Oracle® Fusion Middleware Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理 12c (12.2.1.1) E79324-01 |
|
前 |
次 |
次の図は、WS-Policyファイルのアサーションの要素階層を表しています。
この項では、次のアサーションの要素および下位要素について説明します。
ネストされたポリシー・アサーションをグループ化します。
次の表には、Oracle拡張機能を含めたWS-Policy属性がまとめられています。
表C-1 WS-Policy属性に対するOracle拡張機能
属性 | 説明 |
---|---|
名前 |
ポリシーの名前。 |
attachTo |
ポリシーをアタッチできるポリシー・サブジェクト。有効な値は、binding.client、binding.server、binding.anyです。 |
category |
ポリシーのカテゴリ。有効な値は、security、mtom、wsrm、addressing、managementです。 |
description |
ポリシーの説明。 |
displayName |
ユーザー・インタフェースに表示される名前。 |
localOptimization |
ローカルの最適化を有効にするかどうかを指定するフラグ。OWSMでは、コンポジットからコンポジットを起動できるようにするSOAのローカルの最適化機能がサポートされています。この機能では、一方のコンポジットの参照でもう一方のコンポジットにバインディングするWebサービスを指定します。有効な値は次のとおりです。
|
status |
ポリシー参照のステータス。有効な値は、enabledおよびdisabledです。 |
smartDigest |
スマート・ダイジェスト。 |
oraSmartDigest |
スマート・ダイジェスト。 |
readOnly |
クライアントでこのポリシーを変更できないようにする必要があるかどうかを指定します。 |
subjectCount |
現在ポリシーがアタッチされているサブジェクトの数。 |
versionCreator |
現在のバージョンの作成者。 |
versionNumber |
現在のバージョンの数。 |
versionTime |
現在のバージョンが作成された時間。 |
id |
ポリシーのID。 |
<wsp:Policy xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy" xmlns="http://schemas.xmlsoap.org/ws/2004/09/policy" xmlns:oralgp="http://schemas.oracle.com/ws/2006/01/loggingpolicy" xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy" xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" Name="oracle/wss11_x509_token_with_message_protection_client_policy" orawsp:attachTo="binding.client" orawsp:category="security" orawsp:description="i18n:oracle.wsm.resources.policydescription.PolicyDescription Bundle_oracle/wss11_x509_token_with_message_protection_client_policy_PolyDescKey" orawsp:displayName="i18n:oracle.wsm.resources.policydescription.PolicyDescription Bundle_oracle/wss11_x509_token_with_message_protection_client_policy_PolyDispNameKey" orawsp:local-optimization="check-identity" orawsp:oraSmartDigest="935231872" orawsp:readOnly="true" orawsp:smartDigest="201244603" orawsp:status="enabled" orawsp:versionCreator="mdsInternal" orawsp:versionNumber="1" orawsp:versionTime="1238006529607" wsu:Id="wss11_x509_token_with_message_protection_client_policy"> ... </wsp:Policy>
ORグループを定義するオプション要素。ORグループの詳細は、『Oracle Web Services Managerの理解』の複数のポリシー選択肢の定義(ORグループ)に関する項を参照してください。
次の表には、<wsp:ExactlyOne>要素の属性がまとめられています。
表C-2 <wsp:ExactlyOne>要素の属性
属性 | 説明 |
---|---|
名前 |
これがORグループであることを示すためにORに設定します。 |
<wsp:ExactlyOne orawsp:name="Or"> <orasp:wss11-saml-with-certificates orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/msg-protection, security/authentication" orawsp:name="WS-Security 1.1 Saml with certificates"> <orasp:saml-token orasp:confirmation-type="sender-vouches" orasp:is-encrypted="false" orasp:is-signed="true" orasp:version="1.1"/> <orasp:x509-token orasp:enc-key-ref-mech="thumbprint" orasp:is-encrypted="false" orasp:is-signed="true" orasp:sign-key-ref-mech="direct"/> <orasp:msg-security orasp:algorithm-suite="Basic128" orasp:confirm-signature="true" orasp:encrypt-signature="false" orasp:include-timestamp="true" orasp:sign-then-encrypt="true" orasp:use-derived-keys="false"> ... <orasp:wss11-username-with-certificates orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication, security/msg-protection" orawsp:name="WS-Security 1.1 username with certificates"> <orasp:username-token orasp:add-created="false" orasp:add-nonce="false" orasp:is-encrypted="true" orasp:is-signed="true" orasp:password-type="plaintext"/> <orasp:x509-token orasp:enc-key-ref-mech="thumbprint" orasp:is-encrypted="false" orasp:is-signed="true" orasp:sign-key-ref-mech="thumbprint"/> <orasp:msg-security orasp:algorithm-suite="Basic128" orasp:confirm-signature="true" orasp:encrypt-signature="false" orasp:include-timestamp="true" orasp:sign-then-encrypt="true" orasp:use-derived-keys="false"> ... </wsp:ExactlyOne>
アサーションの主要素。有効なアサーションの要素は次のとおりです。
次の表には、<orasp:Assertion>要素の属性がまとめられています。
表C-3 <orasp:Assertion>要素の属性
属性 | 説明 |
---|---|
オプション |
アサーションがオプションなのか、必須なのかを指定するフラグ。 |
Silent |
アサーションを通知するかどうかを指定するフラグ。trueに設定すると、アサーションは通知されません。 |
Enforced |
現時点でアサーションを有効にするかどうかを指定するフラグ。有効な値はtrueまたはfalseです。 |
名前 |
アサーションの名前。 |
description |
アサーションの説明。 |
category |
アサーションを適用するカテゴリ。有効な値は、security/authentication、security/msg-protection、security/authorization、security/logging、mtom、wsrm、addressing、managementです。 |
<oraswsp:bindings>要素は、アサーションのバインディングを定義します。この要素には、次のサブ要素が含まれます。
<orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="Wss11SamlWithCertsConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="constant" orawsp:name="role" orawsp:type="string"> <orawsp:Value>ultimateReceiver</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings>
<oraswsp:Config>要素は、アサーションの構成を定義します。この要素には、次のサブ要素を含めることができます。
次の表には、<orawsp:Config>要素の属性がまとめられています。
表C-4 <orawsp:Config>要素の属性
属性 | 説明 |
---|---|
名前 |
構成の名前。 |
type |
構成を適用するカテゴリ。 |
configType |
構成の種類。有効な値は、declarativeおよびprogrammaticです。
|
<orawsp:Config orawsp:configType="declarative" orawsp:name="Wss11SamlWithCertsConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="constant" orawsp:name="role" orawsp:type="string"> <orawsp:Value>ultimateReceiver</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config>
<oraswsp:PropertySet>要素は、ネストされたプロパティをグループ化します。この要素には、次のサブ要素が含まれます。
次の表には、<orawsp:PropertySet>要素の属性がまとめられています。
表C-5 <orawsp:PropertySet>要素の属性
属性 | 説明 |
---|---|
名前 |
プロパティ・セットの名前。 |
<oraswsp:Property>要素は、1つのプロパティを定義します。事前定義済アサーションで使用する有効なプロパティを次にまとめています。
<orawsp:Property>要素には、次のサブ要素を含めることができます。
次の表には、<orawsp:Property>要素の属性がまとめられています。
