プライマリ・コンテンツに移動
Oracle® Fusion Middleware Oracle Access Management管理者ガイド
11g リリース2 (11.1.2.3) for All Platforms
E61950-08
目次へ移動
目次
前
 		次

41.4 Oracle Web Services Managerの統合

11gリリースにおいて、Oracle Web Services Manager (WSM)のセキュリティと管理は、Oracle WSMエージェント機能とともにOracle WebLogic Serverに統合されています。

表41-3では、WSMコンポーネントについて説明します。

「Access Managerセキュリティ・キーおよび組込みJavaキーストア」を参照してください。

表41-3 統合されたOracle Web Services Manager

コンポーネント 説明

Javaキーストア(JKS)

クライアントのX.509トークンで必要な署名と暗号化キーを格納するために必要です。JKSは、Sun Microsystemsにより定義された独自のキーストア・フォーマットです。信頼できる証明書と公開キーおよび秘密キーはキーストアに格納されます。JKSのキーと証明書を作成して、管理するには、keytoolユーティリティを使用してください。キーは、認証やデータ整合性など、様々な目的に使用されます。

クライアントとWebサーバーが、同じドメインにあり、同じキーストアにアクセス可能な場合は、同じ秘密/公開キー・ペアを共有できます。

  • クライアントは、秘密キーorakeyを使用してリクエスト・メッセージの署名を裏書きし、公開キーorakeyを使用して対称キーを暗号化できます。

  • 次に、Webサービスが公開キーorakeyを使用して裏書きを検証し、秘密キーorakeyを使用して対称キーを復号化します。

ポリシー・インターセプタ

Oracle Fusion Middleware 11gでは、Oracle WSMエージェントは、セキュリティおよび管理ポリシー・インターセプタによって管理されます。ポリシー・インターセプタは、信頼できるメッセージング、管理、アドレッシング、セキュリティおよびメッセージ転送最適化メカニズム(MTOM)を含むポリシーを施行します。Oracle WSMエージェントは、ポリシー・インターセプタ・パイプラインを使用してポリシーの施行を管理します。

リリース10gと11gの違いを含め、Oracle Web Services Managerの詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』を参照してください。

Oracle WSMエージェント

OWSMエージェントは、Security Token Serviceとの通信に使用可能な、認定されたWS-Trustクライアントです。OWSMエージェントは、メッセージ保護のみのために(WSポリシーを公開するため、およびインバウンドおよびアウトバウンドのWSメッセージに対してメッセージ保護を施行するために)、Security Token Serviceにより埋め込まれ、使用されます。Security Token Serviceは、トークン検証/リクエスト認証を実行します。

  • Security Token Serviceに埋め込まれたOracle WSMエージェントは、認証機能が無効化され、「メッセージ保護のみ」のモードで使用されます。このように、着信トークンの認証に関連したすべての側面は、Security Token Serviceのみによって実行されます。

  • Oracle WSMは、Security Token Serviceが各ポリシーに宣言する必要がある構成オーバーライドを使用して認証の無効化をサポートします。

    例外: KerberosトークンはOracle WSMにより処理され、Security Token Serviceはアイデンティティのみをマッピングすることに関与します。

  • OWSMエージェントは、Security Token Serviceとの通信に使用可能な、認定されたWS-Trustクライアントの1つです。他のサード・パーティWS-Trustクライアントを使用して、Security Token Serviceと相互作用させることも可能です。

ノート: 埋込みは、セキュリティ・トークン・サービスが使用するWebLogic ServerのJRFレイヤーの一部としてOWSMエージェントが利用可能であることを意味します。

メッセージ/トークンの保護

Security Token Service/Access Managerは、それぞれのキーストアおよび信頼ストアを管理します。

Oracle WSMがSecurity Token Serviceのメッセージ保護を施行するために、OWSMのキー・ストアがその自己署名付き証明書でシードされ、それに対応するキーのパスワードがCSFに格納されます。これは、Security Token Serviceキーストアを使用しません。

ノート: 反対に、Oracle WSMは、Access Manager/Security Token Serviceがメッセージ保護に関連するキーをOPSSキーストアに格納することを必要とします。クライアントがSKI、Thumbprintなどのスキームを使用してその証明書を参照する場合、Oracle WSMには、クライアント証明書がOPSSキーストアにあることが必要です。

トークン署名キー

Security Token Serviceでは、トークン署名キーに関して厳しい要件があり、クライアントとリライイング・パーティとの間の信頼を仲介するためにトークン署名キーが使用されます。したがって、このキーは、Security Token Serviceのみがアクセス可能な排他的パーティションに格納する必要があります。

セキュリティ・キー・ペア

Security Token Serviceは、発行されたトークンのセキュリティおよびメッセージ・セキュリティのために別々のキー・ペアを作成することで、トークン署名キーのセキュリティを提供し、Oracle WSMエージェントがAccess Manager/Security Token Serviceキーストアと連携する必要性を排除します。

  • メッセージ・セキュリティ・キー・ペアは、OPSSキーストアに移入されます。

  • トークン・セキュリティ・キー・ペアは、Access Manager/Security Token Serviceキーストアに移入されます。

OPSSキーストア

メッセージ・セキュリティ・キー・ペアは、OPSSキーストアに移入されます。クライアントが(Webサービス・リクエストの一部として受信した証明書トークンではなく)SKIなどの参照スキームを使用する特別な場合、Security Token Serviceは、要求当事者の証明書をOPSSキーストアに移入します。これは一般的なシナリオではありません。Security Token Serviceには、OPSSキーストアに対してキーを手動でプロビジョニングして機能させることについて、用意されている手順もあります。

前
 		次
目次へ移動
目次