Oracle® Fusion Middleware Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理 12c (12.1.3) E59414-02 |
|
前 |
次 |
この章では、Oracle Web Services Manager (OWSM)の事前定義済ポリシーについて、カテゴリ別に説明します。事前定義済ポリシー・カテゴリの詳細は、『Oracle Web Services Managerの理解』のポリシー・カテゴリに関する項を参照してください。ポリシーのアタッチの詳細は、「ポリシーのアタッチ」を参照してください。
この章の内容は次のとおりです。
注意:
|
表17-1は、事前定義済のOWSMアドレス・ポリシーの概要を示しています。
表17-1 事前定義済のOWSMアドレス・ポリシー
ポリシー名 | 説明 |
---|---|
|
W3C 2005 Final WS-Addressing Policy標準に準拠したWS-Addressingヘッダーがインバウンド・メッセージに存在するかどうかを確認します。 |
|
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWSアドレス・ポリシーを上位スコープで効率よく無効化します。 |
Webサービスのアドレス・ポリシーのアタッチの詳細は、次を参照してください。
『Webサービスの管理』のFusion Middleware Controlを使用したアドレッシングの構成に関する項
『Webサービスの管理』のWLSTを使用したアドレッシングの構成に関する項
表示名: WSアドレス・ポリシー
カテゴリ: WSアドレス
説明
W3C 2005 Final WS-Addressing Policy標準に準拠したWS-Addressingヘッダーがインバウンド・メッセージに存在するかどうかを確認します。また、プラットフォームにより、WS-AddressingヘッダーがアウトバウンドSOAPメッセージに組み込まれます。
Webサービス・クライアントでのWS-Addressingの構成の詳細は、Web Services Addressing 1.0 - SOAP Bindingの仕様(http://www.w3.org/TR/ws-addr-soap/
)を参照してください。
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-3は、このアドレス・ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-2 oracle/wsaddr_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: 動作なしアドレス・ポリシー
カテゴリ: WSアドレス
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWSアドレス・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-3は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-3 oracle/no_addressing_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表17-4は、事前定義済のOWSMアトミック・トランザクション・ポリシーの概要を示しています。
Table 17-4 事前定義済のOWSMアトミック・トランザクション・ポリシー
ポリシー名 | 説明 |
---|---|
oracle/atomic_transaction_policy |
アトミック・トランザクションのサポートを有効にして、構成します。 |
oracle/no_atomic_transaction_policy |
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたアトミック・トランザクションWebサービス・ポリシーを上位スコープで効率よく無効化します。 |
Webサービスのアトミック・トランザクション・ポリシーのアタッチの詳細は、次を参照してください。
『Webサービスの管理』のFusion Middleware Controlを使用したアトミック・トランザクションの構成に関する項
『Webサービスの管理』のWLSTを使用したアトミック・トランザクションの構成に関する項
表示名: アトミック・トランザクション・ポリシー
カテゴリ: アトミック・トランザクション
説明
アトミック・トランザクションのサポートを有効にして、構成します。アトミック・トランザクションの詳細は、『Oracle Infrastructure Webサービスの開発』のWebサービスのアトミック・トランザクションの使用に関する項を参照してください。
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-5は、アトミック・トランザクションの、オーバーライド可能な構成プロパティを示しています。
表17-5 oracle/atomic_transaction_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
Webサービスアトミック・トランザクション調整コンテキストがトランザクション・フローとともに渡されるかどうか。次の値が有効です。
有効な値の詳細は、『Oracle Infrastructure Webサービスの開発』のWebサービスのアトミック・トランザクションの構成に関する項を参照してください。 |
|
Optional |
|
Webサービスのアトミック・トランザクションの調整コンテキストのサポートされているバージョン。Webサービス・クライアントの場合、アウトバウンド・メッセージにのみ使用されるバージョンが指定されます。トランザクション全体で同じ値を指定する必要があります。次の値が有効です。
有効な値の詳細は、『Oracle Infrastructure Webサービスの開発』のWebサービスのアトミック・トランザクションの構成に関する項を参照してください。 |
|
Optional |
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: アトミック・トランザクションなしポリシー
カテゴリ: アトミック・トランザクション
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたアトミック・トランザクションWebサービス・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
アトミック・トランザクションの詳細は、『Oracle Infrastructure Webサービスの開発』のWebサービスのアトミック・トランザクションの使用に関する項を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-6は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-6 oracle/no_atomic_transaction_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表17-7は、事前定義済のOWSM構成ポリシーの概要を示しています。
注意: 次のことに注意してください。
|
表17-7 事前定義済のOWSM構成ポリシー
ポリシー名 | 説明 |
---|---|
oracle/async_web_service_policy |
非同期Webサービスを有効にして、構成します。 |
oracle/cache_binary_content_policy |
コンテンツのバイナリ・キャッシュのサポートを有効にして、構成します。 |
oracle/fast_infoset_client_policy |
Webサービス・クライアント上のFast Infosetを有効にして、構成します。 |
oracle/fast_infoset_service_policy |
WebサービスのFast Infosetを有効にします。 |
oracle/max_request_size_policy |
Webサービスに送信可能なリクエスト・メッセージの最大サイズをバイト単位で構成します。 |
oracle/mex_request_processing_service_policy |
Webサービス・メタデータの交換を有効にします。 |
oracle/mtom_encode_fault_service_policy |
MTOMが有効になっている場合の、MTOM対応SOAPフォルト・メッセージの作成を有効にします。 |
oracle/no_async_web_service_policy |
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた非同期Webサービス・ポリシーを上位スコープで効率よく無効化します。 |
oracle/no_cache_binary_content_policy |
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたバイナリ・キャッシュ・ポリシーを上位スコープで効率よく無効化します。 |
oracle/no_fast_infoset_client_policy |
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたFast Infosetクライアント・ポリシーを上位スコープで効率よく無効化します。 |
oracle/no_fast_infoset_service_policy |
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたFast Infosetサービス・ポリシーを上位スコープで効率よく無効化します。 |
oracle/no_max_request_size_policy |
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた最大リクエスト・サイズ・ポリシーを上位スコープで効率よく無効化します。 |
oracle/no_mex_request_processing_service_policy |
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWebサービス・メタデータ交換ポリシーを上位スコープで効率よく無効化します。 |
oracle/no_mtom_encode_fault_service_policy |
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAPフォルトMTOMエンコーディング・ポリシーを上位スコープで効率よく無効化します。 |
|
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた永続性ポリシーを上位スコープで効率よく無効化します。 |
oracle/no_pox_http_binding_service_policy |
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたPlain Old XML (POX)ポリシーを上位スコープで効率よく無効化します。 |
oracle/no_request_processing_service_policy |
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたリクエスト処理ポリシーを上位スコープで効率よく無効化します。 |
oracle/no_schema_validation_policy |
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたスキーマ検証ポリシーを上位スコープで効率よく無効化します。 |
oracle/no_soap_request_processing_service_policy |
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAPリクエスト処理ポリシーを上位スコープで効率よく無効化します。 |
oracle/no_test_page_processing_service_policy |
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたテスト・ページ処理ポリシーを上位スコープで効率よく無効化します。 |
oracle/no_ws_logging_level_policy |
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたロギング・ポリシーを上位スコープで効率よく無効化します。 |
oracle/no_wsdl_request_processing_service_policy |
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWSDLリクエスト処理ポリシーを上位スコープで効率よく無効化します。 |
|
Webサービスのセキュア通信永続性メカニズムを構成します。 |
oracle/pox_http_binding_service_policy |
ユーザー定義の |
oracle/request_processing_service_policy |
Webサービス・エンドポイントで着信リクエストを処理できるようにします。 |
oracle/schema_validation_policy |
スキーマに対するリクエスト・メッセージの検証を有効にします。 |
oracle/soap_request_processing_service_policy |
Webサービス・エンドポイントでのSOAPリクエストの処理を有効にします。 |
oracle/test_page_processing_policy |
『Webサービスの管理』のWebサービス・テスト・クライアントの使用に関する項で説明されているように、Webサービス・テスト・クライアントを有効にします。 |
oracle/ws_logging_level_policy |
Webサービス・エンドポイントの診断ログのログ・レベルを設定します。 |
oracle/wsdl_request_processing_service_policy |
WebサービスのWSDLへのアクセスを有効にします。 |
構成ポリシーのアタッチの詳細は、次を参照してください。
Webサービスの管理のFusion Middleware Controlを使用したWebサービスの構成
『Webサービスの管理』のWLSTを使用したWebサービスの構成に関する項
表示名: 非同期Webサービス・ポリシー
カテゴリ: 構成
説明
非同期Webサービスを有効にして、構成します。
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-10は、非同期Webサービスの、オーバーライド可能な構成プロパティを示しています。
表17-8 oracle/async_web_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
JMSキューの使用を許可されているユーザー。 注意: 大多数のユーザーでは、OracleSystemUserで十分です。ただし、このユーザーを、セキュリティ・レルム内の別のユーザーに変更する必要がある場合は、『Webサービスの管理』のFusion Middleware Controlを使用した非同期WebサービスのJMSシステム・ユーザーの変更に関する項に示されている手順を使用して、これを実行できます。 |
|
Optional |
|
JMSリクエスト・キューのコネクション・ファクトリの名前。 |
|
Optional |
|
リクエスト・キューの名前。 |
|
Optional |
|
JMSレスポンス・キューのコネクション・ファクトリの名前。 |
|
Optional |
|
リクエスト・キューの名前。 |
|
Optional |
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: キャッシュ・バイナリ・コンテンツ・ポリシー
カテゴリ: 構成
説明
コンテンツのバイナリ・キャッシュのサポートを有効にして、構成します。
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-9は、バイナリ・キャッシュの、オーバーライド可能な構成プロパティを示しています。
表17-9 oracle/cache_binary_content_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
OraSAAJのXTIスケーラブルDOMのランタイム要件を指定する値。次の値が有効です。
|
|
Optional |
|
次のいずれかの値を定義するブール値。
|
|
Optional |
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: Fast Infosetクライアント・ポリシー
カテゴリ: 構成
説明
Webサービス・クライアント上のFast Infosetを有効にして、構成します。
Fast Infosetの詳細は、次を参照してください。
JAX-WS Webサービス: 『Oracle WebLogic Server JAX-WS Webサービスの開発』のFast Infosetを使用したXML転送の最適化に関する項
Oracle Infrastructure Webサービス: 『Oracle Infrastructure Webサービスの開発』のFast Infosetを使用したXML転送の最適化に関する項
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-10は、Fast Infosetクライアントの、オーバーライド可能な構成プロパティを示しています。
表17-10 oracle/fastinfoset_client_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
Fast Infosetコンテンツ・ネゴシエーション設定を指定する値。次の値が有効です。
|
|
Optional |
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: Fast Infosetサービス・ポリシー
カテゴリ: 構成
説明
WebサービスのFast Infosetを有効にします。
Fast Infosetの詳細は、次を参照してください。
JAX-WS Webサービス: 『Oracle WebLogic Server JAX-WS Webサービスの開発』のFast Infosetを使用したXML転送の最適化に関する項
Oracle Infrastructure Webサービス: 『Oracle Infrastructure Webサービスの開発』のFast Infosetを使用したXML転送の最適化に関する項
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-11は、Fast Infoset Webサービスの、オーバーライド可能な構成プロパティを示しています。
表17-11 oracle/fastinfoset_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: 最大リクエスト・サイズ・ポリシー
カテゴリ: 構成
説明
Webサービスに送信可能なリクエスト・メッセージの最大サイズをバイト単位で構成します。
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-12は、Webサービスで最大リクエスト・サイズを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-12 oracle/max_request_size_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
リクエスト・メッセージの最大サイズ(バイト単位)。 値 |
|
Optional |
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: MEXリクエスト処理サービス・ポリシー
カテゴリ: 構成
説明
Webサービス・メタデータの交換を有効にします。
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-13は、Webサービス・メタデータの交換を有効にする際にオーバーライドできる構成プロパティを示しています。
表17-13 oracle/mex_request_processing_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: MTOMエンコード・フォルト・サービス・ポリシー
カテゴリ: 構成
説明
MTOMが有効になっている場合の、MTOM対応SOAPフォルト・メッセージの作成を有効にします。
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-14は、SOAPフォルトのMTOMエンコーディングを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-14 oracle/mtom_encode_fault_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: 非同期Webサービスなしポリシー
カテゴリ: 構成
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた非同期Webサービス・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-15は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-15 oracle/no_async_web_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: キャッシュ・バイナリ・コンテンツなしポリシー
カテゴリ: 構成
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたバイナリ・キャッシュ・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-16は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-16 oracle/no_cache_binary_content_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: Fast Infosetクライアントなしポリシー
カテゴリ: 構成
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたFast Infosetクライアント・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-17は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-17 oracle/no_fast_infoset_client_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: Fast Infosetサービスなしポリシー
カテゴリ: 構成
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたFast Infosetサービス・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-18は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-18 oracle/no_fast_infoset_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: 最大リクエスト・サイズなしポリシー
カテゴリ: 構成
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた最大リクエスト・サイズ・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-19は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-19 oracle/no_max_request_size_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: MEXリクエスト処理サービスなしポリシー
カテゴリ: 構成
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWebサービス・メタデータ交換ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-20は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-20 oracle/no_mex_request_processing_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: MTOMエンコード・フォルト・サービスなしポリシー
カテゴリ: 構成
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAPフォルトMTOMエンコーディング・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-21は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-21 oracle/no_mtom_encode_fault_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: 永続性なしポリシー
カテゴリ: 構成
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた永続性ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-22は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-22 oracle/no_persistence_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: Pox HTTPバインディング・サービスなしポリシー
カテゴリ: 構成
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたPlain Old XML (POX)ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-23は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-23 oracle/no_pox_http_binding_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: リクエスト処理サービスなしポリシー
カテゴリ: 構成
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたリクエスト処理ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-24は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-24 oracle/no_request_processing_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: スキーマ検証なしポリシー
カテゴリ: 構成
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたスキーマ検証ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-25は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-25 oracle/no_schema_validation_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: SOAPリクエスト処理サービスなしポリシー
カテゴリ: 構成
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAPリクエスト処理ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-26は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-26 oracle/no_soap_request_processing_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: テスト・ページ処理サービスなしポリシー
カテゴリ: 構成
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたテスト・ページ処理ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-27は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-27 oracle/no_test_page_processing_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: WSロギング・レベルなしポリシー
カテゴリ: 構成
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたロギング・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-28は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-28 oracle/no_ws_logging_level_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: WSDLリクエスト処理サービスなしポリシー
カテゴリ: 構成
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWSDLリクエスト処理ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-29は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-29 oracle/no_wsdl_request_processing_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: 永続性ポリシー
カテゴリ: 構成
説明
Webサービスのセキュア通信永続性メカニズムを構成します。
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-30は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-30 oracle/persistence_policyの構成プロパティ
属性 | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
システムに登録されている永続性プロバイダを識別します。可能な値は次のとおりです。
注意: J2SEクライアントの場合、構成できるのは |
|
Optional |
