この章では、Oracle WebCenter Content WebサービスとOracle WebLogic Server Webサービスを使用して、クライアント・アプリケーションをコンテンツ・サーバーと統合する方法について説明します。
この章の内容は次のとおりです。
コンテンツ・サーバーで使用できるWebサービスの一般的な情報については、Webサービスの概要を参照してください。
この章で説明されているWebサービスの使用方法は、Oracle Universal Content Management 11gで導入されました。Oracle Universal Content Management 10gで導入された、Web Services Definition Language (WSDL)ファイル、SOAP (Simple Object Access Protocol)ファイルおよびWSDLジェネレータによる方法を使用する場合は、「WSDL、SOAPおよびWSDLジェネレータを使用したWebサービスの構成」を参照してください。
WebCenter Content Webサービスは、Oracle WebLogic Server Webサービスと連携して、コンテンツ・サーバーのための管理機能を実行します。Oracle WebLogic Server Webサービスは、SOAP機能を提供し、WebCenter Content Webサービスには、複数の組込みSOAPリクエストが含まれています。WebCenter Content Webサービスは、コンテンツ・サーバーとともに自動的にインストールされますが、セキュリティを設定するには追加の構成が必要です。
WebCenter Content Webサービスのコアとなる実現技術は、次のようなものです。
SOAP (Simple Object Access Protocol)は、リクエストおよびレスポンス・メッセージをネットワーク経由で送信する前にそれらの中の情報をエンコードするために使用される、軽量のXMLベース・メッセージング・プロトコルです。SOAPリクエストは、実装のためにWebCenter Content WebサービスからOracle WebLogic Server Webサービスに送信されます。SOAPの詳細は、http://www.w3.org/TR/soap12
のSimple Object Access Protocol (SOAP)を参照してください。
Webサービス・セキュリティ(WS-Security)は、機密保護、整合性および認証によってWebサービスを保護するための、標準セットのSOAP拡張機能です。WebCenter Content Webサービスでは、特定のユーザーとしてサーバーに接続するクライアントに対して、またはユーザーとして別なサーバーと対話するサーバーに対して、認証のためにWS-Securityが使用されます。詳細は、http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wss
のOASIS Webサービス・セキュリティのページを参照してください。
Webサービス・ポリシー(WS-Policy)は、Webサービスにポリシーを添付するための標準です。WebCenter Content Webサービスでは、WebサービスにWS-Securityを適用するためにポリシーが使用されます。サポートされている2つのポリシーは、username-token
セキュリティとSAMLセキュリティです。
これまで、OracleはOracle Web Services Manager (Oracle WSM)をそのWebサービスの保護に使用し、Oracle WebLogic ServerはWebサービス・セキュリティ・ポリシー(WS-SecurityPolicy)をそのWebサービスの保護に使用していました。Webサービス・セキュリティは部分的に標準化されているため、一部のOracle WSMおよびWS-SecurityPolicyポリシーは相互に機能します。
注意:
可能な場合には必ず、Oracle WebLogic Server Webサービスに対してOracle WSMポリシーを使用してください。同じWebサービスで、Oracle WSMとOracle WebLogic Server Webサービスのポリシーを混在させて使用することはできません。
WebCenter Content Webサービス(コンテキスト・ルートはidcws/
)はSOAPベースです。一方、WebCenter Content のネイティブWebサービス (コンテキスト・ルートはidcnativews/
)はJAX_WSベースです。いずれの種類のWebサービスも、Oracle WebLogic Server管理コンソールからOracle WSMポリシーを割り当てることができます。
一般的なWebCenter Content Webサービスは、JAX-WSベースであり、Oracle WSMポリシーを割り当てて、Oracle WSMによって管理することができます。ネイティブのWebCenter Content Webサービスは、SOAPベースであり、Oracle WebLogic Server管理コンソールを通じて管理されるWS-Policyポリシーのみをサポートできます。
Oracle WSMの詳細は、『Webサービスの管理』のWebサービス管理の概要に関する項を参照してください。
Oracle WebLogic Server Webサービス・ポリシーのサブセットはOracle WSMポリシーと相互運用します。「OWSMの相互運用性の概要」を参照してください。
Webサービス・セキュリティ・ポリシー(WS-SecurityPolicy
)は、WS-Policyフレームワークとともに使用するためのセキュリティ・ポリシー・アサーションのセットです。詳細は、http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702/ws-securitypolicy-1.2-spec-os.html
のWebサービス・セキュリティ・ポリシーの仕様を参照してください。
SAMLは、異なるセキュリティ・ドメイン間で認証および認可を交換するためのXML標準です。詳細は、http://docs.oasis-open.org/security/saml/v2.0/
の『Security Assertion Markup Language (SAML)』を参照してください。
WebLogic Scripting Tool (WLST)は、Oracle WebLogic Serverを管理するためのコマンドライン・ツールです。詳細は、『Oracle Fusion Middleware WebCenter WLSTコマンド・リファレンス』のWebCenter PortalカスタムWLSTコマンドに関する項を参照してください。
WebCenter Contentは、一般的な(汎用)JAX-WSベースのWebサービスと、ネイティブのSOAPベースのWebサービスという2つのタイプのWebサービスを提供します。2つのタイプのWebサービスはそれぞれ、異なるコンテキスト・ルートに存在します。コンテキスト・ルートは、WebサービスにアクセスするためのURL内の1次識別子です。
