Oracle® Fusion Middleware Oracle Web Services Manager相互運用性ソリューション・ガイド 12c (12.2.1.1) E79357-01 |
|
![]() 前 |
![]() 次 |
この章の内容は次のとおりです。
Oracle WebLogic Server向けのメッセージ保護付きユーザー名トークン(WS-Security 1.1)
Oracle WebLogic Server向けのメッセージ保護付きユーザー名トークン(WS-Security 1.1)およびMTOM
Oracle WebLogic Server向けのメッセージ保護付きユーザー名トークン(WS-Security 1.0)
Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン2.0(送信者保証)(WS-Security 1.1)
Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.1)
Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.1)およびMTOM
Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.0)
Oracle Fusion Middleware 12cでは、OWSMおよびOracle WebLogic Server 12c Webサービスの両方のポリシーをWebLogic Java EE Webサービスにアタッチできます。
次の各項では、OWSMの事前定義済のポリシーおよびOWSM 12cポリシーの構成およびアタッチについて説明します。
OWSM事前定義済ポリシーについては、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の事前定義済ポリシーに関する説明を参照してください。
OWSM 12cポリシーの構成およびアタッチについては、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービスの保護に関する説明およびポリシーのアタッチに関する説明を参照してください。
Oracle WebLogic Server 12c Webサービスの事前定義済ポリシーの詳細は、次の資料を参照してください。
『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明
Oracle WebLogic ServerのWebLogic Webサービスの保護
この項の各表に、WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーとの間、およびWebLogicクライアント・ポリシーとOWSM Webサービス・ポリシーとの間の相互運用性を示します。
表4-1および表4-2は、セキュリティ要件(認証、メッセージ保護およびトランスポート)に基づいたOracle WebLogic Server 12c Webサービス・ポリシーの最も一般的な相互運用性シナリオをまとめたものです。表は次のように構成されています。
表4-1 WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーの相互運用性
アイデンティティ・トークン | WS-Securityバージョン | メッセージ保護 | トランスポート・セキュリティ | サービス・ポリシー | クライアント・ポリシー |
---|---|---|---|---|---|
ユーザー名 |
1.1 |
はい |
いいえ |
|
|
ユーザー名とMTOM |
1.1 |
はい |
いいえ |
|
|
ユーザー名 |
1.0 |
はい |
いいえ |
|
|
SAML 2.0 |
1.1 |
はい |
いいえ |
|
|
SAML |
1.1 |
はい |
いいえ |
|
|
SAMLとMTOM |
1.1 |
はい |
いいえ |
|
|
SAML |
1.0 |
はい |
いいえ |
|
|
相互認証 |
1.1 |
はい |
いいえ |
|
|
相互認証 |
1.0 |
はい |
いいえ |
|
|
表4-2 OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーの相互運用性
アイデンティティ・トークン | WS-Securityバージョン | メッセージ保護 | トランスポート・セキュリティ | サービス・ポリシー | クライアント・ポリシー |
---|---|---|---|---|---|
ユーザー名 |
1.1 |
はい |
いいえ |
|
|
ユーザー名とMTOM |
1.1 |
はい |
いいえ |
|
|
ユーザー名 |
1.0 |
はい |
いいえ |
|
|
SSL経由のユーザー名 |
1.0および1.1 |
いいえ |
はい |
|
|
MTOMを使用するSSL経由のユーザー名 |
1.0および1.1 |
いいえ |
はい |
|
|
SSL経由のSAML |
1.0および1.1 |
いいえ |
はい |
|
|
MTOMを使用するSSL経由のSAML |
1.0および1.1 |
いいえ |
はい |
|
|
SAML 2.0 |
1.1 |
はい |
いいえ |
|
|
SAML |
1.1 |
はい |
いいえ |
|
|
MTOMを使用するSAML |
1.1 |
はい |
いいえ |
|
|
SAML |
1.0 |
はい |
いいえ |
|
|
相互認証 |
1.1 |
はい |
いいえ |
|
|
相互認証 |
1.0 |
はい |
いいえ |
|
|
表4-3 Oracle WebLogic Server 12c Webサービスのセキュリティ環境との相互運用性
相互運用性シナリオ | クライアント—>Webサービス | OWSM 12cポリシー | Oracle WebLogic Server 12cポリシー |
---|---|---|---|
Oracle WebLogic Server向けのメッセージ保護付きユーザー名トークン(WS-Security 1.1) |
Oracle WebLogicサーバー ——> OWSM |
|
|
(続き) |
OWSM ——> Oracle WebLogic Server |
|
|
Oracle WebLogic Server向けのメッセージ保護付きユーザー名トークン(WS-Security 1.1)およびMTOM |
Oracle WebLogicサーバー ——> OWSM |
|
|
(続き) |
OWSM ——> Oracle WebLogic Server |
|
|
Oracle WebLogic Server向けのメッセージ保護付きユーザー名トークン(WS-Security 1.0) |
Oracle WebLogicサーバー ——> OWSM |
|
|
(続き) |
OWSM ——> Oracle WebLogic Server |
|
|
Oracle WebLogicサーバー ——> OWSM |
|
|
|
Oracle WebLogicサーバー ——> OWSM |
|
|
|
Oracle WebLogicサーバー ——> OWSM |
|
|
|
Oracle WebLogicサーバー ——> OWSM |
|
|
|
Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン2.0(送信者保証)(WS-Security 1.1) |
Oracle WebLogicサーバー ——> OWSM |
oracle/wss11_saml_token_with_message_protection_service_policy |
|
(続き) |
OWSM ——> Oracle WebLogic Server |
|
|
Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.1) |
Oracle WebLogicサーバー ——> OWSM |
|
|
(続き) |
OWSM ——> Oracle WebLogic Server |
|
|
Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.1)およびMTOM |
Oracle WebLogicサーバー ——> OWSM |
|
|
(続き) |
OWSM ——> Oracle WebLogic Server |
|
|
Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.0) |
Oracle WebLogicサーバー ——> OWSM |
|
|
(続き) |
OWSM ——> Oracle WebLogic Server |
|
|
Oracle WebLogicサーバー ——> OWSM |
|
|
|
(続き) |
OWSM ——> Oracle WebLogic Server |
|
|
Oracle WebLogicサーバー ——> OWSM |
|
|
|
(続き) |
OWSM ——> Oracle WebLogic Server |
|
|
次の各項に従うと、WS-Security 1.1標準に準拠するメッセージ保護付きユーザー名トークンを実装できます。
次の各項に従うと、WS-Security 1.1標準に準拠するメッセージ保護付きユーザー名トークンを実装し、WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーとの間の相互運用性を確保できます。
次の手順に従って、WebLogic Webサービス・ポリシーをアタッチおよび構成します。
WebLogic Webサービスを作成します。
詳細は、『Webサービスの理解』のWebLogic (Java EE) Webサービスを実装するためのロードマップに関する説明を参照してください
次のポリシーをアタッチします。
Wssp1.2-2007-Wss1.1-UsernameToken-Plain-EncryptedKey-Basic128.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
IDストアおよび信頼ストアを構成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのIDおよび信頼の構成に関する項を参照してください
メッセージレベルのセキュリティを構成します。
注意:
WS-Security 1.1ポリシーに指定する必要があるのは、機密保護キーのみです。
詳細は、次を参照してください。
『Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージレベルのセキュリティの構成に関する説明
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのセキュリティ構成の作成に関する説明
Webサービスをデプロイします。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのインストールに関する説明を参照してください
次の手順に従って、OWSMクライアント・ポリシーをアタッチおよび構成します。
clientgen
または他のメカニズムを使用して、前に作成したWebサービスのクライアント・プロキシを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
oracle/wss11_username_token_with_message_protection_client_policy
