよびSAML Bearerには、このリストを使用します。
信頼できるクライアントの信頼できる発行者を追加し、信頼できるDNリストを定義するには、「信頼できるクライアント」表の「追加」をクリックします。SAML送信者保証には、このリストを使用します。
「発行者名」列に、信頼できる発行者名(たとえば、www.yourcompany.com
)を入力します。事前定義のSAMLクライアント・ポリシーのデフォルト値はwww.oracle.com
です。
「発行者DN」列に、信頼できる発行者のDNリストを入力します。RFC 2253に準拠する文字列を使用してください。たとえば、信頼する発行者www.oracle.com
の信頼するDNは、CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US
のようになります。発行者のDNを複数追加する場合は、各DNをセミコロン(;)で区切ります(図14-1を参照)。
RFC 2253の詳細は、http://www.ietf.org/rfc/rfc2253.txt
を参照してください。
必要に応じて、「Fusion Middleware Controlを使用した信頼できる発行者のトークン属性ルールの構成」の説明に従って、信頼できるDNのトークン属性ルールを構成します。
必要に応じて、別の信頼できる発行者およびDNリストを追加します。これを行うには、手順3から6を繰り返します。
信頼できる発行者のDNリストにDNを追加するには、表内の信頼できる発行者を選択し、「発行者DN」列のDNリストにDNを追加します。各DNはセミコロン(;)で区切ってください。
信頼できる発行者、DNリストまたはDNリストの個々のDNを削除する手順は、次のとおりです。
信頼できる発行者およびDNリストを削除するには、削除する発行者が含まれている行を選択し、「削除」をクリックします。
DNリストを削除するには、削除するDNの「発行者DN」フィールドを消去します。構成されているトークン・ルールも削除されます。
DNリストからDNを削除するには、信頼できる発行者の行を選択し、リストからDNを削除します。
必要な発行者およびDNリストの構成が終了したら、「適用」をクリックします。
WLSTを使用してこのタスクを実行するには、「WLSTを使用した信頼できるSAML発行者、DNリストおよびトークン属性ルールの構成」を参照してください。
特定の信頼できるSAMLトークン発行者で、どのユーザーおよびユーザー属性を許容したり処理するかを制御したいという要求が増え続けています。トークン属性ルールを使用すると、信頼できるSTSサーバーおよび信頼できるSAMLクライアントの追加のセキュリティ制約を定義できます。T
トークン属性ルールは、信頼できるDNの上に定義できます。発行者に構成されたそれぞれの信頼できるDNに対して、トークン属性ルールを構成および適用できます。
各ルールには2つの部分があります。それは、名前IDと、信頼できる発行者のDNがアサートできるユーザー属性の属性部分です。名前IDおよび属性部分内の各属性には、複数の値または値パターンを使用するフィルタを含めることで、名前IDまたはDNがアサートできる属性の値に対して制約を適用できます。
Fusion Middleware Controlを使用してトークン属性ルールを定義するには:
「Fusion Middleware Controlを使用した信頼できるSAML発行者およびDNリストの構成」の説明に従って、信頼できる発行者のDNリストを定義します。
表で発行者DNを選択し、「トークン・ルールの構成」をクリックします。
「トークン・ルール」ページで、「追加」をクリックしてDNの属性およびフィルタを追加します。
「属性」フィールドには、値name-id
が事前移入されます。
注意: 先頭行のみ、「属性」 フィールドに値name-idが事前移入されます。以降の行で「追加」をクリックした場合は、「属性」フィールドに値を入力する必要があります。 |
「フィルタ」フィールドに、トークン属性ルールを作成する属性フィルタ値を入力します。
「フィルタ」フィールドに追加する値は、yourTrustedUser
など、完全な名前を入力できます。また、yourTrusted*
のように、ワイルドカード文字(*)を使用した名前パターンを入力することもできます。複数の属性フィルタを指定する場合は、各フィルタをセミコロン(;)で区切る必要があります。
既存の属性またはフィルタを編集するには、表内の該当のフィールドを選択し、必要な変更を行います。
属性ルールを削除するには、削除するルールが含まれている行を選択し、「削除」をクリックします。
「OK」をクリックして変更を保存し、「WSMドメイン構成」ページに戻ります。
リクエスト・メッセージがセキュリティ・トークン・サービス(STS)に送信されるときに発行済トークンが使用する存続期間を指定できます。STSから有効時間の異なるトークンが送信された場合、ランタイムはトークンの実際の有効時間を確認し、その時間内のみトークンをキャッシュします。詳細は、「トークンの存続期間およびトークンのキャッシュ」を参照してください。
このプロパティのデフォルトは28800000ミリ秒(8時間)です。デフォルト値を変更するには、次のいずれかの操作を行います。
「発行済トークン存続時間」フィールドに、目的の値を直接入力します。
上向き矢印または下向き矢印を使用して、デフォルト値を増減します。
SAMLポリシーには、ログイン・モジュールが関連付けられています。このモジュールは、ポリシーを構成するアサーションによって決まります。SAMLポリシーをWebサービスにアタッチする場合、ログイン・モジュールを編集して必要な変更を加えることができます。
OWSMドメイン構成ページから、次のSAMLログイン・モジュールを構成できます。
saml.loginmodule—このSAMLログイン・モジュールは、Java Authentication and Authorization Service (JAAS)ログイン・モジュールであり、ログインのためにSAMLアサーションを受け入れます。また、SAMLアサーションから作成されたプリンシパルのログイン・コンテキストを使用して、Webサービスを実行できるようにします。
saml2.loginmodule—このSAML2ログイン・モジュールは、JAASログイン・モジュールであり、ログインのためにSAML2アサーションを受け入れます。また、SAML2アサーションから作成されたプリンシパルのログイン・コンテキストを使用して、Webサービスを実行できるようにします。
注意: このページで行われる構成は、OPSSログイン・モジュール・ページで行われる構成より優先されます。 |
OWSMでSAMLログイン・モジュールを構成するには:
「「WSMドメイン構成」ページへの移動」の説明に従って、「WSMドメイン構成」ページに移動します。
「認証」タブを選択します。
ページの「SAMLログイン・モジュール」または「SAML2ログイン・モジュール」セクションで、次のプロパティを環境に合せて設定します。
仮想ユーザーの許可: SAMLサブジェクトを仮想ユーザーとして扱うことを許可する場合は、このプロパティを選択します。有効の場合、ユーザーは、アイデンティティ・ストア内の実際のユーザーにマッピングされません。サブジェクトには、SAMLサブジェクトからのユーザー名のみが移入されます。サブジェクトは仮想ユーザーとして扱われるので、アイデンティティ・ストア構成は必要ありません。また、このログイン・モジュールを使用するドメイン内のすべてのSAMLポリシーについて、認証プロバイダは起動されません。
このプロパティが有効でない場合(デフォルト)、SAMLサブジェクト内のユーザー名が、アイデンティティ・ストア内の実際のユーザーにマップされます。アイデンティティ・ストアで指定されたユーザー名およびロールにより、ユーザー・ロールおよびサブジェクトが作成されます。
ドメイン名マッピング属性: SAMLクライアント・ポリシーで名前識別子フォーマットがX509SubjectNameに設定されている場合、ユーザーをアイデンティティ・ストアに対してアサートする際に使用する証明書DNの部分を指定できます。このプロパティのデフォルトはCNです。
サブジェクトにアサーションを追加: 認証対象のサブジェクトにSAMLアサーションをプライベート資格証明として追加するかどうかを指定します。デフォルトは、trueです。このプロパティをfalseに設定した場合(チェック・ボックスの選択解除)、アサーションは認証対象のサブジェクトに追加されません。
「適用」をクリックします。
WLSTを使用してこれらのプロパティを設定する方法の詳細は、「WLSTを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。
Kerberosポリシーは、Kerberosプロトコルを使用してユーザーを認証するJAASログイン・モジュールに関連付けられています。Kerberosログイン・モジュールには、OWSMで構成できるオプションのプロパティがあります。OWSM構成で指定した構成は、OPSSのKerberosログイン・モジュール構成よりも優先されます。
OWSMでKerberosログイン・モジュールを構成するには:
「「WSMドメイン構成」ページへの移動」の説明に従って、「WSMドメイン構成」ページに移動します。
「認証」タブを選択します。
ページの「Kerberos」セクションで、次のプロパティを環境に合せて設定します。
Keytabファイルの場所: プリンシパルの秘密鍵を取得するには、keytabのファイル名を指定します。デフォルト値は./krb5.keytab
です。
プリンシパル: 使用するプリンシパル名を指定します。プリンシパルは、資格証明一式の割当先となる特定のエンティティのことです。testuser
などの単純なユーザー名またはHOST/localhost
などのサービス名を使用できます。keytabに複数のプリンシパルの資格証明がある場合、または特定のチケット・キャッシュのみが必要な場合に、プリンシパルを設定するためにprincipalオプションを使用できます。デフォルト値はHOST/localhost@EXAMPLE.COM
です。
クラス名: OWSMによって使用するログイン・モジュールを指定します。値が指定されていない場合、実行中のプラットフォームにより、実行時にKerberosログイン・モジュールのクラス名に次のデフォルト値の1つが使用されます。
com.sun.security.auth.module.Krb5LoginModule
(Oracle)
com.ibm.security.auth.module.Krb5LoginModule
(IBM)
キータブの使用: モジュールがkeytabからプリンシパルの鍵を取得するかどうかを指定します。keytabが設定されていない場合は、モジュールはKerberos構成ファイルでkeytabを検索します。Kerberos構成ファイルに指定されていない場合は、ファイル<user.home><file.separator>krb5.keytab
を検索します。
true
に設定、つまりキータブからプリンシパルのキーを取得するには、このチェック・ボックスを選択します。
ストア・キー: プリンシパルの鍵をサブジェクトの秘密資格証明に格納するかどうかを指定します。
true
に設定、つまりプリンシパルのキーをサブジェクトのプライベート資格証明に格納するには、このチェック・ボックスを選択します。
資格証明を要求しない: 資格証明をキャッシュまたはkeytabから取得できないときに、パスワードを要求するプロンプトを表示するかどうかを指定します。このプロパティを選択すると、資格証明をキャッシュまたはキータブから取得できない場合、認証が失敗します。
true
に設定、つまり資格証明をキャッシュまたはキータブから取得できない場合にパスワードの入力を要求するには、このチェック・ボックスを選択します。
「適用」をクリックします。
WLSTを使用してこれらおよび他のKerberosログイン・モジュール・プロパティを設定する方法の詳細は、「WLSTを使用したKerberosログイン・モジュールの構成」を参照してください。
OWSM認証後に作成されるJAASサブジェクトには、ユーザー名およびロール(認証ロール、匿名ロール、アプリケーション・ロールなど)が移入されます。これらのロールの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のユーザーおよびロールの理解に関する項を参照してください。
OPSSでサポートするこれらのロールのサブジェクト・プロパティは、OWSMで構成し、各起動でOPSSに渡すことができます。OWSMで定義された構成は、OWSMでのみ作成されたすべてのサブジェクトに適用されます。OPSSログイン・モジュールを使用して作成されたサブジェクトには影響しません。
OWSMでサブジェクト・プロパティを構成するには:
「「WSMドメイン構成」ページへの移動」の説明に従って、「WSMドメイン構成」ページに移動します。
「認証」タブを選択します。
ページの「サブジェクト・プロパティ」セクションで、次のプロパティを環境に合せて設定します。
サブジェクトからの匿名ロールの削除: OWSMで作成されたサブジェクトから匿名ロールを削除するかどうかを指定します。デフォルトでは、このプロパティは無効で(false
に設定)、認証後、サブジェクトに匿名ロールが保持されます。
認証後、サブジェクトから匿名ロールを削除するには、チェック・ボックスを選択(true
に設定)します。
