Oracle® Fusion Middleware Oracle Mobile Security Access Serverの管理 11gリリース2 (11.1.2.3) E64863-01 |
|
前 |
次 |
この章の内容は次のとおりです。
次以降の項に、ポリシーとアサーション・テンプレートの管理の概要を示します。
ポリシーは、アプリケーションURLの機能または要件を表す1つ以上のポリシー・アサーションとして表されます。ポリシー・アサーションは、リクエスト操作とレスポンス操作のための特定のアクションを実行するポリシーの最小単位です。たとえば、あるポリシー・アサーションは、アプリケーションURLへのリクエストが暗号化されることを規定します。同様に、あるポリシー・アサーションでは、アプリケーションURLで受信できる最大メッセージ・サイズを定義できます。
自動的に使用可能になる、一連の事前定義済ポリシーとアサーション・テンプレートがあります。事前定義済ポリシーは、顧客のデプロイで使用される一般的なベスト・プラクティス・ポリシーのパターンに基づいています。
これらの事前定義済ポリシーは、MSASアプリケーションのURLにすぐにアタッチを開始できます。事前定義済ポリシーのいずれかをコピーして、事前定義済ポリシーを編集および構成したり、新規のポリシーを作成することもできます。
事前定義済ポリシーは、事前定義済アサーション・テンプレートに基づくアサーションを使用して作成されています。必要に応じて、新しいアサーション・テンプレートを作成できます。
事前定義済ポリシーおよびアサーション・テンプレートの詳細は、次の項を参照してください。
Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、事前定義ポリシーに関する項
Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、事前定義アサーション・テンプレートに関する項
ポリシーは、「アクセス・ポリシー」ページから管理します。このページを起点として以下のことができます。
固有なポリシーまたはポリシーのタイプの検索
ポリシーの表示
ポリシーの作成、編集および削除
リポジトリとの間でのポリシーのインポートまたはエクスポート
ポリシーへのアサーションまたはORグループの追加
ポリシーのバージョニング
次の各項で、ポリシーの管理方法について説明します。
「アクセス・ポリシー」ページからポリシーを表示するには、次の手順を実行します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブをクリックします。
モバイル・セキュリティ起動パッドから、「モバイル・セキュリティ・アクセス・サーバー」セクションの「アクセス・ポリシー」をクリックします。
「アクセス・ポリシー」ページが新しいタブで開きます。
「アクセス・ポリシー」ページで、適切な検索条件を指定することによって、戻されるポリシー数を削減できます。これを行うには、次のようにします。
「検索」ペインで、検索で使用する条件を指定します。
「名前」フィールドに、ポリシー名またはポリシー名の一部を入力して、検索の絞込みに使用する演算子を選択します。使用可能な演算子は、「次で始まる」、「次で終わる」、「次と等しい」および「次を含む」です。たとえば、メッセージ保護ポリシーのみを検索するには、「次を含む」演算子を選択して、「名前」
フィールドにmessageを入力します。
パーセント(%
)をワイルドカードとして、名前内の任意の場所で使用できます。アスタリスク(*
)はワイルドカードとして認識されず、プレーン・テキストとして処理されます。検索では、大文字と小文字は区別されません。
「検索」をクリックします。
「ポリシー」表は、指定された検索条件に一致するポリシーのみ含むように更新されます。
ポリシーの詳細を表示するには、次の手順に従います。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブをクリックします。
モバイル・セキュリティ起動パッドから、「モバイル・セキュリティ・アクセス・サーバー」セクションの「アクセス・ポリシー」をクリックします。
「アクセス・ポリシー」ページが新しいタブで開きます。オプションで、「ポリシーの検索」の説明に従って、検索を使用して表示されるポリシーのリストを絞り込みます。
ポリシーのリストから表示されるポリシーを選択して、「開く」をクリックします。または、「アクション」→「開く」を選択します。
図8-2にoracle/wss10_saml_token_with_message_protection_service_policy
の「ポリシーの詳細」ページを示します。
「ポリシーの詳細」ページには、次の2つのタブがあります。
「一般」タブ(図8-2)には、ポリシー名、表示名、ポリシー・カテゴリ、説明、およびポリシーが有効であるかどうかなどの情報が表示されます。「アタッチメント属性」セクションには、ポリシーをアタッチできるエンドポイントのタイプと、サービス・カテゴリ(サービス・エンドポイント、クライアントまたはその両方)に関する詳細が表示されます。「バージョン情報」セクションには、ポリシーのバージョン番号や、ポリシーが最後に更新された日付、更新者がリストされます。「ポリシー・バージョン履歴」ページに移動できます。ポリシー・バージョンの詳細は、「ポリシーのバージョニング」を参照してください。
「アサーション」タブには、ポリシーに含まれているアサーションのすべてをリストする表が含まれています。アサーションの詳細を表示するには、表でアサーション名を選択します。表示されるコンテンツは選択したアサーションに応じて異なります。図8-3にメッセージ保護サービス・ポリシー付きWss10 SAMLトークンの「アサーション」タブを示します。
次の項では、ポリシーの作成および編集について説明します。
1つ以上のアサーション・テンプレートを使用して新しいポリシーを作成するには、次の手順に従ってください。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブをクリックします。
モバイル・セキュリティ起動パッドから、「モバイル・セキュリティ・アクセス・サーバー」セクションの「アクセス・ポリシー」をクリックします。
「アクセス・ポリシー」ページが新しいタブで開きます。
「作成」をクリックします。または、「アクション」→「作成」を選択します。
一時的に「無題」というタイトルが付けられたページに、「一般」と「アサーション」の、2つのタブがあります。デフォルトで「一般」lタブが表示されます。
「一般」タブでは、オプションでポリシーを参照するコンソールで使用する「表示名」フィールドに一意の名前を指定します。
ページ・タイトルは、指定した表示名を反映するように更新されます。表示名を指定しない場合は、ポリシー名がポリシーの参照に使用されます。
「名前」フィールドにポリシー名を入力します。
ポリシー名にはポリシーが存在するディレクトリが含まれている必要があります。たとえば、Oracleで提供される事前定義済のすべてのポリシーは、oracle/wss_http_token_service_policy
などのoracle/
ディレクトリに含まれています。
注意: 「ポリシーの推奨ネーミング規則」に記載されているポリシーのネーミング規則に従うことをお薦めします。ポリシーの作成後は、ポリシーの名前を編集できません。ポリシー名を変更するには、ポリシーのクローンを作成して、それに別の名前を割り当てる必要があります。 |
デフォルトで、「カテゴリ」フィールドは、「セキュリティ」に設定されます。
注意: 新しいポリシーは、「セキュリティ」カテゴリにのみ作成できます。 |
オプションで、「説明」フィールドにポリシーの概要を入力します。
必要に応じて、「有効」オプションを選択して、ポリシーを有効にします。有効化されていないポリシーは、実行時に施行されないことに注意してください。