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: Pox HTTPバインディング・サービス・ポリシー
カテゴリ: 構成
説明
ユーザー定義のjavax.xml.ws.Provider<T>.invoke
メソッドによって処理される非SOAP XMLメッセージをエンドポイントで受信できるようにします。
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-14は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-31 oracle/pox_http_binding_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: リクエスト処理サービス・ポリシー
カテゴリ: 構成
説明
Webサービス・エンドポイントで着信リクエストを処理できるようにします。
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-14は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-32 oracle/request_processing_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: スキーマ検証ポリシー
カテゴリ: 構成
説明
スキーマに対するリクエスト・メッセージの検証を有効にします。
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-14は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-33 oracle/schema_validation_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: SOAPリクエスト処理サービス・ポリシー
カテゴリ: 構成
説明
Webサービス・エンドポイントでのSOAPリクエストの処理を有効にします。
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-14は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-34 oracle/soap_request_processing_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: テスト・ページ処理サービス・ポリシー
カテゴリ: 構成
説明
『Webサービスの管理』のWebサービス・テスト・クライアントの使用に関する項で説明されているように、Webサービス・テスト・クライアントを有効にします。
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-14は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-35 oracle/test_page_processing_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: WSロギング・レベル・ポリシー
カテゴリ: 構成
説明
Webサービス・エンドポイントの診断ログのログ・レベルを設定します。
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-14は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-36 oracle/ws_logging_level_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
ロギング・レベルを定義します。有効な値は、 |
なし |
Optional |
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: WSDLリクエスト処理サービス
カテゴリ: 構成
説明
WebサービスのWSDLへのアクセスを有効にします。
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-14は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-37 oracle/ws_logging_level_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表17-38は、事前定義済のOWSM管理ポリシーの概要を示しています。
表示名: ログ・ポリシー
カテゴリ: 管理
説明
このポリシーを使用すると、メッセージ・ログにリクエスト、レスポンスおよびフォルト・メッセージが送信されます。デフォルトで、このポリシーでは、リクエストのSOAPメッセージ全体およびレスポンスのSOAP本体情報のみがログに記録されます。
メッセージは、ドメインのメッセージ・ログに記録されます。メッセージ・ログの表示およびフィルタリングについては、『Webサービスの管理』のWebサービスのメッセージ・ログの使用に関する項を参照してください。
注意: このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。 |
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションはWSDLで通知されていません。
構成
表17-39は、ログ・ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-39 oracle/log_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表17-40は、事前定義済のOWSMメッセージ転送最適化メカニズム(MTOM)ポリシーの概要を示しています。
表17-40 事前定義済のOWSM MTOMポリシー
ポリシー名 | 説明 |
---|---|
|
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWS MTOMポリシーを上位スコープで効率よく無効化します。 |
|
MTOM形式でないインバウンド・メッセージを拒否し、アウトバウンド・メッセージがMTOM形式であることを確認します。 |
MTOMポリシーのアタッチの詳細は、次を参照してください。
『Webサービスの管理』のFusion Middleware Controlを使用したMTOMの構成に関する項
『Webサービスの管理』のWLSTを使用したMTOMの構成に関する項
表示名: 動作なしMTOMポリシー
カテゴリ: MTOMアタッチメント
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたMTOMポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-41は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-41 oracle/no_mtom_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: WS MTOMポリシー
カテゴリ: MTOMアタッチメント
説明
MTOM形式でないインバウンド・メッセージを拒否し、アウトバウンド・メッセージがMTOM形式であることを確認します。MTOMは、SOAPメッセージ内のxs:base64Binary
またはxs:hexBinary
タイプのXMLデータの転送を最適化するためのメソッドを定義します。MTOMについては、SOAP 1.2および1.1それぞれの次の仕様を参照してください。http://www.w3.org/TR/2005/REC-soap12-mtom-20050125
およびhttp://www.w3.org/Submission/2006/SUBM-soap11mtom10-20060405
。
WebサービスのクライアントでMTOMを有効にするには、次のサンプルのように、Webサービスのプロキシまたはディスパッチの作成時にパラメータとしてjavax.xml.ws.soap.MTOMFeature
を渡します。
package examples.webservices.mtom.client; import javax.xml.ws.soap.MTOMFeature; public class Main { public static void main(String[] args) { String FOO = "FOO"; MtomService service = new MtomService() MtomPortType port = service.getMtomPortTypePort(new MTOMFeature()); String result = null; result = port.echoBinaryAsString(FOO.getBytes()); System.out.println( "Got result: " + result ); } }
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-42は、MTOMポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-42 oracle/wsmtom_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表17-38は、事前定義済のOWSM信頼できるメッセージング・ポリシーの概要を示しています。
表17-43 事前定義済のOWSM信頼できるメッセージング・ポリシー
ポリシー名 | 説明 |
---|---|
oracle/no_reliable_messaging_policy |
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWeb Services Reliable Messagingポリシーを上位スコープで効率よく無効化します。 |
|
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWeb Services Reliable Messagingポリシーを上位スコープで効率よく無効化します。 |
oracle/reliable_messaging_policy |
Webサービスおよびクライアントで、Webサービスの信頼性のあるメッセージングを構成します。 |
|
Web Services Reliable Messagingプロトコルのバージョン1.0を構成します。 |
|
Web Services Reliable Messagingプロトコルのバージョン1.1を構成します。 |
信頼できるメッセーング・ポリシーのアタッチの詳細は、次を参照してください。
『Webサービスの管理』のFusion Middleware Controlを使用した信頼できるメッセージングの構成に関する項
『Webサービスの管理』のWLSTを使用した信頼できるメッセージングの構成に関する項
表示名: 信頼できるメッセージングなしポリシー
カテゴリ: 信頼できるメッセージング
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWeb Services Reliable Messagingポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
信頼できるメッセージングの詳細は、『Oracle Infrastructure Webサービスの開発』のWebサービスのアトミック・トランザクションの使用に関する項を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-44は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-44 oracle/no_reliable_messaging_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: 動作なしRMポリシー
カテゴリ: 信頼できるメッセージング
注意: このポリシーは非推奨になりました。「oracle/no_reliable_messaging_policy」 で説明しているように、oracle/no_reliable_messagingポリシーの使用をお薦めします。 |
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWeb Services Reliable Messagingポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-45は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-45 oracle/no_wsrm_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: 信頼できるメッセージング・ポリシー
カテゴリ: 信頼できるメッセージング
説明
Webサービスおよびクライアントで、Webサービスの信頼性のあるメッセージングを構成します。このポリシーは、SOAPベースのあらゆるWebサービスおよびクライアントにアタッチできます。
Webサービス・クライアントは、実行時にWSDLポリシー・アサーションを自動的に検出して使用し、クライアントで通知済バージョンの信頼できるメッセージングを有効にします。複数のバージョンが有効な場合、生成されたWSDLには、指定されたバージョンについてポリシーの選択肢があるため、クライアントではいずれのバージョンでも選択できます。クライアントでは、指定されたシーケンスでのすべての相互作用に対して、選択したバージョンのプロトコルを一貫して使用する必要があります。
マルチメッセージ・シーケンスの場合、クライアント・コードには、シーケンス境界を区切るメソッドの明示的な呼び出しが含まれている必要があります。そうしない場合、各メッセージは独自のシーケンスでラップされます。クライアントを編集して、サービスに送信されるメッセージの信頼できるメッセージング・セッションを有効にします。oracle.webservices.rm.client.RMSessionLifecycle
インタフェースは、信頼できるメッセージング・シーケンス境界を区切るメカニズムをクライアントに提供します。
例17-1に、サーブレット・クライアントを示します。この例では、新規TestServiceが作成されます。クライアントがサービスと通信するときに使用されるTestPortが取得されます。ポート・オブジェクトがRMSessionLifecycle
オブジェクトにキャストされ、信頼できるメッセージング・セッションがそのオブジェクト上で開かれます(openSession
)。メッセージがサービスに送信されると、セッションは終了します(closeSession
)。
例17-1 Webサービスの信頼できるメッセージングのクライアント・コードのサンプル
public class ClientServlet extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { int num1 = Integer.parseInt(request.getParameter("num1")); int num2 = Integer.parseInt(request.getParameter("num2")); String outputStr = null; TestService service = new TestService(); Test port = service.getTestPort(); try { ((RMSessionLifecycle) port).openSession(); outputStr = port.hello(inputStr); } catch (Exception e) { e.printStackTrace(); outputStr = e.getMessage(); } finally { ((RMSessionLifecycle) port).closeSession(); response.getOutputStream().write(outputStr.getBytes()); } } }
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-46は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-46 oracle/reliable_messaging_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
宛先エンドポイントがスタンドアロンの確認応答を送信する必要がある最大間隔(ミリ秒単位)。 指定する値は、正の値とし、XMLスキーマの期間を表す字句形式( この値はシーケンスの作成時に設定され、リセットすることはできません。 |
|
Optional |
|
サポートされている信頼できるメッセージングのバージョン(複数可)。 複数のバージョンが有効な場合、生成されたWSDLでは、指定されたバージョンについてポリシーの選択肢がリストされ、クライアントで特定のバージョンを選択できるようになります。クライアントでは、指定されたシーケンスでのすべての相互作用に対して、選択したバージョンを一貫して使用する必要があります。 次の値が有効です。
|
|
Optional |
|
メッセージの非バッファ受信がリクエストされていることを示すフラグ。 この値はシーケンスの作成時に設定され、リセットすることはできません。 |
|
Optional |
|
非アクティブの間隔を定義するミリ秒数。この時間が経過した時点で、宛先エンドポイントでソース・エンドポイントからのメッセージを受信していない場合、宛先エンドポイントでは、非アクティブであるためにシーケンスが終了したと判断されることがあります。ソース・エンドポイントの場合も同様です。デフォルトで、シーケンスがタイムアウトになることはありません。 RM送信元とRM宛先の実装では、シーケンスに関連付けられたリソースを任意に管理できますが、非アクティブ・タイムアウトの経過後に送信元および宛先がそのシーケンスを使用できるという保証はありません。 指定する値は、正の値とし、XMLスキーマの期間を表す字句形式( 値は順序の作成時に設定され、リセットできません。 |
|
Optional |
|
呼び出されたWebLogic ServerインスタンスのJMSキューが、操作が正常に呼び出されるまでWebサービスの実装にメッセージの配信を試みる回数。 |
|
Optional |
|
信頼できるメッセージングが必要かどうかを指定するフラグ。 このフラグによって、サービス・エンドポイントでは、様々なクライアントとの信頼できる通信と信頼性の低い通信をサポートできるようになります。 optionalを 操作レベルで必要なWS-RMポリシーと組み合せて使用した場合、明示的なWS-RMポリシーを指定していない操作は、WS-RMプロトコルを使用して呼び出す必要はありませんが、明示的なWS-RMポリシーを指定した操作は、WS-RMプロトコルを使用して呼び出す必要があります。 |
|
Optional |
|
「reference.priority」を参照してください。 |
なし |
Optional |
|
信頼できるメッセージングの配信保証。 次の値が有効です。
|
|
Optional |
|
メッセージが送信された順序で配信されることを指定するフラグ。 |
|
Optional |
|
信頼性のあるWebサービスの有効期限が切れ、これ以上の新しいシーケンス・メッセージを受け付けなくなるまでの時間の長さ。 順序が完了する前にこの期限に達すると、強制終了されます。 指定する値は、正の値とし、XMLスキーマの期間を表す字句形式( この値はシーケンスの作成時に設定され、リセットすることはできません。 |
|
Optional |
|
信頼性のある順序内のメッセージを保護するために、 |
|
Optional |
|
信頼性のある順序内のメッセージを保護するために、 存在する場合、このアサーションは、 |
|
Optional |
|
バックオフ・アルゴリズム。 宛先エンドポイントが、基本の再送信間隔( 次の値が有効です。
この値はシーケンスの作成時に設定され、リセットすることはできません。 |
|
Optional |
|
前の送信が失敗した場合に、RM宛先にメッセージを再送信するまでに経過する必要がある時間間隔。 この間隔をバックオフ・アルゴリズム( 指定する値は、正の値とし、XMLスキーマの期間を表す字句形式( この値はシーケンスの作成時に設定され、リセットすることはできません。 |
|
Optional |
|
RM送信元でサポートされている信頼できるメッセージングのバージョン(複数可)。 サービスのWSDLに、複数のRMバージョンについてのポリシー選択肢が含まれる場合は、クライアントではこの属性を使用して特定のバージョンを選択できます。WSDLに複数のRMバージョンが含まれ、この属性が明示的には設定されていない場合、RM 1.2が使用されるか、WSDLにRM 1.2が含まれない場合は、WSDL内でバージョン番号が一番大きいバージョンが使用されます。 次の値が有効です。
WSDLにRMバージョンが1つしか含まれない場合、この属性は無視され、WSDL内のそのバージョンが使用されます。 その他の可能な値は、DEFAULT、WS_RM_1_0およびWS_RM_1_1です。 |
|
Optional |
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: WS RM10ポリシー
カテゴリ: 信頼できるメッセージング
注意: このポリシーは非推奨になりました。「oracle/reliable_messaging_policy」 で説明しているように、oracle/reliable_messagingポリシーの使用をお薦めします。 |
説明
Web Services Reliable Messagingプロトコルのバージョン1.0を構成します。このポリシーは、SOAPベースのすべてのクライアントまたはエンドポイントにアタッチできます。
Webサービス・クライアントは、実行時にWSDLポリシー・アサーションを自動的に検出して使用し、クライアントで通知済バージョンの信頼できるメッセージングを有効にします。
マルチメッセージ・シーケンスの場合、クライアント・コードには、シーケンス境界を区切るメソッドの明示的な呼び出しが含まれている必要があります。そうしない場合、各メッセージは独自のシーケンスでラップされます。クライアントを編集して、サービスに送信されるメッセージの信頼できるメッセージング・セッションを有効にします。oracle.webservices.rm.client.RMSessionLifecycle
インタフェースは、信頼できるメッセージング・シーケンス境界を区切るメカニズムをクライアントに提供します。
例17-1に、サーブレット・クライアントを示します。この例では、新規TestServiceが作成されます。クライアントがサービスと通信するときに使用されるTestPortが取得されます。ポート・オブジェクトがRMSessionLifecycle
オブジェクトにキャストされ、信頼できるメッセージング・セッションがそのオブジェクト上で開かれます(openSession
)。メッセージがサービスに送信されると、セッションは終了します(closeSession
)。
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-47は、信頼できるメッセージング・ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-47 wsrm10_policyの構成プロパティ
Name | 説明 | デフォルト | 必須 |
---|---|---|---|
|
配信の保証。次のように配信の保証タイプを定義します。
また、メッセージが送信された順序で配信されるかどうかを構成できます。 有効な値は、次のとおりです。
|
|
Optional |
|
メッセージ・ストアのタイプ。 次の値が有効です。
|
|
Optional |
|
メッセージ・ストアの名前。 |
|
Optional |
|
JDBCデータ・ソースへのJNDI参照。このフィールドは、StoreTypeがJDBCに設定されている場合のみ有効です。この値は、jdbc-connection-urlより優先されます。ユーザー名とパスワードは、両方存在する場合に使用されます。 |
jdbc/MessagesStore |
Optional |
|
非アクティブの間隔を定義するミリ秒数。この時間が経過した時点で、宛先エンドポイントでソース・エンドポイントからのメッセージを受信していない場合、宛先エンドポイントでは、非アクティブであるためにシーケンスが終了したと判断されることがあります。ソース・エンドポイントの場合も同様です。デフォルトで、シーケンスがタイムアウトになることはありません。 RM送信元とRM宛先の実装では、シーケンスに関連付けられたリソースを任意に管理できますが、非アクティブ・タイムアウトの経過後に送信元および宛先がそのシーケンスを使用できるという保証はありません。 |
|
Optional |
|
前の送信が失敗した場合に、RM宛先にメッセージを再送信するまでに経過する必要がある時間間隔。 |
|
Optional |
表示名: WS RM11ポリシー
カテゴリ: 信頼できるメッセージング
注意: このポリシーは非推奨になりました。「oracle/reliable_messaging_policy」 で説明しているように、oracle/reliable_messagingポリシーの使用をお薦めします。 |
説明
Web Services Reliable Messagingプロトコルのバージョン1.1を構成します。このポリシーは、SOAPベースのすべてのクライアントまたはエンドポイントにアタッチできます。
Webサービス・クライアントは、実行時にWSDLポリシー・アサーションを自動的に検出して使用し、クライアントで通知済バージョンの信頼できるメッセージングを有効にします。
マルチメッセージ・シーケンスの場合、クライアント・コードには、シーケンス境界を区切るメソッドの明示的な呼び出しが含まれている必要があります。そうでない場合、各メッセージは独自のシーケンスでラップされます。サービスに送信されるメッセージに対して信頼できるメッセージング・セッションを有効にするようクライアントを編集してください。oracle.webservices.rm.client.RMSessionLifecycle
インタフェースは、信頼できるメッセージング・シーケンス境界を区切るメカニズムをクライアントに提供します。
例17-1に、サーブレット・クライアントを示します。この例では、新規TestServiceが作成されます。クライアントがサービスと通信するときに使用されるTestPortが取得されます。ポート・オブジェクトがRMSessionLifecycle
オブジェクトにキャストされ、信頼できるメッセージング・セッションがそのオブジェクト上で開かれます(openSession
)。メッセージがサービスに送信されると、セッションは終了します(closeSession
)。
注意: 次のことに注意してください。
|
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-47は、このポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-48は、事前定義済のOWSM認証のみセキュリティ・ポリシーの概要を示しています。
注意: Kerberos over SSLおよびSPNEGOの2つの認証のみシナリオには、事前定義済のポリシーはありません。これらのシナリオを使用するには、「事前定義済アサーション・テンプレート」で説明されているKerberos over SSLおよびSPNEGOアサーション・テンプレートを使用する独自のポリシーを作成します。 |
表17-48 事前定義済のOWSM認証のみポリシー
ポリシー名 | 説明 |
---|---|
oracle/http_basic_auth_over_ssl_client_policy |
アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込んで、トランスポート・プロトコルがHTTPSであることを検証します。 |
oracle/http_basic_auth_over_ssl_service_policy |
HTTPヘッダー内の資格証明を使用して、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。 |
oracle/http_oam_token_service_policy |
OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。 |
oracle/http_saml20_token_bearer_client_policy |
HTTPヘッダーにSAML Bearer V2.0トークンを組み込みます。 |
oracle/http_saml20_token_bearer_service_policy |
HTTPヘッダー内の、確認方式がBearerとなっているSAML v2.0トークンに指定されている資格証明を使用して、ユーザーを認証します。 |
oracle/http_saml20_token_bearer_over_ssl_client_policy |
HTTPヘッダーにSAML Bearer v2.0トークンを組み込みます。確認方式がBearerとなっているSAMLトークンが自動的に作成され、トランスポート・プロトコルがSSLメッセージ保護を提供していることが検証されます。 |
oracle/http_saml20_bearer_token_over_ssl_service_policy |
HTTPヘッダー内の、確認方式がBearerとなっているSAML v2.0トークンに指定されている資格証明を使用して、ユーザーを認証し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。 |
oracle/multi_token_rest_service_policy |
クライアントが送信するトークンに基づいて、次の認証ポリシーのいずれかを実行します。
|
oracle/multi_token_over_ssl_rest_service_policy |
クライアントが送信するトークンに基づいて、次の認証ポリシーのいずれかを実行します。
|
oracle/no_authentication_client_policy |
クライアント・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認証ポリシーを上位スコープで効率よく無効化します。 |
oracle/no_authentication_service_policy |
サービス・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認証ポリシーを上位スコープで効率よく無効化します。 |
oracle/wss_http_token_client_policy |
アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込みます。 |
oracle/wss_http_token_service_policy |
HTTPヘッダー内の資格証明を使用して、OPSSアイデンティティ・ストアに対してユーザーを認証します。 |
oracle/wss_username_token_client_policy |
すべてのアウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を組み込みます。 |
oracle/wss_username_token_service_policy |