表C-6 <orawsp:Property>要素の属性
属性 | 説明 |
---|---|
名前 |
プロパティの名前を指定します。事前定義済アサーションで使用するプロパティ値のリストは、表C-7を参照してください。 |
type |
プロパティのタイプ。stringなどが該当します。 |
contentType |
プロパティが必須かどうかおよびオーバーライド可能かどうかを指定します。有効な値は次のとおりです。
ポリシーのオーバーライドの詳細は、「ポリシー構成のオーバーライドの概要」を参照してください。 |
次の表には、事前定義済アサーションで使用するプロパティがまとめられています。
表C-7 事前定義済アサーションで使用するプロパティ
プロパティ | 説明 |
---|---|
action |
認可チェックが実行されるアクションまたはWebサービス操作。この値は、値のカンマ区切りのリストにすることもできます。このフィールドではワイルドカードを使用できます。たとえば、 |
attesting.mapping.attribute |
アテスト・エンティティの表現で使用されるマッピング属性。現在サポートされているのはDNのみです。この属性は、送信者保証およびメッセージ保護ユースケースにのみ適用されます。SAML over SSLポリシーには適用されません。 |
BaseRetransmissionInterval |
メッセージを送信してからメッセージを再送するまでのソース・エンドポイントの待機時間(ミリ秒)。 ソース・エンドポイントが、この要素で指定した間隔内で所定のメッセージの確認応答を受信しなかった場合、ソース・エンドポイントはメッセージを再送信します。ソース・エンドポイントは、メッセージのシーケンスの存続期間内の任意の時点で、この再送信間隔を変更することがあります。このアサーションは、メッセージまたは確認応答の形式を送信時の状態から変更せず、その送信のタイミングのみを変更します。 この値のデフォルトは3000です。 |
credential.delegation |
転送されたTGTによる資格証明委任がサポートされるかどうかを指定するフラグ。詳細は、「資格証明委任の構成について」を参照してください。 この値のデフォルトはfalseです。 |
csf-key |
Oracle Platform Security Servicesアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。デフォルト値は |
DeliveryAssurance |
配信の保証。有効な値は次のとおりです。
|
jdbc-connection-name |
JDBCデータ・ストアへのJNDI参照。StoreTypeがJDBCに設定されている場合に有効になります。この値のデフォルトはjdbc/MessagesStoreです。 |
InactivityTimeout |
メッセージ・シーケンスの非アクティブな期間(ミリ秒)メッセージのシーケンスは、一意のシーケンス番号で識別されるメッセージのセットとして定義され、これに対して特定の配信保証が適用されます。通常、シーケンスは単一のソース・エンドポイントから生じます。この要素で指定した期間中に、宛先エンドポイントがソース・エンドポイントからのメッセージを受け取っていない場合、宛先エンドポイントは、処理が行われずシーケンスは終了したものと見なす可能性があります。これは、ソース・エンドポイントについても同様です。 この値のデフォルトは600000です。 |
keystore.enc.csf.key |
「ポリシー構成のオーバーライドの概要」で説明されているように、この値を設定すると、keystore.enc.csf.keyをオーバーライドできます。 |
keystore.recipient.alias |
ピア証明書に関連付けられているキーストア別名。実行時セキュリティは、この別名を使用して構成済のキーストアからピア証明書を抽出し、ピアへのメッセージを暗号化します。サービス・アイデンティティ証明拡張の理解を優先させることができます。 |
on.behalf.of |
リクエストが別のエンティティの代理かどうかを指定するには、このプロパティをオーバーライドします。このフラグのデフォルト値はfalseです。 |
permission-class |
権限ベースの確認に使用されるクラス。 |
realm |
HTTPレルム。この値のデフォルトはowsmです。 |
resource |
認可チェックが実行されるリソースの名前。このフィールドではワイルドカードを使用できます。たとえば、Webサービスのネームスペースが |
role |
SOAPロール。この値のデフォルトはultimateReceiverです。 |
saml.assertion.filename |
SAMLアサーションを格納するファイル。この値のデフォルトはtempです。 |
saml.audience.uri |
リライイング・パーティをカンマ区切りのURIで表します。このフィールドでは次のワイルドカードを使用できます。
|
saml.issuer.name |
SAMLトークンの発行者の名前。この値のデフォルトはwww.oracle.comです。 |
saml.trusted.issuers |
SAMLトークンの信頼できる発行者のカンマ区切りのリスト。信頼できる発行者をドメイン・レベルでオーバーライドするアプリケーション用です。 |
service.principal.name |
サービスを識別するKerberosプリンシパルの名前。 |
StoreName |
メッセージ・ストアの名前。この値のデフォルトはoracleです。 |
StoreType |
メッセージ・ストアのタイプ。有効な値は次のとおりです。
|
sts.auth.caller.principal.name |
|
sts.auth.keytab.location |
クライアントのkeytabファイルの場所。 |
sts.auth.on.behalf.of.csf.key |
代理エンティティの構成で使用します。存在する場合、サブジェクト(存在する場合)より優先されます。 |
sts.auth.service.principal.name |
保護する必要があるWebサービスのプリンシパル名。 |
sts.auth.user.csf.key |
STSに対する認証用のユーザー名/パスワードを構成する場合に使用します。 クライアントのoracle/sts_trust_config_client_template内の |
sts.auth.x509.csf.key |
STSに対する認証用のX509証明書を構成する場合に使用します。 クライアントのoracle/sts_trust_config_client_template内の |
sts.keystore.recipient.alias |
キーストアに追加したSTS証明書の別名。デフォルトの別名はsts-csf-keyです。 |
subject.precedence |
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。 subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトからのみ取得されます。同様に、subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティからのみ取得されます。 |
user.attributes |
含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2と指定します。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。OWSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をSAMLアサーションに含めます。 |
user.roles.include |
指定するSOAPロール。この値のデフォルトはfalseです。 |
<orawsp:guard>要素は、リソース、アクションおよび制約が一致する値を定義します。
<orawsp:guard> <orawsp:resource-match> http://project11/CreditValidation </orawsp:resource-match> <orawsp:action-match>validate,amountAvailable</orawsp:action-match> </orawsp:guard>
<orawsp:guard> <orawsp:resource-match>*</orawsp:resource-match> <orawsp:action-match>validate,amountAvailable</orawsp:action-match> </orawsp:guard> <orawsp:guard> <orawsp:constraint-match>${!(messageContext.authenticationMethod =='SAML_SV' || messageContext.requestOrigin == 'internal')} </orawsp:constraint-match> </orawsp:guard>
<orawsp:resource-match>要素は、実行する認可チェックのリソース名を指定します。このフィールドではワイルドカードを使用できます。
たとえば、Webサービスのネームスペースがhttp://project11
で、サービス名がCreditValidation
の場合、リソース名はhttp://project11/CreditValidation
になります。
<orawsp:guard> <orawsp:resource-match> http://project11/CreditValidation </orawsp:resource-match> <orawsp:action-match>validate,amountAvailable</orawsp:action-match> </orawsp:guard>
<orawsp:guard> <orawsp:resource-match>*</orawsp:resource-match> <orawsp:action-match>validate,amountAvailable</orawsp:action-match> </orawsp:guard>
<orawsp:resource-match>要素は、認可チェックが実行されるアクションまたはWebサービス操作を指定します。この値は、値のカンマ区切りのリストにすることもできます。このフィールドではワイルドカードを使用できます。
<orawsp:guard> <orawsp:resource-match> http://project11/CreditValidation </orawsp:resource-match> <orawsp:action-match>validate,amountAvailable</orawsp:action-match> </orawsp:guard>
<orawsp:guard> <orawsp:resource-match>*</orawsp:resource-match> <orawsp:action-match>validate,amountAvailable</orawsp:action-match> </orawsp:guard>
<orawsp:constraint-match>要素は、認可チェックが実行される制約を指定します。値は、次の2つのmessageContextプロパティを使用して指定します。
messageContext.authenticationMethod: ユーザーの認証に使用する認証方法を決定します。有効な値はSAML_SV
です。
messageContext.requestOrigin: リクエストが内部ネットワークまたは外部ネットワークから発行されたかどうかを決定します。このプロパティは、Oracle HTTP Serverを使用しており、Oracle HTTP Server管理者がカスタムのVIRTUAL_HOST_TYPEヘッダーをリクエストに追加した場合のみ有効です。
プロパティとその値では、大文字と小文字が区別されます。制約式では、サポートされている標準的な演算子(==
、!=
、&&
、||
、!