ページの「アタッチメント属性」セクションで、ポリシーがアタッチ可能なポリシー強制ポイントのタイプを指定します。「適用先」メニューで、次のオプションの中から1つを選択します。
すべて: ポリシーが、サービス・エンドポイントとクライアント・エンドポイントを含めたすべてのタイプのポリシー強制ポイントにアタッチ可能であると指定します。
サービス・バインディング: ポリシーがサービスおよびクライアント・エンドポイントにアタッチ可能と指定します。このオプションを選択した場合は、「サービス・カテゴリ」フィールドで、ポリシーがサービス・エンドポイント、サービス・クライアント、またはその両方にアタッチ可能かを選択します。
ポリシーにアサーションを追加するには、「アサーション」タブを選択して、「追加」をクリックします。詳細は、「ポリシーへのアサーションの追加」を参照してください。
オプションで、ポリシーにORグループを追加します。「追加」メニューを選択し、「ORグループ」を選択します。次に、「追加」メニュー、続いて「ORグループへのアサーション」を選択し、目的のアサーションをORグループに追加します。
ORグループにより、複数のセキュリティ・サブカテゴリ・オプションを定義できますが、実行できるのはそのうちの1つのみです。たとえば、サブセットにSAMLトークンとユーザー名トークン・セキュリティ/認証サブカテゴリ・アサーションの両方を含めることができるため、アプリケーションでいずれか(両方ではない)のオプションを使用できます。詳細は、「ポリシーへのORグループの追加」を参照してください。
設定および構成プロパティを変更することによって、必要に応じてアサーションを構成します。
構成プロパティを編集するには、「構成」をクリックします。アサーションに定義された構成プロパティのリストが表示されます。「構成プロパティの編集」の説明に従って構成プロパティを編集し、「OK」をクリックします。
各アサーション・テンプレートの設定と構成プロパティの詳細は、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、アサーション・テンプレートの設定と構成プロパティに関する項を参照してください。
ポリシーにアサーションを追加し終えたら、表内のアサーションを選択して、「上に移動」および「下に移動」ボタンを使用して、ポリシーの順序を設定します。アサーションは、リストに表示される順序で起動されます。
「検証」をクリックして、ポリシーを検証します。
ポリシーが無効な場合は、予防措置として無効化されます。検証の問題を解決したら、ポリシーを有効化する必要があります。ポリシーの検証の詳細は、「ポリシーの検証」を参照してください。
「適用」または「元に戻す」をクリックして、変更を適用するか、変更を元に戻します。
既存のポリシーをクローニングして新規のポリシーを作成できます。
ポリシーをクローニングする手順:
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブをクリックします。
モバイル・セキュリティ起動パッドから、「モバイル・セキュリティ・アクセス・サーバー」セクションの「アクセス・ポリシー」をクリックします。
「アクセス・ポリシー」ページが新しいタブで開きます。
オプションで、「ポリシーの検索」の説明に従って、検索を使用して表示されるポリシーのリストを絞り込みます。
ポリシーのリストからクローンを作成するポリシーを選択して、「類似作成」をクリックします。または、「アクション」→「類似作成」を選択します。
この新しいポリシーの名前を、環境でよりわかりやすい名前に変更することをお薦めします。
注意: 「ポリシーの推奨ネーミング規則」に記載されているポリシーのネーミング規則に従うことをお薦めします。ポリシーの作成後は、ポリシーの名前を編集できません。ポリシー名を変更するには、ポリシーのクローンを作成して、それに別の名前を割り当てる必要があります。 |
アサーションを含め、必要に応じてポリシーを変更します。
ポリシーへのアサーションの追加の詳細は、「ポリシーへのアサーションの追加」を参照してください。ポリシーへのORグループの追加の詳細は、「ポリシーへのORグループの追加」を参照してください。
「検証」をクリックして、ポリシーを検証します。
ポリシーが無効な場合は、予防措置として無効化されます。検証の問題を解決したら、ポリシーを有効化する必要があります。ポリシーの検証の詳細は、「ポリシーの検証」を参照してください。
「適用」または「元に戻す」をクリックして、変更を適用するか、変更を元に戻します。
注意: 有効なポリシー・セットが常にあるように、事前定義済ポリシーは編集しないことをお薦めします。事前定義済ポリシーを編集する場合、ポリシーをクローニングして、それを編集することをお薦めします。 |
この項に記載のとおり、ポリシーを編集できます。ポリシーに対する変更内容は、ポリシー変更の次の調査間隔で反映されます。
ポリシーに変更を保存するたびに新しいバージョンが作成され、以前のバージョンが保持されます。ポリシー・バージョニングの詳細は、「ポリシーのバージョニング」を参照してください。
ポリシーを編集する手順:
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブをクリックします。
モバイル・セキュリティ起動パッドから、「モバイル・セキュリティ・アクセス・サーバー」セクションの「アクセス・ポリシー」をクリックします。
「アクセス・ポリシー」ページが新しいタブで開きます。
オプションで、「ポリシーの検索」の説明に従って、検索を使用して表示されるポリシーのリストを絞り込みます。
ポリシーのリストから編集するポリシーを選択して、「開く」をクリックします。または、「アクション」→「開く」を選択します。
「ポリシーの詳細」ページが表示されます。「ポリシーの詳細」ページの詳細は、「ポリシーの詳細の表示」を参照してください。
「一般」タブを選択して、次の情報を編集します。
表示名および説明(必要に応じて)。ポリシー名は編集できません。ポリシー名を変更するには、ポリシーのクローンを作成して、それに別の名前を割り当てる必要があります。
必要に応じてタブのその他のフィールド(ポリシーの有効化または無効化、ポリシーをアタッチ可能なポリシー強制ポイントのタイプの変更など)。
「アサーション」タブを選択して、次のタスクを実行します。
必要に応じて、アサーション設定および構成プロパティを変更します。アサーション設定を変更するには、表でアサーションを選択して、ページの「詳細」セクションで必要に応じて設定を編集します。構成プロパティを編集するには、「構成」をクリックして、構成表で必要に応じてプロパティを編集します。アサーションを有効化するには、「強制」オプションを選択します。
注意: 「通知済」オプションは、将来の使用のために予約されています。 |
「ポリシーへのアサーションの追加」および「ポリシーへのORグループの追加」のそれぞれの説明に従って、必要に応じてアサーションまたはORグループを追加します。
必要に応じて、アサーションまたはORグループを削除します。これを行うには、表でアサーションまたはORグループを選択して、「削除」をクリックします。
各事前定義済ポリシーのアサーションの詳細は、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、事前定義済ポリシーに関する項を参照してください。
「検証」をクリックして、ポリシーを検証します。
ポリシーが無効な場合は、予防措置として無効化されます。検証の問題を解決したら、ポリシーを有効化する必要があります。ポリシーの検証の詳細は、「ポリシーの検証」を参照してください。
「適用」または「元に戻す」をクリックして、変更を適用するか、変更を元に戻します。
次の項で説明する手順を使用して、ポリシーをインポートおよびエクスポートします。
ポリシーをエクスポートし、開発環境から本番環境にポリシーをコピーしたり、単にポリシーを別のツールやアプリケーションで表示したりできます。「ポリシーの作成と編集」の説明に従って、作成したポリシーをエクスポートできます。ポリシーをエクスポートすると、別のリポジトリへのインポート、アタッチ、変更などを行えます。
