Oracle® Fusion Middleware Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理 12c (12.2.1.3.0) E90181-03 |
|
前 |
次 |
次のトピックが含まれています:
要件に最適に適合するセキュリティ・ポリシーは、基本的な要件、認証の要件、認証と認可の要件、および認証とメッセージ保護の要件によって判別されます。
次に示す一連の質問で、要件に最適なセキュリティ・ポリシーを確認できます。
セキュリティ・ポリシーの基本的な要件は何ですか。ユーザーのみを認証する必要があるのか、メッセージ保護のみが必要なのか、両方が必要なのかを決定してください。
認証のみが必要ですか。その場合は、手順2に進みます。
認可のみが必要ですか。「はい」の場合は、Oracle Web Services Managerを使用した認可の構成を参照してください。
認証および認可が必要ですか。その場合は、手順3に進みます。
メッセージ保護のみが必要ですか。その場合は、「セキュリティ・ポリシー - メッセージ保護のみ」を参照してください。
認証およびメッセージ保護の両方が必要ですか。その場合は、手順4に進みます。
認証のみが必要な場合は、考慮する必要のある基本的な質問が2つあります。
トークンをどこに組み込みますか。トランスポート・レイヤーとSOAPヘッダーのどちらにトークンを組み込みますか。
特定タイプのトークンを使用する必要がありますか。認証のみのポリシーでサポートされている資格証明は、ユーザー名/パスワード・トークン、SAMLトークンおよびKerberosトークンです。認証のみのポリシーの詳細は、「認証のみのポリシー」を参照してください。
認証および認可が必要な場合は、次の内容を考慮する必要があります。
手順2で、認証に関して決定した内容を確認してください。
認可ポリシーの詳細は、Oracle Web Services Managerを使用した認可の構成を参照してください。
認証とメッセージ保護の両方が必要な場合は、次の内容を考慮する必要があります。
メッセージ保護をトランスポート・レイヤーで処理しますか。その場合は、Username over SSL、SAML over SSL (Sender-Vouches)、SAML over SSL (Token Bearer)、HTTP token over SSLの4つのポリシー・セットから選択します。Kerberos over SSLもカスタム・ポリシーにより使用可能です。
1つのポリシー・セット(wss_http_token_over_ssl_client_policy
およびwss_http_token_over_ssl_service_policy
)では、認証もトランスポート・レイヤーで処理されます。その他3つのポリシーでは、認証はSOAPヘッダーで行われます。
WS-Security V1.0またはv1.1標準を使用している場合は、認証とメッセージ保護の両方がSOAPヘッダーで行われます。5組のポリシーで、ユーザー名/パスワード、SAML、X.509証明書およびKerberosのトークンがサポートされています。
詳細は、「セキュリティ・ポリシー - メッセージ保護および認証」を参照してください。
OWSMには様々な認証ポリシーが含まれており、どれが最適なものか明確でない場合があります。このトピックでは、選択された認証ポリシーとそれを使用すべき場面について説明します。
表3-1では、選択された認証ポリシーとそれを使用すべき場面について説明します。表3-1では、ポリシー名はワイルドカードを使用して表示されています(たとえば、*username_token*は、名前にusername_tokenが含まれるすべてのポリシーを示します。)
表3-1 適切な認証ポリシーの選択
ポリシー・タイプ | 説明 |
---|---|
*username_token* |
これらのポリシーでは、クライアントはユーザー名とパスワードをWebサービスに送信する必要があります。クライアントは、資格証明ストアでパスワードを使用可能である必要があります。このタイプのポリシーは、クライアントが実際のエンド・ユーザー名とは異なるアプリケーション識別子を使用してWebサービスに接続する必要があるアイデンティティ切替えで便利です。これは、最も簡単な認可ポリシーであるため、多種多様なサード・パーティ・クライアントと互換性があります。 |
*saml* |
これらのポリシーでは、クライアントはユーザー名を含むSAMLアサーションを送信する必要があります。SAMLには、次に示すバリアントがあります。
|
SAML送信者保証は、最も使用されるポリシーに含まれるユーザー名トークンであるため、OWSMはoracle/wss_saml_or_username_token_service_policy
など、これら2つを組み合せるORグループ・ポリシーを提供します。多くの場合、Webサービスはこのポリシーを使用します。このポリシーは、グローバル・ポリシー・アタッチメントの候補でもあります。
OWSMは、3つのレベルの機密性と整合性を提供します。
3つのレベルの機密性と整合性は次のとおりです。
機密性と整合性なし: 機密性と整合性には暗号化が必要です。これには、コンピュータ・リソースを消費します。ファイアウォール化されたプライベート・ネットワーク内のミドルウェア・サーバー間で交換されるメッセージでは、機密性および整合性に対する負担はありません。機密性と整合性を持たないOWSMポリシーは、ユーザー名トークンまたはSAMLを介した認証を提供します。
