Oracle® Fusion Middleware Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理 12c (12.1.3) E59414-02 |
|
前 |
次 |
この章では、すべてのアサーション・テンプレートの設定および構成プロパティの詳細を示します。
この章の内容は次のとおりです。
次の各項では、事前定義済のアサーション・テンプレートに設定可能な設定の概要を示しています。設定は、アルファベット順にリストされています。
注意: すべての設定がすべてのアサーション・テンプレートに適用されるわけではありません。 |
認可チェックが実行されるアクションまたはWebサービス操作。この値は、値のカンマ区切りのリストにすることもできます。このフィールドでは、ワイルドカードを使用できます。例: validate
、amountAvailable
メッセージ保護に使用されるアルゴリズム・スイート。「サポートされているアルゴリズム・スイート」を参照してください。
認証ヘッダーの名前。
認証のメカニズム。
次の値が有効です。
basic
: ユーザー名およびパスワードを送信することで、クライアントが自身を認証します。
注意: Basic認証を使用する場合はSSLを構成することをお薦めします。詳細は、「SSLに関するキーストアの構成」を参照してください。
cert
: このリリースではサポートされていません。証明書を送信することで、クライアントが自身を認証します。
custom
: このリリースではサポートされていません。カスタムの認証メカニズム。
digest
: このリリースではサポートされていません。暗号化されたパスワードをMD5ダイジェストを使用して送信することで、クライアントが自身を認証します。
jwt
- 今後の使用のために予約されています。
oam
: クライアントはOAMエージェントを使用して自身を認証します。
saml20-bearer
: クライアントはSAML 2.0 Bearerトークンを使用して自身を認証します。
spnego
: クライアントはKerberos SPNEGOを使用して自身を認証します。
注意: このフィールドは、「本体全体を含める」が無効化されている場合に使用できます。
指定された本体要素に署名するか暗号化します。このフィールドは、「ボディを含める」が無効化されている場合に使用できます。
本体要素を追加するには、次のようにします。
「追加」をクリックします。
ネームスペースURIを入力します。
ヘッダー要素のローカル名を入力します。
「OK」をクリックします。
本体要素を編集するには、次のようにします。
「本体要素」リストで、編集するbpdu要素を選択します。
「編集」を選択します。
必要に応じて値を変更します。
「OK」をクリックします。
本体要素を削除するには、次のようにします。
「本体要素」リストで、削除する本体要素を選択します。
「削除」をクリックします。
確認を要求されたら、「OK」をクリックします。
実際は、「セキュア通信」ポリシーには、内部と外部の2つのポリシーがあります。「ブートストラップ・メッセージ・セキュリティ」コントロールによって、内部ポリシーおよび外部ポリシーが公開されます。ブートストラップ(内部)ポリシーは、トークンの取得と、クライアントとWebサービス間のハンドシェイクの確立に使用されます。外部ポリシーは、トークンを使用したリクエストの実行時にアプリケーション・メッセージに対して使用されます。
これは、セキュア通信でリクエストされた証明トークンの鍵マテリアルとして使用されます。
クライアントがSTSと通信する際に使用するクライアント・ポリシーURI。WSDLでの識別に従い、選択するポリシーはSTSの認証要件に応じて異なります。
場合によっては、「すべてのクライアント・ポリシーを表示」または「互換性のあるクライアント・ポリシーを表示」を選択して、ポリシーのリストをフィルタリングできます。「互換性のあるクライアント・ポリシーを表示」を選択した場合、「ポートURI」で指定したポートと互換性のあるポリシーのみが表示されます。
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。
確認タイプ。次の値のみ有効です。
sender-vouches: 認証に送信者保証のSAMLトークンが使用されます。
認可チェックが実行される制約を表す式。制約式は、次の2つのmessageContextプロパティを使用して指定します。
messageContext.authenticationMethod: ユーザーの認証に使用する認証方法を決定します。有効な値はSAML_SVです。
messageContext.requestOrigin: リクエストが内部ネットワークまたは外部ネットワークから発行されたかどうかを決定します。このプロパティは、Oracle HTTP Serverを使用しており、Oracle HTTP Server管理者がカスタムのVIRTUAL_HOST_TYPEヘッダーをリクエストに追加した場合のみ有効です。
制約パターン・プロパティとその値では、大文字と小文字が区別されます。
制約式では、サポートされている標準的な演算子(==、!=、&&、||、!)を使用します。
ユーザー名トークンの作成にタイム・スタンプが必要かどうかを指定するフラグ。
注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。そうしない場合、アタッチ先のポリシーは検証されません。
導出キーを使用するどうかを指定するフラグ。