)を使用します。
注意:
この要素は、binding-authorization要素でのみサポートされています。他の認可アサーション要素については、このフィールドは今後の使用に備えて予約されています。
<orasp:Logging>要素は、ロギング・ポリシーを定義します。
<orasp:Logging>要素には、次のサブ要素が含まれます。
<oralgp:Logging orawsp:Enforced="false" orawsp:Silent="true" orawsp:category="security/logging" orawsp:name="Log Message1"> <oralgp:msg-log> <oralgp:request>all</oralgp:request> <oralgp:response>all</oralgp:response> <oralgp:fault>all</oralgp:fault> </oralgp:msg-log> <orawsp:bindings> <orawsp:Config orawsp:name="added-from-em"/> </orawsp:bindings> </oralgp:Logging>
<orasp:binding-authorization>要素は、SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロールベースの認可を定義します。
<orasp:binding-authorization>要素には、次のサブ要素が含まれます。
また、次のいずれかのサブ要素も含まれます。
<orasp:binding-authorization orawsp:Enforced="true" orawsp:Silent="true" orawsp:category="security/authorization" orawsp:name="J2EE services Authorization"> <orasp:denyAll/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="AuthzConfig"/> </orawsp:bindings> <orawsp:guard/> </orasp:binding-authorization>
<orasp:binding-permission-authorization>要素は、SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単な権限ベースの認可を定義します。
<orasp:binding-permission-authorization>要素には、次のサブ要素が含まれます。
<orasp:binding-permission-authorization orawsp:Enforced="true" orawsp:Silent="true" orawsp:category="security/authorization" orawsp:name="J2EE Permission Based Authorization"> <orasp:check-permission/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="BindingPermissionAuthzConfig"> <orawsp:PropertySet orawsp:name="perms-authz-properties"> <orawsp:Property orawsp:contentType="optional" orawsp:name="resource" orawsp:type="string"> <orawsp:DefaultValue>*</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="action" orawsp:type="string"> <orawsp:DefaultValue>*</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="permission-class" orawsp:type="string"> <orawsp:DefaultValue>oracle.wsm.security.WSFunctionPermission </orawsp:DefaultValue> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> <orawsp:guard> <orawsp:resource-match>*</orawsp:resource-match> <orawsp:action-match>*</orawsp:action-match> </orawsp:guard> </orasp:binding-permission-authorization>
<orasp:coreid-security>要素は、WS-Securityヘッダーのバイナリ・セキュリティ・トークンの資格証明を使用して、Oracle Access Managerアイデンティティ・ストアに対してユーザーを認証します。
この要素には、次のサブ要素が含まれます。
<orasp:coreid-security orawsp:Enforced="true" orawsp:Silent="true" orawsp:category="security/authentication, security/authorization" orawsp:name="OAM Security"> <orasp:coreid-token orasp:is-encrypted="false" orasp:is-signed="false"/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="CoreIdConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="constant" orawsp:name="role" orawsp:type="string"> <orawsp:Value>ultimateReceiver</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:coreid-security>
<orasp:http-security>要素では、HTTPヘッダーの資格証明を使用して、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーを認証します。
この要素には、次のサブ要素が含まれます。
<orasp:http-security orawsp:Enforced="true" orawsp:Silent="true" orawsp:category="security/authentication, security/msg-protection" orawsp:name="Http over SSL Security"> <orasp:auth-header orasp:mechanism="basic"/> <orasp:require-tls orasp:include-timestamp="true" orasp:mutual-auth="false"/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="HttpConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="constant" orawsp:name="realm" orawsp:type="string"> <orawsp:Value>owsm</orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:contentType="constant" orawsp:name="role" orawsp:type="string"> <orawsp:Value>ultimateReceiver</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:http-security>
<orasp:kerberos-security>要素は、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。
この要素には、次のサブ要素が含まれます。
<orasp:kerberos-security orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication" orawsp:name="WSS Kerberos Token"> <orasp:kerberos-token orasp:is-encrypted="false" orasp:is-signed="false" orasp:type="gss-apreq-v5"/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="KerberosSecurityConfig"/> </orawsp:bindings> </orasp:kerberos-security>
<orasp:sca-component-authorization>要素は、SOAコンポーネント・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロールベースの認可を定義します。
<orasp:sca-component-authorization>要素には、次のサブ要素が含まれます。
また、次のいずれかのサブ要素も含まれます。
<orasp:sca-component-authorization orawsp:Enforced="true" orawsp:Silent="true" orawsp:category="security/authorization" orawsp:name="Fabric Component Authorization"> <orasp:denyAll/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="FabricAuthzConfig"/> </orawsp:bindings> </orasp:sca-component-authorization>
<orasp:sca-component-permission-authorization>要素は、SOAコンポーネント・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単な権限ベースの認可を行います。
<orasp:binding-permission-authorization>要素には、次のサブ要素が含まれます。
<orasp:sca-component-permission-authorization orawsp:Enforced="true" orawsp:Silent="true" orawsp:category="security/authorization" orawsp:name="Fabric Component Authorization"> <orasp:check-permission/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="FabricAuthzConfig"> <orawsp:PropertySet orawsp:name="perms-authz-properties"> <orawsp:Property orawsp:contentType="optional" orawsp:name="resource" orawsp:type="string"> <orawsp:DefaultValue>*</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="action" orawsp:type="string"> <orawsp:DefaultValue>*</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="permission-class" orawsp:type="string"> <orawsp:DefaultValue> oracle.wsm.security.WSFunctionPermission</orawsp:DefaultValue> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> <orawsp:guard> <orawsp:resource-match>*</orawsp:resource-match> <orawsp:action-match>*</orawsp:action-match> </orawsp:guard> </orasp:sca-component-permission-authorization>
次の表には、<orasp:sts-trust-config>要素の属性がまとめられています。
表C-8 <orasp:sts-trust-config>要素の属性
属性 | 説明 |
---|---|
wsdl-uri |
WSDLの実際のエンドポイントURI。 |
port-uri |
STSポートの実際のエンドポイントURI。たとえば、 |
port-endpoint |
STS Webサービスのエンドポイント。 WSDL 2.0 STSの場合、 WSDL 1.1 STSの場合、 |
policy-reference-uri |
クライアントがSTSと通信する際に使用するクライアント・ポリシーURI。WSDLでの識別に従い、選択するポリシーはSTSの認証要件に応じて異なります。 |
soap-version |
SOAPのバージョン。 |
sts-keystore-recipient-alias |
キーストアに追加したSTS証明書の別名。デフォルトの別名は |