SSLベースの機密性と整合性: SSLはトランスポート・レベルの機密性と整合性を提供します。SSLによりHTTPSを使用するようエンドポイントを変更して、クライアントがHTTPSエンドポイントと対話できるようにする必要があります。
メッセージ・セキュリティ・ベースの機密性と整合性: メッセージ・セキュリティは、SSLよりパフォーマンスは低下しますが、次のいくつかの点でSSLよりも利点があります。
SSLとは異なり、メッセージがSSLの終了地点(ロード・バランサ、Oracle HTTP ServerまたはJ2EEコンテナなど)で保護されなくなっても、メッセージはメッセージ・セキュリティによりアプリケーションに到達するまでセキュアなままです。
SSLのセキュリティはコンテナ・レベルです。つまり、コンテナで実行されているすべてのWebサービスは、同一のキーを共有する必要があります。メッセージ・セキュリティでは、デフォルトではドメインで同一のキーを共有しますが、Webサービスごとにキーをオーバーライドできます。
OWSMでは、wss10とwss11の2つのリリースのメッセージ・セキュリティを提供しています。wss11はwss10を改善したもので、wss10ではすべてのクライアントがクライアント・キーを持つ必要がありましたが、wss11では必要ありません。(SAML送信者保証などの特定のポリシーでは、wss11でもクライアント・キーが必要です。)
また、wss11は必要とする非対称鍵の操作が少ないため、高速です。ただし、wss10は互換性の幅がより広く、一部のクライアントはwss10でのみ動作します。
wss10のみを使用できるクライアントをサポートする必要がある場合以外は、wss11のポリシーを使用してください。
事前定義済セキュリティ・ポリシーはWebサービスにセキュリティを提供します。これらのポリシーはトランスポート・レイヤーまたはSOAPヘッダーで施行されます。
次の項では、事前定義済セキュリティ・ポリシーを、提供するセキュリティのタイプと、ポリシーがトランスポート・レイヤーまたはSOAPヘッダーで実行されるかどうかに基づいてまとめています。事前定義済ポリシー・カテゴリの詳細は、『Oracle Web Services Managerの理解』のポリシー・カテゴリに関する項を参照してください。ポリシーの詳細は、Oracle Web Services Managerの事前定義済ポリシーを参照してください。
このトピックでは、SOAPおよびRESTful Webサービス用に提供されている認証のみのポリシーの一覧を示します。
表3-3に、SOAPおよびRESTful Webサービスに対して認証のみを実行するセキュリティ・ポリシーをまとめます。
表3-2 認証のみのポリシー: SOAPおよびRESTful Webサービス
クライアント・ポリシー | サービス・ポリシー | 認証(トランスポート) |
---|---|---|
あり |
||
該当なし |
あり |
|
あり |
||
あり |
||
次のいずれかをアタッチします。 HTTP OAMセキュリティをサポートするには、OAM Webgateを構成してリクエストをインターセプトする必要があります。詳細は、「oracle/multi_token_rest_service_policy」を参照してください。 |
あり |
|
次のいずれかをアタッチします。 HTTP OAMセキュリティをサポートするには、OAM Webgateを構成してリクエストをインターセプトする必要があります。詳細は、「oracle/multi_token_over_ssl_rest_service_policy」を参照してください。 |
あり |
表3-3に、SOAP Webサービスに対して認証のみを実行するセキュリティ・ポリシーをまとめ、トークンがトランスポート・レイヤーまたはSOAPヘッダーに組み込まれるかどうかを示します。
表3-3 認証のみのポリシー: SOAP Webサービスの場合のみ
クライアント・ポリシー | サービス・ポリシー | 認証(トランスポート) | 認証(SOAP) |
---|---|---|---|
あり |
なし |
||
なし |
あり |
||
なし |
あり |
||
なし |
あり |
||
なし |
あり |
表3-4に、AOuth2およびJWT Webサービスに対して認証のみを実行するセキュリティ・ポリシーをまとめます。
表3-4 認証のみのポリシー: OAuth2およびJWT Webサービス
クライアント・ポリシー | サービス・ポリシー | 認証(トランスポート) |
---|---|---|
あり |
||
oracle/http_oauth2_token_identity_switch_opc_oauth2_over_ssl_client_policy |
||
oracle/http_oauth2_token_identity_switch_over_ssl_client_policy |
あり |
|
Oracle Cloud用に予約済。 |
||
あり |
||
該当なし |
||
あり |
||
あり |
このトピックでは、メッセージ保護のみを実行するポリシーの概要と、ポリシーがトランスポート・レイヤーまたはSOAPヘッダーで実行されるかどうかを示します。
表3-5 メッセージ保護のみのポリシー
クライアント・ポリシー | サービス・ポリシー | 認証(トランスポート) | 認証(SOAP) | メッセージ保護(トランスポート) | メッセージ保護(SOAP) |
---|---|---|---|---|---|
なし |
なし |
なし |
あり |
||
なし |
なし |
なし |
あり |
