Oracle® Fusion Middleware Mobile Security Access Serverポリシーおよびアサーション・テンプレート・リファレンス 11g リリース2 (11.1.2.3.0) E72507-01 |
|
前 |
次 |
この章では、モバイル・セキュリティ・アクセス・サーバー(MSAS)の事前定義済セキュリティおよび管理ポリシーについて説明します。ポリシーの添付の詳細は、『Mobile Security Access Serverの管理』のポリシーとアサーションの添付およびデタッチに関する項を参照してください。
この章の内容は次のとおりです。
注意: 有効な既知のテンプレート・セットをいつでも使用できるように、事前定義済アサーション・テンプレートは編集しないことをお薦めします。ただし、事前定義済アサーション・テンプレートから新規のアサーション・テンプレートを作成したり、ポリシーに添付した後にアサーションの属性を構成できます。アサーション・テンプレートの管理およびポリシーへの追加の詳細は、『Mobile Security Access Serverの管理』のポリシー・アサーション・テンプレートの管理に関する項を参照してください。 |
この項では、MSASのインストールで提供され、MSASコンソールの「アクセス・ポリシー」ページにリストされている事前定義済セキュリティ・ポリシーについて説明します。
次の項の表では、MSASセキュリティ・ポリシーが今回のリリースでどのように記述されているかを説明しています。
MSASセキュリティ・ポリシー - 今回のリリースで記述されている新しいMSASセキュリティ・ポリシーの概要を示しています。
注意: 一部のポリシーは、アプリケーション内でのURLへの添付に使用できないため、内部として示されています。
MSASでサポートされているセキュリティ・ポリシー - MSASでサポートされている追加のセキュリティ・ポリシートの概要を示していますが、これは『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』で説明されています。
将来の使用のために予約されているセキュリティ・ポリシー - MSASコンソールで表示されるセキュリティ・ポリシーの概要を示しますが、これはMSASで将来使用するために予約されています。
表1-1は、MSASコンソールの「アクセス・ポリシー」ページにリストされている事前定義済MSASセキュリティ・ポリシーの概要を示しています。これは、このリファレンスで説明されています。
表1-1 事前定義済MSASセキュリティ・ポリシー
ポリシー名 | 説明 |
---|---|
oracle/binding_oes_authorization_policy |
Oracle Entitlements Server (OES)で定義されているポリシーに基づいてユーザー認可を実行し、Webサービス操作におけるファイングレイン認可を提供します。 |
oracle/http_action_over_ssl_policy |
SKEK暗号化およびSKEK復号化を提供する内部ポリシー。 |
oracle/http_bmax_jwt_user_token_client_policy |
バックエンド・リソースへのアクセス時に、HTTPヘッダーにJWTユーザー・トークンを挿入します。 |
oracle/http_bmax_oam_client_policy |
OAMで保護されたリソースへのアクセス時に、認可ヘッダーにOAMアクセス・トークンを挿入します。 |
oracle/http_bmax_oauth_client_policy |
OAuthで保護されたリソースへのアクセス時に、認可ヘッダーにOAuthアクセス・トークンを挿入します。 |
oracle/http_bmax_spnego_client_policy |
SPNEGOトークンを作成し、HTTPヘッダーでサービスに送信します。 |
oracle/http_form_based_auth_over_ssl_service_policy |
HTMLフォーム・ベース認証を実行する内部ポリシー。このポリシーはWebアプリケーション(URL)に添付できます。 |
oracle/http_kinit_over_ssl_policy |
Kerberosパスワード認証を有効にする内部ポリシー。 |
oracle/http_oam_authentication_service_policy |
WebリソースがOAMによって保護されているかどうかを検証します。保護されている場合、OAMを使用して認証し、サブジェクトを確立してから実際のWebリソースへのアクセスを許可します。 |
oracle/http_oauth2_confidential_client_over_ssl_policy |
OAuth2機密クライアント認証を実行し、OAuthおよびOAMトークンを作成する内部ポリシー。このポリシーは内部認証エンドポイントのみで添付されます。 |
oracle/http_oauth2_mobile_client_over_ssl_policy |
OAuth2モバイル・クライアント認証を実行し、OAuthおよびOAMトークンを作成する内部ポリシー。このポリシーは内部認証エンドポイントのみで添付されます。 |
oracle/http_ntlm_token_client_policy |
NTLMで保護されたアプリケーションでNTLM (NT LAN Manager)認証を実行します。これには、KINITまたはPKINITベースのHTTPセッション・トークンが必要です。このポリシーはSOAP/RESTサービスやWebアプリケーションにも添付できます。 |
oracle/http_pkinit_over_ssl_policy |
Kerberos PKI認証を有効にする内部ポリシー。 |
oracle/http_session_token_issue_policy |
認証済のユーザーIDでセッション・トークンを発行する内部ポリシー。 |
oracle/http_session_token_verify_policy |
タイムスタンプおよび署名を含むセッション・トークンを検証して、暗号化されたデータを復号し、セッション・トークンのユーザーIDを使用してアイデンティティをアサートします。検証に失敗した場合、リクエストは却下されます。 |
oracle/http_tlp_over_ssl_policy |
期限付きパスワード認証を有効にする内部ポリシー。 |
oracle/inject_header_with_bmax_url_policy |
カスタムHTTPヘッダーにBMAX (MSAS) URLを挿入する内部ポリシー。これは、MSMがMSAS URLを認識するために必要です。 |
oracle/inject_header_with_client_certificate_policy |
カスタムHTTPヘッダーに双方向SSLを使用して受信したクライアント証明書を挿入する内部ポリシー。 |
