Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
セキュリティ・トークン・サービスに組み込まれているWS-SecクライアントとOracle WSMエージェントの間の通信を構成できます。
Oracle WSMエージェントはセキュリティ・トークン・サービスのWebサービス・エンドポイントを保護し、WSSプロトコル交換をサポートします。クライアントがOracle WSMエージェントと正常に通信するためには、次のことが必要です。
クライアントは、Oracle WSMエージェントで使用される署名証明書および暗号化証明書を認識する必要があります(そのためには、セキュリティ・トークン・サービスに組み込まれているOWSMエージェントで使用される署名証明書および暗号化証明書を抽出して配布する必要があります)。
Oracle WSMエージェントは、ポリシーに応じてクライアントで使用される署名証明書を認識する必要があります(そのためには、Oracle WSMエージェントの信頼できる証明書としてクライアントの証明書を追加する必要があります)。
Oracle WSMエージェントでは、リポジトリで必要なWeb Services Security (WSS)ポリシーを取得する必要があります。
Access Managerでは、セキュリティ・トークン・サービスのために次の2つのタイプのリポジトリがサポートされています。
WSSポリシーを含むJARファイル: WLSドメインがクラスパス用に構成されている場合に使用されます。必要なJARファイルは$ORACLE_IDM_HOME/oam/server/policy/ sts-policies.jarにあります。
SOAデプロイメントから使用できるOracle WSM Policy Manager
セキュリティ・トークン・サービスのインストール時に、インストーラにより、Oracle Web Services Manager Policy Managerが存在し、WebLogicセキュリティ・ドメインにデプロイされているかどうかが検出されます。
WebLogicセキュリティ・ドメインにデプロイされていない場合、インストーラでは、Webサービス・セキュリティ・ポリシー・クラスパス・モード用にWebLogicセキュリティ・ドメインが構成されます。このモードでは、WSMエージェントによりJARファイルからポリシーが取得されます。
存在する場合、インストーラはOracle Web Services Manager Policy Managerに接続し、セキュリティ・トークン・サービス・エンドポイントの保護に使用されるポリシーをアップロードします。
Access Managerポリシー・データおよびAccess Managerセッション・データ(オプション)に必要なデータベースの詳細は、「ポリシー、パスワード管理およびセッションのデータベース・ストアについて」を参照してください。
管理者は、特定のアクティビティに対してCSFからキーストア・パスワードおよびキー・エントリ・パスワードを取得する必要があります。
それ以外の場合、キーストアまたはキー・エントリを変更することはできません。キーストアへのアクセス権があると、次のことが必要になる場合があります。
クライアントに配布するための署名/暗号化証明書の抽出(必要な場合)
署名/暗号化キーエントリの更新または置換
信頼できる証明書の追加
SOAPの相互作用中に、WS-Securityプロトコルでは、セキュリティ・トークン・サービス・エンドポイントを保護するOWSMエージェントによるWSS操作に使用される署名/暗号化証明書を信頼することをクライアントに要求する場合があります。
その場合、Oracle Access Management管理者はWSS操作に使用されるセキュリティ・トークン・サービスOWSM署名/暗号化証明書を抽出し、WSクライアントに提供する必要があります。管理者は、WSS暗号操作のためにセキュリティ・トークン・サービスで使用される署名証明書および暗号化証明書をエクスポートする必要があります。次の手順は、この操作の実行方法を示しています。
$DOMAIN_HOMEをDomainディレクトリへのパスに置換
CERT_FILEを、証明書が保存されるファイルの場所に置換
パスワードの入力を求められたら、[Enter]キーを押します。
WSS暗号操作のためにOWSMキーストアに信頼できる証明書を追加できます。
信頼できる証明書を追加するには、次のようにします。
次の手順でコマンドを実行します。
$DOMAIN_HOMEを、Domainディレクトリへのパスで置換します。
TRUSTED_CERT_FILEを、信頼できる証明書を含むファイルの場所で置換します。
TRUSTED_CERT_ALIASを、信頼できる証明書が格納される別名で置換します。
パスワードの入力を求められた場合は、以前に取得したOWSMキーストアのパスワードを入力します。
管理者は、インポートする証明書を持っている必要があります。
「Oracle WSMキーストア・パスワードの取得」を参照してください。
Oracle WSMエージェントが証明書検証を実行する場合、Oracle WSMタスク用に構成されたキーストアを使用し、キーストアに含まれる信頼できる証明書エントリに対して証明書を検証します。
これらの操作では、OWSMキーストアでの信頼できる証明書エントリ(証明書自体または発行者の証明書)の追加が必要な場合があります。SOAPリクエスタを受信すると、Oracle WSMエージェントはメッセージを保護するためにリクエストを処理します。ステップの一部では、着信メッセージが次の場合に証明書検証操作が行われます。
タイプがWSS 1.0で、秘密キーで作成されたデジタル証明書を含み、証明書が存在しない場合。この場合、次のようになります。
処置: Oracle WSMキーストアには署名証明書を含める必要があります。
タイプがWSS 1.0で、秘密キーで作成されたデジタル証明書を含み、証明書が存在する場合。
処置: Oracle WSMキーストアには、署名証明書または署名証明書の発行者の証明書を含める必要があります。
タイプがWSS 1.1で、秘密キーで作成されたデジタル証明書を含み、証明書が存在しない場合。
処置: Oracle WSMキーストアには署名証明書を含める必要があります。
タイプがWSS 1.1で、秘密キーで作成されたデジタル証明書を含み、証明書が存在する場合。この場合、OWSMキーストアには署名証明書または署名証明書の発行者の証明書を含める必要があります。
処置: Oracle WSMキーストアには、署名証明書または署名証明書の発行者の証明書を含める必要があります。
Oracle WSMがWSS Kerberosポリシーを使用してセキュリティ・トークン・サービスとやり取りするクライアントの場合、『Webサービスの管理』のOracle WSM Kerberos全体の設定に関する項が適用されます。
ただし、クライアントがOracle WSMではない場合は、クライアントの構成方法に関する項およびKerberosチケットで参照されるユーザーの認証に関する項は無視してください。
KDCの構成。
MIT Kerberos KDCの初期化および起動。
プリンシパルの作成。
ノート:
次のステップ5およびステップ6は、非Oracleクライアントではスキップしてください。Webサービス・クライアントでのサービス・プリンシパル名の設定
設計時のWebサービス・クライアントでのサービス・プリンシパル名の設定
正しいKDCを使用するためのWebサービスの構成
Enterprise Managerでの正しいkeytabファイルの使用方法
keytabファイルの抽出とエクスポート
keytabファイルを使用するためのkrb5ログイン・モジュールの変更
サービス・プリンシパルに対応するユーザーの認証
Webサービス・クライアントのチケット・キャッシュの作成
Active DirectoryのKerberosおよびメッセージ保護との使用
ノート:
ステップ14は、非Oracleクライアントではスキップしてください。Webサービス・クライアントの設定
ユーザー・アカウントの作成
Keytabファイルの作成
ノート:
ステップ17は、非Oracleクライアントではスキップしてください。サービス・プリンシパル名の設定
Webサービスの設定