事前構成済のWS-SCポリシーの場合、「セキュア通信」はデフォルトで有効になります。その他すべてのポリシーで、「セキュア通信」はデフォルトで無効になります。
署名を暗号化するかどうかを指定するフラグ。
リクエストの暗号化に使用されるメカニズム。
wss10_message_protection_client_template
およびwss10_saml_token_with_message_protection_client_template
の場合の有効な値は、次のとおりです。
direct: リクエストに含まれるX.509トークン。
ski: 証明書の参照に使用されるX.509証明書のサブジェクト・キー識別子(SKI)の拡張子の値。(一部の証明書にはこの拡張子がありません。)メッセージの受信者は、SKIに対応する証明書のキーストアを調査し、それに対して署名を検証します。
issuerserial: 発行者名およびX.509証明書の参照に使用されるシリアル番号属性のコンポジット・キー。メッセージの受信者は、発行者名およびシリアル番号に対応する証明書のキーストアを調査し、それに対して署名を検証します。
wss11_message_protection_client_template
、wss11_saml_token_with_message_protection_client_template
、wss11_saml20_token_with_message_protection_client_template
、wss11_username_token_with_message_protection_client_template
、wss11_x509_token_with_message_protection_client_template
およびwss11_username_token_with_message_protection_client_template
の場合の有効な値は、次のとおりです。
direct: リクエストに含まれるX.509トークン。
ski: 証明書の参照に使用されるX.509証明書のサブジェクト・キー識別子(SKI)の拡張子の値。(一部の証明書にはこの拡張子がありません。)メッセージの受信者は、SKIに対応する証明書のキーストアを調査し、それに対して署名を検証します。
issuerserial: 発行者名およびX.509証明書の参照に使用されるシリアル番号属性のコンポジット・キー。メッセージの受信者は、発行者名およびシリアル番号に対応する証明書のキーストアを調査し、それに対して署名を検証します。
thumbprint: 証明書のコンテンツのメッセージ・ダイジェスト(SHA1ハッシュ)。証明書を格納する、オーバーヘッドの少ない方法を提供します。
フォルト・メッセージのロギング要件。有効な値は以下のとおりです。
all: SOAPメッセージ全体が記録されます。
header: SOAPヘッダー情報のみが記録されます。
soap_body: SOAP本文の情報のみが記録されます。
soap_envelope: SOAPエンベロープの情報のみが記録されます。
表18-117を参照してください。
指定されたSOAPヘッダー要素に署名するか暗号化します。
ヘッダー要素を追加するには、次のようにします。
「追加」をクリックします。
ネームスペースURIを入力します。
ヘッダー要素のローカル名を入力します。
「OK」をクリックします。
ヘッダー要素を編集するには、次のようにします。
「ヘッダー要素」リストで、編集するヘッダー要素を選択します。
「編集」を選択します。
必要に応じて値を変更します。
「OK」をクリックします。
ヘッダー要素を削除するには、次のようにします。
「ヘッダー要素」リストで、削除するヘッダー要素を選択します。
「削除」をクリックします。
確認を要求されたら、「OK」をクリックします。
SOAPメッセージのボディ全体に署名するか暗号化します。
falseの場合は、「本体要素」セクションを使用して特定の本体要素を追加できます。
MIMEヘッダー付きのSOAPアタッチメントに署名するか暗号化します。
注意: このフィールドは、「SwAアタッチメントを含める」が有効な場合に有効であり、適用されます。MTOMアタッチメントには適用されません。
アタッチメント付きSOAPメッセージに署名するか暗号化します。
注意: このフィールドは、MTOMアタッチメントには適用されません。
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。
SAMLトークンを暗号化するかどうかを指定するフラグ。
SAMLトークンを署名するかどうかを指定するフラグ。
Kerberosトークンのタイプ。有効な値は、gss-apreq-v5 (Kerberosバージョン5 GSS-API)のみです。
キー・タイプ。有効な値はbearerのみです。
キーストアに追加したSTS証明書の別名。デフォルトの別名はsts-csf-keyです。
双方向認証が必要かどうかを指定するフラグ。
次の値が有効です。
Enabled: サービスをクライアントに対して認証し、クライアントをサービスに対して認証する必要があります。
Disabled: 一方向認証が必要です。サービスをクライアントに対して認証する必要がありますが、クライアントをサービスに対して認証する必要はありません。
名前識別子で使用するフォーマットのタイプを指定します。
次のいずれかの値を指定します。
未指定
emailAddress
X509SubjectName
WindowsDomainQualifiedName
