| Oracle® Fusion Middleware Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理 12c (12.2.1.3.0) E90181-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理 12c (12.2.1.3.0) E90181-03 |
|
|
前 |
次 |
この章の内容は次のとおりです。
注意:
現行リリースとともに配布される事前定義済のポリシーおよびアサーション・テンプレートは、読取り専用です。ポリシーまたはアサーション・テンプレートを変更するには、それらをコピーしておく必要があります。セキュリティ・カテゴリおよび管理カテゴリのポリシーのみをコピーできます。アサーション内の属性をポリシーに追加してから構成することもできます。アサーション・テンプレートの管理およびポリシーへの追加の詳細は、「ポリシー・アサーション・テンプレートの管理」を参照してください。
OWSM 12c事前定義済ポリシーのアタッチ時に「値」フィールドに空白の値(" ")を指定した場合、デフォルトの値が適用されます。11gポリシーまたは任意のカスタム・ポリシーをインポート済の場合、そのポリシーの「デフォルト」フィールドに同じ効果をもたらす有効な値が設定されていることを確認してください。それ以外の場合は、指定した値が取得されます。
OWSMの事前定義済のアドレス・ポリシーを使用して、WS-Addressingヘッダーがインバウンド・メッセージに存在するかどうかを確認し、グローバルに添付されたWS Addressingポリシーを上位スコープで効率よく無効化できます。
トピック:
oracle/wsaddr_policyは、W3C 2005 Final WS-Addressing Policy標準に準拠したWS-Addressingヘッダーがインバウンド・メッセージに存在するかどうかを確認します。
oracle/no_addressing_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたWS Addressingポリシーを上位スコープで効率よく無効化します。
Webサービスのアドレス・ポリシーのアタッチの詳細は、次を参照してください。
『Webサービスの管理』のFusion Middleware Controlを使用したアドレッシングの構成に関する項
『Webサービスの管理』のWLSTを使用したアドレッシングの構成に関する項
事前定義済のOWSMアトミック・トランザクション・ポリシーを使用して、アトミック・トランザクションのサポートを有効化および構成できます。
トピック:
oracle/atomic_transaction_policyは、アトミック・トランザクションのサポートを有効にして、構成します。
oracle/no_atomic_transaction_policyは、エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたアトミック・トランザクションWebサービス・ポリシーを上位スコープで効率よく無効化します。
Webサービスのアトミック・トランザクション・ポリシーのアタッチの詳細は、次を参照してください。
『Webサービスの管理』のFusion Middleware Controlを使用したアトミック・トランザクションの構成に関する項
『Webサービスの管理』のWLSTを使用したアトミック・トランザクションの構成に関する説明
Webサービスを有効化および構成するOWSM事前定義済構成プロパティを使用できます。
トピック:
注意:
以下の点に注意する必要があります。
構成ポリシーを複製することはできません。
構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
oracle/async_web_service_policyは、非同期Webサービスを有効にして、構成します。
oracle/cache_binary_content_policyは、コンテンツのバイナリ・キャッシュのサポートを有効にして、構成します。
oracle/fast_infoset_client_policyは、Webサービス・クライアント上のFast Infosetを有効にして、構成します。
oracle/fast_infoset_service_policyは、Webサービス上のFast Infosetを有効にします。
oracle/max_request_size_policyは、Webサービスに送信可能なリクエスト・メッセージの最大サイズをバイト単位で構成します。
oracle/mex_request_processing_service_policyは、Webサービス・メタデータの交換を有効にします。
oracle/mtom_encode_fault_service_policyは、MTOMが有効になっている場合の、MTOM対応SOAPフォルト・メッセージの作成を有効にします。
oracle/no_async_web_service_policyは、エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた非同期Webサービス・ポリシーを上位スコープで効率よく無効化します。
oracle/no_cache_binary_content_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたバイナリ・キャッシング・ポリシーを上位スコープで効率よく無効化します。
oracle/no_fast_infoset_client_policyは、エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたFast Infosetクライアント・ポリシーを上位スコープで効率よく無効化します。
oracle/no_fast_infoset_service_policyは、エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたFast Infosetサービス・ポリシーを上位スコープで効率よく無効化します。
oracle/no_max_request_size_policyは、エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた最大リクエスト・サイズ・ポリシーを上位スコープで効率よく無効化します。
oracle/no_mex_request_processing_service_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたWebサービス・メタデータ交換ポリシーを上位スコープで効率よく無効化します。
oracle/no_mtom_encode_fault_service_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたSOAPフォルトMTOMエンコーディング・ポリシーを上位スコープで効率よく無効化します。
oracle/no_persistence_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付された永続性ポリシーを上位スコープで効率よく無効化します。
oracle/no_pox_http_binding_service_policyは、エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたPlain Old XML (POX)ポリシーを上位スコープで効率よく無効化します。
oracle/no_request_processing_service_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたリクエスト処理ポリシーを上位スコープで効率よく無効化します。
oracle/no_schema_validation_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたスキーマ検証ポリシーを上位スコープで効率よく無効化します。
oracle/no_soap_request_processing_service_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたSOAPリクエスト処理ポリシーを上位スコープで効率よく無効化します。
oracle/no_test_page_processing_service_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたテスト・ページ処理ポリシーを上位スコープで効率よく無効化します。
oracle/no_ws_logging_level_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたロギング・ポリシーを上位スコープで効率よく無効化します。
oracle/no_wsdl_request_processing_service_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたWSDLリクエスト処理ポリシーを上位スコープで効率よく無効化します。
oracle/persistence_policyは、Webサービスのセキュア通信永続性メカニズムを構成します。
oracle/pox_http_binding_service_policyは、ユーザー定義のjavax.xml.ws.Provider<T>.invokeメソッドによって処理される非SOAP XMLメッセージをエンドポイントで受信できるようにします。
oracle/request_processing_service_policyは、Webサービス・エンドポイントで着信リクエストを処理できるようにします。
oracle/schema_validation_policyは、スキーマに対するリクエスト・メッセージの検証を有効にします。
oracle/soap_request_processing_service_policyは、Webサービス・エンドポイントでのSOAPリクエストの処理を有効にします。
oracle/test_page_processing_policyは、『Webサービスの管理』のWebサービス・テスト・クライアントの使用に関する項で説明されているように、Webサービス・テスト・クライアントを有効にします。
oracle/ws_logging_level_policyは、Webサービス・エンドポイントの診断ログのログ・レベルを設定します。
oracle/wsdl_request_processing_service_policyは、WebサービスがWSDLにアクセスできるようにします。
構成ポリシーのアタッチの詳細は、次を参照してください。
Webサービスの管理のFusion Middleware Controlを使用したWebサービスの構成
Webサービスの管理のWLSTを使用したWebサービスの構成に関する項
事前定義済の管理ポリシーを使用して、リクエストのSOAPメッセージ全体およびレスポンスのSOAP本体情報のみをログに記録できます。
oracle/log_policyを使用すると、メッセージ・ログにリクエスト、レスポンスおよびフォルト・メッセージが送信されます。
事前定義済のメッセージ転送最適化メカニズム(MTOM)・ポリシーを使用して、グローバルにアタッチされたWS MTOMポリシーを上位スコープで効率よく無効化し、MTOM形式ではないインバウンド・メッセージを拒否し、アウトバウンド・メッセージがMTOM形式であるかどうかを検証できます。
トピック:
oracle/no_mtom_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたWS MTOMポリシーを上位スコープで効率よく無効化します。
oracle/wsmtom_policyは、MTOM形式ではないインバウンド・メッセージを拒否し、アウトバウンド・メッセージがMTOM形式であるかどうかを検証します。
MTOMポリシーのアタッチの詳細は、次を参照してください。
『Webサービスの管理』のFusion Middleware Controlを使用したMTOMの構成に関する項
『Webサービスの管理』のWLSTを使用したMTOMの構成に関する項
事前定義済の信頼できるメッセージング・ポリシーを使用して、グローバルにアタッチされたWebサービスの信頼性のあるメッセージング・ポリシーを効果的に無効化し、WebサービスおよびクライアントのWebサービスの信頼性のあるメッセージングを構成し、Web Services Reliable Messagingプロトコルを構成できます。
トピック:
oracle/no_reliable_messaging_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたWeb Services信頼できるメッセージング・ポリシーを上位スコープで効率よく無効化します。
oracle/no_wsrm_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたWeb Services信頼できるメッセージング・ポリシーを上位スコープで効率よく無効化します。
oracle/reliable_messaging_policyは、Webサービスおよびクライアントで、Webサービスの信頼性のあるメッセージングを構成します。
oracle/wsrm10_policyは、Web Services Reliable Messagingプロトコルのバージョン1.0を構成します。
oracle/wsrm11_policyは、Web Services Reliable Messagingプロトコルのバージョン1.1を構成します。
信頼できるメッセーング・ポリシーのアタッチの詳細は、次を参照してください。
『Webサービスの管理』のFusion Middleware Controlを使用した信頼できるメッセージングの構成に関する項
『Webサービスの管理』のWLSTを使用した信頼できるメッセージングの構成に関する項
認証のみシナリオ用の事前定義済セキュリティ・ポリシーを使用できます。
トピック:
注意:
Kerberos over SSLおよびSPNEGOの2つの認証のみシナリオには、事前定義済のポリシーはありません。これらのシナリオを使用するには、Oracle Web Services Managerの事前定義済アサーション・テンプレートで説明されているKerberos over SSLおよびSPNEGOアサーション・テンプレートを使用する独自のポリシーを作成します。
oracle/wss_saml_bearer_or_username_token_service_policyは、クライアントがSAMLまたはユーザー名トークンのいずれを使用するかに基づいて、次の認証ポリシーのいずれかを強制します。
Bearer確認タイプを使用するWS-Security SOAPヘッダー内のSAMLトークン。
構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。
oracle/wss_saml_or_username_token_service_policyは、クライアントがSAMLまたはユーザー名トークンのいずれを使用するかに基づいて、次の認証ポリシーのいずれかを強制します。
sender-vouchesの確認タイプを使用したWS-Security SOAPヘッダー内のSAMLトークン。
構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。
oracle/wss_saml_token_bearer_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。
oracle/http_oam_token_service_policyは、OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。
oracle/http_saml20_token_bearer_client_policyは、HTTPヘッダーにSAML Bearer V2.0トークンを含めます。
oracle/http_saml20_token_bearer_service_policyは、HTTPヘッダー内の確認方法がBearerのSAML v2.0トークンに含まれる資格証明を使用してユーザーを認証します。
oracle/multi_token_rest_service_policyは、クライアントにより送信されたトークンに基づいて次のいずれかの認証ポリシーを強制します。
HTTP Basic: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
HTTPヘッダーのSAML v2.0 Bearerトークン: HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
HTTP OAMセキュリティ: OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。
SPNEGO over HTTPセキュリティ: Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO)トークンをHTTPヘッダーから抽出します。
oracle/no_authentication_client_policyは、クライアント・エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付された認証ポリシーを上位スコープで効率よく無効化します。
oracle/no_authentication_service_policyは、サービス・エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付された認証ポリシーを上位スコープで効率よく無効化します。
oracle/wss_http_token_client_policyは、アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を含めます。
oracle/wss_http_token_service_policyは、HTTPヘッダーの資格証明を使用して、OPSSアイデンティティ・ストアに対してユーザーを認証します。
oracle/wss_username_token_client_policyは、すべてのアウトバウンドSOAPリクエスト・メッセージにWS-Security UsernameTokenヘッダーの資格証明を含めます。
oracle/wss_username_token_service_policyは、UsernameToken WS-Security SOAPヘッダーの資格証明を使用してユーザーを認証します。
oracle/wss10_saml_token_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。
oracle/wss10_saml_token_service_policyは、WS-Security SOAPヘッダー内のSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
oracle/wss10_saml20_token_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。
oracle/wss10_saml20_token_service_policyは、WS-Security SOAPヘッダー内のSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
oracle/wss11_kerberos_token_client_policyは、WS-Security Kerberos Token Profile v1.1標準に従い、WS-SecurityヘッダーにKerberosトークンを含めます。
oracle/wss11_kerberos_token_service_policyは、SOAPヘッダーからKerberosトークンを抽出し、ユーザーを認証します。
oracle/multi_token_rest_access_service_policyでは、リクエストにセキュリティ・トークンがない場合に匿名サブジェクトを使用してエンドポイントにアクセスできます。また、セキュリティ・トークンがリクエストに存在しない場合にサービスから403レスポンスをマスクします。
oracle/multi_token_rest_access_over_ssl_service_policyでは、リクエストにセキュリティ・トークンがない場合に匿名サブジェクトを使用してSSL経由でエンドポイントにアクセスできます。また、セキュリティ・トークンがリクエストに存在しない場合にサービスから403レスポンスをマスクします。
oracle/http_anonymous_rest_service_policyでは、コンテキストで匿名サブジェクトを使用してエンドポイントにアクセスできます。
oracle/http_anonymous_rest_over_ssl_service_policyでは、コンテキストで匿名サブジェクトを使用してSSL経由でエンドポイントにアクセスできます。
HTTP Basic over SSL: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
HTTPヘッダーのSAML 2.0 Bearerトークン(SSL経由): HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
HTTP OAMセキュリティ(SSL以外): OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。(サーバー側でのみSSL以外のOAM保護を提供します。)
SPNEGO over HTTPセキュリティ(SSL以外): SPNEGO Kerberosトークン情報をHTTPヘッダーから抽出します。(SSL以外の保護のみを提供します。)
HTTPヘッダー内のJWTトークン(SSL経由): HTTPヘッダー内のJWTトークンからユーザー名を抽出します。
HTTP Basic over SSL: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
HTTPヘッダーのSAML 2.0 Bearerトークン(SSL経由): HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
HTTP OAMセキュリティ(SSL以外): OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。(サーバー側でのみSSL以外のOAM保護を提供します。)
SPNEGO over HTTPセキュリティ(SSL以外): SPNEGO Kerberosトークン情報をHTTPヘッダーから抽出します。(SSL以外の保護のみを提供します。)
HTTPヘッダー内のJWTトークン(SSL経由): HTTPヘッダー内のJWTトークンからユーザー名を抽出します。
認証のみシナリオ用の事前定義済セキュリティ・ポリシーを使用できます。
この項では、事前定義済のOWSM認可のみセキュリティ・ポリシーについて次の各トピックで説明します。
oracle/binding_authorization_denyall_policyは、SOAPバインディング・レベルの認証されたサブジェクトに基づき、簡単なロール・ベースの認可ポリシーを提供します。
oracle/binding_authorization_permitall_policyは、SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロール・ベースの認可を行います。
oracle/binding_permission_authorization_policyは、認証済のサブジェクトに基づく権限ベースの認可ポリシーを提供します。
oracle/component_authorization_denyall_policyは、認証されたサブジェクトに基づき、簡単なロールベースの認可ポリシーを提供します。
oracle/component_authorization_permitall_policyは、認証されたサブジェクトに基づき、簡単なロールベースの認可ポリシーを提供します。
oracle/component_permission_authorization_policyは、認証済のサブジェクトに基づく権限ベースの認可ポリシーを提供します。
oracle/no_authorization_component_policyは、SOAコンポーネントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付された認可ポリシーを上位スコープで効率よく無効化します。
oracle/no_authorization_service_policyは、サービス・エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付された認可ポリシーを上位スコープで効率よく無効化します。グローバルにアタッチされたポリシーに、認可アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効になります。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
oracle/whitelist_authorization_policyは、次のいずれかの条件が真である場合にのみリクエストを受け入れます。
認証されたトークンがSAML送信者保証の場合。
ユーザーが特定のロールの場合(デフォルトはtrustedEnterpriseRoleであり、ユーザーを信頼できるエンティティとして確立します
リクエストがプライベート・ネットワークから届いている場合。
メッセージ保護のみシナリオ用の事前定義済セキュリティ・ポリシーを使用できます。
トピック:
oracle/no_messageprotection_client_policyは、クライアント・エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたメッセージ保護ポリシーを上位スコープで効率よく無効化します。
oracle/no_messageprotection_service_policyは、サービス・エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたメッセージ保護ポリシーを上位スコープで効率よく無効化します。
oracle/wss10_message_protection_client_policyは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
oracle/wss10_message_protection_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
oracle/wss11_message_protection_client_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストにメッセージの整合性および機密保護を提供します。
oracle/wss11_message_protection_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストにメッセージの整合性および機密保護を提供します。
OWSMには、メッセージ保護および認証用の事前定義済セキュリティ・ポリシーがあります。
この項では、これらのポリシーについて次の各トピックで説明します。
oracle/http_basic_auth_over_ssl_client_policyでは、アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込んで、トランスポート・プロトコルがHTTPSであることを検証します。
oracle/http_basic_auth_over_ssl_service_policyは、HTTPヘッダー内の資格証明を使用して、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。
oracle/http_saml20_token_bearer_over_ssl_client_policyは、HTTPヘッダーにSAML Bearer v2.0トークンを含めます。確認方式がBearerとなっているSAMLトークンが自動的に作成され、トランスポート・プロトコルがSSLメッセージ保護を提供していることが検証されます。
oracle/http_saml20_bearer_token_over_ssl_service_policyは、HTTPヘッダー内の確認方式がBearerとなっているSAML v2.0トークンに指定されている資格証明を使用してユーザーを認証し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
oracle/multi_token_over_ssl_rest_service_policyは、クライアントにより送信されたトークンに基づいて次のいずれかの認証ポリシーを強制します。
HTTP Basic over SSL: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
HTTPヘッダーのSAML 2.0 Bearerトークン(SSL経由): HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
HTTP OAMセキュリティ(SSL以外): OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。
SPNEGO over HTTPセキュリティ(非SSL): SPNEGOトークン情報をHTTPヘッダーから抽出します。
oracle/pii_security_policyは保護するPIIデータを暗号化します。
oracle/sts_trust_config_client_policyは、トークン交換用のSTS呼出しに使用されるSTSクライアント構成情報を指定します。
oracle/sts_trust_config_service_policyは、トークン交換用のSTS呼出しに使用されるSTS構成情報を指定します。
oracle/wss_saml_or_username_token_over_ssl_service_policyは、メッセージ保護(整合性と機密保護)を実行し、クライアントがSAMLまたはユーザー名トークンを使用するかどうかに基づいて、それぞれ次のいずれかの認証ポリシーを実行します。
sender-vouchesの確認タイプを使用したWS-Security SOAPヘッダー内のSAMLトークン。
構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。
oracle/wss_saml_token_bearer_over_ssl_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。
oracle/wss_saml_token_bearer_over_ssl_service_policyは、WS-Security SOAPヘッダー内の確認方法がBearerのSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
oracle/wss_http_token_over_ssl_client_policyは、アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込み、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。
oracle/wss_http_token_over_ssl_service_policyは、HTTPヘッダー内の資格証明を抽出して、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。
oracle/wss_saml_token_over_ssl_client_policyは、確認タイプsender-vouchesを使用して、アウトバウンドWS-Security SOAPヘッダーに、SAMLトークンを組み込みます。
oracle/wss_saml_token_over_ssl_service_policyは、確認タイプsender-vouchesを使用した、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証を実行し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
oracle/wss_saml20_token_bearer_over_ssl_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
oracle/wss_saml20_token_bearer_over_ssl_service_policyは、WS-Security SOAPヘッダー内の確認方式がBearerとなっているSAMLトークンに指定されている資格証明を使用してユーザーを認証し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
oracle/wss_saml20_token_over_ssl_client_policyは、確認タイプsender-vouchesを使用して、アウトバウンドWS-Security SOAPヘッダーにSAMLトークンを組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
oracle/wss_saml20_token_over_ssl_service_policyは、確認タイプsender-vouchesを使用した、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証を実行し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policyは、信頼できるSTSが発行したSAML Bearerアサーションを挿入します。
oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policyは、信頼できるSTSが発行したSAML Bearerアサーションを認証します。
oracle/wss_username_token_over_ssl_client_policyは、アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
oracle/wss_username_token_over_ssl_service_policyは、WS-Security UsernameToken SOAPヘッダー内の資格証明を使用して、OPSS構成済アイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
oracle/wss_username_token_over_ssl_wssc_client_policyは、アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
oracle/wss_username_token_over_ssl_wssc_service_policyは、WS-Security UsernameToken SOAPヘッダー内の資格証明を使用して、OPSS構成済アイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
oracle/wss10_saml_hok_token_with_message_protection_client_policyは、アウトバウンドSOAPメッセージに対してWS-Security 1.0標準に従ったメッセージ保護(整合性と機密保護)およびSAML Holder of Keyベースの認証を行います。
oracle/wss10_saml_hok_token_with_message_protection_service_policyは、インバウンドSOAPリクエストに対してWS-Security 1.0標準に従ったメッセージ保護(整合性と機密保護)およびSAML Holder of Keyベースの認証を行います。
oracle/wss10_saml_token_with_message_integrity_client_policyは、WS-Security 1.0標準に準拠して、アウトバウンドSOAPメッセージに対してメッセージレベルの整合性およびSAMLベースの認証を提供します。
oracle/wss10_saml_token_with_message_integrity_service_policyは、インバウンドSOAPリクエストに対してWS-Security 1.0標準に従ったメッセージ・レベルの整合性の保護およびSAMLベースの認証を行います。
oracle/wss10_saml_token_with_message_protection_client_policyは、WS-Security 1.0標準に準拠して、アウトバウンドSOAPメッセージに対してメッセージレベルの保護およびSAMLベースの認証を提供します。
oracle/wss10_saml_token_with_message_protection_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。
oracle/wss10_saml_token_with_message_protection_ski_basic256_client_policyは、WS-Security 1.0標準に準拠して、アウトバウンドSOAPメッセージに対してメッセージレベルの保護およびSAMLベースの認証を提供します。
oracle/wss10_saml_token_with_message_protection_ski_basic256_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。
oracle/wss10_saml20_token_with_message_protection_client_policyは、WS-Security 1.0標準に準拠して、アウトバウンドSOAPメッセージに対してメッセージレベルの保護およびSAMLベースの認証を提供します。
oracle/wss10_saml20_token_with_message_protection_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。
oracle/wss10_username_id_propagation_with_msg_protection_client_policyは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)およびアイデンティティの伝播を提供します。
oracle/wss10_username_id_propagation_with_msg_protection_service_policyは、WS-Security 1.0に記述されたメカニズムを使用して、インバウンドSOAPリクエストに対するメッセージ・レベルの保護(整合性および機密保護)およびアイデンティティ伝播を実施します。
oracle/wss10_username_token_with_message_protection_client_policyは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および認証を提供します。
oracle/wss10_username_token_with_message_protection_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(メッセージの整合性および機密保護)と、認証を行います。
oracle/wss10_username_token_with_message_protection_ski_basic256_client_policyは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および認証を提供します。
oracle/wss10_username_token_with_message_protection_ski_basic256_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(メッセージの整合性および機密保護)と、認証を行います。
oracle/wss10_x509_token_with_message_protection_client_policyは、アウトバウンドSOAPリクエストに対してWS-Security 1.0標準に従ったメッセージ保護(整合性と機密保護)および証明書資格証明の移入を行います。
oracle/wss10_x509_token_with_message_protection_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、証明書ベースの認証を行います。
oracle/wss11_kerberos_token_with_message_protection_client_policyは、WS-SecurityヘッダーにKerberosトークンを組み込み、WS-Security Kerberos Token Profile v1.1標準に従い、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。
oracle/wss11_kerberos_token_with_message_protection_service_policyは、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。
oracle/wss11_kerberos_token_with_message_protection_basic128_client_policyは、WS-SecurityヘッダーにKerberosトークンを組み込み、WS-Security Kerberos Token Profile v1.1標準に従い、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。
oracle/wss11_kerberos_token_with_message_protection_basic128_service_policyは、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。
oracle/wss11_saml_or_username_token_with_message_protection_service_policyは、メッセージ保護(整合性と機密保護)を実行し、クライアントがSAML、ユーザー名またはHTTPトークンを使用するかどうかに基づいて、それぞれ次のいずれかの認証ポリシーを実行します。
WS-Security 1.1標準に従ったインバウンドSOAPリクエストのSAMLベースの認証。
WS-Security 1.1標準に従ったインバウンドSOAPリクエストのユーザー名トークン認証。
WS-Security SOAPヘッダーの、確認方法がBearerのSAMLトークンに含まれる資格証明を使用する、SAMLベースの認証。トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。
UsernameToken WS-Security SOAPヘッダーの資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーを認証する、ユーザー名トークン認証。トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。
HTTPヘッダーから抽出した資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーを認証する、HTTP認証。トランスポート・プロトコルがHTTPSであることを検証します。
oracle/wss11_saml_token_identity_switch_with_message_protection_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
oracle/wss11_saml_token_with_message_protection_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
oracle/wss11_saml_token_with_message_protection_wssc_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
oracle/wss11_saml_token_with_message_protection_wssc_reauthn_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
oracle/wss11_saml_token_with_message_protection_wssc_reauthn_service_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
oracle/wss11_saml20_token_with_message_protection_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
oracle/wss11_saml20_token_with_message_protection_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。
oracle/wss11_sts_issued_saml_hok_with_message_protection_client_policyは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを挿入します。メッセージは、STSで提供される証明鍵マテリアルを使用して保護されます。
oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policyは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを認証します。
oracle/wss11_username_token_with_message_protection_service_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および認証を提供します。プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
oracle/wss11_username_token_with_message_protection_client_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、認証を行います。
oracle/wss11_username_token_derivedkey_with_message_protection_service_policyでは、リクエストでユーザー名トークンに<wsse11:Salt>または<wsse11:Iteration>要素が含まれるバックエンド・サービス・クライアントと統合するためにOWSMを使用できます。これらの要素をユーザー名トークンで使用し、パスワード導出キーをサポートできます。署名または暗号化が使用されます。
oracle/wss11_username_token_derivedkey_with_message_protection_signature_only_client_policyでは、ユーザー名トークンに<wsse11:Salt>または<wsse11:Iteration>要素が必要なバックエンド・サービスと統合するためにOWSMを使用できます。これらの要素をユーザー名トークンで使用し、パスワード導出キーをサポートできます。このクライアント・ポリシーは、署名を使用したメッセージ保護用です。
oracle/wss11_username_token_derivedkey_with_message_protection_encryption_only_client_policyでは、ユーザー名トークンに<wsse11:Salt>または<wsse11:Iteration>要素が必要なバックエンド・サービスと統合するためにOWSMを使用できます。これらの要素をユーザー名トークンで使用し、パスワード導出キーをサポートできます。このクライアント・ポリシーは、暗号化を使用したメッセージ保護用です。
oracle/wss11_username_token_with_message_protection_wssc_client_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および認証を提供します。
oracle/wss11_username_token_with_message_protection_wssc_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、認証を行います。
oracle/wss11_x509_token_with_message_protection_client_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および証明書ベースの認証を提供します。