サブジェクトへの認証ロール: OWSMで作成されたサブジェクトに認証ロールを追加するかどうかを指定します。デフォルトでは、このプロパティは有効で(true
に設定)、サブジェクトに認証ロールが保持されます。
認証ロールをサブジェクトに含めない場合は、チェック・ボックスの選択を解除(false
に設定)します。
サブジェクトへのアプリケーション・ロール: OWSMで作成されたサブジェクトにアプリケーション・ロールを追加するかどうかを指定します。デフォルトでは、このプロパティは有効で(trueに設定)、サブジェクトにアプリケーション・ロールが追加されます。
アプリケーション・ロールをサブジェクトに追加しない場合は、チェック・ボックスの選択を解除(false
に設定)します。
「適用」をクリックします。
WLSTを使用してこれらのプロパティを設定する方法の詳細は、「WLSTを使用したサブジェクト・プロパティの構成」を参照してください。
X509ログイン・モジュールには、OWSMで構成できるオプションのプロパティがあります。OWSM構成で指定した構成は、OPSSのX509ログイン・モジュール構成よりも優先されます。
X509ログイン・モジュールを構成するには:
「「WSMドメイン構成」ページへの移動」の説明に従って、「WSMドメイン構成」ページに移動します。
「認証」タブを選択します。
ページのX509セクションで、次のプロパティを環境に合せて設定します。
ドメイン名マッピング属性: DNを使用してログインの必要なマッピング属性を入力します。このプロパティのデフォルトはCNですが、ユーザーをアイデンティティ・ストアに対してアサートする際に使用する証明書DNの部分を指定できます。指定する値は、ログイン・モジュールの各起動時にOPSSに渡されます。DN文字列はRFC 2253に準拠する必要があります。
RFC 2253の詳細は、http://www.ietf.org/rfc/rfc2253.txt
を参照してください。
「適用」をクリックします。
OWSM構成システムで、カスタム・ログイン・モジュールを作成できます。ログイン・モジュールの作成の詳細は、http://docs.oracle.com/javase/6/docs/technotes/guides/security/jaas/JAASLMDevGuide.htmlからJava Authentication and Authorization Service (JAAS) LoginModule開発者ガイド
を参照してください。
カスタム・ログイン・モジュールを作成するには:
「「WSMドメイン構成」ページへの移動」の説明に従って、「WSMドメイン構成」ページに移動します。
「認証」タブを選択します。
ページの「カスタム・ログイン・モジュール」セクションで、「作成」をクリックします。
「ログイン・モジュールの作成」ページで、ログイン・モジュールの名前とクラス名を、「名前」フィールドと「クラス」フィールドにそれぞれ入力します。必要に応じて、「説明」フィールドにログイン・モジュールの説明を入力します。
たとえば、キーストア・ログイン・モジュールを構成するには、Keystore Login Module
を「名前」フィールドに入力し、com.sun.security.auth.module.KeyStoreLoginModule
を「クラス」フィールドに入力します。
カスタム・プロパティを追加するには、「追加」をクリックし、プロパティの名前と値を入力します。この手順を繰り返し、必要とするすべてのプロパティを追加します。プロパティを削除するには、行を選択して、「削除」をクリックします。
たとえば、キーストア・ログイン・モジュールを構成するには、keyStoreAlias
プロパティを追加します(図14-2を参照)。
「OK」をクリックして、ログイン・モジュールを作成します。
「適用」をクリックします。
「WSMドメイン構成」ページの「メッセージ・セキュリティ」タブでは、OWSMキーストアの構成、セキュリティ・ポリシー強制の調整、公開証明書をWSDLで公開するかどうかの指定、およびホスト名検証とセキュア通信の構成を行えます。
次の各項では、構成の詳細を説明します。
OWSMでは、KSS、JKS、HSMおよびPKCS11キーストアがサポートされます。キーストアを作成した後、OWSMを構成してキーストアにアクセスおよび使用できるようにする必要があります。
注意: ドメインごとに単一のOWSMキーストアが存在し、ドメイン内で実行するすべてのWebサービスおよびクライアントによってそのキーストアが共有されます。 |
ドメインごとに単一のOWSMキーストアが存在し、ドメイン内で実行するすべてのWebサービスおよびクライアントによってそのキーストアが共有されることに注意してください。
次の各項では、OWSMの構成方法をキーストア・タイプごとに説明します。
KSSキーストアを使用するためにOWSMを構成するには、次の手順を実行します。
「メッセージ保護に関するOPSSキーストア・サービスの使用」の説明に従って、キーストアを作成します。
「「WSMドメイン構成」ページへの移動」の説明に従って、「WSMドメイン構成」ページに移動します。
「メッセージ・セキュリティ」タブを選択します。
ページの「キー・ストア」セクションで、「キーストア・タイプ」
としてKSSを選択します。
図14-3に示すように、KSSキーストアの設定が表示されます。
キーストアへのパスをkss://
stripeName
/
keystoreName
の形式で入力します。たとえば、kss://owsm/keystore
と入力します。
注意: このフィールドには大/小文字区別があります。 |
署名および暗号化の別名を次のように指定します。
「署名の別名」で、メニューから別名を選択します。ここで選択する値は、キーストアの値に一致する必要があります。たとえば、orakey
です。
「暗号化の別名」で、メニューから別名を選択します。ここで選択する値は、キーストアの値に一致する必要があります。たとえば、orakey
です。
注意: メニューで別名を使用できるのは、「パス」フィールドで指定したキーストアに別名が存在する場合のみです。キーストアに別名が存在しない場合、メニューは空白です。 |
「適用」をクリックして変更を受け入れます。
キーストアの構成が初めての場合、サーバーの再起動は必要ありません。しかし、キーストアまたはキーストア構成を変更している場合は、サーバーを再起動する必要があります。
注意: KSSキーストアのデフォルトのキーストア名(kss://owsm/keystore )を使用しない場合は、OPSSでwsm-agent-core.jar への権限を付与する必要があります。権限の付与の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のJavaセキュリティ・ポリシー権限の設定に関する項を参照してください。 |
JKSキーストアを使用するようにOWSMを構成すると、資格証明マップoracle.wsm.security
および定義するすべてのキーについて、資格証明ストア内にエントリが作成されます。(資格証明ストアの構成の詳細は、「資格証明ストアの構成」を参照してください。)
JKSキーストアを使用するためにOWSMを構成するには:
「メッセージ保護に関するJavaキーストアの使用」の説明に従って、キーストアを作成します。
「「WSMドメイン構成」ページへの移動」の説明に従って、「WSMドメイン構成」ページに移動します。
「メッセージ・セキュリティ」タブを選択します。
ページの「キー・ストア」セクションで、「キーストア・タイプ」
としてJKSを選択します。
図14-4に示すように、JKSキーストアの設定が表示されます。
左の列で、キーストアのパス、キーストア・キーおよびキーストア・パスワードを次のように入力します。
「パス」フィールドで、「秘密鍵の生成およびJavaキーストアの作成」の説明に従って作成したキーストアのパスと名前を入力します。たとえば、default-keystore.jks
というキーストア名を指定した場合は、./default-keystore.jks
と入力します。この例の場所は、domain_name/config/fmwconfig
ディレクトリを基準とした相対パスです。または、キーストアの絶対パスを指定できます。キーストアで異なる名前または位置を使用した場合は、かわりにその値を入力します。
次のいずれかの操作を実行します。
キーストア・パスワードが資格証明ストアに存在する場合は、「キー」メニューから選択します。メニューからキーを選択すると、「パスワード」フィールドが無効となり、選択したキーに関連する資格証明が使用されます。
キーストア・パスワード・キーが「キー」メニューに表示されない場合は、「キー」フィールドにキーストア・パスワード・キーを入力します。場合によっては、「キー」フィールドに新しい値を入力する前に、フィールドを消去する必要があります。「パスワード」フィールドおよび「確認」フィールドで、キーストアのパスワードを入力します。ここで指定するキーは資格証明ストア・キーとして資格証明ストアに格納され、入力するパスワードは資格証明ストア内のそのキーに関連付けられます。このパスワードは、「秘密鍵の生成およびJavaキーストアの作成」の説明に従って、keytoolユーティリティを使用してキーストアを作成したときに使用したパスワードに一致する必要があります(例: password
)。詳細は、『Oracle Web Services Managerの理解』のOWSMにおいてJKSおよびPKCS11キーストアのキーストアおよびキー・パスワードを特定する方法に関する項を参照してください。
署名鍵を次のように構成します。
署名鍵が資格証明ストアに存在する場合は、「キー」メニューから選択します。メニューからキーを選択すると、「署名の別名」フィールドおよび「パスワード」フィールドが無効となり、選択したキーに関連する資格証明が使用されます。
署名鍵が「キー」メニューに表示されない場合は、「キー」フィールドに署名鍵を入力します。場合によっては、「キー」フィールドに新しい値を入力する前に、フィールドを消去する必要があります。「署名の別名」フィールドに別名、「パスワード」フィールドおよび「確認」フィールドに別名のパスワードを入力します。ここで指定する値は、キーストアの値に一致する必要があります。たとえば、orakey
およびpassword
です。
暗号化鍵を次のように構成します。
暗号化鍵が資格証明ストアに存在する場合は、「キー」メニューから選択します。メニューからキーを選択すると、「暗号化の別名」フィールドおよび「パスワード」フィールドが無効となり、選択したキーに関連する資格証明が使用されます。
暗号化鍵が「キー」メニューに表示されない場合は、「キー」フィールドに暗号化鍵を入力します。場合によっては、「キー」フィールドに新しい値を入力する前に、フィールドを消去する必要があります。「暗号化の別名」フィールドに別名、「パスワード」フィールドおよび「確認」フィールドに別名のパスワードを入力します。ここで指定する値は、キーストアの値に一致する必要があります。たとえば、orakey
およびpassword
です。
注意: 署名鍵および暗号化鍵の別名とパスワードによって、資格証明ストア内のキーの格納と取得に使用される文字列の別名とパスワードが定義されます。詳細は、『Oracle Web Services Managerの理解』のOWSMにおいて資格証明を使用する方法に関する項を参照してください。 |
「適用」をクリックして変更を送信します。
キーストアの構成が初めての場合、サーバーの再起動は必要ありません。しかし、キーストアまたはキーストア構成を変更している場合は、サーバーを再起動する必要があります。
SafeNet Luna SAなどのハードウェア・セキュリティ・モジュール(HSM)をOWSMと統合することで、キーを安全に格納し、暗号処理の負荷を軽減できます。
HSMキーストアを使用するためにOWSMを構成するには:
「OWSMでのハードウェア・セキュリティ・モジュールの使用」の説明に従って、SafeNet Lunaをインストールして構成します。
「「WSMドメイン構成」ページへの移動」の説明に従って、「WSMドメイン構成」ページに移動します。
「メッセージ・セキュリティ」タブを選択します。
ページの「キー・ストア」セクションで、「キーストア・タイプ」
としてHSMを選択します。
図14-5に示すように、HSMキーストアの設定が表示されます。
「プロバイダ・タイプ」フィールドで、luna
と入力します。
「署名の別名」フィールドおよび「暗号化の別名」フィールドに、署名鍵および暗号化鍵の別名を入力します。(Luna SAではキーストアおよび秘密鍵にアクセスするためにパスワードを必要としないことに注意してください。)
注意: HSMでは、署名鍵の別名のみが必要であるため、すべての*csf.key (keystore.sig.csf.key およびkeystore.enc.csf.key )プロパティには資格証明ストア・キーではなく別名を直接指定する必要があります。これは、*csf.key プロパティの構成オーバーライドにも該当します。 |
「適用」をクリックして変更を受け入れます。
キーストアの構成が初めての場合、サーバーの再起動は必要ありません。しかし、キーストアまたはキーストア構成を変更している場合は、サーバーを再起動する必要があります。
PKCS11キーストアを使用するためにOWSMを構成するには:
「Oracle SPARC T5およびOracle SPARC T4暗号化アクセラレーションのためのOWSMの構成」の説明に従って、キーストアを作成します。
