17 事前定義済ポリシー

この章では、Oracle Web Services Manager (OWSM)の事前定義済ポリシーについて、カテゴリ別に説明します。事前定義済ポリシー・カテゴリの詳細は、『Oracle Web Services Managerの理解』のポリシー・カテゴリに関する項を参照してください。ポリシーのアタッチの詳細は、「ポリシーのアタッチ」を参照してください。

この章の内容は次のとおりです。

アドレス・ポリシー
アトミック・トランザクション・ポリシー
構成ポリシー
管理ポリシー
MTOMポリシー
信頼できるメッセージング・ポリシー
セキュリティ・ポリシー - 認証のみ
セキュリティ・ポリシー - 認可のみ
セキュリティ・ポリシー - メッセージ保護のみ
セキュリティ・ポリシー - メッセージ保護および認証
セキュリティ・ポリシー - Oracle Entitlements Server
SOAP Over JMSトランスポート・ポリシー

注意:

現行リリースとともに配布される事前定義済のポリシーおよびアサーション・テンプレートは、読取り専用です。ポリシーまたはアサーション・テンプレートを変更するには、それらをコピーしておく必要があります。セキュリティ・カテゴリおよび管理カテゴリのポリシーのみをコピーできます。アサーション内の属性をポリシーに追加してから構成することもできます。アサーション・テンプレートの管理およびポリシーへの追加の詳細は、「ポリシー・アサーション・テンプレートの管理」を参照してください。
OWSM 12c事前定義済ポリシーのアタッチ時に「値」フィールドに空白の値(" ")を指定した場合、デフォルトの値が適用されます。11gポリシーまたは任意のカスタム・ポリシーをインポート済の場合、そのポリシーの「デフォルト」フィールドに同じ効果をもたらす有効な値が設定されていることを確認してください。それ以外の場合は、指定した値が取得されます。

17.1 アドレス・ポリシー

表17-1は、事前定義済のOWSMアドレス・ポリシーの概要を示しています。

表17-1 事前定義済のOWSMアドレス・ポリシー

ポリシー名	説明
oracle/wsaddr_policy	W3C 2005 Final WS-Addressing Policy標準に準拠したWS-Addressingヘッダーがインバウンド・メッセージに存在するかどうかを確認します。
oracle/no_addressing_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWSアドレス・ポリシーを上位スコープで効率よく無効化します。

Webサービスのアドレス・ポリシーのアタッチの詳細は、次を参照してください。

『Webサービスの管理』のFusion Middleware Controlを使用したアドレッシングの構成に関する項
『Webサービスの管理』のWLSTを使用したアドレッシングの構成に関する項

17.1.1 oracle/wsaddr_policy

表示名: WSアドレス・ポリシー

カテゴリ: WSアドレス

説明

W3C 2005 Final WS-Addressing Policy標準に準拠したWS-Addressingヘッダーがインバウンド・メッセージに存在するかどうかを確認します。また、プラットフォームにより、WS-AddressingヘッダーがアウトバウンドSOAPメッセージに組み込まれます。

Webサービス・クライアントでのWS-Addressingの構成の詳細は、Web Services Addressing 1.0 - SOAP Bindingの仕様(http://www.w3.org/TR/ws-addr-soap/)を参照してください。

注意:

次のことに注意してください。

このポリシーを複製することはできません。
このポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

アサーション

このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。

構成

表17-3は、このアドレス・ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-2 oracle/wsaddr_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.1.2 oracle/no_addressing_policy

表示名: 動作なしアドレス・ポリシー

カテゴリ: WSアドレス

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWSアドレス・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

アサーション

すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。

構成

表17-3は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-3 oracle/no_addressing_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.2 アトミック・トランザクション・ポリシー

表17-4は、事前定義済のOWSMアトミック・トランザクション・ポリシーの概要を示しています。

Table 17-4 事前定義済のOWSMアトミック・トランザクション・ポリシー

ポリシー名	説明
oracle/atomic_transaction_policy	アトミック・トランザクションのサポートを有効にして、構成します。
oracle/no_atomic_transaction_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたアトミック・トランザクションWebサービス・ポリシーを上位スコープで効率よく無効化します。

Webサービスのアトミック・トランザクション・ポリシーのアタッチの詳細は、次を参照してください。

『Webサービスの管理』のFusion Middleware Controlを使用したアトミック・トランザクションの構成に関する項
『Webサービスの管理』のWLSTを使用したアトミック・トランザクションの構成に関する項

17.2.1 oracle/atomic_transaction_policy

表示名: アトミック・トランザクション・ポリシー

カテゴリ: アトミック・トランザクション

説明

アトミック・トランザクションのサポートを有効にして、構成します。アトミック・トランザクションの詳細は、『Oracle Infrastructure Webサービスの開発』のWebサービスのアトミック・トランザクションの使用に関する項を参照してください。

注意:

次のことに注意してください。

このアトミック・トランザクション・ポリシーを複製することはできません。
このアトミック・トランザクション・ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
このアトミック・トランザクション・ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-5は、アトミック・トランザクションの、オーバーライド可能な構成プロパティを示しています。

表17-5 oracle/atomic_transaction_policyの構成プロパティ

Name 説明デフォルト必須かどうか

Name	説明	デフォルト	必須かどうか
`flow.type`	Webサービスアトミック・トランザクション調整コンテキストがトランザクション・フローとともに渡されるかどうか。次の値が有効です。 `MANDATORY` `NEVER` `SUPPORTS` 有効な値の詳細は、『Oracle Infrastructure Webサービスの開発』のWebサービスのアトミック・トランザクションの構成に関する項を参照してください。	`SUPPORTS`	Optional
`version`	Webサービスのアトミック・トランザクションの調整コンテキストのサポートされているバージョン。Webサービス・クライアントの場合、アウトバウンド・メッセージにのみ使用されるバージョンが指定されます。トランザクション全体で同じ値を指定する必要があります。次の値が有効です。 `DEFAULT` `WSAT10` `WSAT11` `WSAT12` 有効な値の詳細は、『Oracle Infrastructure Webサービスの開発』のWebサービスのアトミック・トランザクションの構成に関する項を参照してください。	`DEFAULT`	Optional
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

flow.type

Webサービスアトミック・トランザクション調整コンテキストがトランザクション・フローとともに渡されるかどうか。次の値が有効です。

MANDATORY
NEVER
SUPPORTS

有効な値の詳細は、『Oracle Infrastructure Webサービスの開発』のWebサービスのアトミック・トランザクションの構成に関する項を参照してください。

SUPPORTS

Optional

version

Webサービスのアトミック・トランザクションの調整コンテキストのサポートされているバージョン。Webサービス・クライアントの場合、アウトバウンド・メッセージにのみ使用されるバージョンが指定されます。トランザクション全体で同じ値を指定する必要があります。次の値が有効です。

DEFAULT
WSAT10
WSAT11
WSAT12

有効な値の詳細は、『Oracle Infrastructure Webサービスの開発』のWebサービスのアトミック・トランザクションの構成に関する項を参照してください。

DEFAULT

Optional

reference.priority

「reference.priority」を参照してください。

なし

Optional

17.2.2 oracle/no_atomic_transaction_policy

表示名: アトミック・トランザクションなしポリシー

カテゴリ: アトミック・トランザクション

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたアトミック・トランザクションWebサービス・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

アトミック・トランザクションの詳細は、『Oracle Infrastructure Webサービスの開発』のWebサービスのアトミック・トランザクションの使用に関する項を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-6は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-6 oracle/no_atomic_transaction_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3 構成ポリシー

表17-7は、事前定義済のOWSM構成ポリシーの概要を示しています。

注意:

次のことに注意してください。

構成ポリシーを複製することはできません。
構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

表17-7 事前定義済のOWSM構成ポリシー

ポリシー名	説明
oracle/async_web_service_policy	非同期Webサービスを有効にして、構成します。
oracle/cache_binary_content_policy	コンテンツのバイナリ・キャッシュのサポートを有効にして、構成します。
oracle/fast_infoset_client_policy	Webサービス・クライアント上のFast Infosetを有効にして、構成します。
oracle/fast_infoset_service_policy	WebサービスのFast Infosetを有効にします。
oracle/max_request_size_policy	Webサービスに送信可能なリクエスト・メッセージの最大サイズをバイト単位で構成します。
oracle/mex_request_processing_service_policy	Webサービス・メタデータの交換を有効にします。
oracle/mtom_encode_fault_service_policy	MTOMが有効になっている場合の、MTOM対応SOAPフォルト・メッセージの作成を有効にします。
oracle/no_async_web_service_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた非同期Webサービス・ポリシーを上位スコープで効率よく無効化します。
oracle/no_cache_binary_content_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたバイナリ・キャッシュ・ポリシーを上位スコープで効率よく無効化します。
oracle/no_fast_infoset_client_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたFast Infosetクライアント・ポリシーを上位スコープで効率よく無効化します。
oracle/no_fast_infoset_service_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたFast Infosetサービス・ポリシーを上位スコープで効率よく無効化します。
oracle/no_max_request_size_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた最大リクエスト・サイズ・ポリシーを上位スコープで効率よく無効化します。
oracle/no_mex_request_processing_service_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWebサービス・メタデータ交換ポリシーを上位スコープで効率よく無効化します。
oracle/no_mtom_encode_fault_service_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAPフォルトMTOMエンコーディング・ポリシーを上位スコープで効率よく無効化します。
oracle/no_persistence_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた永続性ポリシーを上位スコープで効率よく無効化します。
oracle/no_pox_http_binding_service_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたPlain Old XML (POX)ポリシーを上位スコープで効率よく無効化します。
oracle/no_request_processing_service_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたリクエスト処理ポリシーを上位スコープで効率よく無効化します。
oracle/no_schema_validation_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたスキーマ検証ポリシーを上位スコープで効率よく無効化します。
oracle/no_soap_request_processing_service_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAPリクエスト処理ポリシーを上位スコープで効率よく無効化します。
oracle/no_test_page_processing_service_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたテスト・ページ処理ポリシーを上位スコープで効率よく無効化します。
oracle/no_ws_logging_level_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたロギング・ポリシーを上位スコープで効率よく無効化します。
oracle/no_wsdl_request_processing_service_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWSDLリクエスト処理ポリシーを上位スコープで効率よく無効化します。
oracle/persistence_policy	Webサービスのセキュア通信永続性メカニズムを構成します。
oracle/pox_http_binding_service_policy	ユーザー定義の`javax.xml.ws.Provider<T>.invoke`メソッドによって処理される非SOAP XMLメッセージをエンドポイントで受信できるようにします。
oracle/request_processing_service_policy	Webサービス・エンドポイントで着信リクエストを処理できるようにします。
oracle/schema_validation_policy	スキーマに対するリクエスト・メッセージの検証を有効にします。
oracle/soap_request_processing_service_policy	Webサービス・エンドポイントでのSOAPリクエストの処理を有効にします。
oracle/test_page_processing_policy	『Webサービスの管理』のWebサービス・テスト・クライアントの使用に関する項で説明されているように、Webサービス・テスト・クライアントを有効にします。
oracle/ws_logging_level_policy	Webサービス・エンドポイントの診断ログのログ・レベルを設定します。
oracle/wsdl_request_processing_service_policy	WebサービスのWSDLへのアクセスを有効にします。

構成ポリシーのアタッチの詳細は、次を参照してください。

Webサービスの管理のFusion Middleware Controlを使用したWebサービスの構成
『Webサービスの管理』のWLSTを使用したWebサービスの構成に関する項

17.3.1 oracle/async_web_service_policy

表示名: 非同期Webサービス・ポリシー

カテゴリ: 構成

説明

非同期Webサービスを有効にして、構成します。

注意:

次のことに注意してください。

この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-10は、非同期Webサービスの、オーバーライド可能な構成プロパティを示しています。

表17-8 oracle/async_web_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`jms.access.user`	JMSキューの使用を許可されているユーザー。注意: 大多数のユーザーでは、OracleSystemUserで十分です。ただし、このユーザーを、セキュリティ・レルム内の別のユーザーに変更する必要がある場合は、『Webサービスの管理』のFusion Middleware Controlを使用した非同期WebサービスのJMSシステム・ユーザーの変更に関する項に示されている手順を使用して、これを実行できます。	`OracleSystemUser`	Optional
`jms.connection.factory`	JMSリクエスト・キューのコネクション・ファクトリの名前。	`weblogic.jms.XAConnectionFactory` (デフォルトのJMSコネクション・ファクトリ)	Optional
`jms.queue`	リクエスト・キューの名前。	`oracle.j2ee.ws.server.async.DefaultRequestQueue`	Optional
`jms.response.connection.factory`	JMSレスポンス・キューのコネクション・ファクトリの名前。	`weblogic.jms.XAConnectionFactory` (デフォルトのJMSコネクション・ファクトリ)	Optional
`jms.response.queue`	リクエスト・キューの名前。	`oracle.j2ee.ws.server.async.DefaultResponseQueue`	Optional
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.2 oracle/cache_binary_content_policy

表示名: キャッシュ・バイナリ・コンテンツ・ポリシー

カテゴリ: 構成

説明

コンテンツのバイナリ・キャッシュのサポートを有効にして、構成します。

注意:

次のことに注意してください。

この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-9は、バイナリ・キャッシュの、オーバーライド可能な構成プロパティを示しています。

表17-9 oracle/cache_binary_content_policyの構成プロパティ

Name 説明デフォルト必須かどうか

Name	説明	デフォルト	必須かどうか
`mode`	OraSAAJのXTIスケーラブルDOMのランタイム要件を指定する値。次の値が有効です。 `com.oracle.webservices.api.CacheBinaryContentMode.BINARY`: 最速ですが、メモリーが最も大量に消費されます。本番環境にはお薦めしません。 `com.oracle.webservices.api.CacheBinaryContentMode.FILE`: ドキュメントごとに1つの一時ファイル。推奨される方法です。一時ファイルの格納先のディレクトリを`arg1`として指定する必要があります。 `com.oracle.webservices.api.CacheBinaryContentMode.BLOB`—Slowest.DBMS接続のURLを`arg1`として指定する必要があります。	`BINARY`	Optional
`arg1`	次のいずれかの値を定義するブール値。 `mode`を`BINARY`に設定した場合、この引数は必要ありません。 `mode`を`FILE`に設定した場合は、一時ファイルの格納先のディレクトリを`arg1`に指定します。 `mode`を`BLOB`に設定した場合は、DBMS接続のURLを指定します。	`java.io.tmpdir`	Optional
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

mode

OraSAAJのXTIスケーラブルDOMのランタイム要件を指定する値。次の値が有効です。

com.oracle.webservices.api.CacheBinaryContentMode.BINARY: 最速ですが、メモリーが最も大量に消費されます。本番環境にはお薦めしません。
com.oracle.webservices.api.CacheBinaryContentMode.FILE: ドキュメントごとに1つの一時ファイル。推奨される方法です。一時ファイルの格納先のディレクトリをarg1として指定する必要があります。
com.oracle.webservices.api.CacheBinaryContentMode.BLOB—Slowest.DBMS接続のURLをarg1として指定する必要があります。

BINARY

Optional

arg1

次のいずれかの値を定義するブール値。

modeをBINARYに設定した場合、この引数は必要ありません。
modeをFILEに設定した場合は、一時ファイルの格納先のディレクトリをarg1に指定します。
modeをBLOBに設定した場合は、DBMS接続のURLを指定します。

java.io.tmpdir

Optional

reference.priority

「reference.priority」を参照してください。

なし

Optional

17.3.3 oracle/fast_infoset_client_policy

表示名: Fast Infosetクライアント・ポリシー

カテゴリ: 構成

説明

Webサービス・クライアント上のFast Infosetを有効にして、構成します。

Fast Infosetの詳細は、次を参照してください。

JAX-WS Webサービス: 『Oracle WebLogic Server JAX-WS Webサービスの開発』のFast Infosetを使用したXML転送の最適化に関する項
Oracle Infrastructure Webサービス: 『Oracle Infrastructure Webサービスの開発』のFast Infosetを使用したXML転送の最適化に関する項

注意:

次のことに注意してください。

この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-10は、Fast Infosetクライアントの、オーバーライド可能な構成プロパティを示しています。

表17-10 oracle/fastinfoset_client_policyの構成プロパティ

Name 説明デフォルト必須かどうか

Name	説明	デフォルト	必須かどうか
`fast.infoset.content.negotiation`	Fast Infosetコンテンツ・ネゴシエーション設定を指定する値。次の値が有効です。 `OPTIMISTIC`: サービスでFast Infosetが有効になっていると見なされます。 `PESSIMISTIC`: クライアントからの最初のリクエストが、Fast Infosetが有効になっていない状態で送信されます。Fast Infosetがサービスで有効になっていると判断された場合、後続のリクエストは、Fast Infosetがクライアントで有効になった状態で送信されます。 `NONE`: クライアントでFast Infosetがサポートされていません。	`NONE`	Optional
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

fast.infoset.content.negotiation

Fast Infosetコンテンツ・ネゴシエーション設定を指定する値。次の値が有効です。

OPTIMISTIC: サービスでFast Infosetが有効になっていると見なされます。
PESSIMISTIC: クライアントからの最初のリクエストが、Fast Infosetが有効になっていない状態で送信されます。Fast Infosetがサービスで有効になっていると判断された場合、後続のリクエストは、Fast Infosetがクライアントで有効になった状態で送信されます。
NONE: クライアントでFast Infosetがサポートされていません。

NONE

Optional

reference.priority

「reference.priority」を参照してください。

なし

Optional

17.3.4 oracle/fast_infoset_service_policy

表示名: Fast Infosetサービス・ポリシー

カテゴリ: 構成

説明

WebサービスのFast Infosetを有効にします。

Fast Infosetの詳細は、次を参照してください。

JAX-WS Webサービス: 『Oracle WebLogic Server JAX-WS Webサービスの開発』のFast Infosetを使用したXML転送の最適化に関する項
Oracle Infrastructure Webサービス: 『Oracle Infrastructure Webサービスの開発』のFast Infosetを使用したXML転送の最適化に関する項

注意:

次のことに注意してください。

この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-11は、Fast Infoset Webサービスの、オーバーライド可能な構成プロパティを示しています。

表17-11 oracle/fastinfoset_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.5 oracle/max_request_size_policy

表示名: 最大リクエスト・サイズ・ポリシー

カテゴリ: 構成

説明

Webサービスに送信可能なリクエスト・メッセージの最大サイズをバイト単位で構成します。

注意:

次のことに注意してください。

この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-12は、Webサービスで最大リクエスト・サイズを有効にする際にオーバーライドできる構成プロパティを示しています。

表17-12 oracle/max_request_size_policyの構成プロパティ

Name 説明デフォルト必須かどうか

Name	説明	デフォルト	必須かどうか
`max.request.size`	リクエスト・メッセージの最大サイズ(バイト単位)。値`-1`は最大リクエスト・サイズが設定されていないことを示します。	`-1`	Optional
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

max.request.size

リクエスト・メッセージの最大サイズ(バイト単位)。

値-1は最大リクエスト・サイズが設定されていないことを示します。

-1

Optional

reference.priority

「reference.priority」を参照してください。

なし

Optional

17.3.6 oracle/mex_request_processing_service_policy

表示名: MEXリクエスト処理サービス・ポリシー

カテゴリ: 構成

説明

Webサービス・メタデータの交換を有効にします。

注意:

次のことに注意してください。

この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-13は、Webサービス・メタデータの交換を有効にする際にオーバーライドできる構成プロパティを示しています。

表17-13 oracle/mex_request_processing_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.7 oracle/mtom_encode_fault_service_policy