リポジトリからポリシーをエクスポートするには、次の手順に従います。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブをクリックします。
モバイル・セキュリティ起動パッドから、「モバイル・セキュリティ・アクセス・サーバー」セクションの「アクセス・ポリシー」をクリックします。
「アクセス・ポリシー」ページが新しいタブで開きます。
ポリシーのリストからエクスポートするポリシー(複数可)を選択して、「エクスポート」をクリックします。
ポリシーは、デフォルトでpolicyexport.zip
という名のzipアーカイブ・ファイルに追加され、ローカル・ディレクトリにダウンロードされます。
複数のエクスポート操作を実行すると、以降のファイルは一意に命名されます。たとえば、policyexport
(n)
.zip
。ここで「n」
は1から始まり、追加のエクスポートごとに1ずつ増分されます。
各ポリシーのディレクトリ構造は、次の構造を使用してアーカイブ・ファイルに保持されます。
META-INF/policies/
policyname
次の手順を使用して、1つ以上のポリシーをリポジトリにインポートします。ポリシーをインポートすると、アタッチや変更を行うことができます。
注意: インポートするポリシー名は、リポジトリに存在しないものであることが必要です。ポリシー名とファイル名は異なることに注意してください。ポリシー名はポリシー・コンテンツの名前属性によって指定されますが、ファイル名はポリシー・ファイルの名前です。2つの名前を一致させると便利ですが、必須ではありません。 ポリシー名の先頭に |
1つ以上のポリシーをインポートするには:
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブをクリックします。
モバイル・セキュリティ起動パッドから、「モバイル・セキュリティ・アクセス・サーバー」セクションの「アクセス・ポリシー」をクリックします。
「アクセス・ポリシー」ページが新しいタブで開きます。
「インポート」をクリックします。
インポートするポリシーを含むzipアーカイブ・ファイルの名前を提供するよう要求されます。
注意: インポートするポリシーは、zipアーカイブで次のディレクトリ構造を使用している必要があります。
このディレクトリ構造の中で、 |
「インポート」ウィンドウで、「ファイルの選択」をクリックし、ポリシー・アーカイブ・ファイルがあるディレクトリに移動して、インポートするzipアーカイブ・ファイルを選択します。
「インポート」をクリックします。
いずれかのポリシーでエラーが発生した場合、インポート・プロセスが停止します。たとえば、インポートするポリシーが5つあり、3つ目でエラーが発生した場合、最初の2つはインポートされますが、残りのポリシーはインポートされません。
情報ウィンドウが表示され、インポートされたポリシーがリストされます。「OK」をクリックするとウィンドウが閉じます。
インポートされたポリシーは、「アクセス・ポリシー」ページのポリシーのリストに追加されます。
ポリシーの作成または編集中にポリシーにアサーションを追加できます。
ポリシーには、セキュリティ・カテゴリに属するアサーションをいくつでも含めることができますが、アサーションの組合せが有効であることが必要です。有効なアサーションの詳細は、「ポリシーの検証」を参照してください。
ポリシーにアサーションを追加する手順
「ポリシーの詳細の表示」の説明に従って、アサーションを追加する「ポリシーの詳細」ページに移動します。
「アサーション」タブを選択します。
「追加」をクリックするか、「追加」メニューから「アサーション」を選択します。
「アサーションの追加」ページが表示されます。そのポリシーに使用可能なアサーションが「検索結果」表に表示され、「テンプレート名」で編成されています。オプションで、「表示名」列を表示したり、列の順序を変更するには、「表示」メニューを使用します。
表からアサーションを選択するか、「名前」および「カテゴリ」フィールドに検索パラメータを指定して、「検索」をクリックします。検索基準に一致する結果が「検索結果」表に表示されます。「検索結果」表で、ポリシーに追加するアサーションを1つまたは複数選択し、選択項目を追加をクリックします。リストされているすべてのアサーションをポリシーに追加するには、すべて追加をクリックします。
選択したアサーションが、「選択したアサーション・テンプレート。」表に表示されます。アサーションはテンプレート名を使用して表示されます。オプションで、「テンプレートの表示名」列を表示したり、列の順序を変更するには、「表示」メニューを使用します。
「選択したアサーション・テンプレート。」表で、オプションで「アサーション名」フィールドで追加されたアサーションの名前を編集します。
「選択したアサーション・テンプレート。」表で、選択内容を確認します。この表から1つまたは複数のアサーションを削除するには、「選択項目の削除」または「すべて削除」をクリックします。アサーションの選択を確認してから、「アサーションの追加」をクリックします。
追加したアサーションが、「アサーション」タブにリストされます。
アサーション・テンプレートの詳細は、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、事前定義済アサーション・テンプレートに関する項を参照してください。
アサーションを構成するには、アサーションを選択して、ページの「詳細」セクションで必要に応じて設定を編集します。
アサーションを有効化または通知するには、「強制」オプションを選択します。
注意: 「通知済」オプションは、将来の使用のために予約されています。 |
構成プロパティを編集するには、「構成」をクリックします。
アサーションに定義された構成プロパティのリストが表示されます。
構成プロパティを編集し、「OK」をクリックします。
各アサーション・テンプレートの構成プロパティの詳細は、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、アサーション・テンプレートの設定と構成プロパティに関する項を参照してください。
「値」および「説明」フィールドのみ編集できることに注意してください。アサーション・テンプレートで定義されている「名前」、「タイプ」および「デフォルト値」プロパティ設定は変更できず、読取り専用として表示されます。これらのプロパティの詳細は、「構成プロパティの編集」を参照してください。
ポリシーにアサーションを追加し終えたら、表内のアサーションを選択して、「上に移動」および「下に移動」ボタンを使用して、ポリシーの順序を設定します。アサーションは、リストに表示される順序で起動されます。
「適用」または「元に戻す」をクリックして、変更を適用するか、変更を元に戻します。
1つ以上のアサーションを含むORグループを作成して、1つのポリシーで複数のタイプのセキュリティ・トークンを使用するようにできます。クライアントは、ORグループに定義されている任意のポリシーを実行できます。詳細は、「複数のポリシー選択肢の定義(ORグループ)」を参照してください。
ポリシーに追加できるORグループは1つのみです。ORグループを追加したら「ORグループ」オプションは灰色表示されます。
ポリシーにORグループを追加する手順
ORグループを追加するポリシーの「ポリシーの詳細」ページに移動します。
「アサーション」タブを選択します。
「追加」メニューから「ORグループ」を選択します。
「ORグループ
」行が「アサーション」表に追加されます。
「追加」メニューから「アサーション」、「ORグループ」を選択します。「ORグループ」はメニューでグレー表示されているため、これ以外のORグループを追加できません。
