Oracle® Fusion Middleware Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理 12c (12.2.1.3.0) E90181-03 |
|
前 |
次 |
注意:
現行リリースとともに配布される事前定義済のポリシーおよびアサーション・テンプレートは、読取り専用です。これらのポリシーまたはアサーション・テンプレートを変更するには、前もってそれらをコピーする必要があります。アサーション内の属性をポリシーに追加してから構成することもできます。アサーション・テンプレートの管理およびポリシーへの追加の詳細は、「ポリシー・アサーション・テンプレートの管理」を参照してください。
各表内の構成設定の詳細な説明については、Oracle Web Servicesのアサーション・テンプレートの設定を参照してください。
表に一覧されている構成プロパティの詳細は、Oracle Web Servicesのアサーション・テンプレートの構成プロパティを参照してください。構成プロパティの編集方法の詳細は、アサーション・テンプレートの構成プロパティの編集を参照してください。ポリシーのオーバーライドの詳細は、「ポリシー構成のオーバーライドの概要」を参照してください。
この表には、認証のみを実行するアサーション・テンプレートがまとめられ、トークンがトランスポート・レイヤーまたはSOAPヘッダーに組み込まれるかどうかが示されています。
表18-1 認証のみのアサーション・テンプレート
クライアント・テンプレート | サービス・テンプレート | 認証(トランスポート) | 認証(SOAP) | 認証(REST) | メッセージ保護(トランスポート) | メッセージ保護(SOAP) |
---|---|---|---|---|---|---|
該当なし |
なし |
なし |
あり |
なし |
なし |
|
なし |
なし |
あり |
あり |
なし |
||
なし |
なし |
あり |
あり |
なし |
||
あり |
なし |
なし |
なし |
なし |
||
なし |
あり |
なし |
なし |
なし |
||
なし |
あり |
なし |
なし |
なし |
||
なし |
あり |
なし |
なし |
なし |
||
なし |
あり |
なし |
なし |
なし |
||
なし |
あり |
なし |
なし |
なし |
||
- |
なし |
あり |
なし |
なし |
なし |
|
- |
なし |
あり |
なし |
なし |
なし |
|
なし |
あり |
なし |
なし |
なし |
||
なし |
あり |
なし |
なし |
なし |
表18-2は、メッセージ保護のみを実行するアサーション・テンプレートの概要、およびトークンがトランスポート・レイヤーまたはSOAPヘッダーに組み込まれるかどうかを示しています。
表18-2 メッセージ保護のみのアサーション・テンプレート
クライアント・テンプレート | サービス・テンプレート | 認証(トランスポート) | 認証(SOAP) | メッセージ保護(トランスポート) | メッセージ保護(SOAP) |
---|---|---|---|---|---|
なし |
なし |
なし |
あり |
||
なし |
なし |
なし |
あり |
表18-3は、メッセージ保護および認証の両方を実行するアサーション・テンプレートの概要、およびトークンがトランスポート・レイヤーまたはSOAPヘッダーに組み込まれるかどうかを示しています。
表18-3 メッセージ保護および認証のアサーション・テンプレート
このトピックは、OES統合に使用されるアサーション・テンプレートの概要を示しています。
次のトピックが含まれています:
oracle/binding_oes_authorization_templateは、Oracle Entitlements Server (OES)で定義されたポリシーに基づき、認可を設定します。
oracle/binding_oes_masking_templateは、Oracle Entitlements Server (OES)で定義されたポリシーに基づいてレスポンス・マスキングを実行します。
oracle/component_oes_authorization_templateは、Oracle Entitlements Server (OES)で定義されたポリシーに基づき、認可を設定します。このテンプレートは、SCAコンポーネントのファイングレイン認可に使用されます。
この項は、PIIセキュリティに使用されるアサーション・テンプレートの概要を示しています。
oracle/pii_security_templateは、SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロール・ベースの認可を行います。
この項には、WS-Trustアサーション・テンプレートがまとめられています。
注意:
このリリースでは、Fusion Middleware Controlを使用してアサーション・テンプレートのテキストを直接編集できますが、「設定」ページおよび「構成」ページは使用できません。oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_template
oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_template
oracle/wss11_sts_issued_saml_hok_with_message_protection_client_template
oracle/wss11_sts_issued_saml_hok_with_message_protection_service_template
oracle/wss11_sts_issued_saml_with_message_protection_client_template
このトピックに、認可に使用されるアサーション・テンプレートをまとめます。それぞれの認可アサーション・テンプレートは、認証アサーション・テンプレートの後に続ける必要があります。
oracle/binding_authorization_templateは、SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロール・ベースの認可を行います。
oracle/binding_permission_authorization_templateは、SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単な権限ベースの認可を行います。
oracle/component_authorization_templateは、SOAコンポーネント・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロールベースの認可を行います。
oracle/component_permission_authorization_templateは、SOAコンポーネント・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単な権限ベースの認可を行います。
このトピックには、管理アサーション・テンプレートがまとめられています。
oracle/security_log_templateは、すべてのバインディングまたはコンポーネントに添付可能な、ロギング・アサーション・テンプレートを提供します。
このトピックでは、http_oam_token_service_template
アサーション・テンプレートについて説明します。
表示名: HTTP OAMサービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: http-oam-security
説明
http_oam_token_service_template
アサーション・テンプレートによって、OAMエージェントがユーザーを認証し、アイデンティティを確立したことが検証されます。このポリシーは、HTTPベースのすべてのエンドポイントに適用できます。
設定
表18-4は、http_oam_token_service_template
アサーション・テンプレートの設定を示しています。
表18-4 http_oam_token_service_templateの設定
名前 | デフォルト値 |
---|---|
認証ヘッダー |
|
|
|
なし |
構成
表18-5は、http_oam_token_service_template
アサーション・テンプレートのデフォルト構成プロパティとデフォルト設定を示しています。
表18-5 http_oam_token_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
remote-user | OAM_REMOTE_USER | オプション |
このトピックでは、http_saml20_token_bearer_client_template
アサーション・テンプレートについて説明します。
表示名: HTTP Saml Bearer V2.0トークン・クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: http-saml20-bearer-security
説明
http_saml20_token_bearer_client_template
アサーション・テンプレートによって、アウトバウンドSOAPリクエスト・メッセージにSAML 2.0トークンが組み込まれます。確認方法がBearerのSAMLトークンが自動的に作成されます。
設定
表18-6は、http_saml20_token_bearer_client_template
アサーション・テンプレートの設定を示しています。
表18-6 http_saml20_token_bearer_client_templateの設定
名前 | デフォルト値 |
---|---|
認証ヘッダー |
|
|
|
なし |
構成
表18-7は、http_saml20_token_bearer_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-7 http_saml20_token_bearer_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
|
オプション |
|
|
オプション |
|
|
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
auth.header.token.type |
|
オプション |
このトピックでは、http_saml20_token_bearer_service_template
アサーション・テンプレートについて説明します。
表示名: HTTP Saml Bearer V2.0トークン・サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: http-saml20-bearer-security
説明
http_saml20_token_bearer_service_template
アサーション・テンプレートでは、WS-Security SOAPヘッダー内の、確認方式がBearerとなっているSAMLトークンに指定されている資格証明を使用して、ユーザーが認証されます。
設定
http_saml20_token_bearer_service_template
アサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表18-6を参照してください。
構成
表18-63は、http_saml20_token_bearer_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-8 http_saml20_token_bearer_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
このトピックでは、http_spnego_token_client_template
アサーション・テンプレートについて説明します。
表示名: SPNEGOトークン・クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: http-spnego-security
説明
http_spnego_token_client_template
アサーション・テンプレートは、KerberosトークンとSimple and Protected GSSAPI Negotiation Mechanism (SPNEGO)プロトコルを使用した認証を提供します。
設定
表18-9は、http_spnego_token_client_template
アサーション・テンプレートの設定を示しています。
表18-9 http_spnego_token_client_templateの設定
名前 | デフォルト値 |
---|---|
認証ヘッダー |
|
|
|
なし |
構成
表18-10は、http_spnego_token_client_template
アサーション・テンプレートの設定の構成プロパティおよびデフォルト設定を示しています。
表18-10 http_spnego_token_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
必須 |
|
なし |
オプション |
|
なし |
オプション |
|
|
必須 |
|
|
定数 |
|
なし |
オプション |
このトピックでは、http_spnego_token_service_template
アサーション・テンプレートについて説明します。
表示名: SPNEGOトークン・サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: http-spnego-security
説明
http_spnego_token_service_template
アサーション・テンプレートは、KerberosトークンとSPNEGOプロトコルを使用した認証を提供します。
設定
http_spnego_token_service_template
アサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表18-9を参照してください。
構成
表18-11は、http_spnego_token_service_template
アサーション・テンプレートの設定の構成プロパティおよびデフォルト設定を示しています。
表18-11 http_spnego_token_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
|
必須 |
|
なし |
オプション |
このトピックでは、wss_http_token_client_template
アサーション・テンプレートについて説明します。
表示名: Wss HTTPトークン・クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: http-security
説明
wss_http_token_client_template
アサーション・テンプレートでは、HTTPヘッダー内にユーザー名およびパスワード資格証明が組み込まれます。一方向認証または双方向認証が必要かどうかを制御できます。
設定
表18-12は、wss_http_token_client_template
アサーション・テンプレートの設定を示しています。
表18-12 wss_http_token_client_templateの設定
名前 | デフォルト値 |
---|---|
認証ヘッダー |
|
|
|
なし |
|
Transport Layer Security |
|
無効 |
|
無効 |
|
無効 |
構成
表18-13は、wss_http_token_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-13 wss_http_token_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
必須 |
|
|
定数 |
|
なし |
オプション |
|
|
オプション |
このトピックでは、wss_http_token_service_template
アサーション・テンプレートについて説明します。
表示名: Wss HTTPトークン・サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: http-security
説明
wss_http_token_service_template
アサーション・テンプレートでは、HTTPヘッダーの資格証明を使用して、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーが認証されます。一方向認証または双方向認証が必要かどうかを制御できます。
設定
wss_http_token_service_template
の設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表18-12を参照してください。
構成
表18-14は、wss_http_token_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-14 wss_http_token_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
|
定数 |
|
なし |
オプション |
このトピックでは、wss_username_token_client_template
アサーション・テンプレートについて説明します。
表示名: Wssユーザー名トークン・クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-username-token
説明
wss_username_token_client_template
アサーション・テンプレートでは、WS-Security UsernameTokenヘッダー内にユーザー名およびパスワード資格証明を使用した認証が組み込まれます。アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
注意:
ダイジェスト・パスワードを使用しないと、このテンプレートを使用して作成されたポリシーはセキュアではなくなります。このアサーションは、セキュリティが低くても問題にならない場合にのみプレーン・テキストでまたはパスワードなしで、または他のメカニズムでトランスポートが保護されていることがはっきりしている場合に使用してください。または、このアサーションのSSLバージョンであるoracle/wss_username_token_over_ssl_client_templateの使用を検討します。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。
設定
表18-15は、wss_username_token_client_template
アサーション・テンプレートの設定を示しています。
構成
表18-16は、wss_username_token_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-16 wss_username_token_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
必須 |
|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
このトピックでは、wss_username_token_service_template
アサーション・テンプレートについて説明します。
表示名: Wssユーザー名トークン・サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-username-token
説明
wss_username_token_service_template
アサーション・テンプレートでは、WS-Security UsernameToken SOAPヘッダー内のユーザー名およびパスワード資格証明を使用した認証が実行されます。アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
注意:
ダイジェスト・パスワードを使用しないと、このテンプレートを使用して作成されたポリシーはセキュアではなくなります。このアサーションは、セキュリティが低くても問題にならない場合にのみプレーン・テキストでまたはパスワードなしで、または他のメカニズムでトランスポートが保護されていることがはっきりしている場合に使用してください。または、このアサーションのSSLバージョンであるoracle/wss_username_token_over_ssl_service_templateの使用を検討します。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。
設定
wss_username_token_service_template
の設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表18-15を参照してください。
構成
表18-17は、wss_username_token_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-17 wss_username_token_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
このトピックでは、wss10_saml_token_client_template
アサーション・テンプレートについて説明します。
表示名: Wss10 SAMLトークン・クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-token
説明
wss10_saml_token_client_template
アサーション・テンプレートでは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンが組み込まれます。SAMLトークンは自動的に作成されます。
設定
表18-18は、wss10_saml_token_client_template
アサーション・テンプレートの設定を示しています。
表18-18 wss10_saml_token_client_templateの設定
名前 | デフォルト値 |
---|---|
SAMLトークン・タイプ |
|
|
|
|
|
未指定 |
構成
表18-19は、wss10_saml_token_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-19 wss10_saml_token_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
|
オプション |
|
|
オプション |
|
|
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
このトピックでは、wss10_saml_token_service_template
アサーション・テンプレートについて説明します。
表示名: Wss10 SAMLトークン・サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-token
説明
wss10_saml_token_service_template
アサーション・テンプレートでは、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明を使用してユーザーが認証されます。
設定
wss10_saml_token_service_template
の設定は、クライアント・バージョンのアサーションの設定と同じです。設定の詳細は、表18-18を参照してください。
構成
表18-20は、wss10_saml_token_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-20 wss10_saml_token_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss10_saml20_token_client_template
アサーション・テンプレートについて説明します。
表示名: Wss10 SAML V2.0トークン・クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-token
説明
wss10_saml20_token_client_template