このトピックでは、メッセージ保護と認証の両方を実行し、WS-Security 1.0または1.1標準に準拠しないポリシーの概要を示します。表には、ポリシーがトランスポート・レイヤーまたはSOAPヘッダーで実行されるかどうかが示されます。
表3-6 メッセージ保護および認証のポリシー
このトピックでは、認可を実行するセキュリティ・ポリシーの概要と、ポリシーがトランスポート・レイヤーまたはSOAPヘッダーで実行されるかどうかを示します。
表3-7 認可のみのポリシー
クライアント・ポリシー | 認証(トランスポート) | 認証(SOAP) | メッセージ保護(トランスポート) | メッセージ保護(SOAP) |
---|---|---|---|---|
なし |
あり |
なし |
なし |
|
なし |
あり |
なし |
なし |
|
なし |
あり |
なし |
なし |
|
なし |
あり |
なし |
なし |
|
なし |
あり |
なし |
なし |
|
なし |
あり |
なし |
なし |
|
なし |
あり |
なし |
なし |
このトピックでは、WS-Trustポリシーの概要を示します。
表3-8 WS-Trustポリシー
クライアント・ポリシー | サービス・ポリシー | 認証(トランスポート) | 認証(SOAP) | メッセージ保護(トランスポート) | メッセージ保護(SOAP) |
---|---|---|---|---|---|
なし |
なし |
なし |
なし |
||
oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policy |
oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policy |
あり |
なし |
あり |
なし |
oracle/wss11_sts_issued_saml_hok_with_message_protection_client_policy |
oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policy |
なし |
あり |
なし |
あり |
oracle/wss11_sts_issued_saml_with_message_protection_client_policy |
なし |
あり |
なし |
あり |
このトピックでは、現在のリリースでサポートされているMTOMアタッチメント・ポリシーの一覧を示します。
以下の点に注意する必要があります。
(直接またはグローバル・ポリシー・アタッチメントを介して)oracle/wsmtom_policy
ポリシーをアタッチすることによって、Fusion Middleware ControlからMTOMを構成する場合、リクエストがMTOMエンコードされていないと、エンドポイントはフォルトをスローします。MTOMポリシーは、MTOM形式ではないインバウンド・メッセージを拒否し、アウトバウンド・メッセージがMTOM形式であるかどうかを検証します。この使用方法の場合、リクエストはMTOM対応である必要があります。
oracle-webservices.xml
内のMTOM対応スイッチを編集したり、@MTOM
注釈をWebサービスに直接追加するなどして、Fusion Middleware Controlの外部でADF BC Webサービスに対してMTOMを構成する場合、エンドポイントはMTOMリクエストを受信できますが、リクエストがMTOMエンコードされていない場合にフォルトを返しません。この使用方法の場合、リクエストはMTOM対応の可能性がありますが、MTOM対応である必要はありません。
すべてのOWSMポリシーが、Java EE Webサービスおよびクライアントでサポートされるわけではありません。OWSMポリシーのサブセットのみがJava EE Webサービスおよびクライアントでサポートされます。
WebLogic JAX-WS Webサービスおよびクライアントに次のカテゴリのOWSMセキュリティ・ポリシーをアタッチできます。
認証のみ
メッセージ保護のみ
メッセージ保護および認証
認可
WS-Trust
WS-SecureConversation
次のカテゴリのOWSMポリシーは、現在WebLogic JAX-WS Webサービスおよびクライアントでサポートされていません。
アトミック・トランザクション
構成
管理
MTOMアタッチメント
動作無効
信頼できるメッセージング
SOAP Over JMSトランスポート
WS-Addressingポリシー
注意:
WebLogic Serverによって提供されるWebLogic Webサービス・ポリシーを使用して、Java EE (WebLogic) Webサービスを保護することもできます。WebLogic Webサービス・ポリシーは、WebLogic管理コンソールから管理します。サービス・ポリシーの詳細は、Oracle Web Service Managerセキュリティ・ポリシーの使用を参照してください
WebLogic Webサービス・ポリシーのサブセットは、OWSMポリシーと相互運用できます。詳細は、『Oracle Web Services Manager相互運用性ソリューション・ガイド』のOracle WebLogic Server 12c Webサービス・セキュリティ環境との相互運用性に関する項を参照してください。
OWSMポリシーは、JAX-RPC Webサービスにアタッチできません。