oracle/wss11_x509_token_with_message_protection_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ・レベルの保護と、証明書ベースの認証を行います。
oracle/wss11_x509_token_with_message_protection_wssc_client_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および証明書ベースの認証を提供します。
oracle/wss11_x509_token_with_message_protection_wssc_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ・レベルの保護と、証明書ベースの認証を行います。
OWSMには、事前定義済のSha256ポリシーがあります。
この項では、事前定義済のOWSM Sha256のみセキュリティ・ポリシーについて次の各トピックで説明します。
oracle/wss11_saml_or_username_token_with_message_protection_sha256_service_policyは、メッセージ保護(整合性と機密保護)を実行し、クライアントがSAML、ユーザー名またはHTTPトークンを使用するかどうかに基づいて、認証ポリシーを強制します。
oracle/wss11_saml_token_identity_switch_with_message_protection_sha256_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
oracle/wss11_saml_token_with_message_protection_sha256_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
oracle/wss11_saml_token_with_message_protection_sha256_service_policyは、WS-Security 1.1に記述されているメカニズムを使用して、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
oracle/wss11_username_token_with_message_protection_sha256_client_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および認証を提供します。
oracle/wss11_username_token_with_message_protection_sha256_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、認証を行います。
oracle/wss_saml_bearer_or_username_token_sha256_service_policyは、クライアントがSAML Bearerまたはユーザー名トークンのいずれを使用するかに基づいて、認証ポリシーを強制します。
oracle/wss_saml_token_bearer_identity_switch_sha256_client_policyは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えを実行します。
oracle/wss_saml_token_bearer_over_ssl_sha256_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。
oracle/wss_saml_token_bearer_over_ssl_sha256_service_policyは、WS-Security SOAPヘッダー内の確認方法がBearerのSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
oracle/wss_saml_token_bearer_sha256_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAML Bearerトークンを含めます。
oracle/wss_saml_token_bearer_sha256_service_policyは、WS-Security SOAPヘッダー内のSAML Bearerトークンに含まれる資格証明を使用してユーザーを認証します。
OWSMには、Oracle Entitlements Server (OES)用の事前定義済のセキュリティ・ポリシーがあります。
トピック:
oracle/binding_oes_authorization_policyは、Oracle Entitlements Serverで定義されたポリシーに基づき、ユーザー認可を設定します。
oracle/binding_oes_masking_policyは、Oracle Entitlements Serverで定義されたポリシーに基づいてレスポンス・マスキングを実行します。
oracle/component_oes_authorization_policyは、Oracle Entitlements Serverで定義されたポリシーに基づき、ユーザー認可を設定します。
SOAP Over JMSトランスポート用の事前定義済ポリシーを使用できます。
トピック:
oracle/jms_transport_client_policyは、Webサービス・クライアントに対するSOAP over JMSトランスポートのサポートを有効にして、構成します。
oracle/jms_transport_service_policyは、Webサービスに対するSOAP over JMSトランスポートのサポートを有効にして、構成します。
oracle/no_jms_transport_client_policyは、エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAP over JMSトランスポート・クライアント・ポリシーを上位スコープで効率よく無効化します。
oracle/no_jms_transport_service_policyは、エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAP over JMSトランスポート・サービス・ポリシーを上位スコープで効率よく無効化します。
SOAP over JMSトランスポート・ポリシーのアタッチの詳細は、次を参照してください。
『Webサービスの管理』のFusion Middleware Controlを使用したSOAP Over JMSトランスポートの構成に関する項
『Webサービスの管理』のWLSTを使用したSOAP Over JMSトランスポートの構成に関する項
oracle/wsaddr_policyは、W3C 2005 Final WS-Addressing Policy標準に準拠したWS-Addressingヘッダーがインバウンド・メッセージに存在するかどうかを確認します。また、プラットフォームにより、WS-AddressingヘッダーがアウトバウンドSOAPメッセージに組み込まれます。
表示名: WSアドレス・ポリシー
カテゴリ: WSアドレス
説明
Webサービス・クライアントでのWS-Addressingの構成の詳細は、Web Services Addressing 1.0 - SOAP Bindingの仕様(http://www.w3.org/TR/ws-addr-soap/)を参照してください。
注意:
以下の点に注意する必要があります。
このポリシーを複製することはできません。
このポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-1は、このアドレス・ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-1 oracle/wsaddr_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWSアドレス・ポリシーを上位スコープで効率よく無効化します。
表示名: アドレッシング動作無効ポリシー
カテゴリ: WSアドレス
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-2は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-2 oracle/no_addressing_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
アトミック・トランザクション・ポリシーは、アトミック・トランザクションのサポートを有効にして、構成します。
表示名: アトミック・トランザクション・ポリシー
カテゴリ: アトミック・トランザクション
説明
アトミック・トランザクションの詳細は、Oracle Infrastructure Webサービスの開発のWebサービスのアトミック・トランザクションの使用に関する項を参照してください。
注意:
以下の点に注意する必要があります。
このアトミック・トランザクション・ポリシーを複製することはできません。
このアトミック・トランザクション・ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
このアトミック・トランザクション・ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-3は、アトミック・トランザクションの、オーバーライド可能な構成プロパティを示しています。
表17-3 oracle/atomic_transaction_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
Webサービスアトミック・トランザクション調整コンテキストがトランザクション・フローとともに渡されるかどうか。有効な値は次のとおりです。
有効な値の詳細は、『Oracle Infrastructure Webサービスの開発』のWebサービスのアトミック・トランザクションの構成に関する項を参照してください。 |
|
オプション |
|
Webサービスのアトミック・トランザクションの調整コンテキストのサポートされているバージョン。Webサービス・クライアントの場合、アウトバウンド・メッセージにのみ使用されるバージョンが指定されます。トランザクション全体で同じ値を指定する必要があります。有効な値は次のとおりです。
有効な値の詳細は、『Oracle Infrastructure Webサービスの開発』のWebサービスのアトミック・トランザクションの構成に関する項を参照してください。 |
|
オプション |
|
reference.priorityを参照してください。 |
なし |
オプション |
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたアトミック・トランザクションWebサービス・ポリシーを上位スコープで効率よく無効化します。
表示名: アトミック・トランザクションなしポリシー
カテゴリ: アトミック・トランザクション
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
アトミック・トランザクションの詳細は、Oracle Infrastructure Webサービスの開発のWebサービスのアトミック・トランザクションの使用に関する項を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-4は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-4 oracle/no_atomic_transaction_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
非同期Webサービス・ポリシーは、非同期Webサービスを有効にして、構成します。
表示名: 非同期Webサービス・ポリシー
カテゴリ: 構成
説明
非同期Webサービスを有効にして、構成します。
注意:
以下の点に注意する必要があります。
この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-5は、非同期Webサービスの、オーバーライド可能な構成プロパティを示しています。
表17-5 oracle/async_web_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
JMSキューの使用を許可されているユーザー。 注意: 大多数のユーザーでは、OracleSystemUserで十分です。ただし、このユーザーを、セキュリティ・レルム内の別のユーザーに変更する必要がある場合は、『Webサービスの管理』のFusion Middleware Controlを使用した非同期WebサービスのJMSシステム・ユーザーの変更に関する項に示されている手順を使用して、これを実行できます。 |
|
オプション |
|
JMSリクエスト・キューのコネクション・ファクトリの名前。 |
|
オプション |
|
リクエスト・キューの名前。 |
|
オプション |
|
JMSレスポンス・キューのコネクション・ファクトリの名前。 |
|
オプション |
|
リクエスト・キューの名前。 |
|
オプション |
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/cache_binary_content_policyは、コンテンツのバイナリ・キャッシュのサポートを有効にして、構成します。
表示名: キャッシュ・バイナリ・コンテンツ・ポリシー
カテゴリ: 構成
説明
コンテンツのバイナリ・キャッシュのサポートを有効にして、構成します。
注意:
以下の点に注意する必要があります。
この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-6は、バイナリ・キャッシュの、オーバーライド可能な構成プロパティを示しています。
表17-6 oracle/cache_binary_content_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
OraSAAJのXTIスケーラブルDOMのランタイム要件を指定する値。有効な値は次のとおりです。
|
|
オプション |
|
次のいずれかの値を定義するブール値。
|
|
オプション |
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/fast_infoset_client_policyは、Webサービス・クライアントでFast Infosetを有効にして、構成します。
表示名: Fast Infosetクライアント・ポリシー
カテゴリ: 構成
説明
Webサービス・クライアント上のFast Infosetを有効にして、構成します。
Fast Infosetの詳細は、次を参照してください。
JAX-WS Webサービス: 『Oracle WebLogic Server JAX-WS Webサービスの開発』のFast Infosetを使用したXML転送の最適化に関する項
Oracle Infrastructure Webサービス: 『Oracle Infrastructure Webサービスの開発』のFast Infosetを使用したXML転送の最適化に関する項。
注意:
以下の点に注意する必要があります。
この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-7は、Fast Infosetクライアントの、オーバーライド可能な構成プロパティを示しています。
表17-7 oracle/fastinfoset_client_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
Fast Infosetコンテンツ・ネゴシエーション設定を指定する値。有効な値は次のとおりです。
|
|
オプション |
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/fast_infoset_service_policyは、WebサービスでFast Infosetを有効にします。
表示名: Fast Infosetサービス・ポリシー
カテゴリ: 構成
説明
WebサービスのFast Infosetを有効にします。
Fast Infosetの詳細は、次を参照してください。
JAX-WS Webサービス: 『Oracle WebLogic Server JAX-WS Webサービスの開発』のFast Infosetを使用したXML転送の最適化に関する項
Oracle Infrastructure Webサービス: 『Oracle Infrastructure Webサービスの開発』のFast Infosetを使用したXML転送の最適化に関する項。
注意:
以下の点に注意する必要があります。
この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-8は、Fast Infoset Webサービスの、オーバーライド可能な構成プロパティを示しています。
表17-8 oracle/fastinfoset_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/max_request_size_policyは、Webサービスに送信可能なリクエスト・メッセージの最大サイズをバイト単位で構成します。
表示名: 最大リクエスト・サイズ・ポリシー
カテゴリ: 構成
説明
Webサービスに送信可能なリクエスト・メッセージの最大サイズをバイト単位で構成します。
注意:
以下の点に注意する必要があります。
この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-9は、Webサービスで最大リクエスト・サイズを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-9 oracle/max_request_size_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
リクエスト・メッセージの最大サイズ(バイト単位)。 値 |
|
オプション |
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/mex_request_processing_service_policyは、Webサービス・メタデータの交換を有効にします。
表示名: MEXリクエスト処理サービス・ポリシー
カテゴリ: 構成
説明
Webサービス・メタデータの交換を有効にします。
注意:
以下の点に注意する必要があります。
この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-10は、Webサービス・メタデータの交換を有効にする際にオーバーライドできる構成プロパティを示しています。
表17-10 oracle/mex_request_processing_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/mtom_encode_fault_service_policyは、MTOMが有効になっている場合の、MTOM対応SOAPフォルト・メッセージの作成を有効にします。
表示名: MTOMエンコード・フォルト・サービス・ポリシー
カテゴリ: 構成
説明
MTOMが有効になっている場合の、MTOM対応SOAPフォルト・メッセージの作成を有効にします。
注意:
以下の点に注意する必要があります。
この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-11は、SOAPフォルトのMTOMエンコーディングを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-11 oracle/mtom_encode_fault_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_async_web_service_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた非同期Webサービス・ポリシーを上位スコープで効率よく無効化します。
表示名: 非同期Webサービスなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-12は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-12 oracle/no_async_web_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_cache_binary_content_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたバイナリ・キャッシュ・ポリシーを上位スコープで効率よく無効化します。
表示名: キャッシュ・バイナリ・コンテンツなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-13は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-13 oracle/no_cache_binary_content_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_fast_infoset_client_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたFast Infosetクライアント・ポリシーを上位スコープで効率よく無効化します。
表示名: Fast Infosetクライアントなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-14は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-14 oracle/no_fast_infoset_client_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_fast_infoset_service_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたFast Infosetサービス・ポリシーを上位スコープで効率よく無効化します。
表示名: Fast Infosetサービスなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-15は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-15 oracle/no_fast_infoset_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_max_request_size_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた最大リクエスト・サイズ・ポリシーを上位スコープで効率よく無効化します。
表示名: 最大リクエスト・サイズなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-16は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-16 oracle/no_max_request_size_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_mex_request_processing_service_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWebサービス・メタデータ交換ポリシーを上位スコープで効率よく無効化します。
表示名: MEXリクエスト処理サービスなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-17は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-17 oracle/no_mex_request_processing_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_mtom_encode_fault_service_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAPフォルトMTOMエンコーディング・ポリシーを上位スコープで効率よく無効化します。
表示名: MTOMエンコード・フォルト・サービスなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-18は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-18 oracle/no_mtom_encode_fault_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_persistence_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた永続性ポリシーを上位スコープで効率よく無効化します。
表示名: 永続性なしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-19は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-19 oracle/no_persistence_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_pox_http_binding_service_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたPlain Old XML (POX)ポリシーを上位スコープで効率よく無効化します。
表示名: Pox HTTPバインディング・サービスなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-20は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-20 oracle/no_pox_http_binding_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_request_processing_service_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたリクエスト処理ポリシーを上位スコープで効率よく無効化します。
表示名: リクエスト処理サービスなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-21は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-21 oracle/no_request_processing_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_schema_validation_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたスキーマ検証ポリシーを上位スコープで効率よく無効化します。
表示名: スキーマ検証なしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-22は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-22 oracle/no_schema_validation_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_soap_request_processing_service_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAPリクエスト処理ポリシーを上位スコープで効率よく無効化します。
表示名: SOAPリクエスト処理サービスなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-23は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-23 oracle/no_soap_request_processing_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_test_page_processing_service_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたテスト・ページ処理ポリシーを上位スコープで効率よく無効化します。
表示名: テスト・ページ処理サービスなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-24は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-24 oracle/no_test_page_processing_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_ws_logging_level_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたロギング・ポリシーを上位スコープで効率よく無効化します。
表示名: WSロギング・レベルなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-25は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-25 oracle/no_ws_logging_level_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_wsdl_request_processing_service_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWSDLリクエスト処理ポリシーを上位スコープで効率よく無効化します。
表示名: WSDLリクエスト処理サービスなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-26は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-26 oracle/no_wsdl_request_processing_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/persistence_policyは、Webサービスのセキュア通信永続性メカニズムを構成します。
表示名: 永続性ポリシー
カテゴリ: 構成
説明
Webサービスのセキュア通信永続性メカニズムを構成します。
注意:
以下の点に注意する必要があります。
この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-27は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-27 oracle/persistence_policyの構成プロパティ
| 属性 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
システムに登録されている永続性プロバイダを識別します。次の値を指定できます。
注意: J2SEクライアントの場合、構成できるのは |
|
オプション |
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/pox_http_binding_service_policyは、ユーザー定義によって処理される非SOAP XMLメッセージをエンドポイントで受信できるようにします。
表示名: Pox HTTPバインディング・サービス・ポリシー
カテゴリ: 構成
説明
ユーザー定義のjavax.xml.ws.Provider<T>.invokeメソッドによって処理される非SOAP XMLメッセージをエンドポイントで受信できるようにします。
注意:
以下の点に注意する必要があります。
この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-28は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-28 oracle/pox_http_binding_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/request_processing_service_policyは、Webサービス・エンドポイントで着信リクエストを処理できるようにします。
表示名: リクエスト処理サービス・ポリシー
カテゴリ: 構成
説明
Webサービス・エンドポイントで着信リクエストを処理できるようにします。
注意:
以下の点に注意する必要があります。
この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-29は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-29 oracle/request_processing_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/schema_validation_policyは、スキーマに対するリクエスト・メッセージの検証を有効にします。
表示名: スキーマ検証ポリシー
カテゴリ: 構成
説明
スキーマに対するリクエスト・メッセージの検証を有効にします。
注意:
以下の点に注意する必要があります。
この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-30は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-30 oracle/schema_validation_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/soap_request_processing_service_policyは、Webサービス・エンドポイントでのSOAPリクエストの処理を有効にします。
表示名: SOAPリクエスト処理サービス・ポリシー
カテゴリ: 構成
説明
Webサービス・エンドポイントでのSOAPリクエストの処理を有効にします。
注意:
以下の点に注意する必要があります。
この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-31は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-31 oracle/soap_request_processing_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/test_page_processing_policyはWebサービス・テスト・クライアントを有効にします。構成プロパティとしてreference.priorityが含まれています。
表示名: テスト・ページ処理サービス・ポリシー
カテゴリ: 構成
説明
『Webサービスの管理』のWebサービス・テスト・クライアントの使用に関する項で説明されているように、Webサービス・テスト・クライアントを有効にします。
注意:
以下の点に注意する必要があります。
この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-32は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-32 oracle/test_page_processing_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/ws_logging_level_policyは、Webサービス・エンドポイントの診断ログのログ・レベルを設定します。構成プロパティとしてlogging.levelおよびreference.priorityが含まれています。
表示名: WSロギング・レベル・ポリシー
カテゴリ: 構成
説明
Webサービス・エンドポイントの診断ログのログ・レベルを設定します。
注意:
以下の点に注意する必要があります。
この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-33は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-33 oracle/ws_logging_level_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
ロギング・レベルを定義します。有効な値は、 |
なし |
オプション |
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/wsdl_request_processing_service_policyは、WebサービスがWSDLにアクセスできるようにします。構成プロパティとしてreference.priorityが含まれています。
表示名: WSDLリクエスト処理サービス
カテゴリ: 構成
説明
WebサービスのWSDLへのアクセスを有効にします。
注意:
以下の点に注意する必要があります。
この構成ポリシーを複製することはできません。
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-34は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-34 oracle/ws_logging_level_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/log_policyを使用すると、メッセージ・ログにリクエスト、レスポンスおよびフォルト・メッセージが送信されます。デフォルトで、このポリシーでは、リクエストのSOAPメッセージ全体およびレスポンスのSOAP本体情報のみがログに記録されます。
表示名: ログ・ポリシー
カテゴリ: 管理
説明
メッセージは、ドメインのメッセージ・ログに記録されます。メッセージ・ログの表示およびフィルタリングについては、『Webサービスの管理』のWebサービスのメッセージ・ログの使用に関する項を参照してください。
注意:
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションはWSDLで通知されていません。
構成
表17-35は、ログ・ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-35 oracle/log_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_mtom_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたMTOMポリシーを上位スコープで効率よく無効化します。
表示名: MTOM動作無効ポリシー
カテゴリ: MTOMアタッチメント
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-36は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-36 oracle/no_mtom_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/wsmtom_policyは、MTOM形式ではないインバウンド・メッセージを拒否し、アウトバウンド・メッセージがMTOM形式であるかどうかを検証します。MTOMは、SOAPメッセージ内のxs:base64Binaryまたはxs:hexBinaryタイプのXMLデータの転送を最適化するためのメソッドを定義します。
表示名: WS MTOMポリシー
カテゴリ: MTOMアタッチメント
説明
MTOMについては、SOAP 1.2および1.1それぞれの次の仕様を参照してください。http://www.w3.org/TR/2005/REC-soap12-mtom-20050125およびhttp://www.w3.org/Submission/2006/SUBM-soap11mtom10-20060405。
WebサービスのクライアントでMTOMを有効にするには、次のサンプルのように、Webサービスのプロキシまたはディスパッチの作成時にパラメータとしてjavax.xml.ws.soap.MTOMFeatureを渡します。
package examples.webservices.mtom.client;
import javax.xml.ws.soap.MTOMFeature;
public class Main {
public static void main(String[] args) {
String FOO = "FOO";
MtomService service = new MtomService()
MtomPortType port = service.getMtomPortTypePort(new MTOMFeature());
String result = null;
result = port.echoBinaryAsString(FOO.getBytes());
System.out.println( "Got result: " + result );
}
}
注意:
以下の点に注意する必要があります。
このMTOMポリシーを複製することはできません。
このポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-37は、MTOMポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-37 oracle/wsmtom_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_reliable_messaging_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWeb Services Reliable Messagingポリシーを上位スコープで効率よく無効化します。
表示名: 信頼できるメッセージングなしポリシー
カテゴリ: 信頼できるメッセージング
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
信頼できるメッセージングの詳細は、『Oracle Infrastructure Webサービスの開発』のWebサービスのアトミック・トランザクションの使用に関する項を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-38は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-38 oracle/no_reliable_messaging_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_wsrm_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWeb Services Reliable Messagingポリシーを上位スコープで効率よく無効化します。
表示名: RM動作無効ポリシー
カテゴリ: 信頼できるメッセージング
注意:
このポリシーは非推奨になりました。「oracle/no_reliable_messaging_policy」で説明しているように、oracle/no_reliable_messagingポリシーの使用をお薦めします。
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-39は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-39 oracle/no_wsrm_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/reliable_messaging_policyは、Webサービスおよびクライアントで、Webサービスの信頼性のあるメッセージングを構成します。このポリシーは、SOAPベースのあらゆるWebサービスおよびクライアントにアタッチできます。
表示名: 信頼できるメッセージング・ポリシー
カテゴリ: 信頼できるメッセージング
説明
Webサービス・クライアントは、実行時にWSDLポリシー・アサーションを自動的に検出して使用し、クライアントで通知済バージョンの信頼できるメッセージングを有効にします。複数のバージョンが有効な場合、生成されたWSDLには、指定されたバージョンについてポリシーの選択肢があるため、クライアントではいずれのバージョンでも選択できます。クライアントでは、指定されたシーケンスでのすべての相互作用に対して、選択したバージョンのプロトコルを一貫して使用する必要があります。
マルチメッセージ・シーケンスの場合、クライアント・コードには、シーケンス境界を区切るメソッドの明示的な呼び出しが含まれている必要があります。そうしない場合、各メッセージは独自のシーケンスでラップされます。クライアントを編集して、サービスに送信されるメッセージの信頼できるメッセージング・セッションを有効にします。oracle.webservices.rm.client.RMSessionLifecycleインタフェースは、信頼できるメッセージング・シーケンス境界を区切るメカニズムをクライアントに提供します。
次の例は、サーブレット・クライアントのWebサービスの信頼できるメッセージングのサンプル・クライアント・コードを示しています。この例では、新規TestServiceが作成されます。クライアントがサービスと通信するときに使用されるTestPortが取得されます。ポート・オブジェクトがRMSessionLifecycleオブジェクトにキャストされ、信頼できるメッセージング・セッションがそのオブジェクト上で開かれます(openSession)。メッセージがサービスに送信されると、セッションは終了します(closeSession)。
public class ClientServlet extends HttpServlet {
public void doGet(HttpServletRequest request,
HttpServletResponse response) throws ServletException,
IOException {
int num1 = Integer.parseInt(request.getParameter("num1"));
int num2 = Integer.parseInt(request.getParameter("num2"));
String outputStr = null;
TestService service = new TestService();
Test port = service.getTestPort();
try {
((RMSessionLifecycle) port).openSession();
outputStr = port.hello(inputStr);
} catch (Exception e) {
e.printStackTrace();
outputStr = e.getMessage();
} finally {
((RMSessionLifecycle) port).closeSession();
response.getOutputStream().write(outputStr.getBytes());
}
}
}
注意:
以下の点に注意する必要があります。
この信頼できるメッセージング・トランザクション・ポリシーを複製することはできません。
このポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-40は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-40 oracle/reliable_messaging_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
宛先エンドポイントがスタンドアロンの確認応答を送信する必要のある最大間隔(ミリ秒単位)。 指定する値はXMLスキーマの期間を表す字句形式( この値はシーケンスの作成時に設定され、リセットすることはできません。 |
|
オプション |
|
サポートされている信頼できるメッセージングのバージョン(複数可)。 複数のバージョンが有効な場合、生成されたWSDLでは、指定されたバージョンについてポリシーの選択肢がリストされ、クライアントで特定のバージョンを選択できるようになります。クライアントでは、指定されたシーケンスでのすべての相互作用に対して、選択したバージョンを一貫して使用する必要があります。 有効な値は次のとおりです。