注意: 「追加」をクリックするか、「追加」メニューから「アサーション」を選択すると、アサーションはORグループの外に追加されます。 |
「アサーションの追加」検索ページが表示されます。
「検索結果」表から1つ以上のアサーションを選択するか、「名前」および「カテゴリ」フィールドに検索パラメータを指定して、「検索」をクリックします。検索基準に一致する結果が「検索結果」表に表示されます。
アサーション・テンプレートの詳細は、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、事前定義済アサーション・テンプレートに関する項を参照してください。
「検索結果」表で、ORグループに追加するアサーション(複数可)を選択し、「選択済の追加」をクリックします。選択したアサーションが、「選択したアサーション・テンプレート。」表に表示されます。
「選択したアサーション・テンプレート。」表で、オプションで「アサーション名」フィールドに追加したアサーションの表示名を入力します。
「選択したアサーション・テンプレート。」表で、選択内容を確認します。この表から1つまたは複数のアサーションを削除するには、「選択項目の削除」または「すべて削除」をクリックします。アサーションの選択を確認してから、「アサーションの追加」をクリックします。
追加したアサーションが、「アサーション」タブのアサーションのリストの「ORグループ」の下に表示されます。
設定および構成プロパティを変更することによって、必要に応じてアサーションを構成します。
アサーション設定を編集するには、アサーションを選択して、ページの「詳細」セクションの設定を編集します。
構成プロパティを編集するには、「構成」をクリックします。
アサーションに定義された構成プロパティのリストが表示されます。
「構成プロパティの編集」の説明に従って構成プロパティを編集し、「OK」をクリックします。
アサーションを有効化または通知するには、「強制」オプションを選択します。
注意: 「通知済」オプションは、将来の使用のために予約されています。 |
各アサーション・テンプレートの構成プロパティの詳細は、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、アサーション・テンプレートの設定と構成プロパティに関する項を参照してください。
ORグループにアサーションを追加し終わったら、アサーションを選択して、「上に移動」および「下に移動」を使用し、必要に応じて並べ替えます。アサーションは、リストに表示される順序で起動するよう考慮されます。
ORグループからアサーションを削除するには、アサーションを選択して「削除」をクリックします。ORグループ全体を削除するには、ORグループを選択して「削除」をクリックします。
「適用」または「元に戻す」をクリックして、変更を適用するか、変更を元に戻します。
ポリシーへの変更を保存するたびに、ポリシーの新しいバージョンが自動的に作成され、バージョン番号が増加されます。これらの変更履歴はポリシー・マネージャにより維持され、以前のバージョンに戻すことができます。
たとえば、2つの異なるバージョンのポリシーを作成し、交互に切り替えると便利です。たとえば、oracle/binding_authorization_denyall_policy
ポリシーなどのポリシーを、選択したロールと組み合せて使用して、Webサービスへのアクセスを一時的に禁止することが必要になる場合があります。
バージョニング機能を使用すると、複数のバージョンのポリシーを必要になるたびに再作成することなく再利用できます。
また、「ポリシー・バージョンの履歴」表からポリシーを選択し、「削除」をクリックすると、アクティブなポリシーを除く、任意のバージョンのポリシーを削除できます。
「ポリシー・バージョンの履歴」ページから、ポリシーを編集することはできません。ポリシーの編集は、「ポリシーの詳細」ページで行う必要があります。
次の項では、バージョニングについてより詳細に説明します。
「ポリシー・バージョンの履歴」ページからポリシーのバージョン履歴を表示できます。このページには「ポリシーの詳細」ページからアクセスできます。
ポリシーのバージョン履歴を表示するには:
「ポリシーの詳細の表示」の説明に従って、「ポリシーの詳細」ページに移動します。
まだ選択されていない場合は、ポリシーの「一般」タブを選択します。
ページの「バージョン情報」セクションでバージョン履歴をクリックします。
図8-4に示すように、ページの「ポリシーのバージョン」履歴が表示されます。ページの上部のバージョン履歴表にポリシー・バージョンが表示されます。現在アクティブなポリシーのバージョン番号が一番大きく、これがポリシー強制ポイントにアタッチできる唯一のポリシーです。ただし、以前のバージョンのポリシーをアクティブなバージョンにすることもできます。
ポリシーの現行バージョンを変更するには、次の手順に従います。
「ポリシーの詳細の表示」の説明に従って、「ポリシーの詳細」ページに移動します。
まだ選択されていない場合は、ポリシーの「一般」タブを選択します。
「ポリシーの詳細」ページの「バージョン情報」セクションで、バージョン履歴をクリックして、「ポリシー・バージョンの履歴」ページを表示します。
ポリシー・バージョン表で現行にするバージョンを選択して、現在に設定をクリックします。
選択したポリシー・バージョンが現在のアクティブなポリシーになり、現在のバージョン番号が1つ大きくなります。ポリシーの旧バージョンは保持されます。
以前のバージョンのポリシーを削除するには、次の手順に従います。アクティブなポリシー・バージョンを除く、すべてのバージョンを削除することができます。アクティブなバージョンを含むすべてのバージョンのポリシーを削除するには、「ポリシーの削除」を参照してください。
「ポリシーの詳細の表示」の説明に従って、「ポリシーの詳細」ページに移動します。
まだ選択されていない場合は、ポリシーの「一般」タブを選択します。
「ポリシーの詳細」ページの「バージョン情報」セクションで、バージョン履歴をクリックして、「ポリシー・バージョンの履歴」ページを表示します。
ポリシー・バージョン表で削除するバージョン(複数可)を選択して、「削除」をクリックします。
ポリシー・バージョンの削除の確認ボックスで、「OK」をクリックします。
選択したポリシー・バージョンが、リポジトリおよびポリシー履歴表から削除されます。
ポリシーのバージョンをエクスポートするには、次の手順に従います。
「ポリシーの詳細の表示」の説明に従って、「ポリシーの詳細」ページに移動します。
まだ選択されていない場合は、ポリシーの「一般」タブを選択します。
「ポリシーの詳細」ページの「バージョン情報」セクションで、バージョン履歴をクリックして、「ポリシー・バージョンの履歴」ページを表示します。
ポリシー・バージョン表でエクスポートするバージョンを選択して、「エクスポート」をクリックします。
ポリシーは、デフォルトでpolicyexport.zip
という名のzipアーカイブ・ファイルに追加され、ローカル・ディレクトリにダウンロードされます。
各ポリシーのディレクトリ構造は、次の構造を使用してアーカイブ・ファイルに保持されます。
META-INF/policies/
policyname
ポリシーを削除する前に、ポリシーがURLにアタッチされていないことを確認することをお薦めします。URLに添付されたポリシーの削除を試行すると、警告が表示されます。アタッチされたポリシーは削除できます。ただし、ポリシーが添付されているURLが次に呼び出されたときに、サービス・リクエストが失敗します。
ポリシーを削除すると、アクティブなポリシーおよび以前のバージョンのすべてのポリシーが削除されます。アクティブなポリシー・バージョンを保持し、以前のバージョンのポリシーのみを削除するには、「ポリシーのバージョンの削除」を参照してください。
ポリシーを削除する手順:
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブをクリックします。