すべてのOWSMポリシーが、RESTful Webサービスおよびクライアントでサポートされるわけではありません。OWSMセキュリティ・ポリシーのサブセットのみが、RESTful Webサービスおよびクライアントでサポートされます。
これらのポリシーの概要を表3-9に示します。
注意:
この項は、Java EE、SOAおよびOracle Service Bus RESTful Webサービスとクライアントに適用されます。
OWSMポリシーは、Jersey 1.x JAX-RS RIを使用して構築されたRESTful Webサービスおよびクライアントにのみアタッチできます。Jersey 2.5 JAX-RS RIを使用して構築されたRESTful Webサービスおよびクライアントは、このリリースではOWSMポリシーを使用して保護できません。Jersey 2.5 JAX-RS RIを使用して作成されたRESTful Webサービスとクライアントを保護する場合の詳細は、『Oracle WebLogic Server RESTful Webサービスの開発と保護』の「RESTful Webサービスおよびクライアントの保護」を参照してください。
表3-9 RESTful WebサービスおよびクライアントでサポートされるOWSMセキュリティ・ポリシー
セキュリティ | サポートされているポリシー |
---|---|
認証ポリシー |
表3-2で定義された認証ポリシー |
認可 |
注意: |
注意:
oracle/http_spnego_token_service_template
アサーション・テンプレートを使用して作成する、SPNEGOトークン・ポリシーをアタッチすることもできます。詳細は、「SPNEGOネゴシエーションによるKerberosの構成」を参照してください。
すべてのOWSMポリシーが、SOAP Over JMSトランスポートを使用するWebサービスおよびクライアントでサポートされるわけではありません。SOAP Over JMSトランスポートを使用するWebサービスおよびクライアントでは、OWSMセキュリティ・ポリシーのサブセットのみがサポートされています。
これらのサポートされているポリシーには次のものが含まれます。
wsmtom_policy
wss_saml_token_bearer_client_policy
wss_username_token_client_policy
およびwss_username_token_service_policy
wss10_message_protection_client_policy
およびwss10_message_protection_service_policy
wss10_saml_token_client_policy
およびwss10_saml_token_service_policy
wss10_saml_hok_token_with_message_protection_client_policy
およびwss10_saml_hok_token_with_message_protection_service_policy
wss10_saml_token_with_message_integrity_client_policy
およびwss10_saml_hok_token_with_message_integrity_service_policy
wss10_saml_token_with_message_protection_client_policy
およびwss10_saml_token_with_message_protection_service_policy
wss10_saml_token_with_message_protection_ski_basic256_client_policy
およびwss10_saml_token_with_message_protection_ski_basic256_service_policy
wss10_username_token_with_message_protection_client_policy
およびwss10_username_token_with_message_protection_service_policy
wss10_x509_token_with_message_protection_client_policy
およびwss10_x509_token_with_message_protection_service_policy
wss11_kerberos_token_client_policy
およびwss11_kerberos_token_service_policy
wss11_kerberos_token_with_message_protection_client_policy
およびwss11_kerberos_token_with_message_protection_service_policy
wss11_kerberos_token_with_message_protection_basic128_client_policy
およびwss11_kerberos_token_with_message_protection_basic128_service_policy
wss11_message_protection_client_policy
およびwss11_message_protection_service_policy
wss11_saml_token_identity_switch_with_message_protection_client_policy
wss11_saml_token_with_message_protection_client_policy