oracle/multi_token_client_policy |
バックエンド・サービス・ポリシーに基づいたSPNEGO、NTLMまたはBearerアサーションを作成するためのexactly-oneポリシー。 |
表1-2は、モバイル・セキュリティ・アクセス・サーバーでサポートされている追加のアクセス・ポリシーの概要を示しています。ただし、詳細は『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』の事前定義済ポリシーに関する項を参照してください。
表1-2 MSASでサポートされている事前定義済セキュリティ・ポリシー
ポリシー名 | 説明 |
---|---|
oracle/http_basic_auth_over_ssl_client_policy |
アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込んで、トランスポート・プロトコルがHTTPSであることを検証します。 |
oracle/http_basic_auth_over_ssl_service_policy |
HTTPヘッダー内の資格証明を使用して、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーを認証します。 |
oracle/http_jwt_token_client_policy |
HTTPヘッダーにJSON Webトークン(JWT)を組み込みます。JWTトークンは自動的に作成されます。発行者名とサブジェクト名は、プログラムによって、またはポリシーを介して宣言的に提供されます。このポリシーにはオーディエンス制限条件を指定できます。 |
oracle/http_jwt_token_over_ssl_client_policy |
HTTPヘッダーにJWTトークンを組み込みます。JWTトークンは自動的に作成されます。発行者名とサブジェクト名は、プログラムによって、またはポリシーを介して宣言的に提供されます。このポリシーにはオーディエンス制限条件を指定できます。 |
oracle/http_jwt_token_over_ssl_service_policy |
HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証します。また、このポリシーは、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。 |
oracle/http_jwt_token_service_policy |
HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証します。 |
oracle/http_saml20_token_bearer_client_policy |
HTTPヘッダーにSAML Bearer V2.0トークンを組み込みます。確認方法がBearerのSAMLトークンが自動的に作成されます。このポリシーは、HTTPベースのクライアント・エンドポイントで実行できます。 |
oracle/http_saml20_token_bearer_over_ssl_client_policy |
HTTPヘッダーにSAML Bearer v2.0トークンを組み込みます。確認方法がBearerのSAMLトークンが自動的に作成されます。このポリシーは、トランスポート・プロトコルでSSLメッセージの保護が提供されていることを検証します。このポリシーは、HTTPベースのクライアント・エンドポイントにアタッチできます。 |
oracle/http_saml20_token_bearer_over_ssl_service_policy |
HTTPヘッダー内の、確認方式がBearerとなっているSAML v2.0トークンに指定されている資格証明を使用して、ユーザーを認証します。SAMLトークンの資格証明は、SAML v2.0ログイン・モジュールに対して認証されます。このポリシーは、トランスポート・プロトコルでSSLメッセージの保護が提供されていることを検証します。このポリシーは、HTTPベースのエンドポイントで実行できます。 |
oracle/http_saml20_token_bearer_service_policy |
HTTPヘッダー内の、確認方式がBearerとなっているSAML v2.0トークンに指定されている資格証明を使用して、ユーザーを認証します。SAMLトークンの資格証明は、SAML v2.0ログイン・モジュールに対して認証されます。このポリシーは、HTTPベースのエンドポイントで実行できます。 |
oracle/wss_http_token_client_policy |
アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込みます。このポリシーは、HTTPベースのクライアントで実行できます。 |
oracle/wss_http_token_service_policy |
HTTPヘッダー内の資格証明を使用して、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーを認証します。このポリシーは、HTTPベースのエンドポイントで実行できます。 |
表1-3は、「アクセス・ポリシー」ページにリストされている事前定義済MSASポリシーの概要を示しています。これは、将来の使用のために予約されています。
表1-3 将来の使用のために予約されている事前定義済セキュリティ・ポリシー
ポリシー名 | 説明 |
---|---|
oracle/binding_authorization_denyall_policy |
将来の使用のために予約されています。 |
oracle/binding_authorization_permitall_policy |
将来の使用のために予約されています。 |
oracle/binding_oes_masking_policy |
将来の使用のために予約されています。 |
oracle/binding_permission_authorization_policy |
将来の使用のために予約されています。 |
oracle/component_authorization_denyall_policy |
将来の使用のために予約されています。 |
oracle/component_authorization_permitall_policy |
将来の使用のために予約されています。 |
oracle/component_oes_authorization_policy |
将来の使用のために予約されています。 |
oracle/component_permission_authorization_policy |
将来の使用のために予約されています。 |
oracle/http_jwt_token_identity_switch_client_policy |
将来の使用のために予約されています。 |