次のアサーション・テンプレートには、さらに値kerberosが指定されます。
wss10_saml20_token_client_template、wss_saml20_token_bearer_over_ssl_client_template、wss10_saml20_token_with_message_protection_client_template、wss11_saml20_token_with_message_protection_client_template
「名前識別子フォーマット」は、subject.precedenceがfalseに設定されている場合のみ適用されます。subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティまたはusernameプロパティ(「SAMLアサーションのユーザー名の構成」を参照)から取得されます。ユーザー名のフォーマットは、「名前識別子フォーマット」に設定されたフォーマットと同じである必要があります。
subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトから取得されます。この場合、「名前識別子フォーマット」は常に「未指定」であり、「名前識別子フォーマット」を設定してこれを変更することはできません。
リプレイ攻撃を防止するためユーザー名にNonceを含める必要があるかどうかを指定するフラグ。
注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。そうしない場合、アタッチ先のポリシーは検証されません。
必要なパスワードのタイプ。
次の値が有効です。
none: パスワードは使用されません。
plaintext: クリア・テキストのパスワード。
digest: 暗号化されたパスワードをMD5ダイジェストを使用して送信することで、クライアントが自身を認証します。
パスワード・タイプを「なし」に指定した場合、キーにパスワードを含める必要はありません。
注意: ダイジェスト・パスワードを使用しないと、このテンプレートを使用して作成されたポリシーはセキュアではなくなります。plaintext によって、パスワードはクリア・テキストで送信されます。このアサーションは、セキュリティが低くても問題にならない場合にのみダイジェスト・パスワードなしに、または他のメカニズムでトランスポートが保護されていることがはっきりしている場合に使用してください。または、このアサーションのSSLバージョンであるoracle/wss_username_token_over_ssl_client_templateの使用を検討します。 |
ロールベースまたは権限ベースのポリシーでは、guard要素(「orawsp:guard」を参照)を使用して、リソース、アクションおよび制約一致の値が定義されます。これらの値によって、guardの結果がtrueの場合にのみ、アサーション実行が許可されるようになります。アクセスしたリソース名およびアクションが一致した場合にのみ、アサーションの実行が許可されます。
デフォルトで、リソース名およびアクションでは、ワイルドカードのアスタリスク(*)が使用され、すべてが許可されます。
権限ベースの確認に使用されるクラス。たとえば、oracle.wsm.security.WSFuncPermission
です。
そのポリシーの構成プロパティpermission_classを変更する方法もあります。これはJAAS標準によって権限クラスを識別します。権限クラスは、アプリケーションまたはサーバーのクラスパスに存在する必要があります。
カスタムの権限クラスは、抽象的な権限クラスを拡張し、シリアライズ可能なインタフェースを実装する必要があります。http://docs.oracle.com/javase/7/docs/api/java/security/Permission.html
にあるJavadocを参照してください。
デフォルトはoracle.wsm.security.WSFunctionPermissionです。
STS Webサービスのエンドポイント。WSDL 2.0 STSの場合、target-namespace#wsdl.endpoint(service-name/port-name)
の形式で指定されます。たとえば、http://samples.otn.com.LoanFlow#wsdl.endpoint(LoanFlowService/LoanFlowPort)
と指定します。WSDL 1.1 STSの場合、targetnamespace#wsdl11.endpoint(servicename/portname)
という形式で指定します。たとえば、http://samples.otn.com.LoanFlow#wsdl11.endpoint(LoanFlowService/LoanFlowPort)
と指定します。
STSポートの実際のエンドポイントURI。たとえば、http://host:port/context-root/service1
と指定します。
『Oracle Web Services Managerの理解』
の再認証を使用するタイミングに関する項で説明されているように、再認証コントロールは、propagate.identity.context構成属性がTrueに設定されている場合に、SAML送信者保証ポリシーに対してのみ有効にできます。
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。