コンテキスト・ルートは次のとおりです。
idcws
通常のWebサービス・クライアントからコンテンツ・サーバーへの一般的なアクセスでは、このコンテキスト・ルートを使用します。
idcnativews
Remote Intradoc Client (RIDC)は、ネイティブのWebサービスを使用します。これらのサービスに対してカスタム・クライアントを開発しないことをお薦めします。RIDCの詳細は、「RIDCを使用したコンテンツ・サーバーへのアクセス」を参照してください。
次の表では、idcws
コンテキスト・ルートのWebCenter Content Webサービスについて説明します。
WebCenter Content Webサービス | 説明 |
---|---|
|
このサービスでは、そのSOAPフォーマットとしてHDAに類似した汎用フォーマットが使用されます。これは、 WS-Policyを通じてWS-Securityを WS-Securityポリシーがこのサービスに適用されることが許可された場合、このサービスでは、ストリーム・メッセージ送信最適化メカニズム(MTOM)を使用することはできません。非常に大きなファイル(クライアントやサーバーのメモリーを超えるサイズのファイル)をアップロードまたはダウンロードすることはできません。
oracle/no_mtom_policy |
次の表では、idcnativews
コンテキスト・ルートのWebCenter Content Webサービスについて説明します。
WebCenter Content Webサービス | 説明 |
---|---|
|
これは、一般的なWebCenter Contentサービスです。これは基本的に、SOAPリクエストにラップされた、コンテンツ・サーバーへの通常のソケット・リクエストです。大きなファイルをサポートするために、リクエストは、ストリーム・メッセージ送信最適化メカニズム(MTOM)を使用してコンテンツ・サーバーに送信されます。 ストリームMTOMとWS-Securityを混在させることはできません。したがって、このサービスにはWS-Securityを適用しないでください。ストリーム・ファイル・サポートが損なわれます。セキュリティを確保するため、まず |
|
このサービスは、 |
WebCenter Content Webサービスは、WebCenter Content EARとともにインストールされ、デフォルトで使用可能になっています。ただし、いずれかのWebCenter Content WebサービスでWebサービス・セキュリティ(WS-Security)を構成しないかぎり、コンテンツ・サーバーへのすべての接続でanonymous
ユーザーが使用されます。WebCenter Content Webサービスのためのセキュリティを構成するには、WS-Policyを使用してWS-Securityを構成します。認証の有効化には、追加の構成が必要です。
WS-Securityは、Webサービス・ポリシー(WS-Policy)を使用して設定されます。Webサービスに対してセキュリティ・ポリシーを設定して、それらのセキュリティ・プロトコルを定義できます。特に、WebCenter Content Webサービスは、Oracle WSMポリシーをサポートしています。
注意:
GenericSoapService
は、自動的にoracle/wsmtom_policy
を適用します。コンテンツ・サーバーでは、このポリシーを適用するSOAPリクエストを受け入れられません。GenericSoapService
が機能するには、次のポリシーを適用する必要があります。
oracle/no_mtom_policy
WebCenter Contentは、2つの一般クラスのポリシーusername-token
とSAML、および次のOracle WSMポリシーをサポートしています。
oracle/wss11_saml_token_with_message_protection_service_policy
oracle/wss11_username_token_with_message_protection_service_policy
Oracle Enterprise Manager 11g
Fusion Middleware Controlを使用して、Oracle WSMポリシーをWebサービスに適用できます。詳細は、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』を参照してください。
クライアント側の証明書認証に対するSAMLサポートも提供できます。クライアントがIDプロバイダであることを可能にする(つまり、資格証明をアサートできる)ようにSAMLサポートを提供するには、キーストアを構成し、そのキーストアを使用するためのJavaプラットフォーム・セキュリティ(JPS)プロバイダを構成し、クライアントの資格証明ストア(CSF)を作成し、キーストアとCSFを使用するためのJavaクライアントを構成する必要があります。
サーバーとクライアントの両方でキーストアのコピーが必要です。サーバーは、キーストアを使用して、クライアントから渡された資格証明を認証します。キーストアは共有シークレットとしてのみ使用されるため、この状況では、自己署名証明書が役に立ちます。keytool
ユーティリティを使用して、自己署名証明書を生成できます。次の例の値の多くは、ドメインのconfig/fmwconfig/jps-config.xml
ファイルのデフォルト値です。これについては、キーストアを使用するための、WebCenter Contentに対するJPSの構成で説明されています。
$ keytool -genkey -alias orakey -keyalg RSA -keystore default-keystore.jks -keypass password -storepass password
keytool
コマンドには、任意の関連データを入力できます。クライアントが使用するキーストアおよび証明書のパスワードを除いて、詳細は重要ではありません。
Oracle WebLogic Serverドメインにおけるキーストアの構成には、DomainHome
/config/fmwconfig/jps-config.xml
ファイルの編集が含まれます。
キーストアを使用するためにWebCenter Contentに対してJPSを構成する手順は次のとおりです。
例26-1 jps-config.xmlにおけるキーストア・インスタンス定義
<serviceInstances> <serviceInstance name="keystore" provider="keystore.provider" location="./default-keystore.jks"> <description>Default JPS Keystore Service</description> <property name="keystore.type" value="JKS"/> <property name="keystore.csf.map" value="oracle.wsm.security"/> <property name="keystore.pass.csf.key" value="keystore-csf-key"/> <property name="keystore.sig.csf.key" value="sign-csf-key"/> <property name="keystore.enc.csf.key" value="enc-csf-key"/> </serviceInstance> </serviceInstances>