|
|
オプション |
|
メッセージの非バッファ受信がリクエストされていることを示すフラグ。 この値はシーケンスの作成時に設定され、リセットすることはできません。 |
|
オプション |
|
非アクティブの間隔を定義するミリ秒数。この時間が経過した時点で、宛先エンドポイントがソース・エンドポイントからのメッセージを受け取っていなければ、宛先エンドポイントは、処理が行われずシーケンスは終了したものと見なす場合があります。これは、ソース・エンドポイントについても同様のことが言えます。デフォルトでは、シーケンスがタイムアウトすることはありません。 RM送信元とRM宛先の実装では、シーケンスに関連付けられたリソースを任意に管理できますが、非アクティブ・タイムアウトの経過後に送信元および宛先がそのシーケンスを使用できるという保証はありません。 指定する値はXMLスキーマの期間を表す字句形式( 値は順序の作成時に設定され、リセットできません。 |
|
オプション |
|
呼び出されたWebLogic ServerインスタンスのJMSキューが、操作が正常に呼び出されるまでWebサービスの実装にメッセージの配信を試みる回数。 |
|
オプション |
|
信頼できるメッセージングが必要かどうかを指定するフラグ。 このフラグによって、サービス・エンドポイントでは、様々なクライアントとの信頼できる通信と信頼性の低い通信をサポートできるようになります。 optionalを 操作レベルで必要なWS-RMポリシーと組み合せて使用した場合、明示的なWS-RMポリシーを指定していない操作は、WS-RMプロトコルを使用して呼び出す必要はありませんが、明示的なWS-RMポリシーを指定した操作は、WS-RMプロトコルを使用して呼び出す必要があります。 |
|
オプション |
|
reference.priorityを参照してください。 |
なし |
オプション |
|
信頼できるメッセージングの配信保証。 有効な値は次のとおりです。
|
|
オプション |
|
メッセージが送信された順序で配信されることを指定するフラグ。 |
|
オプション |
|
信頼性のあるWebサービスの有効期限が切れ、これ以上の新しいシーケンス・メッセージを受け付けなくなるまでの時間の長さ。 順序が完了する前にこの期限に達すると、強制終了されます。 指定する値はXMLスキーマの期間を表す字句形式( この値はシーケンスの作成時に設定され、リセットすることはできません。 |
|
オプション |
|
信頼性のある順序内のメッセージを保護するために、 |
|
オプション |
|
信頼性のある順序内のメッセージを保護するために、 存在する場合、このアサーションは、 |
|
オプション |
|
バックオフ・アルゴリズム。 宛先エンドポイントが、基本の再送信間隔( 有効な値は次のとおりです。
この値はシーケンスの作成時に設定され、リセットすることはできません。 |
|
オプション |
|
前の送信が失敗した場合に、RM宛先にメッセージを再送信するまでに経過する必要がある時間間隔。 この間隔をバックオフ・アルゴリズム( 指定する値はXMLスキーマの期間を表す字句形式( この値はシーケンスの作成時に設定され、リセットすることはできません。 |
|
オプション |
|
RM送信元でサポートされている信頼できるメッセージングのバージョン(複数可)。 サービスのWSDLに、複数のRMバージョンについてのポリシー選択肢が含まれる場合は、クライアントではこの属性を使用して特定のバージョンを選択できます。WSDLに複数のRMバージョンが含まれ、この属性が明示的には設定されていない場合、RM 1.2が使用されるか、WSDLにRM 1.2が含まれない場合は、WSDL内でバージョン番号が一番大きいバージョンが使用されます。 有効な値は次のとおりです。
WSDLにRMバージョンが1つしか含まれない場合、この属性は無視され、WSDL内のそのバージョンが使用されます。 その他の可能な値は、DEFAULT、WS_RM_1_0およびWS_RM_1_1です。 |
|
オプション |
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/wsrm10_policyは、Web Services Reliable Messagingプロトコルのバージョン1.0を構成します。このポリシーは、SOAPベースのすべてのクライアントまたはエンドポイントにアタッチできます。
表示名: WS RM10ポリシー
カテゴリ: 信頼できるメッセージング
注意:
このポリシーは非推奨になりました。「oracle/reliable_messaging_policy」で説明しているように、oracle/reliable_messagingポリシーの使用をお薦めします。
説明
Webサービス・クライアントは、実行時にWSDLポリシー・アサーションを自動的に検出して使用し、クライアントで通知済バージョンの信頼できるメッセージングを有効にします。
マルチメッセージ・シーケンスの場合、クライアント・コードには、シーケンス境界を区切るメソッドの明示的な呼び出しが含まれている必要があります。そうしない場合、各メッセージは独自のシーケンスでラップされます。クライアントを編集して、サービスに送信されるメッセージの信頼できるメッセージング・セッションを有効にします。oracle.webservices.rm.client.RMSessionLifecycleインタフェースは、信頼できるメッセージング・シーケンス境界を区切るメカニズムをクライアントに提供します。
oracle/wsmtom_policyの例は、サーブレット・クライアントを示しています。この例では、新規TestServiceが作成されます。クライアントがサービスと通信するときに使用されるTestPortが取得されます。ポート・オブジェクトがRMSessionLifecycleオブジェクトにキャストされ、信頼できるメッセージング・セッションがそのオブジェクト上で開かれます(openSession)。メッセージがサービスに送信されると、セッションは終了します(closeSession)。
注意:
以下の点に注意する必要があります。
この信頼できるメッセージング・トランザクション・ポリシーを複製することはできません。
このポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-41は、信頼できるメッセージング・ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-41 wsrm10_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須 |
|---|---|---|---|
|
配信の保証。次のように配信の保証タイプを定義します。
また、メッセージが送信された順序で配信されるかどうかを構成できます。 有効な値は次のとおりです。
|
|
オプション |
|
メッセージ・ストアのタイプ。 有効な値は次のとおりです。
|
|
オプション |
|
メッセージ・ストアの名前。 |
|
オプション |
|
JDBCデータ・ソースへのJNDI参照。このフィールドは、StoreTypeがJDBCに設定されている場合のみ有効です。この値は、jdbc-connection-urlより優先されます。ユーザー名とパスワードは、両方存在する場合に使用されます。 |
jdbc/MessagesStore |
オプション |
|
非アクティブの間隔を定義するミリ秒数。この時間が経過した時点で、宛先エンドポイントがソース・エンドポイントからのメッセージを受け取っていなければ、宛先エンドポイントは、処理が行われずシーケンスは終了したものと見なす場合があります。これは、ソース・エンドポイントについても同様のことが言えます。デフォルトでは、シーケンスがタイムアウトすることはありません。 RM送信元とRM宛先の実装では、シーケンスに関連付けられたリソースを任意に管理できますが、非アクティブ・タイムアウトの経過後に送信元および宛先がそのシーケンスを使用できるという保証はありません。 |
|
オプション |
|
前の送信が失敗した場合に、RM宛先にメッセージを再送信するまでに経過する必要がある時間間隔。 |
|
オプション |
oracle/wsrm11_policyは、Web Services Reliable Messagingプロトコルのバージョン1.1を構成します。このポリシーは、SOAPベースのすべてのクライアントまたはエンドポイントにアタッチできます。
表示名: WS RM11ポリシー
カテゴリ: 信頼できるメッセージング
注意:
このポリシーは非推奨になりました。「oracle/reliable_messaging_policy」で説明しているように、oracle/reliable_messagingポリシーの使用をお薦めします。
説明
Webサービス・クライアントは、実行時にWSDLポリシー・アサーションを自動的に検出して使用し、クライアントで通知済バージョンの信頼できるメッセージングを有効にします。
マルチメッセージ・シーケンスの場合、クライアント・コードには、シーケンス境界を区切るメソッドの明示的な呼び出しが含まれている必要があります。そうでない場合、各メッセージは独自のシーケンスでラップされます。サービスに送信されるメッセージに対して信頼できるメッセージング・セッションを有効にするようクライアントを編集してください。oracle.webservices.rm.client.RMSessionLifecycleインタフェースは、信頼できるメッセージング・シーケンス境界を区切るメカニズムをクライアントに提供します。
例17-の例は、サーブレット・クライアントを示しています。この例では、新規TestServiceが作成されます。クライアントがサービスと通信するときに使用されるTestPortが取得されます。ポート・オブジェクトがRMSessionLifecycleオブジェクトにキャストされ、信頼できるメッセージング・セッションがそのオブジェクト上で開かれます(openSession)。メッセージがサービスに送信されると、セッションは終了します(closeSession)。
注意:
以下の点に注意する必要があります。
この信頼できるメッセージング・トランザクション・ポリシーを複製することはできません。
このポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-41は、このポリシーの、オーバーライド可能な構成プロパティを示しています。
oracle/http_basic_auth_over_ssl_client_policyでは、アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込んで、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。
表示名: HTTP Basic Auth Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベースのクライアント・エンドポイントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-52に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの一方向SSLの構成」で説明されているように、一方向を構成します。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、管理コンソールを使用して、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
oracle/http_basic_auth_over_ssl_service_policyは、HTTPヘッダー内の資格証明を使用して、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。
表示名: HTTP Basic Auth Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのエンドポイントで実行できます。
注意:
このポリシーの機能は、oracle/wss_http_token_over_ssl_service_policyに似ています。相違点は、oracle/wss_http_token_over_ssl_service_policyでは、require-tls要素内のinclude-timestamp属性を有効化して、リプレイ攻撃を防止できることです。この機能は、RESTfulサービスには適用されません。require-tls要素の詳細は、「orasp:require-tls要素」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションはWSDLで通知されています。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。関連づけられたポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
このポリシーを構成する手順は次のとおりです。
表18-53に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの一方向SSLの構成」で説明されているように、一方向SSLを構成します。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、管理コンソールを使用して、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
oracle/http_mutual_auth_over_ssl_client_policyでは、アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込んで、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。
表示名: HTTP Mutual Auth Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベースのクライアント・エンドポイントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
oracle/http_mutual_auth_over_ssl_client_template
アサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
wss_http_token_over_ssl_client_templateの構成プロパティに定義されている構成プロパティをオーバーライドします。
双方向SSLの構成
管理コンソールを使用して、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
http_mutual_auth_over_ssl_service_policyは、HTTPヘッダー内の資格証明を使用して、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。
表示名: http mutual auth over sslサービス・ポリシー
カテゴリ: セキュリティ
説明
HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのエンドポイントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
oracle/http_mutual_auth_over_ssl_service_template
アサーションはWSDLで通知されています。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。関連づけられたポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
このポリシーを構成する手順は次のとおりです。
wss_http_token_over_ssl_service_templateの構成プロパティに定義されている構成プロパティをオーバーライドします。
双方向SSLの構成
管理コンソールを使用して、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
oracle/http_oam_token_service_policyは、OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。
表示名: HTTP OAMサービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベースのエンドポイントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションはWSDLで通知されていません。
注意:
WSDLファイルでのポリシー・アサーションの通知はサポートされていません。関連づけられたポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
このポリシーを構成する手順は次のとおりです。
表18-5に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
HTTP OAMセキュリティを実行するには、OAM WebGateを構成して、リクエストのインターセプト、ユーザーの認証およびOAM_REMOTE_USER HTTPヘッダーの設定を行います。OWSMは、リクエストを許可する前に、OAM_REMOTE_USER_HTTPヘッダーの有無を確認します。
リモート・ユーザー・ヘッダーをサポートするには、remote-user構成プロパティの値がOAM_REMOTE_USERのデフォルト値に設定されていることを確認します。
詳細は、WebGate for Oracle Access ManagerのインストールのOAM用のOracle HTTP Server 11g WebGateのインストールと構成を参照してください。
oracle/http_saml20_token_bearer_client_policyは、HTTPヘッダーにSAML Bearer V2.0トークンを含めます。確認方法がBearerのSAMLトークンが自動的に作成されます。
表示名: HTTP Saml Bearer V2.0トークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベースのクライアント・エンドポイントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションは通知されています。
構成
ポリシーを構成するには、表18-7に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
設計時の考慮事項
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、設計時にWebサービス・クライアントにSAMLを構成します。
oracle/http_saml20_token_bearer_service_policyは、HTTPヘッダー内の確認方法がBearerのSAML v2.0トークンに含まれる資格証明を使用してユーザーを認証します。SAMLトークンの資格証明は、SAML v2.0ログイン・モジュールに対して認証されます。
表示名: HTTP Saml Bearer V2.0トークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベースのエンドポイントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションはWSDLで通知されています。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
このポリシーを構成する手順は次のとおりです。
表18-8に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml2.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
oracle/http_saml20_token_bearer_over_ssl_client_policyは、HTTPヘッダーにSAML Bearer v2.0トークンを含めます。確認方式がBearerとなっているSAMLトークンが自動的に作成され、トランスポート・プロトコルがSSLメッセージ保護を提供していることが検証されます。
表示名: HTTP Saml Bearer V2.0 Token Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベースのクライアント・エンドポイントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションは通知されています。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
このポリシーを構成する手順は次のとおりです。
表18-7に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「Webサービス・クライアントへの一方向SSLの構成」で説明されているように、一方向SSLを構成します。
設計時の考慮事項
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、設計時にWebサービス・クライアントにSAMLを構成します。
oracle/http_saml20_bearer_token_over_ssl_service_policyは、HTTPヘッダー内の確認方式がBearerとなっているSAML v2.0トークンに指定されている資格証明を使用してユーザーを認証し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
表示名: HTTP Saml Bearer V2.0トークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
SAMLトークンの資格証明は、SAML v2.0ログイン・モジュールに対して認証されます。このポリシーは、HTTPベースのエンドポイントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションはWSDLで通知されています。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
このポリシーを構成する手順は次のとおりです。
表18-8に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
「WebLogic Serverへの一方向SSLの構成」で説明されているように、一方向SSLを構成します。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml2.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
oracle/multi_token_rest_service_policy: クライアントにより送信されたトークンに基づいて認証ポリシーを強制します。
表示名: 複数トークンRESTfulサービス・ポリシー
カテゴリ: セキュリティ
説明
クライアントが送信するトークンに基づいて、次の認証ポリシーのいずれかを実行します。
HTTP Basic: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
HTTPヘッダーのSAML v2.0 Bearerトークン: HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
HTTP OAMセキュリティ: OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。
SPNEGO over HTTPセキュリティ: Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO)トークンをHTTPヘッダーから抽出します。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
oracle/http_oam_token_service_template(サーバー側でのみOAM保護を提供します。)
注意:
このポリシーでは、remote-user構成プロパティの値がNONEに設定され、リモート・ユーザー・ヘッダーの処理が無効化されます。oracle/http_saml20_token_bearer_client_templateおよびoracle/http_spengo_token_service_templateポリシー・アサーションは通知されています。
wss_http_token_client_templateおよびoracle/http_oam_token_service_templateアサーションはWSDLで通知されていません。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
このポリシーを構成する手順は次のとおりです。
クライアントから送信されたトークンに基づいて、次の各項のいずれかで定義された構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
HTTP OAMセキュリティを構成する手順は次のとおりです。
OAMコンソールを使用して、OAMサービス・エンドポイントをanonymousとして構成します。
クライアント・リクエストをインターセプトし、ユーザーを認証し、OAM_REMOTE_USER HTTPヘッダーを設定するように、OAM WebGateを構成します。OWSMは、リクエストを許可する前に、OAM_REMOTE_USER_HTTPヘッダーの有無を確認します。
詳細は、WebGate for Oracle Access ManagerのインストールのOAM用のOracle HTTP Server 11g WebGateのインストールと構成を参照してください。
oracle/multi_token_over_ssl_rest_service_policyは、クライアントにより送信されたトークンに基づいて認証ポリシーを強制します。
表示名: Multi Token Over SSL RESTfulサービス・ポリシー
カテゴリ: 構成
説明
クライアントが送信するトークンに基づいて、次の認証ポリシーのいずれかを実行します。
HTTP Basic over SSL: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
HTTPヘッダーのSAML 2.0 Bearerトークン(SSL経由): HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
HTTP OAMセキュリティ(SSL以外): OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。
SPNEGO over HTTPセキュリティ(非SSL): SPNEGOトークン情報をHTTPヘッダーから抽出します。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
注意:
このポリシーでは、remote-user構成プロパティの値がNONEに設定され、リモート・ユーザー・ヘッダーの処理が無効化されます。oracle/wss_http_token_over_ssl_client_template、oracle/http_samle20_token_bearer_service_template、およびoracle/http_spengo_token_service_templateアサーションはWSDLで通知されています。
oracle/http_oam_token_service_templateアサーションはWSDLで通知されていません。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
このポリシーを構成する手順は次のとおりです。
クライアントから送信されたトークンに基づいて、次の各項のいずれかで定義された構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
HTTP OAMセキュリティを構成する手順は次のとおりです。
OAMコンソールを使用して、OAMサービス・エンドポイントをanonymousとして構成します。
リクエストをインターセプトし、ユーザーを認証し、OAM_REMOTE_USER HTTPヘッダーを設定するように、OAM WebGateを構成します。OWSMは、リクエストを許可する前に、OAM_REMOTE_USER_HTTPヘッダーの有無を確認します。
詳細は、WebGate for Oracle Access ManagerのインストールのOAM用のOracle HTTP Server 11g WebGateのインストールと構成を参照してください。
oracle/multi_token_sso_over_ssl_rest_service_policyは、クライアントにより送信されたトークンに基づいて認証ポリシーを強制します。
表示名: Multi Token SSO Over SSL RESTfulサービス・ポリシー
カテゴリ: セキュリティ
説明
クライアントが送信するトークンに基づいて、次の認証ポリシーのいずれかを実行します。
HTTP Basic: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
HTTPヘッダーのSAML v2.0 Bearerトークン: HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
HTTP OAMセキュリティ(SSL以外): OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。(サーバー側でのみSSL以外のOAM保護を提供します。)
SPNEGO over HTTPセキュリティ(SSL以外): SPNEGO Kerberosトークン情報をHTTPヘッダーから抽出します。(SSL以外の保護のみを提供します。)
HTTPヘッダー内のJWTトークン(SSL経由): HTTPヘッダー内のJWTトークンからユーザー名を抽出します。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
構成
このポリシーを構成する手順は次のとおりです。
HTTP OAMセキュリティを構成する手順は次のとおりです。
詳細は、WebGate for Oracle Access ManagerのインストールのOAM用のOracle HTTP Server 11g WebGateのインストールと構成を参照してください。
リモート・ユーザー・ヘッダーをサポートするには、remote-user構成プロパティの値がOAM_REMOTE_USERのデフォルト値に設定されていることを確認します。
oracle/multi_token_sso_rest_service_policy: クライアントにより送信されたトークンに基づいて認証ポリシーを強制します。
表示名: Multi Token SSO Over SSL RESTfulサービス・ポリシー
カテゴリ: セキュリティ
説明
クライアントが送信するトークンに基づいて、次の認証ポリシーのいずれかを実行します。
HTTP Basic: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
HTTPヘッダーのSAML v2.0 Bearerトークン: HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
HTTP OAMセキュリティ(SSL以外): OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。(サーバー側でのみSSL以外のOAM保護を提供します。)
SPNEGO over HTTPセキュリティ(SSL以外): SPNEGO Kerberosトークン情報をHTTPヘッダーから抽出します。(SSL以外の保護のみを提供します。)
HTTPヘッダー内のJWTトークン(SSL経由): HTTPヘッダー内のJWTトークンからユーザー名を抽出します。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
構成
このポリシーを構成する手順は次のとおりです。
HTTP OAMセキュリティを構成する手順は次のとおりです。
詳細は、WebGate for Oracle Access ManagerのインストールのOAM用のOracle HTTP Server 11g WebGateのインストールと構成を参照してください。
リモート・ユーザー・ヘッダーをサポートするには、remote-user構成プロパティの値がOAM_REMOTE_USERのデフォルト値に設定されていることを確認します。
oracle/no_authentication_client_policyは動作無効ポリシーです。クライアント・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認証ポリシーを上位スコープで効率よく無効化します。
表示名: 認証クライアント動作無効ポリシー
カテゴリ: セキュリティ
説明
グローバルにアタッチされたポリシーに、認証アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効化されます。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-42は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-42 oracle/no_authentication_client_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_authentication_service_policyは動作無効ポリシーです。サービス・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認証ポリシーを上位スコープで効率よく無効化します。
表示名: 認証サービス動作無効ポリシー
カテゴリ: セキュリティ
説明
グローバルにアタッチされたポリシーに、認証アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効化されます。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-43は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-43 oracle/no_authentication_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/wss_http_token_client_policyは、アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を含めます。クライアントは、HTTPヘッダーに資格証明を渡す必要があります。
表示名: Wss HTTPトークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベースのクライアントで実行できます。
注意:
現在サポートされているのはHTTP Basic認証のみです。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-13に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
クライアントは、HTTPヘッダーに資格証明を渡す必要があります。
oracle/wss_http_token_service_policyでは、HTTPヘッダーの資格証明を使用して、OPSSアイデンティティ・ストアに対してユーザーを認証します。このポリシーは、HTTPベースのエンドポイントで実行できます。
説明
Webサービスは、提供されたユーザー名とパスワードの資格証明を、構成済の認証ソースに対して認証する必要があります。
注意:
現在サポートされているのはHTTP Basic認証のみです。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-14に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
Webサービスは、提供されたユーザー名とパスワードの資格証明を、構成済の認証ソースに対して認証する必要があります。「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
oracle/wss_username_token_client_policyは、すべてのアウトバウンドSOAPリクエスト・メッセージにWS-Security UsernameTokenヘッダーの資格証明を含めます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
表示名: Wssユーザー名トークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーでは、プレーン・テキスト・パスワードがサポートされます。このクライアント・ポリシーは、oracle/wss_username_token_service_policyサービス・エンドポイント・ポリシーに類似しています。
注意:
このポリシーでは、パスワードがクリア・テキストで送信されます。セキュリティが低い場合や、他のメカニズムを使用してトランスポートが保護されることを認識している場合にのみ、このポリシーを使用してください。
または、次のことを検討してください。
「Webサービス・ポリシーの作成および編集」で説明しているように、ポリシーをコピーして、パスワード・タイプをダイジェストに設定すること。
このポリシーのSSLバージョンである「oracle/wss_username_token_over_ssl_client_policy」の使用。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-16に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」を参照してください。
「設定」ページでパスワード・タイプを「なし」に指定した場合、キーにパスワードを含める必要はありません。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
SOAPリクエスト・メッセージにWS-Security UsernameToken要素(<wsse:UsernameToken/>)を組み込みます。また、クライアントは、認証用にユーザー名とパスワードを提供します。
oracle/wss_username_token_service_policyは、UsernameToken WS-Security SOAPヘッダーの資格証明を使用してユーザーを認証します。
表示名: Wssユーザー名トークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、プレーン・テキスト・パスワードがサポートされます。
注意:
このポリシーでは、パスワードがクリア・テキストで送信されます。セキュリティが低い場合や、他のメカニズムを使用してトランスポートが保護されることを認識している場合にのみ、このポリシーを使用してください。
または、次のことを検討してください。
「Webサービス・ポリシーの作成および編集」で説明しているように、ポリシーをコピーして、パスワード・タイプをダイジェストに設定すること。
このポリシーのSSLバージョンである「oracle/wss_username_token_over_ssl_client_policy」の使用。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-17に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
oracle/wss10_saml_token_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。
表示名: Wss10 SAMLトークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、SOAPベースのクライアントで実行できます。
注意:
このポリシーはセキュアではなく、デモの目的でのみ提供されています。SAML発行者名は存在しますが、SAMLトークンが承認されていません。したがって、メッセージの偽装が可能です。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-19に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、設計時にWebサービス・クライアントにSAMLを構成します。
アウトバウンドSOAPメッセージに、SAMLトークンを挿入するWS-Securityヘッダー要素(<saml:Assertion>)を組み込みます。確認タイプは、常にsender-vouchesです。
WS-Security SOAPヘッダー内のSAMLトークンに含まれる資格証明を使用してユーザーを認証するoracle/wss10_saml_token_service_policyを使用できます。SAMLトークンに含まれる資格証明は、SAMLログイン・モジュールに対して認証されます。
表示名: Wss10 SAMLトークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、SOAPベースのエンドポイントで実行できます。
注意:
このポリシーはセキュアではなく、デモの目的でのみ提供されています。SAML発行者名は存在しますが、SAMLトークンが承認されていません。したがって、メッセージの偽装が可能です。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-20に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。
oracle/wss10_saml20_token_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。
表示名: Wss10 SAML V2.0トークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、SOAPベースのクライアントで実行できます。
注意:
このポリシーはセキュアではなく、デモの目的でのみ提供されています。SAML発行者名は存在しますが、SAMLトークンが承認されていません。したがって、メッセージの偽装が可能です。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-22に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、設計時にWebサービス・クライアントにSAMLを構成します。
アウトバウンドSOAPメッセージに、SAMLトークンを挿入するWS-Securityヘッダー要素(<saml:Assertion>)を組み込みます。確認タイプは、常にsender-vouchesです。
oracle/wss10_saml20_token_service_policyは、WS-Security SOAPヘッダー内のSAMLトークンに含まれる資格証明を使用してユーザーを認証します。SAMLトークンに含まれる資格証明は、SAMLログイン・モジュールに対して認証されます。
表示名: Wss10 SAML V2.0トークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、SOAPベースのエンドポイントで実行できます。
注意:
このポリシーはセキュアではなく、デモの目的でのみ提供されています。SAML発行者名は存在しますが、SAMLトークンが承認されていません。したがって、メッセージの偽装が可能です。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-23に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml2.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。
oracle/wss11_kerberos_token_client_policyは、WS-Security Kerberos Token Profile v1.1標準に従い、WS-SecurityヘッダーにKerberosトークンを含めます。このポリシーはMITとActive Directory KDCと互換性があります。このポリシーは、SOAPベースのクライアントで実行できます。
表示名: Wss11 Kerberosトークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
サービス・プリンシパル名(SPN)は、Kerberos認証のキー・コンポーネントです。SPNは、サーバー上で動作しているサービスに対する一意のIDです。Kerberos認証を使用するすべてのサービスは各自のSPNのセットを保持する必要があり、それによってクライアント側でのネットワーク上のサービスの識別が可能になります。サービスにSPNが設定されていない場合、クライアントではそのサービスを特定できないため、Kerberos認証を使用できなくなります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-25に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「Kerberosトークンの構成の理解」で説明されているように、Kerberosを構成します。
Kerberosクライアント側ポリシーを実行するWebサービス・クライアントは、アクセスを試行するサービスのサービス・プリンシパル名を認識している必要があります。「ポリシー構成プロパティのオーバーライド」で説明されているように、service.principal.nameの値を指定できます。デフォルト値(プレースホルダ)は、HOST/localhost@oracle.comです。
設計時の考慮事項
設計時に次の手順を実行します。
「Kerberosトークンの構成の理解」で説明されているように、Kerberosを構成します。
サービス・プリンシパル名(service.principal.name)を設定します。サービス・プリンシパル名は、クライアントがKDCにリクエストするチケットに対応するサービス・プリンシパルの名前を指定します。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
Kerberos認証が成功した場合、取得されたKerberosチケットとオーセンティケータを、SOAPセキュリティ・ヘッダーのBinarySecurityToken要素で囲まれたWebサービスに送信します。
oracle/wss11_kerberos_token_service_policyは、SOAPヘッダーからKerberosトークンを抽出し、ユーザーを認証します。このポリシーは、WS-Security Kerberos Token Profile v1.1標準に従って適用されます。コンテナには、OPSSを介して構成されたKerberosインフラストラクチャが含まれている必要があります。
表示名: Wss11 Kerberosトークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーはMITとActive Directory KDCと互換性があります。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
サービス・プリンシパル名(SPN)は、Kerberos認証のキー・コンポーネントです。SPNは、サーバー上で動作しているサービスに対する一意のIDです。Kerberos認証を使用するすべてのサービスは各自のSPNのセットを保持する必要があり、それによってクライアント側でのネットワーク上のサービスの識別が可能になります。サービスにSPNが設定されていない場合、クライアントではそのサービスを特定できないため、Kerberos認証を使用できなくなります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-26に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「Kerberosログイン・モジュールの構成」で説明しているように、krb5.loginmoduleログイン・モジュールを構成します。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
HTTPベースのSOAPまたはRESTクライアントにアタッチするoracle/http_oauth2_token_client_policyを使用できます。
表示名: HTTP OAuth2トークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークン(AT)は、Mobile & Social OAuth2サーバーから取得します。このポリシーは、任意のHTTPベースのクライアントに割り当てることができます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_client_template