表示名: MTOMエンコード・フォルト・サービス・ポリシー

カテゴリ: 構成

説明

MTOMが有効になっている場合の、MTOM対応SOAPフォルト・メッセージの作成を有効にします。

注意:

次のことに注意してください。

この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-14は、SOAPフォルトのMTOMエンコーディングを有効にする際にオーバーライドできる構成プロパティを示しています。

表17-14 oracle/mtom_encode_fault_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.8 oracle/no_async_web_service_policy

表示名: 非同期Webサービスなしポリシー

カテゴリ: 構成

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた非同期Webサービス・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-15は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-15 oracle/no_async_web_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.9 oracle/no_cache_binary_content_policy

表示名: キャッシュ・バイナリ・コンテンツなしポリシー

カテゴリ: 構成

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたバイナリ・キャッシュ・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-16は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-16 oracle/no_cache_binary_content_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.10 oracle/no_fast_infoset_client_policy

表示名: Fast Infosetクライアントなしポリシー

カテゴリ: 構成

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたFast Infosetクライアント・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-17は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-17 oracle/no_fast_infoset_client_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.11 oracle/no_fast_infoset_service_policy

表示名: Fast Infosetサービスなしポリシー

カテゴリ: 構成

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたFast Infosetサービス・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-18は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-18 oracle/no_fast_infoset_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.12 oracle/no_max_request_size_policy

表示名: 最大リクエスト・サイズなしポリシー

カテゴリ: 構成

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた最大リクエスト・サイズ・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-19は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-19 oracle/no_max_request_size_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.13 oracle/no_mex_request_processing_service_policy

表示名: MEXリクエスト処理サービスなしポリシー

カテゴリ: 構成

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWebサービス・メタデータ交換ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-20は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-20 oracle/no_mex_request_processing_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.14 oracle/no_mtom_encode_fault_service_policy

表示名: MTOMエンコード・フォルト・サービスなしポリシー

カテゴリ: 構成

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAPフォルトMTOMエンコーディング・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-21は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-21 oracle/no_mtom_encode_fault_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.15 oracle/no_persistence_policy

表示名: 永続性なしポリシー

カテゴリ: 構成

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた永続性ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-22は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-22 oracle/no_persistence_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.16 oracle/no_pox_http_binding_service_policy

表示名: Pox HTTPバインディング・サービスなしポリシー

カテゴリ: 構成

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたPlain Old XML (POX)ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-23は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-23 oracle/no_pox_http_binding_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.17 oracle/no_request_processing_service_policy

表示名: リクエスト処理サービスなしポリシー

カテゴリ: 構成

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたリクエスト処理ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-24は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-24 oracle/no_request_processing_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.18 oracle/no_schema_validation_policy

表示名: スキーマ検証なしポリシー

カテゴリ: 構成

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたスキーマ検証ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-25は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-25 oracle/no_schema_validation_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.19 oracle/no_soap_request_processing_service_policy

表示名: SOAPリクエスト処理サービスなしポリシー

カテゴリ: 構成

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAPリクエスト処理ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-26は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-26 oracle/no_soap_request_processing_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.20 oracle/no_test_page_processing_service_policy

表示名: テスト・ページ処理サービスなしポリシー

カテゴリ: 構成

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたテスト・ページ処理ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-27は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-27 oracle/no_test_page_processing_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.21 oracle/no_ws_logging_level_policy

表示名: WSロギング・レベルなしポリシー

カテゴリ: 構成

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたロギング・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-28は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-28 oracle/no_ws_logging_level_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.22 oracle/no_wsdl_request_processing_service_policy

表示名: WSDLリクエスト処理サービスなしポリシー

カテゴリ: 構成

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWSDLリクエスト処理ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-29は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-29 oracle/no_wsdl_request_processing_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.23 oracle/persistence_policy

表示名: 永続性ポリシー

カテゴリ: 構成

説明

Webサービスのセキュア通信永続性メカニズムを構成します。

注意:

次のことに注意してください。

この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-30は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。

表17-30 oracle/persistence_policyの構成プロパティ

属性説明デフォルト必須かどうか

providerName

システムに登録されている永続性プロバイダを識別します。可能な値は次のとおりです。

oracle:jrf:Memoryは、メモリー内ベースの永続性プロバイダです。
oracle:jrf:Coherenceは、統合Coherenceプロバイダです。

注意: J2SEクライアントの場合、構成できるのはoracle:jrf:Memoryのみです。

oracle:jrf:Coherence (設定可能な場合)。

Optional

reference.priority

「reference.priority」を参照してください。

なし

Optional

17.3.24 oracle/pox_http_binding_service_policy

表示名: Pox HTTPバインディング・サービス・ポリシー

カテゴリ: 構成

説明

ユーザー定義のjavax.xml.ws.Provider<T>.invokeメソッドによって処理される非SOAP XMLメッセージをエンドポイントで受信できるようにします。

注意:

次のことに注意してください。

この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-14は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。

表17-31 oracle/pox_http_binding_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.25 oracle/request_processing_service_policy

表示名: リクエスト処理サービス・ポリシー

カテゴリ: 構成

説明

Webサービス・エンドポイントで着信リクエストを処理できるようにします。

注意:

次のことに注意してください。

この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-14は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。

表17-32 oracle/request_processing_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.26 oracle/schema_validation_policy

表示名: スキーマ検証ポリシー

カテゴリ: 構成

説明

スキーマに対するリクエスト・メッセージの検証を有効にします。

注意:

次のことに注意してください。

この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-14は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。

表17-33 oracle/schema_validation_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.27 oracle/soap_request_processing_service_policy

表示名: SOAPリクエスト処理サービス・ポリシー

カテゴリ: 構成

説明

Webサービス・エンドポイントでのSOAPリクエストの処理を有効にします。

注意:

次のことに注意してください。

この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-14は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。

表17-34 oracle/soap_request_processing_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.28 oracle/test_page_processing_policy

表示名: テスト・ページ処理サービス・ポリシー

カテゴリ: 構成

説明

『Webサービスの管理』のWebサービス・テスト・クライアントの使用に関する項で説明されているように、Webサービス・テスト・クライアントを有効にします。

注意:

次のことに注意してください。

この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-14は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。

表17-35 oracle/test_page_processing_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.29 oracle/ws_logging_level_policy

表示名: WSロギング・レベル・ポリシー

カテゴリ: 構成

説明

Webサービス・エンドポイントの診断ログのログ・レベルを設定します。

注意:

次のことに注意してください。

この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-14は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。

表17-36 oracle/ws_logging_level_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`logging.level`	ロギング・レベルを定義します。有効な値は、`SEVERE`、`WARNING`、`INFO`、`CONFIG`、`FINE`、`FINER`、`FINEST`または`NULL`です。	なし	Optional
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.3.30 oracle/wsdl_request_processing_service_policy

表示名: WSDLリクエスト処理サービス

カテゴリ: 構成

説明

WebサービスのWSDLへのアクセスを有効にします。

注意:

次のことに注意してください。

この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-14は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。

表17-37 oracle/ws_logging_level_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.4 管理ポリシー

表17-38は、事前定義済のOWSM管理ポリシーの概要を示しています。

表17-38 事前定義済のOWSM管理ポリシー

ポリシー名	説明
oracle/log_policy	このポリシーを使用すると、メッセージ・ログにリクエスト、レスポンスおよびフォルト・メッセージが送信されます。

17.4.1 oracle/log_policy

表示名: ログ・ポリシー

カテゴリ: 管理

説明

このポリシーを使用すると、メッセージ・ログにリクエスト、レスポンスおよびフォルト・メッセージが送信されます。デフォルトで、このポリシーでは、リクエストのSOAPメッセージ全体およびレスポンスのSOAP本体情報のみがログに記録されます。

メッセージは、ドメインのメッセージ・ログに記録されます。メッセージ・ログの表示およびフィルタリングについては、『Webサービスの管理』のWebサービスのメッセージ・ログの使用に関する項を参照してください。

注意:

このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/security_log_template

アサーションはWSDLで通知されていません。

構成

表17-39は、ログ・ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-39 oracle/log_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.5 MTOMポリシー

表17-40は、事前定義済のOWSMメッセージ転送最適化メカニズム(MTOM)ポリシーの概要を示しています。

表17-40 事前定義済のOWSM MTOMポリシー

ポリシー名	説明
oracle/no_mtom_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWS MTOMポリシーを上位スコープで効率よく無効化します。
oracle/wsmtom_policy	MTOM形式でないインバウンド・メッセージを拒否し、アウトバウンド・メッセージがMTOM形式であることを確認します。

MTOMポリシーのアタッチの詳細は、次を参照してください。

『Webサービスの管理』のFusion Middleware Controlを使用したMTOMの構成に関する項
『Webサービスの管理』のWLSTを使用したMTOMの構成に関する項

17.5.1 oracle/no_mtom_policy

表示名: 動作なしMTOMポリシー

カテゴリ: MTOMアタッチメント

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたMTOMポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-41は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-41 oracle/no_mtom_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.5.2 oracle/wsmtom_policy

表示名: WS MTOMポリシー

カテゴリ: MTOMアタッチメント

説明

MTOM形式でないインバウンド・メッセージを拒否し、アウトバウンド・メッセージがMTOM形式であることを確認します。MTOMは、SOAPメッセージ内のxs:base64Binaryまたはxs:hexBinaryタイプのXMLデータの転送を最適化するためのメソッドを定義します。MTOMについては、SOAP 1.2および1.1それぞれの次の仕様を参照してください。http://www.w3.org/TR/2005/REC-soap12-mtom-20050125およびhttp://www.w3.org/Submission/2006/SUBM-soap11mtom10-20060405。

WebサービスのクライアントでMTOMを有効にするには、次のサンプルのように、Webサービスのプロキシまたはディスパッチの作成時にパラメータとしてjavax.xml.ws.soap.MTOMFeatureを渡します。

package examples.webservices.mtom.client;
import javax.xml.ws.soap.MTOMFeature;
public class Main {
  public static void main(String[] args) {
    String FOO = "FOO";
    MtomService service = new MtomService()
    MtomPortType port = service.getMtomPortTypePort(new MTOMFeature());
    String result = null;
    result = port.echoBinaryAsString(FOO.getBytes());
    System.out.println( "Got result: " + result );
  }
}

注意:

次のことに注意してください。

このMTOMポリシーを複製することはできません。
このポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-42は、MTOMポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-42 oracle/wsmtom_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.6 信頼できるメッセージング・ポリシー

表17-38は、事前定義済のOWSM信頼できるメッセージング・ポリシーの概要を示しています。

表17-43 事前定義済のOWSM信頼できるメッセージング・ポリシー

ポリシー名	説明
oracle/no_reliable_messaging_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWeb Services Reliable Messagingポリシーを上位スコープで効率よく無効化します。
oracle/no_wsrm_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWeb Services Reliable Messagingポリシーを上位スコープで効率よく無効化します。
oracle/reliable_messaging_policy	Webサービスおよびクライアントで、Webサービスの信頼性のあるメッセージングを構成します。
oracle/wsrm10_policy	Web Services Reliable Messagingプロトコルのバージョン1.0を構成します。
oracle/wsrm11_policy	Web Services Reliable Messagingプロトコルのバージョン1.1を構成します。

信頼できるメッセーング・ポリシーのアタッチの詳細は、次を参照してください。

『Webサービスの管理』のFusion Middleware Controlを使用した信頼できるメッセージングの構成に関する項
『Webサービスの管理』のWLSTを使用した信頼できるメッセージングの構成に関する項

17.6.1 oracle/no_reliable_messaging_policy

表示名: 信頼できるメッセージングなしポリシー

カテゴリ: 信頼できるメッセージング

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWeb Services Reliable Messagingポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

信頼できるメッセージングの詳細は、『Oracle Infrastructure Webサービスの開発』のWebサービスのアトミック・トランザクションの使用に関する項を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-44は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-44 oracle/no_reliable_messaging_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.6.2 oracle/no_wsrm_policy

表示名: 動作なしRMポリシー

カテゴリ: 信頼できるメッセージング

注意:

このポリシーは非推奨になりました。「oracle/no_reliable_messaging_policy」で説明しているように、oracle/no_reliable_messagingポリシーの使用をお薦めします。

説明

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-45は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-45 oracle/no_wsrm_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.6.3 oracle/reliable_messaging_policy

表示名: 信頼できるメッセージング・ポリシー

カテゴリ: 信頼できるメッセージング

説明

Webサービスおよびクライアントで、Webサービスの信頼性のあるメッセージングを構成します。このポリシーは、SOAPベースのあらゆるWebサービスおよびクライアントにアタッチできます。

Webサービス・クライアントは、実行時にWSDLポリシー・アサーションを自動的に検出して使用し、クライアントで通知済バージョンの信頼できるメッセージングを有効にします。複数のバージョンが有効な場合、生成されたWSDLには、指定されたバージョンについてポリシーの選択肢があるため、クライアントではいずれのバージョンでも選択できます。クライアントでは、指定されたシーケンスでのすべての相互作用に対して、選択したバージョンのプロトコルを一貫して使用する必要があります。

マルチメッセージ・シーケンスの場合、クライアント・コードには、シーケンス境界を区切るメソッドの明示的な呼び出しが含まれている必要があります。そうしない場合、各メッセージは独自のシーケンスでラップされます。クライアントを編集して、サービスに送信されるメッセージの信頼できるメッセージング・セッションを有効にします。oracle.webservices.rm.client.RMSessionLifecycleインタフェースは、信頼できるメッセージング・シーケンス境界を区切るメカニズムをクライアントに提供します。

例17-1に、サーブレット・クライアントを示します。この例では、新規TestServiceが作成されます。クライアントがサービスと通信するときに使用されるTestPortが取得されます。ポート・オブジェクトがRMSessionLifecycleオブジェクトにキャストされ、信頼できるメッセージング・セッションがそのオブジェクト上で開かれます(openSession)。メッセージがサービスに送信されると、セッションは終了します(closeSession)。

例17-1 Webサービスの信頼できるメッセージングのクライアント・コードのサンプル

public class ClientServlet extends HttpServlet {
 
    public void doGet(HttpServletRequest request, 
                HttpServletResponse response) throws ServletException, 
                                                          IOException {
 
        int num1 =  Integer.parseInt(request.getParameter("num1"));
        int num2 =  Integer.parseInt(request.getParameter("num2"));
        String outputStr = null;
 
        TestService service = new TestService();
        Test port = service.getTestPort();
 
        try {
        ((RMSessionLifecycle) port).openSession();
            outputStr = port.hello(inputStr);            
        } catch (Exception e) {
            e.printStackTrace();  
            outputStr = e.getMessage();
        } finally {
        ((RMSessionLifecycle) port).closeSession();
            response.getOutputStream().write(outputStr.getBytes());
        }
    }
}

注意:

次のことに注意してください。

この信頼できるメッセージング・トランザクション・ポリシーを複製することはできません。
このポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-46は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。

表17-46 oracle/reliable_messaging_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`acknowledgement.interval`	宛先エンドポイントがスタンドアロンの確認応答を送信する必要がある最大間隔(ミリ秒単位)。指定する値は、正の値とし、XMLスキーマの期間を表す字句形式(`PnYnMnDTnHnMnS`)に従う必要があります。ここで、`nY`は年数、`nM`は月数、`nD`は日数を表し、`T`は日付/時刻のセパレータ、`nH`は時間数、`nM`は分数、`nS`は秒数を表します。この値はシーケンスの作成時に設定され、リセットすることはできません。	`P0DT0.2S` (200ミリ秒)	Optional
`destination.allowed.versions`	サポートされている信頼できるメッセージングのバージョン(複数可)。複数のバージョンが有効な場合、生成されたWSDLでは、指定されたバージョンについてポリシーの選択肢がリストされ、クライアントで特定のバージョンを選択できるようになります。クライアントでは、指定されたシーケンスでのすべての相互作用に対して、選択したバージョンを一貫して使用する必要があります。次の値が有効です。 `DEFAULT` (すべてのバージョンをサポート) `WS_RM_1_0` `WS_RM_1_1` `WS_RM_1_2`	`DEFAULT`	Optional
`destination.non.buffered`	メッセージの非バッファ受信がリクエストされていることを示すフラグ。この値はシーケンスの作成時に設定され、リセットすることはできません。	`false`	Optional
`inactivity.timeout`	非アクティブの間隔を定義するミリ秒数。この時間が経過した時点で、宛先エンドポイントでソース・エンドポイントからのメッセージを受信していない場合、宛先エンドポイントでは、非アクティブであるためにシーケンスが終了したと判断されることがあります。ソース・エンドポイントの場合も同様です。デフォルトで、シーケンスがタイムアウトになることはありません。 RM送信元とRM宛先の実装では、シーケンスに関連付けられたリソースを任意に管理できますが、非アクティブ・タイムアウトの経過後に送信元および宛先がそのシーケンスを使用できるという保証はありません。指定する値は、正の値とし、XMLスキーマの期間を表す字句形式(`PnYnMnDTnHnMnS`)に従う必要があります。ここで、`nY`は年数、`nM`は月数、`nD`は日数を表し、`T`は日付/時刻のセパレータ、`nH`は時間数、`nM`は分数、`nS`は秒数を表します。値は順序の作成時に設定され、リセットできません。	`P0DT600S` (600秒)	Optional
`max.retry.count`	呼び出されたWebLogic ServerインスタンスのJMSキューが、操作が正常に呼び出されるまでWebサービスの実装にメッセージの配信を試みる回数。	`-1`	Optional
`optional`	信頼できるメッセージングが必要かどうかを指定するフラグ。このフラグによって、サービス・エンドポイントでは、様々なクライアントとの信頼できる通信と信頼性の低い通信をサポートできるようになります。 optionalを`false`に設定した場合、サービスに送信されるすべてのメッセージを信頼できるものにする必要があります。`optional`を`true`に設定すると、クライアントでリクエストの送信にWS-RMプロトコルを使用するかどうかを選択できます。この場合、サービスで両方とも処理できる必要があります。操作レベルで必要なWS-RMポリシーと組み合せて使用した場合、明示的なWS-RMポリシーを指定していない操作は、WS-RMプロトコルを使用して呼び出す必要はありませんが、明示的なWS-RMポリシーを指定した操作は、WS-RMプロトコルを使用して呼び出す必要があります。	`false`	Optional
`reference.priority`	「reference.priority」を参照してください。	なし	Optional
`sequence.q.o.s`	信頼できるメッセージングの配信保証。次の値が有効です。 `EXACTLY_ONCE`: すべてのメッセージが、必ず1回重複なしに配信されます。 `AT_MOST_ONCE`: メッセージは最大1回、重複なしに配信されます。メッセージによっては、一度も配信されないこともあります。 `AT_LEAST_ONCE`: すべてのメッセージが、少なくとも1回配信されます。メッセージによっては、2回以上配信されることもあります。 `UNSPECIFIED`	`EXACTLY_ONCE`	Optional
`sequence.in.order`	メッセージが送信された順序で配信されることを指定するフラグ。	`false`	Optional
`sequence.expiration`	信頼性のあるWebサービスの有効期限が切れ、これ以上の新しいシーケンス・メッセージを受け付けなくなるまでの時間の長さ。順序が完了する前にこの期限に達すると、強制終了されます。指定する値は、正の値とし、XMLスキーマの期間を表す字句形式(`PnYnMnDTnHnMnS`)に従う必要があります。ここで、`nY`は年数、`nM`は月数、`nD`は日数を表し、`T`は日付/時刻のセパレータ、`nH`は時間数、`nM`は分数、`nS`は秒数を表します。この値はシーケンスの作成時に設定され、リセットすることはできません。	`P1D` (1日)	Optional
`sequence.s.t.r`	信頼性のある順序内のメッセージを保護するために、`CreateSequence`メッセージ内で参照される`wsse:SecurityTokenReference`をランタイムで使用することを指定するフラグ。	`false`	Optional
`sequence.transport.security`	信頼性のある順序内のメッセージを保護するために、`CreateSequence`および`CreateSequenceResponse`メッセージの送信に使用される基本となるトランスポート・レベルのプロトコルのセッションにRM順序をバインドする必要があることを指定するフラグ。存在する場合、このアサーションは、`sp:TransportBinding`アサーションとともに使用する必要があります。	`false`	Optional
`source.backoff.algorithm`	バックオフ・アルゴリズム。宛先エンドポイントが、基本の再送信間隔(`source.base.retransmission.interval`)で指定した時間内でメッセージの順序を確認応答しなかった場合、メッセージが引き続き確認されなければ、連続再送信のタイミングに対して、ソース・エンドポイントは構成されているバックオフ・アルゴリズムを使用します。次の値が有効です。 `EXPONENTIAL`: 連続再送信の間隔が、基本の再送信間隔を基に指数的に増えます。たとえば、基本の再送信間隔が2秒で、指数関数的なバックオフ要素が設定されている場合、連続再送信の間隔は、メッセージが確認されなければ、2、4、8、16、32秒というように増えていきます。 `CONSTANT`: 連続再試行で、同じ再送信間隔が使用されます。 `NONE` この値はシーケンスの作成時に設定され、リセットすることはできません。	`NONE`	Optional
`source.base.retransmission.interval`	前の送信が失敗した場合に、RM宛先にメッセージを再送信するまでに経過する必要がある時間間隔。この間隔をバックオフ・アルゴリズム(`source.backoff.algorithm`)と組み合せて使用すると、再送信間隔の調整に使用されるアルゴリズムを指定できます。指定する値は、正の値とし、XMLスキーマの期間を表す字句形式(`PnYnMnDTnHnMnS`)に従う必要があります。ここで、`nY`は年数、`nM`は月数、`nD`は日数を表し、`T`は日付/時刻のセパレータ、`nH`は時間数、`nM`は分数、`nS`は秒数を表します。この値はシーケンスの作成時に設定され、リセットすることはできません。	`P0DT3S`	Optional
`source.version`	RM送信元でサポートされている信頼できるメッセージングのバージョン(複数可)。サービスのWSDLに、複数のRMバージョンについてのポリシー選択肢が含まれる場合は、クライアントではこの属性を使用して特定のバージョンを選択できます。WSDLに複数のRMバージョンが含まれ、この属性が明示的には設定されていない場合、RM 1.2が使用されるか、WSDLにRM 1.2が含まれない場合は、WSDL内でバージョン番号が一番大きいバージョンが使用されます。次の値が有効です。 `DEFAULT` (すべてのバージョンをサポート) `WS_RM_1_0` `WS_RM_1_1` `WS_RM_1_2` WSDLにRMバージョンが1つしか含まれない場合、この属性は無視され、WSDL内のそのバージョンが使用されます。その他の可能な値は、DEFAULT、WS_RM_1_0およびWS_RM_1_1です。	`WS_RM_1_2`	Optional
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.6.4 oracle/wsrm10_policy