ポリシーをWebサービス・クライアントにアタッチします。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
ポリシーを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss11_username_token_with_message_protection_client_policyに関する説明を参照してください
クライアント構成内にkeystore.recipient.alias
を指定します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss11_username_token_with_message_protection_client_policyに関する説明を参照してください
クライアントに指定するkeystore.recipient.alias
キーが、Webサービスに対して構成されている信頼ストア内に信頼できる証明書エントリとして存在していることを確認してください。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss11_username_token_with_message_protection_client_policyに関する説明を参照してください
有効なユーザー名およびパスワードを構成の一部として指定します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss11_username_token_with_message_protection_client_policyに関する説明を参照してください
クライアントからWebサービス・メソッドを起動します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次の各項に従うと、WS-Security 1.1標準に準拠するメッセージ保護付きユーザー名トークンを実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保できます。
次の手順に従って、OWSMポリシーをアタッチおよび構成します。
Webサービスを作成してデプロイします。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次のポリシーをWebサービスにアタッチします。
oracle/wss11_username_token_with_message_protection_service_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
次の手順に従って、WebLogic Webサービス・クライアント・ポリシーをアタッチおよび構成します。
clientgen
を使用して作成されたWebサービスのクライアント・プロキシを作成します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する説明を参照してください
次のポリシーをアタッチします。
Wssp1.2-2007-Wss1.1-UsernameToken-Plain-EncryptedKey-Basic128.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
クライアントでサーバー(暗号化キー)を構成します。
注意:
指定する暗号化キーが、Webサービスに対して構成されている暗号化キーと一致していることを確認してください。
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のクライアント・アプリケーションの更新によるメッセージ保護されたWebサービスの呼出しに関する項を参照してください
クライアントからWebサービス・メソッドを起動します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のWebサービスを起動するためのJavaクライアント・アプリケーション・コードの記述に関する説明を参照してください
この項に従うと、次の相互運用性シナリオにおいて、WS-Security 1.1標準に準拠し、メッセージ送信最適化メカニズム(MTOM)を使用するメッセージ保護付きユーザー名トークンを実装できます。
次の各項に従うと、WS-Security 1.1標準に準拠し、メッセージ送信最適化メカニズム(MTOM)を使用するメッセージ保護付きユーザー名トークンを実装でき、WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーの相互運用性を確保できます。
次の手順に従って、WebLogic Webサービス・ポリシーをアタッチおよび構成します。
WebLogic Webサービスを作成します。
詳細は、『Webサービスの理解』のWebLogic (Java EE) Webサービスを実装するためのロードマップに関する説明を参照してください。
Webサービスで@MTOM
注釈を使用します。
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
次の各項に従うと、WS-Security 1.1標準に準拠し、メッセージ送信最適化メカニズム(MTOM)を使用するメッセージ保護付きユーザー名トークンを実装でき、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーの相互運用性を確保できます。
次の項に従うと、WS-Security 1.0標準に準拠するメッセージ保護付きユーザー名トークンを実装できます。
注意:
WS-Security 1.0ポリシーは、レガシー・アプリケーションに対してのみサポートされています。最大のパフォーマンスを実現するためには、WS-Security 1.1ポリシーを使用してください。詳細は、Oracle WebLogic Server向けのメッセージ保護付きユーザー名トークン(WS-Security 1.1)を参照してください。
次の各項に従うと、WS-Security 1.0標準に準拠するメッセージ保護付きユーザー名トークンを実装し、WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーとの間の相互運用性を確保できます。
次の手順に従って、WebLogic Webサービス・ポリシーをアタッチおよび構成します。
WebLogic Webサービスを作成します。
詳細は、『Webサービスの理解』のWebLogic (Java EE) Webサービスを実装するためのロードマップに関する説明を参照してください
次のポリシーをアタッチします。
Wssp1.2-2007-SignBody.xml
Wssp1.2-wss10_username_token_with_message_protection_owsm_policy.xm
l
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
IDストアおよび信頼ストアを構成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのIDおよび信頼の構成に関する項を参照してください。
メッセージレベルのセキュリティを構成します。
詳細は、次を参照してください。
『Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージレベルのセキュリティの構成に関する説明
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのセキュリティ構成の作成に関する説明
Webサービスをデプロイします。
詳細は、『Oracle WebLogic Serverへのアプリケーションのデプロイ』を参照してください。
次の手順に従って、OWSMクライアント・ポリシーをアタッチおよび構成します。
clientgen
または他のメカニズムを使用して、作成したWebサービスへのクライアント・プロキシを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次のポリシーをWebサービス・クライアントにアタッチします。
oracle/wss10_username_token_with_message_protection_client_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
ポリシーを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_username_token_with_message_protection_client_policyに関する説明を参照してください
注意:
クライアント(署名および復号化キー)とキーストア受信者別名(暗号化に使用されるサーバー公開鍵)には、必ず別々のキーを使用してください。受信者別名が、Webサービス・ポリシーのセキュリティ構成内に定義されているキーと一致していることを確認してください。
クライアントに指定する署名および暗号化キーが、Webサービスに対して構成されている信頼ストア内に信頼できる証明書エントリとして存在していることを確認してください。
有効なユーザー名およびパスワードを構成の一部として指定します。
クライアントからWebサービス・メソッドを起動します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次の各項に従うと、WS-Security 1.0標準に準拠するメッセージ保護付きユーザー名トークンを実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保できます。
OWSMポリシーをアタッチおよび構成するには、次の手順を実行します。
Webサービスを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次のポリシーをWebサービスにアタッチします。
oracle/wss10_username_token_with_message_protection_service_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。
次の手順に従って、WebLogic Webサービス・クライアント・ポリシーをアタッチおよび構成します。
clientgen
を使用して作成されたWebサービスのクライアント・プロキシを作成します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する説明を参照してください
次のポリシーをアタッチします。
Wssp1.2-wss10_username_token_with_message_protection_owsm_policy.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
クライアント・サーバー(暗号化キー)およびクライアント証明書を構成します。
注意:
指定する暗号化キーが、Webサービスに対して構成されている暗号化キーと一致していることを確認してください。
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のクライアント・アプリケーションの更新によるメッセージ保護されたWebサービスの呼出しに関する項を参照してください
クライアントからWebサービス・メソッドを起動します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のWebサービスを起動するためのJavaクライアント・アプリケーション・コードの記述に関する説明を参照してください