「「WSMドメイン構成」ページへの移動」の説明に従って、「WSMドメイン構成」ページに移動します。
「メッセージ・セキュリティ」タブを選択します。
ページの「キー・ストア」セクションで、「キーストア・タイプ」
としてPKCS11を選択します。
図14-6に示すように、PKCS11キーストアの設定が表示されます。
次のいずれかの操作を実行します。
キーストア・パスワードが資格証明ストアに存在する場合は、「キー」メニューから選択します。メニューからキーを選択すると、「パスワード」フィールドが無効となり、選択したキーに関連する資格証明が使用されます。
キーストア・パスワード・キーが「キー」メニューに表示されない場合は、「キー」フィールドにキーストア・パスワード・キーを入力します。場合によっては、「キー」フィールドに新しい値を入力する前に、フィールドを消去する必要があります。「パスワード」フィールドおよび「確認」フィールドで、キーストアのパスワードを入力します。ここで指定するキーは資格証明ストア・キーとして資格証明ストアに格納され、入力するパスワードは資格証明ストア内のそのキーに関連付けられます。このパスワードは、キーストアを作成したときに使用したパスワード(たとえば、password
)に一致する必要があります。詳細は、『Oracle Web Services Managerの理解』のOWSMにおいてJKSおよびPKCS11キーストアのキーストアおよびキー・パスワードを特定する方法に関する項を参照してください。
署名鍵を次のように構成します。
署名鍵が資格証明ストアに存在する場合は、「キー」メニューから選択します。メニューからキーを選択すると、「署名の別名」フィールドおよび「パスワード」フィールドが無効となり、選択したキーに関連する資格証明が使用されます。
署名鍵が「キー」メニューに表示されない場合は、「キー」フィールドに署名鍵を入力します。場合によっては、「キー」フィールドに新しい値を入力する前に、フィールドを消去する必要があります。「署名の別名」フィールドに別名、「パスワード」フィールドおよび「確認」フィールドに別名のパスワードを入力します。ここで指定する値は、キーストアの値に一致する必要があります。たとえば、orakey
およびpassword
です。
暗号化鍵を次のように構成します。
暗号化鍵が資格証明ストアに存在する場合は、「キー」メニューから選択します。メニューからキーを選択すると、「暗号化の別名」フィールドおよび「パスワード」フィールドが無効となり、選択したキーに関連する資格証明が使用されます。
暗号化鍵が「キー」メニューに表示されない場合は、「キー」フィールドに暗号化鍵を入力します。場合によっては、「キー」フィールドに新しい値を入力する前に、フィールドを消去する必要があります。「暗号化の別名」フィールドに別名、「パスワード」フィールドおよび「確認」フィールドに別名のパスワードを入力します。ここで指定する値は、キーストアの値に一致する必要があります。たとえば、orakey
およびpassword
です。
注意: 署名鍵および暗号化鍵の別名とパスワードによって、資格証明ストア内のキーの格納と取得に使用される文字列の別名とパスワードが定義されます。詳細は、『Oracle Web Services Managerの理解』のOWSMにおいて資格証明を使用する方法に関する項を参照してください。 |
「適用」をクリックして変更を送信します。
キーストアの構成が初めての場合、サーバーの再起動は必要ありません。しかし、キーストアまたはキーストア構成を変更している場合は、サーバーを再起動する必要があります。
「メッセージ・セキュリティ」タブの「セキュリティ設定」セクションでは、システム・クロック間のデフォルト・メッセージ・タイムスタンプの時間差、ポリシー・キャッシュ内のnonceメッセージの存続時間、およびメッセージの有効期限を調整することにより、セキュリティ・ポリシー強制の構成をチューニングできます。
セキュリティ・ポリシー強制を構成するには:
「「WSMドメイン構成」ページへの移動」の説明に従って、「WSMドメイン構成」ページに移動します。
「メッセージ・セキュリティ」タブを選択します。
ページの「セキュリティ設定」セクションで、次のプロパティを環境に合せて設定します。
XPath変換の許可: OWSMですべてのタイプのXPath変換を受け入れるかどうかを指定します。デフォルトのOWSMでは、署名(着信SOAPメッセージ内)のancestor-or-self::*[namespace-uri()='<namespace>'
and local-name()='<name>']
のXPath変換のみが許可されます。
すべてのタイプのXPath変換を許可および許容するには、このプロパティを有効にします。デフォルトでは無効になります。このプロパティを有効にすると、XPathベースのサービス拒否攻撃を受けたり、類似のXPathベースの攻撃に対してセキュリティの脆弱性を露呈する恐れがあります。
Nonce有効時間: Nonceがメッセージで送信されるときの、キャッシュ内でのNonceの合計存続時間を指定します。このプロパティにより、Nonceはキャッシュされ、この時間を超えるとキャッシュから削除されます。デフォルト値は28800000ミリ秒(8時間)です。
次の場合にこのプロパティを構成する必要があります。
短い期間でNonceを削除することでサーバーでのメモリー消費を減らす場合は、存続時間を小さくします。
Nonceをサーバーにキャッシュする時間を長くすることで、メッセージの一意性/新しさを長期間保証する場合は、存続時間を大きくします。
このプロパティを設定するには、フィールドに新しい値を入力するか、上下方向の矢印をクリックしてデフォルト値を増減します。
注意: ポリシー内のユーザー名トークンの設定では、リプレイ攻撃を避けるために、「必要な作成時間」および「必要なNonce」の両方のプロパティを有効にする必要があります。「必要なNonce」のみが有効な場合、Nonceはリプレイ攻撃を避けるために永久にキャッシュされます。また、「Nonce有効時間」には、「メッセージ期限切れ時間」の設定値以上の値を設定する必要があります。 |
クロック・スキュー: クライアント・マシンとサーバー・マシンの間での時間差の許容範囲(秒単位)を指定します。たとえば、メッセージのタイムスタンプがタイムゾーンの異なるサービスに送信された場合に、このプロパティで指定された許容時間が許容されます。デフォルト値は360000ミリ秒(6分)。クロック・スキューを調整するには、フィールドに新しい値を入力するか、上下方向の矢印をクリックしてデフォルト値を増減します。
このプロパティは次のように構成する必要があります。
クライアントとWebサービスが異なるシステムで実行していて、システムのクロックが同期していない場合、クロック・スキューを大きくします。このような場合は、タイムスタンプ検証失敗のエラーで、サービスがクライアントからのメッセージを拒否する可能性があります。クロック・スキューを大きくすると、クライアントとWebサービスの間のクロックの差に対応できます。たとえば、Webサービスのクロックとクライアントのクロックの差が10分の場合、Webサービスをホストしているシステムでクロック・スキューを10分(600000ミリ秒)に増やします。
リプレイ攻撃を避けるためにWebサービスがクライアントからのメッセージを受け付ける時間枠を狭くする場合は、クロック・スキューを小さくします。
メッセージ期限切れ時間: メッセージが作成されてから期限切れになるまでの時間(秒)を指定します。このプロパティは、タイムスタンプがSOAPヘッダーで送信される場合に、タイプスタンプが期限切れかどうかを検証するために使用されます。また、メッセージの作成時に、クライアント側でタイムスタンプ期限切れ時間を制御するためにも使用されます。ここで指定した値は、すべてのメッセージ保護およびSAMLアサーション・テンプレート要素に適用されます。デフォルト値は300000ミリ秒(5分)。
クライアントとサービスのクロックの間に時間差がない場合でも、サービスが受信したときにメッセージが期限切れの場合は、メッセージの有効期限を増加する必要があります。メッセージの有効期限は、メッセージ期限切れ時間の値および受信メッセージ内の有効期限から求められ、2つのうち短い方の値となります。
たとえば、サーバーのメッセージ期限切れ時間が5分に設定されていて、受信メッセージの有効期限が6分の場合、有効なタイムスタンプ検証時間は5分のみであり、受信メッセージはその5分間のみ有効です。この場合は、サービス側でメッセージ期限切れ時間を増やす必要があります。(受信メッセージ内のタイムスタンプ有効期限を増加しても、メッセージ期限切れ時間は2つの値のうち短い方の値となるため、問題は解決しません。)
一方、サーバーのメッセージ期限切れ時間が5分で、受信メッセージの有効期限が3分の場合は、受信メッセージ(つまり、クライアント側)の有効期限を増加する必要があります。
注意: メッセージ期限切れ時間の値が大きくなるほど、セキュリティの脆弱性が露呈する可能性があります。 |
「適用」をクリックしてプロパティの更新を適用します。
「メッセージ・セキュリティ」タブの「アイデンティティ」セクションのプロパティにより、WSDLのX509証明書を公開してWebサービス・ポリシーを強制するかどうかを指定できます。X509証明書を公開する必要がない場合は(たとえばSSLの場合など)、デフォルトの設定をオーバーライドして証明書を公開しないようにすることができます。さらに、X509をパブリッシュする場合は、hostname検証機能を無視するかどうかも指定できます。
サービス・アイデンティティ証明拡張およびホスト名検証の詳細は、「サービス・アイデンティティ証明拡張の使用」を参照してください。
サービス・アイデンティティ証明拡張およびホスト名検証を有効化または無効化する手順
「メッセージ保護に関するキーストアの構成」で説明されているように、公開鍵の元となる暗号化鍵を設定します。
サービス側のオーバーライドを使用して暗号化鍵やWebサービスのキーストアをオーバーライドする場合は、オーバーライドされるキーに対応する証明書が使用されます。
「「WSMドメイン構成」ページへの移動」の説明に従って、「WSMドメイン構成」ページに移動します。
「メッセージ・セキュリティ」タブを選択します。
ページの「アイデンティティ」セクションで、次のプロパティを環境に合せて設定します。
ホスト名検証の無視: ホスト名検証機能を無効にするかどうかをドメインごとに指定します。デフォルトでは、このプロパティは無効(true
)です。ただし、プロパティをfalse
に設定すると、ホスト名検証を有効化できます。
アイデンティティWSDLの無視: クライアント側のWSDLから取得したX509証明書の使用を有効にするかどうかをドメインごとに指定します。デフォルトではこのプロパティは有効(false
)で、クライアントのランタイムはWSDLからの証明書を暗号化に使用します。デフォルト設定をtrue
に変更すると、X509証明書の使用を無効化できます。
「適用」をクリックしてプロパティの更新を適用します。
OWSMではWeb Services Trust仕様とWeb Services Secure Conversation仕様を実装しており、これによってWebサービスとクライアントの間でセキュアな通信が行われます。WS-SecureConversationを使用すると、Webサービスのパフォーマンスとセキュリティを向上できます。セキュア通信の詳細は、『Oracle Web Services Managerの理解』のセキュア通信の理解に関する項を参照してください。
WS-SecureConversationは、ドメイン・レベルおよびポリシー・レベルで構成できます。OWSMで提供される事前定義済のWS-SecureConversationポリシーを使用する場合、WS-SecureConversationはすでに有効です。しかし、事前定義済アサーション・テンプレートの多くにはセキュア通信機能が用意されており、このようなアサーション・テンプレートに基づくポリシーを構成して、セキュア通信を使用できます。ポリシー・レベルでのセキュア通信の構成の詳細は、「セキュア通信の構成」を参照してください。
ドメイン・レベルでセキュア通信を構成するには:
「「WSMドメイン構成」ページへの移動」の説明に従って、「WSMドメイン構成」ページに移動します。
「メッセージ・セキュリティ」タブを選択します。
ページの「WSセキュア通信」セクションで、必要に応じて、次のプロパティを環境に合せて構成します。
セキュア通信トークンの存続時間: セキュア通信セッションが期限切れになるまでのデフォルトの時間をミリ秒で指定します。通信セッションの存続期間中は、このセキュリティ・コンテキストがクライアントとWebサービスによって共有されます。この時間が経過すると、SCTは時間切れとなります。デフォルトは1800000ミリ秒(30分)です。
再認証のためのセキュア通信トークンの存続時間: 再認証ユースケースのセキュア通信が期限切れになるまでのデフォルトの時間をミリ秒で指定します。セッションは複数のユーザーで共有されるため、通常、再認証存続時間セッションには大きめの値を設定します。再認証が有効でセッションが複数のユーザーで共有される場合、これを大きな値に設定できます。デフォルトは28800000ミリ秒(8時間)です。
RMプロトコル・メッセージ本文の暗号化: (Webサービス・クライアントのみに適用。)WS-RMプロトコル・メッセージを暗号化するかどうかを指定します。デフォルトでは、このプロパティは無効です。有効の場合、createSequence()
