| Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド 11g リリース1 (11.1.1.9) B56247-10 |
|
 前 |
 次 |
11gリリース1では、Oracle Web Services Manager 10gおよびWebサービス・セキュリティ管理が完全に再設計されています。リリース11gでの変更内容の詳細は、第4章「Oracle Fusion MiddlewareにおけるOracle WSMの再設計の詳細」を参照してください。
次のトピックは、 11gリリース1の各リリースでの機能と拡張機能の概要を提供します。
11gリリース1(11.1.1.9)には、次の新機能および拡張機能が含まれています。
次の新機能と拡張機能が、Oracle Web Services Managerの現行リリースに追加されました。
upgradeWSM WLSTコマンドは、WebLogic Server 11gドメイン内のOWSM構成を、前のリリース(11.1.1.1.0–11.1.1.6.0)からリリース11.1.1.9.0にアップグレードします。このコマンドの詳細は、次の場所に記載されています。
『Oracle Fusion Middlewareパッチ適用ガイド』のOracle WSM構成のアップグレードに関する項
『WebLogic Scripting Toolコマンド・リファレンス』のOWSM構成のアップグレード・コマンドに関する項
csf.map構成プロパティにより、特定の事前定義されたポリシーにアプリケーション・レベルの資格証明マップ名を設定できます(このプロパティを使用してドメイン・レベルの資格証明マップをアタッチメントごとにオーバーライドできます)。csf.map構成オーバーライドは、csf-keyまたはキーストア関連のcsfキーのいずれかを持つすべてのポリシーおよびアサーション・テンプレートで使用できます。
詳細は、「アプリケーション・レベルの資格証明マップの作成」を参照してください。
Oracle WSMでは、Webサービス・クライアントがMobile and Social OAuth 2.0サーバーが実装するSOAPおよびRESTのWebサービスと対話し、2-legged認可を行うことができます。
詳細は、「Oracle WSMでのOAuth2の使用」を参照してください。
RESTful Webサービス・クライアントを保護するには、WLSTを使用してOracle WSMポリシーをグローバルに割り当てます。
詳細は、「WLSTを使用したRESTful Webサービス・クライアントへのポリシーの添付」を参照してください。
資格証明およびキーストアを管理するREST APIは、ドメインまたはWebサービスの資格証明ストア、キーストアおよびトラスト・ストアを作成、構成するためのエンドポイントを提供します。詳細は、『Oracle Web Services Managerでの資格証明およびキーストアの管理のためのREST API』を参照してください。
リリース11.1.1.6.0で導入されたトークン属性ルールによる信頼できるSTS (Secure Token Service)サーバーおよび信頼できるSAMLクライアントへの追加のセキュリティ制約の適用に加えて、Oracle WSMでは、信頼できるJWTクライアントのトークン属性ルールも定義できます。また、新しいトークン属性マッピング・ルールにより、信頼できるユーザーを認証するために、名前ID属性がサブジェクト名IDのローカル・ユーザー属性をローカル・ユーザーの属性にマップできます。
トークン属性ルールは、Fusion Middleware Controlにより、またはWLSTコマンドを使用して適用できます。詳細は、「信頼できる発行者のトークン属性ルールの構成」を参照してください。
Oracle WSMでは、WLSTコマンドでDNリストを管理する機能が追加されました。3つの新しいWLSTコマンドにより、信頼できる発行者構成(DNおよびトークン属性ルール)の削除による信頼の取消し、XMLへの信頼構成のエクスポート、およびXMLファイルからの信頼構成のインポートができます。これらのコマンドには、revokeWSMTokenIssuerTrust、exportWSMTokenIssuerTrustMetadataおよびimportWSMTokenIssuerTrustMetadataが含まれます。
詳細は、「WLSTを使用した信頼される発行者の定義とDNリストの管理」を参照してください。
JKSの資格証明および証明書を管理および参照するためのWLSTコマンドが追加されました:
deleteWSMKeyStoreEntry
deleteWSMKeyStoreEntries
exportWSMCertificate
importWSMCertificate
listWSMKeystoreAliases
displayWSMCertificate
詳細は、「Javaキーストアの証明書の管理」を参照してください。
現行リリースには、次の新しい事前定義済ポリシーが含まれています。詳細は、付録B「事前定義済ポリシー」を参照してください。
Webサービス・クライアントのアイデンティティ切替えをサポートするために、次の事前定義されたSAMLおよびJWTクライアント・ポリシーが提供されています:
oracle/wss_saml_token_bearer_identity_switch_client_policy: このポリシーは、任意のSOAPクライアント・エンドポイントに割り当てることができます。
oracle/http_jwt_token_identity_switch_client_policy: このポリシーは、任意のHTTPベースの、SOAPまたはRESTクライアント・エンドポイントで実行できます。
詳細は、「アイデンティティ切替えのためのWebサービス・クライアントの構成」を参照してください。