アサーション・テンプレートでは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンが組み込まれます。SAMLトークンは自動的に作成されます。
設定
表18-21は、wss10_saml20_token_client_template
アサーション・テンプレートの設定を示しています。
表18-21 wss10_saml20_token_client_templateの設定
名前 | デフォルト値 |
---|---|
SAMLトークン・タイプ |
|
|
|
|
|
未指定 |
構成
表18-22は、wss10_saml20_token_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティの設定の詳細は、「アサーション・テンプレートの構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「ポリシー構成のオーバーライドの概要」を参照してください。
表18-22 wss10_saml20_token_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
|
オプション |
|
|
オプション |
|
|
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
このトピックでは、wss10_saml20_token_service_template
アサーション・テンプレートについて説明します。
表示名: Wss10 SAML V2.0トークン・サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-token
説明
wss10_saml20_token_service_template
アサーション・テンプレートでは、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明を使用してユーザーが認証されます。
設定
wss10_saml20_token_service_template
の設定は、クライアント・バージョンのアサーション・テンプレートの設定と同様です。設定の詳細は、表18-21を参照してください。
構成
表18-23は、wss10_saml20_token_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。構成プロパティの設定の詳細は、「アサーション・テンプレートの構成プロパティの編集」を参照してください。
ポリシーのオーバーライドの詳細は、「ポリシー構成のオーバーライドの概要」を参照してください。
表18-23 wss10_saml20_token_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss11_kerberos_token_client_template
アサーション・テンプレートについて説明します。
表示名: Wss11 Kerberosトークン・クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: kerberos-security
説明
wss11_kerberos_token_client_template
アサーション・テンプレートでは、WS-Security Kerberos Token Profile v1.1標準に従って、WS-SecurityヘッダーにKerberosトークンが組み込まれます。
設定
表18-24は、wss11_kerberos_token_client_template
アサーション・テンプレートの設定を示しています。
表18-24 wss11_kerberos_token_client_templateの設定
名前 | デフォルト値 |
---|---|
Kerberosトークン・タイプ |
|
|
|
無効 |
構成
表18-25は、wss11_kerberos_token_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-25 wss11_kerberos_token_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
必須 |
|
なし |
オプション |
|
なし |
オプション |
|
|
必須 |
|
なし |
オプション |
このトピックでは、wss11_kerberos_token_service_template
アサーション・テンプレートについて説明します。
表示名: Wss11 Kerberosトークン・サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: kerberos-security
説明
wss11_kerberos_token_service_template
アサーション・テンプレートは、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。このテンプレートは、SOAPヘッダーからKerberosトークンを抽出し、ユーザーを認証します。コンテナには、Oracle Platform Security Servicesを介して構成されたKerberosインフラストラクチャが含まれている必要があります。
設定
wss11_keberos_token_service_template
の設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表18-24を参照してください。
構成
表18-26は、wss11_kerberos_token_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-26 wss11_kerberos_token_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
必須 |
|
|
定数 |
|
なし |
オプション |
http_oauth2_token_client_templateアサーション・テンプレートは、OAuth2トークンの認証のためのHTTPバインディング・レベル・テンプレートです。
設定
表18-27は、http_oauth2_token_client_templateアサーション・テンプレートの設定を示しています。
表18-27 http_oauth2_token_client_templateの設定
名前 | 説明 | デフォルト値 |
---|---|---|
認証ヘッダー - メカニズム |
認証のメカニズム。 有効な値は次のとおりです。
|
<orasp:auth-header orasp:mechanism="oauth2"/> |
認証ヘッダー - ヘッダー名 |
認証ヘッダーの名前。 |
なし |
認証ヘッダー - 署名済 |
トークンに署名するかどうかを指定するフラグ。 |
<orasp:auth-header orasp:is-signed="false"/> |
認証ヘッダー - 暗号化済 |
トークンを暗号化するかどうかを指定するフラグ。 |
<orasp:auth-header orasp:is-encrypted="false"/> |
構成
表18-28は、http_oauth2_token_client_templateアサーション・テンプレートのデフォルト構成プロパティを示しています。
表18-28 http_oauth2_token_client_templateの構成プロパティ
名前 | 説明 |
---|---|
audience.uri |
オーディエンス制限。次の条件がサポートされています。
デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="audience.uri" orawsp:type="string"> <orawsp:Value/> <orawsp:DefaultValue>NONE</orawsp:DefaultValue> |
authz.code |
3-legged OAuth2ユースケースの認可コードを渡すためのオプションのプロパティ。(このリリースではサポートされていません。) デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="authz.code" orawsp:type="string"> <orawsp:Value/> |
csf-key |
Oracle Platform Security Services(OPSS)アイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定: <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key"> <orawsp:Value/> |
csf.map |
CSF別名を含む資格証明ストア内のOracle WSMマップ。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="csf.map" orawsp:type="string"/> このプロパティの <orawsp:Property orawsp:contentType="optional" orawsp:name="csf.map" orawsp:type="string"/> <orawsp:Value>app-level-mapname.map</orawsp:Value> </orawsp:Property> アプリケーション・レベルのマップへのアクセスでは、 |
federated.client.token |
オプションのプロパティです。デフォルトでは、oauth2.client.csf.keyおよびkeystore.sig.csf.keyプロパティを使用してクライアントのJWTトークンが生成されます。 falseに設定すると、oauth2.client.csf.keyを使用してOAuthサーバーへのクライアント・リクエストで送信する認可ヘッダーが生成されます。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="federated.client.token" orawsp:type="boolean"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> |
include.certificate |
trueの場合、署名証明書と信頼できる証明書チェーン(CAにより発行された証明書の場合)をJWTトークン要求に含めます。JWTトークンのサイズが大きくなりますが、サービス側キーストアに証明書および証明書チェーンをインポートする必要はありません。 falseの場合、証明書の拇印および別名のみをJWTトークンに含めます。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="include.certificate" orawsp:type="string"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> |
issuer.name |
ローカルに生成されるJWTトークン(iss:claim)で使用される発行者名を指定するオプションのプロパティ。デフォルトは、www.oracle.comです。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="issuer.name" orawsp:type="string"> <orawsp:Value/> <orawsp:DefaultValue>www.oracle.com</orawsp:DefaultValue> |
keystore.sig.csf.key |
ローカルに作成されるJWTトークンの署名のためのOracle WSMキーストアからのテナント・キーを指定するオプションのプロパティ。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key" orawsp:type="string"> <orawsp:Value/> |
oauth2.client.csf.key |
クライアントのユーザー名とパスワードを取得するために使用するキーを指定する必須プロパティ。 oauth2.client.csf.keyの値は、クライアント・プロファイルで必要とされるクライアントIDおよびシークレットと一致する必要があります(『Oracle Access Manager with Oracle Security Token Service管理者ガイド』のOAuthクライアント・プロファイル構成の理解に関する項を参照)。
oauth2.client.csf.keyをオーバーライドした場合は、その値が使用されます。そうでない場合は、oauth2_config_client_policyのoauth2.client.csf.keyの値が使用されます。 デフォルト設定: <orawsp:Property orawsp:type="string" orawsp:contentType="required" orawsp:name="oauth2.client.csf.key"> <orawsp:Value/> <orawsp:DefaultValue>NONE</orawsp:DefaultValue> </orawsp:Property> |
oracle.oauth2.service |
トークン発行者のデフォルト動作およびスコープの決定方法を指定するオプションのプロパティ。trueの場合は、クライアントIDがOAuth2サーバーのユーザーおよびクライアントJWTトークンの発行者として使用されます。この場合、 falseの場合、発行者はwww.oracle.comのデフォルト値を持つ |
propagate.identity.context |
アイデンティティ・コンテキスト情報をJWTトークンで要求として伝播するかどうかを指定するオプションのプロパティ。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="propagate.identity.context" orawsp:type="string"> <orawsp:Value/> |
redirect.uri |
アクセス権が付与または拒否された後、ユーザー・エージェントをクライアントにリダイレクトするためにOAuthサーバーが使用するリダイレクトURIを指定するオプションのプロパティ。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="redirect.uri" orawsp:type="string"> <orawsp:Value/> |
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="reference.priority" orawsp:type="string"/> |
scope |
OAuth2リクエストのスコープ(現状のまま)を指定するオプションのプロパティ。存在する場合、OAuth2トークン・リクエストにスコープと値を含めます。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="scope" orawsp:type="string"> <orawsp:Value/> スコープは、
|
subject.precedence |
JWTトークンの作成に使用されるサブジェクトを取得する場所を指定するプロパティ。 表10-2で説明されているように:
デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="subject.precedence" orawsp:type="string"> <orawsp:Value>true</orawsp:Value> </orawsp:Property> |
time.in.millis |
標準のNumericDate (JWTトークン内のexp (Expiry)クレームおよびiat (Issued AT)クレームの値に対する単位としての秒/Epoch後)をサポートします。 trueの場合は、ミリ秒/Epoch後が使用されます。それ以外の場合は、秒/Epoch後が使用されます。 デフォルト設定: <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> |
user.attributes |
ユーザー属性を要求としてJWTトークンに挿入するかどうかを指定するオプションのプロパティ。 含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2と指定します。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。Oracle WSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をJWTトークンに含めます。 サブジェクトが有効であり、 クライアント・ポリシーは、
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合、検索する追加のアイデンティティ・ストアを指定できます。詳細は、「アサーションへのユーザー属性の組込み」を参照してください。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="user.attributes" orawsp:type="string"> <orawsp:Value/> |
user.roles.include |
サブジェクトからのユーザー・ロールを要求としてJWTトークンに含めるかどうかを指定するオプションのプロパティ。trueに設定した場合、認証済ユーザー・ロールがプライベート・クレームとしてJWTトークンに含められます。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="user.roles.include" orawsp:type="boolean"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> |
user.tenant.name |
内部使用に予約されています。 |
set.client.id |
Set.client.idは、デフォルトではfalseに設定されています。Trueに設定した場合、OWSMはクライアントIDをOAuth2プロバイダにアクセス・トークン・リクエストで問合せパラメータとして送信します。デフォルト設定:
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="set.client.id"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> |
oracle/http_jwt_token_service_templateは、HTTPヘッダー内のJWTトークンに指定されている資格証明を使用してユーザーを認証します。
設定
http_jwt_token_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表18-37を参照してください。
構成
表18-29は、http_jwt_token_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-29 http_jwt_token_service_templateの構成プロパティ
名前 | デフォルト値 |
---|---|
trusted.issuers |
ドメイン・レベルで定義された信頼できる発行者をオーバーライドする、アプリケーションの信頼できる発行者のカンマ区切りリスト。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="saml.trusted.issuers" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> |
csf.map |
CSF別名を含む資格証明ストア内のOracle WSMマップ。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="csf.map" orawsp:type="string"/> |
keystore.sig.csf.key |
署名キー・パスワードをキーストアに格納するために使用する別名とパスワード。指定した場合、このcsf-keyに対応するキーがキーストアからフェッチされ、署名に使用されます。このプロパティにより、ドメイン・レベルのかわりに添付レベルで署名キーを指定できます。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key" orawsp:type="string"/> |
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="reference.priority" orawsp:type="string"/> |
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="propagate.identity.context" orawsp:type="string"><orawsp:Value/> |
http_oauth2_token_over_ssl_client_templateアサーション・テンプレートは、OAuth2トークンの認証のためのHTTPバインディング・レベル・テンプレートです。このテンプレートは、ATが一方向SSLでリソースに伝播される以外は、http_oauth2_token_client_templateと同じです。
設定
表18-30は、http_oauth2_token_over_ssl_client_templateアサーション・テンプレートの設定を示しています。
表18-30 http_oauth2_token_over_ssl_client_templateの設定
名前 | 説明 | デフォルト値 |
---|---|---|
認証ヘッダー - メカニズム |
認証のメカニズム。 有効な値は次のとおりです。
|
<orasp:auth-header orasp:mechanism="oauth2"/> |
認証ヘッダー - ヘッダー名 |
認証ヘッダーの名前。 |
なし |
認証ヘッダー - 署名済 |
トークンに署名するかどうかを指定するフラグ。 |
<orasp:auth-header orasp:is-signed="false"/> |
認証ヘッダー - 暗号化済 |
トークンを暗号化するかどうかを指定するフラグ。 |
<orasp:auth-header orasp:is-encrypted="false"/> |
トランスポート・セキュリティ |
SSLを有効にするかどうかを指定するフラグ。 |
<orasp:auth-header orasp:require-tls/> |
トランスポート・セキュリティ - 相互認証が必要 |
双方向認証が必要かどうかを指定するフラグ。 有効な値は次のとおりです。
|
<orasp:auth-header orasp:mutual-auth="false"/> |
トランスポート・セキュリティ - タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
<orasp:auth-header orasp:include-timestamp="false"/> |
構成
http_oauth2_token_over_ssl_client_templateアサーション・テンプレートの設定は、アサーション・テンプレートの非SSLバージョンと同じです。設定の詳細は、表18-27を参照してください。
このトピックでは、http_mutual_auth_over_ssl_client_template
アサーション・テンプレートについて説明します。
表示名: http mutual auth over sslクライアント・テンプレート
カテゴリ: セキュリティ
タイプ: http-security
説明
http_mutual_auth_over_ssl_client_template
アサーション・テンプレートでは、アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明が組み込まれ、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーが認証されます。このポリシーは、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのあらゆるクライアントに適用できます。
設定
wss_http_token_over_ssl_client_template