やterminateSequence()
などのプロトコル・リクエスト・メッセージの本文が暗号化されます。
プロトコル・メッセージのレスポンス・メッセージ本文は、リクエスト・メッセージ本文に依存します。クライアントからのリクエスト・メッセージがプロトコル・メッセージに対して暗号化されている場合、Webサービスは暗号化されたレスポンスを送信します。逆についても同様です。
「適用」をクリックしてプロパティの更新を適用します。
WSMドメイン構成ページの「ポリシー・アクセス」タブでは、ポリシー・マネージャの接続の自動検出や、接続にSSLを使用するかどうかの構成が可能です。また、ポリシー・キャッシュの管理および再試行ロジックのチューニングによる高可用性の構成も行えます。
次の各項では、構成の詳細を説明します。
「ポリシー・アクセス」タブの「ポリシー・マネージャ」セクションでは、ポリシー・マネージャの自動検出の構成、代替のポリシー・マネージャURLと資格証明ストア・キーおよびポリシー・マネージャにアクセスするための資格証明の指定、およびリフレッシュ構成とインベントリ遅延設定の変更を行えます。
OWSMは自動検出機能を使用してOWSMポリシー・マネージャを検索し、接続します。デフォルトでは、自動検出ロジックは、常に非セキュア・プロトコルを使用してローカル・ドメイン内のポリシー・マネージャに接続します。非セキュア・ポートが無効であるために非セキュア・プロトコルを使用してポリシー・マネージャに接続できない場合、自動検出ロジックはセキュア・プロトコルを使用してポリシー・マネージャに接続しようとします。ただし、自動検出を使用する場合は、SSLを使用して接続を保護するかどうかを指定できます。指定すると、自動検出ロジックはセキュア・プロトコルのみを使用してポリシー・マネージャに接続し、SSL対応サーバーがダウンしている場合でも、非SSLサーバーにデプロイされたポリシー・マネージャへの接続を試みません。
自動検出は、OWSMポリシー・マネージャ・インスタンスをホストするWebLogicドメインでのみサポートされます。自動検出の詳細は、「ポリシー・マネージャの自動検出のためのクロス・コンポーネント・ワイヤリングの使用」を参照してください。
次の場合には、自動検出機能を無効にできます。
ドメインのネットワークが2つ以上に分割されている場合(特に、ファイアウォールがネットワーク間に存在する場合)。
デフォルト設定をオーバーライドする場合。
ポリシー・マネージャ接続を構成するには:
「「WSMドメイン構成」ページへの移動」の説明に従って、「WSMドメイン構成」ページに移動します。
「ポリシー・アクセス」タブを選択し、ページの「ポリシー・マネージャ」セクションで次の変更を行います。
OWSMポリシー・マネージャ・インスタンスへのアクセスを許可されたプリンシパル(および資格証明)を取得するための資格証明ストア・キーを指定します。次の場合には、このプロパティを構成する必要があります。
OWSMポリシー・マネージャに接続するために、デフォルトでOWSMが使用するシステム・アカウントOracleSystemUser
ではなく、明示的にアカウントを指定する場合。
構成される認証プロバイダおよびLDAPディレクトリは、Oracle WebLogicで使用されるシステム・アカウントをサポートしませんが、OWSMはデフォルトでこれを使用します。そのために、LDAPディレクトリ内の別のアカウントを使用する必要がある場合。
特定のアプリケーション・サーバーにデフォルトのシステム・アカウントの概念がなく、システムがシステム・アカウントに依存できない場合。
デフォルト・ユーザーの変更の詳細は、「デフォルト・ユーザーの変更」を参照してください。
資格証明ストアCSFキーを指定するには、次のいずれかの操作を行います。
必要なCSFキーが資格証明ストアに存在する場合は、「PM CSFキー」メニューから選択します。メニューからキーを選択すると、「資格証明」フィールドおよび「パスワード」フィールドが無効となり、選択したキーに関連する資格証明が使用されます。
CSFキーが「PM CSFキー」メニューに表示されない場合は、「PM CSFキー」フィールドにCSFキーを入力します。場合によっては、「PM CSFキー」フィールドに新しい値を入力する前に、フィールドを消去する必要があります。「資格証明」フィールドに、ポリシー・マネージャ・インスタンスにアクセスするときに使用するユーザー名を入力します。「パスワード」フィールドおよび「確認」フィールドで、資格証明フィールドに入力したユーザー名のパスワードを入力します。
「PM CSFキー」を指定しなかった場合、OracleSystemUser
プリンシパル(WebLogic Server環境の標準)が使用されます。
ポリシー・マネージャの自動検出機能を使用するかどうかを指定し、使用する場合は、SSLが必要かどうかを指定します。「自動検出」が有効の場合は、SSLを使用する必要があるかを指定するチェックボックスがアクティブになります。
デフォルトでは、自動検出は有効で、SSLは無効です。この場合、自動検出ロジックは常に非セキュア・プロトコルを使用してポリシー・マネージャに接続を試みます。非セキュア・ポートが無効であるために接続できない場合、セキュア・プロトコルを使用してポリシー・マネージャに接続しようとします。
自動検出とSSLを使用するには、「自動検出」が選択されていることを確認し、「SSLのみを使用」を選択します。SSLが有効な場合、自動検出ロジックはセキュア・プロトコルのみを使用してポリシー・マネージャに接続し、SSL対応サーバーがダウンしている場合でも、非SSLサーバーにデプロイされたポリシー・マネージャへの接続を試みません。
自動検出は、OWSMポリシー・マネージャ・インスタンスをホストするWebLogicドメインでのみサポートされます。
自動検出機能を無効にするには、「自動検出」チェック・ボックスの選択を解除します。無効な場合、「編集」アイコンが有効になり、次の手順の説明に従って、URLを手動で入力してポリシー・マネージャ・インスタンスにアクセスできます。
自動検出が無効な場合は、ポリシー・マネージャの場所を示すURLを指定します。これを行うには:
「自動検出」チェック・ボックスの選択を解除します(まだの場合)。
「PM URL」フィールド内の「編集」をクリックします。
「PM URLの編集」ウィンドウで、+記号をクリックします。
空白のフィールドに、ポリシー・マネージャのURLを入力します。
次のプロトコルが有効です。
file
://
location_of_mds_home
: リポジトリがMDSインスタンスとして直接アクセスされます(Java SEでのみサポート)。
classpath
://
JAR_location
: 事前定義済のポリシーおよびアサーション・テンプレートを含むJARファイルが、クラスパスの場所を使用してアクセスされます。
注意: クラスパス・モードは読取り専用のポリシー・マネージャ・モードのため、設計時のポリシー・アタッチメントのみが有効です。このモードでは、デプロイ後のポリシー・アタッチメントまたはグローバル・ポリシー・セットは有効ではありません。URLフィールドに値を入力しない場合、非セキュア・プロトコルを使用して、同じドメイン内で自動検出が行われます。 |
必要に応じて、「リフレッシュ・レート」および「インベントリ・レコード遅延」を調整します。
リフレッシュ・レートは、次の構成リフレッシュまでに待機するミリ秒数を指定します。デフォルトは600,000ミリ秒(10分)です。
インベントリ・レコード遅延は、インベントリ・データを送信するまでに待機するミリ秒数を指定します。デフォルトは60,000ミリ秒(1分)です。
フィールドに新しい値を入力するか上下方向の矢印をクリックしてデフォルト値を増減します。
「適用」をクリックしてプロパティの更新を適用します。
「ポリシー・アクセス」タブの「SSL設定」セクションのプロパティを使用して、OWSMランタイムおよびポリシー・マネージャ間の通信で使用されるSSL (ある場合)のタイプを構成できます。
SSLを構成するには、次のようにします。
「「WSMドメイン構成」ページへの移動」の説明に従って、「WSMドメイン構成」ページに移動します。
「ポリシー・アクセス」タブを選択します。
ページの「SSL設定」セクションで、使用するSSL (ある場合)のタイプを指定します。次のオプションのいずれか1つを選択します。
一方向: 一方向SSLでは、サーバーはクライアントに証明書を提示する必要がありますが、クライアントがサーバーに証明書を提示する必要はありません。一方向SSLが有効になっている場合は、信頼キーストアへのアクセスに必要な次の資格証明を指定する必要があります。
トラストストア・パス: 信頼キーストアへの完全修飾パスを入力します。
キー: トラストストアの資格証明を取得するために使用するCSFキーを選択します。必要なキーがメニューに表示されない場合は、このフィールドにキーを入力できます。場合によっては、フィールドに新しい値を入力する前に、フィールドを消去する必要があります。
パスワード/確認: トラストストアにアクセスするためのパスワードを入力/再入力します。「キー」メニューから既存のCSFキーを選択した場合、これらのフィールドは使用できません。その場合は、選択したキーに関連付けられている資格証明が使用されます。
双方向: 双方向SSLでは、サーバーはクライアントに、またクライアントはサーバーに証明書を提示します。双方向SSLが有効になっている場合は、トラストストアおよびキーストアに関する次の資格証明を指定する必要があります。
トラストストア・パス: 信頼キーストアへの完全修飾パスを入力します。
キー: トラストストアの資格証明を取得するために使用するCSFキーを選択します。必要なキーがメニューに表示されない場合は、このフィールドにキーを入力できます。場合によっては、フィールドに新しい値を入力する前に、フィールドを消去する必要があります。
パスワード/確認: トラストストアにアクセスするためのパスワードを入力/再入力します。「キー」メニューから既存のCSFキーを選択した場合、これらのフィールドは使用できません。その場合は、選択したキーに関連付けられている資格証明が使用されます。
キーストア・パス: Javaキーストアへの完全修飾パスを入力します。
キー: キーストアの資格証明を取得するために使用するキーストア・キーを選択します。必要なキーがメニューに表示されない場合は、このフィールドにキーを入力できます。場合によっては、フィールドに新しい値を入力する前に、フィールドを消去する必要があります。
パスワード/確認: キーストアにアクセスするためのパスワードを入力/再入力します。「キー」メニューから既存のCSFキーを選択すると、これらのフィールドは無効となり、選択したキーに関連する資格証明が使用されます。
SSL別名: キーストアの別名を入力します。
なし: SSLを使用しません。
「適用」をクリックしてプロパティの更新を適用します。
「ポリシー・アクセス」タブの「キャッシュ管理」セクションのプロパティを使用すると、ポリシー・キャッシュを管理し、再試行ロジックのチューニングによる高可用性を構成できます。
構成管理システムは、ポリシー・マネージャに定期的に接続します(たとえば、接続情報が変化する状況に対処するため)。ランタイムが再接続を試みたときにポリシー・マネージャが停止している場合は、connect.retry.delay
プロパティの値を使用して、再試行のタイミングが決まります。このプロパティは、「WLSTを使用したポリシー・マネージャ接続の構成」の説明に従って設定できます。
初期接続が行われてもOWSMリポジトリが正常に動作していない場合、サービスは非操作状態で開始します。「失敗再試行回数」プロパティおよび「失敗再試行遅延」プロパティの値を調整して、エージェントが、リポジトリにアクセスするポリシー・マネージャとの通信を試みる回数と、再試行の間隔を決定できます。リポジトリが使用可能になると、サービスは操作可能になります。
「初期キャッシュ・リフレッシュ」プロパティおよび「キャッシュ・リフレッシュ時間」プロパティを調整して、キャッシュ済のドキュメントをリフレッシュするためにエージェントがポリシー・マネージャへのアクセスを試みる頻度を変更できます。「欠落ドキュメント再試行遅延」プロパティは、取得できなかったドキュメントを取得するためにポリシー・マネージャへの接続をエージェントが試みる頻度を指定します。ポリシー・マネージャとの通信が失敗したために(たとえば、ポリシー・マネージャの停止が原因)、ドキュメントまたは関連ドキュメントのグループ(ポリシー・セットなど)を取得できなかった場合、「欠落ドキュメント再試行遅延」プロパティは、ポリシー・マネージャが修正されるまで、ポリシー・マネージャとの通信を試みる頻度に引き続き影響します。
高可用性を構成し、キャッシュを管理するには:
「「WSMドメイン構成」ページへの移動」の説明に従って、「WSMドメイン構成」ページに移動します。
「ポリシー・アクセス」タブを選択します。
ページの「キャッシュ管理」セクションで、次のプロパティを環境に合せて構成します。
失敗再試行遅延: 次の再試行までの待機時間(ミリ秒数)を指定します。デフォルトは5000ミリ秒です。
「ユーザー・レコード遅延」: 使用状況データを送信するまでの待機時間(ミリ秒数)を指定します。デフォルトは30000ミリ秒です。
失敗再試行回数: 通信の失敗後に再試行する回数を指定します。デフォルトの再試行回数は、2回です。