現在のリリースでは、これらのWeb Services WLSTコマンドが追加されています。これらのコマンドの詳細は、WebLogic Scripting Toolコマンド・リファレンスのWebサービスのカスタムWLSTコマンドに関する項を参照してください。
次のコマンドは、DNリストの管理に関連付けられています。詳細は、「WLSTを使用した信頼される発行者の定義とDNリストの管理」を参照してください。
revokeWSMTokenIssuerTrust: すべての信頼できる発行者と関連構成(DNおよびトークン属性ルール)を削除して信頼を取り消します。「WLSTを使用した信頼できる発行者からの信頼の取消し」を参照してください。
exportWSMTokenIssuerTrustMetadata: すべての信頼できる発行者のすべての信頼の構成(発行者、DNおよびトークン属性ルール)をXMLファイルにエクスポートします。「WLSTを使用した信頼メタデータのエクスポート」を参照してください。
importWSMTokenIssuerTrustMetadata: すべての信頼できる発行者の信頼の構成(発行者、DNおよびトークン属性ルール)をXMLファイルからインポートします。「WLSTを使用した信頼メタデータのインポート」を参照してください。
setWSMTokenIssuerTrustAttributeMapping: 信頼できるユーザーの認証のために、サブジェクト名IDのためのローカル・ユーザー属性の名前ID属性をローカル・ユーザー属性にマップします。「Fusion Middleware Controlを使用した信頼できる発行者のトークン属性ルールの構成」を参照してください。
JKSの資格証明および証明書を管理および参照するためのコマンドが追加されました:詳細は、「Javaキーストアの証明書の管理」を参照してください。
deleteWSMKeyStoreEntry: キーストアから1つの証明書を削除します。
deleteWSMKeyStoreEntries: キーストアからすべての証明書を削除します。
exportWSMCertificate: 指定された場所に、別名によって示された、信頼できる証明書または秘密鍵に関連付けられた証明書チェーンをエクスポートします。
importWSMCertificate: 別名によって示された、信頼できる証明書または秘密鍵に関連付けられた証明書チェーンをインポートします。
listWSMKeystoreAliases: キーストア内のすべての別名を一覧表示します。
displayWSMCertificate: 別名がKeyStore.TrustedCertificateEntryを指定している場合、ユーザーの証明書のコンテンツを表す文字列を表示します。別名がKeyStore.PrivateKeyEntryで指定された証明書チェーンを指している場合は、チェーン内の証明書を表示します。
WebLogic Server 11gドメイン内のOWSM構成を、前のリリース(11.1.1.1.0–11.1.1.6.0)からリリース11.1.1.9.0にアップグレードするコマンドが追加されました。詳細は、『Oracle Fusion Middlewareパッチ適用ガイド』のOracle WSM構成のアップグレードに関する項を参照してください。
upgradeWSM: キーストアから1つの証明書を削除します。
現行リリースには、次の新しい事前定義済ポリシーが含まれています。詳細は、付録B「事前定義済ポリシー」を参照してください。
Webサービス・クライアントのアイデンティティ切替えをサポートするために、次の事前定義されたSAMLおよびJWTクライアント・ポリシーが提供されています:
oracle/wss_saml_token_bearer_identity_switch_client_policy: このポリシーは、任意のSOAPクライアント・エンドポイントに割り当てることができます。
oracle/http_jwt_token_identity_switch_client_policy: このポリシーは、任意のHTTPベースの、SOAPまたはRESTクライアント・エンドポイントで実行できます。
詳細は、「アイデンティティ切替えのためのWebサービス・クライアントの構成」を参照してください。
11gリリース1(11.1.1.7)には、次の新機能および拡張機能が含まれています。
次の新機能と拡張機能が、Oracle Web Services Managerの現行リリースに追加されました。
Oracle WSMでは、二者間でやりとりされるクレームの表現方法としてのJSON Web Token (JWT)がサポートされるようになりました。JWTは、HTTP認可ヘッダーなど、領域が制限された環境向けのコンパクトなトークン・フォーマットです。
ドキュメント全体で、JWTトークンへの参照が追加されました。次の各項で、追加情報が記載されています。
JWTをサポートするために、次の新しいポリシーが追加されました。
"oracle/http_jwt_token_client_policy" - HTTPヘッダーにJWTトークンを含めます。
"oracle/http_jwt_token_service_policy" - HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証します。
"oracle/http_jwt_token_over_ssl_client_policy" - HTTPヘッダーにJWTトークンを含め、トランスポート・プロトコルがHTTPSであることを確認します。
"oracle/http_jwt_token_over_ssl_client_policy" - HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを確認します。