次の各項に従うと、SSL経由のユーザー名トークンを実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保できます。
SSL経由でユーザー名トークンを実装できます。SSL経由のユーザー名トークンを実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保するには、次の手順を実行します。
次の手順に従って、OWSMポリシーをアタッチおよび構成します。
サーバーを一方向SSL用に構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebLogic ServerへのSSLの構成(一方向)に関する説明を参照してください
Webサービスを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次のポリシーをアタッチします。
oracle/wss_username_token_over_ssl_service_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
次の手順に従って、WebLogic Webサービス・クライアント・ポリシーをアタッチおよび構成します。
clientgen
を使用して作成されたWebサービスのクライアント・プロキシを作成します。クライアント・プロキシ内に、このポリシーの構成の一部として有効なユーザー名およびパスワードを指定します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する説明を参照してください
SSL向けにWebLogic Serverを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebLogic ServerへのSSLの構成(一方向)に関する説明を参照してください
IDストアおよび信頼ストアを構成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのIDおよび信頼の構成に関する項を参照してください
Wssp1.2-2007-Https-UsernameToken-Plain.xml
をWebサービス・クライアントにアタッチします。
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
SSLクライアントで信頼ストアおよび他の必要なシステム・プロパティを指定します。
詳細は、『WebLogicセキュリティ・サービスによるアプリケーションの開発』のJavaクライアントでのSSL認証の使用に関する説明を参照してください
Webサービスを起動します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のWebサービスを起動するためのJavaクライアント・アプリケーション・コードの記述に関する説明を参照してください
メッセージ送信最適化メカニズム(MTOM)を使用するSSL経由のユーザー名トークンを実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保するには、次の手順に従います。
メッセージ送信最適化メカニズム(MTOM)を使用するSSL経由のユーザー名トークンを実装できます。MTOMを使用するSSL経由のユーザー名トークンを実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保するには、次のようにします。
次の各項に従うと、SSL経由のSAMLトークン送信者保証を実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保できます。
次の手順に従って、OWSMポリシーをアタッチおよび構成します。
双方向SSLのoracle/wss_saml_token_over_ssl_service_policy
ポリシーを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss_saml_token_over_ssl_service_policyに関する説明を参照してください
Webサービスを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
oracle/wss_saml_token_over_ssl_service_policy
ポリシーをWebサービスにアタッチします。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。
次の手順に従って、WebLogic Webサービス・クライアント・ポリシーをアタッチおよび構成します。
双方向SSLのoracle/wss_saml_token_over_ssl_service_policy
ポリシーを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss_saml_token_over_ssl_service_policyに関する説明を参照してください
Webサービスを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
oracle/wss_saml_token_over_ssl_service_policy
ポリシーをWebサービスにアタッチします。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。
WebLogic Webサービス・クライアント・ポリシーをアタッチおよび構成するには、次の手順を実行します。
clientgen
を使用して前に作成されたWebサービスのクライアント・プロキシを作成します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する説明を参照してください
Oracle WebLogic Serverを双方向SSL用に構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebLogic ServerへのSSLの構成(双方向)に関する説明を参照してください
IDストアおよび信頼ストアを構成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのIDおよび信頼の構成に関する項を参照してください
Wssp1.2-2007-Saml1.1-SenderVouches-Https.xml
をWebサービス・クライアントにアタッチします。
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
SAML資格証明マッピング・プロバイダを構成します。
WebLogic Server管理コンソールで、「セキュリティ・レルム」→「レルム名」→「プロバイダ」→「資格証明マッピング」ページにナビゲートし、「SAMLCredentialMapperV2」タイプの新しい資格証明マッピング・プロバイダを作成します。
新規のプロバイダを選択して「プロバイダ固有」をクリックし、プロバイダを次のように構成します。
「発行者URI」をwww.oracle.com
に設定します。
「名前修飾子」をwww.oracle.com
に設定します。
Oracle WebLogic Serverを再起動します。
詳細は、『Webサービスの管理』のOracle WebLogic管理コンソールへのアクセスに関する説明を参照してください
「プロファイル」をWSS/Sender-Vouchesに設定して、SAMLリライイング・パーティを作成します。
次のようにSAMLリライイング・パーティを構成します(その他の値はデフォルトの設定のままにしておきます)。
ターゲットURL: <url_used_to_access_Web_service>
説明: <your_description>
「有効」チェック・ボックスを選択し、「保存」をクリックします。
「ターゲットURL」は必ず、クライアントWebサービスに使用されているURLに設定してください。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 1.1リライング・パーティの作成に関する項を参照してください
サーブレットを作成し、そのサーブレットからプロキシ・コードをコールします。
認証済サブジェクトを作成できるように、基本認証を使用します。
SSLクライアントで信頼ストアおよび他の必要なシステム・プロパティを指定します。
詳細は、『WebLogicセキュリティ・サービスによるアプリケーションの開発』のJavaクライアントでのSSL認証の使用に関する説明を参照してください
Webアプリケーション・クライアントを起動します。
SAMLトークンを使用してアイデンティティを伝播するユーザーの資格証明を入力します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のWebサービスを起動するためのJavaクライアント・アプリケーション・コードの記述に関する説明を参照してください
次の手順に従って、MTOMを使用するSSL経由のSAMLトークン保証を実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保します。
次の各項に従うと、WS-Security 1.1標準に準拠するメッセージ保護付きSAML 2.0トークン送信者保証を実装できます。
次の各項に従うと、WS-Security 1.1標準に準拠するメッセージ保護付きSAML 2.0トークン送信者保証を実装し、WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーとの間の相互運用性を確保できます。
次の手順に従って、WebLogic Webサービス・ポリシーをアタッチおよび構成します。
WebLogic Webサービスを作成します。
詳細は、『Webサービスの理解』のWebLogic (Java EE) Webサービスを実装するためのロードマップに関する説明を参照してください
次のポリシーをアタッチします。
Wssp1.2-2007-Saml2.0-SenderVouches-Wss1.1.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。キーストアから2つのキーをエクスポートし、その両方を信頼して信頼ストアにインポートし、信頼ストアを作成します。IDストアおよび信頼ストアを構成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのIDおよび信頼の構成に関する項を参照してください。
メッセージレベルのセキュリティを構成します。
詳細は、次の章を参照してください。
『Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージレベルのセキュリティの構成に関する説明
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのセキュリティ構成の作成に関する説明
次のアノテーションを使用して、新規の構成をアタッチします。
@WssConfiguration(value="<my_security_configuration>")
where <my_security_configuration> is the name of the Web Security Configuration created in previous step.