表示名: WS RM10ポリシー

カテゴリ: 信頼できるメッセージング

注意:

このポリシーは非推奨になりました。「oracle/reliable_messaging_policy」で説明しているように、oracle/reliable_messagingポリシーの使用をお薦めします。

説明

Web Services Reliable Messagingプロトコルのバージョン1.0を構成します。このポリシーは、SOAPベースのすべてのクライアントまたはエンドポイントにアタッチできます。

Webサービス・クライアントは、実行時にWSDLポリシー・アサーションを自動的に検出して使用し、クライアントで通知済バージョンの信頼できるメッセージングを有効にします。

注意:

次のことに注意してください。

この信頼できるメッセージング・トランザクション・ポリシーを複製することはできません。
このポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-47は、信頼できるメッセージング・ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-47 wsrm10_policyの構成プロパティ

Name	説明	デフォルト	必須
`DeliveryAssurance`	配信の保証。次のように配信の保証タイプを定義します。 At Most Once: メッセージが最大1回配信されます。メッセージが重複することはありません。 At Least Once: すべてのメッセージが、少なくとも1回配信されます。メッセージによっては、2回以上配信されることもあります。 Exactly Once: すべてのメッセージが1回のみ配信されます。メッセージが重複することはありません。メッセージは送信時の順序で配信されます。この配信の保証は、前述の3つの保証のいずれかと組合せることができます。また、メッセージが送信された順序で配信されるかどうかを構成できます。有効な値は、次のとおりです。 `AtLeastOnce` `AtLeastOnceInOrder` `AtMostOnce` `AtMostOnceInOrder` `ExactlyOnce` `ExactlyOnceInOrder` `InOrder`	`InOrder`	Optional
`StoreType`	メッセージ・ストアのタイプ。次の値が有効です。 `FileSystem` (完全にはサポートされていません) `InMemory` `JDBC`	`InMemory`	Optional
`StoreName`	メッセージ・ストアの名前。	`oracle`	Optional
`jdbc-connection-name`	JDBCデータ・ソースへのJNDI参照。このフィールドは、StoreTypeがJDBCに設定されている場合のみ有効です。この値は、jdbc-connection-urlより優先されます。ユーザー名とパスワードは、両方存在する場合に使用されます。	jdbc/MessagesStore	Optional
`InactivityTimeout`	非アクティブの間隔を定義するミリ秒数。この時間が経過した時点で、宛先エンドポイントでソース・エンドポイントからのメッセージを受信していない場合、宛先エンドポイントでは、非アクティブであるためにシーケンスが終了したと判断されることがあります。ソース・エンドポイントの場合も同様です。デフォルトで、シーケンスがタイムアウトになることはありません。 RM送信元とRM宛先の実装では、シーケンスに関連付けられたリソースを任意に管理できますが、非アクティブ・タイムアウトの経過後に送信元および宛先がそのシーケンスを使用できるという保証はありません。	`600000`	Optional
`BaseRetransmissionInterval`	前の送信が失敗した場合に、RM宛先にメッセージを再送信するまでに経過する必要がある時間間隔。	`3000`	Optional

17.6.5 oracle/wsrm11_policy

表示名: WS RM11ポリシー

カテゴリ: 信頼できるメッセージング

注意:

このポリシーは非推奨になりました。「oracle/reliable_messaging_policy」で説明しているように、oracle/reliable_messagingポリシーの使用をお薦めします。

説明

Web Services Reliable Messagingプロトコルのバージョン1.1を構成します。このポリシーは、SOAPベースのすべてのクライアントまたはエンドポイントにアタッチできます。

マルチメッセージ・シーケンスの場合、クライアント・コードには、シーケンス境界を区切るメソッドの明示的な呼び出しが含まれている必要があります。そうでない場合、各メッセージは独自のシーケンスでラップされます。サービスに送信されるメッセージに対して信頼できるメッセージング・セッションを有効にするようクライアントを編集してください。oracle.webservices.rm.client.RMSessionLifecycleインタフェースは、信頼できるメッセージング・シーケンス境界を区切るメカニズムをクライアントに提供します。

注意:

次のことに注意してください。

この信頼できるメッセージング・トランザクション・ポリシーを複製することはできません。
このポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-47は、このポリシーの、オーバーライド可能な構成プロパティを示しています。

17.7 セキュリティ・ポリシー - 認証のみ

表17-48は、事前定義済のOWSM認証のみセキュリティ・ポリシーの概要を示しています。

注意:

Kerberos over SSLおよびSPNEGOの2つの認証のみシナリオには、事前定義済のポリシーはありません。これらのシナリオを使用するには、「事前定義済アサーション・テンプレート」で説明されているKerberos over SSLおよびSPNEGOアサーション・テンプレートを使用する独自のポリシーを作成します。

表17-48 事前定義済のOWSM認証のみポリシー

ポリシー名	説明
oracle/http_basic_auth_over_ssl_client_policy	アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込んで、トランスポート・プロトコルがHTTPSであることを検証します。
oracle/http_basic_auth_over_ssl_service_policy	HTTPヘッダー内の資格証明を使用して、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。
oracle/http_oam_token_service_policy	OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。
oracle/http_saml20_token_bearer_client_policy	HTTPヘッダーにSAML Bearer V2.0トークンを組み込みます。
oracle/http_saml20_token_bearer_service_policy	HTTPヘッダー内の、確認方式がBearerとなっているSAML v2.0トークンに指定されている資格証明を使用して、ユーザーを認証します。
oracle/http_saml20_token_bearer_over_ssl_client_policy	HTTPヘッダーにSAML Bearer v2.0トークンを組み込みます。確認方式がBearerとなっているSAMLトークンが自動的に作成され、トランスポート・プロトコルがSSLメッセージ保護を提供していることが検証されます。
oracle/http_saml20_bearer_token_over_ssl_service_policy	HTTPヘッダー内の、確認方式がBearerとなっているSAML v2.0トークンに指定されている資格証明を使用して、ユーザーを認証し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
oracle/multi_token_rest_service_policy	クライアントが送信するトークンに基づいて、次の認証ポリシーのいずれかを実行します。 HTTP Basic: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。 HTTPヘッダーのSAML v2.0 Bearerトークン: HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。 HTTP OAMセキュリティ: OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。 SPNEGO over HTTPセキュリティ: Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO)トークンをHTTPヘッダーから抽出します。
oracle/multi_token_over_ssl_rest_service_policy	クライアントが送信するトークンに基づいて、次の認証ポリシーのいずれかを実行します。 HTTP Basic over SSL: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。 HTTPヘッダーのSAML 2.0 Bearerトークン(SSL経由): HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。 HTTP OAMセキュリティ(SSL以外): OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。 SPNEGO over HTTPセキュリティ(非SSL): SPNEGOトークン情報をHTTPヘッダーから抽出します。
oracle/no_authentication_client_policy	クライアント・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認証ポリシーを上位スコープで効率よく無効化します。
oracle/no_authentication_service_policy	サービス・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認証ポリシーを上位スコープで効率よく無効化します。
oracle/wss_http_token_client_policy	アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込みます。
oracle/wss_http_token_service_policy	HTTPヘッダー内の資格証明を使用して、OPSSアイデンティティ・ストアに対してユーザーを認証します。
oracle/wss_username_token_client_policy	すべてのアウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を組み込みます。
oracle/wss_username_token_service_policy	UsernameToken WS-Security SOAPヘッダー内の資格証明を使用してユーザーを認証します。
oracle/wss10_saml_token_client_policy	アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込みます。
oracle/wss10_saml_token_service_policy	WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明を使用してユーザーを認証します。
oracle/wss10_saml20_token_client_policy	アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込みます。
oracle/wss10_saml20_token_service_policy	WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明を使用してユーザーを認証します。
oracle/wss11_kerberos_token_client_policy	WS-Security Kerberos Token Profile v1.1標準に従い、WS-SecurityヘッダーにKerberosトークンを組み込みます。
oracle/wss11_kerberos_token_service_policy	SOAPヘッダーからKerberosトークンを抽出して、ユーザーを認証します。

17.7.1 oracle/http_basic_auth_over_ssl_client_policy

表示名: HTTP Basic Auth Over SSLクライアント・ポリシー

カテゴリ: セキュリティ

説明

アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込んで、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのクライアント・エンドポイントで実行できます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_http_token_over_ssl_client_template

アサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-34「wss_http_token_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」で説明されているように、一方向を構成します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、管理コンソールを使用して、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。

17.7.2 oracle/http_basic_auth_over_ssl_service_policy

表示名: HTTP Basic Auth Over SSLサービス・ポリシー

カテゴリ: セキュリティ

説明

HTTPヘッダー内の資格証明を使用して、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのエンドポイントで実行できます。

注意:

このポリシーの機能は、oracle/wss_http_token_over_ssl_service_policyに似ています。相違点は、oracle/wss_http_token_over_ssl_service_policyでは、require-tls要素内のinclude-timestamp属性を有効化して、リプレイ攻撃を防止できることです。この機能は、RESTfulサービスには適用されません。require-tls要素の詳細は、「orasp:require-tls」を参照してください。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_http_token_over_ssl_service_template

アサーションはWSDLで通知されています。

注意:

WADLファイルでのポリシー・アサーションの通知はサポートされていません。関連づけられたポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。

構成

このポリシーを構成する手順は次のとおりです。

表18-35「wss_http_token_over_ssl_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」で説明されているように、一方向SSLを構成します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、管理コンソールを使用して、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。

17.7.3 oracle/http_oam_token_service_policy

表示名: HTTP OAMサービス・ポリシー

カテゴリ: セキュリティ

説明

OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。このポリシーは、HTTPベースのエンドポイントで実行できます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/http_oam_token_service_template

アサーションはWSDLで通知されていません。

注意:

構成

このポリシーを構成する手順は次のとおりです。

表18-3「http_oam_token_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
HTTP OAMセキュリティを実行するには、OAM WebGateを構成して、リクエストのインターセプト、ユーザーの認証およびOAM_REMOTE_USER HTTPヘッダーの設定を行います。OWSMは、リクエストを許可する前に、OAM_REMOTE_USER_HTTPヘッダーの有無を確認します。

詳細は、次を参照してください:

『WebGates for Oracle Access Managerのインストール』のOAMのためのOracle HTTP Server 11g Webゲートのインストールと構成に関する項。
Oracle Access Manager with Oracle Security Token Service管理者ガイド

17.7.4 oracle/http_saml20_token_bearer_client_policy

表示名: HTTP Saml Bearer V2.0トークン・クライアント・ポリシー

カテゴリ: セキュリティ

説明

HTTPヘッダーにSAML Bearer V2.0トークンを組み込みます。確認方法がBearerのSAMLトークンが自動的に作成されます。このポリシーは、HTTPベースのクライアント・エンドポイントで実行できます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/http_saml20_token_bearer_client_template

アサーションは通知されています。

構成

このポリシーを構成するには、表18-5「http_saml20_token_bearer_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。

設計時の考慮事項

「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、設計時にWebサービス・クライアントにSAMLを構成します。

17.7.5 oracle/http_saml20_token_bearer_service_policy

表示名: HTTP Saml Bearer V2.0トークン・サービス・ポリシー

カテゴリ: セキュリティ

説明

HTTPヘッダー内の、確認方式がBearerとなっているSAML v2.0トークンに指定されている資格証明を使用して、ユーザーを認証します。SAMLトークンの資格証明は、SAML v2.0ログイン・モジュールに対して認証されます。このポリシーは、HTTPベースのエンドポイントで実行できます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/http_saml20_token_bearer_service_template

アサーションはWSDLで通知されています。

注意:

WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。

構成

このポリシーを構成する手順は次のとおりです。

表18-6「http_saml20_token_bearer_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成してOPSSを設定します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml2.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。

17.7.6 oracle/http_saml20_token_bearer_over_ssl_client_policy

表示名: HTTP Saml Bearer V2.0 Token Over SSLクライアント・ポリシー

カテゴリ: セキュリティ

説明

HTTPヘッダーにSAML Bearer v2.0トークンを組み込みます。確認方式がBearerとなっているSAMLトークンが自動的に作成され、トランスポート・プロトコルがSSLメッセージ保護を提供していることが検証されます。このポリシーは、HTTPベースのクライアント・エンドポイントにアタッチできます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/http_saml20_token_bearer_client_template

アサーションは通知されています。

注意:

構成

このポリシーを構成する手順は次のとおりです。

表18-5「http_saml20_token_bearer_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「Webサービス・クライアントに関するSSLの構成」で説明されているように、一方向SSLを構成します。

設計時の考慮事項

「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、設計時にWebサービス・クライアントにSAMLを構成します。

17.7.7 oracle/http_saml20_bearer_token_over_ssl_service_policy

表示名: HTTP Saml Bearer V2.0トークン・サービス・ポリシー

カテゴリ: セキュリティ

説明

HTTPヘッダー内の、確認方式がBearerとなっているSAML v2.0トークンに指定されている資格証明を使用して、ユーザーを認証し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。SAMLトークンの資格証明は、SAML v2.0ログイン・モジュールに対して認証されます。このポリシーは、HTTPベースのエンドポイントで実行できます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/http_saml20_token_bearer_service_template

アサーションはWSDLで通知されています。

注意:

構成

このポリシーを構成する手順は次のとおりです。

表18-6「http_saml20_token_bearer_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成してOPSSを設定します。
「WebLogic ServerへのSSLの構成(一方向)」で説明されているように、一方向SSLを構成します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml2.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。

17.7.8 oracle/multi_token_rest_service_policy

表示名: 複数トークンRESTfulサービス・ポリシー

カテゴリ: セキュリティ

説明

クライアントが送信するトークンに基づいて、次の認証ポリシーのいずれかを実行します。

HTTP Basic: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
HTTPヘッダーのSAML v2.0 Bearerトークン: HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
HTTP OAMセキュリティ: OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。
SPNEGO over HTTPセキュリティ: Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO)トークンをHTTPヘッダーから抽出します。

アサーション(ORグループ)

このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。

oracle/wss_http_token_client_template
oracle/http_saml20_token_bearer_client_template
oracle/http_oam_token_service_template(サーバー側でのみOAM保護を提供します。)
oracle/http_spnego_token_service_template

oracle/http_saml20_token_bearer_client_templateおよびoracle/http_spengo_token_service_templateポリシー・アサーションは通知されています。

wss_http_token_client_templateおよびoracle/http_oam_token_service_templateアサーションはWSDLで通知されていません。

注意:

構成

このポリシーを構成する手順は次のとおりです。

クライアントから送信されたトークンに基づいて、次の各項のいずれかで定義された構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
HTTP OAMセキュリティを構成する手順は次のとおりです。
- OAMコンソールを使用して、OAMサービス・エンドポイントをanonymousとして構成します。
- クライアント・リクエストをインターセプトし、ユーザーを認証し、OAM_REMOTE_USER HTTPヘッダーを設定するように、OAM WebGateを構成します。OWSMは、リクエストを許可する前に、OAM_REMOTE_USER_HTTPヘッダーの有無を確認します。
詳細は、次を参照してください:
- 『WebGates for Oracle Access Managerのインストール』のOAMのためのOracle HTTP Server 11g Webゲートのインストールと構成に関する項。
- Oracle Access Manager with Oracle Security Token Service管理者ガイド

17.7.9 oracle/multi_token_over_ssl_rest_service_policy

表示名: Multi Token Over SSL RESTfulサービス・ポリシー

カテゴリ: 構成

説明

クライアントが送信するトークンに基づいて、次の認証ポリシーのいずれかを実行します。

HTTP Basic over SSL: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
HTTPヘッダーのSAML 2.0 Bearerトークン(SSL経由): HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
HTTP OAMセキュリティ(SSL以外): OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。
SPNEGO over HTTPセキュリティ(非SSL): SPNEGOトークン情報をHTTPヘッダーから抽出します。

アサーション(ORグループ)

oracle/wss_http_token_over_ssl_client_template、oracle/http_samle20_token_bearer_service_template、およびoracle/http_spengo_token_service_templateアサーションはWSDLで通知されています。

oracle/http_oam_token_service_templateアサーションはWSDLで通知されていません。

注意:

構成

このポリシーを構成する手順は次のとおりです。

クライアントから送信されたトークンに基づいて、次の各項のいずれかで定義された構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
HTTP OAMセキュリティを構成する手順は次のとおりです。
- OAMコンソールを使用して、OAMサービス・エンドポイントをanonymousとして構成します。
- リクエストをインターセプトし、ユーザーを認証し、OAM_REMOTE_USER HTTPヘッダーを設定するように、OAM WebGateを構成します。OWSMは、リクエストを許可する前に、OAM_REMOTE_USER_HTTPヘッダーの有無を確認します。
詳細は、次を参照してください:
- 『WebGates for Oracle Access Managerのインストール』のOAMのためのOracle HTTP Server 11g Webゲートのインストールと構成に関する項。
- Oracle Access Manager with Oracle Security Token Service管理者ガイド

17.7.10 oracle/no_authentication_client_policy

表示名: 動作認証クライアントなしポリシー

カテゴリ: セキュリティ

説明

クライアント・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認証ポリシーを上位スコープで効率よく無効化します。グローバルにアタッチされたポリシーに、認証アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効化されます。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-49は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-49 oracle/no_authentication_client_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.7.11 oracle/no_authentication_service_policy

表示名: 動作認証サービスなしポリシー

カテゴリ: セキュリティ

説明

サービス・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認証ポリシーを上位スコープで効率よく無効化します。グローバルにアタッチされたポリシーに、認証アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効化されます。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-50は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-50 oracle/no_authentication_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.7.12 oracle/wss_http_token_client_policy

表示名: Wss HTTPトークン・クライアント・ポリシー

カテゴリ: セキュリティ

説明

アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込みます。クライアントは、HTTPヘッダーに資格証明を渡す必要があります。このポリシーは、HTTPベースのクライアントで実行できます。

注意:

現在サポートされているのはHTTP Basic認証のみです。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_http_token_client_template

このアサーションは通知されていません。

構成

このポリシーを構成する手順は次のとおりです。

表18-11「wss_http_token_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法については、「資格証明ストアへの鍵およびユーザー資格証明の追加」を参照してください。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
クライアントは、HTTPヘッダーに資格証明を渡す必要があります。

17.7.13 oracle/wss_http_token_service_policy

説明

HTTPヘッダー内の資格証明を使用して、OPSSアイデンティティ・ストアに対してユーザーを認証します。このポリシーは、HTTPベースのエンドポイントで実行できます。

Webサービスは、提供されたユーザー名とパスワードの資格証明を、構成済の認証ソースに対して認証する必要があります。

注意:

現在サポートされているのはHTTP Basic認証のみです。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_http_token_service_template

このアサーションはWSDLで通知されていません。

構成

このポリシーを構成する手順は次のとおりです。

表18-12「wss_http_token_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
Webサービスは、提供されたユーザー名とパスワードの資格証明を、構成済の認証ソースに対して認証する必要があります。「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。

17.7.14 oracle/wss_username_token_client_policy

表示名: Wssユーザー名トークン・クライアント・ポリシー

カテゴリ: セキュリティ

説明

すべてのアウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を組み込みます。このポリシーは、SOAPベースのすべてのクライアントにアタッチできます。

リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。

このポリシーでは、プレーン・テキスト・パスワードがサポートされます。このクライアント・ポリシーは、oracle/wss_username_token_service_policyサービス・エンドポイント・ポリシーに類似しています。

注意:

このポリシーでは、パスワードがクリア・テキストで送信されます。このポリシーは、セキュリティが低くても問題にならない場合のみ、または他のメカニズムでトランスポートが保護されていることがはっきりしている場合に使用してください。

または、次のことを検討してください。

「Webサービス・ポリシーの作成および編集」で説明しているように、ポリシーをコピーして、パスワード・タイプをダイジェストに設定すること。
このポリシーのSSLバージョンである「oracle/wss_username_token_over_ssl_client_policy」の使用。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_username_token_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-14「wss_username_token_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法については、「資格証明ストアへの鍵およびユーザー資格証明の追加」を参照してください。
「設定」ページでパスワード・タイプを「なし」に指定した場合、キーにパスワードを含める必要はありません。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
SOAPリクエスト・メッセージにWS-Security UsernameToken要素(<wsse:UsernameToken/>)を組み込みます。また、クライアントは、認証用にユーザー名とパスワードを提供します。

17.7.15 oracle/wss_username_token_service_policy

表示名: Wssユーザー名トークン・サービス・ポリシー

カテゴリ: セキュリティ

説明

UsernameToken WS-Security SOAPヘッダー内の資格証明を使用してユーザーを認証します。このポリシーでは、プレーン・テキスト・パスワードがサポートされます。

注意:

または、次のことを検討してください。

「Webサービス・ポリシーの作成および編集」で説明しているように、ポリシーをコピーして、パスワード・タイプをダイジェストに設定すること。
このポリシーのSSLバージョンである「oracle/wss_username_token_over_ssl_client_policy」の使用。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_username_token_service_template

このアサーションはWSDLで通知されていません。

構成

このポリシーを構成する手順は次のとおりです。

表18-15「wss_username_token_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。

17.7.16 oracle/wss10_saml_token_client_policy

表示名: Wss10 SAMLトークン・クライアント・ポリシー

カテゴリ: セキュリティ

説明

アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込みます。このポリシーは、SOAPベースのクライアントで実行できます。

注意:

このポリシーは安全ではなく、デモの目的でのみ提供されます。SAML発行者の名前は存在しますが、SAMLトークンは署名されません。そのため、メッセージの改ざんが可能です。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_saml_token_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-17「wss10_saml_token_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成してOPSSを設定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、設計時にWebサービス・クライアントにSAMLを構成します。
アウトバウンドSOAPメッセージに、SAMLトークンを挿入するWS-Securityヘッダー要素(<saml:Assertion>)を組み込みます。確認タイプは、常にsender-vouchesです。

17.7.17 oracle/wss10_saml_token_service_policy

表示名: Wss10 SAMLトークン・サービス・ポリシー

カテゴリ: セキュリティ

説明

WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明を使用してユーザーを認証します。SAMLトークンの資格証明は、SAMLログイン・モジュールに対して認証されます。このポリシーは、SOAPベースのエンドポイントで実行できます。

注意:

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_saml_token_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-18「wss10_saml_token_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成してOPSSを設定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。

17.7.18 oracle/wss10_saml20_token_client_policy

表示名: Wss10 SAML V2.0トークン・クライアント・ポリシー

カテゴリ: セキュリティ

説明

アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込みます。このポリシーは、SOAPベースのクライアントで実行できます。

注意:

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_saml20_token_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-20「wss10_saml20_token_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成してOPSSを設定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、設計時にWebサービス・クライアントにSAMLを構成します。
アウトバウンドSOAPメッセージに、SAMLトークンを挿入するWS-Securityヘッダー要素(<saml:Assertion>)を組み込みます。確認タイプは、常にsender-vouchesです。

17.7.19 oracle/wss10_saml20_token_service_policy

表示名: Wss10 SAML V2.0トークン・サービス・ポリシー

カテゴリ: セキュリティ

説明

注意:

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_saml20_token_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-21「wss10_saml20_token_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成してOPSSを設定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml2.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。

17.7.20 oracle/wss11_kerberos_token_client_policy

表示名: Wss11 Kerberosトークン・クライアント・ポリシー

カテゴリ: セキュリティ

説明

WS-Security Kerberos Token Profile v1.1標準に従い、WS-SecurityヘッダーにKerberosトークンを組み込みます。このポリシーは、MITおよびActive Directory KDCと互換性があります。このポリシーは、SOAPベースのクライアントで実行できます。

サービス・プリンシパル名(SPN)は、Kerberos認証のキー・コンポーネントです。SPNは、サーバー上で動作するサービスの一意の識別子です。Kerberos認証を使用するすべてのサービスにSPNを設定し、クライアントがネットワーク上のサービスを識別できるようにする必要があります。サービスにSPNが設定されていない場合、クライアントではそのサービスを特定できないため、Kerberos認証を使用できなくなります。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_kerberos_token_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-23「wss11_kerberos_token_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「Kerberosトークンの構成」で説明されているように、Kerberosを構成します。
Kerberosクライアント側ポリシーを実行するWebサービス・クライアントは、アクセスを試行するサービスのサービス・プリンシパル名を認識している必要があります。「ポリシー構成プロパティのオーバーライド」で説明されているように、service.principal.nameの値を指定できます。デフォルト値(プレースホルダ)は、HOST/localhost@oracle.comです。

設計時の考慮事項

設計時に次の手順を実行します。

「Kerberosトークンの構成」で説明されているように、Kerberosを構成します。
サービス・プリンシパル名(service.principal.name)を設定します。サービス・プリンシパル名は、クライアントがKDCにリクエストするチケットに対応するサービス・プリンシパルの名前を指定します。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
Kerberos認証が成功した場合、取得されたKerberosチケットとオーセンティケータを、SOAPセキュリティ・ヘッダーのBinarySecurityToken要素で囲まれたWebサービスに送信します。

17.7.21 oracle/wss11_kerberos_token_service_policy

表示名: Wss11 Kerberosトークン・サービス・ポリシー

カテゴリ: セキュリティ

説明

SOAPヘッダーからKerberosトークンを抽出して、ユーザーを認証します。このポリシーは、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。コンテナには、OPSSを介して構成されたKerberosインフラストラクチャが含まれている必要があります。このポリシーは、MITおよびActive Directory KDCと互換性があります。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_kerberos_token_with_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-24「wss11_kerberos_token_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「Kerberosログイン・モジュールの構成」で説明しているように、krb5.loginmoduleログイン・モジュールを構成します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。

17.8 セキュリティ・ポリシー - 認可のみ

表17-51は、事前定義済のOWSM認可のみセキュリティ・ポリシーの概要を示しています。

表17-51 事前定義済のOWSM認可のみポリシー

ポリシー名	説明
oracle/binding_authorization_denyall_policy	SOAPバインディング・レベルで認証されたサブジェクトに基づいた、簡単なロールベースの認可ポリシーを提供します。
oracle/binding_authorization_permitall_policy	SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロールベースの認可を行います。
oracle/binding_permission_authorization_policy	認証されたサブジェクトに基づいた、権限ベースの認可ポリシーを提供します。
oracle/component_authorization_denyall_policy	認証されたサブジェクトに基づいた、簡単なロールベースの認可ポリシーを提供します。
oracle/component_authorization_permitall_policy	認証されたサブジェクトに基づいた、簡単なロールベースの認可ポリシーを提供します。
oracle/component_permission_authorization_policy	認証されたサブジェクトに基づいた、権限ベースの認可ポリシーを提供します。
oracle/no_authorization_component_policy	SOAコンポーネントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認可ポリシーを上位スコープで効率よく無効化します。
oracle/no_authorization_service_policy	サービス・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認可ポリシーを上位スコープで効率よく無効化します。グローバルにアタッチされたポリシーに、認可アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効になります。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
oracle/whitelist_authorization_policy	次のいずれかの条件が該当する場合のみ、リクエストを受け取ります。認証されたトークンがSAML送信者保証の場合。ユーザーが特定のロールの場合(デフォルトは`trustedEnterpriseRole`であり、ユーザーを信頼できるエンティティとして確立しますリクエストがプライベート・ネットワークから届いている場合。

17.8.1 oracle/binding_authorization_denyall_policy

表示名: バインディング認可DenyAllポリシー

カテゴリ: セキュリティ

説明

SOAPバインディング・レベルで認証されたサブジェクトに基づいた、簡単なロールベースの認可ポリシーを提供します。このポリシーは、ロールを持つすべてのユーザーを拒否します。サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SOAPベースの任意のエンドポイントにアタッチできます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/binding_authorization_template

このアサーションはWSDLで通知されていません。

構成

このポリシーを構成する手順は次のとおりです。

表18-109「binding_authorization_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
- 1つ以上のWebLogic Serverエンタープライズ・ロールを指定する場合、認証されたサブジェクトにそのロールがすでに付与されている必要があります。Oracle WebLogic Server管理コンソール・オンライン・ヘルプで説明されているように、WebLogic Server管理コンソールを使用して、ロールをユーザーまたはグループに付与します。
- Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。

17.8.2 oracle/binding_authorization_permitall_policy

表示名: バインディング認可PermitAllポリシー

カテゴリ: セキュリティ

説明

SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロールベースの認可を行います。このポリシーは、ロールを持つすべてのユーザーを許可します。サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SOAPベースの任意のエンドポイントにアタッチできます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/binding_authorization_template

このアサーションはWSDLで通知されていません。

構成

このポリシーを構成する手順は次のとおりです。

表18-109「binding_authorization_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
- 1つ以上のWebLogic Serverエンタープライズ・ロールを指定する場合、認証されたサブジェクトにそのロールがすでに付与されている必要があります。Oracle WebLogic Server管理コンソール・オンライン・ヘルプで説明されているように、WebLogic Server管理コンソールを使用して、ロールをユーザーまたはグループに付与します。
- Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。

17.8.3 oracle/binding_permission_authorization_policy

表示名: バインディング権限ベース認可ポリシー

カテゴリ: セキュリティ

説明

認証されたサブジェクトに基づいた、権限ベースの認可ポリシーを提供します。このポリシーは、サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SOAPベースの任意のエンドポイントにアタッチできます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/binding_permission_authorization_template

このアサーションはWSDLで通知されていません。

構成

このポリシーを構成する手順は次のとおりです。

表18-111「binding_permission_authorization_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
- Fusion Middleware Controlを使用して、Webサービスに対する認証を試行するユーザー、グループまたはアプリケーションにWSFunctionPermission権限を付与します。
- オプションで、このポリシーのpermission_class構成プロパティを変更します。これは、JAAS標準に従って権限クラスを識別します。クラスは、サーバー・クラスパスに存在する必要があります。カスタムの権限クラスは、抽象的な権限クラスを拡張し、シリアライズ可能なインタフェースを実装する必要があります。http://docs.oracle.com/javase/7/docs/api/java/security/Permission.htmlにあるJavadocを参照してください。デフォルトは、oracle.wsm.security.WSFunctionPermissionです。
- Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。

17.8.4 oracle/component_authorization_denyall_policy

表示名: コンポーネント認可DenyAllポリシー

カテゴリ: セキュリティ

説明

認証されたサブジェクトに基づいた、簡単なロールベースの認可ポリシーを提供します。このポリシーは、ロールを持つすべてのユーザーを拒否します。サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SCAベースの任意のエンドポイントにアタッチできます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/component_authorization_template

このアサーションはWSDLで通知されていません。

構成

このポリシーを構成する手順は次のとおりです。

表18-113「component_authorization_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
- 1つ以上のWebLogic Serverエンタープライズ・ロールを指定する場合、認証されたサブジェクトにそのロールがすでに付与されている必要があります。Oracle WebLogic Server管理コンソール・オンライン・ヘルプで説明されているように、WebLogic Server管理コンソールを使用して、ロールをユーザーまたはグループに付与します。
- Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。

17.8.5 oracle/component_authorization_permitall_policy

表示名: コンポーネント認可PermitAllポリシー

カテゴリ: セキュリティ

説明

認証されたサブジェクトに基づいた、簡単なロールベースの認可ポリシーを提供します。このポリシーは、ロールを持つすべてのユーザーを許可します。サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SCAベースの任意のエンドポイントにアタッチできます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/component_authorization_template

このアサーションはWSDLで通知されていません。

構成

このポリシーを構成する手順は次のとおりです。

表18-113「component_authorization_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
- 1つ以上のWebLogic Serverエンタープライズ・ロールを指定する場合、認証されたサブジェクトにそのロールがすでに付与されている必要があります。Oracle WebLogic Server管理コンソール・オンライン・ヘルプで説明されているように、WebLogic Server管理コンソールを使用して、ロールをユーザーまたはグループに付与します。
- Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。

17.8.6 oracle/component_permission_authorization_policy

表示名: コンポーネント権限ベース認可ポリシー

カテゴリ: セキュリティ

説明

認証されたサブジェクトに基づいた、権限ベースの認可ポリシーを提供します。このポリシーは、サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SCAベースの任意のエンドポイントにアタッチできます。

このポリシーは、サブジェクトに操作を実行する権限があることを保証します。これを行うため、認可ポリシー・エグゼキュータはOPSSを利用し、認証されたサブジェクトに、パラメータとして「リソース・パターン」と「アクション・パターン」を使用してoracle.wsm.security.WSFunctionPermission(または「権限チェック・クラス」で指定された任意の権限クラス)が付与されているかどうかを確認します。「リソース・パターン」と「アクション・パターン」は、認可アサーションがこの特定のリクエストに対して実行されるかどうかを識別するために使用されます。認証されたサブジェクトにWSFunctionPermissionが付与されている場合、アクセスは許可されます。詳細は、「認可権限の決定」を参照してください。

WSFunctionPermission権限を、ユーザー、グループまたはアプリケーション・ロールに付与できます。WSFunctionPermissionをユーザーまたはグループに付与した場合、この権限は、ドメインにデプロイされているすべてのアプリケーションに適用されます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/component_permission_authorization_template

このアサーションはWSDLで通知されていません。

構成

このポリシーを構成する手順は次のとおりです。

表18-115「component_permission_authorization_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
- Fusion Middleware Controlを使用して、Webサービスに対する認証を試行するユーザー、グループまたはアプリケーションにWSFunctionPermission権限を付与します。
- Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。

17.8.7 oracle/no_authorization_component_policy

表示名: 動作認可コンポーネントなしポリシー

カテゴリ: セキュリティ

説明

SOAコンポーネントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認可ポリシーを上位スコープで効率よく無効化します。グローバルにアタッチされたポリシーに、認可アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効化されます。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-52は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-52 oracle/no_authorization_component_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.8.8 oracle/no_authorization_service_policy

表示名: 動作認可サービスなしポリシー

カテゴリ: セキュリティ

説明

サービス・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認可ポリシーを上位スコープで効率よく無効化します。グローバルにアタッチされたポリシーに、認可アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効になります。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-53は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-53 oracle/no_authorization_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.8.9 oracle/whitelist_authorization_policy

表示名: 制約ベース認可ポリシー

カテゴリ: セキュリティ

説明

このポリシーは、ロールベースの認可ポリシーの特殊なケースです。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。

次のいずれかの条件が該当する場合のみ、リクエストを受け取ります。

認証されたトークンがSAML送信者保証の場合。
ユーザーが特定のロールの場合(デフォルトはtrustedEnterpriseRoleであり、ユーザーを信頼できるエンティティとして確立します
リクエストがプライベート・ネットワークから届いている場合。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/binding_authorization_template