JWTをサポートするために、次の新しいアサーション・テンプレートが追加されました。
"oracle/http_jwt_token_client_template" - HTTPヘッダーにJWTトークンを含めます。
"oracle/http_jwt_token_service_template" - HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証します。
"oracle/http_jwt_token_over_ssl_client_template" - HTTPヘッダーにJWTトークンを含め、トランスポート・プロトコルがHTTPSであることを確認します。
"oracle/http_jwt_token_over_ssl_service_template" - HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを確認します。
JWTトークンのサポートを組み込むために、次のWLSTコマンドが更新されました。
displayWSMTokenIssuerTrust
setWSMTokenIssuerTrust
deleteWSMTokenIssuerTrust
これらのコマンドの使用の詳細は、「WLSTを使用した信頼できる発行者の定義およびDNリストの管理」を参照してください。
WS-Trust構成のトラブルシューティングに対応するための新しいセクションが追加されました。詳細は、「WS-Trustユースケースでの一般的なOracle WSM例外の診断」を参照してください。
Oracle WSMには、ドメインの構成をチェックできるcheckWSMStatus WLSTコマンドが追加されました。checkWSMStatusコマンドは、ポリシー・マネージャ(wsm-pm)、エージェント(agent)および資格証明ストアとキーストア構成(credstore)のステータスを戻します。コンポーネントのステータスは、まとめて確認することも、個別に確認することもできます。
詳細は、「WLSTを使用したドメイン構成の問題の診断」を参照してください。
特定の信頼できるユーザーで、どのユーザーおよびユーザー属性を許容したり処理するかを制御したいという要求が増え続けています。Oracle WSMでは、信頼できるSTS (Secure Token Service)サーバーおよび信頼できるSAMLクライアントの追加のセキュリティ制約を適用して、トークン属性ルールを定義できます。トークン属性ルールは、Fusion Middleware Controlにより、またはWLSTコマンドを使用して適用できます。
詳細は、「信頼できる発行者のトークン属性ルールの構成」を参照してください。
Oracle WSMでは、WLSTコマンドでDNリストを管理する機能が追加されました。発行者とそのDNリストを構成する、発行者とDNリストを表示する、および発行者とそのDNリストを削除するための新しいWLSTコマンドがあります。これらのコマンドには、deleteWSMTokenIssuerTrust、deleteWSMTokenIssuerTrustAttributeRule、setWSMTokenIssuerTrust、setWSMTokenIssuerTrustおよびsetWSMTokenIssuerTrustが含まれます。
詳細は、「WLSTを使用した信頼される発行者の定義とDNリストの管理」を参照してください。
エージェントとポリシー・マネージャの間の接続を構成するための新しいプロパティがポリシー・アクセッサに追加されました。これらのプロパティを使用して構成できるのは、実行時のポリシー・マネージャへの再接続試行の頻度、エージェントがポリシー・マネージャとの通信を試行する(リポジトリにアクセスする)回数と再試行の間隔、すでにキャッシュされたドキュメントをリフレッシュするためにエージェントがポリシー・マネージャへの接続を試行する頻度などです。
詳細は、「WSMリポジトリの接続の調整」を参照してください。
アイデンティティ・コンテキストにより、システム内のアプリケーションは、セキュリティ・ポリシー内にあるアイデンティティ関連のリスクを管理するために、共有アイデンティティ・コンテキストを把握できます。Oracle WSMは、Webサービス・クライアントからWebサービスへアイデンティティ・コンテキストを伝播してから、それを認証および認可の目的で他のコンポーネントで利用できるようにします(公開します)。
詳細は、「Oracle WSMによるアイデンティティ・コンテキストの伝播」を参照してください。
Fusion Middlewareパッチ・セットをインストールした後、サーバーの起動プロセスの一環として、最新の事前定義済ポリシーおよびアサーション・テンプレートでリポジトリが自動的に更新されます。upgradeWSMPolicyRepositoryコマンドを実行する必要はなくなりました。
詳細は、「リポジトリ内のOracle WSMポリシーのアップグレード」を参照してください。
Oracle WSMで、WLSTコマンドを使用してJava EE Webサービスに対するポリシーの添付および解除操作を実行できるようになりました。次の各項を参照してください。
attachWebServicePolicy、attachWebServicePolicies、detachWebServicePolicyおよびdetachWebServicePoliciesコマンドの詳細は、「WLSTを使用したWebサービスへのポリシーの添付」を参照してください。
attachWebServiceClientPolicy、attachWebServiceClientPolicies、detachWebServiceClientPolicyおよびdetachWebServiceClientPoliciesコマンドの詳細は、「WLSTを使用したWebサービスへのポリシーの添付」を参照してください。
Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイドのキーストローク・サービスを使用したキーと証明書の管理に関する項で説明するように、Oracle Platform Security Services(OPSS)キーストア・サービスでは、セキュリティの管理のためにキーと証明書を管理するための代替のメカニズムが提供されています。
メッセージ保護のためにOPSSキーストローク・サービスを構成する方法の詳細は、Webサービスのためのセキュリティおよび管理者ガイドの第10章「ポリシーの環境設定」を参照してください。
RESTfulサーブレットとして公開されているADFビジネス・コンポーネントなどのサーブレット・アプリケーションを保護するために、Oracle WSMの事前定義済セキュリティ・ポリシーのサブセットを添付できます。
詳細は、「サーブレット・アプリケーションへのポリシーの添付」を参照してください。
Oracle Web Services Manager相互運用性ガイドの「Microsoft WCF/.NET 3.5のセキュリティ環境との相互運用性」に、Microsoft Active Directory Federation Services (ADFS) 2.0でWCF/.NET 3.5を保護するための方法が提供されるようになりました。
Oracle WSMは、メッセージ保護ポリシーのフォルト・メッセージ内で、本文パーツやヘッダー要素に対する署名および暗号化をサポートするようになりました。デフォルトで、フォルト保護は無効になっています。メッセージ保護ポリシーの「メッセージ・セキュリティ」セクションで、この設定を構成できます。詳細は、「リクエスト、レスポンスおよびフォルト・メッセージへの署名と暗号化の設定」を参照してください。
現在のリリースでは、これらのWeb Services WLSTコマンドが追加されています。これらのコマンドの詳細は、WebLogic Scripting Toolコマンド・リファレンスのWebサービスのカスタムWLSTコマンドに関する項を参照してください。
次のコマンドは、DNリストの管理に関連付けられています。詳細は、「WLSTを使用した信頼される発行者の定義とDNリストの管理」を参照してください。
deleteWSMTokenIssuerTrust: 信頼される発行者(DNリストを含む)を削除します。「WLSTを使用した発行者およびそのDNリストの削除」を参照してください。
deleteWSMTokenIssuerTrustAttributeRule: DNリストに関連付けられているトークン属性ルールを削除します。「WLSTを使用したトークン属性ルールの削除」を参照してください。
displayWSMTokenIssuerTrust: 指定された発行者に関連付けられているDNリストの名前を表示します。「WLSTを使用した発行者およびDNリストの表示」を参照してください。
setWSMTokenIssuerTrust: 信頼されるDNリストを持つSAML発行者を指定します。「WLSTを使用した発行者およびそのDNリストの構成」を参照してください。
setWSMTokenIssuerTrustAttributeFilter: トークン署名証明書のDNと信頼されるユーザーのリストを指定します。「Fusion Middleware Controlを使用した信頼できる発行者のトークン属性ルールの構成」を参照してください。
次のコマンドは、Oracle WSMコンポーネントのステータスをチェックします。詳細は、「WLSTを使用したドメイン構成の問題の診断」を参照してください。
checkWSMStatus: 製品が適切に機能するために必要なWSMコンポーネントのステータスをチェックします。詳細は、「WLSTを使用したドメイン構成に関する問題の診断」を参照してください。
現行リリースには、次の新しい事前定義済ポリシーが含まれています。詳細は、付録B「事前定義済ポリシー」を参照してください。
サーブレット・アプリケーションのセキュリティをサポートするために、次の事前定義済ポリシーが提供されます。
oracle/http_oam_token_service_policy: OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。
oracle/http_basic_auth_over_ssl_client_policy: アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を含めます。
oracle/http_basic_auth_over_ssl_service_policy: HTTPヘッダーの資格証明を使用して、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーを認証します。
oracle/http_saml20_token_bearer_client_policy: HTTPヘッダーにSAML 2.0トークンを含めます。
oracle/http_saml20_token_bearer_service_policy: HTTPヘッダーに、確認方法BearerとともにSAML 2.0トークンを含めます。
oracle/http_saml20_token_bearer_over_ssl_client_policy: HTTPヘッダーにSAML 2.0トークンが含まれます。
oracle/http_saml20_token_bearer_over_ssl_service_policy: HTTPヘッダーに、確認方法BearerとともにSAML 2.0トークンが含まれます。