設定では、http_mutual_auth_over_ssl_client_template
アサーション・テンプレートの設定が示されます。
表18-31 http_mutual_auth_over_ssl_client_templateの設定
名前 | デフォルト値 |
---|---|
認証ヘッダー |
|
認証ヘッダー - メカニズム |
|
Transport Layer Security |
|
Transport Layer Security |
有効 |
Transport Layer Security - 相互認証が必要 |
有効 |
Transport Layer Security - タイムスタンプを含める |
無効 |
アルゴリズム・スイート |
|
構成
wss_http_token_over_ssl_client_template
構成プロパティでは、wss_http_token_over_ssl_client_template
アサーション・テンプレートの構成プロパティおよびデフォルト設定が示されます。
表18-32 wss_http_token_over_ssl_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
csf-key |
|
必須 |
role |
|
定数 |
reference.priority |
なし |
オプション |
表示名: http mutual auth over sslサービス・テンプレート
カテゴリ: セキュリティ
タイプ: http-security
説明
http_mutual_auth_over_ssl_service_template
アサーション・テンプレートでは、HTTPヘッダーの資格証明が抽出され、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーが認証されます。
設定
http_mutual_auth_over_ssl_service_template
アサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。
構成
wss_http_token_over_ssl_service_template
構成プロパティでは、http_mutual_auth_over_ssl_service_template
アサーション・テンプレートの構成プロパティおよびデフォルト設定が示されます。
表18-33 http_mutual_auth_over_ssl_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
realm |
|
定数 |
role |
|
定数 |
reference.priority |
なし |
オプション |
oracle/http_jwt_token_over_ssl_service_templateは、HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証します。
設定
http_jwt_token_over_ssl_service_templateアサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表18-39を参照してください。
構成
表18-34は、http_jwt_token_over_ssl_service_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-34 http_jwt_token_over_ssl_service_templateの構成プロパティ
名前 | デフォルト値 |
---|---|
csf.map |
CSF別名を含む資格証明ストア内のOracle WSMマップ。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="csf.map" orawsp:type="string"/> |
keystore.sig.csf.key |
署名キー・パスワードをキーストアに格納するために使用する別名とパスワード。指定した場合、このcsf-keyに対応するキーがキーストアからフェッチされ、署名に使用されます。このプロパティにより、ドメイン・レベルのかわりに添付レベルで署名キーを指定できます。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key" orawsp:type="string"/> |
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="propagate.identity.context" orawsp:type="string"><orawsp:Value/> |
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="reference.priority" orawsp:type="string"/> |
trusted.issuers |
ドメイン・レベルで定義された信頼できる発行者をオーバーライドする、アプリケーションの信頼できる発行者のカンマ区切りリスト。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="saml.trusted.issuers" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> |
oauth2_config_client_templateアサーション・テンプレートは、アクセス・トークンを取得するためにOAuth2サーバーを呼び出すときに使用するOAuth2情報を提供します。
設定
表18-35は、oauth2_config_client_templateアサーション・テンプレートの設定を示しています。
表18-35 oauth2_config_client_templateの設定
名前 | 説明 | デフォルト値 |
---|---|---|
token-uri |
OAuth2サーバーのトークン・エンドポイントを指定する必須プロパティ。 |
orasp:token-uri="http://host:port/tokens" |
構成
表18-36は、oauth2_config_client_templateアサーション・テンプレートのデフォルトの構成プロパティを示しています。
表18-36 oauth2_config_client_templateの構成プロパティ
名前 | 説明 |
---|---|
oauth2.client.csf.key |
クライアントのユーザー名とパスワードを取得するために使用するキーを指定する必須プロパティ。 oauth2.client.csf.keyの値は、クライアント・プロファイルで必要とされるクライアントIDおよびシークレットと一致する必要があります(『Oracle Access Manager with Oracle Security Token Service管理者ガイド』のOAuthクライアント・プロファイル構成の理解に関する項を参照)。 デフォルト設定: <orawsp:Property orawsp:type="string" orawsp:contentType="required"\ orawsp:name="oauth2.client.csf.key"> <orawsp:Value/> <orawsp:DefaultValue>basic.client.credentials</orawsp:DefaultValue> </orawsp:Property> |
role |
SOAPロール。 デフォルト設定: <orawsp:Property orawsp:contentType="constant" orawsp:name="role" orawsp:type="string"> <orawsp:DefaultValue> ultimateReceiver </orawsp:DefaultValue> </orawsp:Property> |
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="reference.priority" orawsp:type="string"/> |
token.uri |
トークンURIの値をオーバーライドするオプションのプロパティ。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="token.uri" orawsp:type="string"><orawsp:Value/><orawsp:DefaultValue>http://host:port/tokens </orawsp:DefaultValue></orawsp:Property> |
http_jwt_token_client_templateアサーション・テンプレートは、HTTPヘッダーにJWTトークンを含めます。JWTトークンは自動的に作成されます。発行者名とサブジェクト名は、プログラムによって、またはポリシーを介して宣言的に提供されます。このテンプレートを使用して作成したポリシーは、任意のHTTPベース・クライアントに添付できます。構成オーバーライド・プロパティを使用して、オーディエンス制限条件を指定できます。
設定
表18-37は、http_jwt_token_client_templateアサーション・テンプレートの設定を示しています。
表18-37 http_jwt_token_client_templateの設定
名前 | 説明 | デフォルト値 |
---|---|---|
認証ヘッダー - メカニズム |
認証のメカニズム。 有効な値は次のとおりです。
|
<orasp:auth-header orasp:mechanism="jwt"/> |
認証ヘッダー - ヘッダー名 |
認証ヘッダーの名前。 |
なし |
認証ヘッダー - アルゴリズム・スイート |
JWTトークンの署名に使用されるアルゴリズム・スイート。 |
<orasp:auth-header orasp:algorithm-suite="Basic256Sha256"/" |
認証ヘッダー - 署名済 |
JWTトークンを署名するかどうかを指定するフラグ。JWTポリシーの場合、有効な値は |
<orasp:auth-header orasp:is-signed="true"/> |
認証ヘッダー - 暗号化済 |
JWTトークンを暗号化するかどうかを指定するフラグ。 |
<orasp:auth-header orasp:is-encrypted="false"/> |
構成
表18-38は、http_jwt_token_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-38 http_jwt_token_client_templateの構成プロパティ
名前 | デフォルト値 |
---|---|
audience.uri |
オーディエンス制限。次の条件がサポートされています。
デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="audience.uri" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> |
csf-key |
Oracle Platform Security Services(OPSS)アイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="csf-key" orawsp:type="string"> <orawsp:Value>basic.credentials</orawsp:Value> </orawsp:Property> |
csf.map |
CSF別名を含む資格証明ストア内のOracle WSMマップ。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="csf.map" orawsp:type="string"/> |
issuer.name |
JWT発行者の名前。デフォルト値はwww.oracle.comです。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="issuer.name" orawsp:type="string"> <orawsp:Value>www.oracle.com</orawsp:Value> </orawsp:Property> |
keystore.sig.csf.key |
署名キー・パスワードをキーストアに格納するために使用する別名とパスワード。指定した場合、このcsf-keyに対応するキーがキーストアからフェッチされ、署名に使用されます。このプロパティにより、ドメイン・レベルのかわりに添付レベルで署名キーを指定できます。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key" orawsp:type="string"/> |
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="propagate.identity.context" orawsp:type="string"><orawsp:Value/> |
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="reference.priority" orawsp:type="string"/> |
subject.precedence |
JWTトークンの作成に使用されるサブジェクトを取得する場所を指定するプロパティ。
デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="subject.precedence" orawsp:type="string"> <orawsp:Value>true</orawsp:Value> </orawsp:Property> |
user.attributes |
JWTトークンに含める認証済ユーザーのユーザー属性のリスト。 含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2と指定します。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。Oracle WSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をJWTトークンに含めます。 サブジェクトが有効であり、 クライアント・ポリシーは、
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合、検索する追加のアイデンティティ・ストアを指定できます。詳細は、「アサーションへのユーザー属性の組込み」を参照してください。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="user.attributes" orawsp:type="string"/> |
user.roles.include |
JWTトークンに含めるユーザー・ロール。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="user.roles.include" orawsp:type="string"> <orawsp:Value>false</orawsp:Value> </orawsp:Property> |
user.tenant.name |
内部使用に予約されています。 |
http_jwt_token_over_ssl_client_templateアサーション・テンプレートは、HTTPヘッダーにJWTトークンを含めます。JWTトークンは自動的に作成されます。発行者名とサブジェクト名は、プログラムによって、またはポリシーを介して宣言的に提供されます。
このテンプレートを使用して作成したポリシーは、任意のHTTPベース・クライアントに添付できます。構成オーバーライド・プロパティを使用して、オーディエンス制限条件を指定できます。
設定
表18-39は、http_jwt_token_over_ssl_client_templateアサーション・テンプレートの設定を示しています。
表18-39 http_jwt_token_over_ssl_client_templateの設定
名前 | 説明 | デフォルト値 |
---|---|---|
認証ヘッダー - メカニズム |
認証のメカニズム。 有効な値は次のとおりです。
|
<orasp:auth-header orasp:mechanism="jwt"/> |
認証ヘッダー - ヘッダー名 |
認証ヘッダーの名前。 |
なし |
認証ヘッダー - アルゴリズム・スイート |
JWTトークンの署名に使用されるアルゴリズム・スイートを指定するフラグ。 |
<orasp:auth-header orasp:algorithm-suite="Basic256Sha256"/" |
認証ヘッダー - 署名済 |
JWTトークンを署名するかどうかを指定するフラグ。JWTポリシーの場合、有効な値は |
<orasp:auth-header orasp:is-signed="true"/> |
認証ヘッダー - 暗号化済 |
JWTトークンを暗号化するかどうかを指定するフラグ。 |
<orasp:auth-header orasp:is-encrypted="false"/> |
トランスポート・セキュリティ |
SSLを有効にするかどうかを指定するフラグ。 |
<orasp:auth-header orasp:require-tls/> |
トランスポート・セキュリティ - 相互認証が必要 |
双方向認証が必要かどうかを指定するフラグ。 有効な値は次のとおりです。
|
<orasp:auth-header orasp:mutual-auth="false"/> |
トランスポート・セキュリティ - タイムスタンプを含める |
タイムスタンプを含めるかどうかを指定するフラグ。タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。 |
<orasp:auth-header orasp:include-timestamp="false"/> |
構成
表18-40は、http_jwt_token_over_ssl_client_templateアサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-40 http_jwt_token_over_ssl_client_templateの構成プロパティ
名前 | デフォルト値 |
---|---|
audience.uri |
オーディエンス制限。次の条件がサポートされています。
デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="audience.uri" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> |
csf.map |
CSF別名を含む資格証明ストア内のOracle WSMマップ。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="csf.map" orawsp:type="string"/> |
csf-key |
Oracle Platform Security Services(OPSS)アイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="csf-key" orawsp:type="string"> <orawsp:Value>basic.credentials</orawsp:Value> </orawsp:Property> |
issuer.name |
JWT発行者の名前。デフォルト値はwww.oracle.comです。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="issuer.name" orawsp:type="string"> <orawsp:Value>www.oracle.com</orawsp:Value> </orawsp:Property> |
keystore.sig.csf.key |
署名キー・パスワードをキーストアに格納するために使用する別名とパスワード。指定した場合、このcsf-keyに対応するキーがキーストアからフェッチされ、署名に使用されます。このプロパティにより、ドメイン・レベルのかわりに添付レベルで署名キーを指定できます。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key" orawsp:type="string"/> |
propagate.identity.context |
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝搬し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="propagate.identity.context" orawsp:type="string"><orawsp:Value/> |
reference.priority |
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。 reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。 詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="reference.priority" orawsp:type="string"/> |
subject.precedence |
JWTトークンの作成に使用されるサブジェクトを取得する場所を指定するプロパティ。
デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="subject.precedence" orawsp:type="string"> <orawsp:Value>true</orawsp:Value> </orawsp:Property> |
user.attributes |
JWTトークンに含める認証済ユーザーのユーザー属性のリスト。 含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2と指定します。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。Oracle WSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をJWTトークンに含めます。 サブジェクトが有効であり、 クライアント・ポリシーは、
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合、検索する追加のアイデンティティ・ストアを指定できます。詳細は、「アサーションへのユーザー属性の組込み」を参照してください。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="user.attributes" orawsp:type="string"/> |
user.roles.include |
JWTトークンに含めるユーザー・ロール。 デフォルト設定: <orawsp:Property orawsp:contentType="optional" orawsp:name="user.roles.include" orawsp:type="string"> <orawsp:Value>false</orawsp:Value> </orawsp:Property> |
user.tenant.name |
内部で使用するために予約されています。 |
このトピックでは、wss10_message_protection_client_template
アサーション・テンプレートについて説明します。
表示名: Wss10メッセージ保護クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-anonymous-with-certificates
説明
wss10_message_protection_client_template
アサーション・テンプレートでは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)が実行されます。
設定
表18-41は、wss10_message_protection_client_template
アサーション・テンプレートの設定を示しています。
表18-41 wss10_message_protection_client_templateの設定
名前 | デフォルト値 |
---|---|
X509トークン |
|
|
|
|
|