oracle/http_oam_token_service_policy |
将来の使用のために予約されています。 |
oracle/http_oauth2_token_client_policy |
将来の使用のために予約されています。 |
oracle/http_oauth2_token_identity_switch_opc_oauth2_over_ssl_client_policy |
将来の使用のために予約されています。 |
oracle/http_oauth2_token_identity_switch_over_ssl_client_policy |
将来の使用のために予約されています。 |
oracle/http_oauth2_token_opc_oauth2_client_policy |
将来の使用のために予約されています。 |
oracle/http_oauth2_token_opc_oauth2_over_ssl_client_policy |
将来の使用のために予約されています。 |
oracle/http_oauth2_token_over_ssl_client_policy |
将来の使用のために予約されています。 |
oracle/multi_token_over_ssl_client_policy |
将来の使用のために予約されています。 |
oracle/multi_token_over_ssl_rest_service_policy |
将来の使用のために予約されています。 |
oracle/multi_token_rest_service_policy |
将来の使用のために予約されています。 |
oracle/no_authentication_client_policy |
将来の使用のために予約されています。 |
oracle/no_authentication_service_policy |
将来の使用のために予約されています。 |
oracle/no_authorization_component_policy |
将来の使用のために予約されています。 |
oracle/no_authorization_service_policy |
将来の使用のために予約されています。 |
oracle/no_messageprotection_client_policy |
将来の使用のために予約されています。 |
oracle/no_messageprotection_service_policy |
将来の使用のために予約されています。 |
oracle/oauth2_config_client_policy |
将来の使用のために予約されています。 |
oracle/pii_security_policy |
将来の使用のために予約されています。 |
oracle/sts_trust_config_client_policy |
将来の使用のために予約されています。 |
oracle/sts_trust_config_service_policy |
将来の使用のために予約されています。 |
oracle/whitelist_authorization_policy |
将来の使用のために予約されています。 |
oracle/wss10_message_protection_client_policy |
将来の使用のために予約されています。 |
oracle/wss10_message_protection_client_policy |
将来の使用のために予約されています。 |
oracle/wss10_saml20_token_client_policy |
将来の使用のために予約されています。 |
oracle/wss10_saml20_token_service_policy |
将来の使用のために予約されています。 |
oracle/wss10_saml20_token_with_message_protection_client_policy |
将来の使用のために予約されています。 |
oracle/wss10_saml20_token_with_message_protection_service_policy |
将来の使用のために予約されています。 |
oracle/wss10_saml_hok_with_message_protection_client_policy |
将来の使用のために予約されています。 |
oracle/wss10_saml_hok_token_with_message_protection_service_policy |
将来の使用のために予約されています。 |
oracle/wss10_saml_token_client_policy |
将来の使用のために予約されています。 |
oracle/wss10_saml_token_service_policy |
将来の使用のために予約されています。 |
oracle/wss10_saml_token_with_message_integrity_client_policy |
将来の使用のために予約されています。 |
oracle/wss10_saml_token_with_message_integrity_service_policy |
将来の使用のために予約されています。 |
oracle/wss10_saml_token_with_message_protection_client_policy |
将来の使用のために予約されています。 |
oracle/wss10_saml_token_with_message_protection_service_policy |
将来の使用のために予約されています。 |
oracle/wss10_saml_token_with_message_protection_ski_basic256_client_policy |
将来の使用のために予約されています。 |
oracle/wss10_saml_token_with_message_protection_ski_basic256_service_policy |
将来の使用のために予約されています。 |
oracle/wss10_username_id_propagation_with_msg_protection_client_policy |
将来の使用のために予約されています。 |
oracle/wss10_username_id_propagation_with_msg_protection_service_policy |
将来の使用のために予約されています。 |
oracle/wss10_username_token_with_message_protection_client_policy |
将来の使用のために予約されています。 |
oracle/wss10_username_token_with_message_protection_service_policy |
将来の使用のために予約されています。 |