およびwss11_saml_token_with_message_protection_service_policy
wss11_x509_token_with_message_protection_client_policy
およびwss11_x509_token_with_message_protection_service_policy
wss11_x509_token_with_message_protection_wssc_client_policy
およびwss11_x509_token_with_message_protection_wssc_service_policy
wss11_x509_token_with_message_protection_wssc_reauthn_client_policy
およびwss11_x509_token_with_message_protection_wssc_reauthn_service_policy
wss11_sts_issued_saml_hok_with_message_protection_client_policy
およびwss11_sts_issued_saml_hok_with_message_protection_service_policy
wss11_username_token_with_message_protection_client_policy
およびwss11_username_token_with_message_protection_service_policy
wss11_username_token_with_message_protection_wssc_client_policy
およびwss11_username_token_with_message_protection_wssc_service_policy
SOAP SOAコンポジット・サービスおよびクライアントには様々なOWSMポリシーをアタッチできますが、RESTful Webサービスおよびクライアントでサポートされるのは、OWSMセキュリティ・ポリシーの1つのサブセットのみです。
SOAP SOAコンポジット・サービスおよびクライアントについては、構成ポリシーで説明されているように構成ポリシーを除いて、Oracle Web Services Managerの事前定義済ポリシーで説明されているすべてのポリシーが適用されます。
RESTful SOAコンポジット・サービスおよびクライアントの詳細は、RESTful WebサービスおよびクライアントでサポートされるOWSMポリシーを参照してください。
このトピックでは、SSLを構成する必要があるOWSMポリシー、およびそれらのポリシーを作成するために使用できるテンプレートの一覧を示します。
詳細は、次の項を参照してください。
SSLの構成が必要なOWSMポリシーは次のとおりです。
oracle/wss_http_token_over_ssl_service_policy
oracle/wss_http_token_over_ssl_client_policy
oracle/wss_saml_token_bearer_over_ssl_server_policy
oracle/wss_saml_token_bearer_over_ssl_client_policy
oracle/wss_saml_token_over_ssl_service_policy
oracle/wss_saml_token_over_ssl_client_policy
oracle/wss_username_token_over_ssl_service_policy
oracle/wss_username_token_over_ssl_client_policy
http_basic_auth_over_ssl_client_policy
http_basic_auth_over_ssl_service_policy
http_jwt_token_over_ssl_client_policy
http_jwt_token_over_ssl_service_policy
http_oauth2_token_identity_switch_opc_oauth2_over_ssl_client_policy
http_oauth2_token_identity_switch_over_ssl_client_policy
http_oauth2_token_opc_oauth2_over_ssl_client_policy
http_oauth2_token_over_ssl_client_policy
http_saml20_token_bearer_over_ssl_client_policy
http_saml20_token_bearer_over_ssl_service_policy
multi_token_over_ssl_rest_service_policy
wss_http_token_over_ssl_client_policy
wss_http_token_over_ssl_service_policy
wss_saml20_token_bearer_over_ssl_client_policy
wss_saml20_token_bearer_over_ssl_service_policy
wss_saml20_token_over_ssl_client_policy
wss_saml20_token_over_ssl_service_policy
wss_saml_or_username_token_over_ssl_service_policy