UsernameToken WS-Security SOAPヘッダー内の資格証明を使用してユーザーを認証します。 |
oracle/wss10_saml_token_client_policy |
アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込みます。 |
oracle/wss10_saml_token_service_policy |
WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明を使用してユーザーを認証します。 |
oracle/wss10_saml20_token_client_policy |
アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込みます。 |
oracle/wss10_saml20_token_service_policy |
WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明を使用してユーザーを認証します。 |
oracle/wss11_kerberos_token_client_policy |
WS-Security Kerberos Token Profile v1.1標準に従い、WS-SecurityヘッダーにKerberosトークンを組み込みます。 |
oracle/wss11_kerberos_token_service_policy |
SOAPヘッダーからKerberosトークンを抽出して、ユーザーを認証します。 |
表示名: HTTP Basic Auth Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込んで、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのクライアント・エンドポイントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-34「wss_http_token_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」で説明されているように、一方向を構成します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、管理コンソールを使用して、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
表示名: HTTP Basic Auth Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
HTTPヘッダー内の資格証明を使用して、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのエンドポイントで実行できます。
注意: このポリシーの機能は、oracle/wss_http_token_over_ssl_service_policyに似ています。相違点は、oracle/wss_http_token_over_ssl_service_policy では、require-tls 要素内のinclude-timestamp 属性を有効化して、リプレイ攻撃を防止できることです。この機能は、RESTfulサービスには適用されません。require-tls 要素の詳細は、「orasp:require-tls」を参照してください。 |
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションはWSDLで通知されています。
注意: WADLファイルでのポリシー・アサーションの通知はサポートされていません。関連づけられたポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。 |
構成
このポリシーを構成する手順は次のとおりです。
表18-35「wss_http_token_over_ssl_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」で説明されているように、一方向SSLを構成します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、管理コンソールを使用して、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
表示名: HTTP OAMサービス・ポリシー
カテゴリ: セキュリティ
説明
OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。このポリシーは、HTTPベースのエンドポイントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションはWSDLで通知されていません。
注意: WADLファイルでのポリシー・アサーションの通知はサポートされていません。関連づけられたポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。 |
構成
このポリシーを構成する手順は次のとおりです。
表18-3「http_oam_token_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
HTTP OAMセキュリティを実行するには、OAM WebGateを構成して、リクエストのインターセプト、ユーザーの認証およびOAM_REMOTE_USER HTTP
ヘッダーの設定を行います。OWSMは、リクエストを許可する前に、OAM_REMOTE_USER_HTTP
ヘッダーの有無を確認します。
詳細は、次を参照してください:
『WebGates for Oracle Access Managerのインストール』のOAMのためのOracle HTTP Server 11g Webゲートのインストールと構成に関する項。
Oracle Access Manager with Oracle Security Token Service管理者ガイド
表示名: HTTP Saml Bearer V2.0トークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
HTTPヘッダーにSAML Bearer V2.0トークンを組み込みます。確認方法がBearerのSAMLトークンが自動的に作成されます。このポリシーは、HTTPベースのクライアント・エンドポイントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションは通知されています。
構成
このポリシーを構成するには、表18-5「http_saml20_token_bearer_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
設計時の考慮事項
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、設計時にWebサービス・クライアントにSAMLを構成します。
表示名: HTTP Saml Bearer V2.0トークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
HTTPヘッダー内の、確認方式がBearerとなっているSAML v2.0トークンに指定されている資格証明を使用して、ユーザーを認証します。SAMLトークンの資格証明は、SAML v2.0ログイン・モジュールに対して認証されます。このポリシーは、HTTPベースのエンドポイントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションはWSDLで通知されています。
注意: WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。 |
構成
このポリシーを構成する手順は次のとおりです。
表18-6「http_saml20_token_bearer_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成してOPSSを設定します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」
で説明しているように、saml2.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
表示名: HTTP Saml Bearer V2.0 Token Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
HTTPヘッダーにSAML Bearer v2.0トークンを組み込みます。確認方式がBearerとなっているSAMLトークンが自動的に作成され、トランスポート・プロトコルがSSLメッセージ保護を提供していることが検証されます。このポリシーは、HTTPベースのクライアント・エンドポイントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションは通知されています。
注意: WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。 |
構成
このポリシーを構成する手順は次のとおりです。
表18-5「http_saml20_token_bearer_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「Webサービス・クライアントに関するSSLの構成」で説明されているように、一方向SSLを構成します。
設計時の考慮事項
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、設計時にWebサービス・クライアントにSAMLを構成します。
表示名: HTTP Saml Bearer V2.0トークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
HTTPヘッダー内の、確認方式がBearerとなっているSAML v2.0トークンに指定されている資格証明を使用して、ユーザーを認証し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。SAMLトークンの資格証明は、SAML v2.0ログイン・モジュールに対して認証されます。このポリシーは、HTTPベースのエンドポイントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションはWSDLで通知されています。
注意: WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。 |
構成
このポリシーを構成する手順は次のとおりです。
表18-6「http_saml20_token_bearer_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成してOPSSを設定します。
「WebLogic ServerへのSSLの構成(一方向)」で説明されているように、一方向SSLを構成します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」
で説明しているように、saml2.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
表示名: 複数トークンRESTfulサービス・ポリシー
カテゴリ: セキュリティ
説明
クライアントが送信するトークンに基づいて、次の認証ポリシーのいずれかを実行します。
HTTP Basic: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
HTTPヘッダーのSAML v2.0 Bearerトークン: HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
HTTP OAMセキュリティ: OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。
SPNEGO over HTTPセキュリティ: Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO)トークンをHTTPヘッダーから抽出します。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
oracle/http_oam_token_service_template(サーバー側でのみOAM保護を提供します。)
oracle/http_saml20_token_bearer_client_template
およびoracle/http_spengo_token_service_template
ポリシー・アサーションは通知されています。
wss_http_token_client_template
およびoracle/http_oam_token_service_template
アサーションはWSDLで通知されていません。
注意: WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。 |
構成
このポリシーを構成する手順は次のとおりです。
クライアントから送信されたトークンに基づいて、次の各項のいずれかで定義された構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
HTTP OAMセキュリティを構成する手順は次のとおりです。
OAMコンソールを使用して、OAMサービス・エンドポイントをanonymous
として構成します。
クライアント・リクエストをインターセプトし、ユーザーを認証し、OAM_REMOTE_USER HTTP
ヘッダーを設定するように、OAM WebGateを構成します。OWSMは、リクエストを許可する前に、OAM_REMOTE_USER_HTTP
ヘッダーの有無を確認します。
詳細は、次を参照してください:
『WebGates for Oracle Access Managerのインストール』のOAMのためのOracle HTTP Server 11g Webゲートのインストールと構成に関する項。
Oracle Access Manager with Oracle Security Token Service管理者ガイド
表示名: Multi Token Over SSL RESTfulサービス・ポリシー
カテゴリ: 構成
説明
クライアントが送信するトークンに基づいて、次の認証ポリシーのいずれかを実行します。
HTTP Basic over SSL: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
HTTPヘッダーのSAML 2.0 Bearerトークン(SSL経由): HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
HTTP OAMセキュリティ(SSL以外): OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。
SPNEGO over HTTPセキュリティ(非SSL): SPNEGOトークン情報をHTTPヘッダーから抽出します。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
oracle/wss_http_token_over_ssl_client_template
、oracle/http_samle20_token_bearer_service_template
、およびoracle/http_spengo_token_service_template
アサーションはWSDLで通知されています。
oracle/http_oam_token_service_template
アサーションはWSDLで通知されていません。
注意: WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。 |
構成
このポリシーを構成する手順は次のとおりです。
クライアントから送信されたトークンに基づいて、次の各項のいずれかで定義された構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
HTTP OAMセキュリティを構成する手順は次のとおりです。
OAMコンソールを使用して、OAMサービス・エンドポイントをanonymous
として構成します。
リクエストをインターセプトし、ユーザーを認証し、OAM_REMOTE_USER HTTP
ヘッダーを設定するように、OAM WebGateを構成します。OWSMは、リクエストを許可する前に、OAM_REMOTE_USER_HTTP
ヘッダーの有無を確認します。
詳細は、次を参照してください:
『WebGates for Oracle Access Managerのインストール』のOAMのためのOracle HTTP Server 11g Webゲートのインストールと構成に関する項。
Oracle Access Manager with Oracle Security Token Service管理者ガイド
表示名: 動作認証クライアントなしポリシー
カテゴリ: セキュリティ
説明
クライアント・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認証ポリシーを上位スコープで効率よく無効化します。グローバルにアタッチされたポリシーに、認証アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効化されます。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-49は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-49 oracle/no_authentication_client_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: 動作認証サービスなしポリシー
カテゴリ: セキュリティ
説明
サービス・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認証ポリシーを上位スコープで効率よく無効化します。グローバルにアタッチされたポリシーに、認証アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効化されます。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-50は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-50 oracle/no_authentication_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: Wss HTTPトークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込みます。クライアントは、HTTPヘッダーに資格証明を渡す必要があります。このポリシーは、HTTPベースのクライアントで実行できます。
注意: 現在サポートされているのはHTTP Basic認証のみです。 |
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-11「wss_http_token_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法については、「資格証明ストアへの鍵およびユーザー資格証明の追加」を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
クライアントは、HTTPヘッダーに資格証明を渡す必要があります。
説明
HTTPヘッダー内の資格証明を使用して、OPSSアイデンティティ・ストアに対してユーザーを認証します。このポリシーは、HTTPベースのエンドポイントで実行できます。
Webサービスは、提供されたユーザー名とパスワードの資格証明を、構成済の認証ソースに対して認証する必要があります。
注意: 現在サポートされているのはHTTP Basic認証のみです。 |
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-12「wss_http_token_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
Webサービスは、提供されたユーザー名とパスワードの資格証明を、構成済の認証ソースに対して認証する必要があります。「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
表示名: Wssユーザー名トークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
すべてのアウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を組み込みます。このポリシーは、SOAPベースのすべてのクライアントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーでは、プレーン・テキスト・パスワードがサポートされます。このクライアント・ポリシーは、oracle/wss_username_token_service_policy
サービス・エンドポイント・ポリシーに類似しています。
注意: このポリシーでは、パスワードがクリア・テキストで送信されます。このポリシーは、セキュリティが低くても問題にならない場合のみ、または他のメカニズムでトランスポートが保護されていることがはっきりしている場合に使用してください。または、次のことを検討してください。
|
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-14「wss_username_token_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法については、「資格証明ストアへの鍵およびユーザー資格証明の追加」を参照してください。
「設定」ページでパスワード・タイプを「なし」に指定した場合、キーにパスワードを含める必要はありません。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
SOAPリクエスト・メッセージにWS-Security UsernameToken要素(<wsse:UsernameToken/>
)を組み込みます。また、クライアントは、認証用にユーザー名とパスワードを提供します。
表示名: Wssユーザー名トークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
UsernameToken WS-Security SOAPヘッダー内の資格証明を使用してユーザーを認証します。このポリシーでは、プレーン・テキスト・パスワードがサポートされます。
注意: このポリシーでは、パスワードがクリア・テキストで送信されます。このポリシーは、セキュリティが低くても問題にならない場合のみ、または他のメカニズムでトランスポートが保護されていることがはっきりしている場合に使用してください。または、次のことを検討してください。
|
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-15「wss_username_token_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
表示名: Wss10 SAMLトークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込みます。このポリシーは、SOAPベースのクライアントで実行できます。
注意: このポリシーは安全ではなく、デモの目的でのみ提供されます。SAML発行者の名前は存在しますが、SAMLトークンは署名されません。そのため、メッセージの改ざんが可能です。 |
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-17「wss10_saml_token_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成してOPSSを設定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、設計時にWebサービス・クライアントにSAMLを構成します。
アウトバウンドSOAPメッセージに、SAMLトークンを挿入するWS-Securityヘッダー要素(<saml:Assertion>
)を組み込みます。確認タイプは、常にsender-vouchesです。
表示名: Wss10 SAMLトークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明を使用してユーザーを認証します。SAMLトークンの資格証明は、SAMLログイン・モジュールに対して認証されます。このポリシーは、SOAPベースのエンドポイントで実行できます。
注意: このポリシーは安全ではなく、デモの目的でのみ提供されます。SAML発行者の名前は存在しますが、SAMLトークンは署名されません。そのため、メッセージの改ざんが可能です。 |
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-18「wss10_saml_token_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成してOPSSを設定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」
で説明しているように、saml.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。
表示名: Wss10 SAML V2.0トークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込みます。このポリシーは、SOAPベースのクライアントで実行できます。
注意: このポリシーは安全ではなく、デモの目的でのみ提供されます。SAML発行者の名前は存在しますが、SAMLトークンは署名されません。そのため、メッセージの改ざんが可能です。 |
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-20「wss10_saml20_token_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成してOPSSを設定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、設計時にWebサービス・クライアントにSAMLを構成します。
アウトバウンドSOAPメッセージに、SAMLトークンを挿入するWS-Securityヘッダー要素(<saml:Assertion>
)を組み込みます。確認タイプは、常にsender-vouchesです。
表示名: Wss10 SAML V2.0トークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明を使用してユーザーを認証します。SAMLトークンの資格証明は、SAMLログイン・モジュールに対して認証されます。このポリシーは、SOAPベースのエンドポイントで実行できます。
注意: このポリシーは安全ではなく、デモの目的でのみ提供されます。SAML発行者の名前は存在しますが、SAMLトークンは署名されません。そのため、メッセージの改ざんが可能です。 |
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-21「wss10_saml20_token_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成してOPSSを設定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」
で説明しているように、saml2.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。
表示名: Wss11 Kerberosトークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
WS-Security Kerberos Token Profile v1.1標準に従い、WS-SecurityヘッダーにKerberosトークンを組み込みます。このポリシーは、MITおよびActive Directory KDCと互換性があります。このポリシーは、SOAPベースのクライアントで実行できます。
サービス・プリンシパル名(SPN)は、Kerberos認証のキー・コンポーネントです。SPNは、サーバー上で動作するサービスの一意の識別子です。Kerberos認証を使用するすべてのサービスにSPNを設定し、クライアントがネットワーク上のサービスを識別できるようにする必要があります。サービスにSPNが設定されていない場合、クライアントではそのサービスを特定できないため、Kerberos認証を使用できなくなります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-23「wss11_kerberos_token_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「Kerberosトークンの構成」で説明されているように、Kerberosを構成します。
Kerberosクライアント側ポリシーを実行するWebサービス・クライアントは、アクセスを試行するサービスのサービス・プリンシパル名を認識している必要があります。「ポリシー構成プロパティのオーバーライド」
で説明されているように、service.principal.nameの値を指定できます。デフォルト値(プレースホルダ)は、HOST/localhost@oracle.com
です。
設計時の考慮事項
設計時に次の手順を実行します。
「Kerberosトークンの構成」で説明されているように、Kerberosを構成します。
サービス・プリンシパル名(service.principal.name
)を設定します。サービス・プリンシパル名は、クライアントがKDCにリクエストするチケットに対応するサービス・プリンシパルの名前を指定します。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
Kerberos認証が成功した場合、取得されたKerberosチケットとオーセンティケータを、SOAPセキュリティ・ヘッダーのBinarySecurityToken
要素で囲まれたWebサービスに送信します。
表示名: Wss11 Kerberosトークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
SOAPヘッダーからKerberosトークンを抽出して、ユーザーを認証します。このポリシーは、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。コンテナには、OPSSを介して構成されたKerberosインフラストラクチャが含まれている必要があります。このポリシーは、MITおよびActive Directory KDCと互換性があります。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
サービス・プリンシパル名(SPN)は、Kerberos認証のキー・コンポーネントです。SPNは、サーバー上で動作するサービスの一意の識別子です。Kerberos認証を使用するすべてのサービスにSPNを設定し、クライアントがネットワーク上のサービスを識別できるようにする必要があります。サービスにSPNが設定されていない場合、クライアントではそのサービスを特定できないため、Kerberos認証を使用できなくなります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-24「wss11_kerberos_token_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「Kerberosログイン・モジュールの構成」