oracle/wss10_username_token_with_message_protection_ski_basic256_client_policy |
将来の使用のために予約されています。 |
oracle/wss10_username_token_with_message_protection_ski_basic256_service_policy |
将来の使用のために予約されています。 |
oracle/wss10_x509_token_with_message_protection_client_policy |
将来の使用のために予約されています。 |
oracle/wss10_x509_token_with_message_protection_service_policy |
将来の使用のために予約されています。 |
oracle/wss11_kerberos_token_client_policy |
将来の使用のために予約されています。 |
oracle/wss11_kerberos_token_service_policy |
将来の使用のために予約されています。 |
oracle/wss11_kerberos_token_with_message_protection_basic128_client_policy |
将来の使用のために予約されています。 |
oracle/wss11_kerberos_token_with_message_protection_basic128__service_policy |
将来の使用のために予約されています。 |
oracle/wss11_kerberos_token_with_message_protection_client_policy |
将来の使用のために予約されています。 |
oracle/wss11_kerberos_token_with_message_protection_service_policy |
将来の使用のために予約されています。 |
oracle/wss11_message_protection_client_policy |
将来の使用のために予約されています。 |
oracle/wss11_message_protection_client_policy |
将来の使用のために予約されています。 |
oracle/wss11_saml20_token_with_message_protection_client_policy |
将来の使用のために予約されています。 |
oracle/wss11_saml20_token_with_message_protection_service_policy |
将来の使用のために予約されています。 |
oracle/wss11_saml_or_username_token_with_message_protection_service_policy |
将来の使用のために予約されています。 |
oracle/wss11_saml_token_with_identity_switch_message_protection_client_policy |
将来の使用のために予約されています。 |
oracle/wss11_saml_token_with_message_protection_client_policy |
将来の使用のために予約されています。 |
oracle/wss11_saml_token_with_message_protection_service_policy |
将来の使用のために予約されています。 |
oracle/wss11_sts_issued_saml_hok_with_message_protection_client_policy |
将来の使用のために予約されています。 |
oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policy |
将来の使用のために予約されています。 |
oracle/wss11_sts_issued_saml_with_message_protection_client_policy |
将来の使用のために予約されています。 |
oracle/wss11_username_token_with_message_protection_client_policy |
将来の使用のために予約されています。 |
oracle/wss11_username_token_with_message_protection_service_policy |
将来の使用のために予約されています。 |
oracle/wss11_x509_token_with_message_protection_client_policy |
将来の使用のために予約されています。 |
oracle/wss11_x509_token_with_message_protection_service_policy |
将来の使用のために予約されています。 |
oracle/wss_http_token_over_ssl_client_policy |
将来の使用のために予約されています。 |
oracle/wss_http_token_over_ssl_service_policy |
将来の使用のために予約されています。 |
oracle/wss_saml20_token_bearer_over_ssl_client_policy |
将来の使用のために予約されています。 |
oracle/wss_saml20_token_bearer_over_ssl_service_policy |
将来の使用のために予約されています。 |
oracle/wss_saml20_token_over_ssl_client_tpolicy |
将来の使用のために予約されています。 |
oracle/wss_saml20_token_over_ssl_service_policy |
将来の使用のために予約されています。 |
oracle/wss_saml_bearer_or_username_token_service_policy |
将来の使用のために予約されています。 |
oracle/wss_saml_or_username_token_over_ssl_service_policy |
将来の使用のために予約されています。 |
oracle/wss_saml_or_username_token_service_policy |
将来の使用のために予約されています。 |
oracle/wss_saml_token_bearer_client_policy |
将来の使用のために予約されています。 |
oracle/wss_saml_token_bearer_identity_switch_client_policy |
将来の使用のために予約されています。 |
oracle/wss_saml_token_bearer_over_ssl_client_policy |
将来の使用のために予約されています。 |
oracle/wss_saml_token_bearer_over_ssl_service_policy |