oracle/multi_token_rest_service_policy: クライアントにより送信されたトークンに基づいて認証ポリシーを強制します。
oracle/multi_token_over_ssl_rest_service_policy: クライアントにより送信されたトークンに基づいて認証ポリシーを強制します。
SAML token bearer認証をサポートするために、次の事前定義済ポリシーが提供されます。
oracle/wss_saml_token_bearer_client_policy: アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。
oracle/wss_saml_bearer_or_username_token_service_policy: クライアントがSAMLまたはユーザー名トークンのいずれを使用するかに基づいて、認証ポリシーを強制します。
現行リリースには、次の新しい事前定義済アサーション・テンプレートが含まれています。詳細は、付録C「事前定義済アサーション・テンプレート」を参照してください。
サーブレット・アプリケーションのセキュリティをサポートするために、次の事前定義済アサーション・テンプレートが提供されます。
oracle/http_oam_token_service_template: OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。
oracle/http_saml20_token_bearer_client_template: アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。
oracle/http_saml20_token_bearer_service_template: WS-Security SOAPヘッダー内の確認方法がBearerのSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
oracle/http_spnego_token_client_template: KerberosトークンおよびSimple and Protected GSSAPI Negotiation Mechanism (SPNEGO)プロトコルを使用して認証を提供します。
oracle/http_spnego_token_service_template: KerberosトークンSPNEGOプロトコルを使用して認証を提供します。
SAML token bearer認証をサポートするために、次の事前定義済アサーション・テンプレートが提供されます。
oracle/wss_saml_token_bearer_client_template: アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。
oracle/wss_saml_token_bearer_service_template: WS-Security SOAPヘッダー内の確認方法がBearerのSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
11gリリース1(11.1.1.6)には、次の新機能および拡張機能が含まれています。
グローバル・ポリシー添付の拡張機能
グローバル・ポリシー添付機能は、次のように拡張されました。
クライアントおよびサービスに対する、パーティション、サービスまたは参照で、およびポート・レベルとコンポーネント・レベルでのグローバルなポリシーの添付のサポート。詳細は、「サブジェクト・タイプおよびリソース・スコープ」を参照してください。
リポジトリ内でユーザーがすべてのポリシー・セット・ドキュメントを削除できるようにする、新しいWLSTコマンド(deleteAllPolicySets)のサポート。詳細は、「ポリシー・セットの削除」を参照してください。
グローバルなポリシー添付の構成オーバーライドのサポート詳細は、「グローバルにアタッチされたポリシーの構成プロパティのオーバーライド」を参照してください。
管理者が使用するポリシー添付に関するプリファレンスを示すことができる、ポリシー添付の優先順位を指定するための機能。詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。
Fusion Middleware Controlを使用した、エンドポイント構成に対する可視性の向上。これには、エンドポイントのセキュアなステータス、構成のオーバーライド、およびエンドポイントに有効な構成があるかどうかを確認できる機能が含まれます。詳細は、「エンドポイントのセキュア・ステータスの決定」を参照してください。
実行時制約
Oracle WSMは、ポリシー・セットが関連しているコンテキスト(たとえば、ファイアウォールの外にある外部クライアントと内部クライアント)を決定する実行時制約を指定する機能を提供します。詳細は、「ポリシー・セットの実行時制約の指定」を参照してください。
Oracle SPARC Server T-シリーズ暗号化アクセラレーションのサポート
Oracle SPARC Server暗号化アクセラレーションを利用するためにOracle WSMを構成する機能。詳細は、「Oracle SPARC T4暗号化アクセラレーションのためのOracle WSMの構成」を参照してください。
Fusion Middleware Control内のWebLogic Java EEクライアントの拡張されたサポート
Fusion Middleware Controlを使用して、Java EEクライアントを表示および監視し、Oracle WSMポリシーを添付する機能。
新しいタブ「Java EE Webサービス・クライアント」が、Java EEクライアントに関する情報を表示するためにWebサービス・ホームページに追加されました。詳細は、「Java EE Webサービス・クライアントの表示」を参照してください。
