| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
|
前 |
次 |
セキュリティ・トークン・サービスは、Access Managerと共存するWebサービスで、いくつかのAccess Managerコンポーネントを起動してセキュリティ・トークンを検証および発行します。
通常、Webクライアントはユーザー名トークンやX.509トークンのようなセキュリティ・トークンを提供することで、セキュリティ・トークン・サービスを使用してSAMLなどのアウトバウンド・トークンを要求できます。
セキュリティ・トークン・サービスはOracle Access Managementコンソールと統合され、統一された一貫性のある管理機能を提供します。Security Token Serviceシステムのすべての構成は、Oracle Access Managementコンソールを使用して実行します。
セキュリティ・トークン・サービスは次を提供します。
トークン:
検証トークン: 標準トークン(ユーザー名、X.509、Kerberos、SAML 1.1/2.0)およびカスタム・トークンOnBehalfOfユースケース(統合エンジンを介したOAMセッションID伝播トークンおよびカスタム・トークン)では、OAM sessionID伝播トークンおよびカスタム・トークン(ユーザー名、X.509、SAML 1.1/2.0)とともに次の標準トークンもサポートされています。
発行トークン: 統合エンジンを介した標準トークン(ユーザー名、SAML 1.1/2.0)およびカスタム・トークン
構成による発行および検証
複数の層およびドメインにまたがるアイデンティティ伝播による高度な監査
統合された共有プラットフォーム・サービスは、内部サービス(Access Manager SSO、Federation、Oracle Web Services Manager)および外部サービスとやり取りします。
次の各トピックでは、セキュリティ・トークン・サービス設定の構成方法について説明します。
詳細は、『Webサービスの管理』を参照してください。
インストールを完了してサーバーを起動すると、OAMサーバー上のOracle Access Managementコンソールにアクセスできます。
たとえば、OAMサーバーのURLがhttp://machine:14100/oamの場合、次のものにアクセスできます。
Oracle Access Managementコンソール: http://machine:7001/oamconsole
セキュリティ・トークン・サービス: http://machine:14100/sts/wss11user?wsdlにより、デフォルトで使用できる/sts/wss11userエンドポイントのWSDLを表示して、セキュリティ・トークン・サービスが使用できることを確認します。
デフォルトではセキュリティ・トークン・サービスは無効になっているため、すべてのランタイム機能およびWebサービス・エンドポイントも無効になっています。これらのエンドポイントにアクセスするには、最初にOracle Access Managementコンソールを使用してセキュリティ・トークン・サービスを有効にする必要があります。その後、エンドポイントにアクセスできるようになります。
次のインストール後の構成タスクを実行する必要があります。
Oracle Access Managementコンソールでのサーバー側の構成では、次を使用します。
サービス有効化
「セキュリティ・トークン・サービスのサービスの有効化および無効化」を参照してください。
設定の構成
「 「Security Token Serviceの設定」の管理」を参照してください。
エンドポイント登録
「エンドポイントの管理」を参照してください。
トークン発行テンプレート構成
「トークン発行テンプレートの管理」を参照してください。
トークン検証テンプレート構成
「トークン検証テンプレートの管理」を参照してください。
パートナ・プロファイル作成
「Token Serviceパートナ・プロファイルの管理」を参照してください。
パートナ構成
「Token Serviceパートナの管理」を参照してください。
特定のリライイング・パーティについて、セキュリティ・トークン・サービスを使用してトークンを発行するための認可ルールを定義するトークン発行ポリシー。
「トークン発行ポリシー、条件およびルールの管理」を参照してください。
次の項の説明に従って、Oracle WSMエージェントとの相互作用を設定します。
「Oracle WSMエージェントのためのWSSポリシーの使用および管理」を参照してください。
「WSSプロトコル通信のためのOWSMの構成」を参照してください。
メッセージ・ロギングを設定します。
「セキュリティ・トークン・サービス・メッセージのロギング」を参照してください。
イベント監査を構成します。
「Oracle Access Managementの監査の設定」を参照してください。
ライフサイクル管理の構成
項目1cの説明に従って、セキュリティ・トークン・サービスのトラスト・エンドポイントを登録します。
リクエスタまたはリライイング・パーティ・パートナをセキュリティ・トークン・サービスに登録します。
「Token Serviceパートナの管理」を参照してください。
パフォーマンスをモニターします。