で説明しているように、krb5.loginmoduleログイン・モジュールを構成します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
表17-51は、事前定義済のOWSM認可のみセキュリティ・ポリシーの概要を示しています。
表17-51 事前定義済のOWSM認可のみポリシー
ポリシー名 | 説明 |
---|---|
oracle/binding_authorization_denyall_policy |
SOAPバインディング・レベルで認証されたサブジェクトに基づいた、簡単なロールベースの認可ポリシーを提供します。 |
oracle/binding_authorization_permitall_policy |
SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロールベースの認可を行います。 |
oracle/binding_permission_authorization_policy |
認証されたサブジェクトに基づいた、権限ベースの認可ポリシーを提供します。 |
oracle/component_authorization_denyall_policy |
認証されたサブジェクトに基づいた、簡単なロールベースの認可ポリシーを提供します。 |
oracle/component_authorization_permitall_policy |
認証されたサブジェクトに基づいた、簡単なロールベースの認可ポリシーを提供します。 |
oracle/component_permission_authorization_policy |
認証されたサブジェクトに基づいた、権限ベースの認可ポリシーを提供します。 |
oracle/no_authorization_component_policy |
SOAコンポーネントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認可ポリシーを上位スコープで効率よく無効化します。 |
oracle/no_authorization_service_policy |
サービス・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認可ポリシーを上位スコープで効率よく無効化します。グローバルにアタッチされたポリシーに、認可アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効になります。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。 |
oracle/whitelist_authorization_policy |
次のいずれかの条件が該当する場合のみ、リクエストを受け取ります。
|
表示名: バインディング認可DenyAllポリシー
カテゴリ: セキュリティ
説明
SOAPバインディング・レベルで認証されたサブジェクトに基づいた、簡単なロールベースの認可ポリシーを提供します。このポリシーは、ロールを持つすべてのユーザーを拒否します。サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SOAPベースの任意のエンドポイントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-109「binding_authorization_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
1つ以上のWebLogic Serverエンタープライズ・ロールを指定する場合、認証されたサブジェクトにそのロールがすでに付与されている必要があります。Oracle WebLogic Server管理コンソール・オンライン・ヘルプで説明されているように、WebLogic Server管理コンソールを使用して、ロールをユーザーまたはグループに付与します。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。
表示名: バインディング認可PermitAllポリシー
カテゴリ: セキュリティ
説明
SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロールベースの認可を行います。このポリシーは、ロールを持つすべてのユーザーを許可します。サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SOAPベースの任意のエンドポイントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-109「binding_authorization_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
1つ以上のWebLogic Serverエンタープライズ・ロールを指定する場合、認証されたサブジェクトにそのロールがすでに付与されている必要があります。Oracle WebLogic Server管理コンソール・オンライン・ヘルプで説明されているように、WebLogic Server管理コンソールを使用して、ロールをユーザーまたはグループに付与します。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。
表示名: バインディング権限ベース認可ポリシー
カテゴリ: セキュリティ
説明
認証されたサブジェクトに基づいた、権限ベースの認可ポリシーを提供します。このポリシーは、サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SOAPベースの任意のエンドポイントにアタッチできます。
このポリシーは、サブジェクトに操作を実行する権限があることを保証します。これを行うため、認可ポリシー・エグゼキュータはOPSSを利用し、認証されたサブジェクトに、パラメータとして「リソース・パターン」
と「アクション・パターン」
を使用してoracle.wsm.security.WSFunctionPermission
(または「権限チェック・クラス」
で指定された任意の権限クラス)が付与されているかどうかを確認します。詳細は、「認可権限の決定」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-111「binding_permission_authorization_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
Fusion Middleware Controlを使用して、Webサービスに対する認証を試行するユーザー、グループまたはアプリケーションにWSFunctionPermission
権限を付与します。
オプションで、このポリシーのpermission_class
構成プロパティを変更します。これは、JAAS標準に従って権限クラスを識別します。クラスは、サーバー・クラスパスに存在する必要があります。カスタムの権限クラスは、抽象的な権限
クラスを拡張し、シリアライズ可能な
インタフェースを実装する必要があります。http://docs.oracle.com/javase/7/docs/api/java/security/Permission.html
にあるJavadocを参照してください。デフォルトは、oracle.wsm.security.WSFunctionPermission
です。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。
表示名: コンポーネント認可DenyAllポリシー
カテゴリ: セキュリティ
説明
認証されたサブジェクトに基づいた、簡単なロールベースの認可ポリシーを提供します。このポリシーは、ロールを持つすべてのユーザーを拒否します。サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SCAベースの任意のエンドポイントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-113「component_authorization_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
1つ以上のWebLogic Serverエンタープライズ・ロールを指定する場合、認証されたサブジェクトにそのロールがすでに付与されている必要があります。Oracle WebLogic Server管理コンソール・オンライン・ヘルプで説明されているように、WebLogic Server管理コンソールを使用して、ロールをユーザーまたはグループに付与します。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。
表示名: コンポーネント認可PermitAllポリシー
カテゴリ: セキュリティ
説明
認証されたサブジェクトに基づいた、簡単なロールベースの認可ポリシーを提供します。このポリシーは、ロールを持つすべてのユーザーを許可します。サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SCAベースの任意のエンドポイントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-113「component_authorization_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
1つ以上のWebLogic Serverエンタープライズ・ロールを指定する場合、認証されたサブジェクトにそのロールがすでに付与されている必要があります。Oracle WebLogic Server管理コンソール・オンライン・ヘルプで説明されているように、WebLogic Server管理コンソールを使用して、ロールをユーザーまたはグループに付与します。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。
表示名: コンポーネント権限ベース認可ポリシー
カテゴリ: セキュリティ
説明
認証されたサブジェクトに基づいた、権限ベースの認可ポリシーを提供します。このポリシーは、サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SCAベースの任意のエンドポイントにアタッチできます。
このポリシーは、サブジェクトに操作を実行する権限があることを保証します。これを行うため、認可ポリシー・エグゼキュータはOPSSを利用し、認証されたサブジェクトに、パラメータとして「リソース・パターン」
と「アクション・パターン」
を使用してoracle.wsm.security.WSFunctionPermission
(または「権限チェック・クラス」
で指定された任意の権限クラス)が付与されているかどうかを確認します。「リソース・パターン」
と「アクション・パターン」
は、認可アサーションがこの特定のリクエストに対して実行されるかどうかを識別するために使用されます。認証されたサブジェクトにWSFunctionPermission
が付与されている場合、アクセスは許可されます。詳細は、「認可権限の決定」を参照してください。
WSFunctionPermission
権限を、ユーザー、グループまたはアプリケーション・ロールに付与できます。WSFunctionPermission
をユーザーまたはグループに付与した場合、この権限は、ドメインにデプロイされているすべてのアプリケーションに適用されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-115「component_permission_authorization_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
Fusion Middleware Controlを使用して、Webサービスに対する認証を試行するユーザー、グループまたはアプリケーションにWSFunctionPermission
権限を付与します。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。
表示名: 動作認可コンポーネントなしポリシー
カテゴリ: セキュリティ
説明
SOAコンポーネントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認可ポリシーを上位スコープで効率よく無効化します。グローバルにアタッチされたポリシーに、認可アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効化されます。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-52は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-52 oracle/no_authorization_component_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: 動作認可サービスなしポリシー
カテゴリ: セキュリティ
説明
サービス・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認可ポリシーを上位スコープで効率よく無効化します。グローバルにアタッチされたポリシーに、認可アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効になります。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-53は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-53 oracle/no_authorization_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: 制約ベース認可ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、ロールベースの認可ポリシーの特殊なケースです。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
次のいずれかの条件が該当する場合のみ、リクエストを受け取ります。
認証されたトークンがSAML送信者保証の場合。
ユーザーが特定のロールの場合(デフォルトはtrustedEnterpriseRole
であり、ユーザーを信頼できるエンティティとして確立します
リクエストがプライベート・ネットワークから届いている場合。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
whitelist_authorization_policy
がアタッチされたサービスを正常に起動するには、次のいずれかの操作を実行する必要があります。
サービスが認証でSAML送信者保証を受け入れる場合(たとえば、SAMLトークン・サービス・ポリシーがサービスにアタッチされている場合)、対応するSAMLトークン・クライアント・ポリシーをクライアントにアタッチする必要があります。
サービスが認証でユーザー名/パスワードを受け入れる場合(たとえば、ユーザー名トークン・サービス・ポリシーがサービスにアタッチされている場合)、対応するユーザー名トークン・クライアント・ポリシーをクライアントにアタッチし、クライアントが、ポリシーで定義される信頼できるロールであることを確認する必要があります。(デフォルトでは、事前定義済ポリシーで定義されるロールはtrustedEnterpriseRole
です。事前定義済ポリシー内のこのロールを変更する必要があります。)
サービスが、Oracle HTTP Serverを使用して起動され、プライベート内部ネットワークからのリクエストであることを示すよう構成されている場合(「リクエスト元を指定するためのOracle HTTP Serverの構成」を参照)、内部ネットワーク上のクライアントのみが、対応するユーザー名トークン・クライアント・ポリシーをクライアント側でアタッチする必要があります。
OPSSを設定する手順は次のとおりです。
1つ以上のWebLogic Serverエンタープライズ・ロールを指定する場合、認証されたサブジェクトにそのロールがすでに付与されている必要があります。Oracle WebLogic Server管理コンソール・オンライン・ヘルプで説明されているように、WebLogic Server管理コンソールを使用して、ロールをユーザーまたはグループに付与します。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成する必要があります。
「制約パターン」プロパティ設定には、リクエストが内部ネットワークまたは外部ネットワークから発行されたかどうかを指定するrequestOrigin
フィールドが含まれています。このプロパティは、Oracle HTTP Serverを使用しており、Oracle HTTP Server管理者がカスタムのVIRTUAL_HOST_TYPE
ヘッダーをリクエストに追加した場合のみ有効です。Oracle HTTP Serverを構成するには、「リクエスト元を指定するためのOracle HTTP Serverの構成」を参照してください。
表17-54は、事前定義済のOWSMメッセージ保護のみセキュリティ・ポリシーの概要を示しています。
表17-54 事前定義済メッセージ保護のみセキュリティ・ポリシー
ポリシー名 | 説明 |
---|---|
oracle/no_messageprotection_client_policy |
クライアント・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたメッセージ保護ポリシーを上位スコープで効率よく無効化します。 |
oracle/no_messageprotection_service_policy |
サービス・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたメッセージ保護ポリシーを上位スコープで効率よく無効化します。 |
oracle/wss10_message_protection_client_policy |
WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性と機密保護)を行います。 |
oracle/wss10_message_protection_service_policy |
WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性と機密保護)を実行します。 |
oracle/wss11_message_protection_client_policy |
WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストのメッセージの整合性および機密保護を提供します。 |
oracle/wss11_message_protection_service_policy |
WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージの整合性確保および機密保護を実行します。 |
表示名: 動作メッセージ保護クライアントなしポリシー
カテゴリ: セキュリティ
説明
クライアント・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたメッセージ保護ポリシーを上位スコープで効率よく無効化します。グローバルにアタッチされたポリシーに、メッセージ保護アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効化されます。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-55は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-55 oracle/no_messageprotection_client_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: 動作メッセージ保護サービスなしポリシー
カテゴリ: セキュリティ
説明
サービス・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたメッセージ保護ポリシーを上位スコープで効率よく無効化します。グローバルにアタッチされたポリシーに、メッセージ保護アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効化されます。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。 |
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-56は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-56 oracle/no_messageprotection_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: Wss10メッセージ保護クライアント・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性と機密保護)を行います。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-27「wss10_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを構成するには、「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアおよびWebサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
WS-Security 1.0標準に準拠して、セキュリティ・ヘッダーに署名要素および暗号化要素を組み込むことができます。
例17-2は、セキュリティ・ヘッダーに組み込まれる署名の一般的な構造を示しています。この例では、SOAPメッセージの本体要素が署名されています。
例17-2 SOAPメッセージのWS-Security 1.0メッセージ整合性
<dsig:Signature xmlns:dsig="http://www.w3.org/2000/09/xmldsig#"> <dsig:SignedInfo> <dsig:CanonicalizationMethod
Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/> <dsig:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/> <dsig:Reference URI="#Timestamp-..."> <dsig:Transforms> <dsig:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/> </dsig:Transforms> <dsig:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/> <dsig:DigestValue>...</dsig:DigestValue> </dsig:Reference> <dsig:Reference URI="#Body-..."> <dsig:Transforms> <dsig:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/> </dsig:Transforms> <dsig:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/> <dsig:DigestValue>...</dsig:DigestValue> </dsig:Reference> <dsig:Reference URI="#KeyInfo-..."> <dsig:Transforms> <dsig:Transform Algorithm="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform"> <TransformationParameters xmlns="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"> <CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" xmlns="http://www.w3.org/2000/09/xmldsig#"/> </TransformationParameters> </dsig:Transform> </dsig:Transforms> <dsig:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/> <dsig:DigestValue>...</dsig:DigestValue> </dsig:Reference> </dsig:SignedInfo> <dsig:SignatureValue>....</dsig:SignatureValue> <dsig:KeyInfo Id="KeyInfo-..."> <wsse:SecurityTokenReference xmlns="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"> <wsse:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509SubjectKeyIdentifier" EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary"> ...</wsse:KeyIdentifier> </wsse:SecurityTokenReference> </dsig:KeyInfo> </dsig:Signature>
例17-3に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
例17-3 SOAPメッセージのWS-Security 1.0メッセージ機密保護
<env:Body xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="Body-JA9fsCRnqbFJ0ocBAMKb7g22"> <xenc:EncryptedData xmlns:xenc="http://www.w3.org/2001/04/xmlenc#" Type="http://www.w3.org/2001/04/xmlenc#Content" Id="..."> <xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc"/> <xenc:CipherData> <xenc:CipherValue>...</xenc:CipherValue> </xenc:CipherData> </xenc:EncryptedData> </env:Body>
表示名: Wss10メッセージ保護サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性と機密保護)を実行します。
メッセージは、WS-Securityの非対称鍵テクノロジのBasic 128スイートを使用して保護されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-28「wss10_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。また、メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、さらにCAルート証明書も格納する必要があります。
「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.key
を使用します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
表示名: Wss11メッセージ保護クライアント・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストのメッセージの整合性および機密保護を提供します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
対称鍵テクノロジは、データの暗号化と復号化に同じ共有鍵を使用する暗号化メソッドです。対称鍵は、メッセージへの署名に使用されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-30「wss11_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアおよびWebサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
このポリシーは対称鍵テクノロジを使用します。このテクノロジは、データの暗号化と復号化に同じ共有鍵を使用する暗号化メソッドです。対称鍵は、メッセージへの署名に使用されます。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-4に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
例17-4 SOAPメッセージのWS-Security 1.1メッセージ機密保護
<xenc:EncryptedKey xmlns:xenc="http://www.w3.org/2001/04/xmlenc#" Id="EK-..."> <xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p"> <dsig:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" xmlns:dsig="http://www.w3.org/2000/09/xmldsig#" /> </xenc:EncryptionMethod> <dsig:KeyInfo xmlns:dsig="http://www.w3.org/2000/09/xmldsig#"> <wsse:SecurityTokenReference xmlns="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"> <wsse:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#ThumbprintSHA1" EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary">...</wsse:KeyIdentifier> </wsse:SecurityTokenReference> </dsig:KeyInfo> <xenc:CipherData> <xenc:CipherValue>...</xenc:CipherValue> </xenc:CipherData> <xenc:ReferenceList> <xenc:DataReference URI="#_..." /> </xenc:ReferenceList> </xenc:EncryptedKey> <env:Body xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="Body-..."> <xenc:EncryptedData xmlns:xenc="http://www.w3.org/2001/04/xmlenc#" Type="http://www.w3.org/2001/04/xmlenc#Content" Id="..."> <xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc" /> <dsig:KeyInfo xmlns:dsig="http://www.w3.org/2000/09/xmldsig#"> <wsse:SecurityTokenReference xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"> <wsse:Reference URI="#EK-..." ValueType="http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#EncryptedKey" /> </wsse:SecurityTokenReference> </dsig:KeyInfo> <xenc:CipherData> <xenc:CipherValue>...</xenc:CipherValue> </xenc:CipherData> </xenc:EncryptedData> </env:Body>