モバイル・セキュリティ起動パッドから、「モバイル・セキュリティ・アクセス・サーバー」セクションの「アクセス・ポリシー」をクリックします。
「アクセス・ポリシー」ページが新しいタブで開きます。
オプションで、「ポリシーの検索」の説明に従って、検索を使用して表示されるポリシーのリストを絞り込みます。
「アクセス・ポリシー」ページから、ポリシーのリストから削除するポリシーを選択して、「削除」をクリックします。または、「アクション」→「削除」を選択します。
削除の確認を要求するダイアログ・ボックスが表示されます。「削除」をクリックします。
ポリシーで許可されているポリシー・アサーションのタイプと数には制限があります。ポリシーに含めることができるのは、単一のカテゴリに属するアサーションのみです。そのため、同じポリシー内で、セキュリティ・アサーションと管理アサーションを結合することはできません。ポリシー・タイプはアサーションのカテゴリで決定されます。このため、セキュリティ・アサーションを含むポリシーは、セキュリティ・ポリシーです。セキュリティ・アサーションは、さらにサブカテゴリ(認証、メッセージ保護(msg-protection)および認可)に分類されます。
ポリシーに含めることのできるアサーションの数とタイプには制限があります。制限事項は次のとおりです。
セキュリティ・ポリシーには複数のセキュリティ・アサーションを含めることができますが、ポリシー、暗号化、署名、および認証で許可されるのは次のサブカテゴリから1つのアサーションのみです。
認証とメッセージ保護の両方が含まれるアサーションもあります。たとえば、oracle/wss11_username_token_with_message_protection_service_policy
を表示すると、図8-5で示すように、2つ目のアサーションはsecurity/authenticationとsecurity/msg-protectionの2つのカテゴリに分類されていることがわかります。
認証およびメッセージ保護に1つ目のポリシーを、認可に2つ目のポリシーを作成することをお薦めします。認証と認可の両方のアサーションを含むポリシーを作成する場合は、認証アサーションを認可アサーションより先に指定する必要があります。
新規ポリシーを作成するか、ポリシーを編集する場合は、検証プロセスによって、ポリシーがこれらの要件に一致することを確認します。ポリシーの作成中に検証が失敗すると、ポリシーは作成されますが無効とマークされます。
ポリシーを検証する手順
「ポリシーの詳細の表示」の説明に従って、「ポリシーの詳細」ページに移動します。
表示または編集するポリシーの「ポリシーの詳細」ページで、「検証」をクリックします。
検証に成功した場合は、Policy is Valid
メッセージが表示されます。
検証が失敗すると、結果のエラー・メッセージにより問題が説明されます。必要な修正を行い、ポリシーを再度検証します。
ポリシーが正常に検証されたら、まだ保存されていない場合、「適用」をクリックしてポリシーを保存します。
ポリシーは、「アクセス・ポリシー」ページから管理します。このページを起点として以下のことができます。
特定のアサーション・テンプレートの検索
アサーション・テンプレートの表示
アサーション・テンプレートの作成、編集および削除
アサーション・テンプレートの構成プロパティの編集
アサーション・テンプレートのインポートとエクスポート
次以降の項で、アサーション・テンプレートを管理する方法を説明します。
次の手順を実行することによって、「アサーション・テンプレート」ページからアサーション・テンプレートを表示します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブをクリックします。
モバイル・セキュリティ起動パッドから、「モバイル・セキュリティ・アクセス・サーバー」セクションの「アクセス・ポリシー」をクリックします。
「アクセス・ポリシー」ページが新しいタブで開きます。
「アサーション・テンプレート」をクリックします。
「アサーション・テンプレート」ページが新しいタブで開きます。
「アサーション・テンプレート」ページで、適切な検索条件を指定することによって、戻されるアサーション・テンプレート数を削減できます。これを行うには、次のようにします。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブをクリックします。
モバイル・セキュリティ起動パッドから、「モバイル・セキュリティ・アクセス・サーバー」セクションの「アクセス・ポリシー」をクリックします。
「アクセス・ポリシー」ページが新しいタブで開きます。
「アサーション・テンプレート」をクリックします。
「アサーション・テンプレート」ページが新しいタブで開きます。
「検索」ペインで、検索で使用する条件を指定します。
「アサーション名」フィールドで、アサーション・テンプレート名または名前の一部を入力して、検索の絞込みに使用する演算子を選択します。使用可能な演算子は、「次で始まる」、「次で終わる」、「次と等しい」および「次を含む」です。たとえば、メッセージ保護アサーション・テンプレートのみを検索するには、「次を含む」演算子を選択して、「アサーション名」
フィールドにmessageを入力します。
パーセント(%
)をワイルドカードとして、名前内の任意の場所で使用できます。アスタリスク(*
)はワイルドカードとして認識されず、プレーン・テキストとして処理されます。検索では、大文字と小文字は区別されません。
「検索」をクリックします。
「アサーション・テンプレート」表は、指定された検索条件に一致するアサーション・テンプレートのみ含むように更新されます。
次の手順を使用して、アサーション・テンプレートの詳細を表示します。
アサーション・テンプレートの詳細を表示するには:
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブをクリックします。
モバイル・セキュリティ起動パッドから、「モバイル・セキュリティ・アクセス・サーバー」セクションの「アクセス・ポリシー」をクリックします。
「アクセス・ポリシー」ページが新しいタブで開きます。
「アサーション・テンプレート」をクリックします。
「アサーション・テンプレート」ページが新しいタブで開きます。
オプションで、「アサーション・テンプレートの検索」の説明に従って、検索を使用して表示されるアサーション・テンプレートのリストを絞り込みます。
アサーション・テンプレートのリストから表示するアサーション・テンプレートを選択して、「開く」をクリックします。または、「アクション」→「開く」を選択します。
図8-7にメッセージ保護サービス・アサーション・テンプレート付きWss10 SAML V2.0トークンの「アサーション・テンプレートの詳細」ページを示します。
アサーション・テンプレートの詳細を確認します。
アサーション・テンプレートに関する一般的な情報がページの上部に表示されます。「構成」クリックすると、テンプレートの構成プロパティが表示されます。ページの「設定」セクションに、そのテンプレートに固有の設定が表示されます。各事前定義済アサーション・テンプレートの設定と構成プロパティの詳細は、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、事前定義済テンプレートに関する項を参照してください。
ベースとして既存のテンプレートを使用して、新しいアサーション・テンプレートを作成できます。必要な動作に最も一致するアサーション・テンプレートを選択し、「類似作成」機能を使用して、そのコピーを作成し、新しい動作を取得するために必要な変更を行います。
ポリシーをクローニングする手順:
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブをクリックします。
モバイル・セキュリティ起動パッドから、「モバイル・セキュリティ・アクセス・サーバー」セクションの「アクセス・ポリシー」をクリックします。