欠落ドキュメント再試行遅延: 不足ドキュメントの取得を試行するまでの待機時間(ミリ秒数)を指定します。デフォルトは15000ミリ秒です。
初期キャッシュ・リフレッシュ: 最初のキャッシュ・リフレッシュまでの待機時間(ミリ秒数)を指定します。デフォルトは600000ミリ秒(10分)です。
キャッシュ・リフレッシュ時間: 次のキャッシュ・リフレッシュまでの待機時間(ミリ秒数)を指定します。デフォルトは600000ミリ秒(10分)です。
これらのプロパティを設定するには、フィールドに新しい値を入力するか、上下方向の矢印をクリックしてデフォルト値を増減します。
「適用」をクリックしてプロパティの更新を適用します。
WLSTを使用して、認証、メッセージ・セキュリティ、ポリシー・アクセスなど、OWSMのドメイン・レベルの構成プロパティを設定できます。
プロパティの多くは、setWSMConfiguration
コマンドで設定できます。このコマンドの使用の詳細は、「setWSMConfigurationコマンドを使用したOWSMドメイン構成の設定」を参照してください。
信頼できる発行者およびメッセージ保護キーストアを構成するための追加のコマンドが用意されています。これらのコマンドを使用する手順は、次の各項を参照してください。
これらのWLSTコマンドの詳細は、『インフラストラクチャ・コンポーネントのためのWLSTコマンド・リファレンス』のWebサービス・カスタムWLSTコマンドに関する項を参照してください。
リポジトリ内の現在の構成ドキュメントに指定されている構成プロパティは、その値およびグループと合せてすべて表示できます。構成ドキュメント内でプロパティが定義されていない場合は、製品に対して定義されているデフォルト値が表示されます。
OWSMドメイン構成を表示するには:
構成の表示元である、ドメイン内のサーバーの実行中のインスタンスに接続します。詳細は、『Webサービスの管理』のWebサービスのカスタムWLSTコマンドへのアクセスに関する項を参照してください。
displayWSMConfiguration()
コマンドを使用して、OWSMドメイン構成を表示します。
displayWSMConfiguration([context=None])
たとえば、コンテキストwls/base_domainで指定されるドメインの構成を表示するには、次のコマンドを入力します。
wls:/new_domain/serverConfig> displayWSMConfiguration('/wls/base_domain')
NAME: "allow.all.xpaths" CATEGORY: "Agent" SOURCE: "default"Value: false
NAME: "use.unified.fault.code" CATEGORY: "Agent" SOURCE: "default"Value: true
NAME: "client.clock.skew" CATEGORY: "Agent" SOURCE: "default"Value: 0
NAME: "compliance.check" CATEGORY: "Agent" SOURCE: "default"Value: true
NAME: "clock.skew" CATEGORY: "Agent" SOURCE: "default"Value: 360000
NAME: "expire.time" CATEGORY: "Agent" SOURCE: "default"Value: 300000
.
.
.
前述の出力では、構成プロパティ設定のソースがdefault
として示されています。つまり、設定は、製品のデフォルト構成ドキュメントに基づきます。設定が変更されている場合、その設定はドメインの構成ドキュメントに保存され、SOURCE
フィールドに反映されます。例:
NAME: "remove.anonymous.role" CATEGORY: "SubjectProperties" SOURCE: "/WLS/base_domain" Value: true
ドメイン・レベル構成プロパティの多くは、この項で説明するsetWSMConfiguration
コマンドを使用して設定できます。セッションのコンテキストでsetWSMConfiguration
コマンドを使用する必要はありません。
setWSMConfiguration
コマンドを使用してOWSMドメインの構成プロパティを変更するには:
構成するドメイン内のサーバーの実行中のインスタンスに接続します。詳細は、『Webサービスの管理』のWebサービスのカスタムWLSTコマンドへのアクセスに関する項を参照してください。
必要に応じて、displayWSMConfiguration()
コマンドを使用して、ドメインの現在の構成を表示します。詳細は、「WLSTを使用したOWSMドメイン構成の表示」を参照してください。
setWSMConfiguration()
コマンドを使用して、必要な構成プロパティを設定します。
setWSMConfiguration (context,category,name,[group=None],[values=None])
この例の意味は次のとおりです。
context
: 変更される構成ドキュメントのコンテキストを指定します。コンテキストが指定されなかった場合またはNone
に設定された場合、現在接続しているドメインに関連する構成ドキュメントが使用されます。
category
: プロパティのカテゴリ。デフォルトのプロパティ・セットに対してカテゴリが検証され、コンテキストに適しているかどうかが確認されます。このフィールドは必須です。
name
: プロパティの名前。デフォルトのプロパティ・セットに対して名前が検証され、コンテキストに適しているかどうかが確認されます。このフィールドは必須です。
group
: 構成ドキュメントに追加する値のセットが含まれているグループ。グループが存在し、この値がNone
に設定される場合、グループは削除されます。このフィールドはオプションです。
values
: 構成ドキュメント内のプロパティまたはグループに対して設定する値の配列。このフィールドはオプションです。
たとえば、デフォルトのSAML2ログイン・モジュール・プロパティを変更するには、次のコマンドを指定できます。
wls:/base_domain/serverConfig> setWSMConfiguration(None,'SAML2LoginModule','add.assertion.to.subject',None,['false']) A new property "add.assertion.to.subject" within category "SAML2LoginModule" has been added. The values "[false]" have been added to property "add.assertion.to.subject" within category "SAML2LoginModule". Configuration properties associated with the context "/wls/base_domain" has been created. wls:/base_domain/serverConfig> setWSMConfiguration(None,'SAML2LoginModule','allow.virtual.user',None,['false']) A new property "allow.virtual.user" within category "SAML2LoginModule" has been added. The values "[false]" have been added to property "allow.virtual.user" within category "SAML2LoginModule". Configuration properties associated with the context "/WLS/base_domain" has been updated.
各構成タイプの構成プロパティのリストについては、次の各項を参照してください。
WLSTを使用して、SAML信頼、発行済トークンに対して使用する存続期間、OWSM認証後に作成されるJAASサブジェクトのサブジェクト・プロパティなど、OWSMのドメイン・レベルの認証プロパティを構成できます。SAML、SAML2、Kerberos、X509およびカスタムのログイン・モジュールを構成することもできます。
次の各項では、構成の詳細を説明します。
信頼できるSAML発行者およびDNリストは、OWSMリポジトリ内の信頼構成ドキュメントに格納されます。信頼できる発行者およびDNリストを構成するには、リポジトリ内に新しいドキュメントを作成するか、リポジトリ内の既存のドキュメントを編集する必要があります。
WLSTを使用してトークン発行者信頼ドキュメントを作成、変更および削除する場合、セッションのコンテキストでコマンドを実行する必要があります。各セッションは、単一の信頼ドキュメントにのみ適用されます。
信頼できる発行者、DNリストおよびトークン属性ルールの詳細は、次の各項を参照してください。
WLSTを使用して信頼できるSAML発行者、DNリストおよびトークン属性ルールを構成するには:
構成の表示元である、ドメイン内のサーバーの実行中のインスタンスに接続します。詳細は、『Webサービスの管理』のWebサービスのカスタムWLSTコマンドへのアクセスに関する項を参照してください。
beginWSMSession
コマンドを使用してリポジトリ・セッションを開始します。
リポジトリを変更するセッションを作成するために、beginWSMSession
コマンドを使用します。すべての作成、変更または削除のコマンドは、セッションのコンテキストで実行する必要があります。セッションは、単一のドキュメントにのみ作用できます。
例:
wls:/base_domain/serverConfig> beginWSMSession()
Session started for modification.
listWSMTokenIssuerTrustDocuments
コマンドを使用して、リポジトリ内のトークン発行者信頼ドキュメントをリストします。
listWSMTokenIssuerTrustDocuments(name=None, detail='false')
引数を指定せずに使用すると、リポジトリ内のすべてのトークン発行者信頼ドキュメントがリストされます。detail
引数をtrue
に設定すると、ドキュメントの表示名およびステータスも表示されます。
例:
wls:/base_domain/serverConfig> listWSMTokenIssuerTrustDocuments(detail='true')
List of Token Issuer Trust Documents in the Repository:
Name : oracle-default
Display Name : i18n:oracle.wsm.resources.resdesc.ResourceDescriptionBundle_property-TokenIssuerTrust_displayName
Status : DOCUMENT_STATUS_COMMITTED
次のいずれかの操作を実行します。
ドメインのトークン発行者信頼ドキュメントが存在しない場合は、createWSMTokenIssuerTrustDocument
コマンドで作成します。name
引数は必須です。通常、ドキュメントの名前は、tokenissuertrust
<ServerType>
<domainName>
の形式に従う必要があります(たとえば、tokenissuertrustWLSbase_domain
)。
createWSMTokenIssuerTrustDocument(name, displayName)
例:
wls:/base_domain/serverConfig> createWSMTokenIssuerTrustDocument('tokenissuertrustWLSbase_domain') New Token Issuer Trust document named "tokenissuertrustWLSbase_domain" created. Run the setWSMConfiguration command where category = "TokenIssuerTrust", property name = "name" and value = "tokenissuertrustWLSbase_domain", for the new document to be used in the domain configuration. wls:/base_domain/serverConfig> setWSMConfiguration (None,'TokenIssuerTrust','name',None,['tokenissuertrustWLSbase_domain']) The values "[tokenissuertrustWLSbase_domain]" have been added to property "name" within category "TokenIssuerTrust". Configuration properties associated with the context "/WLS/base_domain" has been updated.