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージ・レベルのセキュリティの構成に関する項を参照してください
Webサービスをデプロイします。
詳細は、『Oracle WebLogic Serverへのアプリケーションのデプロイ』を参照してください。
SAML IDアサータを作成します。
In the WebLogic Server Administration Console, navigate to Security Realms > RealmName > Providers > Credential Mapping page and create a New Credential Mapping Provider of type SAML2IdentityAsserter.
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証およびIDアサーション・プロバイダの構成に関する項を参照してください
WebLogic Serverを再起動します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのサーバーの起動と停止に関する項 を参照してください。
ステップ7で作成したIDアサータにIDプロバイダを追加するには、次の手順を実行します。
WebLogic管理コンソールで、ステップ7で作成したIDアサータを選択します。
新規のアイデンティティ・プロバイダ・パートナを作成し、「新規」を選択し、新規Webサービスのアイデンティティ・プロバイダ・パートナを選択します。
名前を入力して、「終了」を選択します。
次のように、アイデンティティ・プロバイダを構成します。
ステップ9で作成したアイデンティティ・プロバイダを選択します。
「有効」チェック・ボックスを選択します。
オーディエンスのURIを入力します。例:
target:*:/saml20WLSWS-Project1-context-root/Class1Port
「発行者URI」をwww.oracle.com
に設定します。
「ターゲットURL」を<url_used_to_access_Web_service>に設定します。
「プロファイル」をWSS/Sender-Vouches
に設定します。
次の手順に従って、OWSMクライアント・ポリシーをアタッチおよび構成します。
JDeveloperを使用して、前に作成したWebサービスのクライアントを生成します。Webプロジェクトを作成し、「新規」を選択し、WSDLを使用してクライアント・プロキシを作成します。
詳細は、次の章を参照してください。
『Webサービスの理解』のOracle Fusion Middleware Webサービスを実装するためのロードマップに関する説明
Oracle JDeveloperによるアプリケーションの開発のWebサービスの開発と保護に関する項。
前述のプロジェクトにサーブレットを追加します。
oracle/wss11_saml20_token_with_message_protection_client_policy
ポリシーをWebサービス・クライアントにアタッチします。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
クライアント構成内にkeystore.recipient.alias
を指定します。
注意:
keystore.recipient.alias
が、Webサービスに対して指定されている復号化キーと同じであることを確認してください。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss11_saml20_token_with_message_protection_cient_policyに関する説明を参照してください
クライアントに指定するkeystore.recipient.alias
キーが、Webサービスに対して構成されている信頼ストア内に信頼できる証明書エントリとして存在していることを確認してください。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss11_saml20_token_with_message_protection_cient_policyに関する説明を参照してください
JDeveloperで、「ADFセキュリティの構成」ウィザードを使用して、フォーム・ベースの認証を備えたセキュアなWebプロジェクトにします。
詳細は、『Oracle JDeveloperによるアプリケーションの開発』を参照してください
Webアプリケーション・クライアントを起動します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次の各項に従うと、WS-Security 1.1標準に準拠するメッセージ保護付きSAML 2.0トークン送信者保証を実装し、WebLogic Webサービス・クライアント・ポリシーとOWSMポリシーとの間の相互運用性を確保できます。
次の手順に従って、OWSMポリシーをアタッチおよび構成します。
Webサービスを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次のポリシーをWebサービスにアタッチします。
oracle/wss11_saml20_token_with_message_protection_service_policy
.