|
|
|
|
無効 |
|
無効 |
|
セキュア通信 |
|
無効 |
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
無効 |
|
有効 |
|
有効 |
|
有効 |
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
有効 |
|
無効 |
|
無効 |
|
表18-132を参照してください |
|
表18-132を参照してください |
|
表18-132を参照してください |
構成
表18-42は、wss10_message_protection_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-42 wss10_message_protection_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
必須 |
|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss10_message_protection_service_template
アサーション・テンプレートについて説明します。
表示名: Wss10メッセージ保護サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-anonymous-with-certificates
説明
wss10_message_protection_service_template
アサーション・テンプレートでは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)が実行されます。
設定
wss10_message_protection_service_template
の設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表18-41を参照してください。
構成
表18-43は、wss10_message_protection_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-43 wss10_message_protection_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss11_message_protection_client_template
アサーション・テンプレートについて説明します。
表示名: Wss11メッセージ保護クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-anonymous-with-certificates
説明
wss11_message_protection_client_template
アサーション・テンプレートでは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)が実行されます。
設定
表18-44は、wss11_message_protection_client_template
アサーション・テンプレートの設定を示しています。
表18-44 wss11_message_protection_client_templateの設定
名前 | デフォルト値 |
---|---|
X509トークン |
|
|
|
有効 |
|
無効 |
|
無効 |
|
セキュア通信 |
|
無効 |
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
無効 |
|
有効 |
|
有効 |
|
有効 |
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
有効 |
|
有効 |
|
無効 |
|
表18-132を参照してください |
|
表18-132を参照してください |
|
表18-132を参照してください |
構成
表18-45は、wss11_message_protection_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-45 wss11_message_protection_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
必須 |
|
|
定数 |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss11_message_protection_service_template
アサーション・テンプレートについて説明します。
表示名: Wss11メッセージ保護サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-anonymous-with-certificates
説明
wss11_message_protection_service_template
アサーション・テンプレートでは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)が実行されます。
設定
wss11_message_protection_service_template
の設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表18-44を参照してください。
構成
表18-46は、wss11_message_protection_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-46 wss11_message_protection_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、oracle/wss11_username_token_derivedkey_with_message_protection_signature_only_client_template
アサーション・テンプレートについて説明します。
表示名: メッセージ保護署名のみのクライアント・テンプレートのderivedKeyを使用したwss11ユーザー名
カテゴリ: セキュリティ
タイプ: wss11-username-with-derivedKey
注意:
wss11-username-with-derivedKey
アサーション・ベースのポリシーのクローンを作成する場合、リクエスト、レスポンスまたはフォルト・メッセージ部分に署名された部分または暗号化された部分を含めることができます。両方はサポートされていません。説明
wss11_username_token_derivedkey_with_message_protection_signature_only_client_template
アサーション・テンプレートでは、WS-Security v1.1標準に従って、認証およびメッセージ保護が実行されます。
設定
表18-100に、wss11_username_token_derivedkey_with_message_protection_signature_only_client_template
アサーション・テンプレートの設定を示します。
構成
表18-101は、アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-48 wss11_username_token_derivedkey_with_message_protection_signature_only_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
必須 |
|
なし |
オプション |
|
|
オプション |
|
iterations | 1000 | オプション |
このトピックでは、oracle/wss11_username_token_derivedkey_with_message_protection_encryption_only_client_template
アサーション・テンプレートについて説明します。
表示名: メッセージ保護暗号化のみのクライアント・テンプレートのwss11ユーザー名トークンderivedKey
カテゴリ: セキュリティ
注意:
wss11-username-with-derivedKey
アサーション・ベースのポリシーのクローンを作成する場合、リクエスト、レスポンスまたはフォルト・メッセージ部分に署名された部分または暗号化された部分を含めることができます。両方はサポートされていません。説明
wss11_username_token_derivedkey_with_message_protection_encryption_only_client_template
アサーション・テンプレートでは、WS-Security v1.1標準に従って、認証およびメッセージ保護が組み込まれます。
設定
表18-100に、wss11_username_token_derivedkey_with_message_protection_encryption_only_client_template
アサーション・テンプレートの設定を示します。
構成
表18-101は、アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-50 wss11_username_token_derivedkey_with_message_protection_encryption_only_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
必須 |
|
なし |
オプション |
|
|
オプション |
|
iterations | 1000 | オプション |
このトピックでは、wss_http_token_over_ssl_client_template
アサーション・テンプレートについて説明します。
表示名: Wss HTTP Token Over SSLクライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: http-security
説明
wss_http_token_over_ssl_client_template
アサーション・テンプレートでは、アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明が組み込まれ、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーが認証されます。このポリシーは、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのあらゆるクライアントに適用できます。
設定
表18-51は、wss_http_token_over_ssl_client_template
アサーション・テンプレートの設定を示しています。
表18-51 wss_http_token_over_ssl_client_templateの設定
名前 | デフォルト値 |
---|---|
認証ヘッダー |
|
|
|
なし |
|
Transport Layer Security |
|
有効 |
|
無効 |
|
無効 |
|
|
構成
表18-52は、wss_http_token_over_ssl_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-52 wss_http_token_over_ssl_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
必須 |
|
|
定数 |
|
なし |
オプション |
表示名: Wss HTTP Token Over SSLサービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: http-security
説明
wss_http_token_over_ssl_service_template
アサーション・テンプレートでは、HTTPヘッダーの資格証明が抽出され、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーが認証されます。
設定
wss_http_token_over_ssl_service_template
アサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表18-51を参照してください。
構成
表18-53は、wss_http_token_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-53 wss_http_token_over_ssl_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
|
定数 |
|
なし |
オプション |
このトピックでは、wss_saml_token_bearer_client_template
アサーション・テンプレートについて説明します。
表示名: Wss SAML Bearerトークン・クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-saml-token
説明
wss_saml_token_bearer_client_template
アサーション・テンプレートでは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンが組み込まれます。確認方法がBearerのSAMLトークンが自動的に作成されます。
設定
表18-54は、wss_saml_token_bearer_client_template
アサーション・テンプレートの設定を示しています。
表18-54 wss_saml_token_bearer_client_templateの設定
名前 | デフォルト値 |
---|---|
SAMLトークン・タイプ |
|
|
|
|
|
未指定 |
構成
表18-55は、wss_saml_token_bearer_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-55 wss_saml_token_bearer_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
|
オプション |
|
|
オプション |
|
|
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
このトピックでは、wss_saml_token_bearer_service_template
アサーション・テンプレートについて説明します。
表示名: Wss SAML Bearerトークン・サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-saml-token
説明
wss_saml_token_bearer_service_template
アサーション・テンプレートでは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンが組み込まれます。確認方法がBearerのSAMLトークンが自動的に作成されます。
設定
表18-54は、wss_saml_token_bearer_service_template
アサーション・テンプレートの設定を示しています。
表18-56 wss_saml_token_bearer_service_templateの設定
名前 | デフォルト値 |
---|---|
SAMLトークン・タイプ |
|
|
|
|
|
未指定 |
構成
表18-59は、wss_saml_token_bearer_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-57 wss_saml_token_bearer_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss_saml_token_bearer_over_ssl_client
アサーション・テンプレートについて説明します。
表示名: Wss SAML Token Over SSL (Bearer確認方式)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-saml-token-bearer-over-ssl
説明
wss_saml_token_bearer_over_ssl_client
アサーション・テンプレートでは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンが組み込まれます。確認方法がBearerのSAMLトークンが自動的に作成されます。
設定
表18-58は、wss_saml_token_bearer_over_ssl_client_template
アサーション・テンプレートの設定を示しています。
表18-58 wss_saml_token_bearer_over_ssl_client_templateの設定
名前 | デフォルト値 |
---|---|
SAMLトークン・タイプ |
|
|
|
|
|
無効 |
|
無効 |
|
未指定 |
|
Transport Layer Security |
|
有効 |
|
無効 |
|
有効 |
|
なし |
|
|
|
セキュア通信 |
|
無効 |
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
無効 |
|
有効 |
|
無効 |
|
有効 |
構成
表18-59は、wss_saml_token_bearer_over_ssl_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-59 wss_saml_token_bearer_over_ssl_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
|
オプション |
|
|
オプション |
|
|
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss_saml_token_bearer_over_ssl_service_template
アサーション・テンプレートについて説明します。
表示名: Wss SAML Token Over SSL (Bearer確認方式)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-saml-token-bearer-over-ssl
説明
wss_saml_token_bearer_over_ssl_service_template
アサーション・テンプレートでは、WS-Security SOAPヘッダー内の、確認方式がBearerとなっているSAMLトークンに指定されている資格証明を使用して、ユーザーが認証されます。
設定
wss_saml_token_bearer_over_ssl_service_template
アサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表18-58を参照してください。
構成
表18-60は、wss_saml_token_bearer_over_ssl_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-60 wss_saml_token_bearer_over_ssl_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss_saml20_token_bearer_over_ssl_client
アサーション・テンプレートについて説明します。
表示名: Wss SAML V2.0 Token Over SSL (Bearer確認方式)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-saml-token-bearer-over-ssl
説明
wss_saml20_token_bearer_over_ssl_client_template
アサーション・テンプレートでは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンが組み込まれます。確認方法がBearerのSAMLトークンが自動的に作成されます。
設定
表18-61は、wss_saml20_token_bearer_over_ssl_client_template
アサーション・テンプレートの設定を示しています。
表18-61 wss_saml20_token_bearer_over_ssl_client_templateの設定
名前 | デフォルト値 |
---|---|
SAMLトークン・タイプ |
|
|
|
|
|
無効 |
|
無効 |
|
未指定 |
|
Transport Layer Security |
|
有効 |
|
無効 |
|
有効 |
|
なし |
|
|
|
セキュア通信 |
|
無効 |
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
無効 |
|
有効 |
|
無効 |
|
有効 |
構成
表18-62は、wss_saml20_token_bearer_over_ssl_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-62 wss_saml20_token_bearer_over_ssl_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
|
オプション |
|
|
オプション |
|
|
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
表示名: Wss SAML V2.0 Token Over SSL (Bearer確認方式)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-saml-token-bearer-over-ssl
説明
wss_saml20_token_bearer_over_ssl_service_template
アサーション・テンプレートでは、WS-Security SOAPヘッダー内の、確認方式がBearerとなっているSAMLトークンに指定された資格証明を使用して、ユーザーが認証されます。
設定
wss_saml20_token_bearer_over_ssl_service_template
アサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表18-61を参照してください。
構成
表18-63は、wss_saml20_token_bearer_over_ssl_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-63 wss_saml20_token_bearer_over_ssl_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss_saml_token_over_ssl_client_template
アサーション・テンプレートについて説明します。
表示名: Wss SAML Token Over SSLクライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-saml-token-over-ssl
説明
wss_saml_token_over_ssl_client_template
アサーション・テンプレートは、sender-vouches確認タイプを使用した、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証を可能にします。
設定
表18-64は、wss_saml_token_over_ssl_client_template
アサーション・テンプレートの設定を示しています。
表18-64 wss_saml_token_over_ssl_client_templateの設定
名前 | デフォルト値 |
---|---|
SAMLトークン・タイプ |
|
|
|
|
|
有効 |
|
無効 |
|
|
|
Transport Layer Security |
|
有効 |
|
有効 |
|
有効 |
|
なし |
|
|
|
セキュア通信 |
|
無効 |
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
無効 |
|
有効 |
|
無効 |
|
有効 |
構成
表18-65は、wss_saml_token_over_ssl_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-65 wss_saml_token_over_ssl_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
