この章の内容は次のとおりです。
権限
この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic ServerのAdmin
ロールが付与されている必要があります。Monitor
またはOperator
ロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。
「管理操作、ロールおよびツールの理解」も参照してください。
次の各項で、WebCenter PortalからJSR-168標準ベースのWSRPポートレットにセキュアにアクセスする方法を説明します。
WSRPプロデューサの保護の概要は、『Oracle JDeveloperによる、WebCenter Portalアセットおよびカスタム・コンポーネントの開発』のWS-Securityを使用したWSRPプロデューサを介するアイデンティティ伝播の保護に関する項を参照してください。
WS-Security用にプロデューサを構成する前に、「ポートレット・プロデューサ・アプリケーションのデプロイ」で説明されている手順を実行して、標準準拠のポートレット・プロデューサをOracle WebLogic管理対象サーバーにデプロイする必要があります。
この項では、セキュリティ・ポリシーをWSRPプロデューサ・エンドポイントに添付する方法について説明します。WSRPプロデューサでサポートされるポリシーは次のとおりです。
ユーザー名トークン(パスワードあり)
wss10_username_token_with_message_protection_service_policy
このポリシーは、メッセージ・レベルの保護(メッセージの整合性と機密保護)、およびWS-Security 1.0標準に従ったインバウンドSOAPリクエストの認証を行います。WS-SecurityのBasic 128スイートの非対称キー・テクノロジ、具体的には、メッセージの機密保護のためのRSA鍵メカニズム、メッセージの整合性のためのSHA-1ハッシュ・アルゴリズム、およびAES-128ビット暗号化が使用されます。キーストアはセキュリティ構成を通して構成されます。認証は、WS-Security UsernameToken SOAPヘッダーの資格証明を使用して行われます。ユーザーのサブジェクトは、現在構成されているアイデンティティ・ストアに対して確立されます。
ユーザー名トークン(パスワードなし)
wss10_username_id_propagation_with_msg_protection_service_policy
このポリシーでは、WS-Security 1.0標準で示されたメカニズムを使用して、メッセージレベルの保護(メッセージの整合性および機密保護)およびインバウンドSOAPリクエストのアイデンティティ伝搬を実施します。メッセージの保護は、非対称型キー・テクノロジであるWS-SecurityのBasic128スイート(具体的には、機密保護に使用するRSAキー・メカニズム、整合性に使用するSHA-1ハッシング・アルゴリズム、およびAES-128ビット暗号化)を使用して提供されます。アイデンティティは、UsernameToken WS-Security SOAPヘッダーに指定されたユーザー名を使用して設定されます。サブジェクトは、現在構成されているアイデンティティ・ストアに対して確立されます。
SAMLトークン
次の4つの「SAMLトークン」ポリシーがあります。
WSS 1.0 SAMLトークン・ポリシー:
wss10_saml_token_service_policy
このポリシーは、WS-Security SOAPヘッダーのSAMLトークンで提供される資格証明を使用してユーザーを認証します。SAMLトークンに含まれる資格証明は、SAMLログイン・モジュールに対して認証されます。このポリシーは、どのようなSOAPベースのエンドポイントにも適用できます。
メッセージ整合性付きWSS 1.0 SAMLトークン
wss10_saml_token_with_message_integrity_service_policy
このポリシーは、メッセージ・レベルの整合性保護と、WS-Security 1.0標準に従ったインバウンドSOAPリクエストのSAMLベースの認証を行います。また、このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイート、具体的には、メッセージ整合性のためのSHA-1ハッシュ・アルゴリズムが使用されます。
メッセージ保護付きWSS 1.0 SAMLトークン
wss10_saml_token_with_message_protection_service_policy
このポリシーはWS-Security 1.0標準に従って、着信SOAPリクエストに対するメッセージ・レベルの保護とSAMLベースの認証を行います。WS-Securityの非対称鍵テクノロジのBasic 128スイートを使用します。具体的には、RSA鍵メカニズム(メッセージの機密性)、SHA-1ハッシュ・アルゴリズム(メッセージの整合性)、およびAES-128ビットの暗号化を使用します。
メッセージ保護付きWSS 1.1 SAMLトークン
wss11_saml_token_with_message_protection_service_policy
このポリシーはWS-Security 1.1標準に従って、着信SOAPリクエストに対するメッセージ・レベルの保護(メッセージの整合性とメッセージの機密性)とSAMLベースの認証を行います。メッセージは、WS-Securityの対称鍵テクノロジのBasic 128スイートを使用して保護されます。具体的には、RSA鍵メカニズム(メッセージの機密性)、SHA-1ハッシュ・アルゴリズム(メッセージの整合性)、およびAES-128ビットの暗号化が使用されます。キーストアはセキュリティ構成を通して構成されます。WS-Securityのバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、それらの資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーが検証されます。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
キーストアはセキュリティ構成を通して構成されます。WS-Securityのバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、それらの資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーが検証されます。
ポリシーをプロデューサ・エンドポイントに添付する手順は次のとおりです。
共有鍵をメッセージの整合性保護のために定義できますが、これはSSLとともに使用する必要があります。共有鍵をパスワード資格証明として格納する手順は次のとおりです。
管理サーバー・インスタンスの資格証明ストアに、パスワード資格証明として共有鍵を定義します。これは、Fusion Middleware ControlまたはWLSTを使用して実行できます。
Webプロデューサを再起動して、テスト・ページにアクセスします。アプリケーション・ログをチェックして、共有鍵が適切に適用されていることを確認します。
注意:
共有鍵の使用では、メッセージの整合性保護のみを実施できます。完全なメッセージ保護には、SSLが必要です。SSLを使用したPDK-Javaポートレット保護の詳細は、「SSLを使用したWebCenter Portalからポートレット・プロデューサへの接続の保護」を参照してください。
管理サーバー・インスタンスの資格証明ストアに、Fusion Middleware ControlコマンドまたはWLSTコマンドを使用して、パスワード資格証明として共有鍵を定義でき、これらについて次の各項で説明します。
PDK-Javaプロデューサの登録については、「Oracle PDK-Javaポートレット・プロデューサの登録」を参照してください。共有鍵にOracle PDK-Javaプロデューサを登録する場合は、次のことも実行する必要があります。
プロデューサの登録時に、「プロデューサ・セッションの有効化」オプションを選択します。
「ポートレット・プロデューサ接続の追加」セクションで、資格証明マップの作成時に使用するパスワードを共有鍵として入力します。