ドメインのトークン発行者信頼ドキュメントが存在する場合は、変更するドキュメントをselectWSMTokenIssuerTrustDocument
コマンドで選択します。name
引数は必須です。
selectWSMTokenIssuerTrustDocument(name)
例:
wls:/base_domain/serverConfig> selectWSMTokenIssuerTrustDocument('tokenissuertrustWLSbase_domain')
Token Issuer Trust document named "tokenissuertrustWLSbase_domain" selected in the session.
必要に応じて、ドキュメントの表示名をsetWSMTokenIssuerTrustDisplayName
コマンドで指定します。表示名はオプションですが、ドキュメントの説明に役立ちます。ドキュメントの作成時に表示名を指定した場合、必要に応じて、このコマンドで表示名を変更できます。
setWSMTokenIssuerTrustDisplayName(displayName)
例:
wls:/base_domain/serverConfig> setWSMTokenIssuerTrustDisplayName('base_domain Trust Document')
Display Name of the document changed from null to base_domain Trust Document.
setWSMTokenIssuerTrust
コマンドを使用して、信頼できる発行者を追加し、信頼できるキーまたは信頼できるDNリストを定義します。
setWSMTokenIssuerTrust(type, issuer, [trustedKeys=None])
この例の意味は次のとおりです。
type
は、発行者が発行したトークンのタイプと、発行者署名証明書がtrustedKeysで識別される方法を示します。サポートされるタイプ値を次の表に示します。
このタイプ値の場合... | このトークン・タイプの場合... | このキー・タイプの場合... | キー識別タイプ |
---|---|---|---|
dns.sv |
SAML SV | X509証明書 | DN |
dns.hok |
SAML HOKまたはベアラー | X509証明書 | DN |
dns.alias.sv |
SAML SV | X509証明書 | 別名 |
dns.alias.hok |
SAML HOKまたはベアラー | X509証明書 | 別名 |
issuer
は、信頼できる発行者の名前です(www.oracle.com
など)。
trustedKeys
はオプションの引数で、信頼できるキー識別子、つまり発行者のDNリストまたは別名を指定するときに使用します。
このコマンドは次のように動作します。
指定されたタイプに対して信頼できる発行者がすでに存在する場合、trustedKeys
引数にDNリストまたは別名を指定すると、以前のリストが新しいリストに置換されます。trustedDNs
引数に空集合([]
)を入力すると、発行者からDN値のリストが削除されます。
指定されたタイプに対して信頼できる発行者が存在しない場合、trustedKeys
引数に値を指定すると、関連するDNリストで発行者が作成されます。trustedKeys
引数を設定しない場合は、空のDNリストで新しい発行者が作成されます。
次の例では、www.yourcompany.com
が信頼できる発行者として設定されます。DNリストは指定されていません。
wls:/base_domain/serverConfig> setWSMTokenIssuerTrust("dns.sv","www.yourcompany.com",[])
New issuer - "www.yourcompany.com" added to the document.
The issuer and trusted DN values have been updated successfully.
次の例では、CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US'
およびCN=orcladmin, OU=Doc, O=Oracle, C=US'
が、信頼できるSAML発行者www.oracle.com
のDNリストdns.sv
にDNとして設定されます。
wls:/base_domain/serverConfig> setWSMTokenIssuerTrust('dns.sv','www.oracle.com', ['CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle', 'CN=orcladmin, OU=Doc, O=Oracle, C=US']) New issuer - "www.oracle.com" added to the document. Issuer set with the given trusted keys. The issuer and trusted DN values have been updated successfully.
displayWSMTokenIssuerTrust
コマンドを使用して、信頼できる発行者およびDNリストを表示します。
displayWSMTokenIssuerTrust(type, issuer=None)
type
引数とissuer
引数の値を指定すると、発行者のDNリストが表示されます。発行者名を指定しないと、指定されたタイプのすべての信頼できる発行者がリストされます。
たとえば、信頼できる発行者www.oracle.com
のDNリストを表示する手順は、次のとおりです。
wls:/base_domain/serverConfig> displayWSMTokenIssuerTrust('dns.sv', 'www.oracle.com')
List of trusted key(s) for this issuer:
Key Identifier : CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US
Key Type : x509certificate
Value Type : dn
Key Identifier : CN=orcladmin, OU=Doc, O=Oracle, C=US
Key Type : x509certificate
Value Type : dn
タイプdns.sv
のすべての信頼できる発行者を表示する手順は、次のとおりです。
wls:/base_domain/serverConfig> displayWSMTokenIssuerTrust('dns.sv')
List of trusted issuers for this type:
www.yourcompany.com
www.oracle.com
List of trusted key(s) for this issuer:
Key Identifier : CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US
Key Type : x509certificate
Value Type : dn
Key Identifier : CN=orcladmin, OU=Doc, O=Oracle, C=US
Key Type : x509certificate
Value Type : dn
必要に応じて、setWSMTokenIssuerTrustAttributeFilter
コマンドを使用して信頼できるDNのトークン属性ルールを定義することにより、追加のセキュリティ制約を指定できます。属性ルールは、サブジェクト名IDに適用できます。
setWSMTokenIssuerTrustAttributeFilter(dn, attr-name, [filters])
この例の意味は次のとおりです。
dn
は、トークン署名証明書のDNを表します。
attr-name
は、サブジェクト名IDのname-id
形式を使用して、アサートする属性名の名前を表します。
filters
は、['value1,'value2','value3'...]
形式で、属性のフィルタのリストを表します。各値には、正確な名前またはワイルドカードの"*
"文字を含む名前パターンを指定できます。attr-name
引数に対してname-id
が指定された場合、受信SAMLアサーション内のサブジェクト名IDの値は、指定値のいずれかと一致する必要があります。名前が指定されない場合、任意の値のサブジェクト名IDがそのまま使用されます。
このコマンドは次のように動作します。
attr-name
引数で指定される属性がフィルタ値のリストとともにすでに存在する場合、filters
引数で新しい値のリストを指定すると、以前のリストが新しいリストに置換されます。filters
引数に空集合([]
)を入力すると、既存のフィルタ値のリストが削除されます。
attr-name
引数で指定される属性が存在しない場合、filters
引数で値のリストを指定すると、指定されたフィルタ値で属性が作成され、ドキュメントに追加されます。フィルタ引数の値を指定しない場合、エラーが返されます。
次の例では、名前ID yourTrustedUser
およびjdoe
が、信頼できるDN weblogic
の信頼できるユーザーとして設定されます。
wls:/base_domain/serverConfig> setWSMTokenIssuerTrustAttributeFilter('CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US', 'name-id', ['yourTrustedUser','jdoe']) New TokenAttributeRule added for DN: CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US.
必要に応じて、deleteWSMTokenIssuerTrustAttributeRule
コマンドを使用して、トークン属性ルールを削除します。
deleteWSMTokenIssuerTrustAttributeRule(dn)
たとえば、信頼できるDN weblogic
に関連するトークン属性ルールを削除する手順は、次のとおりです。
wls:/base_domain/serverConfig> deleteWSMTokenIssuerTrustAttributeRule('CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US') Token Attribute Rule(s) for DN: CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US, deleted successfully.
注意: このコマンドは属性ルールを削除します。属性ルール内の属性のフィルタ値リストのみを削除するには、setWSMTokenIssuerTrustAttributeFilter コマンドを使用し、filters 属性に空集合([] )を入力します。 |
commitWSMSession
コマンドを使用して、OWSMリポジトリに対して、このセッションのコンテンツの書込みを行います。
例:
wls:/base_domain/serverConfig> commitWSMSession()
The tokenissuertrust tokenissuertrustWLSbase_domain is valid.
Creating tokenissuertrust tokenissuertrustWLSbase_domain in repository.
Session committed successfully.
また、セッション中にリポジトリに加えたすべての変更を破棄するabortWSMSession
コマンドを使用することにより、すべての変更を取り消すことができます。
これらのコマンドの詳細は、『インフラストラクチャ・コンポーネントのためのWLSTコマンド・リファレンス』のトークン発行者信頼構成コマンドに関する項を参照してください。
トークン発行者信頼ドキュメントをリポジトリから削除するには:
構成の表示元である、ドメイン内のサーバーの実行中のインスタンスに接続します。詳細は、『Webサービスの管理』のWebサービスのカスタムWLSTコマンドへのアクセスに関する項を参照してください。
beginWSMSession
コマンドを使用してリポジトリ・セッションを開始します。
例:
wls:/base_domain/serverConfig> beginWSMSession()
Session started for modification.
listWSMTokenIssuerTrustDocuments
コマンドを使用して、リポジトリ内のトークン発行者信頼ドキュメントをリストします。
listWSMTokenIssuerTrustDocuments(name=None, detail='false')
引数を指定せずに使用すると、リポジトリ内のすべてのトークン発行者信頼ドキュメントがリストされます。detail
引数をtrue
に設定すると、ドキュメントの表示名およびステータスも表示されます。
例:
wls:/base_domain/serverConfig> listWSMTokenIssuerTrustDocuments(detail='true')
List of Token Issuer Trust Documents in the Repository:
Name : oracle-default
Display Name : i18n:oracle.wsm.resources.resdesc.ResourceDescriptionBundle_property-TokenIssuerTrust_displayName
Status : DOCUMENT_STATUS_COMMITED
Name : tokenissuertrustWLSbase_domain
Display Name : base_domain Trust Document
Status : DOCUMENT_STATUS_COMMITED
List of Token Issuer Trust Documents in the Repository:
deleteWSMTokenIssuerTrustDocument
コマンドを使用して、目的のトークン発行者信頼ドキュメントを削除します。name
引数は必須です。
deleteWSMTokenIssuerTrustDocument(name)
例:
wls:/base_domain/serverConfig> deleteWSMTokenIssuerTrustDocument('tokenissuertrustWLSbase_domain')
Token Issuer Trust document named "tokenissuertrustWLSbase_domain" deleted from the repository.
commitWSMSession
コマンドを使用して、リポジトリに対して、現在のセッションのコンテンツの書込みを行います。
wls:/base_domain/serverConfig> commitWSMSession()
Deleting tokenissuertrust tokenissuertrustWLSbase_domain from repository.
Session committed successfully.
また、セッション中にリポジトリに加えたすべての変更を破棄するabortWSMSession
コマンドを使用することにより、すべての変更を取り消すことができます。
リクエスト・メッセージがセキュリティ・トークン・サービス(STS)に送信されるときに発行済トークンが使用する存続期間を指定できます。STSから有効時間の異なるトークンが送信された場合、ランタイムはトークンの実際の有効時間を確認し、その時間内のみトークンをキャッシュします。詳細は、「トークンの存続期間およびトークンのキャッシュ」を参照してください。
WLSTを使用して発行済トークンの存続期間を構成するには、「setWSMConfigurationコマンドを使用したOWSMドメイン構成の設定」
の説明に従って、setWSMConfigurationコマンドを使用します。
この構成プロパティでは次の設定を使用します。
カテゴリ: IssuedToken
名前: lifetime
デフォルト: 28800000ミリ秒(8時間)
たとえば、デフォルト値を25200000ミリ秒(7時間)に変更するには、次のコマンドを使用します。
wls:/base_domain/serverConfig> setWSMConfiguration (None,'IssuedToken','lifetime',None,['25200000'])
A new property "lifetime" within category "IssuedToken" has been added.
