| Oracle® Fusion Middleware Oracle WebCenter Portalの管理 12c (12.2.1.1) E77296-01 |
|
 前 |
 次 |
この章の内容は次のとおりです。
権限
この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic ServerのAdminロールが付与されている必要があります。MonitorまたはOperatorロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。
「管理操作、ロールおよびツールの理解」も参照してください。
次の各項で、WebCenter PortalからJSR-168標準ベースのWSRPポートレットにセキュアにアクセスする方法を説明します。
WS-Security用にプロデューサを構成する前に、「ポートレット・プロデューサ・アプリケーションのデプロイ」で説明されている手順を実行して、標準準拠のポートレット・プロデューサをOracle WebLogic管理対象サーバーにデプロイする必要があります。
この項では、セキュリティ・ポリシーをWSRPプロデューサ・エンドポイントに添付する方法について説明します。WSRPプロデューサでサポートされるポリシーは次のとおりです。
ユーザー名トークン(パスワードあり)
wss10_username_token_with_message_protection_service_policy
このポリシーは、メッセージ・レベルの保護(メッセージの整合性と機密保護)、およびWS-Security 1.0標準に従ったインバウンドSOAPリクエストの認証を行います。WS-SecurityのBasic 128スイートの非対称キー・テクノロジ、具体的には、メッセージの機密保護のためのRSA鍵メカニズム、メッセージの整合性のためのSHA-1ハッシュ・アルゴリズム、およびAES-128ビット暗号化が使用されます。キーストアはセキュリティ構成を通して構成されます。認証は、WS-Security UsernameToken SOAPヘッダーの資格証明を使用して行われます。ユーザーのサブジェクトは、現在構成されているアイデンティティ・ストアに対して確立されます。
ユーザー名トークン(パスワードなし)
wss10_username_id_propagation_with_msg_protection_service_policy
このポリシーでは、WS-Security 1.0標準で示されたメカニズムを使用して、メッセージレベルの保護(メッセージの整合性および機密保護)およびインバウンドSOAPリクエストのアイデンティティ伝搬を実施します。メッセージの保護は、非対称型キー・テクノロジであるWS-SecurityのBasic128スイート(具体的には、機密保護に使用するRSAキー・メカニズム、整合性に使用するSHA-1ハッシング・アルゴリズム、およびAES-128ビット暗号化)を使用して提供されます。アイデンティティは、UsernameToken WS-Security SOAPヘッダーに指定されたユーザー名を使用して設定されます。サブジェクトは、現在構成されているアイデンティティ・ストアに対して確立されます。
SAMLトークン
次の4つの「SAMLトークン」ポリシーがあります。
WSS 1.0 SAMLトークン・ポリシー:
wss10_saml_token_service_policy
このポリシーは、WS-Security SOAPヘッダーのSAMLトークンで提供される資格証明を使用してユーザーを認証します。SAMLトークンに含まれる資格証明は、SAMLログイン・モジュールに対して認証されます。このポリシーは、どのようなSOAPベースのエンドポイントにも適用できます。
メッセージ整合性付きWSS 1.0 SAMLトークン
wss10_saml_token_with_message_integrity_service_policy
このポリシーは、メッセージ・レベルの整合性保護と、WS-Security 1.0標準に従ったインバウンドSOAPリクエストのSAMLベースの認証を行います。また、このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイート、具体的には、メッセージ整合性のためのSHA-1ハッシュ・アルゴリズムが使用されます。
メッセージ保護付きWSS 1.0 SAMLトークン
wss10_saml_token_with_message_protection_service_policy
このポリシーはWS-Security 1.0標準に従って、着信SOAPリクエストに対するメッセージ・レベルの保護とSAMLベースの認証を行います。WS-Securityの非対称鍵テクノロジのBasic 128スイートを使用します。具体的には、RSA鍵メカニズム(メッセージの機密性)、SHA-1ハッシュ・アルゴリズム(メッセージの整合性)、およびAES-128ビットの暗号化を使用します。
メッセージ保護付きWSS 1.1 SAMLトークン
wss11_saml_token_with_message_protection_service_policy
このポリシーはWS-Security 1.1標準に従って、着信SOAPリクエストに対するメッセージ・レベルの保護(メッセージの整合性とメッセージの機密性)とSAMLベースの認証を行います。メッセージは、WS-Securityの対称鍵テクノロジのBasic 128スイートを使用して保護されます。具体的には、RSA鍵メカニズム(メッセージの機密性)、SHA-1ハッシュ・アルゴリズム(メッセージの整合性)、およびAES-128ビットの暗号化が使用されます。キーストアはセキュリティ構成を通して構成されます。WS-Securityのバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、それらの資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーが検証されます。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
キーストアはセキュリティ構成を通して構成されます。WS-Securityのバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、それらの資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーが検証されます。
ポリシーをプロデューサ・エンドポイントに添付する手順は次のとおりです。
「WSMポリシー・サブジェクト構成」ページが表示されます(図31-1を参照)。
図31-1 WSMポリシー・サブジェクト構成
注意:
マークアップ・サービス・ポートのみを保護する必要があります(WSRP_V2_Markup_ServiceおよびWSRP_V1_Markup_Service)。
プロデューサの「Webサービス・エンドポイント」ページが表示されます。
共有鍵をメッセージの整合性保護のために定義できますが、これはSSLとともに使用する必要があります。共有鍵をパスワード資格証明として格納する手順は次のとおりです。
管理サーバー・インスタンスの資格証明ストアに、パスワード資格証明として共有鍵を定義します。これは、Fusion Middleware ControlまたはWLSTを使用して実行できます。
Webプロデューサを再起動して、テスト・ページにアクセスします。アプリケーション・ログをチェックして、共有鍵が適切に適用されていることを確認します。
注意:
共有鍵の使用では、メッセージの整合性保護のみを実施できます。完全なメッセージ保護には、SSLが必要です。SSLを使用したPDK-Javaポートレット保護の詳細は、「SSLを使用したWebCenter Portalからポートレット・プロデューサへの接続の保護」を参照してください。
管理サーバー・インスタンスの資格証明ストアに、Fusion Middleware ControlコマンドまたはWLSTコマンドを使用して、パスワード資格証明として共有鍵を定義でき、これらについて次の各項で説明します。
PDK-Javaプロデューサの登録については、「Oracle PDK-Javaポートレット・プロデューサの登録」を参照してください。共有鍵にOracle PDK-Javaプロデューサを登録する場合は、次のことも実行する必要があります。
プロデューサの登録時に、「プロデューサ・セッションの有効化」オプションを選択します。
「ポートレット・プロデューサ接続の追加」セクションで、資格証明マップの作成時に使用するパスワードを共有鍵として入力します。