「アクセス・ポリシー」ページが新しいタブで開きます。
「アサーション・テンプレート」をクリックします。
「アサーション・テンプレート」ページが新しいタブで開きます。
オプションで、「アサーション・テンプレートの検索」の説明に従って、検索を使用して表示されるアサーション・テンプレートのリストを絞り込みます。
アサーション・テンプレートのリストからクローンを作成するアサーション・テンプレートを選択して、「類似作成」をクリックします。または、「アクション」→「類似作成」を選択します。
「アサーション・テンプレートの詳細」ページが表示されます。
アサーション・テンプレートの名前と表示名を編集し、オプションで短い説明を入力します。
クローンを作成したアサーション・テンプレートの名前および表示名にCopyという語が追加されます。これは、新しいアサーション・テンプレートに割り当てられるデフォルトの名前です。
この新しいアサーション・テンプレートの名前は、使用している環境で意味のある名前に変更することをお薦めします。詳細は、「アサーション・テンプレートの推奨命名規則」を参照してください。
注意: 作成後にアサーション・テンプレート名は編集できません。アサーション・テンプレート名を変更するには、アサーション・テンプレートのクローンを作成して、それに異なる名前を割り当てる必要があります。 |
必要に応じて、アサーション・テンプレート設定および構成プロパティを変更します。各事前定義済アサーション・テンプレートの設定と構成プロパティの詳細は、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、事前定義済テンプレートに関する項を参照してください。構成プロパティの変更の詳細は、「構成プロパティの編集」を参照してください。
「適用」をクリックして、新しいアサーション・テンプレートを保存します。
注意: 有効な既知のテンプレート・セットをいつでも使用できるように、事前定義済アサーション・テンプレートは編集しないことをお薦めします。事前定義済アサーション・テンプレートを編集する場合、アサーション・テンプレートをクローニングして、それを編集することをお薦めします。 |
次の手順に記載のとおり、アサーション・テンプレートは編集できます。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブをクリックします。
モバイル・セキュリティ起動パッドから、「モバイル・セキュリティ・アクセス・サーバー」セクションの「アクセス・ポリシー」をクリックします。
「アクセス・ポリシー」ページが新しいタブで開きます。
「アサーション・テンプレート」をクリックします。
「アサーション・テンプレート」ページが新しいタブで開きます。
オプションで、「アサーション・テンプレートの検索」の説明に従って、検索を使用して表示されるアサーション・テンプレートのリストを絞り込みます。
アサーション・テンプレートのリストから編集するアサーション・テンプレートを選択して、「開く」をクリックします。または、「アクション」→「開く」を選択します。
必要に応じて、表示名および説明を編集します。アサーション・テンプレート名は編集できません。アサーション・テンプレートの名前を変更するには、それをクローニングして、異なる名前を割り当てる必要があります。
必要に応じて設定を編集します。
各事前定義済アサーション・テンプレートの設定と構成プロパティの詳細は、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、事前定義済テンプレートに関する項を参照してください。
「構成」をクリックして、構成プロパティを編集します。
プロパティを削除するには、表内のプロパティを選択して、「削除」をクリックします。
「OK」をクリックして、構成プロパティの変更を受け入れます。
「適用」または「元に戻す」をクリックして、変更を適用するか、変更を元に戻します。
事前定義済アサーション・テンプレートのいずれかのクローンを作成している場合は、環境に一致するように構成プロパティを変更できます。たとえば、アサーション・テンプレート内で構成できるプロパティには、csf-key
、saml.issuer.name
、keystore.recipient.alias
、role
などが含まれます。
アサーション・テンプレートのクローンの作成時、またはクローンを作成したアサーション・テンプレートの編集時には、各プロパティの次の設定を構成できます。
説明: プロパティの説明。
値: 現在の値。
デフォルト: デフォルト値。この値は、「値」フィールドが設定されていない場合に使用されます。
「タイプ」は次のいずれかです。
定数: プロパティはオーバーライドできません。
必須: プロパティは必須であり、オーバーライドできます。
オプション: プロパティはオプションであり、オーバーライドできます。
プロパティを構成するには:
クローンを作成するか、編集を行うアサーション・テンプレートで、「構成」をクリックします。
「構成」ウィンドウには、テンプレートのプロパティのリストが表示されます。
リストからプロパティを選択し、必要に応じてフィールドを変更します。既存のプロパティの名前は変更できないことに注意してください。
必要に応じて構成のプロパティを追加または削除します。
構成プロパティを追加するには、「追加」をクリックします。表示される空白行に、プロパティの名前を入力します。残りのフィールドはオプションです。ただし、「必須」タイプを選択する場合は、プロパティの値を入力する必要があります。
構成プロパティを削除するには、表内のプロパティを選択して、「削除」をクリックします。
構成プロパティを変更し終えたら、「OK」をクリックします。
「適用」または「元に戻す」をクリックして、変更を適用するか、変更を元に戻します。
注意: 「ポリシーへのアサーションの追加」で説明するように、ポリシーにアサーションを追加するときに、「値」、「デフォルト」および「説明」構成プロパティを環境に一致するように変更できます。アサーション・テンプレートで定義される「名前」および「タイプ」構成プロパティは変更できません。また表内の編集可能なフィールドではありません。 |
構成プロパティを変更して環境に適合させることができます。たとえば、アサーション・テンプレート内で構成できるプロパティには、csf-key
、saml.issuer.name
、keystore.recipient.alias
、role
などが含まれます。
アサーション・テンプレートのクローニングまたは編集時には、各プロパティの次の設定を構成できます。
値: 現在の値。
デフォルト: デフォルト値。この値は、「値」フィールドが設定されていない場合に使用されます。
「タイプ」は次のいずれかです。
定数: プロパティはオーバーライドできません。
必須: プロパティは必須であり、オーバーライドできます。
オプション: プロパティはオプションであり、オーバーライドできます。
説明: プロパティの説明。
プロパティを構成するには:
クローンを作成するか、編集を行うアサーション・テンプレートで、「構成」をクリックします。
「構成」ウィンドウには、テンプレートのプロパティのリストが表示されます。
リストからプロパティを選択し、必要に応じてフィールドを変更します。既存のプロパティの名前は変更できないことに注意してください。
必要に応じて構成のプロパティを追加または削除します。
構成プロパティを追加するには、「追加」をクリックします。表示される空白行に、プロパティの名前を入力します。残りのフィールドはオプションです。ただし、「必須」タイプを選択する場合は、プロパティの値を入力する必要があります。
構成プロパティを削除するには、表内のプロパティを選択して、「削除」をクリックします。
構成プロパティを変更し終えたら、「OK」をクリックします。
「適用」をクリックして、アサーション・テンプレートへの変更内容を保存します。