<orasp:sts-trust-config xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy" xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy" orasp:policy-reference-uri="oracle/wss10_username_token_with_message_protection_ client_policy" orasp:port-endpoint="target-namespace#wsdl.endpoint(service-name/port-name)" orasp:port-uri="http://host:port/sts-service" orasp:soap-version="12" orasp:sts-keystore-recipient-alias="sts-csf-key" orasp:wsdl-uri="http://host:port/sts?wsdl" orawsp:Enforced="true" orawsp:Silent="true" orawsp:category="security/sts-config" orawsp:name="STS Trust Configuration"> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="StsTrustConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="constant" orawsp:name="role" orawsp:type="string"> <orawsp:Value>ultimateReceiver</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:sts-trust-config>
<orasp:wss10-anonymous-with-certificates>要素は、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
この要素には、次のサブ要素が含まれます。
<orasp:wss10-anonymous-with-certificates orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/msg-protection" orawsp:name="WS-Security 1.0 Anonymous with certificates"> <orasp:x509-token orasp:enc-key-ref-mech="direct" orasp:is-encrypted="false" orasp:is-signed="true" orasp:rcpt-enc-key-ref-mech="direct" orasp:rcpt-sign-key-ref-mech="direct" orasp:sign-key-ref-mech="direct"/> <orasp:msg-security orasp:algorithm-suite="Basic128" orasp:encrypt-signature="false" orasp:include-timestamp="true" orasp:sign-then-encrypt="true"> <orasp:request> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:request> <orasp:response> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:response> <orasp:fault/> </orasp:msg-security> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="Wss10AnonWithCertsConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="constant" orawsp:name="role" orawsp:type="string"> <orawsp:Value>ultimateReceiver</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:wss10-anonymous-with-certificates>
<orasp:wss10-mutual-auth-with-certificates>要素は、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ・レベルの保護と、証明書ベースの認証を行います。
この要素には、次のサブ要素が含まれます。
<orasp:wss10-mutual-auth-with-certificates orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication, security/msg-protection" orawsp:name="WS-Security 1.0 Mutual Auth with certificates"> <orasp:x509-token orasp:enc-key-ref-mech="direct" orasp:is-encrypted="false" orasp:is-signed="true" orasp:rcpt-enc-key-ref-mech="direct" orasp:rcpt-sign-key-ref-mech="direct" orasp:sign-key-ref-mech="direct"/> <orasp:msg-security orasp:algorithm-suite="Basic128" orasp:encrypt-signature="false" orasp:include-timestamp="true" orasp:sign-then-encrypt="true"> <orasp:request> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:request> <orasp:response> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:response> <orasp:fault/> </orasp:msg-security> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="Wss10AnonWithCertsConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="constant" orawsp:name="role" orawsp:type="string"> <orawsp:Value>ultimateReceiver</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:wss10-mutual-auth-with-certificates>
<orasp:wss1-saml-hok-with-certificates>要素は、WS-Security 1.0標準に従って、アウトバウンドSOAPメッセージのメッセージ保護(整合性および機密保護)と、SAML鍵所有者ベースの認証を行います。
この要素には、次のサブ要素が含まれます。
<orasp:wss10-saml-hok-with-certificates orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication, security/msg-protection" orawsp:name="WS-Security 1.0 SAML Holder Of Key with certificates"> <orasp:saml-token orasp:confirmation-type="holder-of-key" orasp:is-encrypted="false" orasp:is-signed="true" orasp:version="1.1"/> <orasp:x509-token orasp:enc-key-ref-mech="direct" orasp:is-encrypted="false" orasp:is-signed="true" orasp:rcpt-enc-key-ref-mech="direct" orasp:rcpt-sign-key-ref-mech="direct" orasp:sign-key-ref-mech="ski"/> <orasp:msg-security orasp:algorithm-suite="Basic128" orasp:encrypt-signature="false" orasp:include-timestamp="true" orasp:sign-then-encrypt="true"> <orasp:request> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:request> <orasp:response> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:response> <orasp:fault/> </orasp:msg-security> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="Wss10SamlHOKWithCertsConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:name="keystore.recipient.alias" orawsp:type="string"> <orawsp:Value>orakey</orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="saml.issuer.name" orawsp:type="string"> <orawsp:Value>www.oracle.com</orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="user.roles.include" orawsp:type="string"> <orawsp:Value>false</orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="saml.assertion.filename" orawsp:type="string"> <orawsp:Value>temp</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:wss10-saml-hok-with-certificates>
<orasp:wss10-saml-token>要素は、WS-Security SOAPヘッダー内のSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
この要素には、次のサブ要素が含まれます。
<orasp:wss10-saml-token orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication" orawsp:name="WSSecurity SAML Token"> <orasp:saml-token orasp:confirmation-type="sender-vouches" orasp:is-encrypted="false" orasp:is-signed="false" orasp:version="1.1"/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="WssSamlTokenConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="constant" orawsp:name="role" orawsp:type="string"> <orawsp:Value>ultimateReceiver</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:wss10-saml-token>
<orasp:wss10-saml-with-certificates>要素は、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。
この要素には、次のサブ要素が含まれます。
<orasp:wss10-saml-with-certificates orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication, security/msg-protection" orawsp:name="WS-Security 1.0 SAML with certificates"> <orasp:saml-token orasp:confirmation-type="sender-vouches" orasp:is-encrypted="false" orasp:is-signed="true" orasp:version="1.1"/> <orasp:x509-token orasp:enc-key-ref-mech="direct" orasp:is-encrypted="false" orasp:is-signed="true" orasp:rcpt-enc-key-ref-mech="direct" orasp:rcpt-sign-key-ref-mech="direct" orasp:sign-key-ref-mech="direct"/> <orasp:msg-security orasp:algorithm-suite="Basic128" orasp:encrypt-signature="false" orasp:include-timestamp="true" orasp:sign-then-encrypt="true"> <orasp:request> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:request> <orasp:response> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:response> <orasp:fault/> </orasp:msg-security> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="Wss10SamlWithCertsConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="constant" orawsp:name="role" orawsp:type="string"> <orawsp:Value>ultimateReceiver</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:wss10-saml-with-certificates>
<orasp:wss10-username-with-certificates>要素は、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と認証を行います。