The values "[25200000]" have been added to property "lifetime" within category "IssuedToken".
Configuration properties associated with the context "/WLS/base_domain" has been updated.
ドメインのサブジェクト・プロパティを構成するには、「setWSMConfigurationコマンドを使用したOWSMドメイン構成の設定」
の説明に従って、setWSMConfigurationコマンドを使用します。
サブジェクト・プロパティの詳細は、「Fusion Middleware Controlを使用したサブジェクト・プロパティの構成」を参照してください。
表14-1は、サブジェクト・プロパティに対して設定できるOWSMのドメイン・レベル構成プロパティを示しています。
表14-1 サブジェクト・ドメイン構成プロパティ
カテゴリ | プロパティ名 | デフォルト | 説明 |
---|---|---|---|
SubjectProperties |
add.application.roles |
true |
OWSMで作成されたサブジェクトにアプリケーション・ロールを追加するかどうかを指定するフラグ。
|
SubjectProperties |
add.authenticated.role |
true |
OWSMで作成されたサブジェクトに認証ロールを追加するかどうかを指定するフラグ。
|
SubjectProperties |
remove.anonymous.role |
false |
OWSMで作成されたサブジェクトから匿名ロールを削除するかどうかを指定するフラグ。
|
WLSTを使用してSAMLおよびSAML2ログイン・モジュールを構成するには、「setWSMConfigurationコマンドを使用したOWSMドメイン構成の設定」
の説明に従って、setWSMConfigurationコマンドを使用します。
これらのログイン・モジュールの詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。
表14-2は、SAMLおよびSAML2ログイン・モジュールに対して設定できるOWSMドメイン・レベルの構成プロパティを示しています。
表14-2 SAMLおよびSAML2ログイン・モジュールのドメイン構成プロパティ
カテゴリ | プロパティ名 | デフォルト値 | 説明 |
---|---|---|---|
SAML2LoginModule SAMLLoginModule |
add.assertion.to.subject |
true |
認証対象のサブジェクトにSAMLアサーションをプライベート資格証明として追加するかどうかを指定するフラグ。 このプロパティをfalseに設定した場合、アサーションは認証対象のサブジェクトに追加されません。 |
SAML2LoginModule SAMLLoginModule |
allow.virtual.user |
false |
SAMLサブジェクトを仮想ユーザーとして扱うことを許可するかどうか指定するフラグ。 このプロパティが |
SAML2LoginModule SAMLLoginModule |
dn.mapping.attribute |
CN |
SAMLクライアント・ポリシーで名前識別子フォーマットがX509SubjectNameに設定されている場合に、ユーザーをアイデンティティ・ストアに対してアサートするために使用する証明書DNの部分。 |
SAML2LoginModule SAMLLoginModule |
カスタム |
なし |
カスタム・プロパティをOPSSログイン・モジュールに設定するには、このプロパティを使用します。 |
SAMLLoginModule |
dns.hok |
www.oracle.com |
dns.hokトークンの信頼できる発行者のリストを定義します。SAMLトークンの承認者のDNは、SAML発行者リストでチェックされます。このプロパティはSAML HOKおよびSAMLベアラーで使用します。 |
SAMLLoginModule |
dns.sv |
www.oracle.com |
dns.svトークンの信頼できる発行者のリストを定義します。SAMLトークンの承認者のDNは、SAML発行者リストでチェックされます。このプロパティは、SAML送信者保証で使用します。 |
WLSTを使用してKerberosログイン・モジュールを構成するには、「setWSMConfigurationコマンドを使用したOWSMドメイン構成の設定」
の説明に従って、setWSMConfigurationコマンドを使用します。
表14-3は、Kerberosログイン・モジュールに対して設定できるOWSMのドメイン・レベル構成プロパティを示しています。
表14-3 Kerberosログイン・モジュールのドメイン構成プロパティ
カテゴリ | プロパティ名 | デフォルト | 説明 |
---|---|---|---|
KerberosLoginModule |
クラス名 |
なし |
OWSMが使用するログイン・モジュール。値が指定されていない場合、実行中のプラットフォームにより、実行時にKerberosログイン・モジュールのクラス名に次のデフォルト値の1つが使用されます。
|
KerberosLoginModule |
do.not.prompt |
true |
資格証明をキャッシュまたはkeytabから取得できないときに、パスワードを要求するプロンプトを表示するかどうかを指定します。 |
KerberosLoginModule |
key.tab |
./krb5.keytab |
プリンシパルの秘密鍵を取得するkeytabのファイル名。 |
KerberosLoginModule |
プリンシパル |
HOST/localhost@EXAMPLE.COM |
使用するプリンシパルの名前。プリンシパルは、資格証明一式の割当先となる特定のエンティティのことです。 |
KerberosLoginModule |
store.key |
true |
プリンシパルの鍵をサブジェクトの秘密資格証明に格納するかどうかを指定します。 |
KerberosLoginModule |
use.key.tab |
true |
モジュールがkeytabからプリンシパルの鍵を取得するかどうかを指定します。keytabが設定されていない場合は、モジュールはKerberos構成ファイルでkeytabを検索します。Kerberos構成ファイルに指定されていない場合は、ファイル |
KerberosLoginModule |
カスタム |
なし |
カスタム・プロパティをOPSSログイン・モジュールに設定する際に使用します。このプロパティ内には様々なグループを設定でき、これらのグループは単一の値を持ちます。 |
X509ログイン・モジュールを構成するには、「setWSMConfigurationコマンドを使用したOWSMドメイン構成の設定」
の説明に従って、setWSMConfigurationコマンドを使用します。
表14-4は、X509ログイン・モジュールに対して設定できるドメイン・レベルの構成プロパティを示しています。
「setWSMConfigurationコマンドを使用したOWSMドメイン構成の設定」
の説明に従って、setWSMConfigurationコマンドを使用して、他のログイン・モジュールを構成したり、OWSM構成システム内にカスタム・ログイン・モジュールを作成したりできます。
ログイン・モジュールの作成の詳細は、http://docs.oracle.com/javase/6/docs/technotes/guides/security/jaas/JAASLMDevGuide.htmlからJava Authentication and Authorization Service (JAAS) LoginModule開発者ガイド
を参照してください。
表14-5は、デフォルトで提供されている他のログイン・モジュールの構成プロパティを示しています。
表14-5 他のログイン・モジュールのドメイン構成プロパティ
カテゴリ | プロパティ名 | デフォルト | 説明 |
---|---|---|---|
DigestLoginModule |
カスタム |
なし |
カスタム・プロパティをOPSSログイン・モジュールに設定する際に使用します。このプロパティ内には様々なグループを設定でき、これらのグループは単一の値を持ちます。 |
UsernameAssertionLoginModule |
カスタム |
なし |
カスタム・プロパティをOPSSログイン・モジュールに設定する際に使用します。このプロパティ内には様々なグループを設定でき、これらのグループは単一の値を持ちます。 |
UsernameAuthLoginModule |
カスタム |
なし |
カスタム・プロパティをOPSSログイン・モジュールに設定する際に使用します。このプロパティ内には様々なグループを設定でき、これらのグループは単一の値を持ちます。 |
WSSDigestLoginModule |
カスタム |
なし |
カスタム・プロパティをOPSSログイン・モジュールに設定する際に使用します。このプロパティ内には様々なグループを設定でき、これらのグループは単一の値を持ちます。 |
WLSTを使用して、OWSMキーストアの構成、セキュリティ・ポリシー強制の調整、公開証明書をWSDLで公開するかどうかの指定、およびホスト名検証とセキュア通信の構成など、OWSMのドメイン・レベルのメッセージ・セキュリティ・プロパティを設定できます。
次の各項では、構成の詳細を説明します。
OWSMでは、KSS、JKS、HSMおよびPKCS11キーストアがサポートされます。キーストアを作成した後、OWSMを構成してキーストアにアクセスおよび使用できるようにする必要があります。configureWSMKeystore
コマンドを使用して、OWSMキーストアを構成できます。
ドメインごとに単一のOWSMキーストアが存在し、ドメイン内で実行するすべてのWebサービスおよびクライアントによってそのキーストアが共有されることに注意してください。
OWSMキーストアを構成するには:
次の項の説明に従って、必要なキーストアを作成します。
構成するドメイン内のサーバーの実行中のインスタンスに接続します。詳細は、『Webサービスの管理』のWebサービスのカスタムWLSTコマンドへのアクセスに関する項を参照してください。
必要に応じて、displayWSMConfiguration()
コマンドを使用して、ドメインの現在の構成を表示します。詳細は、「WLSTを使用したOWSMドメイン構成の表示」を参照してください。
キーストア構成プロパティは、KeystoreConfig
カテゴリに含まれます。
configureWSMKeystore
コマンドを使用して、OWSMキーストア・プロパティを構成します。
configureWSMKeystore(context, keystoreType,location, keystorePassword, signAlias, signAliasPassword, cryptAlias, cryptAliasPassword)
この例の意味は次のとおりです。
context
は、変更される構成ドキュメントのコンテキストを表します。コンテキストに関連付けられている構成ドキュメントが存在しない場合は、ドキュメントが自動的に作成されます。
keystoreType
は、プロパティのキーストア・タイプ・カテゴリを表します。有効なキーストア・タイプは、JKS
、KSS
、PKCS11
およびLUNA
です。デフォルトはKSS
です。
location
は、キーストアの場所を表します。JKSの場合、これはキーストアの絶対パスまたはfmwconfig
ディレクトリを基準とした相対パスです。KSSの場合は、kss://stripeName/keystoreName
の形式で場所を指定する必要があります。デフォルトはkss://owsm/keystore
です。LUNA
キーストアおよびPKCS11
キーストアの場合、この引数は必要ありません。
keystorePassword
は、構成されるキーストアのキーストア・パスワードを表します。これは、JKS
キーストアおよびPKCS11
キーストアで必要です。
signAlias
は、署名鍵の別名を表します。ここで指定する値は、キーストアの値に一致する必要があります。たとえば、orakey
です。
signAliasPassword
は、署名鍵の別名のパスワードを表します。これは、JKS
キーストアおよびPKCS11
キーストアで必要です。
cryptAlias
は、暗号化鍵の別名を表します。ここで指定する値は、キーストアの値に一致する必要があります。たとえば、orakey
です。
cryptAliasPassword
は、暗号化鍵の別名のパスワードを表します。これは、JKS
キーストアおよびPKCS11
キーストアで必要です。
注意: このコマンドによって、CSFキーが、デフォルトのマップ名oracle.wsm.security で資格証明ストア内に設定されます。資格証明ストア内の複数のCSFエントリを区別するために、sign-csf-key およびenc-csf-key にドメイン名が追加されます。 |
次の例では、様々なキーストア・タイプを構成するサンプル・コマンドを示しています。
KSSキーストア
wls:/base_domain/serverConfig> configureWSMKeystore('/wls/new_domain',keystoreType='KSS', location='kss://owsm/keystore', signAlias='orakey', cryptAlias='orakey') Successfully configured property "keystore.type". Successfully configured property "location". Successfully configured property "keystore.pass.csf.key". Successfully configured property "keystore.sig.csf.key". Successfully configured property "keystore.enc.csf.key".