受信の署名に使用できるメカニズム。有効な値は、「署名鍵参照メカニズム」と同じです。
ロギング・リクエスト・メッセージの要件。
有効な値は以下のとおりです。
all: SOAPメッセージ全体が記録されます。
header: SOAPヘッダー情報のみが記録されます。
soap_body: SOAP本文の情報のみが記録されます。
soap_envelope: SOAPエンベロープの情報のみが記録されます。
表18-117を参照してください。
オプション要素です。リクエストのXPathのカンマ区切りのリストです。デフォルト値は空白です。
オプション要素です。リクエストのネームスペースのカンマ区切りのリストです。各ネームスペースの接頭辞とURIは、等号で区切られます。デフォルト値は空白です。
RSTのオプション要素。存在する場合、OWSMによって、トークンがリクエストされているWebサービスのエンドポイント・アドレスが送信されます。デフォルト動作では、クライアントからSTSへのメッセージでappliesTo要素が常に送信されます。
Webサービスのセキュリティ・ポリシーによって対称証明鍵が求められる場合、要求者は証明鍵の計算に含めることができる鍵の内容の一部(エントロピ)を渡すことができます。Webサービス・ポリシーでは、クライアント・エントロピ、STSエントロピ、またはその両方が必要であるかどうかを示すことができます。
トークンの外部参照が必要かどうかを指定します。
トークンの内部参照が必要かどうかを指定します。
Webサービスのセキュリティ・ポリシーによって対称証明鍵が求められる場合、要求者は証明鍵の計算に含めることができる鍵の内容の一部(エントロピ)を渡すことができます。Webサービス・ポリシーでは、クライアント・エントロピ、STSエントロピ、またはその両方が必要であるかどうかを示すことができます。
認可チェックが実行されるリソースの名前。このフィールドには、ワイルドカードを使用できます。たとえば、Webサービスのネームスペースがhttp://project11
で、サービス名がCreditValidation
の場合、リソース名はhttp://project11/CreditValidation
になります。
ロギング・レスポンス・メッセージの要件。有効な値は、前述の「リクエスト」と同じです。
表18-117を参照してください。
オプション要素です。ネームスペースのカンマ区切りのリストです。各ネームスペースの接頭辞とURIは、等号で区切られます。デフォルト値は空白です。
オプション要素です。レスポンスのXPathのカンマ区切りのリストです。デフォルト値は空白です。
認可されたロールを指定します。
有効な値は以下のとおりです。
すべてを許可: すべてのロールのユーザーを許可します。
すべてを拒否: ロールを持つすべてのユーザーを拒否します。
選択したロール: 選択したロールを許可します。
ロールを追加するには:
「追加」をクリックします。
ロールを追加するには、「使用可能なロール」列の追加する各ロールの隣にあるチェック・ボックスをクリックし、「移動」をクリックします。すべてのロールを追加するには、「すべて移動」をクリックします。
ロールを削除するには、「追加対象として選択したロール」列の削除する各ロールの隣にあるチェック・ボックスをクリックし、「削除」をクリックします。すべてのロールを削除するには、「すべて削除」をクリックします。
ロールを検索するには、「ロール名」検索ボックスに検索文字列を入力して、実行の矢印をクリックします。検索文字列に一致するロールのみが含まれるように、「使用可能なロール」列が更新されます。
「OK」をクリックします。
ロールを削除するには:
「選択したロール」リストで削除するロールを選択します。
「削除」をクリックします。
これは、セキュア通信でリクエストされた証明トークンの鍵マテリアルとして使用されます。
リクエストの署名に使用できるメカニズム。
次の値が有効です。
direct: リクエストに含まれるX.509トークン。
ski: 証明書の参照に使用されるX.509証明書のサブジェクト・キー識別子(SKI)の拡張子の値。(一部の証明書にはこの拡張子がありません。)メッセージの受信者は、SKIに対応する証明書のキーストアを調査し、それに対して署名を検証します。
issuerserial: 発行者名およびX.509証明書の参照に使用されるシリアル番号属性のコンポジット・キー。メッセージの受信者は、発行者名およびシリアル番号に対応する証明書のキーストアを調査し、それに対して署名を検証します。
thumbprint: 証明書のコンテンツのメッセージ・ダイジェスト(SHA1ハッシュ)。証明書を格納する、オーバーヘッドの少ない方法を提供します。このプロパティは、次のテンプレートの場合にのみ有効です。wss11_saml_token_with_message_protection_client_template
、wss11_saml20_token_with_message_protection_client_template
、wss11_x509_token_with_message_protection_client_template
、wss11_sts_issued_saml_with_message_protection_client_template
、oracle/wss11_sts_issued_saml_hok_with_message_protection_client_template
。
リクエストが署名され、暗号化されるかどうかを指定するフラグ。
SAMLトークン・タイプ。有効な値は1.1のみです。