この要素には、次のサブ要素が含まれます。
<orasp:wss10-username-with-certificates orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication, security/msg-protection" orawsp:name="WS-Security 1.0 username with certificates"> <orasp:username-token orasp:add-created="false" orasp:add-nonce="false" orasp:is-encrypted="true" orasp:is-signed="true" orasp:password-type="plaintext"/> <orasp:x509-token orasp:enc-key-ref-mech="direct" orasp:is-encrypted="false" orasp:is-signed="true" orasp:rcpt-enc-key-ref-mech="direct" orasp:rcpt-sign-key-ref-mech="direct" orasp:sign-key-ref-mech="direct"/> <orasp:msg-security orasp:algorithm-suite="Basic128" orasp:encrypt-signature="false" orasp:include-timestamp="true" orasp:sign-then-encrypt="true"> <orasp:request> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:request> <orasp:response> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:response> <orasp:fault/> </orasp:msg-security> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="Wss10UsernameWithCertsConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="constant" orawsp:name="role" orawsp:type="string"> <orawsp:Value>ultimateReceiver</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:wss10-username-with-certificates>
<orasp:wss11-anonymous-with-certificates>要素は、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
この要素には、次のサブ要素が含まれます。
<orasp:wss11-anonymous-with-certificates orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/msg-protection" orawsp:name="WS-Security 1.0 Anonymous with certificates"> <orasp:x509-token orasp:enc-key-ref-mech="direct" orasp:is-encrypted="false" orasp:is-signed="true" orasp:rcpt-enc-key-ref-mech="direct" orasp:rcpt-sign-key-ref-mech="direct" orasp:sign-key-ref-mech="direct"/> <orasp:msg-security orasp:algorithm-suite="Basic128" orasp:encrypt-signature="false" orasp:include-timestamp="true" orasp:sign-then-encrypt="true"> <orasp:request> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:request> <orasp:response> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:response> <orasp:fault/> </orasp:msg-security> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="Wss11AnonWithCertsConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="constant" orawsp:name="role" orawsp:type="string"> <orawsp:Value>ultimateReceiver</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:wss11-anonymous-with-certificates>
<orasp:wss11-mutual-auth-with-certificates>要素は、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ・レベルの保護と、証明書ベースの認証を行います。
この要素には、次のサブ要素が含まれます。
<orasp:wss11-mutual-auth-with-certificates orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication, security/msg-protection" orawsp:name="WS-Security 1.1 Mutual Auth with certificates"> <orasp:x509-token orasp:enc-key-ref-mech="thumbprint" orasp:is-encrypted="false" orasp:is-signed="true" orasp:sign-key-ref-mech="direct"/> <orasp:msg-security orasp:algorithm-suite="Basic128" orasp:confirm-signature="false" orasp:encrypt-signature="false" orasp:include-timestamp="true" orasp:sign-then-encrypt="true" orasp:use-derived-keys="false"> <orasp:request> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:request> <orasp:response> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:response> <orasp:fault/> </orasp:msg-security> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="Wss10AnonWithCertsConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:name="keystore.recipient.alias" orawsp:type="string"> <orawsp:Value>orakey</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:wss11-mutual-auth-with-certificates>
<orasp:wss11-saml-with-certificates>要素は、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。
この要素には、次のサブ要素が含まれます。
<orasp:wss11-saml-with-certificates orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication, security/msg-protection" orawsp:name="WS-Security 1.1 SAML with certificates"> <orasp:saml-token orasp:confirmation-type="sender-vouches" orasp:is-encrypted="false" orasp:is-signed="true" orasp:version="1.1"/> <orasp:x509-token orasp:enc-key-ref-mech="direct" orasp:is-encrypted="false" orasp:is-signed="true" orasp:rcpt-enc-key-ref-mech="direct" orasp:rcpt-sign-key-ref-mech="direct" orasp:sign-key-ref-mech="direct"/> <orasp:msg-security orasp:algorithm-suite="Basic128" orasp:encrypt-signature="false" orasp:include-timestamp="true" orasp:sign-then-encrypt="true"> <orasp:request> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:request> <orasp:response> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:response> <orasp:fault/> </orasp:msg-security> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="Wss11SamlWithCertsConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="constant" orawsp:name="role" orawsp:type="string"> <orawsp:Value>ultimateReceiver</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:wss11-saml-with-certificates>
<orasp:wss11-sts-issued-token-with-certificates>要素は、信頼できるSTSが発行したアサーションを挿入します。メッセージは、STS、クライアントまたは両方で提供される証明鍵マテリアルを使用して保護されます。
この要素には、次のサブ要素が含まれます。
次の表には、<orasp:wss11-sts-issued-token-with-certificates>要素の属性がまとめられています。
表C-9 <orasp:wss11-sts-issued-token-with-certificates>要素の属性
属性 | 説明 |
---|---|
trust-version |
WS-Trustのバージョン。 |
require-client-entropy |
Webサービスのセキュリティ・ポリシーによって対称証明鍵が要求される場合、このフラグは、リクエスタが証明鍵の計算に含めることができる鍵マテリアル(エントロピ)を渡すことができるかどうかを指定します。Webサービス・ポリシーでは、クライアント・エントロピ、STSエントロピ、またはその両方が必要であるかどうかを示すことができます。 |
require-server-entropy |
Webサービスのセキュリティ・ポリシーによって対称証明鍵が要求される場合、このフラグは、リクエスタが証明鍵の計算に含めることができる鍵マテリアル(エントロピ)を渡すことができるかどうかを指定します。Webサービス・ポリシーでは、クライアント・エントロピ、STSエントロピ、またはその両方が必要であるかどうかを示すことができます。 |
require-applies-to |
RSTのオプション要素。トークンがリクエストされているWebサービスのエンドポイント・アドレスを、OWSMが送信するかどうかを指定するフラグ。デフォルト動作では、クライアントからSTSへのメッセージでappliesTo要素が常に送信されます。 |