このアサーションの詳細は、「oracle/http_oauth2_token_client_template」を参照してください。
構成
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
OAuth2トークン・リクエストの場合:
scope
authz.code (このリリースでは使用されません。)
redirect.uri (このリリースでは使用されません。)
ローカルにトークンを作成する場合:
subject.precedence
csf.map
csf-key
oauth2.client.csf.key
federated.client.token
user.attributes
issuer.name
oracle.oauth2.service
user.roles.include
keystore.sig.csf.key
propagate.identity.context
user.tenant.name
include.certificate
一般:
audience.uri
reference.priority
time.in.millis
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_client_template」を参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。
oracle/oauth2_config_client_policyポリシーの必須プロパティtoken.uriは、OAuth2サーバーのトークン・エンドポイントを指定します。
次の任意のOracle WSM JWTサービス・ポリシーもWebサービスに割り当てます。Oracle WSMのサーバー側エージェントがアクセス・トークンを検証します。
oracle/http_jwt_token_service_policy
oracle/multi_token_rest_service_policy (REST)
oracle/wss11_saml_or_username_token_with_message_protection_service_policy (SOAP)
デフォルトでは、oracle/http_oauth2_token_client_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-oauth2-security
xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy"
xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy"
orawsp:Enforced="true" orawsp:Silent="false"
orawsp:category="security/authentication" orawsp:name="Http OAuth2">
<orasp:auth-header orasp:is-encrypted="false" orasp:is-signed="false"
orasp:mechanism="oauth2"/>
<orawsp:bindings>
<orawsp:Config orawsp:configType="declarative" orawsp:name="HttpOAuth2Config">
<orawsp:PropertySet orawsp:name="standard-security-properties">
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="subject.precedence">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="oauth2.client.csf.key">
<orawsp:Value/>
<orawsp:DefaultValue>NONE</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="federated.client.token">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="scope">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string"
orawsp:contentType="optional"
orawsp:name="authz.code">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string"
orawsp:contentType="optional" orawsp:name="redirect.uri">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.attributes">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="issuer.name">
<orawsp:Value/>
<orawsp:DefaultValue>www.oracle.com</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="oracle.oauth2.service">
<orawsp:Value/>
<orawsp:DefaultValue>false</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="user.roles.include">
<orawsp:Value/>
<orawsp:DefaultValue>false</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:name="propagate.identity.context" orawsp:type="string" orawsp:contentType="optional">
<orawsp:Value></orawsp:Value>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.tenant.name">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string"
orawsp:contentType="optional" orawsp:name="audience.uri">
<orawsp:Value/>
<orawsp:DefaultValue>NONE</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="include.certificate">
<orawsp:Value/>
<orawsp:DefaultValue>false</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
</orawsp:PropertySet>
</orawsp:Config>
</orawsp:bindings>
</orasp:http-oauth2-security>
設定
表18-27を参照してください。
構成プロパティ
表18-28を参照してください。
oracle/ http_oauth2_token_with_resource_owner_creds_client_policyは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークン(AT)は、Mobile & Social OAuth2サーバーから取得します。
表示名: Http OAuth2トークン(リソース所有者資格証明付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、任意のHTTPベースのクライアントに割り当てることができます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_client_template
「oracle/http_oauth2_token_client_template」を参照してください。
構成
このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークン(AT)は、Mobile & Social OAuth2サーバーから取得します。このポリシーは、HTTPベースのSOAPまたはRESTクライアントに割り当てることができます。
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
OAuth2トークン・リクエストの場合:
scope
authz.code (このリリースでは使用されません。)
redirect.uri (このリリースでは使用されません。)
ローカルにトークンを作成する場合:
subject.precedence
csf.map
csf-key
oauth2.client.csf.key
federated.client.token
user.attributes
issuer.name
oracle.oauth2.service
user.roles.include
keystore.sig.csf.key
propagate.identity.context
user.tenant.name
include.certificate
一般:
audience.uri
reference.priority
time.in.millis
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_client_template」を参照してください。
ポリシーをアタッチする前に、サービス・ドメインからクライアント・ドメインおよびOAuthサーバー・ドメインにユーザーをインポートする必要があります。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。
oracle/oauth2_config_client_policyポリシーの必須プロパティtoken.uriは、OAuth2サーバーのトークン・エンドポイントを指定します。
次の任意のOracle WSM JWTサービス・ポリシーもWebサービスに割り当てます。Oracle WSMのサーバー側エージェントがアクセス・トークンを検証します。
oracle/http_jwt_token_service_policy
oracle/multi_token_rest_service_policy (REST)
oracle/wss11_saml_or_username_token_with_message_protection_service_policy (SOAP)
デフォルトでは、oracle/ http_oauth2_token_with_resource_owner_creds_client_policyアサーション・コンテンツは、次のように定義されています。
<?xml version = '1.0'?>
<wsp:Policy
xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
xmlns:oralgp="http://schemas.oracle.com/ws/2006/01/loggingpolicy" xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy" orawsp:provides="{http://docs.oasis-open.org/ns/opencsa/sca/200912}authentication, {http://docs.oasis-open.org/ns/opencsa/sca/200912}clientAuthentication, {http://schemas.oracle.com/ws/2006/01/policy}SOAP_HTTP, {http://schemas.oracle.com/ws/2006/01/policy}REST_HTTP" orawsp:status="enabled" xmlns="http://schemas.xmlsoap.org/ws/2004/09/policy" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="http_oauth2_token_with_resource_owner_creds_client_policy" orawsp:displayName="i18n:oracle.wsm.resources.policydescription.PolicyDescriptionBundle_oracle/http_oauth2_token_with_resource_owner_creds_client_policy_PolyDispNameKey" xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy"
orawsp:description="i18n:oracle.wsm.resources.policydescription.PolicyDescriptionBundle_oracle/http_oauth2_token_with_resource_owner_creds_client_policy_PolyDescKey" orawsp:attachTo="binding.client" Name="oracle/http_oauth2_token_with_resource_owner_creds_client_policy" orawsp:readOnly="true" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" orawsp:category="security" orawsp:local-optimization="check-identity">
<oralgp:Logging orawsp:Silent="true" orawsp:name="Log Message1" orawsp:Enforced="false" orawsp:category="security/logging">
<orlagp:msg-log>
<oralgp:request>alloralgp:request>all>
<oralgp:response>alloralgp:response>all>
<oralgp:fault>alloralgp:fault>all>
</oralgp:msg-log>
<orawsp:bindings>
<orawsp:Config orawsp:name="Log Message1_properties">
<orawsp:PropertySet orawsp:name="standard-security-properties">
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority"/>
</orawsp:PropertySet>
</orawsp:Config>
</orawsp:bindings>
</oralgp:Logging>
<orasp:http-oauth2-security xmlns:ns0="http://schemas.oracle.com/ws/2006/01/policy" ns0:Silent="false" ns0:name="Http OAuth2" ns0:Enforced="true" ns0:category="security/authentication">
<orasp:auth-header orasp:mechanism="oauth2"/>
<orawsp:bindings>
<orawsp:Config orawsp:name="HttpOAuth2Config" orawsp:configType="declarative">
<orawsp:PropertySet orawsp:name="standard-security-properties">
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="subject.precedence">
<orawsp:Value/>
<orawsp:DefaultValue>trueorawsp:DefaultValue>true>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="constant" orawsp:name="grant_type">
<orawsp:DefaultValue>passwordorawsp:DefaultValue>password>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="oauth2.client.csf.key">
<orawsp:Value/>
<orawsp:DefaultValue>NONE</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="federated.client.token">
<orawsp:Value/>
<orawsp:DefaultValue>trueorawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="scope">
<orawsp:Value/>
</orawsp:Property>
<!-- Begin : properties needed for local token creation for end user -->
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.attributes">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="issuer.name">
<orawsp:Value/>
<orawsp:DefaultValue>www.oracle.comorawsp:DefaultValue>www.oracle.com>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="oracle.oauth2.service">
<orawsp:Value/>
<orawsp:DefaultValue>falseorawsp:DefaultValue>false>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="user.roles.include">
<orawsp:Value/>
<orawsp:DefaultValue>falseorawsp:DefaultValue>false>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:name="propagate.identity.context" orawsp:type="string" orawsp:contentType="optional">
<orawsp:Value></orawsp:Value>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.tenant.name">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="audience.uri">
<orawsp:Value/>
<orawsp:DefaultValue>NONE</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="include.certificate">
<orawsp:Value/>
<orawsp:DefaultValue>falseorawsp:DefaultValue>false>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="token.lifetime">
<orawsp:Value/>
</orawsp:Property>
<!--End properties for local token creation for end user -->
</orawsp:PropertySet>
</orawsp:Config>
</orawsp:bindings>
</orasp:http-oauth2-security>
<oralgp:Logging orawsp:Silent="true" orawsp:name="Log Message2" orawsp:Enforced="false" orawsp:category="security/logging">
<oralgp:msg-log>
<oralgp:request>all</oralgp:request>
<oralgp:response>all</oralgp:response>
<oralgp:fault>all</oralgp:fault>
</oralgp:msg-log>
<orawsp:bindings>
<orawsp:Config orawsp:name="Log Message2_properties">
<orawsp:PropertySet orawsp:name="standard-security-properties">
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority"/>
</orawsp:PropertySet>
</orawsp:Config>
</orawsp:bindings>
</oralgp:Logging>
</wsp:Policy>
設定
表18-27を参照してください。
構成プロパティ
表18-28を参照してください。
oracle/ http_oauth2_token_with_resource_owner_creds_over_ssl_client_policyは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークン(AT)は、Mobile & Social OAuth2サーバーから取得します。
表示名: Http OAuth2トークン(リソース所有者資格証明付き)(SSL経由)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、任意のHTTPベースのクライアントに割り当てることができます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_client_template
「oracle/http_oauth2_token_client_template」を参照してください。
設定
表18-27を参照してください。
構成プロパティ
表18-28を参照してください。
HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証するoracle/http_jwt_token_service_policyを使用できます。
表示名: HTTP JWTトークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベースのすべてのエンドポイントに適用できます。
アサーション
このポリシーには次のポリシー・アサーションが含まれています。
oracle/http_jwt_token_service_template。
このアサーションの詳細は、「oracle/http_jwt_token_service_template」を参照してください。
構成
http_jwt_token_service_policyは、HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証します。デフォルトのポリシー構成では、非対称署名を使用してJWTトークンが署名されます(algorithm-suite属性がBasic128Sha256Rsa15に設定されています)。
このポリシーはどのHTTPベース・エンドポイントにも添付できます。
ポリシー・ファイルは手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_jwt_token_service_template」を参照してください。
デフォルトでは、oracle/http_jwt_token_service_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-jwt-security orawsp:Enforced="true" orawsp:Silent="false"
orawsp:category="security/authentication" orawsp:name="Http JWT Security">
<orasp:auth-header orasp:algorithm-suite="Basic128Sha256Rsa15"
orasp:is-encrypted="false" orasp:is-signed="true" orasp:mechanism="jwt"/>
<orawsp:bindings>
<orawsp:Config orawsp:configType="declarative" orawsp:name="HttpJwtConfig">
<orawsp:PropertySet orawsp:name="standard-security-properties">
<orawsp:Property orawsp:contentType="optional" orawsp:name="trusted.issuers" orawsp:type="string">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:contentType="optional" orawsp:name="csf.map" orawsp:type="string"/>
<orawsp:Property orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key" orawsp:type="string">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:contentType="optional" orawsp:name="propagate.identity.context" orawsp:type="string">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:contentType="optional" orawsp:name="reference.priority" orawsp:type="string"/>
</orawsp:PropertySet>
</orawsp:Config>
</orawsp:bindings>
</orasp:http-jwt-security>
設定
表18-37を参照してください。
構成プロパティ
表18-29を参照してください。
oracle/http_oauth2_token_identity_switch_over_ssl_client_policyは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、Mobile and Social OAuth2サーバーから取得します。また、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。
表示名: Http OAuth2 Token Over SSLアイデンティティ切替えクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、oracle/http_oauth2_token_over_ssl_client_policyポリシーに類似しており、subject.precedenceプロパティがデフォルトでfalseに設定されています。
このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えを実行します。このポリシーは、任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_over_ssl_client_template
このアサーションの詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
構成
このポリシーは、oracle/ http_oauth2_token_over_ssl_client_policyポリシーに類似しており、subject.precedenceプロパティがデフォルトでfalseに設定されています。
このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。)アクセス・トークンは、Mobile and Social OAuth2サーバーから取得します。)また、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。
このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えを実行します。このポリシーは、任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
OAuth2トークン・リクエストの場合:
scope
authz.code (このリリースでは使用されません。)
redirect.uri (このリリースでは使用されません。)
ローカルにトークンを作成する場合:
subject.precedence
csf.map
csf-key
oauth2.client.csf.key
federated.client.token
user.attributes
issuer.name
oracle.oauth2.service
user.roles.include
keystore.sig.csf.key
propagate.identity.context
user.tenant.name
include.certificate
一般:
audience.uri
reference.priority
time.in.millis
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。必要なoracle/oauth2_config_client_policyポリシーのtoken.uriプロパティは、OAuth2サーバーを指定します。
次の任意のOracle WSM JWTサービス・ポリシーもWebサービスに割り当てます。Oracle WSMのサーバー側エージェントがATを検証します。
oracle/http_jwt_token_over_ssl_service_policy
oracle/multi_token_over_ssl_rest_service_policy (REST)
oracle/wss11_saml_or_username_token_with_message_protection_service_policy (SOAP)
認証されたサブジェクトのかわりにクライアント固有のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。ユーザー名は、csf-keyのユーザー名プロパティからのみ取得されます。
subject.precedenceがfalseに設定され、csf-keyとユーザー名が構成されている場合、Webサービス・クライアント・アプリケーションにはoracle.wsm.security.WSIdentityPermission権限が必要です。つまり、Oracle WSMが外部から提供されるアイデンティティをアプリケーションから受け入れるには、そのアプリケーションがWSIdentityPermission権限を持つ必要があります。これにより、Oracle WSMが潜在的に悪質なアプリケーションからアイデンティティを提供されるのを回避します。
デフォルトでは、oracle/http_oauth2_token_identity_switch_over_ssl_client_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-oauth2-security
xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy"
xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy"
orawsp:Enforced="true" orawsp:Silent="false"
orawsp:category="security/authentication, security/msg-protection"
orawsp:name="Http OAuth2 Over SSL ">
<orasp:auth-header orasp:is-encrypted="false" orasp:is-signed="false"
orasp:mechanism="oauth2"/>
<orasp:require-tls orasp:algorithm-suite="Basic128"
orasp:include-timestamp="false" orasp:mutual-auth="false"/>
<orawsp:bindings>
<orawsp:Config orawsp:configType="declarative"
orawsp:name="HttpOAuth2OverSSLConfig">
<orawsp:PropertySet orawsp:name="standard-security-properties">
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="subject.precedence">
<orawsp:Value>false</orawsp:Value>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="oauth2.client.csf.key">
<orawsp:Value/>
<orawsp:DefaultValue>NONE</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="federated.client.token">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="scope">
<orawsp:Value/>
</orawsp:Property>
orawsp:Property orawsp:type="string" orawsp:contentType="optional"
orawsp:name="authz.code">
<orawsp:Value/>
</orawsp:Property>
orawsp:Property orawsp:type="string" orawsp:contentType="optional"
orawsp:name="redirect.uri">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.attributes">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="issuer.name">
<orawsp:Value/>
<orawsp:DefaultValue>www.oracle.com</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="oracle.oauth2.service">
<orawsp:Value/>
<orawsp:DefaultValue>false</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="user.roles.include">
<orawsp:Value/>
<orawsp:DefaultValue>false</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:name="propagate.identity.context" orawsp:type="string" orawsp:contentType="optional">
<orawsp:Value></orawsp:Value>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.tenant.name">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional"
orawsp:name="audience.uri">
<orawsp:Value/>
<orawsp:DefaultValue>NONE</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="include.certificate">
<orawsp:Value/>
<orawsp:DefaultValue>false</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
</orawsp:PropertySet>
</orawsp:Config>
</orawsp:bindings>
</orasp:http-oauth2-security>
設定
表18-30を参照してください。
構成プロパティ
表18-27を参照してください。
oracle/http_jwt_token_over_ssl_service_policyは、HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証します。また、このポリシーは、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。
表示名: Http JWT Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベースのすべてのエンドポイントに適用できます。
アサーション
このポリシーには次のポリシー・アサーションが含まれています。
oracle/http_jwt_token_over_ssl_service_template。
このアサーションの詳細は、「oracle/http_jwt_token_over_ssl_service_template」を参照してください。
構成
http_jwt_token_service_policyは、HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証します。デフォルトのポリシー構成では、非対称署名を使用してJWTトークンが署名されます(algorithm-suite属性がBasic128Sha256Rsa15に設定されています)。
また、このポリシーは、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのすべてのエンドポイントに適用できます。
ポリシー・ファイルは手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_jwt_token_over_ssl_service_template」を参照してください。
デフォルトでは、oracle/http_jwt_token_over_ssl_service_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-jwt-security orawsp:Enforced="true" orawsp:Silent="false"
orawsp:category="security/authentication" orawsp:name="Http JWT Security">
<orasp:auth-header orasp:algorithm-suite="Basic128Sha256Rsa15"
orasp:is-encrypted="false" orasp:is-signed="true" orasp:mechanism="jwt"/>
<orasp:require-tls orasp:include-timestamp="false" orasp:mutual-auth="false"/>
<orawsp:bindings>
<orawsp:Config orawsp:configType="declarative" orawsp:name="HttpJwtConfig">
<orawsp:PropertySet orawsp:name="standard-security-properties">
<orawsp:Property orawsp:contentType="optional" orawsp:name="trusted.issuers" orawsp:type="string">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:contentType="optional" orawsp:name="csf.map" orawsp:type="string"/>
<orawsp:Property orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key" orawsp:type="string">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:contentType="optional" orawsp:name="propagate.identity.context" orawsp:type="string">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:contentType="optional" orawsp:name="reference.priority" orawsp:type="string"/>
</orawsp:PropertySet>
</orawsp:Config>
</orawsp:bindings>
</orasp:http-jwt-security>
設定
表18-39を参照してください。
構成プロパティ
表18-34を参照してください。
oracle/http_oauth2_token_opc_oauth2_client_policyは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、Mobile & Social OAuth2サーバーから取得します。
表示名: HTTP OAuth2トークンOpc OAuth2クライアント・ポリシー
カテゴリ: セキュリティ
説明
oracle.oauth2.serviceプロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびJWTトークンの発行者としてクライアントIDが使用されます。scopeの値がない場合(デフォルト)、プロトコル、ホストおよびポート(使用可能な場合)をサービスURLから取得して使用します。このポリシーは、任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_client_template
このアサーションの詳細は、「oracle/http_oauth2_token_client_template」を参照してください。
構成
このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、OracleクラウドのOAuthサーバーから取得します。
oracle.oauth2.serviceプロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびJWTトークンの発行者としてクライアントIDが使用されます。scopeが空(デフォルト)の場合、Oracle WSMがサービスURLを自動的に取得し、address:port部分をスコープとして使用します。
このポリシーは、任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
OAuth2トークン・リクエストの場合:
scope
authz.code (このリリースでは使用されません。)
redirect.uri (このリリースでは使用されません。)
ローカルにトークンを作成する場合:
subject.precedence
csf.map
csf-key
oauth2.client.csf.key
federated.client.token
user.attributes
issuer.name
oracle.oauth2.service
user.roles.include
keystore.sig.csf.key
propagate.identity.context
user.tenant.name
include.certificate
一般:
audience.uri
reference.priority
time.in.millis
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_client_template」を参照してください。
オーバーライド可能な構成設定については、ポリシー構成プロパティのオーバーライドを参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。oracle/oauth2_config_client_policyポリシーの必須プロパティtoken.uriは、OAuth2サーバーを指定します。
次の任意のOracle WSM JWTサービス・ポリシーもWebサービスに割り当てます。Oracle WSMのサーバー側エージェントがアクセス・トークンを検証します。
oracle/http_jwt_token_service_policy
oracle/multi_token_rest_service_policy (REST)
oracle/wss11_saml_or_username_token_with_message_protection_service_policy (SOAP)
デフォルトでは、oracle/http_oauth2_token_opc_oauth2_client_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-oauth2-security
xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy"
xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy"
orawsp:Enforced="true" orawsp:Silent="false"
orawsp:category="security/authentication" orawsp:name="Http OAuth2">
<orasp:auth-header orasp:is-encrypted="false" orasp:is-signed="false"
orasp:mechanism="oauth2"/>
<orawsp:bindings>
<orawsp:Config orawsp:configType="declarative" orawsp:name="HttpOAuth2Config">
<orawsp:PropertySet orawsp:name="standard-security-properties">
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="subject.precedence">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="oauth2.client.csf.key">
<orawsp:Value/>
<orawsp:DefaultValue>NONE</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="federated.client.token">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="scope">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string"
orawsp:contentType="optional" orawsp:name="authz.code">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string"
orawsp:contentType="optional" orawsp:name="redirect.uri">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.attributes">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="issuer.name">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="oracle.oauth2.service">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="user.roles.include">