将来の使用のために予約されています。 |
oracle/wss_saml_token_over_ssl_client_policy |
将来の使用のために予約されています。 |
oracle/wss_saml_token_over_ssl_service_policy |
将来の使用のために予約されています。 |
oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policy |
将来の使用のために予約されています。 |
oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policy |
将来の使用のために予約されています。 |
oracle/wss_username_token_client_policy |
将来の使用のために予約されています。 |
oracle/wss_username_token_service_policy |
将来の使用のために予約されています。 |
oracle/wss_username_token_over_ssl_client_policy |
将来の使用のために予約されています。 |
oracle/wss_username_token_over_ssl_service_policy |
将来の使用のために予約されています。 |
表示名: Oracle Entitlements Serverを使用したファイングレイン認可
カテゴリ: セキュリティ
説明
このポリシーは、Oracle Entitlements Server (OES)で定義されているポリシーに基づいてユーザー認可を実行し、Webサービス操作におけるファイングレイン認可を提供します。認可は、属性、現在の認証済サブジェクト、およびクライアントが起動したWebサービスのアクションに基づいています。このポリシーは、サブジェクトが確立されている認証ポリシーの後に続ける必要があり、SOAPベースまたはRESTベースの任意のエンドポイントに添付できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
構成
このポリシーを構成する手順は次のとおりです。
表2-5「binding_oes_authorization_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、『Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項を参照してください。
表示名: HTTPアクション・セキュリティ・ポリシー
カテゴリ: セキュリティ
説明
この内部ポリシーは、SKEK暗号化およびSKEK復号化を提供します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
構成
このポリシーを構成する手順は次のとおりです。
表2-7「http_action_over_ssl_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、『Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項を参照してください。
表示名: HTTP BMAX JWTユーザー・トークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、バックエンド・リソースへのアクセス時に、HTTPヘッダーにJWTユーザー・トークンを挿入します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
構成
このポリシーを構成する手順は次のとおりです。
表2-8「http_bmax_jwt_user_token_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、『Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項を参照してください。
表示名: HTTP BMAX OAMトークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、OAMで保護されたリソースへのアクセス時に、認可ヘッダーにOAMアクセス・トークンを挿入します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
構成
このポリシーを構成する手順は次のとおりです。
表2-9「http_bmax_oam_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、『Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項を参照してください。
表示名: HTTP BMAX OAuthクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、OAuthで保護されたリソースへのアクセス時に、認可ヘッダーにOAuthアクセス・トークンを挿入します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
構成
このポリシーを構成する手順は次のとおりです。
表2-10「http_bmax_oauth_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、『Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項を参照してください。
表示名: HTTP BMAX SPNEGOクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、SPNEGOトークンを作成し、HTTPヘッダーでサービスに送信します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
構成
このポリシーを構成する手順は次のとおりです。
表2-11「http_bmax_spnego_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、『Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項を参照してください。
表示名: HTTPフォーム・ベース認証サービス・ポリシー
カテゴリ: セキュリティ
説明
この内部ポリシーは、HTMLフォーム・ベース認証を実行します。このポリシーはWebアプリケーション(URL)に添付できます。
アサーション
この内部ポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
構成
このポリシーを構成する手順は次のとおりです。