このアサーションはWSDLで通知されていません。

構成

このポリシーを構成する手順は次のとおりです。

whitelist_authorization_policyがアタッチされたサービスを正常に起動するには、次のいずれかの操作を実行する必要があります。
- サービスが認証でSAML送信者保証を受け入れる場合(たとえば、SAMLトークン・サービス・ポリシーがサービスにアタッチされている場合)、対応するSAMLトークン・クライアント・ポリシーをクライアントにアタッチする必要があります。
- サービスが認証でユーザー名/パスワードを受け入れる場合(たとえば、ユーザー名トークン・サービス・ポリシーがサービスにアタッチされている場合)、対応するユーザー名トークン・クライアント・ポリシーをクライアントにアタッチし、クライアントが、ポリシーで定義される信頼できるロールであることを確認する必要があります。(デフォルトでは、事前定義済ポリシーで定義されるロールはtrustedEnterpriseRoleです。事前定義済ポリシー内のこのロールを変更する必要があります。)
- サービスが、Oracle HTTP Serverを使用して起動され、プライベート内部ネットワークからのリクエストであることを示すよう構成されている場合(「リクエスト元を指定するためのOracle HTTP Serverの構成」を参照)、内部ネットワーク上のクライアントのみが、対応するユーザー名トークン・クライアント・ポリシーをクライアント側でアタッチする必要があります。
OPSSを設定する手順は次のとおりです。
- 1つ以上のWebLogic Serverエンタープライズ・ロールを指定する場合、認証されたサブジェクトにそのロールがすでに付与されている必要があります。Oracle WebLogic Server管理コンソール・オンライン・ヘルプで説明されているように、WebLogic Server管理コンソールを使用して、ロールをユーザーまたはグループに付与します。
- Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成する必要があります。
- 「制約パターン」プロパティ設定には、リクエストが内部ネットワークまたは外部ネットワークから発行されたかどうかを指定するrequestOriginフィールドが含まれています。このプロパティは、Oracle HTTP Serverを使用しており、Oracle HTTP Server管理者がカスタムのVIRTUAL_HOST_TYPEヘッダーをリクエストに追加した場合のみ有効です。Oracle HTTP Serverを構成するには、「リクエスト元を指定するためのOracle HTTP Serverの構成」を参照してください。

17.9 セキュリティ・ポリシー - メッセージ保護のみ

表17-54は、事前定義済のOWSMメッセージ保護のみセキュリティ・ポリシーの概要を示しています。

表17-54 事前定義済メッセージ保護のみセキュリティ・ポリシー

ポリシー名	説明
oracle/no_messageprotection_client_policy	クライアント・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたメッセージ保護ポリシーを上位スコープで効率よく無効化します。
oracle/no_messageprotection_service_policy	サービス・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたメッセージ保護ポリシーを上位スコープで効率よく無効化します。
oracle/wss10_message_protection_client_policy	WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性と機密保護)を行います。
oracle/wss10_message_protection_service_policy	WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性と機密保護)を実行します。
oracle/wss11_message_protection_client_policy	WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストのメッセージの整合性および機密保護を提供します。
oracle/wss11_message_protection_service_policy	WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージの整合性確保および機密保護を実行します。

17.9.1 oracle/no_messageprotection_client_policy

表示名: 動作メッセージ保護クライアントなしポリシー

カテゴリ: セキュリティ

説明

クライアント・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたメッセージ保護ポリシーを上位スコープで効率よく無効化します。グローバルにアタッチされたポリシーに、メッセージ保護アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効化されます。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-55は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-55 oracle/no_messageprotection_client_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.9.2 oracle/no_messageprotection_service_policy

表示名: 動作メッセージ保護サービスなしポリシー

カテゴリ: セキュリティ

説明

サービス・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたメッセージ保護ポリシーを上位スコープで効率よく無効化します。グローバルにアタッチされたポリシーに、メッセージ保護アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効化されます。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-56は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-56 oracle/no_messageprotection_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.9.3 oracle/wss10_message_protection_client_policy

表示名: Wss10メッセージ保護クライアント・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性と機密保護)を行います。

このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-27「wss10_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを構成するには、「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアおよびWebサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
WS-Security 1.0標準に準拠して、セキュリティ・ヘッダーに署名要素および暗号化要素を組み込むことができます。

例17-2は、セキュリティ・ヘッダーに組み込まれる署名の一般的な構造を示しています。この例では、SOAPメッセージの本体要素が署名されています。

例17-2 SOAPメッセージのWS-Security 1.0メッセージ整合性

<dsig:Signature xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
 <dsig:SignedInfo>
  <dsig:CanonicalizationMethod
    Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
  <dsig:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
  <dsig:Reference URI="#Timestamp-...">
     <dsig:Transforms>
       <dsig:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
     </dsig:Transforms>
     <dsig:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
     <dsig:DigestValue>...</dsig:DigestValue>
  </dsig:Reference>
  <dsig:Reference URI="#Body-...">
     <dsig:Transforms>
         <dsig:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
     </dsig:Transforms>
     <dsig:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
     <dsig:DigestValue>...</dsig:DigestValue>
  </dsig:Reference>
  <dsig:Reference URI="#KeyInfo-...">
   <dsig:Transforms>
     <dsig:Transform
Algorithm="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform">
       <TransformationParameters xmlns="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
       <CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" xmlns="http://www.w3.org/2000/09/xmldsig#"/>
       </TransformationParameters>
     </dsig:Transform>
   </dsig:Transforms>
   <dsig:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
   <dsig:DigestValue>...</dsig:DigestValue>
  </dsig:Reference>
 </dsig:SignedInfo>
 <dsig:SignatureValue>....</dsig:SignatureValue>
 <dsig:KeyInfo Id="KeyInfo-...">
     <wsse:SecurityTokenReference xmlns="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
      <wsse:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509SubjectKeyIdentifier"
EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary">
...</wsse:KeyIdentifier>
     </wsse:SecurityTokenReference>
 </dsig:KeyInfo>
</dsig:Signature>

例17-3に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。

例17-3 SOAPメッセージのWS-Security 1.0メッセージ機密保護

<env:Body xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="Body-JA9fsCRnqbFJ0ocBAMKb7g22">
 <xenc:EncryptedData xmlns:xenc="http://www.w3.org/2001/04/xmlenc#" Type="http://www.w3.org/2001/04/xmlenc#Content" Id="...">
  <xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc"/>
  <xenc:CipherData>
      <xenc:CipherValue>...</xenc:CipherValue>
  </xenc:CipherData>
 </xenc:EncryptedData>
</env:Body>

17.9.4 oracle/wss10_message_protection_service_policy

表示名: Wss10メッセージ保護サービス・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性と機密保護)を実行します。

メッセージは、WS-Securityの非対称鍵テクノロジのBasic 128スイートを使用して保護されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-28「wss10_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
- ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
- 「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
- (メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。また、メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、さらにCAルート証明書も格納する必要があります。
- 「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
- 「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。

17.9.5 oracle/wss11_message_protection_client_policy

表示名: Wss11メッセージ保護クライアント・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストのメッセージの整合性および機密保護を提供します。

このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。

対称鍵テクノロジは、データの暗号化と復号化に同じ共有鍵を使用する暗号化メソッドです。対称鍵は、メッセージへの署名に使用されます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-30「wss11_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアおよびWebサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.enc.csf.keyの値を指定します。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
このポリシーは対称鍵テクノロジを使用します。このテクノロジは、データの暗号化と復号化に同じ共有鍵を使用する暗号化メソッドです。対称鍵は、メッセージへの署名に使用されます。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

例17-4に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。

例17-4 SOAPメッセージのWS-Security 1.1メッセージ機密保護

<xenc:EncryptedKey xmlns:xenc="http://www.w3.org/2001/04/xmlenc#" Id="EK-...">
<xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p">
<dsig:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" xmlns:dsig="http://www.w3.org/2000/09/xmldsig#" />
</xenc:EncryptionMethod>
<dsig:KeyInfo xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
<wsse:SecurityTokenReference xmlns="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
<wsse:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#ThumbprintSHA1"
EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary">...</wsse:KeyIdentifier>
</wsse:SecurityTokenReference>
</dsig:KeyInfo>
<xenc:CipherData>
<xenc:CipherValue>...</xenc:CipherValue> 
</xenc:CipherData>
<xenc:ReferenceList>
<xenc:DataReference URI="#_..." /> 
</xenc:ReferenceList>
</xenc:EncryptedKey>
<env:Body xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="Body-...">
  <xenc:EncryptedData xmlns:xenc="http://www.w3.org/2001/04/xmlenc#" Type="http://www.w3.org/2001/04/xmlenc#Content" Id="...">
    <xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc" />
    <dsig:KeyInfo xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
      <wsse:SecurityTokenReference xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"
xmlns="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
         <wsse:Reference URI="#EK-..." ValueType="http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#EncryptedKey" />
      </wsse:SecurityTokenReference>
    </dsig:KeyInfo>
    <xenc:CipherData>
        <xenc:CipherValue>...</xenc:CipherValue>
    </xenc:CipherData>
  </xenc:EncryptedData>
</env:Body>

17.9.6 oracle/wss11_message_protection_service_policy

表示名: Wss11メッセージ保護サービス・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージの整合性確保および機密保護を実行します。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-31「wss11_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
- 「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
  
  (メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。また、メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、さらにCAルート証明書も格納する必要があります。
- 「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
- ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
- 「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.enc.csf.keyの値を指定します。

17.10 セキュリティ・ポリシー - メッセージ保護および認証

表17-57は、事前定義済のOWSMメッセージ保護および認証セキュリティ・ポリシーの概要を示しています。

表17-57 事前定義済のOWSMメッセージ保護および認証ポリシー

ポリシー名	説明
oracle/pii_security_policy	保護するPIIデータを暗号化します。
oracle/sts_trust_config_client_policy	トークン交換用のSTSの呼出しに使用されるSTSクライアント構成情報を指定します。
oracle/sts_trust_config_service_policy	トークン交換用のSTSの呼出しに使用されるSTS構成情報を指定します。
oracle/wss_saml_bearer_or_username_token_service_policy	クライアントがSAMLトークンとユーザー名トークンのどちらを使用するかに基づいて、それぞれ次の認証ポリシーのいずれかを実行します。 Bearer確認タイプを使用するWS-Security SOAPヘッダー内のSAMLトークン。構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。
oracle/wss_saml_or_username_token_service_policy	クライアントがSAMLトークンとユーザー名トークンのどちらを使用するかに基づいて、それぞれ次の認証ポリシーのいずれかを実行します。 sender-vouchesの確認タイプを使用したWS-Security SOAPヘッダー内のSAMLトークン。構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。
oracle/wss_saml_or_username_token_over_ssl_service_policy	メッセージ保護(整合性と機密保護)を実行し、クライアントがSAMLトークンとユーザー名トークンのどちらを使用するかに基づいて、それぞれ次の認証ポリシーのいずれかを実行します。 sender-vouchesの確認タイプを使用したWS-Security SOAPヘッダー内のSAMLトークン。構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。
oracle/wss_saml_token_bearer_client_policy	アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込みます。
oracle/wss_saml_token_bearer_over_ssl_client_policy	アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込みます。
oracle/wss_saml_token_bearer_over_ssl_service_policy	WS-Security SOAPヘッダーの、確認方式がBearerとなっているSAMLトークンに指定されている資格証明を使用して、ユーザーを認証します。
oracle/wss_http_token_over_ssl_client_policy	アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込み、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。
oracle/wss_http_token_over_ssl_service_policy	HTTPヘッダー内の資格証明を抽出して、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。
oracle/wss_saml_token_over_ssl_client_policy	確認タイプsender-vouchesを使用して、アウトバウンドWS-Security SOAPヘッダーに、SAMLトークンを組み込みます。
oracle/wss_saml_token_over_ssl_service_policy	確認タイプsender-vouchesを使用した、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証を実行し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
oracle/wss_saml20_token_bearer_over_ssl_client_policy	アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
oracle/wss_saml20_token_bearer_over_ssl_service_policy	WS-Security SOAPヘッダー内の、確認方式がBearerとなっているSAMLトークンに指定されている資格証明を使用してユーザーを認証し、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
oracle/wss_saml20_token_over_ssl_client_policy	確認タイプsender-vouchesを使用して、アウトバウンドWS-Security SOAPヘッダーにSAMLトークンを組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
oracle/wss_saml20_token_over_ssl_service_policy	確認タイプsender-vouchesを使用した、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証を実行し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policy	信頼できるSTSが発行したSAMLベアラー・アサーションを挿入します。
oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policy	信頼できるSTSが発行したSAMLベアラー・アサーションを認証します。
oracle/wss_username_token_over_ssl_client_policy	アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
oracle/wss_username_token_over_ssl_service_policy	WS-Security UsernameToken SOAPヘッダー内の資格証明を使用して、OPSS構成済アイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
oracle/wss_username_token_over_ssl_wssc_client_policy	アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
oracle/wss_username_token_over_ssl_wssc_service_policy	WS-Security UsernameToken SOAPヘッダー内の資格証明を使用して、OPSS構成済アイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
oracle/wss10_saml_hok_token_with_message_protection_client_policy	WS-Security 1.0標準に従い、アウトバウンドSOAPメッセージに対して、メッセージ保護(整合性と機密保護)およびSAML鍵所有者ベースの認証を実行します。
oracle/wss10_saml_hok_token_with_message_protection_service_policy	WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAML鍵所有者ベースの認証を実行します。
oracle/wss10_saml_token_with_message_integrity_client_policy	WS-Security 1.0標準に従い、アウトバウンドSOAPメッセージに対して、メッセージ・レベルの整合性およびSAMLベースの認証を実行します。
oracle/wss10_saml_token_with_message_integrity_service_policy	WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ・レベルの整合性の保護およびSAMLベースの認証を実行します。
oracle/wss10_saml_token_with_message_protection_client_policy	WS-Security 1.0標準に従い、アウトバウンドSOAPメッセージに対して、メッセージ・レベルの保護およびSAMLベースの認証を実行します。
oracle/wss10_saml_token_with_message_protection_service_policy	WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAMLベースの認証を実行します。
oracle/wss10_saml_token_with_message_protection_ski_basic256_client_policy	WS-Security 1.0標準に従い、アウトバウンドSOAPメッセージに対して、メッセージ・レベルの保護およびSAMLベースの認証を実行します。
oracle/wss10_saml_token_with_message_protection_ski_basic256_service_policy	WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAMLベースの認証を実行します。
oracle/wss10_saml20_token_with_message_protection_client_policy	WS-Security 1.0標準に従い、アウトバウンドSOAPメッセージに対して、メッセージ・レベルの保護およびSAMLベースの認証を実行します。
oracle/wss10_saml20_token_with_message_protection_service_policy	WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAMLベースの認証を実行します。
oracle/wss10_username_id_propagation_with_msg_protection_client_policy	WS-Security 1.0標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびアイデンティティ伝播を実行します。
oracle/wss10_username_id_propagation_with_msg_protection_service_policy	インバウンドSOAPリクエストに対して、WS-Security 1.0で記述されるメカニズムを使用して、メッセージ・レベルの保護(整合性と機密保護)およびアイデンティティ伝播を実行します。
oracle/wss10_username_token_with_message_protection_client_policy	WS-Security 1.0標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。
oracle/wss10_username_token_with_message_protection_service_policy	WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(メッセージの整合性と機密保護)および認証を実行します。
oracle/wss10_username_token_with_message_protection_ski_basic256_client_policy	WS-Security 1.0標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。
oracle/wss10_username_token_with_message_protection_ski_basic256_service_policy	WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(メッセージの整合性と機密保護)および認証を実行します。
oracle/wss10_x509_token_with_message_protection_client_policy	WS-Security 1.0標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および証明書資格証明の移入を実行します。
oracle/wss10_x509_token_with_message_protection_service_policy	WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および証明書ベースの認証を実行します。
oracle/wss11_kerberos_token_with_message_protection_client_policy	WS-SecurityヘッダーにKerberosトークンを組み込み、WS-Security Kerberos Token Profile v1.1標準に従い、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。
oracle/wss11_kerberos_token_with_message_protection_service_policy	WS-Security Kerberos Token Profile v1.1標準に従って実行されます。
oracle/wss11_kerberos_token_with_message_protection_basic128_client_policy	WS-SecurityヘッダーにKerberosトークンを組み込み、WS-Security Kerberos Token Profile v1.1標準に従い、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。
oracle/wss11_kerberos_token_with_message_protection_basic128_service_policy	WS-Security Kerberos Token Profile v1.1標準に従って実行されます。
oracle/wss11_saml_or_username_token_with_message_protection_service_policy	メッセージ保護(整合性と機密保護)を実行し、クライアントがSAML、ユーザー名またはHTTPトークンを使用するかどうかに基づいて、それぞれ次のいずれかの認証ポリシーを実行します。 WS-Security 1.1標準に従ったインバウンドSOAPリクエストのSAMLベースの認証。 WS-Security 1.1標準に従ったインバウンドSOAPリクエストのユーザー名トークン認証。 WS-Security SOAPヘッダーの、確認方法がBearerのSAMLトークンに含まれる資格証明を使用する、SAMLベースの認証。トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。 UsernameToken WS-Security SOAPヘッダーの資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーを認証する、ユーザー名トークン認証。トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。 HTTPヘッダーから抽出した資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーを認証する、HTTP認証。トランスポート・プロトコルがHTTPSであることを検証します。
oracle/wss11_saml_token_identity_switch_with_message_protection_client_policy	アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。
oracle/wss11_saml_token_with_message_protection_client_policy	アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。
oracle/wss11_saml_token_with_message_protection_client_policy	アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。
oracle/wss11_saml_token_with_message_protection_wssc_client_policy	アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。
oracle/wss11_saml_token_with_message_protection_wssc_reauthn_client_policy	アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。
oracle/wss11_saml_token_with_message_protection_wssc_reauthn_service_policy	アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。
oracle/wss11_saml20_token_with_message_protection_client_policy	アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。
oracle/wss11_saml20_token_with_message_protection_service_policy	WS-Security 1.1標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAMLベースの認証を実行します。
oracle/wss11_sts_issued_saml_hok_with_message_protection_client_policy	信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを挿入します。メッセージは、STSで提供される証明鍵マテリアルを使用して保護されます。
oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policy	信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを認証します。
oracle/wss11_username_token_with_message_protection_client_policy	WS-Security 1.1標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。このポリシーは、SOAPベースのすべてのクライアントにアタッチできます。
oracle/wss11_username_token_with_message_protection_service_policy	WS-Security 1.1標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。
oracle/wss11_username_token_with_message_protection_wssc_client_policy	WS-Security 1.1標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。
oracle/wss11_username_token_with_message_protection_wssc_service_policy	WS-Security 1.1標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。
oracle/wss11_x509_token_with_message_protection_client_policy	WS-Security 1.1標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および証明書ベースの認証を実行します。
oracle/wss11_x509_token_with_message_protection_service_policy	WS-Security 1.1標準に従い、インバウンドSOAPリクエストに対して、メッセージ・レベルの保護および証明書ベースの認証を実行します。
oracle/wss11_x509_token_with_message_protection_wssc_client_policy	WS-Security 1.1標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および証明書ベースの認証を実行します。
oracle/wss11_x509_token_with_message_protection_wssc_service_policy	WS-Security 1.1標準に従い、インバウンドSOAPリクエストに対して、メッセージ・レベルの保護および証明書ベースの認証を実行します。

17.10.1 oracle/pii_security_policy

表示名: PIIセキュリティ・ポリシー

カテゴリ: セキュリティ

説明

保護する個人を特定できる情報(PII)データを暗号化します。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/pii_security_template

このアサーションはWSDLで通知されていません。

構成

表18-93「pii_security_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。

17.10.2 oracle/sts_trust_config_client_policy

表示名: STS信頼構成クライアント・ポリシー

カテゴリ: セキュリティ

説明

トークン交換用のSTSの呼出しに使用されるSTSクライアント構成情報を指定します。

このポリシーを使用するのは、「STSの自動ポリシー構成の設定」で説明されている自動(クライアントSTS)ポリシー構成を使用していない場合のみです。

oracle/sts_trust_config_client_policyの複数のインスタンスをアタッチした場合に、エラーは生成されません。しかし、実行されるのは1つのインスタンスのみであり、それをどのインスタンスにするかを制御できません。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/sts_trust_config_client_template