<orawsp:Value/>
<orawsp:DefaultValue>false</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:name="propagate.identity.context" orawsp:type="string" orawsp:contentType="optional">
<orawsp:Value></orawsp:Value>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.tenant.name">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string"
orawsp:contentType="optional" orawsp:name="audience.uri">
<orawsp:Value/>
<orawsp:DefaultValue>NONE</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="include.certificate">
<orawsp:Value/>
<orawsp:DefaultValue>false</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
</orawsp:PropertySet>
</orawsp:Config>
</orawsp:bindings>
</orasp:http-oauth2-security>
設定
表18-27を参照してください。
構成プロパティ
表18-28を参照してください。
oracle/http_oauth2_token_over_ssl_client_policyは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークン(AT)は、Mobile & Social OAuth2サーバーから取得します。このポリシーは、任意のHTTPベースのクライアントに割り当てることができます。
表示名: Http OAuth2 Token Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
ポリシーは、アウトバウンド・トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_over_ssl_client_template
このアサーションの詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
構成
このポリシーは、ATが一方向SSLでリソースに伝播される以外は、http_oauth2_token_client_policyと同じです。このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。ATは、Mobile and Social OAuth2サーバーから取得します。
ポリシーは、アウトバウンド・トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、任意のHTTPベースのクライアントに割り当てることができます。
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
OAuth2トークン・リクエストの場合:
scope
authz.code (このリリースでは使用されません。)
redirect.uri (このリリースでは使用されません。)
ローカルにトークンを作成する場合:
subject.precedence
csf.map
csf-key
oauth2.client.csf.key
federated.client.token
user.attributes
issuer.name
oracle.oauth2.service
user.roles.include
keystore.sig.csf.key
propagate.identity.context
user.tenant.name
include.certificate
一般:
audience.uri
reference.priority
time.in.millis
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
オーバーライド可能な構成設定については、ポリシー構成プロパティのオーバーライドを参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。oracle/oauth2_config_client_policyポリシーの必須プロパティtoken.uriは、OAuth2サーバーを指定します。
次の任意のOracle WSM JWTサービス・ポリシーもWebサービスに割り当てます。Oracle WSMのサーバー側エージェントがATを検証します。
oracle/http_jwt_token_over_ssl_service_policy
oracle/multi_token_over_ssl_rest_service_policy (REST)
oracle/wss11_saml_or_username_token_with_message_protection_service_policy (SOAP)
デフォルトでは、oracle/http_oauth2_token_over_ssl_client_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-oauth2-security xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy"
xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy"
orawsp:Enforced="true" orawsp:Silent="false"
orawsp:category="security/authentication, security/msg-protection"
orawsp:name="Http OAuth2 Over SSL ">
<orasp:auth-header orasp:is-encrypted="false" orasp:is-signed="false" orasp:mechanism="oauth2"/>
<orasp:require-tls orasp:algorithm-suite="Basic128" orasp:include-timestamp="false" orasp:mutual-auth="false"/>
<orawsp:bindings>
<orawsp:Config orawsp:configType="declarative" orawsp:name="HttpOAuth2OverSSLConfig">
<orawsp:PropertySet orawsp:name="standard-security-properties">
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="subject.precedence">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="oauth2.client.csf.key">
<orawsp:Value/>
<orawsp:DefaultValue>NONE</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="federated.client.token">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="scope">
<orawsp:Value/>
</orawsp:Property>
orawsp:Property orawsp:type="string" orawsp:contentType="optional"
orawsp:name="authz.code">
<orawsp:Value/>
</orawsp:Property>
orawsp:Property orawsp:type="string" orawsp:contentType="optional"
orawsp:name="redirect.uri">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.attributes">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="issuer.name">
<orawsp:Value/>
<orawsp:DefaultValue>www.oracle.com</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="oracle.oauth2.service">
<orawsp:Value/>
<orawsp:DefaultValue>false</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="user.roles.include">
<orawsp:Value/>
<orawsp:DefaultValue>false</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:name="propagate.identity.context" orawsp:type="string" orawsp:contentType="optional">
<orawsp:Value></orawsp:Value>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.tenant.name">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional"
orawsp:name="audience.uri">
<orawsp:Value/>
<orawsp:DefaultValue>NONE</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="include.certificate">
<orawsp:Value/>
<orawsp:DefaultValue>false</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
</orawsp:PropertySet>
</orawsp:Config>
</orawsp:bindings>
</orasp:http-oauth2-security>
<oralgp:Logging orawsp:Silent="true" orawsp:name="Log Message2" orawsp:Enforced="false" orawsp:category="security/logging">
<oralgp:msg-log>
<oralgp:request>all</oralgp:request>
<oralgp:response>all</oralgp:response>
<oralgp:fault>all</oralgp:fault>
</oralgp:msg-log>
<orawsp:bindings>
<orawsp:Config orawsp:name="Log Message2_properties">
<orawsp:PropertySet orawsp:name="standard-security-properties">
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority"/>
</orawsp:PropertySet>
</orawsp:Config>
</orawsp:bindings>
</orasp:http-oauth2-security>
設定
表18-30を参照してください。
構成プロパティ
表18-27を参照してください。
oracle/http_jwt_token_over_ssl_service_policyは、HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証します。また、このポリシーは、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。
表示名: Http JWT Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベースのすべてのエンドポイントに適用できます。
アサーション
このポリシーには、oracle/http_jwt_token_over_ssl_service_templateポリシー・アサーションが含まれています。このアサーションの詳細は、「oracle/http_jwt_token_over_ssl_service_template」を参照してください。
構成
ポリシーの構成の詳細は、「oracle/http_jwt_token_client_policy」を参照してください。
oracle/oauth2_config_client_policyは、クライアント側のOAuth2情報を提供します。
表示名: OAuth2構成クライアント・ポリシー
カテゴリ: セキュリティ
説明
OAuth2の情報は、トークン交換でMobile and Social OAuth2サーバーを起動するために使用されます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/oauth2_config_client_template
このアサーションの詳細は、「oracle/oauth2_config_client_template」を参照してください。
構成
このポリシーは、クライアント側のOAuth2情報を提供します。この情報は、トークン交換でMobile and Social OAuth2サーバーを起動するために使用されます。
このポリシーは、OAuth2トークン・クライアント・ポリシーも割り当てる場合にのみ実行されます。それ以外の場合、このパラメータは無視されます。通常、このポリシーはグローバルに、OAuth2トークン・クライアント・ポリシーはローカルに割り当てられます。
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/oauth2_config_client_template」を参照してください。
token.uriプロパティを設定またはオーバーライドする必要があります。オーバーライド可能な構成設定については、ポリシー構成プロパティのオーバーライドを参照してください。
デフォルトでは、oracle/oauth2_config_client_policyアサーション・コンテンツは、次のように定義されています。
<orasp:oauth2-config
xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy"
xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy"
orasp:token-uri="http://host:port/tokens" orawsp:Enforced="true"
orawsp:Silent="true" orawsp:category="security/oauth2-config"
orawsp:name="OAuth2 Configuration">
<orawsp:bindings>
<orawsp:Config orawsp:configType="declarative" orawsp:name="OAuth2Config">
<orawsp:PropertySet orawsp:name="standard-security-properties">
<orawsp:Property orawsp:name="role" orawsp:type="string" orawsp:contentType="constant">
<orawsp:Value/>
<orawsp:DefaultValue>ultimateReceiver</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:name="token.uri" orawsp:type="string" orawsp:contentType="optional">
<orawsp:Value/>
<orawsp:DefaultValue>http://host:port/tokens</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="required" orawsp:name="oauth2.client.csf.key">
<orawsp:Value/>
<orawsp:DefaultValue>basic.client.credentials</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority"/>
</orawsp:PropertySet>
</orawsp:Config>
</orawsp:bindings>
</orasp:oauth2-config>
設定
表18-35を参照してください。
構成プロパティ
表18-36を参照してください。
oracle/http_jwt_token_client_policyは、HTTPヘッダーにJWTトークンを含めます。JWTトークンは自動的に作成されます。発行者名とサブジェクト名は、プログラムによって、またはポリシーを介して宣言的に提供されます。
表示名: HTTP JWTトークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーにはオーディエンス制限条件を指定できます。
このポリシーは、HTTPベースのクライアント・エンドポイントで実行できます。
アサーション
このポリシーには次のポリシー・アサーションが含まれています。
oracle/http_jwt_token_client_template
このアサーションの詳細は、「oracle/http_jwt_token_client_template」を参照してください。
構成
http_jwt_token_client_policyは、HTTPヘッダーにJWTトークンを含めます。JWTトークンは自動的に作成されます。発行者名とサブジェクト名は、プログラムによって、またはポリシーを介して宣言的に提供されます。このポリシーにはオーディエンス制限条件を指定できます。
このポリシーは、HTTPベースのどのクライアント・エンドポイントにも適用できます。
ポリシー・ファイルは手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_jwt_token_client_template」を参照してください。
デフォルトでは、oracle/http_jwt_token_client_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-jwt-security orawsp:Enforced="true" orawsp:Silent="false"
orawsp:category="security/authentication"
orawsp:name="Http JWT Security">
<orasp:auth-header orasp:algorithm-suite="Basic128Sha256Rsa15"
orasp:is-encrypted="false" orasp:is-signed="true" orasp:mechanism="jwt"/>
<orawsp:bindings>
<orawsp:Config orawsp:configType="declarative"
orawsp:name="HttpJwtTokenConfig">
<orawsp:PropertySet orawsp:name="standard-security-properties">
<orawsp:Property orawsp:contentType="optional" orawsp:name="user.attributes" orawsp:type="string"/>
<orawsp:Property orawsp:contentType="optional" orawsp:name="issuer.name" orawsp:type="string">
<orawsp:Value>www.oracle.com</orawsp:Value>
</orawsp:Property>
<orawsp:Property orawsp:contentType="optional" orawsp:name="user.roles.include" orawsp:type="string">
<orawsp:Value>false</orawsp:Value>
</orawsp:Property>
<orawsp:Property orawsp:contentType="optional" orawsp:name="csf.map" orawsp:type="string"/>
<orawsp:Property orawsp:contentType="optional" orawsp:name="csf-key" orawsp:type="string">
<orawsp:Value>basic.credentials</orawsp:Value>
</orawsp:Property>
<orawsp:Property orawsp:contentType="optional" orawsp:name="subject.precedence" orawsp:type="string">
<orawsp:Value>true</orawsp:Value>
</orawsp:Property>
<orawsp:Property orawsp:contentType="optional" orawsp:name="audience.uri" orawsp:type="string">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key" orawsp:type="string">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:contentType="optional" orawsp:name="propagate.identity.context" orawsp:type="string">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:contentType="optional" orawsp:name="user.tenant.name" orawsp:type="string">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:contentType="optional" orawsp:name="reference.priority" orawsp:type="string"/>
</orawsp:PropertySet>
</orawsp:Config>
</orawsp:bindings>
</orasp:http-jwt-security>
設定
表18-37を参照してください。
構成プロパティ
表18-38を参照してください。
oracle/http_jwt_token_over_ssl_client_policyは、HTTPヘッダーにJWTトークンを含めます。JWTトークンは自動的に作成されます。発行者名とサブジェクト名は、プログラムによって、またはポリシーを介して宣言的に提供されます。
表示名: Http JWT Token Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーにはオーディエンス制限条件を指定できます。
また、このポリシーは、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。
このポリシーは、HTTPベースのクライアント・エンドポイントで実行できます。
アサーション
このポリシーには、oracle/http_jwt_token_over_ssl_client_templateポリシー・アサーションが含まれています。このアサーションの詳細は、「oracle/http_jwt_token_over_ssl_client_template」を参照してください。
構成
ポリシーの構成の詳細は、「oracle/http_jwt_token_client_policy」を参照してください。
oracle/http_oauth2_token_identity_switch_opc_oauth2_over_ssl_client_policyは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、OAuthサーバーから取得します。また、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、SSLを通じてサービスを呼び出す任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
表示名: HTTP OAuth2トークン・アイデンティティ切替えOpc OAuth2 Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えも実行します。
subject.precedenceプロパティは、デフォルトでfalseに設定されています。oracle.oauth2.serviceプロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびクライアントJWTトークンの発行者としてクライアントIDが使用されます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_over_ssl_client_template
このアサーションの詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
構成
このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、OracleクラウドのOAuthサーバーから取得します。
oracle.oauth2.serviceプロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびJWTトークンの発行者としてクライアントIDが使用されます。scopeが空(デフォルト)の場合、Oracle WSMがサービスURLを自動的に取得し、address:port部分をスコープとして使用します。
また、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、SSLを通じてサービスを呼び出す任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えも実行します。
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
OAuth2トークン・リクエストの場合:
scope
authz.code (このリリースでは使用されません。)
redirect.uri (このリリースでは使用されません。)
ローカルにトークンを作成する場合:
subject.precedence
csf.map
csf-key
oauth2.client.csf.key
federated.client.token
user.attributes
issuer.name
oracle.oauth2.service
user.roles.include
keystore.sig.csf.key
propagate.identity.context
user.tenant.name
include.certificate
一般:
audience.uri
reference.priority
time.in.millis
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。必要なoracle/oauth2_config_client_policyポリシーのtoken.uriプロパティは、OAuth2サーバーを指定します。
次の任意のOracle WSM JWTサービス・ポリシーもWebサービスに割り当てます。Oracle WSMのサーバー側エージェントがATを検証します。
oracle/http_jwt_token_over_ssl_service_policy
oracle/multi_token_over_ssl_rest_service_policy (REST)
oracle/wss11_saml_or_username_token_with_message_protection_service_policy (SOAP)
認証されたサブジェクトのかわりにクライアント固有のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。ユーザー名は、csf-keyのユーザー名プロパティからのみ取得されます。
subject.precedenceがfalseに設定され、csf-keyとユーザー名が構成されている場合、Webサービス・クライアント・アプリケーションにはoracle.wsm.security.WSIdentityPermission権限が必要です。つまり、Oracle WSMが外部から提供されるアイデンティティをアプリケーションから受け入れるには、そのアプリケーションがWSIdentityPermission権限を持つ必要があります。これにより、Oracle WSMが潜在的に悪質なアプリケーションからアイデンティティを提供されるのを回避します。WSIdentityPermissionを使用した権限の設定のWSIdentityPermission権限の付与の説明を参照してください。
デフォルトでは、oracle/http_oauth2_token_identity_switch_opc_oauth2_over_ssl_client_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-oauth2-security
xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy"
xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy"
orawsp:Enforced="true" orawsp:Silent="false"
orawsp:category="security/authentication, security/msg-protection"
orawsp:name="Http OAuth2 Over SSL ">
<orasp:auth-header orasp:is-encrypted="false" orasp:is-signed="false"
orasp:mechanism="oauth2"/>
<orasp:require-tls orasp:algorithm-suite="Basic128"
orasp:include-timestamp="false" orasp:mutual-auth="false"/>
<orawsp:bindings>
<orawsp:Config orawsp:configType="declarative"
orawsp:name="HttpOAuth2OverSSLConfig">
<orawsp:PropertySet orawsp:name="standard-security-properties">
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="subject.precedence">
<orawsp:Value>false</orawsp:Value>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="oauth2.client.csf.key">
<orawsp:Value/>
<orawsp:DefaultValue>NONE</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="federated.client.token">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="scope">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional"
orawsp:name="authz.code">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string"
orawsp:contentType="optional" orawsp:name="redirect.uri">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.attributes">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="issuer.name">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="oracle.oauth2.service">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="user.roles.include">
<orawsp:Value/>
<orawsp:DefaultValue>false</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:name="propagate.identity.context" orawsp:type="string" orawsp:contentType="optional">
<orawsp:Value></orawsp:Value>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.tenant.name">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional"
orawsp:name="audience.uri">
<orawsp:Value/>
<orawsp:DefaultValue>NONE</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="include.certificate">
<orawsp:Value/>
<orawsp:DefaultValue>false</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
</orawsp:PropertySet>
</orawsp:Config>
</orawsp:bindings>
</orasp:http-oauth2-security>
設定
表18-30を参照してください。
構成プロパティ
表18-27を参照してください。
oracle/http_oauth2_token_opc_oauth2_over_ssl_client_policyは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、Mobile & Social OAuth2サーバーから取得します。oracle.oauth2.serviceプロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびJWTトークンの発行者としてクライアントIDが使用されます。
表示名: HTTP OAuth2トークンOpc OAuth2 Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
scopeの値がない場合(デフォルト)、プロトコル、ホストおよびポート(使用可能な場合)をサービスURLから取得して使用します。
ポリシーは、アウトバウンド・トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、任意のHTTPベースのクライアントに割り当てることができます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_over_ssl_client_template
このアサーションの詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
構成
このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、OracleクラウドのOAuth2サーバーから取得します。
oracle.oauth2.serviceプロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびJWTトークンの発行者としてクライアントIDが使用されます。scopeが空(デフォルト)の場合、Oracle WSMがサービスURLを自動的に取得し、address:port部分をスコープとして使用します。
ポリシーは、アウトバウンド・トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、HTTPベースのSOAPまたはRESTクライアントに割り当てることができます。
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
OAuth2トークン・リクエストの場合:
scope
authz.code (このリリースでは使用されません。)
redirect.uri (このリリースでは使用されません。)
ローカルにトークンを作成する場合:
subject.precedence
csf.map
csf-key
oauth2.client.csf.key
federated.client.token
user.attributes
issuer.name
oracle.oauth2.service
user.roles.include
keystore.sig.csf.key
propagate.identity.context
user.tenant.name
include.certificate
一般:
audience.uri
reference.priority
time.in.millis
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
オーバーライド可能な構成設定については、ポリシー構成プロパティのオーバーライドを参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。oracle/oauth2_config_client_policyポリシーの必須プロパティtoken.uriは、OAuth2サーバーを指定します。
次の任意のOracle WSM JWTサービス・ポリシーもWebサービスに割り当てます。Oracle WSMのサーバー側エージェントがATを検証します。
oracle/http_jwt_token_over_ssl_service_policy
oracle/multi_token_over_ssl_rest_service_policy (REST)
oracle/wss11_saml_or_username_token_with_message_protection_service_policy (SOAP)
デフォルトでは、oracle/http_oauth2_token_opc_oauth2_over_ssl_client_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-oauth2-security
xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy"
xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy"
orawsp:Enforced="true" orawsp:Silent="false"
orawsp:category="security/authentication, security/msg-protection"
orawsp:name="Http OAuth2 Over SSL ">
<orasp:auth-header orasp:is-encrypted="false" orasp:is-signed="false"
orasp:mechanism="oauth2"/>
<orasp:require-tls orasp:algorithm-suite="Basic128"
orasp:include-timestamp="false" orasp:mutual-auth="false"/>
<orawsp:bindings>
<orawsp:Config orawsp:configType="declarative"
orawsp:name="HttpOAuth2OverSSLConfig">
<orawsp:PropertySet orawsp:name="standard-security-properties">
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="subject.precedence">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="oauth2.client.csf.key">
<orawsp:Value/>
<orawsp:DefaultValue>NONE</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="federated.client.token">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="scope">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional"
orawsp:name="authz.code">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional"
orawsp:name="redirect.uri">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.attributes">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="issuer.name">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="oracle.oauth2.service">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="user.roles.include">
<orawsp:Value/>
<orawsp:DefaultValue>false</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:name="propagate.identity.context" orawsp:type="string" orawsp:contentType="optional">
<orawsp:Value></orawsp:Value>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.tenant.name">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional"
orawsp:name="audience.uri">
<orawsp:Value/>
<orawsp:DefaultValue>NONE</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="include.certificate">
<orawsp:Value/>
<orawsp:DefaultValue>false</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
</orawsp:PropertySet>
</orawsp:Config>
</orawsp:bindings>
</orasp:http-oauth2-security>
設定
表18-30を参照してください。
構成プロパティ
表18-27を参照してください。
oracle/http_jwt_token_identity_switch_client_policyは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えを実行します。このポリシーは、HTTPヘッダーにJSON Webトークン(JWT)を含めます。JWTトークンは自動的に作成されます。発行者名とサブジェクト名は、プログラムによって、またはポリシーを介して宣言的に提供されます。このポリシーにはオーディエンス制限条件を指定できます。
表示名: HTTP JWTトークン・アイデンティティ切替えクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベース、SOAPまたはRESTクライアント・エンドポイントで実行できます。
アサーション
このポリシーには次のポリシー・アサーションが含まれています。
oracle/http_jwt_token_client_template
このアサーションの詳細は、「oracle/http_jwt_token_client_template」を参照してください。
構成
認証済サブジェクトに基づいたアイデンティティではなく、別のアイデンティティを伝播して、動的なアイデンティティ切替えを実行します。このポリシーは、HTTPヘッダーにJWTトークンを含めます。ポリシーがクライアントにより使用される場合、Oracle WSMによってJWTトークンが自動的に作成されます。発行者名とサブジェクト名は、プログラムによって、またはポリシーを介して宣言的に提供されます。このポリシーにはオーディエンス制限条件を指定できます。
このポリシーは、HTTPベース、SOAPまたはRESTクライアント・エンドポイントで実行できます。
ポリシー・ファイルは手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_jwt_token_client_template」を参照してください。
デフォルトでは、subject.precedenceプロパティがfalseに設定されていること以外は、oracle/http_jwt_token_identity_switch_client_policyアサーション・コンテンツとoracle/http_jwt_token_client_templateは同じです。
<orawsp:Property orawsp:contentType="optional" orawsp:name="subject.precedence" orawsp:type="string">
<orawsp:Value>true</orawsp:Value>
</orawsp:Property>
設定
表18-37を参照してください。
構成プロパティ
表18-38を参照してください。
oracle/binding_authorization_denyall_policyは、SOAPバインディング・レベルの認証されたサブジェクトに基づき、簡単なロール・ベースの認可ポリシーを提供します。
表示名: バインディング認可DenyAllポリシー
カテゴリ: セキュリティ
説明
このポリシーは、任意のロールを持つすべてのユーザーを拒否します。サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SOAPベースの任意のエンドポイントに添付できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-123に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
1つ以上のWebLogic Serverエンタープライズ・ロールを指定する場合、認証されたサブジェクトにそのロールがすでに付与されている必要があります。ユーザーとグループの管理での説明に従って、WebLogic Server管理コンソールを使用してロールをユーザーまたはグループに付与します。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。
oracle/binding_authorization_permitall_policyは、SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロール・ベースの認可を行います。このポリシーは、任意のロールを持つすべてのユーザーを許可します。
表示名: バインディング認可PermitAllポリシー
カテゴリ: セキュリティ
説明
サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SOAPベースの任意のエンドポイントに添付できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-123に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