|
オプション |
|
|
オプション |
|
|
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss_saml_token_over_ssl_service_template
アサーション・テンプレートについて説明します。
表示名: Wss SAML Token Over SSLサービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-saml-token-over-ssl
説明
wss_saml_token_over_ssl_service_template
では、sender-vouches確認タイプを使用して、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証が実行されます。
設定
wss_saml_token_over_ssl_service_template
アサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表18-64を参照してください。
構成
表18-66は、wss_saml_token_over_ssl_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-66 wss_saml_token_over_ssl_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss_saml20_token_over_ssl_client_template
アサーション・テンプレートについて説明します。
表示名: Wss SAML V2.0 Token Over SSLクライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-saml-token-over-ssl
説明
wss_saml20_token_over_ssl_client_template
アサーション・テンプレートは、sender-vouches確認タイプを使用した、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証を可能にします。
設定
表18-67は、wss_saml20_token_over_ssl_client_template
アサーション・テンプレートの設定を示しています。
表18-67 wss_saml20_token_over_ssl_client_templateの設定
名前 | デフォルト値 |
---|---|
SAMLトークン・タイプ |
|
|
|
|
|
有効 |
|
無効 |
|
未指定 |
|
Transport Layer Security |
|
有効 |
|
有効 |
|
有効 |
|
なし |
|
|
|
セキュア通信 |
|
無効 |
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
無効 |
|
有効 |
|
無効 |
|
有効 |
構成
表18-68は、wss_saml20_token_over_ssl_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-68 wss_saml20_token_over_ssl_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
|
オプション |
|
|
オプション |
|
|
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss_saml20_token_over_ssl_service_template
アサーション・テンプレートについて説明します。
表示名: Wss SAML V2.0 Token Over SSLサービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-saml-token-over-ssl
説明
wss_saml20_token_over_ssl_service_template
では、sender-vouches確認タイプを使用して、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証が実行されます。
設定
wss_saml20_token_over_ssl_service_template
アサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表18-67を参照してください。
構成
表18-69は、wss_saml20_token_over_ssl_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-69 wss_saml20_token_over_ssl_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss_username_token_over_ssl_client_template
アサーション・テンプレートについて説明します。
表示名: Wss Username Token Over SSLクライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-username-token-over-ssl
説明
wss_username_token_over_ssl_client_template
アサーション・テンプレートでは、アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明が組み込まれます。アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。
設定
表18-70は、wss_username_token_over_ssl_client_template
アサーション・テンプレートの設定を示しています。
表18-70 wss_username_token_over_ssl_client_templateの設定
名前 | デフォルト値 |
---|---|
ユーザー名トークン |
|
|
|
無効 |
|
無効 |
|
Transport Layer Security |
|
有効 |
|
無効 |
|
有効 |
|
なし |
|
|
|
セキュア通信 |
|
無効 |
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
無効 |
|
有効 |
|
無効 |
|
有効 |
構成
表18-71は、wss_username_token_over_ssl_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-71 wss_username_token_over_ssl_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
|
必須 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
このトピックでは、wss_username_token_over_ssl_service_template
アサーション・テンプレートについて説明します。
表示名: Wss Username Token Over SSLサービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-username-token-over-ssl
説明
wss_username_token_over_ssl_service_template
アサーション・テンプレートでは、UsernameToken WS-Security SOAPヘッダーの資格証明を使用して、Oracle Platform Security Servicesの構成済のアイデンティティ・ストアに対してユーザーが認証されます。アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。
設定
wss_username_token_over_ssl_service_template
アサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表18-70を参照してください。
構成
表18-72は、wss_username_token_over_ssl_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-72 wss_username_token_over_ssl_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss10_saml_hok_token_with_message_protection_client_template
アサーション・テンプレートについて説明します。
表示名: Wss10 SAML Holder-Of-Keyトークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-hok-with-certificates
説明
wss10_saml_hok_token_with_message_protection_client_template
アサーション・テンプレートでは、WS-Security 1.0標準に従って、アウトバウンドSOAPメッセージに対して、メッセージ保護(整合性と機密保護)およびSAML鍵所有者ベースの認証が実行されます。
設定
表18-73は、wss10_saml_hok_token_with_message_protection_client_template
アサーション・テンプレートの設定を示しています。
構成
表18-74は、wss10_saml_hok_token_with_message_protection_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-74 wss10_saml_hok_token_with_message_protection_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
|
必須 |
|
|
オプション |
|
|
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
このトピックでは、wss10_saml_hok_token_with_message_protection_service_template
アサーション・テンプレートについて説明します。
表示名: Wss10 SAML Holder-Of-Keyトークン(メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-hok-with-certificates
説明
wss10_saml_hok_token_with_message_protection_service_template
アサーション・テンプレートでは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストに対して、メッセージ保護およびSAML鍵所有者ベースの認証が実行されます。
設定
wss10_saml_hok_token_with_message_protection_service_template
の設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表18-73を参照してください。
構成
表18-75は、wss10_saml_hok_token_with_message_protection_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-75 wss10_saml_hok_token_with_message_protection_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss10_saml_token_with_message_protection_client_template
アサーション・テンプレートについて説明します。
表示名: Wss10 SAMLトークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-with-certificates
説明
wss10_saml_token_with_message_protection_client_template
アサーション・テンプレートでは、WS-Security 1.0標準に従って、アウトバウンドSOAPメッセージのメッセージ・レベルの保護と、SAMLベースの認証が実行されます。
Webサービス・コンシューマにはSOAPヘッダーのSAMLトークンが含まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
設定
表18-76は、wss10_saml_token_with_message_protection_client_template
アサーション・テンプレートの設定を示しています。
表18-76 wss10_saml_token_with_message_protection_client_templateの設定
名前 | デフォルト値 |
---|---|
SAMLトークン・タイプ |
|
|
|
|
|
有効 |
|
無効 |
|
未指定 |
|
X509トークン |
|
|
|
|
|
|
|
|
|
無効 |
|
無効 |
|
セキュア通信 |
|
無効 |
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
無効 |
|
有効 |
|
有効 |
|
有効 |
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
有効 |
|
無効 |
|
無効 |
|
表18-132を参照してください |
|
表18-132を参照してください |
|
表18-132を参照してください |
構成
表18-77は、wss10_saml_token_with_message_protection_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-77 wss10_saml_token_with_message_protection_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
|
必須 |
|
|
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss10_saml_token_with_message_protection_service_template
アサーション・テンプレートについて説明します。
表示名: Wss10 SAMLトークン(メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-with-certificates
説明
wss10_saml_token_with_message_protection_service_template
アサーション・テンプレートでは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAMLベースの認証が実行されます。
Webサービス・コンシューマにはSOAPヘッダーのSAMLトークンが含まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
設定
wss10_saml_token_with_message_protection_service_template
の設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表18-76を参照してください。
構成
表18-78は、wss10_saml_token_with_message_protection_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-78 wss10_saml_token_with_message_protection_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
表示名: Wss10 SAML V2.0トークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-with-certificates
説明
wss10_saml20_token_with_message_protection_client_template
アサーション・テンプレートでは、WS-Security 1.0標準に従って、アウトバウンドSOAPメッセージに対して、メッセージ・レベルの保護およびSAMLベースの認証が実行されます。
Webサービス・コンシューマにはSOAPヘッダーのSAMLトークンが含まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
設定
表18-79は、wss10_saml20_token_with_message_protection_client_template
アサーション・テンプレートの設定を示しています。
表18-79 wss10_saml20_token_with_message_protection_client_templateの設定
名前 | デフォルト値 |
---|---|
SAMLトークン・タイプ |
|
|
|
|
|
有効 |
|
無効 |
|
未指定 |
|
X509トークン |
|
|
|
|
|
|
|
|
|
無効 |
|
無効 |
|
セキュア通信 |
|
無効 |
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
無効 |
|
有効 |
|
有効 |
|
有効 |
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
有効 |
|
無効 |
|
無効 |
|
表18-132を参照してください |
|
表18-132を参照してください |
|
表18-132を参照してください |
構成
表18-80は、wss10_saml20_token_with_message_protection_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-80 wss10_saml20_token_with_message_protection_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
|
必須 |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
|
オプション |
|
|
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss10_saml20_token_with_message_protection_service_template
アサーション・テンプレートについて説明します。
表示名: Wss10 SAML V2.0トークン(メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-saml-with-certificates
説明
wss10_saml20_token_with_message_protection_service_template
アサーション・テンプレートでは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)およびSAMLベースの認証が実行されます。
Webサービス・コンシューマにはSOAPヘッダーのSAMLトークンが含まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
設定
wss10_saml20_token_with_message_protection_service_template
の設定は、クライアント・バージョンのアサーション・テンプレートの設定と同じです。設定の詳細は、表18-79を参照してください。
構成
表18-81は、wss10_saml20_token_with_message_protection_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-81 wss10_saml20_token_with_message_protection_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss10_username_token_with_message_protection_client_template
アサーション・テンプレートについて説明します。
表示名: Wss10ユーザー名トークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-username-with-certificates
説明
wss10_username_token_with_message_protection_client_template
アサーション・テンプレートでは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証が実行されます。資格証明は、アウトバウンドSOAPメッセージのWS-Security UsernameTokenヘッダーに含まれます。
アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
設定
表18-82は、wss10_username_token_with_message_protection_client_template
アサーション・テンプレートの設定を示しています。
表18-82 wss10_username_token_with_message_protection_client_templateの設定
名前 | デフォルト値 |
---|---|
ユーザー名トークン |
|
|
|
無効 |
|
無効 |
|
有効 |
|
有効 |
|
X509トークン |
|
|
|
|
|
|
|
|
|
無効 |
|
無効 |
|
セキュア通信 |
|
無効 |
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
無効 |
|
有効 |
|
有効 |
|
有効 |
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
有効 |
|
無効 |
|
無効 |
|
表18-132を参照してください |
|
表18-132を参照してください |
|
表18-132を参照してください |
構成
表18-83は、wss10_username_token_with_message_protection_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-83 wss10_username_token_with_message_protection_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
必須 |
|
なし |
オプション |
|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
|
必須 |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
表示名: Wss10ユーザー名トークン(メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-username-with-certificates
説明
wss10_username_token_with_message_protection_service_template
アサーション・テンプレートでは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および認証が実行されます。
アサーションでは、3つのタイプのパスワード資格証明(プレーン・テキスト、ダイジェストおよびパスワードなし)がサポートされています。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceまたは作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
設定
wss10_username_token_with_message_protection_service_template
アサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表18-82を参照してください。
構成
表18-84は、wss10_username_token_with_message_protection_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-84 wss10_username_token_with_message_protection_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss10_x509_token_with_message_protection_client
アサーション・テンプレートについて説明します。
表示名: Wss10 X509トークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-mutual-auth-with-certificates
説明
wss10_x509_token_with_message_protection_client_template
アサーション・テンプレートでは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および証明書資格証明の移入が実行されます。
設定
表18-85は、wss10_x509_token_with_message_protection_client_template
アサーション・テンプレートの設定を示しています。
表18-85 wss10_x509_token_with_message_protection_client_templateの設定
名前 | デフォルト値 |
---|---|
X509トークン |
|
|
|
|
|
|
|
|
|
無効 |
|
無効 |
|
セキュア通信 |
|
無効 |
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
無効 |
|
有効 |
|
有効 |
|
有効 |
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
有効 |
|
無効 |
|
無効 |
|
表18-132を参照してください |
|
表18-132を参照してください |
|
表18-132を参照してください |
構成
表18-86は、wss10_x509_token_with_message_protection_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-86 wss10_x509_token_with_message_protection_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
必須 |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss10_x509_token_with_message_protection_service_template
アサーション・テンプレートについて説明します。
表示名: Wss10 X509トークン(メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss10-mutual-auth-with-certificates
説明
wss10_x509_token_with_message_protection_service_template
アサーション・テンプレートでは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性と機密保護)および証明書ベースの認証が実行されます。
設定
wss10_x509_token_with_message_protection_service_template
アサーション・テンプレートの設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表18-85を参照してください。
構成
表18-87は、wss10_x509_token_with_message_protection_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-87 wss10_x509_token_with_message_protection_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss11_kerberos_token_over_ssl_client_template
アサーション・テンプレートについて説明します。
表示名: Wss11 Kerberos Token Over SSLクライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-kerberos-over-ssl-security
説明
wss11_kerberos_token_over_ssl_client_template
アサーション・テンプレートでは、WS-Security Kerberos Token Profile v1.1標準に従って、WS-Security SOAPヘッダーにKerberosトークンが組み込まれます。Kerberosトークンは、EndorsingSupportingTokenとして通知され、認証およびタイムスタンプの署名にのみ使用されます。メッセージの保護は、SSLによって提供されます。
設定
表18-88は、wss11_kerberos_token_over_ssl_client_template
アサーション・テンプレートの設定を示しています。
表18-88 wss11_kerberos_token_over_ssl_client_templateの設定
名前 | デフォルト値 |
---|---|
Kerberosトークン・タイプ |
|
|
|
Transport Layer Security |
|
有効 |
|
無効 |
|
有効 |
|
|
構成
表18-89は、wss11_kerberos_token_over_ssl_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-89 wss11_kerberos_token_over_ssl_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
必須 |
|
なし |
オプション |
|
なし |
オプション |
|
|
必須 |
|
なし |
オプション |
このトピックでは、wss11_kerberos_token_service_template
アサーション・テンプレートについて説明します。
表示名: Wss11 Kerberos Token Over SSLサービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-kerberos-over-ssl-security
説明
wss11_kerberos_token_service_template
アサーション・テンプレートは、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。このテンプレートは、SOAPヘッダーからKerberosトークンを抽出し、ユーザーを認証します。コンテナには、Oracle Platform Security Servicesを介して構成されたKerberosインフラストラクチャが含まれている必要があります。Kerberosトークンは、EndorsingSupportingTokenとして通知され、認証およびタイムスタンプの署名にのみ使用されます。メッセージの保護は、SSLによって提供されます。
設定
wss11_kerberos_token_over_ssl_service_template
の設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表18-88を参照してください。
構成
表18-90は、wss11_kerberos_token_over_ssl_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-90 wss11_kerberos_token_over_ssl_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
必須 |
|
なし |
オプション |
このトピックでは、wss11_kerberos_token_with_message_protection_client_template
アサーション・テンプレートについて説明します。
表示名: Wss11 Kerberosトークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: kerberos-security
説明
wss11_kerberos_token_with_message_protection_client_template
アサーション・テンプレートでは、WS-Security Kerberos Token Profile v1.1標準に従って、WS-SecurityヘッダーにKerberosトークンが組み込まれます。
設定
表18-91は、wss11_kerberos_token_with_message_protection_client_template
アサーション・テンプレートの設定を示しています。
表18-91 wss11_kerberos_token_with_message_protection_client_templateの設定
名前 | デフォルト値 |
---|---|
Kerberosトークン・タイプ |
|
|
|
無効 |
|
セキュア通信 |
|
無効 |
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
無効 |
|
有効 |
|
有効 |
|
有効 |
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
有効 |
|
有効 |
|
無効 |
|
表18-132を参照してください |
|
表18-132を参照してください |
|
表18-132を参照してください |
構成
表18-92は、wss11_kerberos_token_with_message_protection_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-92 wss11_kerberos_token_with_message_protection_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
必須 |
|
なし |
オプション |
|
なし |
オプション |
|
|
必須 |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss11_kerberos_token_with_message_protection_service_template
アサーション・テンプレートについて説明します。
表示名: Wss11 Kerberosトークン・サービス(メッセージ保護付き)アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: kerberos-security
説明
wss11_kerberos_token_with_message_protection_service_template
アサーション・テンプレートは、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。このテンプレートは、SOAPヘッダーからKerberosトークンを抽出し、ユーザーを認証します。コンテナには、Oracle Platform Security Servicesを介して構成されたKerberosインフラストラクチャが含まれている必要があります。
設定
wss11_keberos_token_with_message_protection_service_template
の設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表18-91を参照してください。
構成
表18-93は、wss11_kerberos_token_with_message_protection_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-93 wss11_kerberos_token_with_message_protection_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
必須 |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss11_saml_token_with_message_protection_client_template
アサーション・テンプレートについて説明します。
表示名: Wss11 SAMLトークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-saml-with-certificates
説明
wss11_saml_token_with_message_protection_client_template
アサーション・テンプレートは、WS-Security 1.1に従った、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密保護)およびSAMLトークンの移入を可能にします。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
設定
表18-94は、wss11_saml_token_with_message_protection_client_template
アサーション・テンプレートの設定を示しています。
表18-94 wss11_saml_token_with_message_protection_client_templateの設定
名前 | デフォルト値 |
---|---|
SAMLトークン・タイプ |
|
|
|
|
|
有効 |
|
無効 |
|
未指定 |
|
X509トークン |
|
|
|
|
|
有効 |
|
無効 |
|
無効 |
|
セキュア通信 |
|
無効 |
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
無効 |
|
有効 |
|
有効 |
|
有効 |
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
有効 |
|
有効 |
|
無効 |
|
表18-132を参照してください |
|
表18-132を参照してください |
|
表18-132を参照してください |
構成プロパティ
表18-95は、wss11_saml_token_with_message_protection_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-95 wss11_saml_token_with_message_protection_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
|
オプション |
|
|
定数 |
|
|
必須 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss11_saml_token_with_message_protection_service_template
アサーション・テンプレートについて説明します。
表示名: Wss11 SAMLトークン(メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-saml-with-certificates
説明
wss11_saml_token_with_message_protection_service_template
アサーション・テンプレートでは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストに対して、メッセージ・レベルの整合性の保護およびSAMLベースの認証が実行されます。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。
設定
wss11_saml_token_with_message_protection_service_template
の設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表18-94を参照してください。
構成
表18-96は、wss11_saml_token__with_message_protection_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-96 wss11_saml_token_with_message_protection_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss11_saml20_token_with_message_protection_client_template
アサーション・テンプレートについて説明します。
表示名: Wss11 SAML V2.0トークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-saml-with-certificates
説明
wss11_saml20_token_with_message_protection_client_template
アサーション・テンプレートは、WS-Security 1.1に従った、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密保護)およびSAMLトークンの移入を可能にします。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
設定
表18-97は、wss11_saml20_token_with_message_protection_client_template
アサーション・テンプレートの設定を示しています。
表18-97 wss11_saml20_token_with_message_protection_client_templateの設定
名前 | デフォルト値 |
---|---|
SAMLトークン・タイプ |
|
|
|
|
|
有効 |
|
無効 |
|
未指定 |
|
X509トークン |
|
|
|
|
|
有効 |
|
無効 |
|
無効 |
|
セキュア通信 |
|
無効 |
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
無効 |
|
有効 |
|
有効 |
|
有効 |
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
有効 |
|
有効 |
|
無効 |
|
表18-132を参照してください |
|
表18-132を参照してください |
|
表18-132を参照してください |
構成
表18-98は、wss11_saml20_token_with_message_protection_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-98 wss11_saml20_token_with_message_protection_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
|
オプション |
|
|
定数 |
|
|
必須 |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss11_saml20_token_with_message_protection_service_template
アサーション・テンプレートについて説明します。
表示名: Wss11 SAML V2.0トークン(メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-saml-with-certificates
説明
wss11_saml20_token_with_message_protection_service_template
アサーション・テンプレートでは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストに対して、メッセージ・レベルの整合性の保護およびSAMLベースの認証が実行されます。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。
設定
wss11_saml_token_with_message_protection_service_template
の設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表18-97を参照してください。
構成
表18-99は、wss11_saml20_token__with_message_protection_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-99 wss11_saml20_token_with_message_protection_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、ws11_username_token_with_message_protection_client_template
アサーション・テンプレートについて説明します。
表示名: Wss11ユーザー名トークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-username-with-certificates
説明
ws11_username_token_with_message_protection_client_template
アサーション・テンプレートでは、WS-Security v1.1標準に従って、認証およびメッセージ保護が実行されます。
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
設定
表18-100は、wss11_username_token_with_message_protection_client_template
アサーション・テンプレートの設定を示しています。
表18-100 wss11_username_token_with_message_protection_client_templateの設定
名前 | デフォルト値 |
---|---|
ユーザー名トークン |
|
|
|
無効 |
|
無効 |
|
有効 |
|
有効 |
|
X509トークン |
|
|
|
有効 |
|
無効 |
|
無効 |
|
セキュア通信 |
|
無効 |
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
無効 |
|
有効 |
|
有効 |
|
有効 |
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
有効 |
|
有効 |
|
無効 |
|
表18-132を参照してください |
|
表18-132を参照してください |
|
表18-132を参照してください |
構成
表18-101は、wss11_username_token_with_message_protection_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-101 wss11_username_token_with_message_protection_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
必須 |
|
|
定数 |
|
|
必須 |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、ws11_username_token_with_message_protection_service_template
アサーション・テンプレートについて説明します。
表示名: Wss11ユーザー名トークン(メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-username-with-certificates
説明
ws11_username_token_with_message_protection_service_template