例26-2 jps-config.xmlにおけるサービス・プロバイダ定義
<serviceProviders> <serviceProvider type="KEY_STORE" name="keystore.provider" class="oracle.security.jps.internal.keystore.KeyStoreProvider"> <description>PKI Based Keystore Provider</description> <property name="provider.property.name" value="owsm"/> </serviceProvider> </serviceProviders>
例26-3 JPSコンテキストにおけるキーストア
<jpsContext name="default"> <serviceInstanceRef ref="credstore"/> <serviceInstanceRef ref="keystore"/> <serviceInstanceRef ref="policystore.xml"/> <serviceInstanceRef ref="audit"/> <serviceInstanceRef ref="idstore.ldap"/></jpsContext>
クライアントでは、キーストアをロック解除するためのキーを格納する資格証明ストアが必要です。Oracle WebLogic Serverは、資格証明ストア・フレームワーク(CSF)を作成するための様々な方法を提供します。CSFを作成する1つの方法は、Oracle WebLogic Server Scripting Tool (WLST)コマンドを使用することです。
クライアントCSFを作成する手順は次のとおりです。
例26-4 WLSTコマンドを使用したクライアントCSFの作成
$ ./wlst.sh $ connect() $ createCred(map="oracle.wsm.security", key="keystore-csf-key", user="keystore", password="password") $ createCred(map="oracle.wsm.security", key="sign-csf-key", user="orakey", password="password") $ createCred(map="oracle.wsm.security", key="enc-csf-key", user="orakey", password="password")
Javaクライアントを構成してキーストアおよびCSFを使用できるようにするには、クライアントに次のアイテムが存在している必要があります。
jps-config.xml
ファイルのクライアント・バージョン キーストアおよびCSFを使用するためにJavaクライアントを構成する手順は次のとおりです。
例26-5 Javaクライアントのjps-config.xmlファイルにおけるキーストアおよびCSFの場所
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <jpsConfig xmlns="http://xmlns.oracle.com/oracleas/schema/11/jps-config-11_1.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" schema-major-version="11" schema-minor-version="1" xsi:schemaLocation= "http://xmlns.oracle.com/oracleas/schema/11/jps-config-11_1.xsd jps-config-11_1.xsd"> <serviceProviders> <serviceProvider type="CREDENTIAL_STORE" name="credstoressp" class="oracle.security.jps.internal.credstore.ssp.SspCredentialStoreProvider"> <description>SecretStore-based CSF Provider</description> </serviceProvider> <serviceProvider type="KEY_STORE" name="keystore.provider" class="oracle.security.jps.internal.keystore.KeyStoreProvider"> <description>PKI Based Keystore Provider</description> <property name="provider.property.name" value="owsm"/> </serviceProvider> </serviceProviders> <serviceInstances> <serviceInstance name="credstore" provider="credstoressp" location="./"> <description>File Based Credential Store Service Instance</description> </serviceInstance> <serviceInstance name="keystore" provider="keystore.provider" location="./default-keystore.jks"> <description>Default JPS Keystore Service</description> <property name="keystore.type" value="JKS"/> <property name="keystore.csf.map" value="oracle.wsm.security"/> <property name="keystore.pass.csf.key" value="keystore-csf-key"/> <property name="keystore.sig.csf.key" value="sign-csf-key"/> <property name="keystore.enc.csf.key" value="enc-csf-key"/> </serviceInstance> </serviceInstances> <jpsContexts default="default"> <jpsContext name="default"> <serviceInstanceRef ref="credstore"/> <serviceInstanceRef ref="keystore"/> </jpsContext> </jpsContexts> </jpsConfig>