表示名: Wss11メッセージ保護サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージの整合性確保および機密保護を実行します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-31「wss11_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。また、メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、さらにCAルート証明書も格納する必要があります。
「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.key
を使用します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.enc.csf.keyの値を指定します。
表17-57は、事前定義済のOWSMメッセージ保護および認証セキュリティ・ポリシーの概要を示しています。
表17-57 事前定義済のOWSMメッセージ保護および認証ポリシー
ポリシー名 | 説明 |
---|---|
|
保護するPIIデータを暗号化します。 |
oracle/sts_trust_config_client_policy |
トークン交換用のSTSの呼出しに使用されるSTSクライアント構成情報を指定します。 |
oracle/sts_trust_config_service_policy |
トークン交換用のSTSの呼出しに使用されるSTS構成情報を指定します。 |
oracle/wss_saml_bearer_or_username_token_service_policy |
クライアントがSAMLトークンとユーザー名トークンのどちらを使用するかに基づいて、それぞれ次の認証ポリシーのいずれかを実行します。
|
oracle/wss_saml_or_username_token_service_policy |
クライアントがSAMLトークンとユーザー名トークンのどちらを使用するかに基づいて、それぞれ次の認証ポリシーのいずれかを実行します。
|
oracle/wss_saml_or_username_token_over_ssl_service_policy |
メッセージ保護(整合性と機密保護)を実行し、クライアントがSAMLトークンとユーザー名トークンのどちらを使用するかに基づいて、それぞれ次の認証ポリシーのいずれかを実行します。
|
oracle/wss_saml_token_bearer_client_policy |
アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込みます。 |
oracle/wss_saml_token_bearer_over_ssl_client_policy |
アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込みます。 |
oracle/wss_saml_token_bearer_over_ssl_service_policy |
WS-Security SOAPヘッダーの、確認方式がBearerとなっているSAMLトークンに指定されている資格証明を使用して、ユーザーを認証します。 |
oracle/wss_http_token_over_ssl_client_policy |
アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込み、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。 |
oracle/wss_http_token_over_ssl_service_policy |
HTTPヘッダー内の資格証明を抽出して、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。 |
oracle/wss_saml_token_over_ssl_client_policy |
確認タイプsender-vouchesを使用して、アウトバウンドWS-Security SOAPヘッダーに、SAMLトークンを組み込みます。 |
oracle/wss_saml_token_over_ssl_service_policy |
確認タイプsender-vouchesを使用した、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証を実行し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。 |
oracle/wss_saml20_token_bearer_over_ssl_client_policy |
アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。 |
oracle/wss_saml20_token_bearer_over_ssl_service_policy |
WS-Security SOAPヘッダー内の、確認方式がBearerとなっているSAMLトークンに指定されている資格証明を使用してユーザーを認証し、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。 |
oracle/wss_saml20_token_over_ssl_client_policy |
確認タイプsender-vouchesを使用して、アウトバウンドWS-Security SOAPヘッダーにSAMLトークンを組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。 |
oracle/wss_saml20_token_over_ssl_service_policy |
確認タイプsender-vouchesを使用した、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証を実行し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。 |
oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policy |
信頼できるSTSが発行したSAMLベアラー・アサーションを挿入します。 |
oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policy |
信頼できるSTSが発行したSAMLベアラー・アサーションを認証します。 |
oracle/wss_username_token_over_ssl_client_policy |
アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。 |
oracle/wss_username_token_over_ssl_service_policy |
WS-Security UsernameToken SOAPヘッダー内の資格証明を使用して、OPSS構成済アイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。 |
oracle/wss_username_token_over_ssl_wssc_client_policy |
アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。 |
oracle/wss_username_token_over_ssl_wssc_service_policy |
WS-Security UsernameToken SOAPヘッダー内の資格証明を使用して、OPSS構成済アイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。 |
oracle/wss10_saml_hok_token_with_message_protection_client_policy |
WS-Security 1.0標準に従い、アウトバウンドSOAPメッセージに対して、メッセージ保護(整合性と機密保護)およびSAML鍵所有者ベースの認証を実行します。 |
oracle/wss10_saml_hok_token_with_message_protection_service_policy |
WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAML鍵所有者ベースの認証を実行します。 |
oracle/wss10_saml_token_with_message_integrity_client_policy |
WS-Security 1.0標準に従い、アウトバウンドSOAPメッセージに対して、メッセージ・レベルの整合性およびSAMLベースの認証を実行します。 |
oracle/wss10_saml_token_with_message_integrity_service_policy |
WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ・レベルの整合性の保護およびSAMLベースの認証を実行します。 |
oracle/wss10_saml_token_with_message_protection_client_policy |
WS-Security 1.0標準に従い、アウトバウンドSOAPメッセージに対して、メッセージ・レベルの保護およびSAMLベースの認証を実行します。 |
oracle/wss10_saml_token_with_message_protection_service_policy |
WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAMLベースの認証を実行します。 |
oracle/wss10_saml_token_with_message_protection_ski_basic256_client_policy |
WS-Security 1.0標準に従い、アウトバウンドSOAPメッセージに対して、メッセージ・レベルの保護およびSAMLベースの認証を実行します。 |
oracle/wss10_saml_token_with_message_protection_ski_basic256_service_policy |
WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAMLベースの認証を実行します。 |
oracle/wss10_saml20_token_with_message_protection_client_policy |
WS-Security 1.0標準に従い、アウトバウンドSOAPメッセージに対して、メッセージ・レベルの保護およびSAMLベースの認証を実行します。 |
oracle/wss10_saml20_token_with_message_protection_service_policy |
WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAMLベースの認証を実行します。 |
oracle/wss10_username_id_propagation_with_msg_protection_client_policy |
WS-Security 1.0標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびアイデンティティ伝播を実行します。 |
oracle/wss10_username_id_propagation_with_msg_protection_service_policy |
インバウンドSOAPリクエストに対して、WS-Security 1.0で記述されるメカニズムを使用して、メッセージ・レベルの保護(整合性と機密保護)およびアイデンティティ伝播を実行します。 |
oracle/wss10_username_token_with_message_protection_client_policy |
WS-Security 1.0標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。 |
oracle/wss10_username_token_with_message_protection_service_policy |
WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(メッセージの整合性と機密保護)および認証を実行します。 |
oracle/wss10_username_token_with_message_protection_ski_basic256_client_policy |
WS-Security 1.0標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。 |
oracle/wss10_username_token_with_message_protection_ski_basic256_service_policy |
WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(メッセージの整合性と機密保護)および認証を実行します。 |
oracle/wss10_x509_token_with_message_protection_client_policy |
WS-Security 1.0標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および証明書資格証明の移入を実行します。 |
oracle/wss10_x509_token_with_message_protection_service_policy |
WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および証明書ベースの認証を実行します。 |
oracle/wss11_kerberos_token_with_message_protection_client_policy |
WS-SecurityヘッダーにKerberosトークンを組み込み、WS-Security Kerberos Token Profile v1.1標準に従い、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。 |
oracle/wss11_kerberos_token_with_message_protection_service_policy |
WS-Security Kerberos Token Profile v1.1標準に従って実行されます。 |
oracle/wss11_kerberos_token_with_message_protection_basic128_client_policy |
WS-SecurityヘッダーにKerberosトークンを組み込み、WS-Security Kerberos Token Profile v1.1標準に従い、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。 |
oracle/wss11_kerberos_token_with_message_protection_basic128_service_policy |
WS-Security Kerberos Token Profile v1.1標準に従って実行されます。 |
oracle/wss11_saml_or_username_token_with_message_protection_service_policy |
メッセージ保護(整合性と機密保護)を実行し、クライアントがSAML、ユーザー名またはHTTPトークンを使用するかどうかに基づいて、それぞれ次のいずれかの認証ポリシーを実行します。
|
oracle/wss11_saml_token_identity_switch_with_message_protection_client_policy |
アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。 |
oracle/wss11_saml_token_with_message_protection_client_policy |
アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。 |
oracle/wss11_saml_token_with_message_protection_client_policy |
アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。 |
oracle/wss11_saml_token_with_message_protection_wssc_client_policy |
アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。 |
oracle/wss11_saml_token_with_message_protection_wssc_reauthn_client_policy |
アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。 |
oracle/wss11_saml_token_with_message_protection_wssc_reauthn_service_policy |
アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。 |
oracle/wss11_saml20_token_with_message_protection_client_policy |
アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。 |
oracle/wss11_saml20_token_with_message_protection_service_policy |
WS-Security 1.1標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAMLベースの認証を実行します。 |
oracle/wss11_sts_issued_saml_hok_with_message_protection_client_policy |
信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを挿入します。メッセージは、STSで提供される証明鍵マテリアルを使用して保護されます。 |
oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policy |
信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを認証します。 |
oracle/wss11_username_token_with_message_protection_client_policy |
WS-Security 1.1標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。このポリシーは、SOAPベースのすべてのクライアントにアタッチできます。 |
oracle/wss11_username_token_with_message_protection_service_policy |
WS-Security 1.1標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。 |
oracle/wss11_username_token_with_message_protection_wssc_client_policy |
WS-Security 1.1標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。 |
oracle/wss11_username_token_with_message_protection_wssc_service_policy |
WS-Security 1.1標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。 |
oracle/wss11_x509_token_with_message_protection_client_policy |
WS-Security 1.1標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および証明書ベースの認証を実行します。 |
oracle/wss11_x509_token_with_message_protection_service_policy |
WS-Security 1.1標準に従い、インバウンドSOAPリクエストに対して、メッセージ・レベルの保護および証明書ベースの認証を実行します。 |
oracle/wss11_x509_token_with_message_protection_wssc_client_policy |
WS-Security 1.1標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および証明書ベースの認証を実行します。 |
oracle/wss11_x509_token_with_message_protection_wssc_service_policy |
WS-Security 1.1標準に従い、インバウンドSOAPリクエストに対して、メッセージ・レベルの保護および証明書ベースの認証を実行します。 |
表示名: PIIセキュリティ・ポリシー
カテゴリ: セキュリティ
説明
保護する個人を特定できる情報(PII)データを暗号化します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
表18-93「pii_security_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
表示名: STS信頼構成クライアント・ポリシー
カテゴリ: セキュリティ
説明
トークン交換用のSTSの呼出しに使用されるSTSクライアント構成情報を指定します。
このポリシーを使用するのは、「STSの自動ポリシー構成の設定」で説明されている自動(クライアントSTS)ポリシー構成を使用していない場合のみです。
oracle/sts_trust_config_client_policy
の複数のインスタンスをアタッチした場合に、エラーは生成されません。しかし、実行されるのは1つのインスタンスのみであり、それをどのインスタンスにするかを制御できません。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-96「oracle/sts_trust_config_client_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「STSの自動ポリシー構成の設定」で説明されているように、WebサービスからSTS構成ポリシーを構成します。
ただし、WebサービスからSTS構成ポリシーを構成しなかった場合、またはSAML送信者保証による確認方法を使用している場合は、Webサービス・クライアントからSTS構成ポリシーを構成する必要があります。詳細は、「Webサービス・クライアントからのSTS構成ポリシーの手動による構成: メイン手順」を参照してください。
設計時の考慮事項
例17-5
および例17-6に示すように、設計時に、oracle/sts_trust_config_client_policyポリシーをプログラムによって設定し、アタッチできます。
例17-5 JSEプロキシ・クライアントのサンプル
URL endpointUrl = new URL(getWebConnectionString() + "/jaxws-test-service/jaxws-test-port"); ServiceDelegateImpl client = new ServiceDelegateImpl( new URL(endpointUrl.toString() + "?WSDL"), new QName("http://jaxws.example.com/targetNamespace/JaxwsService", "JaxwsService"), OracleService.class); JaxwsService port = client.getPort( new QName("http://jaxws.example.com/targetNamespace/JaxwsService", "JaxwsServicePort"), test.jaxws.client.JaxwsService.class); ((BindingProvider)port).getRequestContext().put(BindingProvider.ENDPOINT_ADDRESS_PROPERTY,endpointUrl.toExternalForm()); ((BindingProvider)port).getRequestContext().put(ClientConstants.CLIENT_CONFIG, fileToElement(new File("./jaxws/client/dat/oracle-webservice-client.xml")));
例17-6
は、STS構成ポリシーおよびSTS発行ポリシーに関連するoracle-webservice-client.xmlファイルを示しています。
例17-6 oracle-webservice-client.xmlのサンプル
<?xml version="1.0" encoding="UTF-8"?> <oracle-webservice-clients> <webservice-client> <port-info> <policy-references> <policy-reference uri="oracle/sts_trust_config_client_policy" category="security"/> <policy-reference uri="oracle/wss11_sts_issue_saml_hok_with_message_protection_client_policy " category="security"/> </policy-references> </port-info> </webservice-client> </oracle-webservice-clients>
表示名: STS信頼構成サービス・ポリシー
カテゴリ: セキュリティ
説明
トークン交換用のSTSの呼出しに使用されるSTS構成情報を指定します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-98「oracle/sts_trust_config_service_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「STSの自動ポリシー構成の設定」で説明されているように、Webサービスを設定します。
表示名: WSSecurity SAMLトークンBearer/WSSecurityユーザー名トークン
カテゴリ: セキュリティ
説明
クライアントがSAMLトークンとユーザー名トークンのどちらを使用するかに基づいて、それぞれ次の認証ポリシーのいずれかを実行します。
Bearer確認タイプを使用するWS-Security SOAPヘッダー内のSAMLトークン。
構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション(ORグループ)
このポリシーには、次のアサーションがORグループとして含まれます。つまり、クライアントはどちらのタイプのポリシーでも実行できます。
アサーションはWSDLで通知されています。
表示名: Wss SAMLトークン/Wssユーザー名トークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
クライアントがSAMLトークンとユーザー名トークンのどちらを使用するかに基づいて、それぞれ次の認証ポリシーのいずれかを実行します。
sender-vouchesの確認タイプを使用したWS-Security SOAPヘッダー内のSAMLトークン。
構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
アサーションはWSDLで通知されています。
構成
このポリシーの構成については、次のポリシーの説明を参照してください。
表示名: Wss SAML Token/Wss Username Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
メッセージ保護(整合性と機密保護)を実行し、クライアントがSAMLトークンとユーザー名トークンのどちらを使用するかに基づいて、それぞれ次の認証ポリシーのいずれかを実行します。
sender-vouchesの確認タイプを使用したWS-Security SOAPヘッダー内のSAMLトークン。
構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
アサーションはWSDLで通知されています。
構成
このポリシーの構成については、次のポリシーの説明を参照してください。
Display Name: Wss SAMLトークン(Bearer確認方式)クライアント・ポリシー
カテゴリ: セキュリティ
説明
アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込みます。確認方法がBearerのSAMLトークンが自動的に作成されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-41「wss_saml_token_bearer_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、クライアント側でSAMLを構成します。
表示名: Wss SAML Token Over SSL (Bearer確認方式)クライアント・ポリシー
カテゴリ: セキュリティ
説明
アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込みます。確認方法がBearerのSAMLトークンが自動的に作成されます。また、このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることも検証します。このポリシーは、SOAPベースのすべてのクライアントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-41「wss_saml_token_bearer_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、クライアント側でSAMLを構成します。