Java EEクライアントへOracle WSMポリシーを添付する機能。詳細は、「Java EE Webサービス・クライアントへのポリシーのアタッチ」を参照してください。
Java EEアプリケーション内で、実行時クライアント・インスタンスのWebサービス統計を表示する機能。詳細は、「Java EE Webサービス・クライアントのWebサービス統計の表示」を参照してください。
Webサービスのテストの拡張機能
Oracle WSMポリシーを使用した、Webサービスのセキュリティをテストするための拡張された機能。詳細は、第12章「Webサービスのテスト」を参照してください。
Fusion Middleware Controlで有効された導出される鍵と暗号化署名コントロール
Oracle WSMは、wss11メッセージ保護ポリシーで導出されたキー設定、およびwss10とwss11メッセージ保護ポリシーで署名の暗号化設定をサポートしています。メッセージ保護ポリシーの「メッセージ・セキュリティ」設定で、Fusion Middleware Controlを使用してこれらの機能を有効化できるようになりました。これらの設定の詳細は、付録C「事前定義済アサーション・テンプレート」で説明している、メッセージ保護アサーション・テンプレートを参照してください。
JKSキーストアの変更時にサーバーの再起動が必要ありません
JKSキーストアに変更を加えた場合に、サーバーを再起動する必要がなくなりました。JKSキーストアの詳細は、「秘密鍵の生成およびJavaキーストアの作成」を参照してください。
SAMLポリシーを使用した匿名ユーザーのサポート
Oracle WSMは、SAMLポリシーを使用して匿名ユーザーの伝播をサポートしています。詳細は、「SAMLポリシーによる匿名ユーザーの使用」を参照してください。
データベースのサポート
Oracle WSMは、MySQLとOracle Edition Based Redefinitions (EBR)で認定されています。
Webサービスのバージョニング
Oracle WSMは、Webサービスの複数のバージョン(ネームスペース)をサポートしています。WLST入力と出力およびFusion Middleware Controlでは、サービス名を含むネームスペースが必要となりました。たとえば、{http://mynamespace/}myServiceのようになります。詳細は、次の各項を参照してください。
WebLogic Scripting Toolコマンド・リファレンスの「WebサービスのカスタムWLSTコマンド」のサービス名の指定に関する項
WebLogic Scripting Toolコマンド・リファレンスのWebサービスのカスタムWLSTコマンドに関する項のlistWebServices
SAML発行者の変更
SAMLログイン・モジュールでSAML発行者を定義する必要がなくなりました。このリリースでは、「プラットフォーム・ポリシー構成」ページを使用してSAML発行者を定義する場合、SAMLログイン・モジュールで追加されたすべての発行者は無視されます。また、プラットフォーム・ポリシー構成を使用してSAML発行者が追加される場合、サーバーを再起動する必要はありません。詳細は、「署名証明書の信頼できる発行者および信頼できるDNリストの定義」を参照してください。
追加のORグループがwss11_saml_or_username_token_with_message_protection_service_policyに追加されました
oracle/wss11_saml_or_username_token_with_message_protection_service_policyポリシーには次の5つのアサーションが含まれます。
wss11_saml_token_with_message_protection
wss11_username_token_with_message_protection
wss_saml_token_bearer_over_ssl
wss_username_token_over_ssl
wss_http_token_over_ssl
詳細は、「ORグループを含むポリシーの構成」を参照してください。
11gリリース1(11.1.1.5)には、次の更新および拡張機能が含まれています。
非同期Webサービス・キュー注釈に、2つの新しい属性である@AsyncWebServiceQueueと@AsyncWebServiceResponseQueueが追加されました。次にリストする新しい属性を使用すると、メッセージドリブンBean(MDB)の最初のサイズと最大サイズをそれぞれ構成できます。
messageProcessorInitialPoolSize
messageProcessorMaxPoolSize
詳細は、Oracle Infrastructure Webサービス開発者ガイドの注釈リファレンスに関する項にある次のトピックを参照してください。
@AsyncWebServiceQueue注釈
@AsyncWebServiceResponseQueue注釈
WLSTを使用したOracle WSMおよびポリシー添付問題に関する一般的な問題の診断に関する追加情報を含めるための強化された診断およびトラブルシューティングのドキュメント。詳細は、「問題の診断」を参照してください。
強化されたメッセージ保護キーストア構成ドキュメント。詳細は、次の各項を参照してください。
構成オーバーライドを説明する再編成されたドキュメント。詳細は、次の各項を参照してください。
Policy Managerにアクセスするための適切な権限があることを確認するために、デフォルトユーザー・グループまたはロールを変更する方法を説明する追加のドキュメント。詳細は、「ユーザーのグループまたはロールの変更」を参照してください。