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
次の手順に従って、WebLogic Webサービス・クライアントをアタッチおよび構成します。
JDeveloperを使用して、デプロイ済WebサービスのJava EEクライアントを作成します。Webプロジェクトを作成し、WSDLプロキシを使用してプロキシを作成します。
詳細は、『Oracle JDeveloperによるアプリケーションの開発』のJAX-WS Webサービスとクライアントの作成に関する項を参照してください
次のポリシーをアタッチします。
Wssp1.2-2007-Saml2.0-SenderVouches-Wss1.1.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
注意:
weblogic.jar
をフォルダに抽出して、前述のポリシー・ファイルの絶対パスを指定します。
詳細は、『Oracle JDeveloperによるアプリケーションの開発』のポリシーのアタッチに関する項を参照してください
前述のWebプロジェクトにサーブレットを追加します。
クライアント・サーバー(暗号化キー)およびクライアント証明書を構成します。
注意:
指定する暗号化キーが、Webサービスに対して構成されている復号化キーと一致していることを確認してください。
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のクライアント・アプリケーションの更新によるメッセージ保護されたWebサービスの呼出しに関する項を参照してください
基本認証を使用してWebアプリケーション・クライアントを保護します。
詳細は、『WebLogicセキュリティ・サービスによるアプリケーションの開発』のBASIC認証Webアプリケーションの開発に関する項を参照してください
Java EE Webアプリケーション・クライアントをデプロイします。
詳細は、『Webサービスの管理』のWebサービス・アプリケーションのデプロイに関する説明を参照してください
SAML資格証明マッピング・プロバイダを構成します。
Oracle WebLogic Server管理コンソールで、「セキュリティ・レルム」→「レルム名」→「プロバイダ」→「資格証明マッピング」ページに移動し、「SAML2CredentialMapper」タイプの新しい資格証明マッピング・プロバイダを作成します。
新規のプロバイダを選択して「プロバイダ固有」をクリックし、プロバイダを次のように構成します。
「発行者URI」をwww.oracle.com
に設定します。
「名前修飾子」をwww.oracle.com
に設定します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの資格証明マッピング・プロバイダの構成に関する項を参照してください
WebLogic Serverを再起動します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのサーバーの起動と停止に関する項 を参照してください。
新規のサービス・プロバイダ・パートナを作成するには、次の手順を実行します。
WebLogic管理コンソールで、ステップ7で作成した資格証明マッパーを選択し、「管理」タブを選択します。
「新規」を選択し、新規Webサービスのサービス・プロバイダ・パートナを選択します。
名前を入力して、「終了」を選択します。
次のように、サービス・プロバイダ・パートナを構成します。
ステップ10で作成したサービス・プロバイダ・パートナを選択します。
「有効」チェック・ボックスを選択します。
オーディエンスのURIを入力します。
「発行者URI」をwww.oracle.com
に設定します。
「ターゲットURL」を<url_used_to_access_Web_service>に設定します。
「プロファイル」をWSS/Sender-Vouches
に設定します。
Webアプリケーション・クライアントを起動します。
SAMLトークンを使用してアイデンティティを伝播するユーザーの資格証明を入力します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のWebサービスを起動するためのJavaクライアント・アプリケーション・コードの記述に関する説明を参照してください
次の各項に従うと、WS-Security 1.1標準に準拠するメッセージ保護付きSAMLトークン送信者保証を実装できます。
次の各項に従うと、WS-Security 1.1標準に準拠するメッセージ保護付きSAMLトークン送信者保証を実装し、WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーとの間の相互運用性を確保できます。
次の手順に従って、WebLogic Webサービス・ポリシーをアタッチおよび構成します。
WebLogic Webサービスを作成します。
詳細は、『Webサービスの理解』のWebLogic (Java EE) Webサービスを実装するためのロードマップに関する説明を参照してください
次のポリシーをアタッチします。
Wssp1.2-wss11_saml_token_with_message_protection_owsm_policy.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください。
IDストアおよび信頼ストアを構成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのIDおよび信頼の構成に関する項を参照してください
メッセージレベルのセキュリティを構成します。
注意:
これはWS-Security 1.1ポリシーなので、指定する必要があるのは機密保護キーのみです。
詳細は、次の章を参照してください。
『Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージレベルのセキュリティの構成に関する説明
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのセキュリティ構成の作成に関する説明。
Webサービスをデプロイします。
詳細は、『Oracle WebLogic Serverへのアプリケーションのデプロイ』を参照してください。
SAMLIdentityAsserterV2認証プロバイダを作成します。
WebLogic Server管理コンソールで、「セキュリティ・レルム」→「レルム名」→「プロバイダ」→「資格証明マッピング」ページにナビゲートし、「SAMLCredentialMapperV2」タイプの新しい資格証明マッピング・プロバイダを作成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証およびIDアサーション・プロバイダの構成に関する項を参照してください
WebLogic Serverを再起動します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのサーバーの起動と停止に関する項 を参照してください。
ステップ5で作成した認証プロバイダを選択します。
SAMLアサーティング・パーティを作成します。
「プロファイル」をWSS/Sender-Vouches
に設定します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 1.1アサーティング・パーティの作成に関する項を参照してください
次のようにして、SAMLアサーティング・パーティを構成します。
「発行者URI」をwww.oracle.com
に設定します。
「ターゲットURL」を<url_used_to_access_Web_service>に設定します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 1.1アサーティング・パーティの作成に関する項を参照してください
次の手順に従って、OWSMクライアント・ポリシーをアタッチおよび構成します。
clientgenまたは他のメカニズムを使用して、前に作成したWebサービスへのクライアント・プロキシを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次のポリシーをWebサービス・クライアントにアタッチします。
oracle/wss11_saml_token_with_message_protection_client_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
oracle/wss11_saml_token_with_message_protection_client_policy
の説明に従って、このポリシーを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss11_saml_token_with_message_protection_client_policyに関する説明を参照してください
クライアント構成内にkeystore.recipient.alias
を指定します。
注意:
keystore.recipient.alias
が、Webサービスに対して指定されている復号化キーと同じであることを確認してください。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss11_saml_token_with_message_protection_client_policyに関する説明を参照してください
クライアントに指定するkeystore.recipient.alias
キーが、Webサービスに対して構成されている信頼ストア内に信頼できる証明書エントリとして存在していることを確認してください。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss11_saml_token_with_message_protection_client_policyに関する説明を参照してください
クライアント構成内に、SAMLトークンを使用してアイデンティティを伝播する必要のあるユーザーの有効なユーザー名を指定します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss11_saml_token_with_message_protection_client_policyに関する説明を参照してください
Webアプリケーション・クライアントを起動します。
SAMLトークンを使用してアイデンティティを伝播するユーザーの資格証明を入力します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次の各項に従うと、WS-Security 1.1標準に準拠するメッセージ保護付きSAML送信者保証を実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保できます。
次の手順に従って、OWSMポリシーをアタッチおよび構成します。
Webサービスを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次のポリシーをWebサービスにアタッチします。
oracle/wss11_saml_token_with_message_protection_service_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
次の手順に従って、WebLogic Webサービス・クライアント・ポリシーをアタッチおよび構成します。
clientgenを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する説明を参照してください
次のポリシーをアタッチします。
Wssp1.2-wss11_saml_token_with_message_protection_owsm_policy.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