表示名: Wss SAML Token Over SSL (Bearer確認方式)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security SOAPヘッダーの、確認方式がBearerとなっているSAMLトークンに指定されている資格証明を使用して、ユーザーを認証します。SAMLトークンの資格証明は、SAMLログイン・モジュールに対して認証されます。このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。このポリシーは、SOAPベースのエンドポイントで実行できます。
SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-42「wss_saml_token_bearer_over_ssl_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
saml.loginmodule
ログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
「SAMLの構成」で説明されているように、SAMLを構成してOPSSを設定します。
表示名: Wss HTTP Token Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込み、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。クライアントは、HTTPヘッダーに資格証明を渡す必要があります。
HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのクライアントで実行できます。
注意: 現在サポートされているのはHTTP Basic認証のみです。 |
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-34「wss_http_token_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「Webサービス・クライアントに関するSSLの構成」で説明されているように、一方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法については、「資格証明ストアへの鍵およびユーザー資格証明の追加」を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
クライアントは、HTTPヘッダーに資格証明を渡す必要があります。
表示名: Wss HTTP Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
HTTPヘッダー内の資格証明を抽出して、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのエンドポイントで実行できます。
注意: このポリシーの機能は、oracle/http_basic_auth_over_ssl_service_policyに似ています。唯一の相違は、oracle/wss_http_token_over_ssl_service_policy では、require-tls 要素内のinclude-timestamp 属性を有効化して、リプレイ攻撃を防止できることです。これは、RESTfulサービスには適用されません。require-tls 要素の詳細は、「orasp:require-tls」を参照してください。
現在サポートされているのはHTTP Basic認証のみです。 |
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-35「wss_http_token_over_ssl_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「Webサービス・クライアントに関するSSLの構成」で説明されているように、一方向SSLを構成します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
表示名: Wss SAML Token Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
確認タイプsender-vouchesを使用して、アウトバウンドWS-Security SOAPヘッダーに、SAMLトークンを組み込みます。このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。このポリシーは、SOAPベースのクライアントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-47「wss_saml_token_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、クライアント側でSAMLを構成します。
表示名: Wss SAML Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
確認タイプsender-vouchesを使用した、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証を実行し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。SAMLトークンは、構成済のアイデンティティ・ストアのユーザーにマッピングされます。このポリシーは、SOAPベースのエンドポイントで実行できます。
SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-48「wss_saml_token_over_ssl_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」
で説明しているように、saml.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。
「SAMLの構成」で説明されているように、SAMLを構成してOPSSを設定します。
表示名: Wss SAML V2.0 Token Over SSL (Bearer確認方式)クライアント・ポリシー
カテゴリ: セキュリティ
説明
アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。確認方法がBearerのSAMLトークンが自動的に作成されます。このポリシーは、SOAPベースのすべてのクライアントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-44「wss_saml20_token_bearer_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「構成」
ページでpropagate.identity.contextの値を指定するか、ポリシーをアタッチするときに「セキュリティ構成の詳細」コントロールを使用して、クライアントごとにこの値をオーバーライドします。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、クライアント側でSAMLを構成します。
表示名: Wss SAML V2.0 Token Over SSL (Bearer確認方式)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security SOAPヘッダー内の、確認方式がBearerとなっているSAMLトークンに指定されている資格証明を使用してユーザーを認証し、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。SAMLトークンの資格証明は、SAMLログイン・モジュールに対して認証されます。このポリシーは、SOAPベースのエンドポイントで実行できます。
SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-45「wss_saml20_token_bearer_over_ssl_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」
で説明しているように、saml2.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。
「SAMLの構成」で説明されているように、SAMLを構成してOPSSを設定します。
表示名: Wss SAML V2.0 Token Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
確認タイプsender-vouchesを使用して、アウトバウンドWS-Security SOAPヘッダーにSAMLトークンを組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。このポリシーは、SOAPベースのクライアントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-50「wss_saml20_token_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、クライアント側でSAMLを構成します。
表示名: Wss SAML V2.0 Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
確認タイプsender-vouchesを使用した、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証を実行し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。SAMLトークンは、構成済のアイデンティティ・ストアのユーザーにマッピングされます。このポリシーは、SOAPベースのエンドポイントで実行できます。
SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-45「wss_saml20_token_bearer_over_ssl_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」
で説明しているように、saml2.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。
「SAMLの構成」で説明されているように、SAMLを構成してOPSSを設定します。
表示名: Wss Issued Token Over SSL (Saml Bearer方式)クライアント・ポリシー
カテゴリ: セキュリティ
説明
信頼できるSTSが発行したSAMLベアラー・アサーションを挿入します。メッセージは、SSLを使用して保護されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-100「oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。STS構成設定のオーバーライドの例は、「WS-Trustクライアント・ポリシーのプログラムによるポリシー構成オーバーライド」を参照してください。
「自動ポリシー構成の設定: メイン手順」で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、クライアント側でSAMLを構成します。
表示名: Wss Issued Token Over SSL (Saml Bearer方式)サービス・ポリシー
カテゴリ: セキュリティ
説明
信頼できるSTSが発行したSAMLベアラー・アサーションを認証します。メッセージは、SSLを使用して保護されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
このアサーションの詳細は、「WS-Trustアサーション・テンプレート」を参照してください。
構成
このポリシーを構成する手順は次のとおりです。
表18-101「oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。STS構成設定のオーバーライドの例は、「WS-Trustクライアント・ポリシーのプログラムによるポリシー構成オーバーライド」を参照してください。
「自動ポリシー構成の設定: メイン手順」で説明されているように、Webサービスを設定します。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
表示名: Wss Username Token Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。このポリシーは、SOAPベースのすべてのクライアントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-53「wss_username_token_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「設定」ページでパスワード・タイプを「なし」に指定した場合、キーにパスワードを含める必要はありません。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法については、「資格証明ストアへの鍵およびユーザー資格証明の追加」を参照してください。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
SOAPリクエスト・メッセージにWS-Security UsernameToken要素(<wsse:UsernameToken/>
)を組み込みます。また、クライアントは、認証用にユーザー名とパスワードを提供します。
表示名: Wss Username Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security UsernameToken SOAPヘッダー内の資格証明を使用して、OPSS構成済アイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-54「wss_username_token_over_ssl_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
ユーザー名とパスワードが存在し、有効になっている必要があります。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
表示名: Wss Username Token Over SSL (セキュア通信有効)クライアント・ポリシー
カテゴリ: セキュリティ
説明
アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。このポリシーは、SOAPベースのすべてのクライアントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーでは、セキュア通信が有効になります。詳細は、第12章「セキュア通信の構成」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-53「wss_username_token_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
第12章「セキュア通信の構成」で説明されているように、セキュア通信を構成します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法については、「資格証明ストアへの鍵およびユーザー資格証明の追加」を参照してください。
「設定」ページでパスワード・タイプを「なし」に指定した場合、キーにパスワードを含める必要はありません。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
SOAPリクエスト・メッセージにWS-Security UsernameToken要素(<wsse:UsernameToken/>
)を組み込みます。また、クライアントは、認証用にユーザー名とパスワードを提供します。
表示名: Wss Username Token Over SSL (セキュア通信有効)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security UsernameToken SOAPヘッダー内の資格証明を使用して、OPSS構成済アイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーでは、セキュア通信が有効になります。詳細は、第12章「セキュア通信の構成」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-54「wss_username_token_over_ssl_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
ユーザー名とパスワードが存在し、有効になっている必要があります。
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
表示名: Wss10 SAML Holder-Of-Keyトークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.0標準に従い、アウトバウンドSOAPメッセージに対して、メッセージ保護(整合性と機密保護)およびSAML鍵所有者ベースの認証を実行します。SOAPメッセージに含まれているSAMLトークンは、鍵所有者確認を使用したSAMLベースの認証で使用されます。
ポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-56「wss10_saml_hok_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「SAMLアサーション発行者名の追加」を参照してください。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、鍵所有者アサーションが含まれるファイルを指すようにsaml.assertion.filenameプロパティをオーバーライドします。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
鍵所有者アサーションを含むファイルを指し示すように、saml.assertion.filename
プロパティをオーバーライドします。詳細は、「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、設計時にWebサービス・クライアントにSAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-2に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-3に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
表示名: Wss10 SAML Holder-Of-Keyトークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAML鍵所有者ベースの認証を実行します。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-57「wss10_saml_hok_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
saml.loginmodule
ログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
注意: キーストアに期限切れの証明書が存在する場合は、この証明書が参照されているかどうかに関係なく、CertificateExpiredException が返されます。この例外を解決するには、期限切れの証明書をキーストアから削除します。 |
「WebLogic ServerへのSSLの構成(一方向)」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
OPSSを設定する手順は次のとおりです。
「SAMLの構成」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
SAML認証局の信頼できる証明書をキーストアに格納します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.key
を使用します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
表示名: Wss10 SAMLトークン(メッセージ整合性付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.0標準に従い、アウトバウンドSOAPメッセージに対して、メッセージ・レベルの整合性およびSAMLベースの認証を実行します。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用されます。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートと、メッセージ整合性のためにSHA-1ハッシュ・アルゴリズムが使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-59「wss10_saml_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、user.roles.includeの値を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「SAMLの構成」で説明されているように、SAMLを構成します。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、設計時にクライアントをSAML用に構成します。
アウトバウンドSOAPメッセージに、SAMLトークンを挿入するWS-Securityヘッダー要素(<saml:Assertion>
)を組み込みます。確認タイプは、常にsender-vouches
です。
例17-2に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-3に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
表示名: Wss10 SAMLトークン(メッセージ整合性付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ・レベルの整合性の保護およびSAMLベースの認証を実行します。WS-Securityバイナリ・セキュリティ・トークンまたは現在のJava Authentication and Authorization Service (JAAS)サブジェクトからSAMLトークンを抽出し、その資格証明を使用して、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーを検証します。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートと、メッセージ整合性のためにSHA-1ハッシュ・アルゴリズムが使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-60「wss10_saml_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「ポリシー構成のオーバーライドの概要」
で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.key
およびkeystore.enc.csf.keyをオーバーライドします。
「SAMLの構成」で説明されているように、SAMLを構成します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
saml.loginmodule
ログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
表示名: Wss10 SAMLトークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.0標準に従い、アウトバウンドSOAPメッセージに対して、メッセージ・レベルの保護およびSAMLベースの認証を実行します。Webサービス・コンシューマによって、SOAPヘッダーにSAMLトークンが組み込まれ、確認タイプはsender-vouchesです。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-59「wss10_saml_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、user.roles.includeの値を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「SAMLの構成」で説明されているように、SAMLを構成します。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、設計時にクライアントをSAML用に構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-2に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-3に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
表示名:Wss10 SAMLトークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAMLベースの認証を実行します。Webサービス・コンシューマによって、SOAPヘッダーにSAMLトークンが組み込まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-60「wss10_saml_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
saml.loginmodule
ログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
OPSSを設定する手順は次のとおりです。
「SAMLの構成」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
SAML認証局の信頼できる証明書をキーストアに格納します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.key
を使用します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
表示名: Wss10 SAMLトークン(メッセージ保護SKI Basic 256付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.0標準に従い、アウトバウンドSOAPメッセージに対して、メッセージ・レベルの保護およびSAMLベースの認証を実行します。Webサービス・コンシューマによって、SOAPヘッダーにSAMLトークンが組み込まれ、確認タイプはsender-vouchesです。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
ポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 256スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-256ビット暗号化も使用されます。このポリシーは、リクエストの暗号化鍵、およびレスポンスの署名と暗号化鍵の両方に、サブジェクト・キー識別子(SKI)の参照メカニズムを使用します。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
注意: 一部の国の輸入制限により、JDK 5.0ソフトウェアとともに配布されるJurisdiction Policy Filesには、使用可能な暗号化強度において制限が組み込まれています。デフォルトでは、Basic192以上のアルゴリズムを使用するポリシーは、バンドルされたJRE/JDKでは動作しません。これらのアルゴリズムを使用するには、 これらのポリシー・ファイルを使用するには、
JARファイルを置き換える前に、既存のJARファイルをバックアップする必要があります。 |
構成
このポリシーを構成する手順は次のとおりです。
表18-59「wss10_saml_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「SAMLの構成」で説明されているように、SAMLを構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、user.roles.includeの値を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-2に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-3に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
表示名: Wss10 SAMLトークン(メッセージ保護SKI Basic 256付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAMLベースの認証を実行します。Webサービス・コンシューマによって、SOAPヘッダーにSAMLトークンが組み込まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
ポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 256スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-256ビット暗号化も使用されます。このポリシーは、リクエストの暗号化鍵、およびレスポンスの署名と暗号化鍵の両方に、サブジェクト・キー識別子(SKI)の参照メカニズムを使用します。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
注意: 一部の国の輸入制限により、JDK 5.0ソフトウェアとともに配布されるJurisdiction Policy Filesには、使用可能な暗号化強度において制限が組み込まれています。デフォルトでは、Basic192以上のアルゴリズムを使用するポリシーは、バンドルされたJRE/JDKでは動作しません。これらのアルゴリズムを使用するには、 これらのポリシー・ファイルを使用するには、
JARファイルを置き換える前に、既存のJARファイルをバックアップする必要があります。 |
構成
このポリシーを構成する手順は次のとおりです。
表18-60「wss10_saml_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
saml.loginmodule
ログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
「ポリシー構成のオーバーライドの概要」
で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.key
およびkeystore.enc.csf.keyをオーバーライドします。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
OPSSを設定する手順は次のとおりです。
「SAMLの構成」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