アサーション・テンプレートでは、WS-Security v1.1標準に従って、認証およびメッセージ保護が実行されます。
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
設定
wss11_username_token_with_message_protection_service_template
の設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表18-100を参照してください。
構成
表18-102は、wss11_username_token_with_message_protection_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-102 wss11_username_token_with_message_protection_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss11_x509_token_with_message_protection_client_template
アサーション・テンプレートについて説明します。
表示名: Wss11 X509トークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-mutual-auth-with-certificates
説明
wss11_x509_token_with_message_protection_client_template
アサーション・テンプレートでは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対して、メッセージ保護(整合性と機密保護)および証明書ベースの認証が実行されます。資格証明は、SOAPメッセージのWS-Securityバイナリ・セキュリティ・トークンに組み込まれます。
設定
表18-103は、wss11_x509_token_with_message_protection_client_template
アサーション・テンプレートの設定を示しています。
表18-103 wss11_x509_token_with_message_protection_client_templateの設定
名前 | デフォルト値 |
---|---|
X509トークン |
|
|
|
|
|
有効 |
|
無効 |
|
無効 |
|
セキュア通信 |
|
無効 |
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
無効 |
|
有効 |
|
有効 |
|
有効 |
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
有効 |
|
有効 |
|
無効 |
|
表18-132を参照してください |
|
表18-132を参照してください |
|
表18-132を参照してください |
構成
表18-104は、wss11_x509_token_with_message_protection_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-104 wss11_x509_token_with_message_protection_client_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
|
必須 |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss11_x509_token_with_message_protection_service_template
アサーション・テンプレートについて説明します。
表示名: Wss11 X509トークン(メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-mutual-auth-with-certificates
説明
wss11_x509_token_with_message_protection_service_template
アサーション・テンプレートでは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストに対して、メッセージ・レベルの保護および証明書ベースの認証が実行されます。証明書は、WS-Securityバイナリ・セキュリティ・トークン・ヘッダーから抽出され、証明書内の資格証明はOracle Platform Security Servicesアイデンティティ・ストアに対して検証されます。
設定
wss11_x509_token_with_message_protection_service_template
の設定は、クライアント・バージョンのアサーション・テンプレートと同じです。設定の詳細は、表18-103を参照してください。
構成
表18-105は、wss11_x509_token_with_message_protection_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-105 wss11_x509_token_with_message_protection_service_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、binding_oes_authorization_template
アサーション・テンプレートについて説明します。
表示名: バインディングOES認可アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: oes-authorization
説明
binding_oes_authorization_template
アサーション・テンプレートは、Oracle Entitlements Server (OES)で定義されたポリシーに基づき、認可を設定します。認可は、属性、現在の認証されたサブジェクト、およびクライアントが起動したWebサービスのアクションに基づいています。このテンプレートは、Webサービスの任意の操作におけるファイングレイン認可に使用されます。このテンプレートに基づいたポリシーは、サブジェクトが確立される認証ポリシーに従う必要があります。このテンプレートに基づくポリシーは、任意のSOAPエンドポイントにアタッチできます。
設定
表18-106は、binding_oes_authorization_template
アサーション・テンプレートの設定を示しています。
構成
表18-107は、binding_oes_authorization_template
アサーション・テンプレートの構成プロパティおよびデフォルト設定を示しています。
表18-107 binding_oes_authorization_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
このトピックでは、binding_oes_masking_template
アサーション・テンプレートについて説明します。
表示名: Oracle Entitlements Serverを使用したレスポンスのマスキング。
カテゴリ: セキュリティ
タイプ: oes-masking
説明
binding_oes_masking_template
アサーション・テンプレートは、OESで定義されているポリシーに基づいてレスポンスのマスキングを実行します。マスキングは、属性、現在の認証されたサブジェクト、およびクライアントが起動したWebサービスのアクションに基づいています。このテンプレートは、Webサービスの任意の操作におけるファイングレイン・マスキングに使用されます。
設定
表18-106は、binding_oes_masking_template
アサーション・テンプレートの設定を示しています。
構成
表18-107は、binding_oes_masking_template
アサーション・テンプレートの構成プロパティおよびデフォルト設定を示しています。
このトピックでは、component_oes_authorization_template
アサーション・テンプレートについて説明します。
表示名: コンポーネントOES認可アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: oes-authorization
説明
component_oes_authorization_template
アサーション・テンプレートは、Oracle Entitlements Server (OES)で定義されたポリシーに基づき、ユーザー認可を実行します。認可は、属性、現在の認証されたサブジェクト、およびクライアントが起動したWebサービスのアクションに基づいています。このテンプレートは、SCAコンポーネントのファイングレイン認可に使用されます。
設定
表18-106は、component_oes_authorization_template
アサーション・テンプレートの設定を示しています。
構成
表18-107は、component_oes_authorization_template
アサーション・テンプレートの構成プロパティおよびデフォルト設定を示しています。
このトピックでは、pii_security_template
アサーション・テンプレートについて説明します。
表示名: PIIセキュリティ・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: pii-security
説明
pii_security_template
アサーション・テンプレートは、暗号化を使用して個人情報(PII)を保護します。PIIはXPath構成によって識別されます。
注意:
このアサーション・テンプレートは、SOAおよびJCAアダプタのみに適用されます。
設定
表18-108は、pii_security_template
アサーション・テンプレートの設定を示しています。
表18-108 pii_security_templateの設定
名前 | デフォルト値 |
---|---|
PIIセキュリティ |
|
|
|
pii-security |
|
1000 |
|
128 |
|
|
構成
表18-109は、pii_security_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-109 pii_security_templateの構成プロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
pii-csf-key |
必須 |
|
0 |
オプション |
このトピックでは、oracle/sts_trust_config_client_template
アサーション・テンプレートについて説明します。
表示名: 信頼構成クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: sts-trust-config
説明
STS構成情報。クライアント側で提供され、トークン交換用のSTSの呼出しに使用されます。
設定
表18-110は、oracle/sts_trust_config_client_template
アサーション・テンプレートの設定を示しています。
表18-110 oracle/sts_trust_config_client_templateの設定
名前 | デフォルト値 |
---|---|
STS構成 |
|
あり |
|
http://host:port/sts?wsdl |
|
なし |
|
サービス |
なし |
ポート |
なし |
target-namespace#wsdl.endpoint(service-name/port-name) |
|
なし |
|
sts-csf-key |
構成
表18-111は、oracle/sts_trust_config_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-111 oracle/sts_trust_config_client_templateのプロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
|
オプション |
|
|
オプション |
|
|
オプション |
|
|
オプション |
|
|
オプション |
このトピックでは、oracle/sts_trust_config_service_template
アサーション・テンプレートについて説明します。
表示名: 信頼構成サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: sts-trust-config
説明
最小のSTS構成情報。サービス側で提供され、その他すべてのSTS情報の取得およびトークン交換用のSTSの呼出しに使用されます。
設定
表18-112は、oracle/sts_trust_config_service_template
アサーション・テンプレートの設定を示しています。
表18-112 oracle/sts_trust_config_service_templateの設定
名前 | デフォルト値 |
---|---|
STS構成 |
|
あり |
|
|
|
|
構成
表18-113は、oracle/sts_trust_config_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-113 oracle/sts_trust_config_service_templateのプロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
|
オプション |
|
|
オプション |
このトピックでは、oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_template
アサーション・テンプレートについて説明します。
表示名: Wss発行SAML Bearerトークン(メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-sts-issued-token-over-ssl
説明
SSLメッセージ保護付き発行トークンSAML認証(Bearer確認方式)のSOAPバインディング・レベル・ポリシー。
設定
表18-114は、oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_template
アサーション・テンプレートの設定を示しています。
表18-114 oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_templateの設定
名前 | デフォルト値 |
---|---|
発行済トークン |
|
|
|
|
|
なし |
|
無効 |
|
Transport Layer Security |
|
有効 |
|
無効 |
|
有効 |
|
なし |
|
|
|
セキュア通信 |
|
無効 |
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
無効 |
|
有効 |
|
無効 |
|
有効 |
構成
表18-115は、oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-115 oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_templateのプロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
なし |
オプション |
|
|
必須 |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_template
アサーション・テンプレートについて説明します。
表示名: Wss発行SAML Bearerトークン(メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss-sts-issued-token-over-ssl
説明
SSLメッセージ保護付き発行トークンSAML認証(Bearer確認方式)のSOAPバインディング・レベル・ポリシー。
設定
oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_template
の設定は、アサーション・テンプレートのクライアント・バージョンと同じです。設定の詳細は、表18-114を参照してください。
構成
表18-116は、oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-116 oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_templateのプロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss11_sts_issued_saml_hok_with_message_protection_client_template
アサーション・テンプレートについて説明します。
表示名: Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-sts-issued-token-with-certificates
説明
証明書付きWS-Security 1.1発行トークンSAML HOK。Basic128を使用した認証およびメッセージ保護を提供します。
設定
表18-117は、wss11_sts_issued_saml_hok_with_message_protection_client_template
アサーション・テンプレートの設定を示しています。
表18-117 oracle/wss11_sts_issued_saml_hok_with_message_protection_client_templateの設定
名前 | デフォルト値 |
---|---|
発行済トークン |
|
|
|
|
|
|
|
無効 |
|
X509トークン |
|
|
|
|
|
有効 |
|
無効 |
|
無効 |
|
セキュア通信 |
|
無効 |
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
無効 |
|
有効 |
|
有効 |
|
有効 |
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
有効 |
|
有効 |
|
無効 |
|
表18-132を参照してください |
|
表18-132を参照してください |
|
表18-132を参照してください |
構成
表18-118は、wss11_sts_issued_saml_hok_with_message_protection_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-118 oracle/wss11_sts_issued_saml_hok_with_message_protection_client_templateのプロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
enc-csf-key |
オプション |
|
|
必須 |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
|
必須 |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss11_sts_issued_saml_hok_with_message_protection_service_template
アサーション・テンプレートについて説明します。
表示名: Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)サービス・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-sts-issued-token-with-certificates
説明
証明書付きWS-Security 1.1発行トークンSAML HOK。Basic128を使用した認証およびメッセージ保護を提供します。
設定
表18-117は、wss11_sts_issued_saml_hok_with_message_protection_service_template
アサーション・テンプレートの設定を示しています。
構成
表18-119は、wss11_sts_issued_saml_hok_with_message_protection_service_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-119 oracle/wss11_sts_issued_saml_hok_with_message_protection_service_templateのプロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
|
定数 |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、wss11_sts_issued_saml_with_message_protection_client_template
アサーション・テンプレートについて説明します。
表示名: Wss11発行トークン(SAML送信者保証方式/メッセージ保護付き)クライアント・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: wss11-sts-issued-token-with-certificates
説明
証明書付きWS-Security 1.1発行トークンSAML送信者保証。Basic128を使用した認証およびメッセージ保護を提供します。
設定
表18-120は、wss11_sts_issued_saml_with_message_protection_client_template
アサーション・テンプレートの設定を示しています。
表18-120 wss11_sts_issued_saml_with_message_protection_client_templateの設定
名前 | デフォルト値 |
---|---|
発行済トークン |
|
|
|
なし |
|
|
|
無効 |
|
X509トークン |
|
|
|
|
|
有効 |
|
無効 |
|
無効 |
|
セキュア通信 |
|
無効 |
|
1.3または1.4。OWSM WS-SCでは、バージョン1.3と1.4の両方のセキュア通信がサポートされます。ポリシーにはバージョン番号1.3が表示されますが、このポリシーを1.4にも使用できます。 |
|
無効 |
|
有効 |
|
有効 |
|
有効 |
|
アプリケーション設定から継承 |
|
メッセージ・セキュリティ |
|
|
|
有効 |
|
有効 |
|
無効 |
|
表18-132を参照してください |
|
表18-132を参照してください |
|
表18-132を参照してください |
構成
表18-121は、wss11_sts_issued_saml_with_message_protection_client_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-121 oracle/wss11_sts_issued_saml_with_message_protection_client_templateのプロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
|
なし |
オプション |
|
|
必須 |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
なし |
オプション |
|
|
オプション |
|
なし |
オプション |
|
なし |
オプション |
このトピックでは、binding_authorization_template
アサーション・テンプレートについて説明します。
表示名: バインディング認可アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: binding-authorization
説明
binding_authorization_template
アサーション・テンプレートでは、SOAPバインディング・レベルで認証されたサブジェクトに基づいて、リクエストに対して簡単なロールベースの認可が実行されます。認証アサーション・テンプレートの後に続ける必要があります。
設定
表18-122は、binding_authorization_template
アサーション・テンプレートの設定を示しています。