注意: 「ポリシーへのアサーションの追加」で説明するように、ポリシーにアサーションを追加するときに、「値」、「デフォルト」および「説明」構成プロパティを環境に一致するように変更できます。アサーション・テンプレートで定義される「名前」および「タイプ」構成プロパティは変更できません。また表内の編集可能なフィールドではありません。 |
次以降の項の説明に従って、アサーション・テンプレートをエクスポートして、インポートします。
1つ以上のアサーション・テンプレートをエクスポートするには:
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブをクリックします。
モバイル・セキュリティ起動パッドから、「モバイル・セキュリティ・アクセス・サーバー」セクションの「アクセス・ポリシー」をクリックします。
「アクセス・ポリシー」ページが新しいタブで開きます。
「アサーション・テンプレート」をクリックします。
「アサーション・テンプレート」ページが新しいタブで開きます。
「アサーション・テンプレート」表で、エクスポートするアサーション・テンプレートを選択します。
「エクスポート」をクリックします。
アサーション・テンプレートは、デフォルトでassertiontemplatesexport.zip
という名のzipアーカイブ・ファイルに追加され、ローカル・ディレクトリにダウンロードされます。
複数のエクスポート操作を実行すると、以降のファイルは一意に命名されます。たとえば、assertiontemplatesexport
(n)
.zip
。ここで「n」
は1から始まり、追加のエクスポートごとに1ずつ増分されます。
次の手順を使用して、アサーション・テンプレートをリポジトリにインポートします。インポートしたアサーション・テンプレートは、編集、ポリシーへの追加などができます。
注意: インポートするアサーション・テンプレートは、リポジトリ内にすでに存在していてはいけません。そうでない場合、エラーが発生し、インポート操作は失敗します。 |
アサーション・テンプレートをインポートする手順:
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブをクリックします。
モバイル・セキュリティ起動パッドから、「モバイル・セキュリティ・アクセス・サーバー」セクションの「アクセス・ポリシー」をクリックします。
「アクセス・ポリシー」ページが新しいタブで開きます。
「アサーション・テンプレート」をクリックします。
「アサーション・テンプレート」ページが新しいタブで開きます。
「インポート」をクリックします。
インポートするアサーション・テンプレートを含むzipアーカイブ・ファイルの名前を提供するよう要求されます。
「インポート」ウィンドウで、「ファイルの選択」をクリックし、アサーション・テンプレート・アーカイブ・ファイルがあるディレクトリに移動して、インポートするzipアーカイブ・ファイルを選択します。
「インポート」をクリックします。
情報ウィンドウが表示され、インポートされたポリシーがリストされます。「OK」をクリックするとウィンドウが閉じます。
インポートされたポリシーは、「アクセス・ポリシー」ページのポリシーのリストに追加されます。
この項の手順に従って、作成またはインポートしたアサーション・テンプレートを削除します。OWSMで配信された事前定義済のアサーション・テンプレートは読取り専用であり、削除できません。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブをクリックします。
モバイル・セキュリティ起動パッドから、「モバイル・セキュリティ・アクセス・サーバー」セクションの「アクセス・ポリシー」をクリックします。
「アクセス・ポリシー」ページが新しいタブで開きます。
「アサーション・テンプレート」をクリックします。
「アサーション・テンプレート」ページが新しいタブで開きます。
オプションで、「アサーション・テンプレートの検索」の説明に従って、検索を使用して表示されるアサーション・テンプレートのリストを絞り込みます。
アサーション・テンプレートのリストから削除するアサーション・テンプレートを選択して、「削除」をクリックします。
アサーション・テンプレートの削除を確認するよう要求されます。
選択内容を確認して、「削除」をクリックします。
選択したアサーション・テンプレートは、「アサーション・テンプレート」ページのアサーション・テンプレートのリストから削除されます。
次の項では、ポリシーまたはポリシー内のアサーションを有効化または無効化するための異なる方法について説明します。
ポリシーを作成すると、検証エラーが発生した場合を除き、デフォルトで有効化されます。ポリシーは、「ポリシーの詳細」ページからグローバルに有効化または無効化できます。ポリシーは中央の1つの場所から有効化または無効化でき、添付されているすべてのポリシー強制ポイントに対して有効化または無効化されます。
「ポリシーの詳細」ページからポリシーを無効化すると、ポリシーはポリシー強制ポイントにアタッチされたままになりますが、無効化されます。ポリシーに、サービスへのすべてのリクエストが失敗する原因となる問題があることが検出された場合は、一時的にポリシーを無効化する必要があります。問題を修正すると、ポリシーをグローバルに有効化できます。
すべてのポリシー強制ポイントのポリシーを有効化または無効化する手順:
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブをクリックします。
モバイル・セキュリティ起動パッドから、「モバイル・セキュリティ・アクセス・サーバー」セクションの「アクセス・ポリシー」をクリックします。
「アクセス・ポリシー」ページが新しいタブで開きます。
オプションで、「ポリシーの検索」の説明に従って、検索を使用して表示されるポリシーのリストを絞り込みます。
ポリシーのリストから編集するポリシーを選択して、「開く」をクリックします。または、「アクション」→「開く」を選択します。
「ポリシーの詳細」ページが表示されます。詳細は、「ポリシーの詳細の表示」を参照してください。
まだ選択されていない場合は、「一般」タブを選択します。
「有効」ボックスを選択するか、選択を解除して、ポリシーをそれぞれ有効または無効にします。
「保存」をクリックします。
「全ポリシー強制ポイントのポリシーの有効化または無効化」で説明しているように、ポリシー全体を有効化または無効化するのではなく、ポリシー内に含まれる1つ以上のアサーションを有効化または無効化する必要のある場合があります。これにより、実行されるアサーションに対してより詳細のレベルの制御が提供されます。
ポリシー内の1つ以上のアサーションを有効化または無効化するには:
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブをクリックします。
モバイル・セキュリティ起動パッドから、「モバイル・セキュリティ・アクセス・サーバー」セクションの「アクセス・ポリシー」をクリックします。
「アクセス・ポリシー」ページが新しいタブで開きます。
オプションで、「ポリシーの検索」の説明に従って、検索を使用して表示されるポリシーのリストを絞り込みます。
ポリシーのリストから編集するポリシーを選択して、「開く」をクリックします。または、「アクション」→「開く」を選択します。
「ポリシーの詳細」ページが表示されます。詳細は、「ポリシーの詳細の表示」を参照してください。
「アサーション」タブを選択します。
表内のアサーションを選択し、「強制」ボックスを選択または選択解除して、ポリシー内でアサーションをそれぞれ有効化または無効化します。
「適用」をクリックします。
ポリシー強制に複数の選択肢を定義するには、サービス・ポリシー内にORグループと呼ばれるアサーションのセットを定義します。実行時には、サービス側でORグループに定義したアサーションに基づいて、強制するアサーションをクライアントが柔軟に選択できます。