表2-13「http_form_based_auth_over_ssl_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、『Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項を参照してください。
表示名: HTTP Kerberosパスワード認証サービス・ポリシー
カテゴリ: セキュリティ
説明
この内部ポリシーは、Kerberosパスワード認証を可能にします。
アサーション
この内部ポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
構成
このポリシーを構成する手順は次のとおりです。
表2-15「http_kinit_over_ssl_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、『Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項を参照してください。
表示名: HTTP OAMアクセス・サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、WebリソースがOAMによって保護されているかどうかを検証します。保護されている場合、OAMを使用して認証し、サブジェクトを確立してから実際のWebリソースへのアクセスを許可します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
構成
このポリシーを構成する手順は次のとおりです。
表2-18「http_oam_authentication_service_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、『Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項を参照してください。
表示名: SSL経由HTTP OAuth2機密クライアント・ポリシー
カテゴリ: セキュリティ
説明
この内部ポリシーは、OAuth2機密クライアント認証を実行し、OAuthおよびOAMトークンを作成します。このポリシーは内部認証エンドポイントのみで添付されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
構成
このポリシーを構成する手順は次のとおりです。
表2-20「http_oauth2_confidential_client_over_ssl_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、『Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項を参照してください。
表示名: SSL経由HTTP OAuth2モバイル・クライアント・トークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
この内部ポリシーは、OAuth2モバイル・クライアント認証を実行し、OAuthおよびOAMトークンを作成します。このポリシーは内部認証エンドポイントのみで添付されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
構成
このポリシーを構成する手順は次のとおりです。
表2-22「http_oauth2_mobile_client_over_ssl_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、『Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項を参照してください。
表示名: HTTP NTLM認証クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、NTLMで保護されたアプリケーションでNTLM (NT LAN Manager)認証を実行します。これには、KINITまたはPKINITベースのHTTPセッション・トークンが必要です。このポリシーはSOAP/RESTサービスやWebアプリケーションにも添付できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
構成
このポリシーを構成する手順は次のとおりです。
表2-16「http_ntlm_token_client_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、『Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項を参照してください。
表示名: Http Kerberos PKI認証サービス・ポリシー
カテゴリ: セキュリティ
説明
この内部ポリシーは、Kerberos PKI認証を可能にします。
アサーション
この内部ポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
構成
このポリシーを構成する手順は次のとおりです。
表2-24「http_pkinit_over_ssl_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、『Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項を参照してください。
表示名: HTTPセッション・トークン発行ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、認証済のユーザーIDでセッション・トークンを発行します。
アサーション
この内部ポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
構成
このポリシーを構成する手順は次のとおりです。
表2-26「http_session_token_issue_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、『Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項を参照してください。
表示名: HTTPセッション・トークン検証ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、タイムスタンプおよび署名を含むセッション・トークンを検証して、暗号化されたデータを復号し、セッション・トークンのユーザーIDを使用してアイデンティティをアサートします。検証に失敗した場合、リクエストは却下されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
oracle/http_session_token_verify_template
注意: assert.stoken.identity
プロパティのデフォルト値は、http_session_token_verify_template
でfalse