wss_saml_token_bearer_over_ssl_client_policy
wss_saml_token_bearer_over_ssl_service_policy
wss_saml_token_over_ssl_client_policy
wss_saml_token_over_ssl_service_policy
wss_sts_issued_saml_bearer_token_over_ssl_client_policy
wss_sts_issued_saml_bearer_token_over_ssl_service_policy
wss_username_token_over_ssl_client_policy
wss_username_token_over_ssl_service_policy
wss_username_token_over_ssl_wssc_client_policy
wss_username_token_over_ssl_wssc_service_policy
次のテンプレートを使用して、SSLを必要とする新しいポリシーを作成できます。
oracle/wss_http_token_over_ssl_service_template。
oracle/wss_http_token_over_ssl_client_template
oracle/wss_saml_token_bearer_over_ssl_service_template。
oracle/wss_saml_token_bearer_over_ssl_client_template
oracle/wss_saml_token_over_ssl_service_template。
oracle/wss_saml_token_over_ssl_client_template
oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_template
oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_template
oracle/wss_username_token_over_ssl_service_template。
oracle/wss_username_token_over_ssl_client_template
http_jwt_token_over_ssl_client_template
http_jwt_token_over_ssl_service_template
http_oauth2_token_over_ssl_client_template
wss11_kerberos_token_over_ssl_client_template
wss11_kerberos_token_over_ssl_service_template
wss_http_token_over_ssl_client_ template
wss_http_token_over_ssl_service_ template
wss_saml20_token_bearer_over_ssl_client_template
wss_saml20_token_bearer_over_ssl_service_template
wss_saml20_token_over_ssl_client_template
wss_saml20_token_over_ssl_service_template
wss_saml_token_bearer_over_ssl_client_template
wss_saml_token_bearer_over_ssl_service_template
wss_saml_token_over_ssl_client_template
wss_saml_token_over_ssl_service_template
wss_sts_issued_saml_bearer_token_over_ssl_client_template
wss_sts_issued_saml_bearer_token_over_ssl_service_template
wss_username_token_over_ssl_ client_template
wss_username_token_over_ssl_ service_template
これらのアサーションおよびポリシーの詳細は、「Oracle Web Services Managerの事前定義済アサーション・テンプレート」および「Oracle Web Services Managerの事前定義済ポリシー」を参照してください。
このトピックでは、双方向SSLの構成が必要なOWSMポリシーの一覧を示します。
oracle/wss_saml_token_over_ssl_client_policy
oracle/wss_saml_token_over_ssl_service_policy
oracle/wss_username_token_over_ssl_client_policy
(相互認証を選択した場合)
oracle/wss_username_token_over_ssl_service_policy
(相互認証を選択した場合)
oracle/wss_http_token_over_ssl_client_policy
(相互認証を選択した場合)
oracle/wss_http_token_over_ssl_service_policy
(相互認証を選択した場合)
すべてのOWSMポリシーでアイデンティティ・コンテキスト機能がサポートされるわけではありません。OWSMセキュリティ・ポリシーのサブセットのみがアイデンティティ・コンテキスト機能でサポートされます。