Secure Socket Layer (SSL)(別名Transport Layer Security (TLS))を有効にするかどうかを指定するフラグ。
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。
双方向認証が必要かどうかを指定するフラグ。
次の値が有効です。
Enabled: サービスをクライアントに対して認証し、クライアントをサービスに対して認証する必要があります。
Disabled: 一方向認証が必要です。サービスをクライアントに対して認証する必要がありますが、クライアントをサービスに対して認証する必要はありません。
SAMLまたはセキュア通信のバージョン。
WS-Trustのバージョン。
導出キーを使用するどうかを指定するフラグ。
X509PKIPathV1トークンを処理して伝播する必要があるかどうかを指定するフラグ。
セキュリティ・トークン・サービス(STS)に対してWSDLが存在するかどうかを示します。
WSDLが存在する場合は、テンプレートのクローンを作成する際、WSDLのエンドポイントURIの入力、認証が必要かどうかの指定、およびユーザー名とパスワードの入力を求められる可能性があります。その後、「WSDL解析」を選択し、WSDLを解析してWSDLから取得した値を後続のフィールドに入力できます。
STS WSDLのエンドポイントURIで、STS情報の取得およびトークン交換用のSTSの呼出しに使用されます。
次の各項では、事前定義済のアサーション・テンプレートに設定可能な構成プロパティの概要を示しています(アルファベット順)。
注意: すべての構成プロパティがすべてのアサーション・テンプレートに適用されるわけではありません。 |
鍵導出アルゴリズム。PBKDF2である必要があります。
OESに定義されたアプリケーション名。${}表記法を使用した値は、静的にも動的にもできます。
アテスト・エンティティの表現で使用されるマッピング属性。現在サポートされているのはDNのみです。この属性は、送信者保証およびメッセージ保護ユースケースにのみ適用されます。SAML over SSLポリシーには適用されません。
ktpass
コマンドを使用して生成されたクライアントのプリンシパル名で、kerberosトークンの生成先のユーザー名にマップされます。<username>@<REALM NAME>
の形式を使用します。
注意: keytab.location
とcaller.principal.name
は、Java EEアプリケーションのクライアント・アイデンティティの伝播で必要です。
転送されたTGTによる資格証明委任がサポートされるかどうかを指定するフラグ。詳細は、「資格証明委任の構成」を参照してください。デフォルトで、この値はfalseです。
OPSSアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。資格証明ストアに鍵を追加する方法については、「資格証明ストアへの鍵およびユーザー資格証明の追加」を参照してください。
データ暗号化アルゴリズム。AES/CBC/PKCS5Padding
である必要があります。
オプションのプロパティ。実際の認可で使用されるアクションです。${}表記法を使用した値は、静的にも動的にもできます。
サービスからレスポンスを受信したときにSOAPセキュリティ・ヘッダー内のタイムスタンプを無視するために、クライアントが使用するプロパティ。デフォルト動作では、タイムスタンプは無視されません(このプロパティのデフォルト値はfalse
)。true
に設定されている場合、レスポンス・メッセージ内にタイムスタンプは必要ありません。タイムスタンプがある場合は、無視されます。
タイムスタンプは、リプレイ攻撃を防止するために必要です。そのため、相互運用性の問題を解決する場合を除いて、通常は、このプロパティをtrue
に設定することはお薦めできません。
発行済トークンをセキュリティ・トークン・サービス(STS)から取得する際に、OWSMがトークンの存続時間をリクエストするかどうかを制御します。issued.token.caching
をtrue
に設定すると、OWSMは、issued.token.lifetime
に指定されている期間に返されたトークンのトークン存続時間をリクエストします。false
に設定すると、OWSMはトークンの存続時間をリクエストしません。
STSがリクエストされたissued.token.lifetime
値とは異なるトークン存続期間の値を返す場合、OWSMは返されたトークンをキャッシュするための期間として戻り値を使用します。STSから空のトークン存続時間値が返された場合、issued.token.caching
がtrueに設定されている場合でも、OWSMは返されたトークンをキャッシュしません。
セキュリティ・トークン・サービス(STS)から発行済トークンを取得するときにOWSMがトークンの存続時間としてリクエストする時間(ミリ秒)。この値のドメイン・デフォルト値は28800000ミリ秒(8時間)です。このデフォルト値を変更する方法については、「Fusion Middleware Controlを使用した発行済トークンの存続期間の構成」を参照してください。
鍵導出の反復回数。
鍵導出で使用する鍵のサイズ。
クライアントのkeytabファイルの場所。
復号化鍵パスワードをキーストアに格納するために使用する別名とパスワード。
「ポリシー構成のオーバーライドの概要」
で説明されているように、この値を設定すると、keystore.enc.csf.keyをオーバーライドできます。
