Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
11gリリースにおいて、Oracle Web Services Manager (WSM)のセキュリティと管理は、Oracle WSMエージェント機能とともにOracle WebLogic Serverに統合されています。
表41-3では、WSMコンポーネントについて説明します。
「Access Managerセキュリティ・キーおよび組込みJavaキーストア」を参照してください。
表41-3 統合されたOracle Web Services Manager
コンポーネント | 説明 |
---|---|
Javaキーストア(JKS) |
クライアントのX.509トークンで必要な署名と暗号化キーを格納するために必要です。JKSは、Sun Microsystemsにより定義された独自のキーストア・フォーマットです。信頼できる証明書と公開キーおよび秘密キーはキーストアに格納されます。JKSのキーと証明書を作成して、管理するには、keytoolユーティリティを使用してください。キーは、認証やデータ整合性など、様々な目的に使用されます。 クライアントとWebサーバーが、同じドメインにあり、同じキーストアにアクセス可能な場合は、同じ秘密/公開キー・ペアを共有できます。
|
ポリシー・インターセプタ |
Oracle Fusion Middleware 11gでは、Oracle WSMエージェントは、セキュリティおよび管理ポリシー・インターセプタによって管理されます。ポリシー・インターセプタは、信頼できるメッセージング、管理、アドレッシング、セキュリティおよびメッセージ転送最適化メカニズム(MTOM)を含むポリシーを施行します。Oracle WSMエージェントは、ポリシー・インターセプタ・パイプラインを使用してポリシーの施行を管理します。 リリース10gと11gの違いを含め、Oracle Web Services Managerの詳細は、『Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド』を参照してください。 |
Oracle WSMエージェント |
OWSMエージェントは、Security Token Serviceとの通信に使用可能な、認定されたWS-Trustクライアントです。OWSMエージェントは、メッセージ保護のみのために(WSポリシーを公開するため、およびインバウンドおよびアウトバウンドのWSメッセージに対してメッセージ保護を施行するために)、Security Token Serviceにより埋め込まれ、使用されます。Security Token Serviceは、トークン検証/リクエスト認証を実行します。
ノート: 埋込みは、セキュリティ・トークン・サービスが使用するWebLogic ServerのJRFレイヤーの一部としてOWSMエージェントが利用可能であることを意味します。 |
メッセージ/トークンの保護 |
Security Token Service/Access Managerは、それぞれのキーストアおよび信頼ストアを管理します。 Oracle WSMがSecurity Token Serviceのメッセージ保護を施行するために、OWSMのキー・ストアがその自己署名付き証明書でシードされ、それに対応するキーのパスワードがCSFに格納されます。これは、Security Token Serviceキーストアを使用しません。 ノート: 反対に、Oracle WSMは、Access Manager/Security Token Serviceがメッセージ保護に関連するキーをOPSSキーストアに格納することを必要とします。クライアントがSKI、Thumbprintなどのスキームを使用してその証明書を参照する場合、Oracle WSMには、クライアント証明書がOPSSキーストアにあることが必要です。 |
トークン署名キー |
Security Token Serviceでは、トークン署名キーに関して厳しい要件があり、クライアントとリライイング・パーティとの間の信頼を仲介するためにトークン署名キーが使用されます。したがって、このキーは、Security Token Serviceのみがアクセス可能な排他的パーティションに格納する必要があります。 |
セキュリティ・キー・ペア |
Security Token Serviceは、発行されたトークンのセキュリティおよびメッセージ・セキュリティのために別々のキー・ペアを作成することで、トークン署名キーのセキュリティを提供し、Oracle WSMエージェントがAccess Manager/Security Token Serviceキーストアと連携する必要性を排除します。
|
OPSSキーストア |
メッセージ・セキュリティ・キー・ペアは、OPSSキーストアに移入されます。クライアントが(Webサービス・リクエストの一部として受信した証明書トークンではなく)SKIなどの参照スキームを使用する特別な場合、Security Token Serviceは、要求当事者の証明書をOPSSキーストアに移入します。これは一般的なシナリオではありません。Security Token Serviceには、OPSSキーストアに対してキーを手動でプロビジョニングして機能させることについて、用意されている手順もあります。 |