アイデンティティ・コンテキスト機能の詳細は、「OWSMによるアイデンティティ・コンテキストの伝播について」を参照してください。
次のSAMLポリシーは、propagate.identity.context
構成プロパティをサポートしています。
oracle/http_saml20_token_bearer_service_policy
およびoracle/http_saml20_token_bearer_client_policy
oracle/http_saml20_token_bearer_over_ssl_service_policy
およびoracle/http_saml20_token_bearer_over_ssl_client_policy
oracle/wss_saml_or_username_token_service_policy
oracle/wss_saml_or_username_token_over_ssl_service_policy
oracle/wss_saml_token_bearer_over_ssl_service_policy
およびoracle/wss_saml_token_bearer_over_ssl_client_policy
oracle/wss_saml_token_over_ssl_service_policy
およびoracle/wss_saml_token_over_ssl_client_policy
oracle/wss_saml20_token_bearer_over_ssl_service_policy
およびoracle/wss_saml20_token_bearer_over_ssl_client_policy
oracle/wss_saml20_token_over_ssl_service_policy
およびoracle/wss_saml20_token_over_ssl_client_policy
oracle/wss10_saml_token_service_policy
およびoracle/wss10_saml_token_client_policy
oracle/wss10_saml_token_with_message_integrity_service_policy
およびoracle/wss10_saml_token_with_message_integrity_client_policy
oracle/wss10_saml_token_with_message_protection_service_policy
およびoracle/wss10_saml_token_with_message_protection_client_policy
oracle/wss10_saml_token_with_message_protection_ski_basic256_service_policy
およびoracle/wss10_saml_token_with_message_protection_ski_basic256_client_policy
oracle/wss10_saml20_token_service_policy
およびoracle/wss10_saml20_token_client_policy
oracle/wss10_saml20_token_with_message_protection_service_policy
およびoracle/wss10_saml20_token_with_message_protection_client_policy
oracle/wss11_saml_token_with_message_protection_service_policy
およびoracle/wss11_saml_token_with_message_protection_client_policy
oracle/wss11_saml_or_username_token_with_message_protection_service_policy
oracle/wss11_saml20_token_with_message_protection_service_policy
およびoracle/wss11_saml20_token_with_message_protection_client_policy
デフォルトでWS-SecureConversationが有効化されているOWSMポリシーの詳細を示します。
デフォルトでWS-SecureConversationが有効になるOWSMポリシーを次に示します。
oracle/wss11_saml_token_with_message_protection_wssc_client_policy
oracle/wss11_saml_token_with_message_protection_wssc_service_policy
oracle/wss11_saml_token_with_message_protection_wssc_reauthn_client_policy
oracle/wss11_saml_token_with_message_protection_wssc_reauthn_service_policy
oracle/wss11_username_token_with_message_protection_wssc_client_policy
oracle/wss11_username_token_with_message_protection_wssc_service_policy