このアサーションは通知されていません。

構成

このポリシーを構成する手順は次のとおりです。

表18-96「oracle/sts_trust_config_client_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「STSの自動ポリシー構成の設定」で説明されているように、WebサービスからSTS構成ポリシーを構成します。
ただし、WebサービスからSTS構成ポリシーを構成しなかった場合、またはSAML送信者保証による確認方法を使用している場合は、Webサービス・クライアントからSTS構成ポリシーを構成する必要があります。詳細は、「Webサービス・クライアントからのSTS構成ポリシーの手動による構成: メイン手順」を参照してください。

設計時の考慮事項

例17-5および例17-6に示すように、設計時に、oracle/sts_trust_config_client_policyポリシーをプログラムによって設定し、アタッチできます。

例17-5 JSEプロキシ・クライアントのサンプル

URL endpointUrl = new URL(getWebConnectionString() + "/jaxws-test-service/jaxws-test-port");
 
ServiceDelegateImpl client = new ServiceDelegateImpl(
    new  URL(endpointUrl.toString() + "?WSDL"),
    new QName("http://jaxws.example.com/targetNamespace/JaxwsService", "JaxwsService"),
    OracleService.class);
 
JaxwsService port = client.getPort(
    new  QName("http://jaxws.example.com/targetNamespace/JaxwsService", "JaxwsServicePort"),
    test.jaxws.client.JaxwsService.class);
 
((BindingProvider)port).getRequestContext().put(BindingProvider.ENDPOINT_ADDRESS_PROPERTY,endpointUrl.toExternalForm());
((BindingProvider)port).getRequestContext().put(ClientConstants.CLIENT_CONFIG,
    fileToElement(new File("./jaxws/client/dat/oracle-webservice-client.xml")));

例17-6は、STS構成ポリシーおよびSTS発行ポリシーに関連するoracle-webservice-client.xmlファイルを示しています。

例17-6 oracle-webservice-client.xmlのサンプル

<?xml version="1.0" encoding="UTF-8"?>
<oracle-webservice-clients>
    <webservice-client>
        <port-info>
            <policy-references>
                <policy-reference uri="oracle/sts_trust_config_client_policy" category="security"/>
                <policy-reference uri="oracle/wss11_sts_issue_saml_hok_with_message_protection_client_policy " category="security"/>
             </policy-references>
        </port-info>
    </webservice-client>
</oracle-webservice-clients>

17.10.3 oracle/sts_trust_config_service_policy

表示名: STS信頼構成サービス・ポリシー

カテゴリ: セキュリティ

説明

トークン交換用のSTSの呼出しに使用されるSTS構成情報を指定します。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/sts_trust_config_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-98「oracle/sts_trust_config_service_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「STSの自動ポリシー構成の設定」で説明されているように、Webサービスを設定します。

17.10.4 oracle/wss_saml_bearer_or_username_token_service_policy

表示名: WSSecurity SAMLトークンBearer/WSSecurityユーザー名トークン

カテゴリ: セキュリティ

説明

クライアントがSAMLトークンとユーザー名トークンのどちらを使用するかに基づいて、それぞれ次の認証ポリシーのいずれかを実行します。

Bearer確認タイプを使用するWS-Security SOAPヘッダー内のSAMLトークン。
構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。

アサーション(ORグループ)

このポリシーには、次のアサーションがORグループとして含まれます。つまり、クライアントはどちらのタイプのポリシーでも実行できます。

アサーションはWSDLで通知されています。

17.10.5 oracle/wss_saml_or_username_token_service_policy

表示名: Wss SAMLトークン/Wssユーザー名トークン・サービス・ポリシー

カテゴリ: セキュリティ

説明

クライアントがSAMLトークンとユーザー名トークンのどちらを使用するかに基づいて、それぞれ次の認証ポリシーのいずれかを実行します。

sender-vouchesの確認タイプを使用したWS-Security SOAPヘッダー内のSAMLトークン。
構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。

アサーション(ORグループ)

アサーションはWSDLで通知されています。

構成

このポリシーの構成については、次のポリシーの説明を参照してください。

「oracle/wss10_saml_token_service_policy」
「oracle/wss_username_token_service_policy」

17.10.6 oracle/wss_saml_or_username_token_over_ssl_service_policy

表示名: Wss SAML Token/Wss Username Token Over SSLサービス・ポリシー

カテゴリ: セキュリティ

説明

メッセージ保護(整合性と機密保護)を実行し、クライアントがSAMLトークンとユーザー名トークンのどちらを使用するかに基づいて、それぞれ次の認証ポリシーのいずれかを実行します。

sender-vouchesの確認タイプを使用したWS-Security SOAPヘッダー内のSAMLトークン。
構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。

アサーション(ORグループ)

アサーションはWSDLで通知されています。

構成

このポリシーの構成については、次のポリシーの説明を参照してください。

「oracle/wss_saml_token_over_ssl_service_policy」
「oracle/wss_username_token_over_ssl_service_policy」

17.10.7 oracle/wss_saml_token_bearer_client_policy

Display Name: Wss SAMLトークン(Bearer確認方式)クライアント・ポリシー

カテゴリ: セキュリティ

説明

アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込みます。確認方法がBearerのSAMLトークンが自動的に作成されます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_saml_token_bearer_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-41「wss_saml_token_bearer_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、クライアント側でSAMLを構成します。

17.10.8 oracle/wss_saml_token_bearer_over_ssl_client_policy

表示名: Wss SAML Token Over SSL (Bearer確認方式)クライアント・ポリシー

カテゴリ: セキュリティ

説明

アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込みます。確認方法がBearerのSAMLトークンが自動的に作成されます。また、このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることも検証します。このポリシーは、SOAPベースのすべてのクライアントにアタッチできます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_saml_token_bearer_over_ssl_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-41「wss_saml_token_bearer_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、クライアント側でSAMLを構成します。

17.10.9 oracle/wss_saml_token_bearer_over_ssl_service_policy

表示名: Wss SAML Token Over SSL (Bearer確認方式)サービス・ポリシー

カテゴリ: セキュリティ

説明

WS-Security SOAPヘッダーの、確認方式がBearerとなっているSAMLトークンに指定されている資格証明を使用して、ユーザーを認証します。SAMLトークンの資格証明は、SAMLログイン・モジュールに対して認証されます。このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。このポリシーは、SOAPベースのエンドポイントで実行できます。

SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_saml_token_bearer_over_ssl_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-42「wss_saml_token_bearer_over_ssl_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
saml.loginmoduleログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
「SAMLの構成」で説明されているように、SAMLを構成してOPSSを設定します。

17.10.10 oracle/wss_http_token_over_ssl_client_policy

表示名: Wss HTTP Token Over SSLクライアント・ポリシー

カテゴリ: セキュリティ

説明

アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込み、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。クライアントは、HTTPヘッダーに資格証明を渡す必要があります。

HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのクライアントで実行できます。

注意:

現在サポートされているのはHTTP Basic認証のみです。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_http_token_over_ssl_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-34「wss_http_token_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「Webサービス・クライアントに関するSSLの構成」で説明されているように、一方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法については、「資格証明ストアへの鍵およびユーザー資格証明の追加」を参照してください。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
クライアントは、HTTPヘッダーに資格証明を渡す必要があります。

17.10.11 oracle/wss_http_token_over_ssl_service_policy

表示名: Wss HTTP Token Over SSLサービス・ポリシー

カテゴリ: セキュリティ

説明

HTTPヘッダー内の資格証明を抽出して、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのエンドポイントで実行できます。

注意:

このポリシーの機能は、oracle/http_basic_auth_over_ssl_service_policyに似ています。唯一の相違は、oracle/wss_http_token_over_ssl_service_policyでは、require-tls要素内のinclude-timestamp属性を有効化して、リプレイ攻撃を防止できることです。これは、RESTfulサービスには適用されません。require-tls要素の詳細は、「orasp:require-tls」を参照してください。

現在サポートされているのはHTTP Basic認証のみです。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_http_token_over_ssl_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-35「wss_http_token_over_ssl_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「Webサービス・クライアントに関するSSLの構成」で説明されているように、一方向SSLを構成します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。

17.10.12 oracle/wss_saml_token_over_ssl_client_policy

表示名: Wss SAML Token Over SSLクライアント・ポリシー

カテゴリ: セキュリティ

説明

確認タイプsender-vouchesを使用して、アウトバウンドWS-Security SOAPヘッダーに、SAMLトークンを組み込みます。このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。このポリシーは、SOAPベースのクライアントで実行できます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_saml_token_over_ssl_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-47「wss_saml_token_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、クライアント側でSAMLを構成します。

17.10.13 oracle/wss_saml_token_over_ssl_service_policy

表示名: Wss SAML Token Over SSLサービス・ポリシー

カテゴリ: セキュリティ

説明

確認タイプsender-vouchesを使用した、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証を実行し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。SAMLトークンは、構成済のアイデンティティ・ストアのユーザーにマッピングされます。このポリシーは、SOAPベースのエンドポイントで実行できます。

SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_saml_token_over_ssl_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-48「wss_saml_token_over_ssl_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。
「SAMLの構成」で説明されているように、SAMLを構成してOPSSを設定します。

17.10.14 oracle/wss_saml20_token_bearer_over_ssl_client_policy

表示名: Wss SAML V2.0 Token Over SSL (Bearer確認方式)クライアント・ポリシー

カテゴリ: セキュリティ

説明

アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。確認方法がBearerのSAMLトークンが自動的に作成されます。このポリシーは、SOAPベースのすべてのクライアントにアタッチできます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_saml20_token_bearer_over_ssl_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-44「wss_saml20_token_bearer_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「構成」ページでpropagate.identity.contextの値を指定するか、ポリシーをアタッチするときに「セキュリティ構成の詳細」コントロールを使用して、クライアントごとにこの値をオーバーライドします。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、クライアント側でSAMLを構成します。

17.10.15 oracle/wss_saml20_token_bearer_over_ssl_service_policy

表示名: Wss SAML V2.0 Token Over SSL (Bearer確認方式)サービス・ポリシー

カテゴリ: セキュリティ

説明

WS-Security SOAPヘッダー内の、確認方式がBearerとなっているSAMLトークンに指定されている資格証明を使用してユーザーを認証し、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。SAMLトークンの資格証明は、SAMLログイン・モジュールに対して認証されます。このポリシーは、SOAPベースのエンドポイントで実行できます。

SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_saml20_token_bearer_over_ssl_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-45「wss_saml20_token_bearer_over_ssl_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml2.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。
「SAMLの構成」で説明されているように、SAMLを構成してOPSSを設定します。

17.10.16 oracle/wss_saml20_token_over_ssl_client_policy

表示名: Wss SAML V2.0 Token Over SSLクライアント・ポリシー

カテゴリ: セキュリティ

説明

確認タイプsender-vouchesを使用して、アウトバウンドWS-Security SOAPヘッダーにSAMLトークンを組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。このポリシーは、SOAPベースのクライアントで実行できます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_saml20_token_over_ssl_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-50「wss_saml20_token_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、クライアント側でSAMLを構成します。

17.10.17 oracle/wss_saml20_token_over_ssl_service_policy

表示名: Wss SAML V2.0 Token Over SSLサービス・ポリシー

カテゴリ: セキュリティ

説明

SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_saml20_token_over_ssl_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-45「wss_saml20_token_bearer_over_ssl_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml2.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。
「SAMLの構成」で説明されているように、SAMLを構成してOPSSを設定します。

17.10.18 oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policy

表示名: Wss Issued Token Over SSL (Saml Bearer方式)クライアント・ポリシー

カテゴリ: セキュリティ

説明

信頼できるSTSが発行したSAMLベアラー・アサーションを挿入します。メッセージは、SSLを使用して保護されます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-100「oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。STS構成設定のオーバーライドの例は、「WS-Trustクライアント・ポリシーのプログラムによるポリシー構成オーバーライド」を参照してください。
「自動ポリシー構成の設定: メイン手順」で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、クライアント側でSAMLを構成します。

17.10.19 oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policy

表示名: Wss Issued Token Over SSL (Saml Bearer方式)サービス・ポリシー

カテゴリ: セキュリティ

説明

信頼できるSTSが発行したSAMLベアラー・アサーションを認証します。メッセージは、SSLを使用して保護されます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_template

このアサーションはWSDLで通知されています。

このアサーションの詳細は、「WS-Trustアサーション・テンプレート」を参照してください。

構成

このポリシーを構成する手順は次のとおりです。

表18-101「oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。STS構成設定のオーバーライドの例は、「WS-Trustクライアント・ポリシーのプログラムによるポリシー構成オーバーライド」を参照してください。
「自動ポリシー構成の設定: メイン手順」で説明されているように、Webサービスを設定します。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。

17.10.20 oracle/wss_username_token_over_ssl_client_policy

表示名: Wss Username Token Over SSLクライアント・ポリシー

カテゴリ: セキュリティ

説明

アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。このポリシーは、SOAPベースのすべてのクライアントにアタッチできます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_username_token_over_ssl_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-53「wss_username_token_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「設定」ページでパスワード・タイプを「なし」に指定した場合、キーにパスワードを含める必要はありません。
「ポリシー構成プロパティのオーバーライド」で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法については、「資格証明ストアへの鍵およびユーザー資格証明の追加」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
SOAPリクエスト・メッセージにWS-Security UsernameToken要素(<wsse:UsernameToken/>)を組み込みます。また、クライアントは、認証用にユーザー名とパスワードを提供します。

17.10.21 oracle/wss_username_token_over_ssl_service_policy

表示名: Wss Username Token Over SSLサービス・ポリシー

カテゴリ: セキュリティ

説明

WS-Security UsernameToken SOAPヘッダー内の資格証明を使用して、OPSS構成済アイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_username_token_over_ssl_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-54「wss_username_token_over_ssl_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
ユーザー名とパスワードが存在し、有効になっている必要があります。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。

17.10.22 oracle/wss_username_token_over_ssl_wssc_client_policy

表示名: Wss Username Token Over SSL (セキュア通信有効)クライアント・ポリシー

カテゴリ: セキュリティ

説明

このポリシーでは、セキュア通信が有効になります。詳細は、第12章「セキュア通信の構成」を参照してください。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_username_token_over_ssl_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-53「wss_username_token_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
第12章「セキュア通信の構成」で説明されているように、セキュア通信を構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法については、「資格証明ストアへの鍵およびユーザー資格証明の追加」を参照してください。
「設定」ページでパスワード・タイプを「なし」に指定した場合、キーにパスワードを含める必要はありません。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
SOAPリクエスト・メッセージにWS-Security UsernameToken要素(<wsse:UsernameToken/>)を組み込みます。また、クライアントは、認証用にユーザー名とパスワードを提供します。

17.10.23 oracle/wss_username_token_over_ssl_wssc_service_policy

表示名: Wss Username Token Over SSL (セキュア通信有効)サービス・ポリシー

カテゴリ: セキュリティ

説明

このポリシーでは、セキュア通信が有効になります。詳細は、第12章「セキュア通信の構成」を参照してください。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss_username_token_over_ssl_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-54「wss_username_token_over_ssl_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
ユーザー名とパスワードが存在し、有効になっている必要があります。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。

17.10.24 oracle/wss10_saml_hok_token_with_message_protection_client_policy

表示名: Wss10 SAML Holder-Of-Keyトークン(メッセージ保護付き)クライアント・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.0標準に従い、アウトバウンドSOAPメッセージに対して、メッセージ保護(整合性と機密保護)およびSAML鍵所有者ベースの認証を実行します。SOAPメッセージに含まれているSAMLトークンは、鍵所有者確認を使用したSAMLベースの認証で使用されます。

ポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_saml_hok_token_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-56「wss10_saml_hok_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「SAMLアサーション発行者名の追加」を参照してください。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、鍵所有者アサーションが含まれるファイルを指すようにsaml.assertion.filenameプロパティをオーバーライドします。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
鍵所有者アサーションを含むファイルを指し示すように、saml.assertion.filenameプロパティをオーバーライドします。詳細は、「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」を参照してください。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、設計時にWebサービス・クライアントにSAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

例17-2に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。

17.10.25 oracle/wss10_saml_hok_token_with_message_protection_service_policy

表示名: Wss10 SAML Holder-Of-Keyトークン(メッセージ保護付き)サービス・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAML鍵所有者ベースの認証を実行します。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_saml_hok_token_with_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-57「wss10_saml_hok_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
saml.loginmoduleログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。

「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。

注意:

キーストアに期限切れの証明書が存在する場合は、この証明書が参照されているかどうかに関係なく、CertificateExpiredExceptionが返されます。この例外を解決するには、期限切れの証明書をキーストアから削除します。

「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
OPSSを設定する手順は次のとおりです。
- 「SAMLの構成」で説明されているように、SAMLを構成します。
- ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
- SAML認証局の信頼できる証明書をキーストアに格納します。
- (メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
- 「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
- 「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。

17.10.26 oracle/wss10_saml_token_with_message_integrity_client_policy

表示名: Wss10 SAMLトークン(メッセージ整合性付き)クライアント・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.0標準に従い、アウトバウンドSOAPメッセージに対して、メッセージ・レベルの整合性およびSAMLベースの認証を実行します。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用されます。

このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートと、メッセージ整合性のためにSHA-1ハッシュ・アルゴリズムが使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_saml_token_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-59「wss10_saml_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、user.roles.includeの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「SAMLの構成」で説明されているように、SAMLを構成します。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、設計時にクライアントをSAML用に構成します。
アウトバウンドSOAPメッセージに、SAMLトークンを挿入するWS-Securityヘッダー要素(<saml:Assertion>)を組み込みます。確認タイプは、常にsender-vouchesです。

17.10.27 oracle/wss10_saml_token_with_message_integrity_service_policy

表示名: Wss10 SAMLトークン(メッセージ整合性付き)サービス・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ・レベルの整合性の保護およびSAMLベースの認証を実行します。WS-Securityバイナリ・セキュリティ・トークンまたは現在のJava Authentication and Authorization Service (JAAS)サブジェクトからSAMLトークンを抽出し、その資格証明を使用して、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーを検証します。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_saml_token_with_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-60「wss10_saml_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.keyおよびkeystore.enc.csf.keyをオーバーライドします。
「SAMLの構成」で説明されているように、SAMLを構成します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
saml.loginmoduleログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。

17.10.28 oracle/wss10_saml_token_with_message_protection_client_policy

表示名: Wss10 SAMLトークン(メッセージ保護付き)クライアント・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.0標準に従い、アウトバウンドSOAPメッセージに対して、メッセージ・レベルの保護およびSAMLベースの認証を実行します。Webサービス・コンシューマによって、SOAPヘッダーにSAMLトークンが組み込まれ、確認タイプはsender-vouchesです。

リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_saml_token_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-59「wss10_saml_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、user.roles.includeの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「SAMLの構成」で説明されているように、SAMLを構成します。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、設計時にクライアントをSAML用に構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

17.10.29 oracle/wss10_saml_token_with_message_protection_service_policy

表示名:Wss10 SAMLトークン(メッセージ保護付き)サービス・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAMLベースの認証を実行します。Webサービス・コンシューマによって、SOAPヘッダーにSAMLトークンが組み込まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_saml_token_with_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-60「wss10_saml_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
saml.loginmoduleログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
OPSSを設定する手順は次のとおりです。
- 「SAMLの構成」で説明されているように、SAMLを構成します。
- ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
- SAML認証局の信頼できる証明書をキーストアに格納します。
- (メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
- 「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
- 「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。

17.10.30 oracle/wss10_saml_token_with_message_protection_ski_basic256_client_policy