11gリリース1(11.1.1.4)の新機能は次のとおりです。
グローバル・ポリシー添付
Oracle Infrastructure Webサービスでは、ポリシー・セットを作成してグローバル・スコープのサブジェクトに添付する機能を提供します。
ポリシー・セットの詳細は、「ポリシー・セットを使用したポリシーのグローバルなアタッチ」を参照してください。
Oracle Enterprise Manager Fusion Middleware Controlを使用したポリシー・セットの構成と管理の詳細は、「ポリシー・セットの作成および管理」を参照してください。
WLSTを使用したポリシー・セットの構成と管理の詳細は、WebLogic Scripting Toolコマンド・リファレンスのWebサービスのカスタムWLSTコマンドに関する項を参照してください。
WLSTを使用したポリシー・セットのインポートとエクスポートの詳細は、「リポジトリへのドキュメントのインポートおよびエクスポート」を参照してください。
IBM WebSphereでサポートされているOracle Web Services ManagerとOracle Infrastructure Web Services
動作の違いや制限事項については、Oracle Fusion Middlewareサード・パーティ・アプリケーション・サーバー・ガイドのIBM WebSphere上でのWebサービスの管理に関する項を参照してください。
SAML 2.0のサポート
ポリシーの添付と新しい事前定義済SAML 2.0ポリシーをオーバーライドするための新しい構成コントロールがあります。
新しいSAML 2.0ログイン・モジュールが追加されました。「SAMLおよびKerberosログイン・モジュールの構成」を参照してください。
新しい事前定義済SAML 2.0ポリシーが追加されました。「事前定義済アサーション・テンプレート」を参照してください。
クライアント側のWS-Trustサポート
WS-Trust 1.3ポリシーのサポートが追加されました。WS-Trust拡張機能は、セキュリティ・トークンの発行、更新および検証を行う方法を提供しています。「WS-Trustポリシーと構成手順」を参照してください。
新しい自動ポリシー構成機能は、STS WSDLドキュメントを解析することで、STS構成ポリシーに関する情報を動的に生成します。「STSの自動ポリシー構成の設定」を参照してください。
新しい事前定義済WS-Trustアサーションが追加されました。「事前定義済アサーション・テンプレート」を参照してください。
ハードウェア・トークンのサポート
Oracle WSMは、鍵の格納にLunaSA Hardware Security Manager(HSM)を使用する機能を提供します。「Oracle WSMでのハードウェア・セキュリティ・モジュールの使用」を参照してください。
Oracle WebLogic Webサービス監視機能の強化
Oracle Enterprise Manager Fusion Middleware Controlの「Webサービス・エンドポイント」ページでは、WebLogic JAX-WS Webサービスのポリシー違反を監視するための機能を提供します。さらに、Oracle WSMポリシー情報を表示するタブは、「OWSMポリシー」に変更されました。WebLogic JAX-RPC Webサービスでは、エンドポイント・タブは「WebLogicポリシー違反」とラベル付けされています。
Webサービスの監視の詳細は、「Webサービスのパフォーマンスの監視」を参照してください。
使用状況分析の機能強化
Oracle Enterprise Manager Fusion Middleware Controlの「使用状況分析」ページには、次が提供されています。
サブジェクト・タイプ別にポリシー・サブジェクト・リストをフィルタリングするためのオプション。
エンタープライズ全体またはローカル・ドメイン/セル内でのみ、利用可能なポリシー・サブジェクトを表示するためのオプション。
「アタッチメント数」フィールドにポリシーが添付される、ポリシー・サブジェクトの合計数。
ポリシー使用状況分析の詳細は、「ポリシーの使用状況分析」を参照してください。
Webサービスのテストの拡張機能
Oracle Enterprise Manager Fusion Middleware Controlの「Webサービスのテスト」ページで「リクエスト」と「レスポンス」のタブには、次のようにユーザビリティが強化されています。
「リクエスト」タブのセクションは、デフォルトで折りたたんだ表示となりました。
「レスポンス」タブで、テストのステータスの結果が読みやすくなり、コンポジット・テストの結果が強調表示されるようになりました。
Webサービスのテストの詳細は、「Webサービスのテスト」を参照してください。
スタンドアロンWebLogic Server上でのOracle WSMのインストール
JAX-WS WebサービスとクライアントがデプロイされているスタンドアロンのWebLogic Server環境がある場合、Oracle WSMをインストールしてWebサービスとクライアントを保護するために使用できます。詳細は、「WebLogic Server上でのOracle WSMのインストール」を参照してください。
強化されたWS-Policy 1.5およびWS-SecurityPolicy 1.2/1.3でサポートされる仕様
サポートされているバージョンは、仕様へのリンクとともに、Oracle Infrastructure Webサービス開発者ガイドのサポートされる標準に関する項に記載されています。
有効なバージョンの組合せの詳細は、「ポリシー通知」を参照してください。
カスタム・アサーションを作成するための新しい拡張性ガイド