です。認可ポリシー・シナリオの場合、このプロパティはtrue
に設定する必要があります。
構成
このポリシーを構成する手順は次のとおりです。
表2-28「http_session_token_verify_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、『Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項を参照してください。
表示名: HTTP TLPパスワード認証サービス・ポリシー
カテゴリ: セキュリティ
説明
この内部ポリシーは、期限付きパスワード認証を有効にします。
アサーション
この内部ポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
構成
このポリシーを構成する手順は次のとおりです。
表2-30「http_tlp_over_ssl_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、『Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項を参照してください。
表示名: ヘッダーへのBMAX (MSAS) URLの挿入
カテゴリ: セキュリティ
説明
この内部ポリシーは、カスタムHTTPヘッダーにBMAX (MSAS) URLを挿入します。これは、MSMがMSAS URLを認識するために必要です。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
構成
このポリシーを構成する手順は次のとおりです。
表2-31「inject_header_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、『Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項を参照してください。
表示名: ヘッダーへのクライアント証明書挿入ポリシー
カテゴリ: セキュリティ
説明
この内部ポリシーは、カスタムHTTPヘッダーに双方向SSLを使用して受信したクライアント証明書を挿入します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
構成
このポリシーを構成する手順は次のとおりです。
表2-31「inject_header_templateの構成プロパティ」に定義されている構成プロパティをオーバーライドします。詳細は、『Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項を参照してください。
表示名: SPNEGO、NTLM、OAMおよびOAuth2用複数トークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、トランスポート・セキュリティを使用したバックエンド・サービス・ポリシーに基づいた次の認証ポリシーのいずれかを強制するためのexactly-oneポリシーです。
SPNEGO over HTTPセキュリティ: Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO)トークンをHTTPヘッダーから抽出します。
HTTP経由のNTLMトークン - NTLMで保護されたアプリケーションを使用してNT LAN Manager認証を実行します。
OAuth2認証SSO用のBMAX OAMクライアント・ポリシー - OAMで保護されたリソースにアクセスします。
OAuth2認証SSO用のBMAX OAuth2クライアント・ポリシー - OAuth2で保護されたリソースにアクセスします。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
『Oracle Fusion Middleware Web Servicesのためのセキュリティおよび管理者ガイド』のoracle/http_spnego_token_client_template。
構成
このポリシーを構成する手順は次のとおりです。
クライアントから送信されたトークンに基づいて、次の各項のいずれかで定義された構成プロパティをオーバーライドします。詳細は、『Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項を参照してください。
『Oracle Fusion Middleware Web Servicesのためのセキュリティおよび管理者ガイド』のhttp_spnego_token_client_templateの構成プロパティに関する項
表示名: トランスポート・セキュリティを使用したSPNEGO、NTLM、OAMおよびOAuth2用複数トークン・クライアント・ポリシー
カテゴリ: セキュリティ
注意: このポリシーは、将来使用するために予約されています。 |
将来の使用のために予約されています。
説明
このポリシーは、トランスポート・セキュリティを使用したバックエンド・サービス・ポリシーに基づいた次の認証ポリシーのいずれかを強制するためのexactly-oneポリシーです。
SPNEGO over HTTPセキュリティ: Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO)トークンをHTTPヘッダーから抽出します。
HTTP経由のNTLMトークン - NTLMで保護されたアプリケーションを使用してNT LAN Manager認証を実行します。
OAuth2認証SSO用のBMAX OAMクライアント・ポリシー - OAMで保護されたリソースにアクセスします。
OAuth2認証SSO用のBMAX OAuth2クライアント・ポリシー - OAuth2で保護されたリソースにアクセスします。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
『Oracle Fusion Middleware Web Servicesのためのセキュリティおよび管理者ガイド』のoracle/http_spnego_token_client_template。
構成
このポリシーを構成する手順は次のとおりです。
クライアントから送信されたトークンに基づいて、次の各項のいずれかで定義された構成プロパティをオーバーライドします。詳細は、『Mobile Security Access Serverの管理』のポリシー・オーバーライドの構成に関する項を参照してください。
『Oracle Fusion Middleware Web Servicesのためのセキュリティおよび管理者ガイド』のhttp_spnego_token_client_templateの構成プロパティに関する項
この項では、Oracleのモバイル・セキュリティ・アクセス・サーバー(MSAS)の事前定義済管理ポリシーについて説明します。
注意: この項は、将来使用するために予約されています。 |