<orasp:wss11-sts-issued-token-with-certificates xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy" xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy" orasp:require-applies-to="true" orasp:require-client-entropy="true" orasp:require-server-entropy="true" orasp:trust-version="13" orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication, security/msg-protection" orawsp:name="WS-Security 1.1, issued token"> <orasp:issued-token orasp:require-external-reference="true" orasp:require-internal-reference="true" orasp:use-derived-keys="false"> <orasp:request-security-token-template orasp:algorithm-suite="Basic128" orasp:key-type="Symmetric" orasp:token-type="SAML11"/> </orasp:issued-token> <orasp:x509-token orasp:enc-key-ref-mech="thumbprint" orasp:is-encrypted="false" orasp:is-signed="true" orasp:sign-key-ref-mech="thumbprint"/> <orasp:msg-security orasp:algorithm-suite="Basic128" orasp:confirm-signature="true" orasp:encrypt-signature="false" orasp:include-timestamp="true" orasp:sign-then-encrypt="true" orasp:use-derived-keys="false"> <orasp:request> <orasp:signed-parts> <orasp:body/> <orasp:header orasp:namespace="http://www.w3.org/2005/08/addressing"/> <orasp:header orasp:namespace="http://schemas.xmlsoap.org/ws/2004/08/addressing"/> <orasp:header orasp:name="fmw-context" orasp:namespace="http://xmlns.oracle.com/fmw/context/1.0"/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> <orasp:header orasp:name="fmw-context" orasp:namespace="http://xmlns.oracle.com/fmw/context/1.0"/> </orasp:encrypted-parts> </orasp:request> <orasp:response> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:response> <orasp:fault/> </orasp:msg-security> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="Wss11StsIssuedTokenWithCertsConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="optional" orawsp:name="sts.auth.user.csf.key" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="sts.auth.x509.csf.key" orawsp:type="string"> <orawsp:Value>enc-csf-key</orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:name="on.behalf.of" orawsp:type="boolean"> <orawsp:Value>false</orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="sts.auth.on.behalf.of.csf.key" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:name="keystore.recipient.alias" orawsp:type="string"> <orawsp:Value>orakey</orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="keystore.enc.csf.key" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="sts.auth.service.principal.name" orawsp:type="string"> <orawsp:Value>HOST/localhost@EXAMPLE.COM</orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="sts.auth.keytab.location" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="sts.auth.caller.principal.name" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:wss11-sts-issued-token-with-certificates>
<orasp:wss11-username-with-certificates>要素は、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と認証を行います。
この要素には、次のサブ要素が含まれます。
<orasp:wss11-username-with-certificates orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication, security/msg-protection" orawsp:name="WS-Security 1.1 username with certificates"> <orasp:username-token orasp:add-created="false" orasp:add-nonce="false" orasp:is-encrypted="true" orasp:is-signed="true" orasp:password-type="plaintext"/> <orasp:x509-token orasp:enc-key-ref-mech="direct" orasp:is-encrypted="false" orasp:is-signed="true" orasp:rcpt-enc-key-ref-mech="direct" orasp:rcpt-sign-key-ref-mech="direct" orasp:sign-key-ref-mech="direct"/> <orasp:msg-security orasp:algorithm-suite="Basic128" orasp:encrypt-signature="false" orasp:include-timestamp="true" orasp:sign-then-encrypt="true"> <orasp:request> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:request> <orasp:response> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:response> <orasp:fault/> </orasp:msg-security> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="Wss11UsernameWithCertsConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="constant" orawsp:name="role" orawsp:type="string"> <orawsp:Value>ultimateReceiver</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:wss11-username-with-certificates>
<orasp:wss-saml-token-bearer-over-ssl>要素は、WS-Security SOAPヘッダー内の確認方法がBearerのSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
この要素には、次のサブ要素が含まれます。
<orasp:wss-saml-token-bearer-over-ssl orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication, security/msg-protection" orawsp:name="WSSecurity Saml Token With Confirmation method Bearer Over SSL "> <orasp:saml-token orasp:confirmation-type="bearer" orasp:is-encrypted="false" orasp:is-signed="false" orasp:version="1.1"/> <orasp:require-tls orasp:include-timestamp="true" orasp:mutual-auth="false"/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="WssSamlTokenBearerOverSSLConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="optional" orawsp:name="saml.issuer.name" orawsp:type="string"> <orawsp:Value>www.oracle.com</orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="user.roles.include" orawsp:type="string"> <orawsp:Value>false</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:wss-saml-token-bearer-over-ssl>
<orasp:wss-saml-token-over-ssl>要素は、sender-vouches確認タイプを使用して、WS-Security SOAPヘッダーのSAMLトークンに含まれる資格証明の認証を実行します。
この要素には、次のサブ要素が含まれます。
<orasp:wss-saml-token-over-ssl orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication, security/msg-protection" orawsp:name="WSSecurity SAML Token Over SSL"> <orasp:saml-token orasp:confirmation-type="sender-vouches" orasp:is-encrypted="false" orasp:is-signed="true" orasp:version="1.1"/> <orasp:require-tls orasp:include-timestamp="true" orasp:mutual-auth="true"/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="WssSamlTokenOverSSLConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="optional" orawsp:name="saml.issuer.name" orawsp:type="string"> <orawsp:Value>www.oracle.com</orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="user.roles.include" orawsp:type="string"> <orawsp:Value>false</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:wss-saml-token-over-ssl>
<orasp:wss-sts-issued-token-over-ssl>要素は、信頼できるSTSが発行したSAMLアサーションを認証します。メッセージは、SSLを使用して保護されます。
この要素には、次のサブ要素が含まれます。
次の表には、<orasp:wss-sts-issued-token-over-ssl>要素の属性がまとめられています。
表C-10 <orasp:wss-sts-issued-token-over-ssl>要素の属性
属性 | 説明 |
---|---|
trust-version |
WS-Trustのバージョン。 |
require-client-entropy |
Webサービスのセキュリティ・ポリシーによって対称証明鍵が要求される場合、このフラグは、リクエスタが証明鍵の計算に含めることができる鍵マテリアル(エントロピ)を渡すことができるかどうかを指定します。Webサービス・ポリシーでは、クライアント・エントロピ、STSエントロピ、またはその両方が必要であるかどうかを示すことができます。 |
require-server-entropy |
Webサービスのセキュリティ・ポリシーによって対称証明鍵が要求される場合、このフラグは、リクエスタが証明鍵の計算に含めることができる鍵マテリアル(エントロピ)を渡すことができるかどうかを指定します。Webサービス・ポリシーでは、クライアント・エントロピ、STSエントロピ、またはその両方が必要であるかどうかを示すことができます。 |
require-applies-to |
RSTのオプション要素。トークンがリクエストされているWebサービスのエンドポイント・アドレスを、OWSMが送信するかどうかを指定するフラグ。デフォルト動作では、クライアントからSTSへのメッセージでappliesTo要素が常に送信されます。 |
<orasp:wss-sts-issued-token-over-ssl xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy" xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy" orasp:require-applies-to="true" orasp:require-client-entropy="true" orasp:require-server-entropy="true" orasp:trust-version="13" orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication, security/msg-protection" orawsp:name="WS-Security 1.1, issued token over ssl"> <orasp:issued-token orasp:require-external-reference="true" orasp:require-internal-reference="true" orasp:use-derived-keys="false"> <orasp:request-security-token-template orasp:key-type="Bearer" orasp:token-type="SAML11"/> </orasp:issued-token> <orasp:require-tls orasp:include-timestamp="true" orasp:mutual-auth="false"/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="WssStsIssuedTokenOverSSLConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="constant" orawsp:name="role" orawsp:type="string"> <orawsp:Value>ultimateReceiver</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:wss-sts-issued-token-over-ssl>