構成
表18-123は、binding_authorization_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-123 binding_authorization_templateのプロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
このトピックでは、binding_permission_authorization_template
アサーション・テンプレートについて説明します。
表示名: バインディング権限ベース認可アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: binding-permission-authorization
説明
binding_permission_authorization_template
アサーションでは、SOAPバインディング・レベルで認証されたサブジェクトに基づいて、リクエストに対して簡単な権限ベースの認可が実行されます。認証アサーションの後に続く必要があります。
設定
表18-124は、binding_permission_authorization_template
アサーション・テンプレートの設定を示しています。
構成
表18-125は、binding_permission_authorization_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-125 binding_permission_authorization_templateのプロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
このトピックでは、component_authorization_template
アサーション・テンプレートについて説明します。
表示名: コンポーネント認可アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: sca-component-authorization
説明
component_authorization_template
アサーションでは、SOAコンポーネント・レベルで認証されたサブジェクトに基づいて、リクエストに対して簡単なロールベースの認可が実行されます。認証アサーションの後に続く必要があります。
設定
表18-126は、component_authorization_template
アサーション・テンプレートの設定を示しています。
構成
表18-127は、component_authorization_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-127 component_authorization_templateのプロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
表18-131は、メッセージ保護でサポートされているアルゴリズム・スイートを示しています。アルゴリズム・スイートを使用すると、メッセージ保護に使用されるアルゴリズムの暗号文字を制御できます。
標準アルゴリズム・スイートのグループは、次のURLから参照できるWS-SecurityPolicy 1.2で定義されています。
各スイートの対称署名(Sym Sig)および非対称署名(Asym Sig)は、次のようにHmacSha1
およびRsaSha1
にそれぞれデフォルト設定されます。
プロパティのアルゴリズム | 値 |
---|---|
[Sym Sig] |
HmacSha1 |
[Asym Sig] |
RsaSha1 |
OWSMは、次の表に一覧されている拡張アルゴリズム・スイートも提供しています。
プロパティのアルゴリズム | 値 |
---|---|
[Sym Sig] |
HmacSha256 |
[Asym Sig] |
RsaSha256 |
XML署名のRSA-SHA256およびHMAC-SHA256は、次のURLから参照できるW3CのXMLセキュリティ・アルゴリズム・クロスリファレンス仕様で定義されています。
http://www.w3.org/TR/xmlsec-algorithms/
注意:
FIPSに準拠したアルゴリズム・スイートにはアスタリスク(*)の印が付いています。FIPSの詳細は、『Oracle WebLogic Serverセキュリティの管理12c (12.2.1)』のFIPSモードの有効化に関する項を参照してください。
表18-128 サポートされているアルゴリズム・スイート
アルゴリズム・スイート | ダイジェスト | 暗号化 | 対称鍵のラップ | 非対称鍵のラップ | 暗号化鍵の導出 | 署名キーの導出 | 署名キーの最小長 | 対称署名 | 非対称署名 |
---|---|---|---|---|---|---|---|---|---|
Basic256 |
Sha1 |
Aes256 |
KwAes256 |
KwRsaOaep |
PSha1L256 |
PSha1L192 |
256 |
HmacSha1 |
RsaSha1 |
Basic192 |
Sha1 |
Aes192 |
KwAes192 |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
HmacSha1 |
RsaSha1 |
Basic128 |
Sha1 |
Aes128 |
KwAes128 |
KwRsaOaep |
PSha1L128 |
PSha1L128 |
128 |
HmacSha1 |
RsaSha1 |
TripleDes |
Sha1 |
TripleDes |
KwTripleDes |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
HmacSha1 |
RsaSha1 |
Basic256Rsa15 |
Sha1 |
Aes256 |
KwAes256 |
KwRsa15 |
PSha1L256 |
PSha1L192 |
256 |
HmacSha1 |
RsaSha1 |
Basic192Rsa15 |
Sha1 |
Aes192 |
KwAes192 |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
HmacSha1 |
RsaSha1 |
Basic128Rsa15 |
Sha1 |
Aes128 |
KwAes128 |
KwRsa15 |
PSha1L128 |
PSha1L128 |
128 |
HmacSha1 |
RsaSha1 |
TripleDesRsa15 |
Sha1 |
TripleDes |
KwTripleDes |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
HmacSha1 |
RsaSha1 |
Basic256Sha256 |
Sha256 |
Aes256 |
KwAes256 |
KwRsaOaep |
PSha1L256 |
PSha1L192 |
256 |
HmacSha1 |
RsaSha1 |
Basic192Sha256 |
Sha256 |
Aes192 |
KwAes192 |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
HmacSha1 |
RsaSha1 |
Basic128Sha256 |
Sha256 |
Aes128 |
KwAes128 |
KwRsaOaep |
PSha1L128 |
PSha1L128 |
128 |
HmacSha1 |
RsaSha1 |
TripleDesSha256 |
Sha256 |
TripleDes |
KwTripleDes |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
HmacSha1 |
RsaSha1 |
Basic256Sha256Rsa15 |
Sha256 |
Aes256 |
KwAes256 |
KwRsa15 |
PSha1L256 |
PSha1L192 |
256 |
HmacSha1 |
RsaSha1 |
Basic192Sha256Rsa15 |
Sha256 |
Aes192 |
KwAes192 |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
HmacSha1 |
RsaSha1 |
Basic128Sha256Rsa15 |
Sha256 |
Aes128 |
KwAes128 |
KwRsa15 |
PSha1L128 |
PSha1L128 |
128 |
HmacSha1 |
RsaSha1 |
TripleDesSha256Rsa15 |
Sha256 |
TripleDes |
KwTripleDes |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
HmacSha1 |
RsaSha1 |
Basic256Exn256 |
Sha256 |
Aes256 |
KwAes256 |
KwRsaOaep |
PSha1L256 |
PSha1L192 |
256 |
HmacSha256 |
RsaSha256 |
Basic192Exn256 |
Sha256 |
Aes192 |
KwAes192 |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
HmacSha256 |
RsaSha256 |
Basic128Exn256 |
Sha256 |
Aes128 |
KwAes128 |
KwRsaOaep |
PSha1L128 |
PSha1L128 |
128 |
HmacSha256 |
RsaSha256 |
TripleDesExn256 |
Sha256 |
TripleDes |
KwTripleDes |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
HmacSha256 |
RsaSha256 |
Basic256Exn256Rsa15* |
Sha256 |
Aes256 |
KwAes256 |
KwRsa15 |
PSha1L256 |
PSha1L192 |
256 |
HmacSha256 |
RsaSha256 |
Basic192Exn256Rsa15* |
Sha256 |
Aes192 |
KwAes192 |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
HmacSha256 |
RsaSha256 |
Basic128Exn256Rsa15* |
Sha256 |
Aes128 |
KwAes128 |
KwRsa15 |
PSha1L128 |
PSha1L128 |
128 |
HmacSha256 |
RsaSha256 |
TripleDesExn256Rsa15* |
Sha256 |
TripleDes |
KwTripleDes |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
HmacSha256 |
RsaSha256 |
注意:
対称署名HmacSha256および非対称署名RsaSha256に拡張アルゴリズム・スイートを使用するには、アルゴリズム・スイートに拡張アルゴリズム・スイート・タイプを設定したカスタムOWSMポリシーを作成する必要があります。たとえば、アルゴリズム・スイート・タイプがBasic256Exn256
の場合は、次のように設定します。
orasp:algorithm-suite="Basic256Exn256
事前定義済ポリシーから新しいポリシーを作成するための手順を実行してから、Oracle Enterprise Manager Fusion Middleware Controlを使用してアルゴリズム・スイートを変更できます。詳細は、次を参照してください。
Oracle® Fusion Middleware Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理のカスタム・ポリシーの作成に関する項を参照してください。
『Oracle® Fusion Middleware Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーの編集に関する項
このトピックでは、component_permission_authorization_template
アサーション・テンプレートについて説明します。
表示名: コンポーネント権限ベース認可アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: sca-component-permission-authorization
説明
component_permission_authorization_template
アサーション・テンプレートでは、SOAコンポーネント・レベルで認証されたサブジェクトに基づき、リクエストに対して簡単な権限ベースの認可が実行されます。認証アサーションの後に続く必要があります。
注意:
system-jazn-data.xmlで指定したセキュリティ権限の緩和は、複数のサービス操作の実施に適用されるため、権限ベースのポリシーをEJBで使用する場合は注意が必要です。
設定
表18-129は、component_permission_authorization_template
アサーション・テンプレートの設定を示しています。
構成
表18-130は、component_permission_authorization_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-130 component_permission_authorization_templateのプロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |
表18-131は、メッセージ保護でサポートされているアルゴリズム・スイートを示しています。アルゴリズム・スイートを使用すると、メッセージ保護に使用されるアルゴリズムの暗号文字を制御できます。
標準アルゴリズム・スイートのグループは、次のURLから参照できるWS-SecurityPolicy 1.2で定義されています。
各スイートの対称署名(Sym Sig)および非対称署名(Asym Sig)は、次のようにHmacSha1
およびRsaSha1
にそれぞれデフォルト設定されます。
プロパティのアルゴリズム | 値 |
---|---|
[Sym Sig] |
HmacSha1 |
[Asym Sig] |
RsaSha1 |
OWSMは、次の表に一覧されている拡張アルゴリズム・スイートも提供しています。
プロパティのアルゴリズム | 値 |
---|---|
[Sym Sig] |
HmacSha256 |
[Asym Sig] |
RsaSha256 |
XML署名のRSA-SHA256およびHMAC-SHA256は、次のURLから参照できるW3CのXMLセキュリティ・アルゴリズム・クロスリファレンス仕様で定義されています。
http://www.w3.org/TR/xmlsec-algorithms/
注意:
FIPSに準拠したアルゴリズム・スイートにはアスタリスク(*)の印が付いています。FIPSの詳細は、『Oracle WebLogic Serverセキュリティの管理12c (12.2.1)』のFIPSモードの有効化に関する項を参照してください。
表18-131 サポートされているアルゴリズム・スイート
アルゴリズム・スイート | ダイジェスト | 暗号化 | 対称鍵のラップ | 非対称鍵のラップ | 暗号化鍵の導出 | 署名キーの導出 | 署名キーの最小長 | 対称署名 | 非対称署名 |
---|---|---|---|---|---|---|---|---|---|
Basic256 |
Sha1 |
Aes256 |
KwAes256 |
KwRsaOaep |
PSha1L256 |
PSha1L192 |
256 |
HmacSha1 |
RsaSha1 |
Basic192 |
Sha1 |
Aes192 |
KwAes192 |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
HmacSha1 |
RsaSha1 |
Basic128 |
Sha1 |
Aes128 |
KwAes128 |
KwRsaOaep |
PSha1L128 |
PSha1L128 |
128 |
HmacSha1 |
RsaSha1 |
TripleDes |
Sha1 |
TripleDes |
KwTripleDes |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
HmacSha1 |
RsaSha1 |
Basic256Rsa15 |
Sha1 |
Aes256 |
KwAes256 |
KwRsa15 |
PSha1L256 |
PSha1L192 |
256 |
HmacSha1 |
RsaSha1 |
Basic192Rsa15 |
Sha1 |
Aes192 |
KwAes192 |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
HmacSha1 |
RsaSha1 |
Basic128Rsa15 |
Sha1 |
Aes128 |
KwAes128 |
KwRsa15 |
PSha1L128 |
PSha1L128 |
128 |
HmacSha1 |
RsaSha1 |
TripleDesRsa15 |
Sha1 |
TripleDes |
KwTripleDes |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
HmacSha1 |
RsaSha1 |
Basic256Sha256 |
Sha256 |
Aes256 |
KwAes256 |
KwRsaOaep |
PSha1L256 |
PSha1L192 |
256 |
HmacSha1 |
RsaSha1 |
Basic192Sha256 |
Sha256 |
Aes192 |
KwAes192 |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
HmacSha1 |
RsaSha1 |
Basic128Sha256 |
Sha256 |
Aes128 |
KwAes128 |
KwRsaOaep |
PSha1L128 |
PSha1L128 |
128 |
HmacSha1 |
RsaSha1 |
TripleDesSha256 |
Sha256 |
TripleDes |
KwTripleDes |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
HmacSha1 |
RsaSha1 |
Basic256Sha256Rsa15 |
Sha256 |
Aes256 |
KwAes256 |
KwRsa15 |
PSha1L256 |
PSha1L192 |
256 |
HmacSha1 |
RsaSha1 |
Basic192Sha256Rsa15 |
Sha256 |
Aes192 |
KwAes192 |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
HmacSha1 |
RsaSha1 |
Basic128Sha256Rsa15 |
Sha256 |
Aes128 |
KwAes128 |
KwRsa15 |
PSha1L128 |
PSha1L128 |
128 |
HmacSha1 |
RsaSha1 |
TripleDesSha256Rsa15 |
Sha256 |
TripleDes |
KwTripleDes |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
HmacSha1 |
RsaSha1 |
Basic256Exn256 |
Sha256 |
Aes256 |
KwAes256 |
KwRsaOaep |
PSha1L256 |
PSha1L192 |
256 |
HmacSha256 |
RsaSha256 |
Basic192Exn256 |
Sha256 |
Aes192 |
KwAes192 |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
HmacSha256 |
RsaSha256 |
Basic128Exn256 |
Sha256 |
Aes128 |
KwAes128 |
KwRsaOaep |
PSha1L128 |
PSha1L128 |
128 |
HmacSha256 |
RsaSha256 |
TripleDesExn256 |
Sha256 |
TripleDes |
KwTripleDes |
KwRsaOaep |
PSha1L192 |
PSha1L192 |
192 |
HmacSha256 |
RsaSha256 |
Basic256Exn256Rsa15* |
Sha256 |
Aes256 |
KwAes256 |
KwRsa15 |
PSha1L256 |
PSha1L192 |
256 |
HmacSha256 |
RsaSha256 |
Basic192Exn256Rsa15* |
Sha256 |
Aes192 |
KwAes192 |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
HmacSha256 |
RsaSha256 |
Basic128Exn256Rsa15* |
Sha256 |
Aes128 |
KwAes128 |
KwRsa15 |
PSha1L128 |
PSha1L128 |
128 |
HmacSha256 |
RsaSha256 |
TripleDesExn256Rsa15* |
Sha256 |
TripleDes |
KwTripleDes |
KwRsa15 |
PSha1L192 |
PSha1L192 |
192 |
HmacSha256 |
RsaSha256 |
注意:
対称署名HmacSha256および非対称署名RsaSha256に拡張アルゴリズム・スイートを使用するには、アルゴリズム・スイートに拡張アルゴリズム・スイート・タイプを設定したカスタムOWSMポリシーを作成する必要があります。たとえば、アルゴリズム・スイート・タイプがBasic256Exn256
の場合は、次のように設定します。
orasp:algorithm-suite="Basic256Exn256
事前定義済ポリシーから新しいポリシーを作成するための手順を実行してから、Oracle Enterprise Manager Fusion Middleware Controlを使用してアルゴリズム・スイートを変更できます。詳細は、次を参照してください。
Oracle® Fusion Middleware Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理のカスタム・ポリシーの作成に関する項を参照してください。
『Oracle® Fusion Middleware Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーの編集に関する項
表18-132は、リクエスト、レスポンスおよびフォルト・メッセージの設定を示しています。これらの設定は、メッセージの署名および暗号化用に構成します。
表18-132 リクエスト、レスポンスおよびフォルト・メッセージへの署名と暗号化の設定
名前 | デフォルト値 |
---|---|
リクエストおよびレスポンス・メッセージの場合は フォルト・メッセージの場合は |
|
|
|
|
|
なし |
|
なし |
security_log_template
アサーション・テンプレートは、デバッグおよび監査目的で使用できます。
表示名: セキュリティ・ログ・アサーション・テンプレート
カテゴリ: セキュリティ
タイプ: Logging
説明
security_log_template
アサーション・テンプレートは、すべてのバインディングまたはコンポーネントにアタッチ可能な、ロギング・アサーション・テンプレートを提供します。
注意:
ロギング・アサーションは、デバッグおよび監査にのみ使用することをお薦めします。
設定
表18-133は、security_log_template
アサーション・テンプレートの設定を示しています。
構成
表18-134は、security_log_template
アサーション・テンプレートの構成プロパティとデフォルト設定を示しています。
表18-134 security_log_templateのプロパティ
名前 | デフォルト値 | タイプ |
---|---|---|
なし |
オプション |