クライアント・サーバー(暗号化キー)およびクライアント証明書を構成します。
注意:
指定する暗号化キーが、Webサービスに対して構成されている復号化キーと一致していることを確認してください。
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のクライアント・アプリケーションの更新によるメッセージ保護されたWebサービスの呼出しに関する項を参照してください
基本認証を使用してWebアプリケーション・クライアントを保護します。
詳細は、『WebLogicセキュリティ・サービスによるアプリケーションの開発』のBASIC認証Webアプリケーションの開発に関する項を参照してください。
Webサービス・クライアントをデプロイします。
詳細は、『Webサービスの管理』のWebサービス・アプリケーションのデプロイに関する説明を参照してください
SAML資格証明マッピング・プロバイダを構成します。
Oracle WebLogic Server管理コンソールで、「セキュリティ・レルム」→「レルム名」→「プロバイダ」→「資格証明マッピング」ページにナビゲートし、「SAMLCredentialMapperV2」タイプの新しい資格証明マッピング・プロバイダを作成します。
新規のプロバイダを選択して「プロバイダ固有」をクリックし、プロバイダを次のように構成します。
「発行者URI」をwww.oracle.com
に設定します。
「名前修飾子」をwww.oracle.com
に設定します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの資格証明マッピング・プロバイダの構成に関する項を参照してください
WebLogic Serverを再起動します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのサーバーの起動と停止に関する項 を参照してください。
SAMLリライイング・パーティを作成します。
「プロファイル」をWSS/Sender-Vouchesに設定します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 1.1リライイング・パーティの作成に関する項とSAML 1.1リライイング・パーティの構成に関する項を参照してください
SAMLリライイング・パーティを構成します。
「ターゲットURL」は必ず、クライアントWebサービスに使用されているURLに設定してください。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 1.1リライング・パーティの構成に関する項を参照してください
Webアプリケーション・クライアントを起動します。
SAMLトークンを使用してアイデンティティを伝播するユーザーの資格証明を入力します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のWebサービスを起動するためのJavaクライアント・アプリケーション・コードの記述に関する説明を参照してください
次の各項に従うと、WS-Security 1.1標準に準拠し、メッセージ送信最適化メカニズム(MTOM)を使用する送信者保証およびメッセージ保護付きSAMLトークンを実装できます。
次の各項に従うと、WS-Security 1.1標準に準拠するメッセージ保護およびMTOMを使用するSAMLトークン送信者保証を実装し、WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーとの間の相互運用性を確保できます。
次の手順に従って、WebLogic Webサービス・ポリシーをアタッチおよび構成します。
Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.1)の説明に従って、WebLogic Webサービスを作成します。
詳細は、『Webサービスの理解』のWebLogic (Java EE) Webサービスを実装するためのロードマップに関する説明を参照してください
「WebLogic Webサービス・ポリシーのアタッチと構成」のステップ2で、Webサービスに@MTOM注釈を使用します。
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
次の手順に従って、OWSMクライアント・ポリシーをアタッチおよび構成します。
Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.1)の説明に従って、前に作成したWebサービスへのクライアント・プロキシを作成します
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
「管理」タブからwsmtom_policy
をアタッチします。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
次の各項に従うと、WS-Security 1.1標準に準拠するメッセージ保護およびMTOMを使用するSAMLトークン送信者保証を実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保できます。
次の手順に従って、OWSMポリシーをアタッチおよび構成します。
Webサービスを作成してデプロイします。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次のポリシーをWebサービスにアタッチします。
oracle/wss11_username_token_with_message_protection_service_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
次の手順に従って、WebLogic Webサービス・クライアント・ポリシーをアタッチおよび構成します。
clientgenを使用して前に作成されたWebサービスのクライアント・プロキシを作成します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する説明を参照してください
次のポリシーをアタッチします。
Wssp1.2-2007-Wss1.1-UsernameToken-Plain-EncryptedKey-Basic128.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
クライアントでサーバー(暗号化キー)を構成します。
注意:
指定する暗号化キーが、Webサービスに対して構成されている暗号化キーと一致していることを確認してください。
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のクライアント・アプリケーションの更新によるメッセージ保護されたWebサービスの呼出しに関する項を参照してください
クライアントからWebサービス・メソッドを起動します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のWebサービスを起動するためのJavaクライアント・アプリケーション・コードの記述に関する説明を参照してください
次の各項に従うと、送信者保証およびWS-Security 1.0標準に準拠するメッセージ保護付きSAMLトークンを実装できます。
WebLogic Webサービス・ポリシーとの相互運用性-メッセージ保護付きSAMLトークン(WS-Security 1.0)
WebLogic Webサービス・クライアント・ポリシーとの相互運用性-メッセージ保護付きSAMLトークン(WS-Security 1.0)
注意:
WS-Security 1.0ポリシーは、レガシー・アプリケーションに対してのみサポートされています。最大のパフォーマンスを実現するためには、WS-Security 1.1ポリシーを使用してください。詳細は、Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.1)を参照してください。
次の各項に従うと、送信者保証およびWS-Security 1.0標準に準拠するメッセージ保護付きSAMLトークンを実装し、WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーとの間の相互運用性を確保できます。
次の手順に従って、WebLogic Webサービス・ポリシーをアタッチおよび構成します。
WebLogic Webサービスを作成します。
詳細は、『Webサービスの理解』のWebLogic (Java EE) Webサービスを実装するためのロードマップに関する説明を参照してください
次のポリシーをアタッチします。
Wssp1.2-wss10_saml_token_with_message_protection_owsm_policy.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
IDストアおよび信頼ストアを構成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのIDおよび信頼の構成に関する項を参照してください
メッセージレベルのセキュリティを構成します。
詳細は、次の章を参照してください。
『Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージレベルのセキュリティの構成に関する説明
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのセキュリティ構成の作成に関する説明
Webサービスをデプロイします。
詳細は、『Oracle WebLogic Serverへのアプリケーションのデプロイ』を参照してください。
SAMLIdentityAsserterV2認証プロバイダを作成します。
WebLogic Server管理コンソールで、「セキュリティ・レルム」→「レルム名」→「プロバイダ」→「資格証明マッピング」ページにナビゲートし、「SAMLCredentialMapperV2」タイプの新しい資格証明マッピング・プロバイダを作成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証およびIDアサーション・プロバイダの構成に関する項を参照してください
WebLogic Serverを再起動します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのサーバーの起動と停止に関する項 を参照してください。
ステップ5で作成した認証プロバイダを選択します。
SAMLアサーティング・パーティを作成します。
「プロファイル」をWSS/Sender-Vouchesに設定します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 1.1アサーティング・パーティの作成に関する項を参照してください
次のようにSAMLアサーティング・パーティを構成します(その他の値はデフォルトの設定のままにしておきます)。
「発行者URI」をwww.oracle.com
に設定します。
「ターゲットURL」を<url_used_by_client>に設定します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 1.1アサーティング・パーティの構成に関する項を参照してください
次の手順に従って、OWSMクライアント・ポリシーをアタッチおよび構成します。
clientgenまたは他のメカニズムを使用して、前に作成したWebサービスへのクライアント・プロキシを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次のポリシーをWebサービス・クライアントにアタッチします。
oracle/wss10_saml_token_with_message_protection_client_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
ポリシーを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_saml_token_with_message_protection_client_policyに関する説明を参照してください