<orasp:wss-username-token>要素は、WS-Security UsernameToken SOAPヘッダー内のユーザー名およびパスワード資格証明を使用した認証を実行します。
この要素には、次のサブ要素が含まれます。
<orasp:wss-username-token orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication" orawsp:name="WSSecurity UserName Token"> <orasp:username-token orasp:add-created="false" orasp:add-nonce="false" orasp:is-encrypted="true" orasp:is-signed="true" orasp:password-type="plaintext"/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="WssUsernameTokenConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="constant" orawsp:name="role" orawsp:type="string"> <orawsp:Value>ultimateReceiver</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:wss-username-token>
<orasp:wss-username-token-over-ssl>要素は、UsernameToken WS-Security SOAPヘッダーの資格証明を使用して、Oracle Platform Security Servicesの構成済のアイデンティティ・ストアに対してユーザーを認証します。
この要素には、次のサブ要素が含まれます。
<orasp:wss-username-token-over-ssl orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication, security/msg-protection" orawsp:name="WSSecurity UserName Token Over SSL"> <orasp:username-token orasp:add-created="true" orasp:add-nonce="true" orasp:is-encrypted="true" orasp:is-signed="true" orasp:password-type="plaintext"/> <orasp:require-tls orasp:include-timestamp="true" orasp:mutual-auth="false"/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="WssUsernameTokenOverSSLConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="constant" orawsp:name="role" orawsp:type="string"> <orawsp:Value>ultimateReceiver</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:wss-username-token-over-ssl>
<rm:RMAssertion>要素は、Web Services Reliable Messagingプロトコルのバージョン1.0および1.1のサポートを提供します。サポートされるバージョンは、使用するXMLスキーマ・ネームスペース値によって異なります。
WS-ReliableMessaging 1.1: http://docs.oasis-open.org/ws-rx/wsrmp/200702
WS-ReliableMessaging 1.0: http://schemas.xmlsoap.org/ws/2005/02/rm/policy
このポリシーは、SOAPベースのすべてのクライアントまたはエンドポイントにアタッチできます。この機能を完全にサポートするには、追加のプログラミングが必要です。
<rm:RMAssertion>要素には、次のサブ要素が含まれます。
<rm:RMAssertion xmlns:rm="http://schemas.xmlsoap.org/ws/2005/02/rm/policy" orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="wsrm" orawsp:description="i18n:oracle.wsm.resources.policydescription.PolicyDescriptionBundle_oracle/wsrm10_policy_RMAssertion_AssertionDescKey" orawsp:name="RM 1.0"> <wsp:Policy/> <orawsp:bindings> <orawsp:Config orawsp:name="RMConfig"> <orawsp:PropertySet orawsp:name="standard-wsrm-properties"> <orawsp:Property orawsp:name="DeliveryAssurance" orawsp:type="string"> <orawsp:Description>Delivery Assurance. Possible values (case-insensitive) are InOrder, AtLeastOnce, AtLeastOnceInOrder, ExactlyOnce, ExactlyOnceInOrder, AtMostOnce, AtMostOnceInOrder.</orawsp:Description> <orawsp:Value>inorder</orawsp:Value> <orawsp:DefaultValue>inorder</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:name="StoreType" orawsp:type="string"> <orawsp:Description>The type of message store used. Possible values (case-insensitive) areInMemory, JDBC.</orawsp:Description> <orawsp:Value>inmemory</orawsp:Value> <orawsp:DefaultValue>inmemory</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:name="StoreName" orawsp:type="string"> <orawsp:Description>The name of the message store. </orawsp:Description> <orawsp:Value>oracle</orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="jdbc-connection-name" orawsp:type="string"> <orawsp:Description>The JNDI reference to a JDBC data source, when the store type is JDBC.</orawsp:Description> <orawsp:Value>jdbc/MessagesStore</orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:name="InactivityTimeout" orawsp:type="int"> <orawsp:Description>The inactivity timeout duration, specified in milliseconds.</orawsp:Description> <orawsp:Value>600000</orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:name="BaseRetransmissionInterval" orawsp:type="int"> <orawsp:Description>The base retransmission interval, specified in milliseconds.</orawsp:Description> <orawsp:Value>3000</orawsp:Value> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </rm:RMAssertion>
<wsaw:UsingAddressing>要素を使用すると、プラットフォームにより、W3C 2005の最終版のWS-Addressingポリシー標準に準拠したWS-Addressingヘッダーがインバウンド・メッセージに存在するかどうかが確認されます。また、プラットフォームにより、WS-AddressingヘッダーがアウトバウンドSOAPメッセージに組み込まれます。
<wsaw:UsingAddressing>要素には、次のサブ要素が含まれます。
<wsaw:UsingAddressing xmlns:wsaw="http://www.w3.org/2006/05/addressing/wsdl" orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="addressing" orawsp:name="WS-Addressing 2005"> <orawsp:bindings> <orawsp:Config orawsp:name="added-from-em"/> </orawsp:bindings> </wsaw:UsingAddressing>
<wsoma:OptimizedMimeSerialization>要素は、MTOM形式ではないインバウンド・メッセージを拒否し、アウトバウンド・メッセージがMTOM形式であるかどうかを検証します。MTOMはhttp://www.w3.org/TR/2005/REC-soap12-mtom-20050125
の仕様書と、SOAP 1.2およびSOAP1.1バインディングに関してはhttp://www.w3.org/Submission/2006/SUBM-soap11mtom10-20060405
を参照します。
<wsoma:OptimizedMimeSerialization>要素には、次のサブ要素が含まれます。
<wsoma:OptimizedMimeSerialization xmlns:wsoma= "http://schemas.xmlsoap.org/ws/2004/09/policy/optimizedmimeserialization" orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="mtom" orawsp:name="MTOM"> <orawsp:bindings> <orawsp:Config orawsp:name="added-from-em"/> </orawsp:bindings> </wsoma:OptimizedMimeSerialization>
<oralgp:fault>要素は、フォルト・メッセージのロギングを構成します。有効な値は次のとおりです。
all: SOAPメッセージ全体が記録されます。
header: SOAPヘッダー情報のみが記録されます。
soap_body: SOAP本文の情報のみが記録されます。
soap_envelope: SOAPエンベロープの情報のみが記録されます。
<oralgp:request>要素は、リクエスト・メッセージのロギングを構成します。有効な値は次のとおりです。
all: SOAPメッセージ全体が記録されます。
header: SOAPヘッダー情報のみが記録されます。
soap_body: SOAP本文の情報のみが記録されます。
soap_envelope: SOAPエンベロープの情報のみが記録されます。
<oralgp:response>要素は、レスポンス・メッセージのロギングを構成します。有効な値は次のとおりです。
all: SOAPメッセージ全体が記録されます。
header: SOAPヘッダー情報のみが記録されます。
soap_body: SOAP本文の情報のみが記録されます。
soap_envelope: SOAPエンベロープの情報のみが記録されます。
<oralgp:request>要素は、リクエスト、レスポンスおよびフォルト・メッセージのロギングを構成します。<oralgp:msg-log>要素には、次のサブ要素が含まれます。
<orasp:attachment>要素は、アタッチメント情報を定義します。
次の表には、<orasp:attachment>要素の属性がまとめられています。
表C-11 <orasp:attachment>要素の属性
属性 | 説明 |
---|---|
include-mime-headers |
MIMEヘッダーを含めるかどうかを指定するフラグ。有効な値はtrueまたはfalseです。 |
<orasp:auth-header>要素は、認証ヘッダーの名前を指定します。
次の表には、<orasp:auth-header>要素の属性がまとめられています。
表C-12 <orasp:auth-header>要素の属性
属性 | 説明 |
---|---|