Oracle Access Managementでは、すべてのセキュリティ・トークン・サービス・インスタンスはOAMサーバー(管理対象サーバーとも呼ばれる)上にインストールされます。各サーバーをAccess Managerに登録する必要があります。
セキュリティ・トークン・サービスでは、共有サービスの共通インフラストラクチャおよびOracle Access Management管理モデルが利用されます。セキュリティ・トークン・サービスではWeb Services Securityプロトコル1.0および1.1がサポートされており、次のトークン(Security SOAPヘッダーに存在する場合)が処理されます。
ユーザー名トークン(UNT)
SAML 1.1またはSAML 2.0アサーション
Kerberos
X.509
サード・パーティのサーバー: セキュリティ・トークン・サービスは、サード・パーティのセキュリティ・トークン・サーバーと相互運用できます。
たとえば、サード・パーティのセキュリティ・トークン・サービスでは、セキュリティ・トークン・サービスで使用できる有効なSecurity Assertion Markup Language (SAML)アサーションを作成できます。
セキュリティ・トークン・サービスは、様々なOracleクライアント(Oracle Web Services Managerクライアント)またはサード・パーティ・クライアント(MicrosoftおよびIBM)にサービスを提供します。
Oracle WSMクライアント: Oracle Web Services Managerクライアント・バインディングは、Oracle Web Services Managerの担当です(このマニュアルの範囲外)。
「WSS KerberosポリシーのためのOracle WSMエージェントの構成」を参照してください。
『Webサービスの管理』のWS-Trustポリシーと構成ステップに関する項
サード・パーティ・クライアント: Oracle WSMクライアントとサーバーの間でセキュアなキー交換が必要です。単に、Security Token Service証明書をクライアントにインポートします。
SOAPの相互作用中に、WS-Securityプロトコルでは、セキュリティ・トークン・サービス・エンドポイントを保護するOWSMエージェントによるWSS操作に使用される署名/暗号化証明書を信頼することをクライアントに要求する場合があります。その場合、Oracle Access Management管理者はWSS操作に使用されるセキュリティ・トークン・サービスOWSM署名/暗号化証明書を抽出し、WSクライアントに提供する必要があります。
「Oracle STS/Oracle WSM署名証明書および暗号化証明書の抽出」を参照してください。
Oracle Web Services Managerでは、セキュリティ・トークン・サービスと連動するエージェントを介して通信します。
Oracle WSMエージェント: Oracle Web Services Manager (Oracle WSM)エージェントはセキュリティ・トークン・サービスと統合されます。このエージェントは、セキュリティ・トークン・サービスWebサービス・エンドポイントに対してWebサービス・セキュリティ・サポートを提供します。
セキュリティ・トークン・サービスのWebサービス・エンドポイントの保護
SOAPメッセージをリライイング・パーティに送信するためのWS-Securityサポートの提供。そのプロセスの一部として、OWSMクライアントはセキュリティ・トークン・サービスとの相互作用により、リライイング・パーティに表示されるセキュリティ・トークンを取得します。
トークン取得およびトークン検証のためのセキュリティ・トークン・サービスとの相互作用
セキュリティ・トークン・サービスでは、Oracle Web Services Manager (Oracle WSM)エージェントによるトークン取得およびトークン検証がサポートされています。Oracle Web Services Managerエージェントでは、インバウンドまたはアウトバウンド・セキュリティ・ポリシー強制の一部としてセキュリティ・トークン・サービスを使用する必要はありません。Oracle Web Services Managerクライアント・バインディングは、Oracle Web Services Manager管理者の担当です。
Oracle WSMエージェントは、セキュリティ・トークン・サービスとクライアントの間のSOAP通信チャネルのメッセージを保護するために、セキュリティ・トークン・サービスで使用されます。Oracle WSMエージェントでは、WSSクライアントの証明書を検証するときに、関連する信頼できる証明書を含むOPSSキーストア(デフォルトでは$DOMAIN_HOME/config/fmwconfigディレクトリにあるdefault-keystore.jksキーストア)がキャッシュされます。その後、キーストアの内容またはキーストア名を変更する場合は、Oracle Enterprise Manager Fusion Middleware Control、WebLogic ServerコンソールまたはNodeManagerを使用して管理対象サーバーを再起動する必要があります。
セキュリティ・トークン・サービスで使用できるOracle WSMエージェントは、次のタスクを実行するために、セキュリティ・トークン・サービス・エンドポイントを保護するように構成する必要があります。
リクエストの復号化(必要な場合)