この値をオーバーライドする場合は、新しい値のキーがキーストアにあることが必要です。つまり、値をオーバーライドしても、キーをキーストアに構成する必要がなくなるわけではありません。
ピア証明書に関連付けられているキーストア別名。実行時セキュリティは、この別名を使用して構成済のキーストアからピア証明書を抽出し、ピアへのメッセージを暗号化します。ポリシーのオーバーライドの詳細は、「ポリシー構成のオーバーライドの概要」を参照してください。
署名キー・パスワードをキーストアに格納するために使用する別名とパスワード。このプロパティにより、ドメイン・レベルのかわりにアタッチメント・レベルで署名キーを指定できます。このキーは、saml.envelope.signature.required
フラグを使用して指定されるエンベロープ署名の生成時に使用されます。
オプションのプロパティ。属性の参照時に使用されるアクションです。${}表記法を使用した値は、静的にも動的にもできます。
オプションのプロパティ。リクエストが別のエンティティの代理かどうかを指定するには、このプロパティをオーバーライドします。このフラグのデフォルト値はfalseです。
trueに設定され、sts.auth.on.behalf.of.csf.key
が構成されている場合、これが優先されて、CSFキーを使用して確立されたアイデンティティがonBehalfOf
トークンで送信されます。sts.auth.on.behalf.of.username.only
プロパティもtrueに設定すると、CSFキー内のアイデンティティのパスワード部分は、onBehalfOf
トークンで送信されることはなくなります。
それ以外の場合、サブジェクトがすでに確立されていれば、サブジェクトのユーザー名がonBehalfOf
トークンとして送信されます。
sts.auth.on.behalf.of.csf.key
が設定されておらず、サブジェクトも存在しない場合、on.behalf.of
は、他のエンティティではなくリクエスタのトークン交換として処理されます。リクエスト内のonBehalfOf
要素には含まれません。
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝播し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
HTTPレルム。
注意: setWSMPolicySetOverride コマンドを使用してスコープのないオーバーライドとして定義されている場合、このプロパティは有効ではありません。詳細は、『インフラストラクチャ・コンポーネントのためのWLSTコマンド・リファレンス』のsetWMSPolicySetOverrideに関する項を参照してください。 |
ポリシー・アタッチメントの優先度を指定するオプションのプロパティ。アタッチされたポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先度を持つポリシーを、そのスコープにかかわらず、競合するポリシー・アタッチメントより優先します。
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先度が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。
詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。
そのまま使用できる様々なマッピング・モデルを切り替えるオプションのプロパティ。デフォルト値は、operation_as_action
です。指定可能なその他の値として、operation_as_resource_hierarchy
およびlookup_action_fixed_execute_action_as_operation
があります。
オプションのプロパティ。OESに定義されたリソース名。${}表記法を使用した値は、静的にも動的にもできます。
オプションのプロパティ。OESに定義されたリソース・タイプ。${}表記法を使用した値は、静的にも動的にもできます。
Webサービス・クライアントにのみ適用。これを設定すると、createSequence()やterminateSequence()などのプロトコル・リクエストの本体が暗号化されます。デフォルトで、WS-RMプロトコル・メッセージは暗号化されません。
プロトコル・メッセージのレスポンス・メッセージ本文は、リクエスト・メッセージ本文に依存します。クライアントからのリクエスト・メッセージがプロトコル・メッセージに対して暗号化されている場合、Webサービスは暗号化されたレスポンスを送信します。逆についても同様です。
SOAPロール。
鍵導出で使用されるNULL以外の空でないsalt。
SAMLトークン・ファイルの名前。
リライイング・パーティをカンマ区切りのURIで表します。このフィールドでは次のワイルドカードを使用できます。
任意の場所の*
。
URI末尾の/*
。
URI末尾の.*
。
Bearerトークンがドメインの署名鍵を使用して署名されるかどうかを指定するフラグ。ドメインの署名鍵は、keystore.sig.csf.key
を使用して構成されるプライベートの署名鍵でオーバーライドできます。
Bearerトークンを未署名にするには、(クライアントおよびサービス・ポリシーの両方で)このフラグをfalseに設定します。
SAML発行者URI。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
