Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
公開キーインフラストラクチャに応じて、デジタル証明書は、Webベースのトランザクションの資格証明を設定します。
「証明書、認証局および暗号化キーについて」を参照してください。
実行時の公開キー: 実行時に公開キー・インフラストラクチャの資格証明が使用される独自のケースがあります。
たとえば、(OWSMエージェントを使用した)リクエスタとセキュリティ・トークン・サービスとの間のWebサービス・セキュリティ(WSS)プロトコル通信のときなどです。
表44-1では、実行時に使用されるセキュリティ・トークン・サービスの公開キーについて説明します。
表44-1 実行時に使用されるセキュリティ・トークン・サービスの公開キー
セキュリティ・トークン・サービスの動作 | 説明 |
---|---|
SAMLアサーションの発行 |
|
トークンの発行 |
|
SAMLアサーションの検証 |
|
Webサービス・セキュリティ(WSS)プロトコル通信の使用 |
(OWSMエージェントを使用した)リクエスタとセキュリティ・トークン・サービスの間の通信 |
キーストア・ファイルは、JMXフレームワークによってドメイン内のすべてのOAMサーバーに配布され、セキュリティ・トークン・サービスに使用されます。
キーストア・ファイルは次のとおりです。
.oamkeystore: OAMサーバー・インスタンスに関連付けられたキーおよび証明書用。
.oamkeystore: パートナ、クライアントおよびエージェントとの信頼性を確立するために使用されるキーおよび証明書のパートナ・キーストア。
amtruststore: OAMサーバー・インスタンスと相互作用するエンティティに信頼性を確立するために使用されるキーおよび証明書の信頼キーストア。
amcrl.jar: 証明書失効リスト(CRL)は、CRLベースの証明書失効確認の実行中に、OAMサーバー・インスタンスによって使用されます。
「Oracle Access Managementキーストアの概要」を参照してください。
キーストア・ファイルは、JMXフレームワークによってドメイン内のすべてのOAMサーバーに配布されます。$DOMAIN_HOME/config/fmwconfig /mbeansディレクトリでは、ファイルを管理し、ファイルをドメイン全体に伝播する必要があることを識別するために、MBeanを示すファイルごとに登録mbeans.xmlが定義されます。
表44-2 キーストアMbean
キーストア | Mbeanと説明 |
---|---|
システム/パートナ・キーストア: .oamkeystore |
.oamkeystoreの構成は、JREのkeytoolアプリケーションを使用して実行されます。 |
信頼キーストア: .amtruststore |
amtruststoreの構成は、JREのkeytoolアプリケーションを使用して実行されます。 |
CRL: amcrl.jar |
CRL MBean: CRLの管理に使用できます。 |
トークン・セキュリティのキー・ペアは、セキュリティ・トークン・サービスで共有される共通のキーストアに移入されます。これにより、Oracle Web Services Managerエージェントは共通キーストアとやり取りする必要がなくなります。
WLSTコマンドを使用してキーストアおよびamtruststoreのパスワードを取得できます。
「システム・キーストア(.oamkeystore)および信頼キーストア(amtruststore)のパスワードのリセット」を参照してください。
JKSタイプのキーストアは、システムおよびパートナのキーと証明書を追加するためにOracle WSMエージェントで必要とされます。
Security Token ServiceでOracle WSMエージェント機能を使用してWSポリシーを公開し、インバウンドおよびアウトバウンドWSメッセージのメッセージを保護できます。Oracle WSMでは、個別のキーストアにシステムおよびパートナのキーと証明書が含まれている必要があります。
Oracle WSMエージェントは、様々な暗号化操作のためにキーストアを使用します。これらのタスクの場合、Oracle Web Services ManagerエージェントではOracle Web Services Managerタスク用に構成されたキーストア(OWSM秘密キーとOWSM信頼証明書を含む)が使用されます。OPSSモジュールでは、証明書の検証操作のためにOracle Web Services Managerで使用されるキーストア・サービスが公開され、$DOMAIN_HOME/config/fmwconfig/jps-config.xmlにはキーストア・サービス用の設定が含まれます。デフォルト名はdefault-keystore.jksであり、jps-config.xmlで指定されます。
Oracle WSMエージェント・キーストアとセキュリティ・トークン・サービス・キーストアは常に別にしておくことをお薦めします。そのようにしないと、キーはOPSSによって認可された任意のモジュールでキーストアへのアクセスに使用できるようになり、Access Managerキーがアクセスされる可能性があります。
ノート:
Oracle WSMエージェント・キーストアとセキュリティ・トークン・サービス・キーストアは常に別にしておくことをお薦めします。
インストール中、Oracle WSMキーストアが構成されていない場合にインストーラが行うことを次に示します。
$DOMAIN_HOME/config/fmwconfigフォルダでの新しいキーストアの作成(デフォルト名はdefault-keystore.jks)
署名および暗号化操作のためにOWSMで使用される、対応する証明書を持つキー・エントリの作成。このキー・エントリは、orakey
別名の下のOWSMキーストアに格納されます。
キー・エントリおよびキーストアのパスワードをCSFに格納します
キーストアにアクセスするために、場合によっては必要となることを次に示します。
クライアントに配布するための署名/暗号化証明書の抽出(必要な場合)
署名/暗号化キーエントリの更新または置換
信頼できる証明書の追加
「WSSプロトコル通信のためのOWSMの構成」を参照してください。
(Webサービス・リクエストの一部として受信される証明書トークンとは対照的に)クライアントがSKIなどの参照スキームを使用する特別な場合、リクエスタの証明書をOPSSキーストアに移入する必要があります。
これは、キーをOPSSキーストアに手動でプロビジョニングする必要がある、一般的ではないシナリオです。「エージェントとセキュリティ・トークン・サービスについて」を参照してください。