JKSキーストア
wls:/base_domain/serverConfig> configureWSMKeystore('/wls/new_domain',keystoreType='JKS', location='./default-keystore.jks', keystorePassword='password',signAlias='orakey', signAliasPassword='password',cryptAlias='orakey',cryptAliasPassword='password') Successfully configured property "keystore.type". Successfully configured property "location". Successfully configured property "keystore.pass.csf.key". Successfully configured property "keystore.sig.csf.key". Successfully configured property "keystore.enc.csf.key".
PKCS11キーストア
wls:/base_domain/serverConfig> configureWSMKeystore('/wls/new_domain',keystoreType='PKCS11', keystorePassword='password',signAlias='orakey', signAliasPassword='password', cryptAlias='orakey',cryptAliasPassword='password') Successfully configured property "keystore.type". Successfully configured property "location". Successfully configured property "keystore.pass.csf.key". Successfully configured property "keystore.sig.csf.key". Successfully configured property "keystore.enc.csf.key".
HSM Luna SAキーストア
wls:/base_domain/serverConfig> configureWSMKeystore('/wls/new_domain',keystoreType='LUNA',signAlias='orakey', cryptAlias='orakey')
Successfully configured property "keystore.type".
Successfully configured property "location".
Successfully configured property "keystore.pass.csf.key".
Successfully configured property "keystore.sig.csf.key".
Successfully configured property "keystore.enc.csf.key".
キーストアの構成が初めての場合、サーバーの再起動は必要ありません。しかし、キーストアまたはキーストア構成を変更している場合は、サーバーを再起動する必要があります。
セキュリティ・ポリシー強制を構成するには、「setWSMConfigurationコマンドを使用したOWSMドメイン構成の設定」
の説明に従って、setWSMConfigurationコマンドを使用します。
表14-6は、セキュリティ・ポリシー強制に対して設定できるOWSMのドメイン・レベル構成プロパティを示しています。
表14-6 セキュリティ・ポリシー強制のドメイン・レベル構成プロパティ
カテゴリ | プロパティ名 | デフォルト | 説明 |
---|---|---|---|
Agent |
allow.all.xpaths |
false |
OWSMですべてのタイプのXPath変換を受け入れるかどうかを指定します。デフォルトのOWSMでは、署名(着信SOAPメッセージ内)の すべてのタイプのXPath変換を許可および許容するには、このプロパティを |
Agent |
use.unified.fault.code |
true |
OWSMですべてのタイプのエラーに対してInvalidSecurityフォルト・コードが送信されるかどうかを指定します。Webサービスで異なるタイプのエラーごとに異なるフォルト・コードを送信する場合(FailedAuthentication、InvalidSecurityToken、FailedCheckなど)、XML暗号化への攻撃の可能性があります。 注意: これは、OWSMに基づくセキュリティ関連のフォルトにのみ適用されます。Webサービスからのビジネス・フォルトには適用されません。 このようなタイプの攻撃を回避するために、このプロパティが 異なるシナリオで異なるフォルト・コードを送信する必要がある場合は、このプロパティを |
Agent |
client.clock.skew |
0 |
SAMLトークンの生成における |
Agent |
compliance.check |
true |
このプロパティは、様々なセキュリティ関連の構成/チェックに対して準拠チェックを有効化し、受信メッセージが受信パーティのセキュリティ条件に準拠することを強制します。この設定は、サービスに着信するリクエスト・メッセージおよびクライアントに着信するレスポンス・メッセージに適用されます。暗号化および署名のアルゴリズム、暗号化および署名された要素と部分、アタッチメントの準拠、タイムスタンプの準拠などが確認されます。このプロパティを |
Agent |
clock.skew |
360000 |
クライアント・マシンとサーバー・マシンの間での時間差の許容範囲。たとえば、メッセージのタイムスタンプがタイムゾーンの異なるサービスに送信された場合に、このプロパティで指定された許容時間が許容されます。 このプロパティの詳細は、「Fusion Middleware Controlを使用したセキュリティ・ポリシー強制の構成」の「クロック・スキュー」プロパティに関する説明を参照してください。 |
Agent |
expire.time |
300000 |
メッセージが作成されてから期限切れになるまでの時間。このプロパティは、タイムスタンプがSOAPヘッダーで送信される場合に、タイプスタンプが期限切れかどうかを検証するために使用されます。 このプロパティの詳細は、「Fusion Middleware Controlを使用したセキュリティ・ポリシー強制の構成」の「メッセージ期限切れ時間」プロパティに関する説明を参照してください。 |
Agent |
nonce.ttl |
28800000 |
Nonceがメッセージで送信されるときの、キャッシュ内でのNonceの合計存続時間。このプロパティにより、Nonceはキャッシュされ、この時間を超えるとキャッシュから削除されます。 このプロパティの詳細は、「Fusion Middleware Controlを使用したセキュリティ・ポリシー強制の構成」の「nonce存続期間」プロパティに関する説明を参照してください。 |
アイデンティティ設定を構成するには、「setWSMConfigurationコマンドを使用したOWSMドメイン構成の設定」
の説明に従って、setWSMConfigurationコマンドを使用します。
サービス・アイデンティティ証明拡張およびホスト名検証の詳細は、「サービス・アイデンティティ証明拡張の使用」を参照してください。
表14-7は、サービス拡張に対して設定できるOWSMのドメイン・レベル構成プロパティを示しています。
表14-7 アイデンティティのドメイン・レベル構成プロパティ
カテゴリ | プロパティ名 | デフォルト | 説明 |
---|---|---|---|
Identity |
ignore.hostname.verification |
true |
ドメインごとのhostname検証機能を無視するかどうかを指定します。デフォルトでは、このプロパティは無効(true)です。ただし、プロパティをfalseに設定することで、ホスト名の検証を有効にできます。 |
Identity |
ignore.identity.wsdl |
false |
クライアント側WSDLでX509証明書の使用を有効にするか無効にするかを、ドメインごとに指定します。デフォルトでは、このプロパティは有効( |
ドメイン・レベルのセキュア通信を構成するには、「setWSMConfigurationコマンドを使用したOWSMドメイン構成の設定」
の説明に従って、setWSMConfigurationコマンドを使用します。
ドメイン・レベルのセキュア通信の詳細は、「Fusion Middleware Controlを使用したドメインのセキュア通信の構成」を参照してください。
表14-8は、セキュア通信に対して設定できるOWSMのドメイン・レベル構成プロパティを示しています。
表14-8 セキュア通信のドメイン・レベル構成プロパティ
カテゴリ | プロパティ名 | デフォルト | 説明 |
---|---|---|---|
SecureConversation |
token.lifetime |
1800000 |
セキュア通信セッションが期限切れになるまでのデフォルトの時間(秒数)。 |
SecureConversation |
token.lifetime.reauth |
28800000 |
再認証ユースケースのセキュア通信セッションが期限切れになるまでのデフォルトの時間(秒数)。セッションは複数のユーザーで共有されるため、通常、再認証存続時間セッションには大きめの値を設定します。再認証が有効でセッションが複数のユーザーで共有される場合、これを大きな値に設定できます。 |
SecureConversation |
rm.encrypt.body |
false |
(Webサービス・クライアントにのみ適用。)WS-RMプロトコル・メッセージを暗号化するかどうかを指定します。 プロトコル・メッセージのレスポンス・メッセージ本文は、リクエスト・メッセージ本文に依存します。クライアントからのリクエスト・メッセージがプロトコル・メッセージに対して暗号化されている場合、Webサービスは暗号化されたレスポンスを送信します。逆についても同様です。 |
WLSTを使用して、ポリシー・マネージャ接続における自動検出に加えて、接続にSSLを使用するかどうかの構成など、OWSMのドメイン・レベルのメッセージ・ポリシー・アクセスを設定できます。また、ポリシー・キャッシュの管理および再試行ロジックのチューニングによる高可用性の構成も行えます。
次の各項では、構成の詳細を説明します。
ポリシー・マネージャ接続を構成するには、「setWSMConfigurationコマンドを使用したOWSMドメイン構成の設定」
の説明に従って、setWSMConfigurationコマンドを使用します。
ポリシー・マネージャ接続の詳細は、「Fusion Middleware Controlを使用したポリシー・マネージャ接続の構成」を参照してください。
表14-9は、ポリシー・マネージャ接続に対して設定できるOWSMのドメイン・レベル構成プロパティを示しています。
表14-9 ポリシー・マネージャ接続のドメイン・レベル構成プロパティ
カテゴリ | プロパティ名 | デフォルト | 説明 |
---|---|---|---|
ConfigManager |
connect.retry.delay |
60000 |
ポリシー・マネージャへの接続が失敗した後にエージェントが接続を再試行するまでの待機時間(ミリ秒数)。 |
ConfigManager |
keystore.csf.key |
keystore-csf-key |
キーストアの資格証明を取得するために使用するCSFキー。双方向SSLの場合は必須です。 |
ConfigManager |
keystore.path |
./default-keystore.jks |
ドメイン構成ディレクトリを基準としたキーストアの相対パス。キーストア・パスが 双方向SSLの場合は必須です。 |
ConfigManager |
keystore.ssl.alias |
mykey |
キーストア別名双方向SSLの場合は必須です。 |
ConfigManager |
keystore.type |
JKS |
キーストアのタイプ。デフォルト値はJKSです。双方向SSLの場合は必須です。 |
ConfigManager |
pm.csf.key |
OWSMポリシー・マネージャ・インスタンスへのアクセスを許可されたプリンシパル(および資格証明)を取得するためのCSFキー。指定しなかった場合、OracleSystemUserプリンシパル(WebLogic Server環境の標準)が使用されます。 |
|
ConfigManager |
pm.url |
ポリシー・アクセッサの場所を指定するURL。次のエントリが有効です。
注意: |
|
ConfigManager |
refresh.repeat |
600000 |
次の構成リフレッシュまでに待機するミリ秒数。 |
ConfigManager |
ssl.twoway |
false |
SSL接続が一方向であるか、双方向であるかを指定します。双方向SSLの場合は |
ConfigManager |
truststore.csf.key |
keystore-csf-key |
キーストアの資格証明を取得するために使用するCSFキー。一方向および双方向SSLの場合は必須です。 |
ConfigManager |
truststore.path |
./default-keystore.jks |
ドメイン構成ディレクトリを基準としたトラストストアの相対パス。トラストストア・パスが 一方向および双方向SSLの場合は必須です。 |
高可用性およびキャッシュ管理を構成するには、「setWSMConfigurationコマンドを使用したOWSMドメイン構成の設定」
の説明に従って、setWSMConfigurationコマンドを使用します。
これらのプロパティを使用して接続を調整する方法の詳細は、「Fusion Middleware Controlを使用した高可用性およびキャッシュ管理の構成」を参照してください。
表14-10は、高可用性およびキャッシュ管理に対して設定できるOWSMのドメイン・レベル構成プロパティを示しています。
表14-10 高可用性およびキャッシュ管理のドメイン構成プロパティ
カテゴリ | プロパティ名 | デフォルト | 説明 |
---|---|---|---|
BeanAccessor |
cache.refresh.initial |
600000 |
最初のキャッシュ・リフレッシュまでの待機時間(ミリ秒数)。 |
BeanAccessor |
cache.refresh.repeat |
600000 |
次のキャッシュ・リフレッシュまでの待機時間(ミリ秒数)。 |
BeanAccessor |
failure.retry.count |
2 |
通信の失敗後に再試行する回数。 |
BeanAccessor |
failure.retry.delay |
5000 |
次の再試行までの待機時間(ミリ秒数)。 |
BeanAccessor |
missing.retry.delay |
15000 |
欠落ドキュメントの取得を試行するまでの待機時間(ミリ秒数)。 |
BeanAccessor |
usage.record.delay |
30000 |
使用状況データを送信するまでの待機時間(ミリ秒数)。 |