SAMLトークンの信頼できる発行者のカンマ区切りのリスト。信頼できる発行者をドメイン・レベルでオーバーライドするアプリケーション用です。
ミリ秒単位でのセキュア通信トークンの存続時間。通信セッションの存続期間中は、このセキュリティ・コンテキストがクライアントとWebサービスによって共有されます。この時間が経過すると、SCTは時間切れとなります。
サービスを識別するKerberosプリンシパルの名前。
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。
subject.precedence
がtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトからのみ取得されます。同様に、subject.precedence
がfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティからのみ取得されます。
ktpassコマンドを使用して生成されたクライアントのプリンシパル名であり、kerberosトークンの生成先のユーザー名にマップされます。<username>@<REALM NAME>
の形式で指定します。
クライアントのkeytabファイルの場所。
オプションのプロパティ。代理エンティティの構成で使用します。存在する場合、サブジェクト(存在する場合)より優先されます。代理エンティティについては、「on.behalf.of」を参照してください。
オプションのプロパティ。sts.auth.on.behalf.of.csf.key
が指定されている場合の代理エンティティの構成に使用します。代理エンティティについては、「on.behalf.of」を参照してください。
保護する必要があるWebサービスのプリンシパル名。<host>/<machine name>@<REALM NAME>
の形式で指定します。たとえば、HTTP/mymachine@MYREALM.COM
と指定します。
STSに対する認証用のユーザー名/パスワードを構成する場合に使用します。
oracle/sts_trust_config_templateクライアント・アサーション・テンプレート内のpolicy-reference-uri
が、ユーザー名ベースのポリシーを指している場合は、sts.auth.user.csf.key
プロパティを構成して、STSに対する認証用のユーザー名/パスワードを指定します。
STSに対する認証用のX509証明書を構成する場合に使用します。
oracle/sts_trust_config_templateクライアント・アサーション・テンプレート内のpolicy-reference-uriが、x509ベースのポリシーを指している場合は、sts.auth.x509.csf.key
プロパティを構成して、STSに対する認証用のX509証明書を指定します。
Webサービスが信頼するRP-STSから、Webクライアントが認証に使用するIP-STSまでのトラスト・チェーンにSTSを指定するために、Web Services Federationのケースで使用します。
接続先のSTS URIのカンマ区切りのリストに、sts.in.order
の値を設定します。このとき、RP-STSで開始して、IP-STSで終わるようにします。
このプロパティの使用の詳細は、「Web Services Federationの構成」を参照してください。
キーストアに追加したSTS証明書の別名。デフォルトの別名はsts-csf-keyです。
オプションのプロパティ。参照フェーズを省略するには、値をtrue
に設定します。マスキング・ポリシーには適用されません。
SAMLトークンのプリンシパルに関連するユーザー属性。
含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2
のようにします。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。OWSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をSAMLアサーションに含めます。
サブジェクトが有効であり、subject.precedence
がtrueに設定されている必要があります。
クライアント・ポリシーは、user.attributes
を使用して指定された属性の値を、構成済のアイデンティティ・ストアから読み取ります。すべての有効な属性名と値を使用して、SAML属性文が作成されます。
user.attributes
プロパティは1つのアイデンティティ・ストアに対してサポートされるものであり、リスト内の先頭のアイデンティティ・ストアのみが使用されます。このため、ユーザーは、構成済WebLogic Serverの認証プロバイダで使用されるアイデンティティ・ストアに存在し、有効になっている必要があります。認証プロバイダについては、「WebLogic Serverへの認証プロバイダの構成」を参照してください。
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合、検索する追加のアイデンティティ・ストアを指定できます。詳細は、「アサーションへのユーザー属性の組込み」を参照してください。
ユーザー・ロールの組込み。
trueに設定すると、OWSMでは、ユーザー・リポジトリ(LDAP)からユーザーのロールが読み取られ、それらのロールがSAML属性として伝播されます。
Oracle Cloud用に予約済。