1つ以上のWebLogic Serverエンタープライズ・ロールを指定する場合、認証されたサブジェクトにそのロールがすでに付与されている必要があります。ユーザーとグループの管理での説明に従って、WebLogic Server管理コンソールを使用してロールをユーザーまたはグループに付与します。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。
oracle/binding_permission_authorization_policyは、認証済のサブジェクトに基づく権限ベースの認可ポリシーを提供します。このポリシーは、サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SOAPベースの任意のエンドポイントに添付できます。
表示名: バインディング権限ベース認可ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、サブジェクトに操作を実行する権限があることを保証します。これを行うため、認可ポリシー・エグゼキュータはOPSSを利用し、認証されたサブジェクトに、パラメータとして「リソース・パターン」と「アクション・パターン」を使用してoracle.wsm.security.WSFunctionPermission(または「権限チェック・クラス」で指定された任意の権限クラス)が付与されているかどうかを確認します。詳細は、「認可権限の決定」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-125に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
Fusion Middleware Controlを使用して、Webサービスに対する認証を試行するユーザー、グループまたはアプリケーションにWSFunctionPermission権限を付与します。
オプションで、このポリシーのpermission_class構成プロパティを変更します。これは、JAAS標準に従って権限クラスを識別します。クラスは、サーバー・クラスパスに存在する必要があります。カスタムの権限クラスは、抽象的な権限クラスを拡張し、シリアライズ可能なインタフェースを実装する必要があります。http://docs.oracle.com/javase/7/docs/api/java/security/Permission.htmlにあるJavadocを参照してください。デフォルトは、oracle.wsm.security.WSFunctionPermissionです。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。
oracle/component_authorization_denyall_policyは、認証されたサブジェクトに基づき、簡単なロールベースの認可ポリシーを提供します。
表示名: コンポーネント認可DenyAllポリシー
カテゴリ: セキュリティ
説明
このポリシーは、任意のロールを持つすべてのユーザーを拒否します。サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SCAベースの任意のエンドポイントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-127に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
1つ以上のWebLogic Serverエンタープライズ・ロールを指定する場合、認証されたサブジェクトにそのロールがすでに付与されている必要があります。ユーザーとグループの管理での説明に従って、WebLogic Server管理コンソールを使用してロールをユーザーまたはグループに付与します。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。
oracle/component_authorization_permitall_policyは、認証されたサブジェクトに基づき、簡単なロールベースの認可ポリシーを提供します。
表示名: コンポーネント認可PermitAllポリシー
カテゴリ: セキュリティ
説明
このポリシーは、任意のロールを持つすべてのユーザーを許可します。サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SCAベースの任意のエンドポイントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-127に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
1つ以上のWebLogic Serverエンタープライズ・ロールを指定する場合、認証されたサブジェクトにそのロールがすでに付与されている必要があります。ユーザーとグループの管理での説明に従って、WebLogic Server管理コンソールを使用してロールをユーザーまたはグループに付与します。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。
oracle/component_permission_authorization_policyは、認証済のサブジェクトに基づく権限ベースの認可ポリシーを提供します。このポリシーは、サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SCAベースの任意のエンドポイントにアタッチできます。
表示名: コンポーネント権限ベース認可ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、サブジェクトに操作を実行する権限があることを保証します。これを行うため、認可ポリシー・エグゼキュータはOPSSを利用し、認証されたサブジェクトに、パラメータとして「リソース・パターン」と「アクション・パターン」を使用してoracle.wsm.security.WSFunctionPermission(または「権限チェック・クラス」で指定された任意の権限クラス)が付与されているかどうかを確認します。「リソース・パターン」と「アクション・パターン」は、認可アサーションがこの特定のリクエストに対して実行されるかどうかを識別するために使用されます。認証されたサブジェクトにWSFunctionPermissionが付与されている場合、アクセスは許可されます。詳細は、「認可権限の決定」を参照してください。
WSFunctionPermission権限を、ユーザー、グループまたはアプリケーション・ロールに付与できます。WSFunctionPermissionをユーザーまたはグループに付与した場合、この権限は、ドメインにデプロイされているすべてのアプリケーションに適用されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-130に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
Fusion Middleware Controlを使用して、Webサービスに対する認証を試行するユーザー、グループまたはアプリケーションにWSFunctionPermission権限を付与します。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。
oracle/no_authorization_component_policyは動作無効ポリシーです。SOAコンポーネントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認可ポリシーを上位スコープで効率よく無効化します。
表示名: 認可コンポーネント動作無効ポリシー
カテゴリ: セキュリティ
説明
グローバルにアタッチされたポリシーに、認可アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効化されます。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-44は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-44 oracle/no_authorization_component_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_authorization_service_policyは動作無効ポリシーです。サービス・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認可ポリシーを上位スコープで効率よく無効化します。
表示名: 認可サービス動作無効ポリシー
カテゴリ: セキュリティ
説明
グローバルにアタッチされたポリシーに、認可アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効になります。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-45は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-45 oracle/no_authorization_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/whitelist_authorization_policyは、ロール・ベースの認可ポリシーの特殊なケースであり、指定された条件が真である場合にのみリクエストを受け入れます。
表示名: 制約ベース認可ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、ロールベースの認可ポリシーの特殊なケースです。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
次のいずれかの条件が該当する場合のみ、リクエストを受け取ります。
認証されたトークンがSAML送信者保証の場合。
ユーザーが特定のロールの場合(デフォルトはtrustedEnterpriseRoleであり、ユーザーを信頼できるエンティティとして確立します
リクエストがプライベート・ネットワークから届いている場合。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
whitelist_authorization_policyがアタッチされたサービスを正常に起動するには、次のいずれかの操作を実行する必要があります。
サービスが認証でSAML送信者保証を受け入れる場合(たとえば、SAMLトークン・サービス・ポリシーがサービスにアタッチされている場合)、対応するSAMLトークン・クライアント・ポリシーをクライアントにアタッチする必要があります。
サービスが認証でユーザー名/パスワードを受け入れる場合(たとえば、ユーザー名トークン・サービス・ポリシーがサービスに添付されている場合)、対応するユーザー名トークン・クライアント・ポリシーをクライアントに添付し、クライアントが、ポリシーで定義される信頼できるロールであることを確認する必要があります。(デフォルトでは、事前定義済ポリシーで定義されるロールはtrustedEnterpriseRoleです。事前定義済ポリシー内のこのロールを変更する必要があります。)
サービスが、Oracle HTTP Serverを使用して起動され、プライベート内部ネットワークからのリクエストであることを示すよう構成されている場合(「リクエスト元を指定するためのOracle HTTP Serverの構成」を参照)、内部ネットワーク上のクライアントのみが、対応するユーザー名トークン・クライアント・ポリシーをクライアント側でアタッチする必要があります。
OPSSを設定する手順は次のとおりです。
1つ以上のWebLogic Serverエンタープライズ・ロールを指定する場合、認証されたサブジェクトにそのロールがすでに付与されている必要があります。ユーザーとグループの管理での説明に従って、WebLogic Server管理コンソールを使用してロールをユーザーまたはグループに付与します。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成する必要があります。
「制約パターン」プロパティ設定には、リクエストが内部ネットワークまたは外部ネットワークから発行されたかどうかを指定するrequestOriginフィールドが含まれています。このプロパティは、Oracle HTTP Serverを使用しており、Oracle HTTP Server管理者がカスタムのVIRTUAL_HOST_TYPEヘッダーをリクエストに追加した場合のみ有効です。Oracle HTTP Serverを構成するには、「リクエスト元を指定するためのOracle HTTP Serverの構成」を参照してください。
oracle/no_messageprotection_client_policyは動作無効ポリシーです。クライアント・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたメッセージ保護ポリシーを上位スコープで効率よく無効化します。
表示名: メッセージ保護クライアント動作無効ポリシー
カテゴリ: セキュリティ
説明
グローバルにアタッチされたポリシーに、メッセージ保護アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効化されます。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-46は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-46 oracle/no_messageprotection_client_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_messageprotection_service_policyは、動作無効ポリシーであり、サービス・エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたメッセージ保護ポリシーを上位スコープで効率よく無効化します。
表示名: メッセージ保護サービス動作無効ポリシー
カテゴリ: セキュリティ
説明
グローバルにアタッチされたポリシーに、メッセージ保護アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効化されます。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-47は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-47 oracle/no_messageprotection_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/wss10_message_protection_client_policyは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
表示名: Wss10メッセージ保護クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-42に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを構成するには、「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアおよびWebサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
WS-Security 1.0標準に準拠して、セキュリティ・ヘッダーに署名要素および暗号化要素を組み込むことができます。
次の例(SOAPメッセージのWS-Security 1.0メッセージ整合性)は、セキュリティ・ヘッダーに含まれる署名の一般的な構造を示しています。この例では、SOAPメッセージの本体要素が署名されています。
<dsig:Signature xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
<dsig:SignedInfo>
<dsig:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<dsig:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<dsig:Reference URI="#Timestamp-...">
<dsig:Transforms>
<dsig:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</dsig:Transforms>
<dsig:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<dsig:DigestValue>...</dsig:DigestValue>
</dsig:Reference>
<dsig:Reference URI="#Body-...">
<dsig:Transforms>
<dsig:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</dsig:Transforms>
<dsig:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<dsig:DigestValue>...</dsig:DigestValue>
</dsig:Reference>
<dsig:Reference URI="#KeyInfo-...">
<dsig:Transforms>
<dsig:Transform
Algorithm="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform">
<TransformationParameters xmlns="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" xmlns="http://www.w3.org/2000/09/xmldsig#"/>
</TransformationParameters>
</dsig:Transform>
</dsig:Transforms>
<dsig:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<dsig:DigestValue>...</dsig:DigestValue>
</dsig:Reference>
</dsig:SignedInfo>
<dsig:SignatureValue>....</dsig:SignatureValue>
<dsig:KeyInfo Id="KeyInfo-...">
<wsse:SecurityTokenReference xmlns="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
<wsse:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509SubjectKeyIdentifier"
EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary">
...</wsse:KeyIdentifier>
</wsse:SecurityTokenReference>
</dsig:KeyInfo>
</dsig:Signature>
次の例(SOAPメッセージのWS-Security 1.0メッセージ機密保護)に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
<env:Body xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="Body-JA9fsCRnqbFJ0ocBAMKb7g22">
<xenc:EncryptedData xmlns:xenc="http://www.w3.org/2001/04/xmlenc#" Type="http://www.w3.org/2001/04/xmlenc#Content" Id="...">
<xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc"/>
<xenc:CipherData>
<xenc:CipherValue>...</xenc:CipherValue>
</xenc:CipherData>
</xenc:EncryptedData>
</env:Body>
oracle/wss10_message_protection_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
表示名: Wss10メッセージ保護サービス・ポリシー
カテゴリ: セキュリティ
説明
メッセージは、WS-Securityの非対称鍵テクノロジのBasic 128スイートを使用して保護されます。具体的には、RSA鍵メカニズム(メッセージの機密性)、SHA-1ハッシュ・アルゴリズム(メッセージの整合性)、およびAES-128ビットの暗号化が使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-43に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。また、メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、さらにCAルート証明書も格納する必要があります。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
oracle/wss11_message_protection_client_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストにメッセージの整合性および機密保護を提供します。
表示名: Wss11メッセージ保護クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
対称鍵テクノロジは、データの暗号化と復号化に同じ共有鍵を使用する暗号化メソッドです。対称鍵は、メッセージへの署名に使用されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-45に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアおよびWebサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
このポリシーは対称鍵テクノロジを使用します。このテクノロジは、データの暗号化と復号化に同じ共有鍵を使用する暗号化メソッドです。対称鍵は、メッセージへの署名に使用されます。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
次の例(SOAPメッセージのWS-Security 1.1メッセージ機密保護)に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
<xenc:EncryptedKey xmlns:xenc="http://www.w3.org/2001/04/xmlenc#" Id="EK-...">
<xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p">
<dsig:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" xmlns:dsig="http://www.w3.org/2000/09/xmldsig#" />
</xenc:EncryptionMethod>
<dsig:KeyInfo xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
<wsse:SecurityTokenReference xmlns="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
<wsse:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#ThumbprintSHA1"
EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary">...</wsse:KeyIdentifier>
</wsse:SecurityTokenReference>
</dsig:KeyInfo>
<xenc:CipherData>
<xenc:CipherValue>...</xenc:CipherValue>
</xenc:CipherData>
<xenc:ReferenceList>
<xenc:DataReference URI="#_..." />
</xenc:ReferenceList>
</xenc:EncryptedKey>
<env:Body xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="Body-...">
<xenc:EncryptedData xmlns:xenc="http://www.w3.org/2001/04/xmlenc#" Type="http://www.w3.org/2001/04/xmlenc#Content" Id="...">
<xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc" />
<dsig:KeyInfo xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
<wsse:SecurityTokenReference xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"
xmlns="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
<wsse:Reference URI="#EK-..." ValueType="http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#EncryptedKey" />
</wsse:SecurityTokenReference>
</dsig:KeyInfo>
<xenc:CipherData>
<xenc:CipherValue>...</xenc:CipherValue>
</xenc:CipherData>
</xenc:EncryptedData>
</env:Body>
oracle/wss11_message_protection_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストにメッセージの整合性および機密保護を実行します。
表示名: Wss11メッセージ保護サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-46に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OPSSを設定する手順は次のとおりです。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。また、メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、さらにCAルート証明書も格納する必要があります。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.enc.csf.keyの値を指定します。
oracle/wss11_username_token_derivedkey_with_message_protection_service_policyでは、リクエストでユーザー名トークンに<wsse11:Salt>または<wsse11:Iteration>要素が含まれるクライアントと統合するためにOWSMを使用できます。これらの要素をユーザー名トークンで使用し、パスワード導出キーをサポートできます。署名または暗号化が使用されます。
表示名: Wss11ユーザー名トークン(メッセージ保護付き)(パスワード導出キー使用)サービス・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージを署名または暗号化します。Webサービス・プロバイダはメッセージを復号化または検証します。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
注意:
BASIC128 ALgosuiteのみがこのポリシーにサポートされます。注意:
UsernameTokenヘッダーの暗号化はサポートされていません。サービスがメッセージを受け取ると、パスワードおよび2つの追加要素(リクエスト・トークンで受け取ったsaltおよびiteration)の情報を使用して、クライアントと同じ秘密鍵を導出します。
Webサービスは、UsernameTokenを使用して渡されたユーザーを認証し、このパスワード導出キーを使用してメッセージを復号化または検証します。
次に、クライアントに返信するレスポンスの暗号化または署名のために、同じ秘密鍵を使用します。
アサーション(ORグループ)
構成
このポリシーを構成する手順は次のとおりです。
表18-102に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
user.csf.key 構成パラメータの値を設定します。デフォルト値はです
basic.credentialsoracle/wss11_username_token_with_message_protection_client_policy では、ユーザー名トークンに<wsse11:Salt>または<wsse11:Iteration>要素が必要なバックエンド・サービスと統合するためにOWSMを使用できます。これらの要素をユーザー名トークンで使用し、パスワード導出キーをサポートできます。このクライアント・ポリシーは、署名を使用したメッセージ保護用です。
表示名: Wss11ユーザー名トークン(メッセージ保護署名付き)(パスワード導出キー使用)サービス・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名します。Webサービス・プロバイダはメッセージの署名を検証します。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージが署名されます。Webサービス・プロバイダは署名の検証と認証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
注意:
BASIC128 ALgosuiteのみがこのポリシーにサポートされます。クライアントは、ユーザーに関連付けられたパスワードを使用して秘密鍵を作成します。この秘密鍵を使用して、データの対称署名を作成します。
サービスがメッセージを受け取ると、パスワードおよび2つの追加要素(リクエスト・トークンで受け取ったsaltおよびiteration)の情報を使用して、クライアントと同じ秘密鍵を導出します。
Webサービスは、UsernameTokenを使用して渡されたユーザーを認証し、このパスワード導出キーを使用してメッセージを検証します。
次に、クライアントに返信するレスポンスの署名のために、同じ秘密鍵を使用します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-101に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OWSMキーストアを設定して、鍵(ユーザー名/パスワード)を指定します。
メッセージ署名のポリシー・アサーションを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
メッセージ署名のポリシー・アサーションを構成します。
oracle/wss11_username_token_derivedkey_with_message_protection_encryption_only_client_policyでは、ユーザー名トークンに<wsse11:Salt>または<wsse11:Iteration>要素が必要なバックエンド・サービスと統合するためにOWSMを使用できます。これらの要素をユーザー名トークンで使用し、パスワード導出キーをサポートできます。このクライアント・ポリシーは、暗号化を使用したメッセージ保護用です。
表示名: Wss11ユーザー名トークン(メッセージ保護暗号化付き)(パスワード導出キー使用)サービス・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージを暗号化します。Webサービス・プロバイダはメッセージを復号化します。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージが復号化されます。Webサービス・プロバイダはメッセージを復号化し、ユーザーを認証します。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
注意:
BASIC128 ALgosuiteのみがこのポリシーにサポートされます。注意:
UsernameTokenヘッダーの暗号化はサポートされていません。サービスがメッセージを受け取ると、パスワードおよび2つの追加要素(リクエスト・トークンで受け取ったsaltおよびiteration)の情報を使用して、クライアントと同じ秘密鍵を導出します。
Webサービスは、UsernameTokenを使用して渡されたユーザーを認証し、このパスワード導出キーを使用してメッセージを検証します。
次に、クライアントに返信するレスポンスの暗号化のために、同じ秘密鍵を使用します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-101に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
OWSMキーストアを設定して、鍵(ユーザー名/パスワード)を指定します
メッセージ暗号化のポリシー・アサーションを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
メッセージ暗号化のポリシー・アサーションを構成します。
oracle/pii_security_policyは保護するPII (Personally Identifiable Information)データを暗号化します。
表示名: PIIセキュリティ・ポリシー
カテゴリ: セキュリティ
説明
保護する個人を特定できる情報(PII)データを暗号化します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
表18-109に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
oracle/sts_trust_config_client_policyは、トークン交換用のSTS呼出しに使用されるSTSクライアント構成情報を指定します。
表示名: STS信頼構成クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーを使用するのは、「STSの自動ポリシー構成の設定」で説明されている自動(クライアントSTS)ポリシー構成を使用していない場合のみです。
oracle/sts_trust_config_client_policyの複数のインスタンスをアタッチした場合に、エラーは生成されません。しかし、実行されるのは1つのインスタンスのみであり、それをどのインスタンスにするかを制御できません。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
表18-111に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「STSの自動ポリシー構成の設定」で説明されているように、WebサービスからSTS構成ポリシーを構成します。
ただし、WebサービスからSTS構成ポリシーを構成しなかった場合、またはSAML送信者保証による確認方法を使用している場合は、Webサービス・クライアントからSTS構成ポリシーを構成する必要があります。詳細は、「Webサービス・クライアントからのSTS構成ポリシーの手動による構成: メイン手順」を参照してください。
設計時の考慮事項
次の例に示すように、設計時に、oracle/sts_trust_config_client_policyポリシーをプログラムによって設定し、アタッチできます。
URL endpointUrl = new URL(getWebConnectionString() + "/jaxws-test-service/jaxws-test-port");
ServiceDelegateImpl client = new ServiceDelegateImpl(
new URL(endpointUrl.toString() + "?WSDL"),
new QName("http://jaxws.example.com/targetNamespace/JaxwsService", "JaxwsService"),
OracleService.class);
JaxwsService port = client.getPort(
new QName("http://jaxws.example.com/targetNamespace/JaxwsService", "JaxwsServicePort"),
test.jaxws.client.JaxwsService.class);
((BindingProvider)port).getRequestContext().put(BindingProvider.ENDPOINT_ADDRESS_PROPERTY,endpointUrl.toExternalForm());
((BindingProvider)port).getRequestContext().put(ClientConstants.CLIENT_CONFIG,
fileToElement(new File("./jaxws/client/dat/oracle-webservice-client.xml")));
次の例は、STS構成ポリシーおよびSTS発行ポリシーに関連するoracle-webservice-client.xmlファイルを示しています。
<?xml version="1.0" encoding="UTF-8"?>
<oracle-webservice-clients>
<webservice-client>
<port-info>
<policy-references>
<policy-reference uri="oracle/sts_trust_config_client_policy" category="security"/>
<policy-reference uri="oracle/wss11_sts_issue_saml_hok_with_message_protection_client_policy " category="security"/>
</policy-references>
</port-info>
</webservice-client>
</oracle-webservice-clients>
oracle/sts_trust_config_service_policyは、トークン交換用のSTS呼出しに使用されるSTS構成情報を指定します。
表示名: STS信頼構成サービス・ポリシー
カテゴリ: セキュリティ
説明
トークン交換用のSTSの呼出しに使用されるSTS構成情報を指定します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-113に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「STSの自動ポリシー構成の設定」で説明されているように、Webサービスを設定します。
oracle/wss_saml_bearer_or_username_token_service_policyは、クライアントがSAMLまたはユーザー名トークンのいずれを使用するかに基づいて、認証ポリシーを強制します。
表示名: WSSecurity SAMLトークンBearer/WSSecurityユーザー名トークン
カテゴリ: セキュリティ
説明
クライアントがSAMLトークンとユーザー名トークンのどちらを使用するかに基づいて、それぞれ次の認証ポリシーのいずれかを実行します。
Bearer確認タイプを使用するWS-Security SOAPヘッダー内のSAMLトークン。
構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション(ORグループ)
このポリシーには、次のアサーションがORグループとして含まれます。つまり、クライアントはどちらのタイプのポリシーでも実行できます。
アサーションはWSDLで通知されています。
oracle/wss_saml_or_username_token_service_policyは、クライアントがSAMLまたはユーザー名トークンのいずれを使用するかに基づいて、認証ポリシーを強制します。
表示名: Wss SAMLトークン/Wssユーザー名トークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
クライアントがSAMLトークンとユーザー名トークンのどちらを使用するかに基づいて、それぞれ次の認証ポリシーのいずれかを実行します。
sender-vouchesの確認タイプを使用したWS-Security SOAPヘッダー内のSAMLトークン。
構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
アサーションはWSDLで通知されています。
構成
このポリシーの構成については、次のポリシーの説明を参照してください。
oracle/wss_saml_or_username_token_over_ssl_service_policyは、メッセージ保護(整合性と機密保護)を実行し、クライアントがSAMLまたはユーザー名トークンを使用するかどうかに基づいて、認証ポリシーを強制します。
表示名: Wss SAML Token/Wss Username Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
メッセージ保護(整合性と機密保護)を実行し、クライアントがSAMLトークンとユーザー名トークンのどちらを使用するかに基づいて、それぞれ次の認証ポリシーのいずれかを実行します。
sender-vouchesの確認タイプを使用したWS-Security SOAPヘッダー内のSAMLトークン。
構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
アサーションはWSDLで通知されています。
構成
このポリシーの構成については、次のポリシーの説明を参照してください。
oracle/wss_saml_token_bearer_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。
Display Name: Wss SAMLトークン(Bearer確認方式)クライアント・ポリシー
カテゴリ: セキュリティ
説明
確認方法がBearerのSAMLトークンが自動的に作成されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-59に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、クライアント側でSAMLを構成します。
oracle/wss_saml_token_bearer_over_ssl_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。また、このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることも検証します。
表示名: Wss SAML Token Over SSL (Bearer確認方式)クライアント・ポリシー
カテゴリ: セキュリティ
説明
確認方法がBearerのSAMLトークンが自動的に作成されます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
このポリシーは、SSLを使用してメッセージ保護付きで送信者保証確認を使用するため、SSL証明書で使用される発行者キー識別子は信頼できるものである必要があります。「WLSTを使用した信頼できるSAML発行者とJWT発行者、DNリストおよびトークン属性ルールの構成」で示すように、信頼できる発行者およびDNリストを構成します
注意:
発行者にDNが構成されていない場合、またはトークン発行者信頼ドキュメントのデフォルトの信頼できるSAML発行者(www.oracle.com)を使用している場合、信頼できる発行者およびDNリストを構成する必要はありません。表18-59に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、クライアント側でSAMLを構成します。
oracle/wss_saml_token_bearer_over_ssl_service_policyは、WS-Security SOAPヘッダー内の確認方法がBearerのSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
表示名: Wss SAML Token Over SSL (Bearer確認方式)サービス・ポリシー
カテゴリ: セキュリティ
説明
SAMLトークンに含まれる資格証明は、SAMLログイン・モジュールに対して認証されます。このポリシーは、トランスポート・プロトコルでSSLメッセージの保護が提供されていることを検証します。このポリシーは、SOAPベースのエンドポイントで実行できます。
SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-60に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
saml.loginmoduleログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
oracle/wss_http_token_over_ssl_client_policyは、アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込み、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。クライアントは、HTTPヘッダーに資格証明を渡す必要があります。
表示名: Wss HTTP Token Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのクライアントで実行できます。
注意:
現在サポートされているのはHTTP Basic認証のみです。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-52に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「Webサービス・クライアントへの一方向SSLの構成」で説明されているように、一方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
クライアントは、HTTPヘッダーに資格証明を渡す必要があります。
oracle/wss_http_token_over_ssl_service_policyは、HTTPヘッダー内の資格証明を抽出して、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。
表示名: Wss HTTP Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのエンドポイントで実行できます。
注意:
このポリシーの機能は、oracle/http_basic_auth_over_ssl_service_policyに似ています。唯一の相違は、oracle/wss_http_token_over_ssl_service_policyでは、require-tls要素内のinclude-timestamp属性を有効化して、リプレイ攻撃を防止できることです。これは、RESTfulサービスには適用されません。require-tls要素の詳細は、「orasp:require-tls要素」を参照してください。
現在サポートされているのはHTTP Basic認証のみです。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-53に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「Webサービス・クライアントへの一方向SSLの構成」で説明されているように、一方向SSLを構成します。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