oracle/wss11_x509_token_with_message_protection_wssc_client_policy
oracle/wss11_x509_token_with_message_protection_wssc_service_policy
oracle/wss_username_token_over_ssl_wssc_client_policy
oracle/wss_username_token_over_ssl_wssc_service_policy
これらのポリシーに加え、多くの事前定義済アサーション・テンプレートに基づくポリシーがWS-SecureConversationをサポートしています。詳細は、「Oracle Web Services Managerの事前定義済アサーション・テンプレート」を参照してください。
注意:
WS-SecureConversationポリシーではSOAP over JMSはサポートされません。
すべてのOWSMポリシーでJCAアダプタがサポートされるわけではありません。OWSMセキュリティ・ポリシーのサブセットのみがJCAアダプタでサポートされます。
OWSMでは、JCAアダプタに対して次の事前定義済ポリシーがサポートされています。
oracle/pii_security_policy
さらに、pii_security_policy
をクローニングして作成したカスタム・ポリシーやoracle/pii_security_template
に基づいたカスタム・ポリシーも使用できます。このポリシーの使用方法の詳細は、「個人情報の保護」を参照してください。
注意:
このポリシーは、SOAおよびOracle Service Bus環境のみでサポートされています。
すべてのOWSMポリシーでOES統合がサポートされるわけではありません。OWSMセキュリティ・ポリシーのサブセットのみがOES統合でサポートされます。
OWSMでは、OES統合に対して次の事前定義済ポリシーがサポートされています。
oracle/binding_oes_authorization_policy
oracle/binding_oes_masking_policy
oracle/component_oes_authorization_policy
さらに、OESポリシーをクローニングして作成したカスタム・ポリシーやOESテンプレートに基づいたカスタム・ポリシーも使用できます。これらのポリシーの使用方法の詳細は、「Oracle Entitlements Serverを使用したファイングレイン認可の構成について」を参照してください。
すべてのOWSMポリシーで個人の身元を特定する情報(PII)がサポートされるわけではありません。OWSMセキュリティ・ポリシーのサブセットのみがPIIでサポートされます。
OWSMでは、PIIを保護するために次の事前定義済ポリシーがサポートされています。
oracle/pii_security_policy
さらに、pii_security_policy
をクローニングして作成したカスタム・ポリシーやoracle/pii_security_template
に基づいたカスタム・ポリシーも使用できます。このポリシーの使用方法の詳細は、「個人情報の保護」を参照してください。
注意:
このポリシーは、SOAおよびOracle Service Bus環境のみでサポートされています。
Oracle Service BusでサポートされるOWSMポリシーの詳細を説明します。
Oracle Service Busについては、表3-10で示されているものを除き、Oracle Web Services Managerの事前定義済ポリシーで説明されているすべてのポリシーが適用されます。この表は、SOAPおよび非SOAPサービス両方でのサポートされないOWSMアサーションの一覧であり、アサーションを含むポリシーを示し、影響を受ける機能とその機能を実現するための代替方法について説明しています。記述されていないアサーションは、ユーザー定義アサーションも含めてサポートされます。
表3-10 Oracle Service Busでサポートされないポリシーおよびアサーション
サポートされないアサーション | アサーションを含むOWSMポリシー | 影響を受ける機能と代替方法 |
---|---|---|
binding-permission-authorization |
|
サービスに対する許可ベースのアクセス制御。 代替方法: XACML認可ポリシーを使用します。 |
sca-component-auhorization |
|
コンポーネントにアクセスするすべてを拒否または許可するロール・ベースのアクセス制御。 代替方法: 使用できません。 |
sca-component-pemission-authorization |
|
コンポーネントに対する許可ベースのアクセス制御 代替方法: 使用できません。 |
OptimizedMimeSerialization |
|
MTOM (メッセージ転送最適化メカニズム) 代替方法: プロキシ・サービスまたはビジネス・サービスで直接MTOM構成を使用します。 |
RMアサーション |
|
WS-RM 1.0/1.1 代替方法: WS-RM 1.0用のService Busで直接WSトランスポートを使用します。 |
UsingAddressing |
|
WS-Addressingが要件 代替方法: SOA-DIRECTトランスポートを使用するビジネス・サービスでWS-Addressingを構成するか、Service BusパイプラインのメッセージにWS-Addressingを追加します。 |