クライアント(署名および復号化キー)とキーストア受信者別名(暗号化に使用されるサーバー公開鍵)には、必ず別々のキーを使用してください。受信者別名が、Webサービス・ポリシーのセキュリティ構成内に定義されているキーと一致していることを確認してください。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_saml_token_with_message_protection_client_policyに関する説明を参照してください
クライアントに指定する署名および暗号化キーが、Webサービスに対して構成されている信頼ストア内に信頼できる証明書エントリとして存在していることを確認してください。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_saml_token_with_message_protection_client_policyに関する説明を参照してください
クライアント構成内に、SAMLトークンを使用してアイデンティティを伝播する必要のあるユーザーの有効なユーザー名を指定します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_saml_token_with_message_protection_client_policyに関する説明を参照してください
Webサービス・メソッドを起動します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次の各項に従うと、WS-Security 1.0標準に準拠するメッセージ保護付きSAMLトークンを実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保できます。
次の手順に従って、OWSMポリシーをアタッチおよび構成します。
Webサービスを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次のポリシーをWebサービスにアタッチします。
oracle/wss10_saml_token_with_message_protection_service_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
次の手順に従って、WebLogic Webサービス・クライアント・ポリシーをアタッチおよび構成します。
clientgenを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する説明を参照してください
次のポリシーをアタッチします。
Wssp1.2-wss10_saml_token_with_message_protection_owsm_policy.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
クライアント・サーバー(暗号化キー)およびクライアント証明書を構成します。
注意:
指定する暗号化キーが、Webサービスに対して構成されている復号化キーと一致していることを確認してください。
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のクライアント・アプリケーションの更新によるメッセージ保護されたWebサービスの呼出しに関する項を参照してください
基本認証を使用してWebアプリケーション・クライアントを保護します。
詳細は、『WebLogicセキュリティ・サービスによるアプリケーションの開発』のBASIC認証Webアプリケーションの開発に関する項を参照してください
Webサービス・クライアントをデプロイします。
詳細は、『Webサービスの管理』のWebサービス・アプリケーションのデプロイに関する説明を参照してください
SAML資格証明マッピング・プロバイダを構成します。
WebLogic Server管理コンソールで、「セキュリティ・レルム」→「レルム名」→「プロバイダ」→「資格証明マッピング」ページにナビゲートし、「SAMLCredentialMapperV2」タイプの新しい資格証明マッピング・プロバイダを作成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの資格証明マッピング・プロバイダの構成に関する項を参照してください
「SAMLCredentialMapperV2」を選択して「プロバイダ固有」をクリックし、これを次のように構成します。
「発行者URI」をwww.oracle.com
に設定します。
「名前修飾子」をwww.oracle.com
に設定します。
WebLogic Serverを再起動します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのサーバーの起動と停止に関する項 を参照してください。
SAMLリライイング・パーティを作成します。「プロファイル」をWSS/Sender-Vouches
に設定します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 1.1リライング・パーティの作成に関する項を参照してください
SAMLリライイング・パーティを構成します。
注意:
「ターゲットURL」は必ず、クライアントWebサービスに使用されているURLに設定してください。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 1.1リライング・パーティの構成に関する項を参照してください
Webアプリケーション・クライアントを起動し、適切な資格証明を入力します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のWebサービスを起動するためのJavaクライアント・アプリケーション・コードの記述に関する説明を参照してください
次の各項に従うと、WS-Security 1.0標準に準拠するメッセージ保護付き相互認証を実装できます。
次の各項に従うと、WS-Security 1.0標準に準拠するメッセージ保護付き相互認証を実装し、WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーとの間の相互運用性を確保できます。
次の手順に従って、WebLogic Webサービス・ポリシーをアタッチおよび構成します。
WebLogic Webサービスを作成します。
詳細は、『Webサービスの理解』のWebLogic (Java EE) Webサービスを実装するためのロードマップに関する説明を参照してください
次のポリシーをアタッチします。
Wssp1.2-wss10_x509_token_with_message_protection_owsm_policy.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
IDストアおよび信頼ストアを構成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのIDおよび信頼の構成に関する項を参照してください
メッセージレベルのセキュリティを構成します。
詳細は、次の章を参照してください。
『Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージレベルのセキュリティの構成に関する説明
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのセキュリティ構成の作成に関する説明
X.509およびユーザー名トークンのトークン・ハンドラを作成して構成します。WebLogic管理コンソールで、ドメインの「Webサービス・セキュリティ」ページにナビゲートし、次のようにしてトークン・ハンドラを作成します。
ユーザー名トークンのトークン・ハンドラを作成し、次のように構成します。
名前: <name>
クラス名:
weblogic.xml.crypto.wss.UsernameTokenHandler
トークンのタイプ: ut
処理順序: 1
X.509のトークン・ハンドラを作成し、次のように構成します。
名前: <name>
クラス名:
weblogic.xml.crypto.wss.BinarySecurityTokenHandler
トークンのタイプ: x509
処理順序: 0
X.509のトークン・ハンドラに対しては、次のプロパティを追加します。
名前: UserX509ForIdentity
値: true
IsEncrypted: False
資格証明マッピング・プロバイダを構成します。PKICredentialMapperを作成し、次のように構成します(その他の値はすべてデフォルト設定のままにしておきます)。
キーストア・プロバイダ: なし
キーストアのタイプ: jks
キーストア・ファイル名: default_keystore.jks
キーストアのパスフレーズ: <password>
キーストアのパスフレーズを確認: <password>
「認証」タブを選択し、次のように構成して認証を構成します。
「DefaultIdentityAsserter」をクリックし、「X.509」を「選択済み」アクティブ・タイプに追加します。
「プロバイダ固有」をクリックし、次のように構成します。
デフォルト・ユーザー名マッパーの属性のタイプ: CN
アクティブなタイプ: X.509
デフォルト・ユーザー名マッパーの使用: True
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証およびIDアサーション・プロバイダの構成に関する項を参照してください。
ユーザーを追加していない場合、証明書で指定されている一般名(CN)ユーザーを追加します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのユーザーの作成に関する項を参照してください
Oracle WebLogic Serverを再起動します。
Webサービスをデプロイします。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのインストールに関する説明を参照してください
次の手順に従って、OWSMクライアント・ポリシーをアタッチおよび構成します。
clientgen
または他のメカニズムを使用して、前に作成したWebサービスへのクライアント・プロキシを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次のポリシーをクライアントにアタッチします。
wss10_x509_token_with_message_protection_client_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
クライアントでサーバー(暗号化キー)を構成します。
注意:
指定する暗号化キーが、Webサービスに対して構成されている暗号化キーと一致していることを確認してください。
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のクライアント・アプリケーションの更新によるメッセージ保護されたWebサービスの呼出しに関する項を参照してください
クライアントからWebサービス・メソッドを起動します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次の各項に従うと、WS-Security 1.0標準に準拠するメッセージ保護付き相互認証を実装し、OWSMサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保できます。
次の手順に従って、OWSMポリシーをアタッチおよび構成します。
Webサービス・アプリケーションを作成してデプロイします。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次のポリシーをWebサービスにアタッチします。
oracle/wss10_x509_token_with_message_protection_service_policy
.