mechanism |
認証のメカニズム。 有効な値は次のとおりです。
|
<orasp:body>要素は、署名および暗号化されるメッセージの本体要素を定義します。本体全体を含めるには、<orasp:body/>のように本体要素を指定します。
<orasp:coreid-token>要素は、OAMトークンを定義します。
次の表には、<orasp:coreid-token>要素の属性がまとめられています。
表C-13 <orasp:coreid-token>要素の属性
属性 | 説明 |
---|---|
is-encrypted |
アサーションを暗号化するかどうかを指定するフラグ。有効な値はtrueまたはfalseです。 |
is-signed |
アサーションを署名するかどうかを指定するフラグ。有効な値はtrueまたはfalseです。 |
<orasp:denyAll>要素は、ロールを持つすべてのユーザーを拒否します。
<orasp:binding-authorization orawsp:Enforced="true" orawsp:Silent="true" orawsp:category="security/authorization" orawsp:name="J2EE services Authorization"> <orasp:denyAll/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="AuthzConfig"/> </orawsp:bindings> <orawsp:guard/> </orasp:binding-authorization>
<orasp:element>要素は、署名または暗号化されるヘッダーや本体の要素を定義します。
次の表には、<orasp:element>要素の属性がまとめられています。
表C-14 <orasp:element>要素の属性
属性 | 説明 |
---|---|
名前 |
ヘッダーまたは本体の要素の名前。 |
namespace |
ネームスペース |
<orassp:encrypted-elements>要素は、署名されるメッセージの本体要素を定義します。この要素は、<orasp:encrypted-parts>が<orasp:body/>に設定されていない場合にのみ有効になります。
<orassp:encrypted-parts>要素には、次のサブ要素が含まれます。
<orasp:encrypted-parts>要素は、暗号化されるメッセージの部分を定義します。
<orasp:encrypted-parts>要素には、次のサブ要素が1つ以上含まれます。
<orasp:fault>要素は、署名および暗号化されるフォルト・メッセージの本体要素を定義します。<orasp:fault>要素には、次のサブ要素が含まれます。
<orasp:header>要素は、ヘッダー要素を定義します。
次の表には、<orasp:header>要素の属性がまとめられています。
表C-15 <orasp:header>要素の属性
属性 | 説明 |
---|---|
名前 |
ヘッダー要素の名前。事前定義済ネームスペースのデフォルトのヘッダー要素は、To、From、FaultTo、ReplyTo、MessageID、RelatesTo、Actionです。 |
namespace |
ネームスペース事前定義済ネームスペースは、http://www.w3.org/2005/08/addressingです。 |
<orasp:issued-token>要素は、トークンの特性を実行します。
次の表には、<orasp:issued-token>要素の属性がまとめられています。
表C-16 Attributes of <orasp:issued-token>要素の属性
属性 | 説明 |
---|---|
use-derived-keys |
導出キーが必要かどうかを指定するフラグ。可能な値は「True」と「False」です。 |
require-internal-reference |
トークンの内部参照が必要かどうかを指定するフラグ。可能な値は「True」と「False」です。 |
require-external-reference |
トークンの外部参照が必要かどうかを指定するフラグ。可能な値は「True」と「False」です。 |
<orasp:kerberos-token>要素は、Kerberosトークンを定義します。
次の表には、<orasp:kerberos-token>要素の属性がまとめられています。
表C-17 <orasp:kerberos-token>要素の属性
属性 | 説明 |
---|---|
is-encrypted |
アサーションを暗号化するかどうかを指定するフラグ。有効な値はtrueまたはfalseです。 |
is-signed |
アサーションを署名するかどうかを指定するフラグ。有効な値はtrueまたはfalseです。 |
type |
Kerberosトークンのタイプ。有効な値は、gss-apreq-v5 (Kerberosバージョン5 GSS-API)のみです。 |
use-derived-keys |
導出キーが必要かどうかを指定するフラグ。有効な値はtrueまたはfalseです。 |
<orassp:msg-security>要素は、ポリシーのメッセージ・セキュリティを定義します。署名および暗号化された本体要素(リクエスト、レスポンスおよびフォルト)を定義します。
<orasp:msg-security>要素には、次のサブ要素が含まれます。
次の表には、<orasp:msg-security>要素の属性がまとめられています。
表C-18 <orasp:msg-security>要素の属性
属性 | 説明 |
---|---|
algorithm-suite |
メッセージ保護に使用されるアルゴリズム・スイートを定義します。Basic128などが該当します。詳細は、「サポートされているアルゴリズム・スイート」を参照してください。 |
confirm-signature |
クライアントにシグネチャの確認を送信するかどうかを指定するフラグ。有効な値はtrueまたはfalseです。 |
encrypt-signature |
クライアントに暗号化の確認を送信するかどうかを指定するフラグ。有効な値はtrueまたはfalseです。 |
include-timestamp |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
sign-then-encyrpt |
メッセージを暗号化する前に署名するかどうかを指定するフラグ。 |
use-derived-keys |
導出される鍵を使用するどうかを指定するフラグ。 |
<orasp:msg-security orasp:algorithm-suite="Basic128" orasp:confirm-signature="false" orasp:encrypt-signature="false" orasp:include-timestamp="true" orasp:sign-then-encrypt="true" orasp:use-derived-keys="false"> <orasp:request> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:request> <orasp:response> <orasp:signed-parts> <orasp:body/> </orasp:signed-parts> <orasp:encrypted-parts> <orasp:body/> </orasp:encrypted-parts> </orasp:response> <orasp:fault/> </orasp:msg-security>
<orasp:permitAll>要素は、ロールを持つすべてのユーザーを許可します。
<orasp:binding-authorization orawsp:Enforced="true" orawsp:Silent="true" orawsp:category="security/authorization" orawsp:name="J2EE services Authorization"> <orasp:permitAll/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="AuthzConfig"/> </orawsp:bindings> </orasp:binding-authorization>
<orasp:request>要素は、署名および暗号化されるリクエスト・メッセージの本体要素を定義します。<orasp:request>要素には、次のサブ要素が含まれます。
<orasp:require-tls>要素は、双方向認証が必要かどうかを指定します。
次の表には、<orasp:require-tls>要素の属性がまとめられています。
表C-19 <orawsp:require-tls>要素の属性
属性 | 説明 |
---|---|
include-timestamp |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 注意: このフラグは、RESTful Webサービスおよびクライアント・エンドポイントに対しては有効ではありません。 |
mutual-auth |
双方向認証が必要かどうかを指定するフラグ。有効な値はtrueまたはfalseです。 |
<orassp:response>要素は、レスポンス・メッセージ内で署名および暗号化されるメッセージの本体要素を定義します。<oraswsp:response>要素には、次のサブ要素が含まれます。
<orasp:role>要素は、アクセスが許可されるロールを定義します。
次の表には、<orasp:role>要素の属性がまとめられています。
表C-20 <orasp:role>要素の属性
属性 | 説明 |
---|---|
名前 |
ロールの名前。有効なロールは次のとおりです。
|
<orasp:binding-authorization orawsp:Enforced="true" orawsp:Silent="true" orawsp:category="security/authorization" orawsp:description="" orawsp:name="J2EE services Authorization"> <orasp:role orasp:name="Monitors"/> <orasp:role orasp:name="AdminChannelUsers"/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="AuthzConfig"/> </orawsp:bindings> </orasp:binding-authorization>
<orasp:saml-token>要素は、SAMLトークンを構成します。
次の表には、<orasp:saml-token>要素の属性がまとめられています。
表C-21 <orasp:saml-token>要素の属性
属性 | 説明 |
---|---|
confirmation-type |
確認タイプ。有効な値はsender-vouchesおよびholder-of-keyです。
|
is-encrypted |
アサーションを暗号化するかどうかを指定するフラグ。有効な値はtrueまたはfalseです。 |
is-signed |
アサーションを署名するかどうかを指定するフラグ。有効な値はtrueまたはfalseです。 |
version |
SAMLバージョン。有効な値は1.1および2.0です。 |
<orassp:signed-elements>要素は、署名されるメッセージの本体要素を定義します。この要素は、<orasp:signed-parts>が<orasp:body/>に設定されていない場合にのみ有効になります。
<orassp:signed-elements>要素には、次のサブ要素が含まれます。
<orasp:signed-parts>要素は、署名されるメッセージの部分を定義します。
<orasp:signed-parts>要素には、次のサブ要素が1つ以上含まれます。
<orasp:username-token>要素は、SAMLトークンを構成します。
次の表には、<orasp:username-token>要素の属性がまとめられています。
表C-22 <orasp:username-token>要素の属性
属性 | 説明 |
---|---|
add-created |
ユーザー名トークンの作成にタイム・スタンプが必要かどうかを指定するフラグ。 注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。 |
add-nonce |
リプレイ攻撃を防止するためユーザー名にNonceを含める必要があるかどうかを指定するフラグ。 注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。 |
is-encrypted |
ユーザー名を暗号化するかどうかを指定するフラグ。有効な値はtrueまたはfalseです。 |
is-signed |
ユーザー名を署名するかどうかを指定するフラグ。有効な値はtrueまたはfalseです。 |
password-type |
必要なパスワードのタイプ。 有効な値は次のとおりです。
|
<orasp:x509-token>要素は、X.509デジタル証明書を定義します。
次の表には、<orasp:x509-token>要素の属性がまとめられています。
表C-23 <orasp:x509-token>要素の属性
属性 | 説明 |
---|---|
sign-key-ref-mech |
リクエストの署名に使用できるメカニズム。 有効な値は次のとおりです。
|
enc-key-ref-mech |
リクエストの暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
rcpt-sign-key-ref-mech |
受信の署名に使用できるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
rcpt-enc-key-ref-mech |
受信の暗号化に使用されるメカニズム。有効な値は、前述の「署名鍵参照メカニズム」と同じです。 |
is-encrypted |
アサーションを暗号化するかどうかを指定するフラグ。有効な値はtrueまたはfalseです。 |
is-signed |
アサーションを署名するかどうかを指定するフラグ。有効な値はtrueまたはfalseです。 |
use-pkipath |
X509PKIPathV1トークンを処理して伝播する必要があるかどうかを指定するフラグ。有効な値はtrueまたはfalseです。 |