oracle/wss_saml_token_over_ssl_client_policyは、確認タイプsender-vouchesを使用して、アウトバウンドWS-Security SOAPヘッダーに、SAMLトークンを組み込みます。このポリシーは、トランスポート・プロトコルでSSLメッセージの保護が提供されていることを検証します。
表示名: Wss SAML Token Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、SOAPベースのクライアントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
このポリシーは、SSLを使用してメッセージ保護付きで送信者保証確認を使用するため、SSL証明書で使用される発行者キー識別子は信頼できるものである必要があります。「WLSTを使用した信頼できるSAML発行者とJWT発行者、DNリストおよびトークン属性ルールの構成」で示すように、信頼できる発行者およびDNリストを構成します。
注意:
発行者にDNが構成されていない場合、またはトークン発行者信頼ドキュメントのデフォルトの信頼できるSAML発行者(www.oracle.com)を使用している場合、信頼できる発行者およびDNリストを構成する必要はありません。表18-65に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、クライアント側でSAMLを構成します。
oracle/wss_saml_token_over_ssl_service_policyは、確認タイプsender-vouchesを使用した、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証を実行し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
表示名: Wss SAML Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
SAMLトークンは、構成済のアイデンティティ・ストアのユーザーにマッピングされます。このポリシーは、SOAPベースのエンドポイントで実行できます。
SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-66に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
oracle/wss_saml20_token_bearer_over_ssl_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
表示名: Wss SAML V2.0 Token Over SSL (Bearer確認方式)クライアント・ポリシー
カテゴリ: セキュリティ
説明
確認方法がBearerのSAMLトークンが自動的に作成されます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-62に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「構成」ページでpropagate.identity.contextの値を指定するか、ポリシーをアタッチするときに「セキュリティ構成の詳細」コントロールを使用して、クライアントごとにこの値をオーバーライドします。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、クライアント側でSAMLを構成します。
oracle/wss_saml20_token_bearer_over_ssl_service_policyは、WS-Security SOAPヘッダー内の確認方式がBearerとなっているSAMLトークンに指定されている資格証明を使用してユーザーを認証し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
表示名: Wss SAML V2.0 Token Over SSL (Bearer確認方式)サービス・ポリシー
カテゴリ: セキュリティ
説明
SAMLトークンに含まれる資格証明は、SAMLログイン・モジュールに対して認証されます。このポリシーは、SOAPベースのエンドポイントで実行できます。
SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-63に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml2.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
oracle/wss_saml20_token_over_ssl_client_policyは、確認タイプsender-vouchesを使用して、アウトバウンドWS-Security SOAPヘッダーにSAMLトークンを組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
表示名: Wss SAML V2.0 Token Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、SOAPベースのクライアントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-68に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、クライアント側でSAMLを構成します。
oracle/wss_saml20_token_over_ssl_service_policyは、確認タイプsender-vouchesを使用した、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証を実行し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
表示名: Wss SAML V2.0 Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
SAMLトークンは、構成済のアイデンティティ・ストアのユーザーにマッピングされます。このポリシーは、SOAPベースのエンドポイントで実行できます。
SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-63に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml2.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policyは、信頼できるSTSが発行したSAML Bearerアサーションを挿入します。メッセージは、SSLを使用して保護されます。
表示名: Wss Issued Token Over SSL (Saml Bearer方式)クライアント・ポリシー
カテゴリ: セキュリティ
説明
信頼できるSTSが発行したSAMLベアラー・アサーションを挿入します。メッセージは、SSLを使用して保護されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-115に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。STS構成設定のオーバーライドの例は、「WS-Trustクライアント・ポリシーのプログラムによるポリシー構成オーバーライド」を参照してください。
自動ポリシー構成の設定の主な手順で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、クライアント側でSAMLを構成します。
oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policyは、信頼できるSTSが発行したSAML Bearerアサーションを認証します。
表示名: Wss Issued Token Over SSL (Saml Bearer方式)サービス・ポリシー
カテゴリ: セキュリティ
説明
信頼できるSTSが発行したSAMLベアラー・アサーションを認証します。メッセージは、SSLを使用して保護されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
このアサーションの詳細は、「WS-Trustアサーション・テンプレート」も参照してください。
構成
このポリシーを構成する手順は次のとおりです。
表18-116に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。STS構成設定のオーバーライドの例は、「WS-Trustクライアント・ポリシーのプログラムによるポリシー構成オーバーライド」を参照してください。
「自動ポリシー構成の設定の主な手順」で説明されているように、Webサービス・サービスを設定します。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
oracle/wss_username_token_over_ssl_client_policyは、アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。
表示名: Wss Username Token Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、SOAPベースのすべてのクライアントに添付できます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-71に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「設定」ページでパスワード・タイプを「なし」に指定した場合、キーにパスワードを含める必要はありません。
「ポリシー構成プロパティのオーバーライド」で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」を参照してください。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
SOAPリクエスト・メッセージにWS-Security UsernameToken要素(<wsse:UsernameToken/>)を組み込みます。また、クライアントは、認証用にユーザー名とパスワードを提供します。
oracle/wss_username_token_over_ssl_service_policyは、WS-Security UsernameToken SOAPヘッダー内の資格証明を使用して、OPSS構成済アイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
表示名: Wss Username Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-72に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
ユーザー名とパスワードが存在し、有効になっている必要があります。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
oracle/wss_username_token_over_ssl_wssc_client_policyは、アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
表示名: Wss Username Token Over SSL (セキュア通信有効)クライアント・ポリシー
カテゴリ: セキュリティ
説明
プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーでは、セキュア通信が有効になります。詳細は、Oracle Web Services Managerを使用したセキュア通信の構成を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-71に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
Oracle Web Services Managerを使用したセキュア通信の構成で説明されているように、セキュア通信を構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」を参照してください。
「設定」ページでパスワード・タイプを「なし」に指定した場合、キーにパスワードを含める必要はありません。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
SOAPリクエスト・メッセージにWS-Security UsernameToken要素(<wsse:UsernameToken/>)を組み込みます。また、クライアントは、認証用にユーザー名とパスワードを提供します。
oracle/wss_username_token_over_ssl_wssc_service_policyは、WS-Security UsernameToken SOAPヘッダー内の資格証明を使用して、OPSS構成済アイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
表示名: Wss Username Token Over SSL (セキュア通信有効)サービス・ポリシー
カテゴリ: セキュリティ
説明
プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーでは、セキュア通信が有効になります。詳細は、Oracle Web Services Managerを使用したセキュア通信の構成を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-72に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
ユーザー名とパスワードが存在し、有効になっている必要があります。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
表示名: Wss Username Token Over SSL(タイムスタンプなし)クライアント・ポリシー
カテゴリ: セキュリティ
説明
oracle/wss_username_token_over_ssl_notimestamp_client_policyは、アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を含めます。プレーン・テキスト・メカニズムのみがサポートされています。資格証明は、Java Authentication and Authorization Service (JAAS)サブジェクトを介してプログラムによって提供するか、構成済の資格証明ストアをポリシーで参照することによって提供できます。また、このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることも検証します。このポリシーは、SOAPベースのすべてのクライアントに添付できます。タイムスタンプはメッセージに追加されません。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-71に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「設定」ページでパスワード・タイプを「なし」に指定した場合、キーにパスワードを含める必要はありません。
「ポリシー構成プロパティのオーバーライド」で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」を参照してください。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
SOAPリクエスト・メッセージにWS-Security UsernameToken要素(<wsse:UsernameToken/>)を組み込みます。また、クライアントは、認証用にユーザー名とパスワードを提供します。
表示名: Wss Username Token Over SSL(タイムスタンプなし)サービス・ポリシー
カテゴリ: セキュリティ
説明
oracle/wss_username_token_over_ssl_notimestamp_service_policyは、UsernameToken WS-Security SOAPヘッダーの資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーを認証します。プレーン・テキスト・メカニズムのみがサポートされています。このポリシーは、トランスポート・プロトコルでSSLメッセージの保護が提供されていることを検証します。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。受信メッセージにタイムスタンプが含まれていない必要があります。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-72に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
ユーザー名とパスワードが存在し、有効になっている必要があります。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
oracle/wss10_saml_hok_token_with_message_protection_client_policyは、アウトバウンドSOAPメッセージに対してWS-Security 1.0標準に従ったメッセージ保護(整合性と機密保護)およびSAML Holder of Keyベースの認証を行います。
表示名: Wss10 SAML Holder-Of-Keyトークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
SOAPメッセージに含まれているSAMLトークンは、鍵所有者確認を使用したSAMLベースの認証で使用されます。
ポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-74に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「SAMLアサーション発行者名の追加」を参照してください。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、鍵所有者アサーションが含まれるファイルを指すようにsaml.assertion.filenameプロパティをオーバーライドします。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
鍵所有者アサーションを含むファイルを指し示すように、saml.assertion.filenameプロパティをオーバーライドします。詳細は、「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、設計時にWebサービス・クライアントにSAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
oracle/wss10_saml_hok_token_with_message_protection_service_policyは、インバウンドSOAPリクエストに対してWS-Security 1.0標準に従ったメッセージ保護(整合性と機密保護)およびSAML Holder of Keyベースの認証を行います。
表示名: Wss10 SAML Holder-Of-Keyトークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-75に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
saml.loginmoduleログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
注意:
キーストアに期限切れの証明書が存在する場合は、この証明書が参照されているかどうかに関係なく、CertificateExpiredExceptionが返されます。この例外を解決するには、期限切れの証明書をキーストアから削除します。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
OPSSを設定する手順は次のとおりです。
「SAMLの構成について」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
SAML認証局の信頼できる証明書をキーストアに格納します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
oracle/wss10_saml_token_with_message_integrity_client_policyは、WS-Security 1.0標準に準拠して、アウトバウンドSOAPメッセージに対してメッセージレベルの整合性およびSAMLベースの認証を提供します。SOAPメッセージに組み込まれているSAMLトークンは、送信者保証確認付きSAMLベース認証で使用されます。
表示名: Wss10 SAMLトークン(メッセージ整合性付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、WS-Securityの非対称鍵テクノロジのBasic 128スイートおよびメッセージの整合性のためにはSHA-1ハッシュ・アルゴリズムを使用します。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-77に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、user.roles.includeの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
「SAMLの構成について」で説明されているように、SAMLを構成します。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、設計時にクライアントをSAML用に構成します。
アウトバウンドSOAPメッセージに、SAMLトークンを挿入するWS-Securityヘッダー要素(<saml:Assertion>)を組み込みます。確認タイプは、常にsender-vouchesです。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
oracle/wss10_saml_token_with_message_integrity_service_policyは、インバウンドSOAPリクエストに対してWS-Security 1.0標準に従ったメッセージ・レベルの整合性の保護およびSAMLベースの認証を行います。
表示名: Wss10 SAMLトークン(メッセージ整合性付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Securityバイナリ・セキュリティ・トークンまたは現在のJava Authentication and Authorization Service (JAAS)サブジェクトからSAMLトークンを抽出し、その資格証明を使用して、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーを検証します。
このポリシーは、WS-Securityの非対称鍵テクノロジのBasic 128スイートおよびメッセージの整合性のためにはSHA-1ハッシュ・アルゴリズムを使用します。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-78に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.keyおよびkeystore.enc.csf.keyをオーバーライドします。
「SAMLの構成について」で説明されているように、SAMLを構成します。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
saml.loginmoduleログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
oracle/wss10_saml_token_with_message_protection_client_policyは、WS-Security 1.0標準に準拠して、アウトバウンドSOAPメッセージに対してメッセージレベルの保護およびSAMLベースの認証を提供します。Webサービス・コンシューマによって、SOAPヘッダーにSAMLトークンが組み込まれ、確認タイプはsender-vouchesです。
表示名: Wss10 SAMLトークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-77に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、user.roles.includeの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
「SAMLの構成について」で説明されているように、SAMLを構成します。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、設計時にクライアントをSAML用に構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
oracle/wss10_saml_token_with_message_protection_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。
表示名:Wss10 SAMLトークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマによって、SOAPヘッダーにSAMLトークンが組み込まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-78に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
saml.loginmoduleログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
OPSSを設定する手順は次のとおりです。
「SAMLの構成について」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
SAML認証局の信頼できる証明書をキーストアに格納します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
oracle/wss10_saml_token_with_message_protection_ski_basic256_client_policyは、WS-Security 1.0標準に準拠して、アウトバウンドSOAPメッセージに対してメッセージレベルの保護およびSAMLベースの認証を提供します。
表示名: Wss10 SAMLトークン(メッセージ保護SKI Basic 256付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマによって、SOAPヘッダーにSAMLトークンが組み込まれ、確認タイプはsender-vouchesです。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
ポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 256スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-256ビット暗号化も使用されます。このポリシーは、リクエストの暗号化鍵、およびレスポンスの署名と暗号化鍵の両方に、サブジェクト・キー識別子(SKI)の参照メカニズムを使用します。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
注意:
一部の国の輸入制限により、JDK 5.0ソフトウェアとともに配布されるJurisdiction Policy Filesには、使用可能な暗号化強度において制限が組み込まれています。
デフォルトでは、Basic192以上のアルゴリズムを使用するポリシーは、バンドルされたJRE/JDKでは動作しません。これらのアルゴリズムを使用するには、http://www.oracle.com/technetwork/java/javase/downloads/index-jdk5-jsp-142662.htmlからJCE Extension jar (Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 5.0)をダウンロードする必要があります。
これらのポリシー・ファイルを使用するには、$JAVA_HOME/jre/lib/security内の次のJARファイルを、対応するJCE ExtensionのJARに置き換える必要があります。
US_export_policy.jar
local_policy.jar
JARファイルを置き換える前に、既存のJARファイルをバックアップする必要があります。
構成
このポリシーを構成する手順は次のとおりです。
表18-77に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「SAMLの構成について」で説明されているように、SAMLを構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、user.roles.includeの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
oracle/wss10_saml_token_with_message_protection_ski_basic256_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。ポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 256スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-256ビット暗号化も使用されます。
表示名: Wss10 SAMLトークン(メッセージ保護SKI Basic 256付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマによって、SOAPヘッダーにSAMLトークンが組み込まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
このポリシーは、リクエストの暗号化鍵、およびレスポンスの署名と暗号化鍵の両方に、サブジェクト・キー識別子(SKI)の参照メカニズムを使用します。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
注意:
一部の国の輸入制限により、JDK 5.0ソフトウェアとともに配布されるJurisdiction Policy Filesには、使用可能な暗号化強度において制限が組み込まれています。
デフォルトでは、Basic192以上のアルゴリズムを使用するポリシーは、バンドルされたJRE/JDKでは動作しません。これらのアルゴリズムを使用するには、http://www.oracle.com/technetwork/java/javase/downloads/index-jdk5-jsp-142662.htmlからJCE Extension jar (Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 5.0)をダウンロードする必要があります。
これらのポリシー・ファイルを使用するには、$JAVA_HOME/jre/lib/security内の次のJARファイルを、対応するJCE ExtensionのJARに置き換える必要があります。
US_export_policy.jar
local_policy.jar
JARファイルを置き換える前に、既存のJARファイルをバックアップする必要があります。
構成
このポリシーを構成する手順は次のとおりです。
表18-78に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
saml.loginmoduleログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.keyおよびkeystore.enc.csf.keyをオーバーライドします。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
OPSSを設定する手順は次のとおりです。
「SAMLの構成について」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
このポリシーでは、キーストアを設定する必要があります。ski参照メカニズムを使用するときは、OpenSSLなどのユーティリティを使用して証明書を作成します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
oracle/wss10_saml20_token_with_message_protection_client_policyは、WS-Security 1.0標準に準拠して、アウトバウンドSOAPメッセージに対してメッセージレベルの保護およびSAMLベースの認証を提供します。このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。
表示名: Wss10 SAML V2.0トークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマによって、SOAPヘッダーにSAMLトークンが組み込まれ、確認タイプはsender-vouchesです。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-80に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成について」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、user.roles.includeの値を指定します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、SAMLを構成します。
Webサービス・セキュリティの概念の理解の説明に従って、Webサービス・クライアントのキーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
oracle/wss10_saml20_token_with_message_protection_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。
表示名: Wss10 SAML V2.0トークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマによって、SOAPヘッダーにSAMLトークンが組み込まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-81に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
saml2.loginmoduleログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.keyおよびkeystore.enc.csf.keyをオーバーライドします。
OPSSを設定する手順は次のとおりです。
「SAMLの構成について」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
このポリシーでは、キーストアを設定する必要があります。ski参照メカニズムを使用するときは、OpenSSLなどのユーティリティを使用して証明書を作成します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
oracle/wss10_username_id_propagation_with_msg_protection_client_policyは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)およびアイデンティティの伝播を提供します。メッセージ保護は、WS-Securityの非対称鍵テクノロジのBasic128スイートを使用して行われます。具体的には、機密性のためにRSA主要なメカニズム、整合性のためにSHA-1ハッシュ・アルゴリズムおよびAES-128ビットの暗号化。
表示名: Wss10ユーザー名ID伝播(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
注意:
このリリースでは、oracle/wss10_username_id_propagation_with_msg_protection_client_policyポリシーは非推奨になりました。
説明
資格証明(ユーザー名のみ)は、WS-Security UsernameTokenヘッダーを介して、アウトバウンドSOAPリクエスト・メッセージに含まれます。パスワードは含まれません。このポリシーは、SOAPベースのクライアントで実行できます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-83に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
SOAPリクエスト・メッセージにWS-Security UsernameToken要素(<wsse:UsernameToken/>)を組み込みます。また、クライアントは、認証用にユーザー名とパスワードを提供します。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
oracle/wss10_username_id_propagation_with_msg_protection_service_policyは、WS-Security 1.0に記述されたメカニズムを使用して、インバウンドSOAPリクエストに対するメッセージ・レベルの保護(整合性および機密保護)およびアイデンティティ伝播を実施します。非対称の主要技術のWS-Security 1.0 Basic128スイートを使用することでメッセージ保護を提供します。具体的には、機密性のためにRSA主要なメカニズム、整合性のためにSHA-1ハッシュ・アルゴリズムおよびAES-128ビットの暗号化。
表示名: Wss10ユーザー名ID伝播(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
注意:
このリリースでは、oracle/wss10_username_id_propagation_with_msg_protection_service_policyポリシーは非推奨になりました。
説明
このポリシーは、SOAPベースのエンドポイントで実行できます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-84に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.keyおよびkeystore.enc.csf.keyをオーバーライドします。
oracle/wss10_username_token_with_message_protection_client_policyは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および認証を提供します。このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。
表示名: Wss10ユーザー名トークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-83に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」を参照してください。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.keyおよびkeystore.enc.csf.keyをオーバーライドします。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
Webサービス・セキュリティの概念の理解の説明に従って、Webサービス・クライアントのキーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
oracle/wss10_username_token_with_message_protection_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(メッセージの整合性および機密保護)と、認証を行います。このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。
表示名: Wss10ユーザー名トークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-84に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.keyおよびkeystore.enc.csf.keyをオーバーライドします。
oracle/wss10_username_token_with_message_protection_ski_basic256_client_policyは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および認証を提供します。このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 256スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-256ビット暗号化も使用されます。
表示名: Wss10ユーザー名トークン(メッセージ保護SKI Basic 256付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーは、リクエストの暗号化鍵、およびレスポンスの署名と暗号化鍵の両方に、サブジェクト・キー識別子(SKI)の参照メカニズムを使用します。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
注意:
一部の国の輸入制限により、JDK 5.0ソフトウェアとともに配布されるJurisdiction Policy Filesには、使用可能な暗号化強度において制限が組み込まれています。
デフォルトでは、Basic192以上のアルゴリズムを使用するポリシーは、バンドルされたJRE/JDKでは動作しません。これらのアルゴリズムを使用するには、http://www.oracle.com/technetwork/java/javase/downloads/index-jdk5-jsp-142662.htmlからJCE Extension jar (Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 5.0)をダウンロードする必要があります。
これらのポリシー・ファイルを使用するには、$JAVA_HOME/jre/lib/security内の次のJARファイルを、対応するJCE ExtensionのJARに置き換える必要があります。
US_export_policy.jar
local_policy.jar
JARファイルを置き換える前に、既存のJARファイルをバックアップする必要があります。
構成
このポリシーを構成する手順は次のとおりです。
表18-83に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、csf-keyの値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
oracle/wss10_username_token_with_message_protection_ski_basic256_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(メッセージの整合性および機密保護)と、認証を行います。このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 256スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-256ビット暗号化も使用されます。
表示名: Wss10ユーザー名トークン(メッセージ保護SKI Basic 256付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーは、リクエストの暗号化鍵、およびレスポンスの署名と暗号化鍵の両方に、サブジェクト・キー識別子(SKI)の参照メカニズムを使用します。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
注意:
一部の国の輸入制限により、JDK 5.0ソフトウェアとともに配布されるJurisdiction Policy Filesには、使用可能な暗号化強度において制限が組み込まれています。
デフォルトでは、Basic192以上のアルゴリズムを使用するポリシーは、バンドルされたJRE/JDKでは動作しません。これらのアルゴリズムを使用するには、http://www.oracle.com/technetwork/java/javase/downloads/index-jdk5-jsp-142662.htmlからJCE Extension jar (Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 5.0)をダウンロードする必要があります。
これらのポリシー・ファイルを使用するには、$JAVA_HOME/jre/lib/security内の次のJARファイルを、対応するJCE ExtensionのJARに置き換える必要があります。
US_export_policy.jar
local_policy.jar
JARファイルを置き換える前に、既存のJARファイルをバックアップする必要があります。
構成
このポリシーを構成する手順は次のとおりです。
表18-84に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
キーストアを設定します。ski参照メカニズムを使用するときは、OpenSSLなどのユーティリティを使用して証明書を作成します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.keyおよびkeystore.enc.csf.keyをオーバーライドします。
oracle/wss10_x509_token_with_message_protection_client_policyは、アウトバウンドSOAPリクエストに対してWS-Security 1.0標準に従ったメッセージ保護(整合性と機密保護)および証明書資格証明の移入を行います。
表示名: Wss10 X509トークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-86に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
WS-Securityバイナリ・セキュリティ・トークンを介してSOAPメッセージに有効なX.509認証資格証明を提供します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
oracle/wss10_x509_token_with_message_protection_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、証明書ベースの認証を行います。
表示名: Wss10 X509トークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-87に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを構成します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.sig.csf.keyおよびkeystore.enc.csf.keyをオーバーライドします。
oracle/wss11_kerberos_token_with_message_protection_client_policyは、WS-SecurityヘッダーにKerberosトークンを組み込み、WS-Security Kerberos Token Profile v1.1標準に従い、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。
表示名: Wss11 Kerberosトークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、SOAPベースのクライアントで実行できます。