このポリシーでは、キーストアを設定する必要があります。ski参照メカニズムを使用するときは、OpenSSLなどのユーティリティを使用して証明書を作成します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.key
を使用します。
表示名: Wss10 SAML V2.0トークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.0標準に従い、アウトバウンドSOAPメッセージに対して、メッセージ・レベルの保護およびSAMLベースの認証を実行します。Webサービス・コンシューマによって、SOAPヘッダーにSAMLトークンが組み込まれ、確認タイプはsender-vouchesです。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-62「wss10_saml20_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
「メッセージ保護に関するキーストアの構成」
で説明されているように、user.roles.includeの値を指定します。
「メッセージ保護に関するキーストアの構成」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、SAMLを構成します。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
例17-2に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-3に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
表示名: Wss10 SAML V2.0トークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAMLベースの認証を実行します。Webサービス・コンシューマによって、SOAPヘッダーにSAMLトークンが組み込まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-63「wss10_saml20_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
saml2.loginmodule
ログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
「ポリシー構成のオーバーライドの概要」
で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.key
およびkeystore.enc.csf.keyをオーバーライドします。
OPSSを設定する手順は次のとおりです。
「SAMLの構成」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
このポリシーでは、キーストアを設定する必要があります。ski参照メカニズムを使用するときは、OpenSSLなどのユーティリティを使用して証明書を作成します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.key
を使用します。
表示名: Wss10ユーザー名ID伝播(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.0標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびアイデンティティ伝播を実行します。資格証明(ユーザー名のみ)は、WS-Security UsernameTokenヘッダーを介して、アウトバウンドSOAPリクエスト・メッセージに含まれます。パスワードは含まれません。このポリシーは、SOAPベースのクライアントで実行できます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
メッセージ保護は、WS-Securityの非対称鍵テクノロジのBasic128スイートを使用して行われます。具体的には、機密保護にはRSA鍵メカニズム、整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-65「wss10_username_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
SOAPリクエスト・メッセージにWS-Security UsernameToken要素(<wsse:UsernameToken/>
)を組み込みます。また、クライアントは、認証用にユーザー名とパスワードを提供します。
例17-2に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-3に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
表示名: Wss10ユーザー名ID伝播(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
インバウンドSOAPリクエストに対して、WS-Security 1.0で記述されるメカニズムを使用して、メッセージ・レベルの保護(整合性と機密保護)およびアイデンティティ伝播を実行します。このポリシーは、SOAPベースのエンドポイントで実行できます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
メッセージ保護は、WS-Security 1.0の非対称鍵テクノロジのBasic128スイートを使用して行われます。具体的には、機密保護にはRSA鍵メカニズム、整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-66「wss10_username_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.key
を使用します。
「ポリシー構成のオーバーライドの概要」
で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.key
およびkeystore.enc.csf.keyをオーバーライドします。
表示名: Wss10ユーザー名トークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.0標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。このポリシーは、SOAPベースのすべてのクライアントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-65「wss10_username_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアへの鍵およびユーザー資格証明の追加」を参照してください。
「ポリシー構成のオーバーライドの概要」
で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.key
およびkeystore.enc.csf.keyをオーバーライドします。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-2に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-3に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
表示名: Wss10ユーザー名トークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(メッセージの整合性と機密保護)および認証を実行します。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-66「wss10_username_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.key
を使用します。
「ポリシー構成のオーバーライドの概要」
で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.key
およびkeystore.enc.csf.keyをオーバーライドします。
表示名: Wss10ユーザー名トークン(メッセージ保護SKI Basic 256付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.0標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。このポリシーは、SOAPベースのすべてのクライアントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 256スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-256ビット暗号化も使用されます。このポリシーは、リクエストの暗号化鍵、およびレスポンスの署名と暗号化鍵の両方に、サブジェクト・キー識別子(SKI)の参照メカニズムを使用します。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
注意: 一部の国の輸入制限により、JDK 5.0ソフトウェアとともに配布されるJurisdiction Policy Filesには、使用可能な暗号化強度において制限が組み込まれています。デフォルトでは、Basic192以上のアルゴリズムを使用するポリシーは、バンドルされたJRE/JDKでは動作しません。これらのアルゴリズムを使用するには、 これらのポリシー・ファイルを使用するには、
JARファイルを置き換える前に、既存のJARファイルをバックアップする必要があります。 |
構成
このポリシーを構成する手順は次のとおりです。
表18-65「wss10_username_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアへの鍵およびユーザー資格証明の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-2に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-3に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
表示名: Wss10ユーザー名トークン(メッセージ保護SKI Basic 256付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(メッセージの整合性と機密保護)および認証を実行します。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 256スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-256ビット暗号化も使用されます。このポリシーは、リクエストの暗号化鍵、およびレスポンスの署名と暗号化鍵の両方に、サブジェクト・キー識別子(SKI)の参照メカニズムを使用します。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
注意: 一部の国の輸入制限により、JDK 5.0ソフトウェアとともに配布されるJurisdiction Policy Filesには、使用可能な暗号化強度において制限が組み込まれています。デフォルトでは、Basic192以上のアルゴリズムを使用するポリシーは、バンドルされたJRE/JDKでは動作しません。これらのアルゴリズムを使用するには、 これらのポリシー・ファイルを使用するには、
JARファイルを置き換える前に、既存のJARファイルをバックアップする必要があります。 |
構成
このポリシーを構成する手順は次のとおりです。
表18-66「wss10_username_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
キーストアを設定します。ski参照メカニズムを使用するときは、OpenSSLなどのユーティリティを使用して証明書を作成します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.key
を使用します。
「ポリシー構成のオーバーライドの概要」
で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.key
およびkeystore.enc.csf.keyをオーバーライドします。
表示名: Wss10 X509トークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.0標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および証明書資格証明の移入を実行します。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-68「wss10_x509_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
WS-Securityバイナリ・セキュリティ・トークンを介してSOAPメッセージに有効なX.509認証資格証明を提供します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-2に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-3に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
表示名: Wss10 X509トークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.0標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および証明書ベースの認証を実行します。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-68「wss10_x509_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを構成します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.key
を使用します。
「ポリシー構成のオーバーライドの概要」
で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.key
およびkeystore.enc.csf.keyをオーバーライドします。
表示名: Wss11 Kerberosトークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
WS-SecurityヘッダーにKerberosトークンを組み込み、WS-Security Kerberos Token Profile v1.1標準に従い、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。
このポリシーは、SOAPベースのクライアントで実行できます。
このポリシーは、MIT Kerberos KDCおよび新しいバージョンのActive Directory KDCと互換性があります。このポリシーは、2008より前のバージョンのActive Directoryとは互換性がありません。これらのActive Directoryでは、トリプルDES暗号化が使用されるためです。このような前のバージョンの場合は、「oracle/wss11_kerberos_token_with_message_protection_basic128_client_policy」を使用してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-71「wss11_kerberos_token_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
「Kerberosトークンの構成」で説明されているように、Kerberosトークンを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-4に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
表示名: Wss11 Kerberosトークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security Kerberos Token Profile v1.1標準に従って実行されます。このポリシーは、SOAPヘッダーからKerberosトークンを抽出してユーザーを認証し、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。コンテナには、Oracle Platform Security Servicesを介して構成されたKerberosインフラストラクチャが含まれている必要があります。
このポリシーは、SOAPベースのエンドポイントで実行できます。
このポリシーは、MIT Kerberos KDCおよび新しいバージョンのActive Directory KDCと互換性があります。このポリシーは、2008より前のバージョンのActive Directoryとは互換性がありません。これらのActive Directoryでは、トリプルDES暗号化が使用されるためです。このような前のバージョンの場合は、「oracle/wss11_kerberos_token_with_message_protection_basic128_service_policy」を使用してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-71「wss11_kerberos_token_over_ssl_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
krb5.loginmodule
ログイン・モジュールを構成します。「Kerberosログイン・モジュールの構成」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.key
を使用します。
「ポリシー構成のオーバーライドの概要」
で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
「Kerberosトークンの構成」で説明されているように、Kerberosを構成します。
表示名: Wss11 Kerberosトークン(メッセージ保護Basic 128付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
WS-SecurityヘッダーにKerberosトークンを組み込み、WS-Security Kerberos Token Profile v1.1標準に従い、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。このポリシーは、Active Directory KDCと互換性があります。このポリシーは、SOAPベースのクライアントで実行できます。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-74「wss11_kerberos_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
「Kerberosトークンの構成」で説明されているように、Kerberosトークンを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-3に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
表示名: Wss11 Kerberosトークン(メッセージ保護Basic 128付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security Kerberos Token Profile v1.1標準に従って実行されます。このポリシーは、Active Directory KDCと互換性があります。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーは、SOAPヘッダーからKerberosトークンを抽出してユーザーを認証し、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。コンテナには、Oracle Platform Security Servicesを介して構成されたKerberosインフラストラクチャが含まれている必要があります。
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
構成
このポリシーを構成する手順は次のとおりです。
表18-75「wss11_kerberos_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
krb5.loginmodule
ログイン・モジュールを構成します。「Kerberosログイン・モジュールの構成」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.key
を使用します。
「Kerberosトークンの構成」で説明されているように、Kerberosを構成します。
「ポリシー構成のオーバーライドの概要」
で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
表示名:Wss11 Samlトークン、Wss11ユーザー名トークン(メッセージ保護付き)、Wss SAML Token Over SSL (Bearer確認方式)、Wss Username Token Over SSL、またはHttp Basic Auth Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
メッセージ保護(整合性と機密保護)を実行し、クライアントがSAML、ユーザー名またはHTTPトークンを使用するかどうかに基づいて、それぞれ次のいずれかの認証ポリシーを実行します。
WS-Security 1.1標準に従ったインバウンドSOAPリクエストのSAMLベースの認証。
WS-Security 1.1標準に従ったインバウンドSOAPリクエストのユーザー名トークン認証。
WS-Security SOAPヘッダーの、確認方法がBearerのSAMLトークンに含まれる資格証明を使用する、SAMLベースの認証。トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。
UsernameToken WS-Security SOAPヘッダーの資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーを認証する、ユーザー名トークン認証。トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。
HTTPヘッダーから抽出した資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーを認証する、HTTP認証。トランスポート・プロトコルがHTTPSであることを検証します。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション(ORグループ)
このポリシーには、次のアサーションがORグループとして含まれます。つまり、クライアントはいずれのトークンでも送信できます。
oracle/wss11_saml_token_with_message_protection_service_template
oracle/wss11_username_token_with_message_protection_service_template
アサーションはWSDLで通知されています。
表示名: Wss11 SAMLトークン・アイデンティティ切替え(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-77「wss11_saml_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
認証されたサブジェクトのかわりにクライアント固有のユーザー名を使用できるようにするには、subject.precedence
をfalse
に設定します。(subject.precedence
がfalse
の場合、SAMLアサーションを作成するユーザー名は、csf-key
ユーザー名プロパティからのみ取得されます。)wss11_saml_token_identity_switch_with_message_protection_client_policy
ポリシーでは、このポリシーのアタッチ先のアプリケーションにWSIdentityPermission
権限が必要です。つまり、OWSMが外部から提供されるアイデンティティをアプリケーションから受け入れるには、そのアプリケーションがWSIdentityPermission
権限を持つ必要があります。これにより、OWSMが潜在的に悪質なアプリケーションからアイデンティティを提供されるのを回避します。
このポリシーの構成については、「アイデンティティ切替えのためのSAML Webサービス・クライアントの構成」を参照してください。特に、「javax.xml.ws.security.auth.usernameプロパティの設定」で説明されているようにjavax.xml.ws.security.auth.usernameプロパティを設定し、「WSIdentityPermission権限の設定」で説明されているようにWSIdentityPermission権限を設定する必要があります。
SAMLの詳細は、「設計時のSAML Webサービス・クライアントの構成方法」を参照してください。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、saml.issuer.uriの値を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、user.roles.includeの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-3に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
表示名: Wss11 SAMLトークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-77「wss11_saml_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、user.roles.includeの値を指定します。
「メッセージ保護に関するキーストアの構成」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-3に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
表示名: Wss11 SAMLトークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、アウトバウンドSOAPリクエストに対してWS-Security 1.1で記述されるメカニズムを使用してメッセージの保護(整合性と機密性)およびSAMLトークンの移入を行います。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-78「wss11_saml_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」
で説明しているように、saml.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.key
を使用します。
「ポリシー構成のオーバーライドの概要」
で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
表示名: Wss11 SAMLトークン(メッセージ保護付き)(セキュア通信有効)クライアント・ポリシー
カテゴリ: セキュリティ
説明
アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-77「wss11_saml_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
第12章「セキュア通信の構成」で説明されているように、セキュア通信を構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、user.roles.includeの値を指定します。
「メッセージ保護に関するキーストアの構成」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、SAMLを構成します。
第12章「セキュア通信の構成」で説明されているように、セキュア通信を構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-3に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
表示名: Wss11 SAMLトークン(メッセージ保護付き)(セキュア通信有効)サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、アウトバウンドSOAPリクエストに対してWS-Security 1.1で記述されるメカニズムを使用してメッセージの保護(整合性と機密性)およびSAMLトークンの移入を行います。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。第12章「セキュア通信の構成」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-78「wss11_saml_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」
で説明しているように、saml.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.key
を使用します。
「ポリシー構成のオーバーライドの概要」
で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
表示名: Wss11 SAMLトークン(メッセージ保護付き)(セキュア通信および再認証モード有効)クライアント・ポリシー
カテゴリ: セキュリティ
説明
アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-77「wss11_saml_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
第12章「セキュア通信の構成」で説明されているように、セキュア通信を構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、user.roles.includeの値を指定します。
「メッセージ保護に関するキーストアの構成」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、SAMLを構成します。
第12章「セキュア通信の構成」で説明されているように、セキュア通信を構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-3に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
表示名: Wss11 SAMLトークン(メッセージ保護付き)(セキュア通信および再認証モード有効)サービス・ポリシー
カテゴリ: セキュリティ
説明
アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。第12章「セキュア通信の構成」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-78「wss11_saml_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」
で説明しているように、saml.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.key
を使用します。
「ポリシー構成のオーバーライドの概要」
で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
表示名: Wss11 SAML V2.0トークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
アウトバウンドSOAPリクエストに対して、WS-Security 1.1で記述されるメカニズムを使用して、メッセージの保護(整合性と機密保護)およびSAMLトークンの移入を実行します。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-80「wss11_saml20_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、user.roles.includeの値を指定します。
「メッセージ保護に関するキーストアの構成」
で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、「SAMLポリシーを使用したアイデンティティ・コンテキストの伝播」を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「設計時のSAML Webサービス・クライアントの構成方法」で説明されているように、SAMLを構成します。
第12章「セキュア通信の構成」で説明されているように、セキュア通信を構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-3に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
表示名: Wss11 SAML V2.0トークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.1標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAMLベースの認証を実行します。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-81「wss11_saml20_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成」で説明されているように、SAMLを構成します。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」
で説明しているように、saml.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.key
を使用します。
「ポリシー構成のオーバーライドの概要」
で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
表示名: Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを挿入します。メッセージは、STSで提供される証明鍵マテリアルを使用して保護されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-103「oracle/wss11_sts_issued_saml_hok_with_message_protection_client_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
注意: Oracle STSを使用しているとき、非対称証明鍵(HoK)ユースケースは、クライアントの証明書CSFキーがsts.auth.x509.csf.key 構成オーバーライドを使用してポリシーに構成されている場合のみ動作します。
この値は、STSに送信されたWS-Trustリクエストを署名するため、または証明鍵としてOracle STSによって使用されます。SAMLアサーションの公開鍵も、この鍵ペアに対応します。 |
「自動ポリシー構成の設定: メイン手順」で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。STS構成設定のオーバーライドの例は、「WS-Trustクライアント・ポリシーのプログラムによるポリシー構成オーバーライド」を参照してください。
「自動ポリシー構成の設定: メイン手順」で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
表示名: Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを認証します。メッセージは、対称鍵テクノロジのWS-SecurityのBasic 128スイートを使用して保護されます。
「ポリシー構成のオーバーライドの概要」
で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドするオプションもあります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-104「oracle/wss11_sts_issued_saml_hok_with_message_protection_service_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「自動ポリシー構成の設定: メイン手順」で説明されているように、Webサービスを設定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.enc.csf.keyの値を指定します。
表示名: Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを挿入します。メッセージは、STSで提供される証明鍵マテリアルを使用して保護されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-103「oracle/wss11_sts_issued_saml_hok_with_message_protection_client_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「自動ポリシー構成の設定: メイン手順」で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。STS構成設定のオーバーライドの例は、「WS-Trustクライアント・ポリシーのプログラムによるポリシー構成オーバーライド」を参照してください。
「自動ポリシー構成の設定: メイン手順」で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
表示名: Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを認証します。メッセージは、対称鍵テクノロジのWS-SecurityのBasic 128スイートを使用して保護されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-104「oracle/wss11_sts_issued_saml_hok_with_message_protection_service_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「自動ポリシー構成の設定: メイン手順」で説明されているように、Webサービスを設定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.enc.csf.keyの値を指定します。
表示名: Wss11発行トークン(SAML送信者保証方式/メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML送信者保証アサーションを挿入します。メッセージは、クライアントの秘密鍵を使用して保護されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-106「oracle/wss11_sts_issued_saml_with_message_protection_client_templateのプロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「自動ポリシー構成の設定: メイン手順」で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。STS構成設定のオーバーライドの例は、「WS-Trustクライアント・ポリシーのプログラムによるポリシー構成オーバーライド」を参照してください。
「自動ポリシー構成の設定: メイン手順」で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
表示名: Wss11ユーザー名トークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.1標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。このポリシーは、SOAPベースのすべてのクライアントにアタッチできます。
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-83「wss11_username_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.sig.csf.key
およびkeystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
このポリシーは対称鍵テクノロジを使用します。このテクノロジは、データの暗号化と復号化に同じ共有鍵を使用する暗号化メソッドです。対称鍵は、メッセージへの署名に使用されます。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-3に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
表示名: Wss11ユーザー名トークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.1標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-84「wss11_username_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.key
を使用します。
「ポリシー構成のオーバーライドの概要」
で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
表示名: Wss11ユーザー名トークン(メッセージ保護付き)(セキュア通信有効)クライアント・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.1標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。このポリシーは、SOAPベースのすべてのクライアントにアタッチできます。
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-83「wss11_username_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
第12章「セキュア通信の構成」で説明されているように、セキュア通信を構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
このポリシーは対称鍵テクノロジを使用します。このテクノロジは、データの暗号化と復号化に同じ共有鍵を使用する暗号化メソッドです。対称鍵は、メッセージへの署名に使用されます。
第12章「セキュア通信の構成」で説明されているように、セキュア通信を構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-3に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
表示名: Wss11ユーザー名トークン(メッセージ保護付き)(セキュア通信有効)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.1標準に従い、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証を実行します。プレーン・テキストとダイジェスト・メカニズムの両方がサポートされています。
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。第12章「セキュア通信の構成」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-84「wss11_username_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.key
を使用します。
「ポリシー構成のオーバーライドの概要」
で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
表示名: Wss11 X509トークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.1標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および証明書ベースの認証を実行します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-86「wss11_x509_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
Webサービス・クライアントは、WS-Securityバイナリ・セキュリティ・トークンを介してSOAPメッセージに有効なX.509認証資格証明を提供する必要があります。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-4に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
表示名: Wss11 X509トークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.1標準に従い、インバウンドSOAPリクエストに対して、メッセージ・レベルの保護および証明書ベースの認証を実行します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-87「wss11_x509_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを構成します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.key
を使用します。
「ポリシー構成のオーバーライドの概要」
で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
表示名: Wss11 X509トークン(メッセージ保護付き)(セキュア通信有効)クライアント・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.1標準に従い、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および証明書ベースの認証を実行します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-86「wss11_x509_token_with_message_protection_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
第12章「セキュア通信の構成」で説明されているように、セキュア通信を構成します。
「サービス・アイデンティティ証明拡張の使用」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」
で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライド」で説明されているように、構成設定をオーバーライドします。
第12章「セキュア通信の構成」で説明されているように、セキュア通信を構成します。
Webサービス・クライアントは、WS-Securityバイナリ・セキュリティ・トークンを介してSOAPメッセージに有効なX.509認証資格証明を提供する必要があります。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
Webサービス・クライアントは、WS-Securityバイナリ・セキュリティ・トークンを介してSOAPメッセージに有効なX.509認証資格証明を提供する必要があります。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-4に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
表示名: Wss11 X509トークン(メッセージ保護付き)(セキュア通信有効)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Security 1.1標準に従い、インバウンドSOAPリクエストに対して、メッセージ・レベルの保護および証明書ベースの認証を実行します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。第12章「セキュア通信の構成」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-87「wss11_x509_token_with_message_protection_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの認証プロバイダの構成」で説明されているように、認証プロバイダを構成します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアへの鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.key
を使用します。
「ポリシー構成のオーバーライドの概要」
で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
表17-58は、事前定義済のOWSM Oracle Entitlements Server (OES)セキュリティ・ポリシーの概要を示しています。
表17-58 事前定義済OWSM Oracle Entitlements Serverセキュリティ・ポリシー
ポリシー名 | 説明 |
---|---|
oracle/binding_oes_authorization_policy |
Oracle Entitlements Serverで定義されたポリシーに基づき、ユーザー認可を設定します。 |
oracle/binding_oes_masking_policy |
Oracle Entitlements Serverで定義されたポリシーに基づき、レスポンス・マスキングを実行します。 |
oracle/component_oes_authorization_policy |
Oracle Entitlements Serverで定義されたポリシーに基づき、ユーザー認可を設定します。 |
表示名: Oracle Entitlements Serverを使用したファイングレイン認可
カテゴリ: セキュリティ
説明
このポリシーは、Oracle Entitlements Server (OES)で定義されたポリシーに基づき、認可を設定します。認可は、属性、現在の認証されたサブジェクト、およびクライアントが起動したWebサービスのアクションに基づいています。このポリシーは、Webサービスの任意の操作におけるファイングレイン認可に使用されます。
このポリシーは、サブジェクトが確立される認証ポリシーに従う必要があります。このポリシーは任意のSOAPエンドポイントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-90「binding_oes_authorization_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
表示名: Oracle Entitlements Serverを使用したレスポンスのマスキング
カテゴリ: セキュリティ
説明
このポリシーは、OESで定義されているポリシーに基づいてレスポンスのマスキングを実行します。マスキングは、属性、現在の認証されたサブジェクト、およびクライアントが起動したWebサービスのアクションに基づいています。このテンプレートは、Webサービスの任意の操作におけるファイングレイン・マスキングに使用されます。
このポリシーは、サブジェクトが確立される認証ポリシーに従う必要があります。このポリシーは任意のSOAPエンドポイントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-90「binding_oes_authorization_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
表17-59は、事前定義済のOWSM SOAP Over JMSトランスポート・ポリシーの概要を示しています。
表17-59 事前定義済のOWSM SOAP Over JMSトランスポート・ポリシー
ポリシー名 | 説明 |
---|---|
oracle/jms_transport_client_policy |
Webサービス・クライアントに対するSOAP over JMSトランスポートのサポートを有効にして、構成します。 |
oracle/jms_transport_service_policy |
Webサービスに対するSOAP over JMSトランスポートのサポートを有効にして、構成します。 |
oracle/no_jms_transport_client_policy |
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAP over JMSトランスポート・クライアント・ポリシーを上位スコープで効率よく無効化します。 |
oracle/no_jms_transport_service_policy |
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAP over JMSトランスポート・サービス・ポリシーを上位スコープで効率よく無効化します。 |
SOAP over JMSトランスポート・ポリシーのアタッチの詳細は、次を参照してください。
『Webサービスの管理』のFusion Middleware Controlを使用したSOAP Over JMSトランスポートの構成に関する項
『Webサービスの管理』のWLSTを使用したSOAP Over JMSトランスポートの構成に関する項
表示名: JMS転送クライアント・ポリシー
カテゴリ: SOAP over JMSトランスポート
説明
Webサービス・クライアントに対するSOAP over JMSトランスポートのサポートを有効にして、構成します。
注意: このポリシーを複製することはできません。また、このテンプレートに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。 |
構成
表17-60は、SOAP over JMSクライアントの、オーバーライド可能な構成プロパティを示しています。
表17-60 oracle/jms_transport_client_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
宛先キューまたはトピックのJNDI名。 |
|
必須 |
|
宛先タイプ。有効な値は、 |
|
必須 |
|
JMSヘッダー・プロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: |
なし |
Optional |
|
JMSメッセージ・プロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: |
なし |
Optional |
|
JMS接続を確立するために使用されるコネクション・ファクトリのJNDI名。 |
|
必須 |
|
JNDIプロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: これらのプロパティは、JNDIプロバイダの |
なし |
Optional |
|
JNDIルックアップに使用される、初期コンテキスト・ファクトリ・クラスの名前。この値は、 |
|
必須 |
|
JNDIプロバイダのURL。この値は、 |
|
必須 |
|
リクエスト・メッセージとともに使用するメッセージ・タイプ。有効な値は、 詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のJMSメッセージ・タイプの構成に関する項を参照してください。 |
|
必須 |
|
リクエストとレスポンスのメッセージに関連付けられるJMS優先度。この値は、0(優先度最低)から9(優先度最高)までの正の整数として指定します。デフォルト値は |
|
必須 |
|
レスポンス・メッセージが送信されるJMS宛先のJNDI名。 双方向操作の場合は、一時的なレスポンス・キューがデフォルトで生成されます。デフォルトの一時的なレスポンス・キューを使用すると、必要な構成が最小限に抑えられます。ただし、サーバーに障害が発生した場合は、レスポンス・メッセージが失われる可能性があります。 このプロパティにより、クライアントは、応答を受信するためにデフォルトの一時的なキューまたはトピックを使用するのではなく、以前に定義された「永続的な」キューまたはトピックを使用できます。JMSレスポンス・キューの構成の詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のレスポンス・キューの構成に関する項を参照してください。 この値は、リクエスト・メッセージの |
なし |
Optional |
|
Webサービスのポート・コンポーネント名。この値は、サービス・リクエストをディスパッチするためにサービス実装によって使用されます。指定しない場合は、WSDLまたは この値は、 |
なし |
Optional |
|
リクエスト・メッセージの存続期間(ミリ秒)。値が0の場合は、存続期間に制限がないことを示します。 サービス側では、 |
|
必須 |
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: JMS転送サービス・ポリシー
カテゴリ: SOAP over JMSトランスポート
説明
注意: このポリシーを複製することはできません。また、このテンプレートに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。 |
構成
表17-61は、WebサービスのSOAP over JMSトランスポートの、オーバーライド可能な構成プロパティを示しています。
表17-61 oracle/jms_transport_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
SOAP JMSバインディングのバージョン。このリリースでは、この値を この値は、 |
|
必須 |
|
リクエスト・メッセージが永続的であるかどうかを示す配信モード。有効な値は、 |
|
必須 |
|
HTTPを介してWSDLを公開するかどうかを指定するブール・フラグです。 |
|
Optional |
|
リスニングMDBを実行するために使用されるプリンシパル。 |
なし |
Optional |
|
リスニングMDBを実行するために使用されるロール。 |
なし |
Optional |
|
リクエストされた宛先ごとに1つのリスニング・メッセージドリブンBean (MDB)を作成するかどうかを指定するブール・フラグ。
|
|
Optional |
|
JMSプロバイダに渡されるアクティブ化構成プロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: このプロパティでサポートされるアクティブ化構成プロパティのリストは、『Oracle WebLogic Server JAX-WS Webサービスの開発』のJMSトランスポート構成プロパティのサマリーに関する項を参照してください。 |
なし |
Optional |
|
宛先キューまたはトピックのJNDI名。 |
|
必須 |
|
宛先タイプ。有効な値は、 |
|
必須 |
|
JMSヘッダー・プロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: |
なし |
Optional |
|
JMSメッセージ・プロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: |
なし |
Optional |
|
JMS接続を確立するために使用されるコネクション・ファクトリのJNDI名。 |
|
必須 |
|
JNDIプロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: これらのプロパティは、JNDIプロバイダの |
なし |
Optional |
|
JNDIルックアップに使用される、初期コンテキスト・ファクトリ・クラスの名前。この値は、 |
|
必須 |
|
JNDIプロバイダのURL。この値は、 |
|
必須 |
表示名: JMS転送クライアントなしポリシー
カテゴリ: SOAP over JMSトランスポート
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAP over JMSトランスポート・クライアント・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-62は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-62 oracle/no_jms_transport_client_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |
表示名: JMS転送クライアントなしポリシー
カテゴリ: SOAP over JMSトランスポート
説明
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAP over JMSトランスポート・サービス・ポリシーを上位スコープで効率よく無効化します。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意: 次のことに注意してください。
|
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-63は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-63 oracle/no_jms_transport_service_policyの構成プロパティ
Name | 説明 | デフォルト | 必須かどうか |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
Optional |