リクエストに表示されるデジタル証明書の検証
リクエストのデジタル署名を作成するために使用される証明書の検証(署名が秘密キーで作成された場合)
SOAPヘッダー内のX.509トークンの検証(存在する場合)
SOAPヘッダー内のKerberosトークンの検証(存在する場合)
送信レスポンスの署名(必要な場合)
送信レスポンスの暗号化(必要な場合)
Oracle WSMエージェント・キーストア: Oracle WSMエージェントでは、様々な暗号化操作にキーストアが使用されます。これらの操作では、Oracle WSMエージェントはOracle WSMタスク用に構成されたキーストアを使用します。
「Oracle Access Managementキーストアの概要」を参照してください。
「セキュリティ・トークン・サービスの証明書とキーの管理」を参照してください。
Webgate: セキュリティ・トークン・サービスでは、Access Managerセッション伝播トークンにWebgateが使用されます。このアイデンティティ伝播のユースケースは、より高度なものです。WebLogic Serverおよび一部のカスタム統合でIDアサーション・プロバイダを必要とします。
「セキュリティ・トークン・サービスの実装シナリオ」を参照してください。
「Oracle Web Services Managerのキーストア(default-keystore.jks)について」を参照してください。
エンドポイントを追加すると、セキュリティ・トークン・サービス・エンドポイントと関連付けるポリシーURIおよび検証テンプレートのリストから選択できるようになります。
図43-1に、エンドポイントが設定されたセキュリティ・トークン・サービスのデフォルト設定を示します。
ORAPROVIDERはOracle WSMエージェントと統合されており、クライアントとセキュリティ・トークン・サービスの間で交換されているSOAPメッセージ上でWebサービス・セキュリティをサポートします。セキュリティ・トークン・サービスはWebサービスのORAPROVIDERを利用して、次の処理を行います。
Webサービス・エンドポイントの動的な公開
SOAPメッセージを処理するためのセキュリティ・トークン・サービスの起動
各WSエンドポイントのWSDLファイルの公開
Oracle WSMエージェントWSSポリシー・ストア: Oracle WSMエージェントでは、リポジトリで必要なWebサービス・セキュリティ(WSS)ポリシーを取得する必要があります。セキュリティ・トークン・サービスでは2つのタイプのリポジトリがサポートされています。
WSSポリシーを含むJARファイル: WLSドメインがクラスパス用に構成されている場合に使用されます。
Oracle WSM Policy Manager: SOAデプロイメントから使用できます。
ポリシー・アサーション: 即時利用可能です。セキュリティ・トークン・サービスには、Oracle Workspace Studio: SOAPメッセージ・セキュリティおよびWS-Trustとの関連においてメッセージを保護する方法を表すために、WS-Policyフレームワークで使用する一連のセキュリティ・ポリシー・アサーションが用意されています。
セキュリティ・トークン・サービスでは、セキュリティ・ポリシー・ファイルをデプロイ済のWSDLにアタッチすることで、関連するセキュリティ・ポリシー・ファイルをパブリックに使用できるようになります。
セキュリティ・トークン・サービス・ランタイムでは、WS-Security暗号化およびデジタル署名操作のためにjps-config.xmlで定義されているキーストアに格納された秘密キーとX.509証明書のペアが使用されます。
次の段落および表では、セキュリティ・トークン・サービスおよびOracle WSMエージェントで即時に利用できるポリシーを示します。
メッセージ・レベルのセキュリティが不要: メッセージ・レベルのセキュリティが不要な場合は、名前にmessage_protectionが指定されていないセキュリティ・トークン・サービス・ポリシーを使用します。これは、WS-Security SOAPヘッダーのトークンに含まれる資格証明を使用してユーザーを認証します。Fusion Applicationsトークンに含まれる資格証明は、検証テンプレートに指定されているルールに基づいてマップされます。プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。
メッセージ・レベルのセキュリティが不要な場合のトランスポート・セキュリティ: クライアント・アプリケーションとWebLogicサーバーの両方が相互に資格証明を提示する双方向のSSLを構成できます。
コアWebLogic Serverセキュリティ用に双方向および一方向のSSLを構成できます。
『Oracle Fusion Middleware Webサービスの管理』ガイドのOWSMセキュリティ・プロファイルのテストに関する項を参照してください。
ポリシーについては、表43-1を参照してください。
WS-Security 1.0および1.1ポリシーの相互運用性:
WS-Security 1.0または1.1 (認証要件および資格証明の使用可/不可により異なる)との相互運用性が必要な場合は、次のポリシーを使用する必要があります。
図43-2を参照してください。
強固なセキュリティ要件がある場合は、WS-Security 1.1ポリシーを使用する必要があります。