次の手順に従って、WebLogic Webサービス・クライアント・ポリシーをアタッチおよび構成します。
clientgenを使用して前に作成されたWebサービスのクライアント・プロキシを作成します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する説明を参照してください
次のポリシーをアタッチします。
Wssp1.2-wss10_x509_token_with_message_protection_owsm_policy.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
クライアントでサーバー(暗号化キー)を構成します。
注意:
指定する暗号化キーが、Webサービスに対して構成されている暗号化キーと一致していることを確認してください。
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のクライアント・アプリケーションの更新によるメッセージ保護されたWebサービスの呼出しに関する項を参照してください
クライアントからWebサービス・メソッドを起動します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のWebサービスを起動するためのJavaクライアント・アプリケーション・コードの記述に関する説明を参照してください
次の各項に従うと、WS-Security 1.1標準に準拠するメッセージ保護付き相互認証を実装できます。
次の各項に従うと、WS-Security 1.1標準に準拠するメッセージ保護付き相互認証を実装し、WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーとの間の相互運用性を確保できます。
次の手順に従って、WebLogic Webサービス・ポリシーをアタッチおよび構成します。
WebLogic Webサービスを作成します。
詳細は、『Webサービスの理解』のWebLogic (Java EE) Webサービスを実装するためのロードマップに関する説明を参照してください
次のポリシーをアタッチします。
Wssp1.2-wss11_x509_token_with_message_protection_owsm_policy.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
IDストアおよび信頼ストアを構成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのIDおよび信頼の構成に関する項を参照してください
メッセージレベルのセキュリティを構成します。
詳細は、次の章を参照してください。
『Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージレベルのセキュリティの構成に関する説明
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのセキュリティ構成の作成に関する説明
X.509およびユーザー名トークンのトークン・ハンドラを作成して構成します。WebLogic管理コンソールで、ドメインの「Webサービス・セキュリティ」ページにナビゲートし、次のようにしてトークン・ハンドラを作成します。
ユーザー名トークンのトークン・ハンドラを作成し、次のように構成します。
名前: <name>
クラス名: weblogic.xml.crypto.wss.UsernameTokenHandler
トークンのタイプ: ut
処理順序: 1
ユーザー名トークンのトークン・ハンドラを作成し、次のように構成します。
X.509のトークン・ハンドラを作成し、次のように構成します。
名前: <name>
クラス名: weblogic.xml.crypto.wss.BinarySecurityTokenHandler
トークンのタイプ: x509
処理順序: 0
X.509のトークン・ハンドラに対しては、次のプロパティを追加します。
名前: UserX509ForIdentity
値: true
IsEncrypted: False
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのセキュリティ構成のトークン・ハンドラの作成に関する説明を参照してください。
PKICredentialMapperを作成し、次のように構成して(その他の値はすべてデフォルト設定のままにしておきます)、資格証明マッピング・プロバイダを構成します。
キーストア・プロバイダ: なし
キーストアのタイプ: jks
キーストア・ファイル名: default_keystore.jks
キーストアのパスフレーズ: <password>
キーストアのパスフレーズを確認: <password>
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの資格証明マッピング・プロバイダの構成に関する項を参照してください
「認証」タブを選択し、次のように構成して認証を構成します。
「DefaultIdentityAsserter」をクリックし、「X.509」を「選択済み」アクティブ・タイプに追加します。
「プロバイダ固有」をクリックし、次のように構成します。
デフォルト・ユーザー名マッパーの属性のタイプ: CN
アクティブなタイプ: X.509
デフォルト・ユーザー名マッパーの使用: True
ユーザーを追加していない場合、証明書で指定されている一般名(CN)ユーザーを追加します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのユーザーの作成に関する項を参照してください
Oracle WebLogic Serverを再起動します。
Webサービスをデプロイします。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのインストールに関する説明を参照してください
次の手順に従って、OWSMクライアント・ポリシーをアタッチおよび構成します。
clientgenまたは他のメカニズムを使用して、前に作成したWebサービスのクライアント・プロキシを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次のポリシーをクライアントにアタッチします
wss11_x509_token_with_message_protection_client_policy
ポリシーを次のように編集します。
<orasp:x509-token orasp:sign-key-ref-mech="thumbprint" orasp:enc-key-ref-mech="thumbprint"/>
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
クライアントでサーバー(暗号化キー)を構成します。
注意:
指定する暗号化キーが、Webサービスに対して構成されている暗号化キーと一致していることを確認してください。
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のクライアント・アプリケーションの更新によるメッセージ保護されたWebサービスの呼出しに関する項を参照してください。
クライアントからWebサービス・メソッドを起動します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次の項に従うと、WS-Security 1.1標準に準拠するメッセージ保護付き相互認証を実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保できます。
次の手順に従って、OWSMポリシーをアタッチおよび構成します。
Webサービスを作成してデプロイします。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
次のポリシーをWebサービスにアタッチします。
oracle/wss11_x509_token_with_message_protection_service_policy
.
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
次の手順に従って、WebLogic Webサービス・クライアント・ポリシーをアタッチおよび構成します。
clientgenを使用して前に作成されたWebサービスのクライアント・プロキシを作成します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する説明を参照してください
次のポリシーをアタッチします。
Wssp1.2-wss11_x509_token_with_message_protection_owsm_policy.xml
Wssp1.2-2007-SignBody.xml
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
クライアントでサーバー(暗号化キー)を構成します。
注意:
指定する暗号化キーが、Webサービスに対して構成されている暗号化キーと一致していることを確認してください。
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のクライアント・アプリケーションの更新によるメッセージ保護されたWebサービスの呼出しに関する項を参照してください
クライアントからWebサービス・メソッドを起動します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のWebサービスを起動するためのJavaクライアント・アプリケーション・コードの記述に関する説明を参照してください