Oracle® Fusion Middleware Mobile Security Access Serverポリシーおよびアサーション・テンプレート・リファレンス 11g リリース2 (11.1.2.3.0) E72507-01 |
|
前 |
この章では、すべてのアサーション・テンプレートの設定および構成プロパティの詳細を示します。
この章の内容は次のとおりです。
次の各項では、事前定義済のアサーション・テンプレートに設定可能な設定の概要を示しています。設定は、アルファベット順にリストされています。
注意: すべての設定がすべてのアサーション・テンプレートに適用されるわけではありません。 |
認可チェックが実行されるアクションまたはWebサービス操作。この値は、値のカンマ区切りのリストにすることもできます。このフィールドでは、ワイルドカードを使用できます。例: validate
、amountAvailable
メッセージ保護に使用されるアルゴリズム・スイート。『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』のサポートされているアルゴリズム・スイートに関する項を参照してください。
認証ヘッダーの名前。
認証のメカニズム。
有効な値は次のとおりです。
basic
: ユーザー名およびパスワードを送信することで、クライアントが自身を認証します。
注意: Basic認証を使用する場合はSSLを構成することをお薦めします。詳細は、『Oracle Mobile Security Access Serverの管理』のSSLキーストアおよびトラストストアの構成に関する項を参照してください。
cert
: このリリースではサポートされていません。証明書を送信することで、クライアントが自身を認証します。
custom
: このリリースではサポートされていません。カスタムの認証メカニズム。
digest
: このリリースではサポートされていません。暗号化されたパスワードをMD5ダイジェストを使用して送信することで、クライアントが自身を認証します。
jwt
: クライアントはJWTトークンを使用して自身を認証します。
oam
: クライアントはOAMエージェントを使用して自身を認証します。
oauth2
: クライアントはOAuth2エージェントを使用して自身を認証します。
saml20-bearer
: クライアントはSAML 2.0 Bearerトークンを使用して自身を認証します。
spnego
: クライアントはKerberos SPNEGOを使用して自身を認証します。
認可チェックが実行される制約を表す式。制約式は、次の2つのmessageContext
プロパティを使用して指定します。
messageContext.authenticationMethod
: ユーザーの認証に使用する認証方法を決定します。有効な値はSAML_SVです。
messageContext.requestOrigin
: リクエストが内部ネットワークまたは外部ネットワークから発行されたかどうかを決定します。このプロパティは、Oracle HTTP Serverを使用しており、Oracle HTTP Server管理者がカスタムのVIRTUAL_HOST_TYPEヘッダーをリクエストに追加した場合のみ有効です。
制約パターン・プロパティとその値では、大文字と小文字が区別されます。
制約式では、サポートされている標準的な演算子(==、!=、&&、||、!)を使用します。
SAMLトークンを暗号化するかどうかを指定するフラグ。
SAMLトークンを署名するかどうかを指定するフラグ。
認可チェックが実行されるリソースの名前。このフィールドには、ワイルドカードを使用できます。たとえば、Webサービスのネームスペースがhttp://project11
で、サービス名がCreditValidation
の場合、リソース名はhttp://project11/CreditValidation
になります。
Secure Socket Layer (SSL)(別名Transport Layer Security (TLS))を有効にするかどうかを指定するフラグ。
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。
双方向認証が必要かどうかを指定するフラグ。
有効な値は次のとおりです。
Enabled: サービスをクライアントに対して認証し、クライアントをサービスに対して認証する必要があります。
Disabled: 一方向認証が必要です。サービスをクライアントに対して認証する必要がありますが、クライアントをサービスに対して認証する必要はありません。
将来の使用のために予約されています。
将来の使用のために予約されています。
次の各項では、事前定義済のアサーション・テンプレートに設定可能な構成プロパティの概要を示しています(アルファベット順)。
注意: すべての構成プロパティがすべてのアサーション・テンプレートに適用されるわけではありません。 |
OESに定義されたアプリケーション名。${}表記法を使用した値は、静的にも動的にもできます。
アイデンティティ・ストアに対してユーザーをアサートするかどうかを指定するフラグ。デフォルト値はfalse
です。これは、STOKENの検証中、アイデンティティ・ストアに対してユーザーをアサートしないという意味です。認可ポリシーがSTOKEN検証ポリシーの後に添付される場合、このフラグはtrue