たとえば、サービス側ポリシーで次のアサーションで構成されるORグループを定義するとします。
wss11-saml-with-certificates
wss11-username-with-certificates
クライアントは実行時に、wss11-saml-with certificates
アサーションまたは(OR) wss11-username-with-certificates
アサーションのどちらを強制するかを選択できます。
ORグループに含めることのできるアサーションの数に制限はありません。各アサーションがそのポリシーに有効であり、ポリシーの要件を満たしている必要があります。
ORグループを定義するとき、アサーションが追加される順序と構成される設定について慎重に検討します。たとえば、次の状況を想定します。
クライアントの側でInclude Timestamp
を有効化した状態で、wss11_username_token_with_message_protection_client_policy
ポリシーを添付しました。
サーバーの側で、2つのwss11_username_token_with_message_protection_service_template
アサーションを定義した状態でカスタムORグループ・ポリシーを添付しました。1つ目ではInclude Timestamp
が無効になっており、2つ目ではInclude Timestamp
が有効になっています。
このシナリオでは、1つ目のアサーションが実行されると、レスポンスはタイムスタンプなしで送信されます。その結果として、タイムスタンプが予期されているために、クライアントの側での処理は失敗します。このような状況は、クライアント・ポリシー・アサーションで、実行されたクライアント・ポリシー・アサーションよりも多くのセキュリティ要件が予期されるたびに発生します。
次の事前定義済クライアント・ポリシーには、ORグループが含まれます。
oracle/multi_token_client_policy
: 詳細は、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、oracle/multi_token_client_policyに関する項を参照してください。
oracle/multi_token_over_ssl_client_policy
: 詳細は、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、oracle/multi_token_over_ssl_client_policyに関する項を参照してください。
ポリシー名に使用できる有効な文字は次のとおりです。
大文字と小文字
数値
アンダースコア(_)
ハイフン(-)
注意: 名前の最初の文字はハイフンにできません。 |
一目でポリシーの内容がわかるように、完全なポリシー名と表示名には、できるだけ多くの情報をコード化しておくことをお薦めします。たとえば、事前定義済セキュリティ・ポリシーの1つは、フルネームがoracle/wss10_username_token_with_message_protection_service_policy
で、表示名がWss11 Username Token With Message Protection Service Policyです。図8-8で、この事前定義済ポリシー名の各部分を確認します。
事前定義済ポリシーに名前を付ける際には、次の表記規則が使用されます。ポリシー名の各部分は、アンダースコア文字(_)で区切られます。
パスの場所 - すべてのポリシーは、ポリシーが存在するディレクトリによって識別されます。すべての事前定義ポリシーは、oracle
ディレクトリにあります。作成するポリシーは、定義済ポリシーが存在するoracle
ディレクトリとは別のディレクトリに保存することをお薦めします。
Webサービス標準 - ポリシーでWS-Security標準が使用されている場合は、wss10(WS-Security 1.0)またはwss11(WS-Security 1.1)で識別されます。また、WS-Security 1.0または1.1に依存しないことを示すためにのみ設定することも可能です。
認証トークン - ポリシーでユーザーを認証する場合は、トークンのタイプを指定します。事前定義済オプションは次のとおりです。
http_token - HTTPトークン
jwt_token – JWTトークン
kerberos_token - Kerberosトークン
saml_token - SAMLトークン
saml_hok_token – キー・トークンのSAMLホルダー
saml20_token - SAML 2.0 トークン
saml20_token_bearer – SAML Bearer 2.0トークン
username_token - ユーザー名およびパスワードのトークン
x509_token - X.509証明書トークン
カスタムの認証トークンを定義することもできます。
トランスポート・セキュリティ - ポリシーで、安全なトランスポート・レイヤーでのメッセージ送信が要求されている場合は、oracle/http_oauth2_mobile_client_over_ssl_policy
などのように、トークン名にover_sslが付けられます。
メッセージ保護 - ポリシーでメッセージの機密保護およびメッセージ整合性も提供されている場合は、図8-8にあるように、with_message_protectionというフレーズを使用してこのことが示されます。
ポリシー・タイプ - clientまたはserviceによって、ポリシーやアサーション・テンプレートのタイプを示します。ポリシーであることを示す場合はpolicyを、アサーション・テンプレートであることを示す場合はtemplateを使用します。次に、事前定義済ポリシーとテンプレート・アサーションの区別の例を示します。
wss10_message_protection_service_policy
wss10_message_protection_service_ template
どのような表記規則を適用する場合でも、ポリシー名の付け方を十分に検討することをお薦めします。これにより、エンタープライズが成長して新しいポリシーを作成する場合に、ポリシーの追跡が簡単になります。
作成するポリシーは、事前定義済ポリシーが存在するoracleディレクトリとは別のディレクトリに保存することをお薦めします。ポリシーは、ルート・レベル、oracle以外のディレクトリ、またはサブディレクトリで管理できます。たとえば、次のいずれも有効です。
wss10_message_protection_service_policy
oracle/hq/wss10_message_protection_service_policy
hq/wss10_message_protection_service_policy
注意: ポリシー名に接頭辞oracle_ を使用する(例: oracle_wss_http_token_service_policy )ことは、ベスト・プラクティスとしてお薦めしません。 |
アサーション・テンプレートに名前を付ける際には、事前定義済ポリシーに名前を付ける時に使用するのと同じ命名規則が使用されます。事前定義済アサーション・テンプレートは、oracle/wss10_message_protection_service_template
など、oracle/
というディレクトリ名で始まり、最後の接尾辞_template
で識別されます。
推奨されている命名規則に従うことと、作成したアサーション・テンプレートは、事前定義済のアサーション・テンプレートが存在するoracleディレクトリと別のディレクトリに保存することをお薦めします。ルート・レベルのアサーション・テンプレートは、ディレクトリ(oracle以外)またはサブディレクトリに構成できます。
事前定義済ポリシーのネーミング規則の詳細は、「ポリシーの推奨命名規則」を参照してください。