表示名: Wss10 SAMLトークン(メッセージ保護SKI Basic 256付き)クライアント・ポリシー

カテゴリ: セキュリティ

説明

ポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 256スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-256ビット暗号化も使用されます。このポリシーは、リクエストの暗号化鍵、およびレスポンスの署名と暗号化鍵の両方に、サブジェクト・キー識別子(SKI)の参照メカニズムを使用します。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_saml_token_with_message_protection_client_template

このアサーションは通知されています。

注意:

一部の国の輸入制限により、JDK 5.0ソフトウェアとともに配布されるJurisdiction Policy Filesには、使用可能な暗号化強度において制限が組み込まれています。

デフォルトでは、Basic192以上のアルゴリズムを使用するポリシーは、バンドルされたJRE/JDKでは動作しません。これらのアルゴリズムを使用するには、http://www.oracle.com/technetwork/java/javase/downloads/index-jdk5-jsp-142662.htmlからJCE Extension jar (Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 5.0)をダウンロードする必要があります。

これらのポリシー・ファイルを使用するには、$JAVA_HOME/jre/lib/security内の次のJARファイルを、対応するJCE ExtensionのJARに置き換える必要があります。

US_export_policy.jar
local_policy.jar

JARファイルを置き換える前に、既存のJARファイルをバックアップする必要があります。

構成

このポリシーを構成する手順は次のとおりです。

表18-59「wss10_saml_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「SAMLの構成」で説明されているように、SAMLを構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、user.roles.includeの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

17.10.31 oracle/wss10_saml_token_with_message_protection_ski_basic256_service_policy

表示名: Wss10 SAMLトークン(メッセージ保護SKI Basic 256付き)サービス・ポリシー

カテゴリ: セキュリティ

説明

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_saml_token_with_message_protection_service_template

このアサーションはWSDLで通知されています。

注意:

これらのポリシー・ファイルを使用するには、$JAVA_HOME/jre/lib/security内の次のJARファイルを、対応するJCE ExtensionのJARに置き換える必要があります。

US_export_policy.jar
local_policy.jar

JARファイルを置き換える前に、既存のJARファイルをバックアップする必要があります。

構成

このポリシーを構成する手順は次のとおりです。

表18-60「wss10_saml_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
saml.loginmoduleログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.keyおよびkeystore.enc.csf.keyをオーバーライドします。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
OPSSを設定する手順は次のとおりです。
- 「SAMLの構成」で説明されているように、SAMLを構成します。
- ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
- このポリシーでは、キーストアを設定する必要があります。ski参照メカニズムを使用するときは、OpenSSLなどのユーティリティを使用して証明書を作成します。
- (メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
- 「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。

17.10.32 oracle/wss10_saml20_token_with_message_protection_client_policy

表示名: Wss10 SAML V2.0トークン(メッセージ保護付き)クライアント・ポリシー

カテゴリ: セキュリティ

説明

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_saml20_token_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-62「wss10_saml20_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、user.roles.includeの値を指定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、SAMLを構成します。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。

17.10.33 oracle/wss10_saml20_token_with_message_protection_service_policy

表示名: Wss10 SAML V2.0トークン(メッセージ保護付き)サービス・ポリシー

カテゴリ: セキュリティ

説明

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_saml20_token_with_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-63「wss10_saml20_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
saml2.loginmoduleログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.keyおよびkeystore.enc.csf.keyをオーバーライドします。
OPSSを設定する手順は次のとおりです。
- 「SAMLの構成」で説明されているように、SAMLを構成します。
- ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
- このポリシーでは、キーストアを設定する必要があります。ski参照メカニズムを使用するときは、OpenSSLなどのユーティリティを使用して証明書を作成します。
- (メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
- 「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。

17.10.34 oracle/wss10_username_id_propagation_with_msg_protection_client_policy

表示名: Wss10ユーザー名ID伝播(メッセージ保護付き)クライアント・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.0標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびアイデンティティ伝播を実行します。資格証明(ユーザー名のみ)は、WS-Security UsernameTokenヘッダーを介して、アウトバウンドSOAPリクエスト・メッセージに含まれます。パスワードは含まれません。このポリシーは、SOAPベースのクライアントで実行できます。

メッセージ保護は、WS-Securityの非対称鍵テクノロジのBasic128スイートを使用して行われます。具体的には、機密保護にはRSA鍵メカニズム、整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_username_token_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-65「wss10_username_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
SOAPリクエスト・メッセージにWS-Security UsernameToken要素(<wsse:UsernameToken/>)を組み込みます。また、クライアントは、認証用にユーザー名とパスワードを提供します。

17.10.35 oracle/wss10_username_id_propagation_with_msg_protection_service_policy

表示名: Wss10ユーザー名ID伝播(メッセージ保護付き)サービス・ポリシー

カテゴリ: セキュリティ

説明

インバウンドSOAPリクエストに対して、WS-Security 1.0で記述されるメカニズムを使用して、メッセージ・レベルの保護(整合性と機密保護)およびアイデンティティ伝播を実行します。このポリシーは、SOAPベースのエンドポイントで実行できます。

メッセージ保護は、WS-Security 1.0の非対称鍵テクノロジのBasic128スイートを使用して行われます。具体的には、機密保護にはRSA鍵メカニズム、整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_username_token_with_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-66「wss10_username_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
OPSSを設定する手順は次のとおりです。
- ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
- 「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
- (メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
- 「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
- 「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.keyおよびkeystore.enc.csf.keyをオーバーライドします。

17.10.36 oracle/wss10_username_token_with_message_protection_client_policy

表示名: Wss10ユーザー名トークン(メッセージ保護付き)クライアント・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.0標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。このポリシーは、SOAPベースのすべてのクライアントにアタッチできます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_username_token_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-65「wss10_username_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアへの鍵およびユーザー資格証明の追加」を参照してください。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.keyおよびkeystore.enc.csf.keyをオーバーライドします。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

17.10.37 oracle/wss10_username_token_with_message_protection_service_policy

表示名: Wss10ユーザー名トークン(メッセージ保護付き)サービス・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(メッセージの整合性と機密保護)および認証を実行します。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_username_token_with_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-66「wss10_username_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
OPSSを設定する手順は次のとおりです。
- ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
- 「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
- (メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
- 「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
- 「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.keyおよびkeystore.enc.csf.keyをオーバーライドします。

17.10.38 oracle/wss10_username_token_with_message_protection_ski_basic256_client_policy

表示名: Wss10ユーザー名トークン(メッセージ保護SKI Basic 256付き)クライアント・ポリシー

カテゴリ: セキュリティ

説明

このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 256スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-256ビット暗号化も使用されます。このポリシーは、リクエストの暗号化鍵、およびレスポンスの署名と暗号化鍵の両方に、サブジェクト・キー識別子(SKI)の参照メカニズムを使用します。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_username_token_with_message_protection_client_template

このアサーションは通知されています。

注意:

これらのポリシー・ファイルを使用するには、$JAVA_HOME/jre/lib/security内の次のJARファイルを、対応するJCE ExtensionのJARに置き換える必要があります。

US_export_policy.jar
local_policy.jar

JARファイルを置き換える前に、既存のJARファイルをバックアップする必要があります。

構成

このポリシーを構成する手順は次のとおりです。

表18-65「wss10_username_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアへの鍵およびユーザー資格証明の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

17.10.39 oracle/wss10_username_token_with_message_protection_ski_basic256_service_policy

表示名: Wss10ユーザー名トークン(メッセージ保護SKI Basic 256付き)サービス・ポリシー

カテゴリ: セキュリティ

説明

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_username_token_with_message_protection_service_template

このアサーションはWSDLで通知されています。

注意:

これらのポリシー・ファイルを使用するには、$JAVA_HOME/jre/lib/security内の次のJARファイルを、対応するJCE ExtensionのJARに置き換える必要があります。

US_export_policy.jar
local_policy.jar

JARファイルを置き換える前に、既存のJARファイルをバックアップする必要があります。

構成

このポリシーを構成する手順は次のとおりです。

表18-66「wss10_username_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
OPSSを設定する手順は次のとおりです。
- ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
- キーストアを設定します。ski参照メカニズムを使用するときは、OpenSSLなどのユーティリティを使用して証明書を作成します。
- (メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
- 「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
- 「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.keyおよびkeystore.enc.csf.keyをオーバーライドします。

17.10.40 oracle/wss10_x509_token_with_message_protection_client_policy

表示名: Wss10 X509トークン(メッセージ保護付き)クライアント・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.0標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および証明書資格証明の移入を実行します。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_x509_token_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-68「wss10_x509_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
WS-Securityバイナリ・セキュリティ・トークンを介してSOAPメッセージに有効なX.509認証資格証明を提供します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

17.10.41 oracle/wss10_x509_token_with_message_protection_service_policy

表示名: Wss10 X509トークン(メッセージ保護付き)サービス・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および証明書ベースの認証を実行します。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss10_x509_token_with_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-68「wss10_x509_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを構成します。
OPSSを設定する手順は次のとおりです。
- ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
- 「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
- (メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
- 「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
- 「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.keyおよびkeystore.enc.csf.keyをオーバーライドします。

17.10.42 oracle/wss11_kerberos_token_with_message_protection_client_policy

表示名: Wss11 Kerberosトークン(メッセージ保護付き)クライアント・ポリシー

カテゴリ: セキュリティ

説明

WS-SecurityヘッダーにKerberosトークンを組み込み、WS-Security Kerberos Token Profile v1.1標準に従い、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。

このポリシーは、SOAPベースのクライアントで実行できます。

このポリシーは、MIT Kerberos KDCおよび新しいバージョンのActive Directory KDCと互換性があります。このポリシーは、2008より前のバージョンのActive Directoryとは互換性がありません。これらのActive Directoryでは、トリプルDES暗号化が使用されるためです。このような前のバージョンの場合は、「oracle/wss11_kerberos_token_with_message_protection_basic128_client_policy」を使用してください。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_kerberos_token_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-71「wss11_kerberos_token_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「Kerberosトークンの構成」で説明されているように、Kerberosトークンを構成します。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

17.10.43 oracle/wss11_kerberos_token_with_message_protection_service_policy

表示名: Wss11 Kerberosトークン(メッセージ保護付き)サービス・ポリシー

カテゴリ: セキュリティ

説明

WS-Security Kerberos Token Profile v1.1標準に従って実行されます。このポリシーは、SOAPヘッダーからKerberosトークンを抽出してユーザーを認証し、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。コンテナには、Oracle Platform Security Servicesを介して構成されたKerberosインフラストラクチャが含まれている必要があります。

このポリシーは、SOAPベースのエンドポイントで実行できます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_kerberos_token_with_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-71「wss11_kerberos_token_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
krb5.loginmoduleログイン・モジュールを構成します。「Kerberosログイン・モジュールの構成」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
OPSSを設定する手順は次のとおりです。
- ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
- 「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
- (メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
- 「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
- 「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
- 「Kerberosトークンの構成」で説明されているように、Kerberosを構成します。

17.10.44 oracle/wss11_kerberos_token_with_message_protection_basic128_client_policy

表示名: Wss11 Kerberosトークン(メッセージ保護Basic 128付き)クライアント・ポリシー

カテゴリ: セキュリティ

説明

WS-SecurityヘッダーにKerberosトークンを組み込み、WS-Security Kerberos Token Profile v1.1標準に従い、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。このポリシーは、Active Directory KDCと互換性があります。このポリシーは、SOAPベースのクライアントで実行できます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_kerberos_token_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-74「wss11_kerberos_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「Kerberosトークンの構成」で説明されているように、Kerberosトークンを構成します。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

例17-3に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。

17.10.45 oracle/wss11_kerberos_token_with_message_protection_basic128_service_policy

表示名: Wss11 Kerberosトークン(メッセージ保護Basic 128付き)サービス・ポリシー

カテゴリ: セキュリティ

説明

WS-Security Kerberos Token Profile v1.1標準に従って実行されます。このポリシーは、Active Directory KDCと互換性があります。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。

このポリシーは、SOAPヘッダーからKerberosトークンを抽出してユーザーを認証し、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。コンテナには、Oracle Platform Security Servicesを介して構成されたKerberosインフラストラクチャが含まれている必要があります。

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_kerberos_token_with_message_protection_service_template

構成

このポリシーを構成する手順は次のとおりです。

表18-75「wss11_kerberos_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
krb5.loginmoduleログイン・モジュールを構成します。「Kerberosログイン・モジュールの構成」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
OPSSを設定する手順は次のとおりです。
- ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
- 「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
- (メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
- 「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
- 「Kerberosトークンの構成」で説明されているように、Kerberosを構成します。
- 「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。

17.10.46 oracle/wss11_saml_or_username_token_with_message_protection_service_policy

表示名:Wss11 Samlトークン、Wss11ユーザー名トークン(メッセージ保護付き)、Wss SAML Token Over SSL (Bearer確認方式)、Wss Username Token Over SSL、またはHttp Basic Auth Over SSLサービス・ポリシー

カテゴリ: セキュリティ

説明

メッセージ保護(整合性と機密保護)を実行し、クライアントがSAML、ユーザー名またはHTTPトークンを使用するかどうかに基づいて、それぞれ次のいずれかの認証ポリシーを実行します。

WS-Security 1.1標準に従ったインバウンドSOAPリクエストのSAMLベースの認証。
WS-Security 1.1標準に従ったインバウンドSOAPリクエストのユーザー名トークン認証。
WS-Security SOAPヘッダーの、確認方法がBearerのSAMLトークンに含まれる資格証明を使用する、SAMLベースの認証。トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。
UsernameToken WS-Security SOAPヘッダーの資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーを認証する、ユーザー名トークン認証。トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。
HTTPヘッダーから抽出した資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーを認証する、HTTP認証。トランスポート・プロトコルがHTTPSであることを検証します。

このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。

アサーション(ORグループ)

このポリシーには、次のアサーションがORグループとして含まれます。つまり、クライアントはいずれのトークンでも送信できます。

アサーションはWSDLで通知されています。

17.10.47 oracle/wss11_saml_token_identity_switch_with_message_protection_client_policy

表示名: Wss11 SAMLトークン・アイデンティティ切替え(メッセージ保護付き)クライアント・ポリシー

カテゴリ: セキュリティ

説明

アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_saml_token_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-77「wss11_saml_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
認証されたサブジェクトのかわりにクライアント固有のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。(subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティからのみ取得されます。)wss11_saml_token_identity_switch_with_message_protection_client_policyポリシーでは、このポリシーのアタッチ先のアプリケーションにWSIdentityPermission権限が必要です。つまり、OWSMが外部から提供されるアイデンティティをアプリケーションから受け入れるには、そのアプリケーションがWSIdentityPermission権限を持つ必要があります。これにより、OWSMが潜在的に悪質なアプリケーションからアイデンティティを提供されるのを回避します。
このポリシーの構成については、「アイデンティティ切替えのためのSAML Webサービス・クライアントの構成」を参照してください。特に、「javax.xml.ws.security.auth.usernameプロパティの設定」で説明されているようにjavax.xml.ws.security.auth.usernameプロパティを設定し、「WSIdentityPermission権限の設定」で説明されているようにWSIdentityPermission権限を設定する必要があります。
SAMLの詳細は、「設計時のSAML Webサービス・クライアントの構成方法」を参照してください。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.uriの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、user.roles.includeの値を指定します。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

17.10.48 oracle/wss11_saml_token_with_message_protection_client_policy

表示名: Wss11 SAMLトークン(メッセージ保護付き)クライアント・ポリシー

カテゴリ: セキュリティ

説明

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_saml_token_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-77「wss11_saml_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、user.roles.includeの値を指定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

17.10.49 oracle/wss11_saml_token_with_message_protection_service_policy

表示名: Wss11 SAMLトークン(メッセージ保護付き)サービス・ポリシー

カテゴリ: セキュリティ

説明

このポリシーは、アウトバウンドSOAPリクエストに対してWS-Security 1.1で記述されるメカニズムを使用してメッセージの保護(整合性と機密性)およびSAMLトークンの移入を行います。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_saml_token_with_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-78「wss11_saml_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
OPSSを設定する手順は次のとおりです。
- ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
- 「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
- (メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
- 「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
- 「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。

17.10.50 oracle/wss11_saml_token_with_message_protection_wssc_client_policy

表示名: Wss11 SAMLトークン(メッセージ保護付き)(セキュア通信有効)クライアント・ポリシー

カテゴリ: セキュリティ

説明

このポリシーでは、セキュア通信が有効になります。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_saml_token_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-77「wss11_saml_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
第12章「セキュア通信の構成」で説明されているように、セキュア通信を構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、user.roles.includeの値を指定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、SAMLを構成します。
第12章「セキュア通信の構成」で説明されているように、セキュア通信を構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

17.10.51 oracle/wss11_saml_token_with_message_protection_wssc_service_policy

表示名: Wss11 SAMLトークン(メッセージ保護付き)(セキュア通信有効)サービス・ポリシー

カテゴリ: セキュリティ

説明

このポリシーでは、セキュア通信が有効になります。第12章「セキュア通信の構成」を参照してください。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_saml_token_with_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-78「wss11_saml_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
OPSSを設定する手順は次のとおりです。
- ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
- 「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
- (メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
- 「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
- 「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。

17.10.52 oracle/wss11_saml_token_with_message_protection_wssc_reauthn_client_policy

表示名: Wss11 SAMLトークン(メッセージ保護付き)(セキュア通信および再認証モード有効)クライアント・ポリシー

カテゴリ: セキュリティ

説明

このポリシーでは、セキュア通信が有効になります。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_saml_token_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-77「wss11_saml_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
第12章「セキュア通信の構成」で説明されているように、セキュア通信を構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、user.roles.includeの値を指定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、SAMLを構成します。
第12章「セキュア通信の構成」で説明されているように、セキュア通信を構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

17.10.53 oracle/wss11_saml_token_with_message_protection_wssc_reauthn_service_policy

表示名: Wss11 SAMLトークン(メッセージ保護付き)(セキュア通信および再認証モード有効)サービス・ポリシー

カテゴリ: セキュリティ

説明

このポリシーでは、セキュア通信が有効になります。第12章「セキュア通信の構成」を参照してください。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_saml_token_with_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-78「wss11_saml_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
OPSSを設定する手順は次のとおりです。
- ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
- 「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
- (メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
- 「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
- 「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。

17.10.54 oracle/wss11_saml20_token_with_message_protection_client_policy

表示名: Wss11 SAML V2.0トークン(メッセージ保護付き)クライアント・ポリシー

カテゴリ: セキュリティ

説明

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_saml20_token_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-80「wss11_saml20_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、user.roles.includeの値を指定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、SAMLを構成します。
第12章「セキュア通信の構成」で説明されているように、セキュア通信を構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

17.10.55 oracle/wss11_saml20_token_with_message_protection_service_policy

表示名: Wss11 SAML V2.0トークン(メッセージ保護付き)サービス・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.1標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAMLベースの認証を実行します。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_saml20_token_with_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-81「wss11_saml20_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
OPSSを設定する手順は次のとおりです。
- ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
- 「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
- (メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
- 「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
- 「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。

17.10.56 oracle/wss11_sts_issued_saml_hok_with_message_protection_client_policy

表示名: Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)クライアント・ポリシー

カテゴリ: セキュリティ

説明

信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを挿入します。メッセージは、STSで提供される証明鍵マテリアルを使用して保護されます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_sts_issued_saml_hok_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-103「oracle/wss11_sts_issued_saml_hok_with_message_protection_client_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。

注意:

Oracle STSを使用しているとき、非対称証明鍵(HoK)ユースケースは、クライアントの証明書CSFキーがsts.auth.x509.csf.key構成オーバーライドを使用してポリシーに構成されている場合のみ動作します。

この値は、STSに送信されたWS-Trustリクエストを署名するため、または証明鍵としてOracle STSによって使用されます。SAMLアサーションの公開鍵も、この鍵ペアに対応します。

「自動ポリシー構成の設定: メイン手順」で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。STS構成設定のオーバーライドの例は、「WS-Trustクライアント・ポリシーのプログラムによるポリシー構成オーバーライド」を参照してください。
「自動ポリシー構成の設定: メイン手順」で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

17.10.57 oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policy

表示名: Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)サービス・ポリシー

カテゴリ: セキュリティ

説明

信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを認証します。メッセージは、対称鍵テクノロジのWS-SecurityのBasic 128スイートを使用して保護されます。

「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドするオプションもあります。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_sts_issued_saml_hok_with_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-104「oracle/wss11_sts_issued_saml_hok_with_message_protection_service_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「自動ポリシー構成の設定: メイン手順」で説明されているように、Webサービスを設定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.enc.csf.keyの値を指定します。

17.10.58 oracle/wss11_sts_issued_saml_hok_with_message_protection_client_policy

表示名: Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)クライアント・ポリシー

カテゴリ: セキュリティ

説明

このポリシーは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを挿入します。メッセージは、STSで提供される証明鍵マテリアルを使用して保護されます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_sts_issued_saml_hok_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-103「oracle/wss11_sts_issued_saml_hok_with_message_protection_client_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「自動ポリシー構成の設定: メイン手順」で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。STS構成設定のオーバーライドの例は、「WS-Trustクライアント・ポリシーのプログラムによるポリシー構成オーバーライド」を参照してください。
「自動ポリシー構成の設定: メイン手順」で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

17.10.59 oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policy

表示名: Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)サービス・ポリシー

カテゴリ: セキュリティ

説明

このポリシーは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを認証します。メッセージは、対称鍵テクノロジのWS-SecurityのBasic 128スイートを使用して保護されます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_sts_issued_saml_hok_with_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-104「oracle/wss11_sts_issued_saml_hok_with_message_protection_service_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「自動ポリシー構成の設定: メイン手順」で説明されているように、Webサービスを設定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.enc.csf.keyの値を指定します。

17.10.60 oracle/wss11_sts_issued_saml_with_message_protection_client_policy

表示名: Wss11発行トークン(SAML送信者保証方式/メッセージ保護付き)クライアント・ポリシー

カテゴリ: セキュリティ

説明

このポリシーは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML送信者保証アサーションを挿入します。メッセージは、クライアントの秘密鍵を使用して保護されます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_sts_issued_saml_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-106「oracle/wss11_sts_issued_saml_with_message_protection_client_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「自動ポリシー構成の設定: メイン手順」で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。STS構成設定のオーバーライドの例は、「WS-Trustクライアント・ポリシーのプログラムによるポリシー構成オーバーライド」を参照してください。
「自動ポリシー構成の設定: メイン手順」で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

17.10.61 oracle/wss11_username_token_with_message_protection_client_policy

表示名: Wss11ユーザー名トークン(メッセージ保護付き)クライアント・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.1標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。このポリシーは、SOAPベースのすべてのクライアントにアタッチできます。

Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。

リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_username_token_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-83「wss11_username_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
このポリシーは対称鍵テクノロジを使用します。このテクノロジは、データの暗号化と復号化に同じ共有鍵を使用する暗号化メソッドです。対称鍵は、メッセージへの署名に使用されます。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

17.10.62 oracle/wss11_username_token_with_message_protection_service_policy

表示名: Wss11ユーザー名トークン(メッセージ保護付き)サービス・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.1標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。

Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_username_token_with_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-84「wss11_username_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
OPSSを設定する手順は次のとおりです。
- ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
- 「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
- (メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
- 「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
- 「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。

17.10.63 oracle/wss11_username_token_with_message_protection_wssc_client_policy

表示名: Wss11ユーザー名トークン(メッセージ保護付き)(セキュア通信有効)クライアント・ポリシー

カテゴリ: セキュリティ

説明

このポリシーでは、セキュア通信が有効になります。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_username_token_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-83「wss11_username_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
第12章「セキュア通信の構成」で説明されているように、セキュア通信を構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.enc.csf.keyの値を指定します。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
このポリシーは対称鍵テクノロジを使用します。このテクノロジは、データの暗号化と復号化に同じ共有鍵を使用する暗号化メソッドです。対称鍵は、メッセージへの署名に使用されます。
第12章「セキュア通信の構成」で説明されているように、セキュア通信を構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

17.10.64 oracle/wss11_username_token_with_message_protection_wssc_service_policy

表示名: Wss11ユーザー名トークン(メッセージ保護付き)(セキュア通信有効)サービス・ポリシー

カテゴリ: セキュリティ

説明

このポリシーでは、セキュア通信が有効になります。第12章「セキュア通信の構成」を参照してください。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_username_token_with_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-84「wss11_username_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
OPSSを設定する手順は次のとおりです。
- ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
- 「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
- (メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
- 「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
- 「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。

17.10.65 oracle/wss11_x509_token_with_message_protection_client_policy

表示名: Wss11 X509トークン(メッセージ保護付き)クライアント・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.1標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および証明書ベースの認証を実行します。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_x509_token_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-86「wss11_x509_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.enc.csf.keyの値を指定します。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
Webサービス・クライアントは、WS-Securityバイナリ・セキュリティ・トークンを介してSOAPメッセージに有効なX.509認証資格証明を提供する必要があります。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

17.10.66 oracle/wss11_x509_token_with_message_protection_service_policy

表示名: Wss11 X509トークン(メッセージ保護付き)サービス・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.1標準に従い、インバウンドSOAPリクエストに対して、メッセージ・レベルの保護および証明書ベースの認証を実行します。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_x509_token_with_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-87「wss11_x509_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを構成します。
OPSSを設定する手順は次のとおりです。
- ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
- 「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
- (メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
- 「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
- 「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。

17.10.67 oracle/wss11_x509_token_with_message_protection_wssc_client_policy

表示名: Wss11 X509トークン(メッセージ保護付き)(セキュア通信有効)クライアント・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.1標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および証明書ベースの認証を実行します。

このポリシーでは、セキュア通信が有効になります。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_x509_token_with_message_protection_client_template

このアサーションは通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-86「wss11_x509_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
第12章「セキュア通信の構成」で説明されているように、セキュア通信を構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。

設計時の考慮事項

設計時に次の手順を実行します。

「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
第12章「セキュア通信の構成」で説明されているように、セキュア通信を構成します。
Webサービス・クライアントは、WS-Securityバイナリ・セキュリティ・トークンを介してSOAPメッセージに有効なX.509認証資格証明を提供する必要があります。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
Webサービス・クライアントは、WS-Securityバイナリ・セキュリティ・トークンを介してSOAPメッセージに有効なX.509認証資格証明を提供する必要があります。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。

17.10.68 oracle/wss11_x509_token_with_message_protection_wssc_service_policy

表示名: Wss11 X509トークン(メッセージ保護付き)(セキュア通信有効)サービス・ポリシー

カテゴリ: セキュリティ

説明

WS-Security 1.1標準に従い、インバウンドSOAPリクエストに対して、メッセージ・レベルの保護および証明書ベースの認証を実行します。

このポリシーでは、セキュア通信が有効になります。第12章「セキュア通信の構成」を参照してください。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/wss11_x509_token_with_message_protection_service_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-87「wss11_x509_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを構成します。
OPSSを設定する手順は次のとおりです。
- ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
- 「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
- (メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
- 「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
- 「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。

17.11 セキュリティ・ポリシー - Oracle Entitlements Server

表17-58は、事前定義済のOWSM Oracle Entitlements Server (OES)セキュリティ・ポリシーの概要を示しています。

表17-58 事前定義済OWSM Oracle Entitlements Serverセキュリティ・ポリシー

ポリシー名	説明
oracle/binding_oes_authorization_policy	Oracle Entitlements Serverで定義されたポリシーに基づき、ユーザー認可を設定します。
oracle/binding_oes_masking_policy	Oracle Entitlements Serverで定義されたポリシーに基づき、レスポンス・マスキングを実行します。
oracle/component_oes_authorization_policy	Oracle Entitlements Serverで定義されたポリシーに基づき、ユーザー認可を設定します。

17.11.1 oracle/binding_oes_authorization_policy

表示名: Oracle Entitlements Serverを使用したファイングレイン認可

カテゴリ: セキュリティ

説明

このポリシーは、Oracle Entitlements Server (OES)で定義されたポリシーに基づき、認可を設定します。認可は、属性、現在の認証されたサブジェクト、およびクライアントが起動したWebサービスのアクションに基づいています。このポリシーは、Webサービスの任意の操作におけるファイングレイン認可に使用されます。

このポリシーは、サブジェクトが確立される認証ポリシーに従う必要があります。このポリシーは任意のSOAPエンドポイントにアタッチできます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/binding_oes_authorization_template

このアサーションはWSDLで通知されていません。

構成

このポリシーを構成する手順は次のとおりです。

表18-90「binding_oes_authorization_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。

17.11.2 oracle/binding_oes_masking_policy

表示名: Oracle Entitlements Serverを使用したレスポンスのマスキング

カテゴリ: セキュリティ

説明

このポリシーは、OESで定義されているポリシーに基づいてレスポンスのマスキングを実行します。マスキングは、属性、現在の認証されたサブジェクト、およびクライアントが起動したWebサービスのアクションに基づいています。このテンプレートは、Webサービスの任意の操作におけるファイングレイン・マスキングに使用されます。

このポリシーは、サブジェクトが確立される認証ポリシーに従う必要があります。このポリシーは任意のSOAPエンドポイントにアタッチできます。

アサーション

このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。

oracle/binding_oes_masking_template

このアサーションはWSDLで通知されています。

構成

このポリシーを構成する手順は次のとおりです。

表18-90「binding_oes_authorization_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。

17.11.3 oracle/component_oes_authorization_policy

表示名: Oracle Entitlements Serverを使用したSCAコンポーネントのファイングレイン認可

カテゴリ: セキュリティ

説明

このポリシーは、Oracle Entitlements Server (OES)で定義されたポリシーに基づき、ユーザーの認可を実行します。

17.12 SOAP Over JMSトランスポート・ポリシー

表17-59は、事前定義済のOWSM SOAP Over JMSトランスポート・ポリシーの概要を示しています。

表17-59 事前定義済のOWSM SOAP Over JMSトランスポート・ポリシー

ポリシー名	説明
oracle/jms_transport_client_policy	Webサービス・クライアントに対するSOAP over JMSトランスポートのサポートを有効にして、構成します。
oracle/jms_transport_service_policy	Webサービスに対するSOAP over JMSトランスポートのサポートを有効にして、構成します。
oracle/no_jms_transport_client_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAP over JMSトランスポート・クライアント・ポリシーを上位スコープで効率よく無効化します。
oracle/no_jms_transport_service_policy	エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAP over JMSトランスポート・サービス・ポリシーを上位スコープで効率よく無効化します。

SOAP over JMSトランスポート・ポリシーのアタッチの詳細は、次を参照してください。

『Webサービスの管理』のFusion Middleware Controlを使用したSOAP Over JMSトランスポートの構成に関する項
『Webサービスの管理』のWLSTを使用したSOAP Over JMSトランスポートの構成に関する項

17.12.1 oracle/jms_transport_client_policy

表示名: JMS転送クライアント・ポリシー

カテゴリ: SOAP over JMSトランスポート

説明

Webサービス・クライアントに対するSOAP over JMSトランスポートのサポートを有効にして、構成します。

注意:

このポリシーを複製することはできません。また、このテンプレートに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。

このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

構成

表17-60は、SOAP over JMSクライアントの、オーバーライド可能な構成プロパティを示しています。

表17-60 oracle/jms_transport_client_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`destination.name`	宛先キューまたはトピックのJNDI名。	`com.oracle.webservices.api.jms.RequestQueue`	必須
`destination.type`	宛先タイプ。有効な値は、`com.oracle.webservices.api.jms.JMSDestinationType.QUEUE`または`com.oracle.webservices.api.jms.JMSDestinationType.TOPIC`です。この値のデフォルトは`QUEUE`です。	`QUEUE`	必須
`jms.header.property`	JMSヘッダー・プロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: `name1=value1&...&nameN=valueN`.	なし	Optional
`jms.message.property`	JMSメッセージ・プロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: `name1=value1&...&nameN=valueN`.	なし	Optional
`jndi.connection.factory.name`	JMS接続を確立するために使用されるコネクション・ファクトリのJNDI名。	`com.oracle.webservices.jms.ConnectionFactory`	必須
`jndi.context.parameters`	JNDIプロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: `name1=value1&...&nameN=valueN`. これらのプロパティは、JNDIプロバイダの`InitialContext`コンストラクタに送信される`java.util.Hashtable`に追加されます。	なし	Optional
`jndi.initial.context.factory`	JNDIルックアップに使用される、初期コンテキスト・ファクトリ・クラスの名前。この値は、`java.naming.factory.initial`プロパティにマップされます。	`weblogic.jndi.WLInitialContextFactory`	必須
`jndiurl`	JNDIプロバイダのURL。この値は、`java.naming.provider.url`プロパティにマップされます。	`t3://localhost:7001`	必須
`message.type`	リクエスト・メッセージとともに使用するメッセージ・タイプ。有効な値は、`com.oracle.webservices.api.jms.JMSMessageType.BYTES`および`com.oracle.webservices.api.jms.JMSMessageType.TEXT`です。この値のデフォルトは`BYTES`です。詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のJMSメッセージ・タイプの構成に関する項を参照してください。	`BYTES`	必須
`priority`	リクエストとレスポンスのメッセージに関連付けられるJMS優先度。この値は、0(優先度最低)から9(優先度最高)までの正の整数として指定します。デフォルト値は`0`です。	`0`	必須
`reply.to.name`	レスポンス・メッセージが送信されるJMS宛先のJNDI名。双方向操作の場合は、一時的なレスポンス・キューがデフォルトで生成されます。デフォルトの一時的なレスポンス・キューを使用すると、必要な構成が最小限に抑えられます。ただし、サーバーに障害が発生した場合は、レスポンス・メッセージが失われる可能性があります。このプロパティにより、クライアントは、応答を受信するためにデフォルトの一時的なキューまたはトピックを使用するのではなく、以前に定義された「永続的な」キューまたはトピックを使用できます。JMSレスポンス・キューの構成の詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のレスポンス・キューの構成に関する項を参照してください。この値は、リクエスト・メッセージの`JMSReplyTo` JMSヘッダーにマップされます。	なし	Optional
`target.service`	Webサービスのポート・コンポーネント名。この値は、サービス・リクエストをディスパッチするためにサービス実装によって使用されます。指定しない場合は、WSDLまたは`@javax.jws.WebService`アノテーションのサービス名が使用されます。この値は、`SOAPJMS_targetService` JMSメッセージ・プロパティにマップされます。	なし	Optional
`time.to.live`	リクエスト・メッセージの存続期間(ミリ秒)。値が0の場合は、存続期間に制限がないことを示します。サービス側では、`timeToLive`によって、各MDBトランザクションの有効期間も指定されます。	`180000`	必須
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.12.2 oracle/jms_transport_service_policy

表示名: JMS転送サービス・ポリシー

カテゴリ: SOAP over JMSトランスポート

説明

注意:

このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

構成

表17-61は、WebサービスのSOAP over JMSトランスポートの、オーバーライド可能な構成プロパティを示しています。

表17-61 oracle/jms_transport_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`binding.version`	SOAP JMSバインディングのバージョン。このリリースでは、この値を`SOAP_JMS_1.0`に設定する必要があります。これは、`com.oracle.webservices.api.jms.JMSBindingVersion.SOAP_JMS_1_0`と同じです。この値は、`SOAPJMS_bindingVersion` JMSメッセージ・プロパティにマップされます。	`SOAP_JMS_1.0`	必須
`delivery.mode`	リクエスト・メッセージが永続的であるかどうかを示す配信モード。有効な値は、`com.oracle.webservices.api.jms.DeliveryMode.PERSISTENT`および`com.oracle.webservices.api.jms.DeliveryMode.NON_PERSISTENT`です。	`PERSISTENT`	必須
`enable.http.wsdl.access`	HTTPを介してWSDLを公開するかどうかを指定するブール・フラグです。	`true`	Optional
`run.as.principal`	リスニングMDBを実行するために使用されるプリンシパル。	なし	Optional
`run.as.role`	リスニングMDBを実行するために使用されるロール。	なし	Optional
`mdb.per.destination`	リクエストされた宛先ごとに1つのリスニング・メッセージドリブンBean (MDB)を作成するかどうかを指定するブール・フラグ。 `false`に設定すると、Webサービス・ポートごとに1つのリスニングMDBが作成され、そのMDBは他のポートによって共有できません。	`true`	Optional
`activation.config`	JMSプロバイダに渡されるアクティブ化構成プロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: `name1=value1&...&nameN=valueN`. このプロパティでサポートされるアクティブ化構成プロパティのリストは、『Oracle WebLogic Server JAX-WS Webサービスの開発』のJMSトランスポート構成プロパティのサマリーに関する項を参照してください。	なし	Optional
`destination.name`	宛先キューまたはトピックのJNDI名。	`com.oracle.webservices.api.jms.RequestQueue`	必須
`destination.type`	宛先タイプ。有効な値は、`com.oracle.webservices.api.jms.JMSDestinationType.QUEUE`または`com.oracle.webservices.api.jms.JMSDestinationType.TOPIC`です。この値のデフォルトは`QUEUE`です。	`QUEUE`	必須
`jms.header.property`	JMSヘッダー・プロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: `name1=value1&...&nameN=valueN`.	なし	Optional
`jms.message.property`	JMSメッセージ・プロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: `name1=value1&...&nameN=valueN`.	なし	Optional
`jndi.connection.factory.name`	JMS接続を確立するために使用されるコネクション・ファクトリのJNDI名。	`com.oracle.webservices.jms.ConnectionFactory`	必須
`jndi.context.parameters`	JNDIプロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: `name1=value1&...&nameN=valueN`. これらのプロパティは、JNDIプロバイダの`InitialContext`コンストラクタに送信される`java.util.Hashtable`に追加されます。	なし	Optional
`jndi.initial.context.factory`	JNDIルックアップに使用される、初期コンテキスト・ファクトリ・クラスの名前。この値は、`java.naming.factory.initial`プロパティにマップされます。	`weblogic.jndi.WLInitialContextFactory`	必須
`jndiurl`	JNDIプロバイダのURL。この値は、`java.naming.provider.url`プロパティにマップされます。	`t3://localhost:7001`	必須

17.12.3 oracle/no_jms_transport_client_policy

表示名: JMS転送クライアントなしポリシー

カテゴリ: SOAP over JMSトランスポート

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAP over JMSトランスポート・クライアント・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-62は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-62 oracle/no_jms_transport_client_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional

17.12.4 oracle/no_jms_transport_service_policy

表示名: JMS転送クライアントなしポリシー

カテゴリ: SOAP over JMSトランスポート

説明

エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAP over JMSトランスポート・サービス・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。

注意:

次のことに注意してください。

この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。

アサーション

構成

表17-63は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。

表17-63 oracle/no_jms_transport_service_policyの構成プロパティ

Name	説明	デフォルト	必須かどうか
`reference.priority`	「reference.priority」を参照してください。	なし	Optional