カスタム・アサーションの開発に関連するすべての情報は、このガイドから新しいOracle Web Services Manager拡張性ガイドへと移行されました。
11gリリース1(11.1.1.3)の新機能は次のとおりです。
Oracle Enterprise Manager Fusion Middleware Controlを使用したOracle WSMポリシーのWebLogic Java EEエンドポイントへの添付
WebLogic Scripting Tool(WLST)を使用したADF Business ConnectおよびWebCenterアプリケーションのデプロイメント・ディスクリプタの移行
Oracle WSMポリシーのクロスドメイン・ポリシー管理
Oracle WSMセキュリティ・ポリシーにより保護されているWebLogic JAX-WS Webサービスのポリシーを通知
SOA Webサービスと参照およびWebLogic JAX-WS WebサービスのWebサービス原子性トランザクション・サポート
JDeveloperで設計時にリモート・ポリシー・ストアを構成する機能。詳細は、JDeveloperのオンライン・ヘルプのWebサービスでの開発に関する項にある異なるOracle WSMポリシー・ストアの使用に関する項目を参照してください。
Oracle Infrastructure WebサービスおよびWebLogic Webサービスの共有ポリシー・ストア。共有ポリシー・ストアでのポリシー管理の詳細は、JDeveloperのオンライン・ヘルプのWebサービスでの開発に関する項にあるカスタムWebサービス・ポリシーの使用に関する項目を参照してください。
Webサービス・ソースの登録および登録済WebサービスのUDDIへのパブリッシュ機能
MDSリポジトリでのDB2データベースのサポート
Oracle Infrastructure Webサービス・プロバイダへのポリシーの添付機能
エンドポイントへの添付時のポリシーのアサーション詳細の表示機能
トランスポート・セキュリティ(SSL)を定義するアサーション・テンプレートのタイムスタンプ・プロパティを含める機能
Oracle Enterprise Manager Fusion Middleware ControlでのWebLogic Webサービス・リポジトリ取得プロパティの手動構成機能
11gリリース1(11.1.1.2)の新機能は次のとおりです。
非同期Webサービスの拡張管理とポリシー管理
ポリシー選択肢(ORグループ)の定義機能
サービス側のポリシー構成のオーバーライド
WebLogic Scripting Tool(WLST)を使用したOracle WSMポリシーの添付
WLSTコマンドを使用したOracle WSMリポジトリでのOracle WSMポリシーのアップグレード機能
メッセージ保護ポリシーを実装したWebサービスのサービス・アイデンティティ証明拡張Webサービスの公開証明書は、WSDLでパブリッシュされます。そのため、Webサービス・クライアントがWebサービスの公開証明書をそのドメイン・レベルのキーストアに格納する必要はなくなりました。
oracle.wsm.security.WSFunctionPermission権限チェック・クラスを使用した権限ベースの許可のサポート強化。このリリースでは、WSFunctionPermissionのリソース・ターゲットは、実際のWebサービス・オペレーションの名前を含めるように機能強化されました。
WSILドキュメントを参照して、Fusion Middleware Controlを使用してUDDI v3レジストリをインポートし、適宜サービスを登録する機能
WSI-Basic Security Profileとの互換性
Fusion Middleware Controlの「Webサービスのテスト」ページでのRESTful Webサービスのテストのサポート
MDSリポジトリでのMicrosoft SQL Serverのサポート
同じOracle WSMリポジトリを使用して複数のドメイン間でポリシーを管理する機能。前のリリースでは、リポジトリは単一ドメインでのみ使用できました。
新規ドキュメントOracle Fusion Middleware相互運用ガイド for Oracle Web Services Manager。これには、以前このマニュアルに記載されていた相互運用性の内容が含まれます。
相互運用性はOracle Web Services ManagerとAxis 1.4およびWSS4J 1.58セキュリティ環境の間で保証されています。
11gリリース1 (11.1.1.9)の新機能は次のとおりです。
Oracle Fusion Middlewareフレームワークとの統合
Oracle Platform Security Servicesを使用したWebアプリケーションおよびWebサービスの共有認可および認証インフラストラクチャ
自動アイデンティティ伝播
統合構成、管理およびOracle Enterprise Manager Fusion Middleware Controlを使用したWebサービスの監視
Oracle Enterprise Manager Fusion Middleware ControlによるOracleメタデータ・リポジトリの使用
統合されたセキュリティ管理およびWebLogic Webサービスの監視
統合されたポリシー添付およびWebLogic Webサービスの監視サポート
Webサービス・セキュリティ標準の拡張サポート
標準(WS-Policy、WS-SecurityPolicyおよびWS-PolicyAttachment)が完全にサポートされたエンタープライズ・ポリシー・フレームワーク
再利用可能な実行時ポリシーおよびポリシーの一括添付を使用したサービス指向アーキテクチャ(SOA)の実行時管理のサポート
ポリシーの使用状況および影響分析