に設定する必要があります。
転送されたTGTによる資格証明委任がサポートされるかどうかを指定するフラグ。デフォルトで、この値はfalseです。
将来の使用のために予約されています。
オプションのプロパティ。実際の認可で使用されるアクションです。${}表記法を使用した値は、静的にも動的にもできます。
フォルト・メッセージのロギング要件。有効な値は、次のとおりです。
all: SOAPメッセージ全体が記録されます。
header: SOAPヘッダー情報のみが記録されます。
soap_body: SOAP本文の情報のみが記録されます。
soap_envelope: SOAPエンベロープの情報のみが記録されます。
バックエンド・リソースへの送信HTTPヘッダーに挿入されるHTTPヘッダーの名前。
バックエンド・リソースへの送信HTTPヘッダーに挿入されるHTTPヘッダーの値。
復号化鍵パスワードをキーストアに格納するために使用する別名とパスワード。
『Oracle Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項で説明されているように、この値を設定すると、keystore.enc.csf.key
をオーバーライドできます。
この値をオーバーライドする場合は、新しい値のキーがキーストアにあることが必要です。つまり、値をオーバーライドしても、キーをキーストアに構成する必要がなくなるわけではありません。
署名キー・パスワードをキーストアに格納するために使用する別名とパスワード。このプロパティにより、ドメイン・レベルのかわりに添付レベルで署名キーを指定できます。このキーは、saml.envelope.signature.required
フラグを使用して指定されるエンベロープ署名の生成時に使用されます。
たとえば、ログイン・エラー・ページ・ファイルの名前は、login_error.html
です。これは、認証に失敗した場合、エラー・メッセージの表示に必要です。
ログイン・ページの相対URL。
オプションのプロパティ。属性の参照時に使用されるアクションです。${}表記法を使用した値は、静的にも動的にもできます。
OAM Mobile and SocialサービスでOAuth2機密クライアント認証を実行するために使用するOAuth2機密クライアントIDおよびシークレット。
『Oracle Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項で説明されているように、この値を設定すると、oauth2.client.csf.key
をオーバーライドできます。
この値をオーバーライドする場合、新しい値のOAuth2機密クライアントIDとシークレットはクライアントのプロファイルに存在する必要があります。これは、この値をオーバーライドしても、OAM Mobile and Socialサービスで必要なOAuth2機密クライアント・プロファイルを構成する必要があるということです。
OAM Mobile and SocialサービスでOAuth2モバイル・クライアント認証を実行するために使用するOAuth2モバイル・クライアントID。
『Oracle Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項で説明されているように、この値を設定すると、oauth2.mobile.client.csf.key
をオーバーライドできます。
この値をオーバーライドする場合、新しい値のOAuth2モバイル・クライアントはクライアントのプロファイルに存在する必要があります。これは、この値をオーバーライドしても、OAM Mobile and Socialサービスで必要なOAuth2モバイル・クライアント・プロファイルを構成する必要があるということです。
ログインHTMLページのパスワード・フィールドの名前。
バックエンド・リソースで割込み認証を実行するかどうかを指定するフラグ。デフォルト値は、http_bmax_spnego_client_policy
でtrue
です。このプロパティは、複数トークン・クライアント・ポリシーではサポートされていません。
将来の使用のために予約されています。
将来の使用のために予約されています。
ロギング・リクエスト・メッセージの要件。
有効な値は、次のとおりです。
all: SOAPメッセージ全体が記録されます。
header: SOAPヘッダー情報のみが記録されます。
soap_body: SOAP本文の情報のみが記録されます。
soap_envelope: SOAPエンベロープの情報のみが記録されます。
ロギング・レスポンス・メッセージの要件。有効な値は、前述のRequestと同じです。
オプションのプロパティ。OESに定義されたリソース名。${}表記法を使用した値は、静的にも動的にもできます。
オプションのプロパティ。OESに定義されたリソース・タイプ。${}表記法を使用した値は、静的にも動的にもできます。
OAuthスコープはリソースへのアクセスを制御する手段です。scopesの値は、大文字小文字を区別する文字列のスペース区切りのリストとして表現されます。
サービスを識別するKerberosプリンシパルの名前。
将来の使用のために予約されています。
ログインHTMLページのユーザー名フィールドの名前。
オプションのプロパティ。参照フェーズを省略するには、値をtrue
に設定します。マスキング・ポリシーには適用されません。