このポリシーは、MIT Kerberos KDCおよび新しいバージョンのActive Directory KDCと互換性があります。このポリシーは、2008より前のバージョンのActive Directoryとは互換性がありません。これらのActive Directoryでは、トリプルDES暗号化が使用されるためです。このような前のバージョンの場合は、「oracle/wss11_kerberos_token_with_message_protection_basic128_client_policy」を使用してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-89に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「Kerberosトークンの構成の理解」で説明されているように、Kerberosトークンを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
oracle/wss11_kerberos_token_with_message_protection_service_policyは、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。SOAPヘッダーからKerberosトークンを抽出してユーザーを認証し、Kerberosの鍵を使用してメッセージの整合性と秘密性が適用されます。コンテナには、Oracle Platform Security Servicesを介して構成されたKerberosインフラストラクチャが含まれている必要があります。
表示名: Wss11 Kerberosトークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、SOAPベースのエンドポイントで実行できます。
このポリシーは、MIT Kerberos KDCおよび新しいバージョンのActive Directory KDCと互換性があります。このポリシーは、2008より前のバージョンのActive Directoryとは互換性がありません。これらのActive Directoryでは、トリプルDES暗号化が使用されるためです。このような前のバージョンの場合は、「oracle/wss11_kerberos_token_with_message_protection_basic128_service_policy」を使用してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-89に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
krb5.loginmoduleログイン・モジュールを構成します。「Kerberosログイン・モジュールの構成」を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
「Kerberosトークンの構成の理解」で説明されているように、Kerberosを構成します。
oracle/wss11_kerberos_token_with_message_protection_basic128_client_policyは、WS-SecurityヘッダーにKerberosトークンを組み込み、WS-Security Kerberos Token Profile v1.1標準に従い、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。
表示名: Wss11 Kerberosトークン(メッセージ保護Basic 128付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、Active Directory KDCと互換性があります。このポリシーは、SOAPベースのクライアントで実行できます。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-92に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「Kerberosトークンの構成の理解」で説明されているように、Kerberosトークンを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
oracle/wss11_kerberos_token_with_message_protection_basic128_service_policyは、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。
表示名: Wss11 Kerberosトークン(メッセージ保護Basic 128付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、Active Directory KDCと互換性があります。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーは、SOAPヘッダーからKerberosトークンを抽出してユーザーを認証し、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。コンテナには、Oracle Platform Security Servicesを介して構成されたKerberosインフラストラクチャが含まれている必要があります。
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
構成
このポリシーを構成する手順は次のとおりです。
表18-93に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
krb5.loginmoduleログイン・モジュールを構成します。「Kerberosログイン・モジュールの構成」を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
「Kerberosトークンの構成の理解」で説明されているように、Kerberosを構成します。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
表示名: Wss11 SAMLトークン、Wss11ユーザー名トークン(メッセージ保護付き)、Wss SAML Token Over SSL (Bearer確認方式)、Wss Username Token Over SSL、Http Basic Auth Over SSL、またはHTTP JWT Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
oracle/wss11_saml_or_username_token_with_message_protection_service_policyは、メッセージ保護(整合性と機密保護)を実行し、クライアントがSAML、ユーザー名またはHTTPトークンを使用するかどうかに基づいて、認証ポリシーを強制します。
メッセージ保護(整合性と機密保護)を実行し、クライアントがSAML、ユーザー名またはHTTPトークンを使用するかどうかに基づいて、それぞれ次のいずれかの認証ポリシーを実行します。
WS-Security 1.1標準に従ったインバウンドSOAPリクエストのSAMLベースの認証。
WS-Security 1.1標準に従ったインバウンドSOAPリクエストのユーザー名トークン認証。
WS-Security SOAPヘッダーの、確認方法がBearerのSAMLトークンに含まれる資格証明を使用する、SAMLベースの認証。トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。
UsernameToken WS-Security SOAPヘッダーの資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーを認証する、ユーザー名トークン認証。トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。
HTTPヘッダーから抽出した資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーを認証する、HTTP認証。トランスポート・プロトコルがHTTPSであることを検証します。
HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証するHTTP認証。また、このポリシーは、トランスポート・プロトコルがHTTPSであることを検証します。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、署名の承認にはWS-Securityの非対称鍵テクノロジのBasic 128スイート、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1またはSHA-2ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション(ORグループ)
このポリシーには、次のアサーションがORグループとして含まれます。つまり、クライアントはいずれのトークンでも送信できます。
oracle/wss11_saml_token_with_message_protection_service_template。
oracle/wss11_username_token_with_message_protection_service_template。
アサーションはWSDLで通知されています。
表示名: Wss11 SAMLトークン、Wss11ユーザー名トークン(メッセージ保護付き)、Wss SAML Token Over SSL (Bearer確認方式)、Wss Username Token Over SSL、Http Basic Auth Over SSL Sha256、またはHTTP JWT Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
oracle/wss11_saml_or_username_token_with_message_protection_sha256_service_policyは、メッセージ保護(整合性と機密保護)を実行し、クライアントがSAML、ユーザー名またはHTTPトークンを使用するかどうかに基づいて、認証ポリシーを強制します。
メッセージ保護(整合性と機密保護)を実行し、クライアントがSAML、ユーザー名またはHTTPトークンを使用するかどうかに基づいて、それぞれ次のいずれかの認証ポリシーを実行します。
WS-Security 1.1標準に従ったインバウンドSOAPリクエストのSAMLベースの認証。
WS-Security 1.1標準に従ったインバウンドSOAPリクエストのユーザー名トークン認証。
WS-Security SOAPヘッダーの、確認方法がBearerのSAMLトークンに含まれる資格証明を使用する、SAMLベースの認証。トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。
UsernameToken WS-Security SOAPヘッダーの資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーを認証する、ユーザー名トークン認証。トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。
HTTPヘッダーから抽出した資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーを認証する、HTTP認証。トランスポート・プロトコルがHTTPSであることを検証します。
HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証するHTTP認証。また、このポリシーは、トランスポート・プロトコルがHTTPSであることを検証します。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、署名の承認にはWS-Securityの非対称鍵テクノロジのBasic 128スイート、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-2ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション(ORグループ)
このポリシーには、次のアサーションがORグループとして含まれます。つまり、クライアントはいずれのトークンでも送信できます。
oracle/wss11_saml_token_with_message_protection_service_template。
oracle/wss11_username_token_with_message_protection_service_template。
アサーションはWSDLで通知されています。
oracle/wss11_saml_token_identity_switch_with_message_protection_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
表示名: Wss11 SAMLトークン・アイデンティティ切替え(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-95に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
認証されたサブジェクトのかわりにクライアント固有のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。(subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティからのみ取得されます。)wss11_saml_token_identity_switch_with_message_protection_client_policyポリシーでは、このポリシーのアタッチ先のアプリケーションにWSIdentityPermission権限が必要です。つまり、OWSMが外部から提供されるアイデンティティをアプリケーションから受け入れるには、そのアプリケーションがWSIdentityPermission権限を持つ必要があります。これにより、OWSMが潜在的に悪質なアプリケーションからアイデンティティを提供されるのを回避します。
このポリシーの構成については、「アイデンティティ切替えのためのSAML Webサービス・クライアントの構成について」を参照してください。特に、「javax.xml.ws.security.auth.usernameプロパティの設定」で説明されているようにjavax.xml.ws.security.auth.usernameプロパティを設定し、WSIdentityPermissionを使用した権限の設定で説明されているようにWSIdentityPermission権限を設定する必要があります。
SAMLの詳細は、「設計時のSAML Webサービス・クライアントの構成」を参照してください。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.uriの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、user.roles.includeの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
表示名: Wss11 SAMLトークン・アイデンティティ切替え(メッセージ保護付き) SHA256クライアント・ポリシー
カテゴリ: セキュリティ
説明
oracle/wss11_saml_token_identity_switch_with_message_protection_sha256_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、署名の承認にはWS-Securityの非対称鍵テクノロジのBasic 128スイート、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-2ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。クライアントのキーストアは、リクエストごとに構成されるか、セキュリティ構成を介して構成されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。これらの資格証明は、プログラムによって提供されるか、セキュリティ構成を介して提供されます。このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えを実行します。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-95に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
認証されたサブジェクトのかわりにクライアント固有のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。(subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティからのみ取得されます。)wss11_saml_token_identity_switch_with_message_protection_client_policyポリシーでは、このポリシーのアタッチ先のアプリケーションにWSIdentityPermission権限が必要です。つまり、OWSMが外部から提供されるアイデンティティをアプリケーションから受け入れるには、そのアプリケーションがWSIdentityPermission権限を持つ必要があります。これにより、OWSMが潜在的に悪質なアプリケーションからアイデンティティを提供されるのを回避します。
このポリシーの構成については、「アイデンティティ切替えのためのSAML Webサービス・クライアントの構成について」を参照してください。特に、「javax.xml.ws.security.auth.usernameプロパティの設定」で説明されているようにjavax.xml.ws.security.auth.usernameプロパティを設定し、WSIdentityPermissionを使用した権限の設定で説明されているようにWSIdentityPermission権限を設定する必要があります。
SAMLの詳細は、「設計時のSAML Webサービス・クライアントの構成」を参照してください。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.uriの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、user.roles.includeの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
oracle/wss11_saml_token_with_message_protection_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
表示名: Wss11 SAMLトークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-95に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、user.roles.includeの値を指定します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
oracle/wss11_saml_token_with_message_protection_service_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
表示名: Wss11 SAMLトークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-96に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成について」で説明されているように、SAMLを構成します。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
表示名: Wss11 SAMLトークン(メッセージ保護付き) SHA256クライアント・ポリシー
カテゴリ: セキュリティ
説明
oracle/wss11_saml_token_with_message_protection_sha256_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、署名の承認にはWS-Securityの対称鍵テクノロジのBasic 128スイート、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-2ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
クライアントのキーストアは、リクエストごとに構成されるか、セキュリティ構成を介して構成されます。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。これらの資格証明は、プログラムによって提供されるか、セキュリティ構成を介して提供されます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-95に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、user.roles.includeの値を指定します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、SAMLを構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
表示名: Wss11 SAMLトークン(メッセージ保護付き) SHA256サービス・ポリシー
カテゴリ: セキュリティ
説明
oracle/wss11_saml_token_with_message_protection_sha256_service_policyは、WS-Security 1.1に記述されているメカニズムを使用して、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、署名の承認にはWS-Securityの対称鍵テクノロジのBasic 128スイート、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-2ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
キーストアはセキュリティ構成を通して構成されます。WS-Securityのバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、それらの資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーが検証されます。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-96に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成について」で説明されているように、SAMLを構成します。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
oracle/wss11_saml_token_with_message_protection_wssc_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
表示名: Wss11 SAMLトークン(メッセージ保護付き)(セキュア通信有効)クライアント・ポリシー
カテゴリ: セキュリティ
説明
SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-95に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
Oracle Web Services Managerを使用したセキュア通信の構成で説明されているように、セキュア通信を構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、user.roles.includeの値を指定します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、SAMLを構成します。
Oracle Web Services Managerを使用したセキュア通信の構成で説明されているように、セキュア通信を構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
oracle/wss11_saml_token_with_message_protection_wssc_service_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
表示名: Wss11 SAMLトークン(メッセージ保護付き)(セキュア通信有効)サービス・ポリシー
カテゴリ: セキュリティ
説明
SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。Oracle Web Services Managerを使用したセキュア通信の構成を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-96に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成について」で説明されているように、SAMLを構成します。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
oracle/wss11_saml_token_with_message_protection_wssc_reauthn_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
表示名: Wss11 SAMLトークン(メッセージ保護付き)(セキュア通信および再認証モード有効)クライアント・ポリシー
カテゴリ: セキュリティ
説明
SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-95に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
Oracle Web Services Managerを使用したセキュア通信の構成で説明されているように、セキュア通信を構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、user.roles.includeの値を指定します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、SAMLを構成します。
Oracle Web Services Managerを使用したセキュア通信の構成で説明されているように、セキュア通信を構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
oracle/wss11_saml_token_with_message_protection_wssc_reauthn_service_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
表示名: Wss11 SAMLトークン(メッセージ保護付き)(セキュア通信および再認証モード有効)サービス・ポリシー
カテゴリ: セキュリティ
説明
SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。Oracle Web Services Managerを使用したセキュア通信の構成を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-96に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成について」で説明されているように、SAMLを構成します。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
oracle/wss11_saml20_token_with_message_protection_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
表示名: Wss11 SAML V2.0トークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-98に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、saml.issuer.nameの値を指定します。saml.issuer.nameプロパティのデフォルトは、www.oracle.comという値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。
「ポリシー構成プロパティのオーバーライド」で説明されているように、user.roles.includeの値を指定します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、SAMLを構成します。
Oracle Web Services Managerを使用したセキュア通信の構成で説明されているように、セキュア通信を構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
oracle/wss11_saml20_token_with_message_protection_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。
表示名: Wss11 SAML V2.0トークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-99に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「SAMLの構成について」で説明されているように、SAMLを構成します。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)クライアント・ポリシー。は、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを挿入します。
表示名: Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを挿入します。メッセージは、STSで提供される証明鍵マテリアルを使用して保護されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-118に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
注意:
Oracle STSを使用しているとき、非対称証明鍵(HoK)ユースケースは、クライアントの証明書CSFキーがsts.auth.x509.csf.key構成オーバーライドを使用してポリシーに構成されている場合のみ動作します。
この値は、STSに送信されたWS-Trustリクエストを署名するため、または証明鍵としてOracle STSによって使用されます。SAMLアサーションの公開鍵も、この鍵ペアに対応します。
自動ポリシー構成の設定の主な手順で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。STS構成設定のオーバーライドの例は、「WS-Trustクライアント・ポリシーのプログラムによるポリシー構成オーバーライド」を参照してください。
自動ポリシー構成の設定の主な手順で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policyは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを認証します。メッセージは、対称鍵テクノロジのWS-SecurityのBasic 128スイートを使用して保護されます。
表示名: Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドするオプションもあります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-119に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「自動ポリシー構成の設定の主な手順」で説明されているように、Webサービス・サービスを設定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.enc.csf.keyの値を指定します。
Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)クライアント・ポリシー。は、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを挿入します。
表示名: Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを挿入します。メッセージは、STSで提供される証明鍵マテリアルを使用して保護されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-118に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
自動ポリシー構成の設定の主な手順で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。STS構成設定のオーバーライドの例は、「WS-Trustクライアント・ポリシーのプログラムによるポリシー構成オーバーライド」を参照してください。
自動ポリシー構成の設定の主な手順で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policyは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを認証します。
表示名: Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを認証します。メッセージは、対称鍵テクノロジのWS-SecurityのBasic 128スイートを使用して保護されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-119に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「自動ポリシー構成の設定の主な手順」で説明されているように、Webサービス・サービスを設定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.enc.csf.keyの値を指定します。
Wss11発行トークン(SAML送信者保証方式/メッセージ保護付き)クライアント・ポリシー。は、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML送信者保証アサーションを挿入します。
表示名: Wss11発行トークン(SAML送信者保証方式/メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML送信者保証アサーションを挿入します。メッセージは、クライアントの秘密鍵を使用して保護されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-121に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
自動ポリシー構成の設定の主な手順で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。STS構成設定のオーバーライドの例は、「WS-Trustクライアント・ポリシーのプログラムによるポリシー構成オーバーライド」を参照してください。
自動ポリシー構成の設定の主な手順で説明されているように、Webサービス・クライアントを設定します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
oracle/wss11_username_token_with_message_protection_client_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および認証を提供します。プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
表示名: Wss11ユーザー名トークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-101に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
このポリシーは対称鍵テクノロジを使用します。このテクノロジは、データの暗号化と復号化に同じ共有鍵を使用する暗号化メソッドです。対称鍵は、メッセージへの署名に使用されます。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
oracle/wss11_username_token_with_message_protection_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、認証を行います。プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。
表示名: Wss11ユーザー名トークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-102に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
表示名: Wss11ユーザー名トークン(メッセージ保護付き) SHA256クライアント・ポリシー
カテゴリ: セキュリティ
説明
oracle/wss11_username_token_with_message_protection_sha256_client_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および認証を提供します。プレーン・テキスト・メカニズムのみがサポートされています。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、署名の承認にはWS-Securityの非対称鍵テクノロジのBasic 128スイート、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-2ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
クライアント側のキーストアは、リクエストごとに構成されるか、セキュリティ構成を介して構成されます。資格証明は、アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに含まれます。資格証明は、現在のJava Authentication and Authorization Service (JAAS)サブジェクトを介してプログラムによって提供するか、構成済の資格証明ストアをポリシーで参照することによって提供します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-101に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.sig.csf.keyおよびkeystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
このポリシーは対称鍵テクノロジを使用します。このテクノロジは、データの暗号化と復号化に同じ共有鍵を使用する暗号化メソッドです。対称鍵は、メッセージへの署名に使用されます。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
表示名: Wss11ユーザー名トークン(メッセージ保護付き) SHA256サービス・ポリシー
カテゴリ: セキュリティ
説明
oracle/wss11_username_token_with_message_protection_sha256_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、認証を行います。プレーン・テキスト・メカニズムのみがサポートされています。
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、署名の承認にはWS-Securityの非対称鍵テクノロジのBasic 128スイート、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-2ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
キーストアはセキュリティ構成を通して構成されます。資格証明は、UsernameToken WS-Security SOAPヘッダーを介して提供されます。資格証明は、構成済のアイデンティティ・ストアに対して認証されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-102に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
oracle/wss11_username_token_with_message_protection_wssc_client_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および認証を提供します。プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
表示名: Wss11ユーザー名トークン(メッセージ保護付き)(セキュア通信有効)クライアント・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-101に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
Oracle Web Services Managerを使用したセキュア通信の構成で説明されているように、セキュア通信を構成します。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
このポリシーは対称鍵テクノロジを使用します。このテクノロジは、データの暗号化と復号化に同じ共有鍵を使用する暗号化メソッドです。対称鍵は、メッセージへの署名に使用されます。
Oracle Web Services Managerを使用したセキュア通信の構成で説明されているように、セキュア通信を構成します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
oracle/wss11_username_token_with_message_protection_wssc_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、認証を行います。プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。
表示名: Wss11ユーザー名トークン(メッセージ保護付き)(セキュア通信有効)サービス・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。Oracle Web Services Managerを使用したセキュア通信の構成を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-102に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
oracle/wss11_x509_token_with_message_protection_client_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および証明書ベースの認証を提供します。
表示名: Wss11 X509トークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-104に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.enc.csf.keyの値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
Webサービス・セキュリティの概念の理解の説明に従って、Webサービス・クライアントのキーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
Webサービス・クライアントは、WS-Securityバイナリ・セキュリティ・トークンを介してSOAPメッセージに有効なX.509認証資格証明を提供する必要があります。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
Wss11 X509トークン(メッセージ保護付き)サービス・ポリシーは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ・レベルの保護と、証明書ベースの認証を行います。
表示名: Wss11 X509トークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-105に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを構成します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
Wss11 X509トークン(メッセージ保護付き)(セキュア通信有効)クライアント・ポリシーは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および証明書ベースの認証を提供します。
表示名: Wss11 X509トークン(メッセージ保護付き)(セキュア通信有効)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-104に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
Oracle Web Services Managerを使用したセキュア通信の構成で説明されているように、セキュア通信を構成します。
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、keystore.recipient.aliasの値を指定できます。keystore.recipient.aliasは、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
Oracle Web Services Managerを使用したセキュア通信の構成で説明されているように、セキュア通信を構成します。
Webサービス・クライアントは、WS-Securityバイナリ・セキュリティ・トークンを介してSOAPメッセージに有効なX.509認証資格証明を提供する必要があります。
Webサービス・セキュリティの概念の理解の説明に従って、Webサービス・クライアントのキーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
Webサービス・クライアントは、WS-Securityバイナリ・セキュリティ・トークンを介してSOAPメッセージに有効なX.509認証資格証明を提供する必要があります。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
Wss11 X509トークン(メッセージ保護付き)(セキュア通信有効)サービス・ポリシーは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ・レベルの保護と、証明書ベースの認証を行います。
表示名: Wss11 X509トークン(メッセージ保護付き)(セキュア通信有効)サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。Oracle Web Services Managerを使用したセキュア通信の構成を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-105に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを構成します。
OPSSを設定する手順は次のとおりです。
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名としてkeystore.enc.csf.keyを使用します。
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.keyをオーバーライドします。
oracle/wss_saml_bearer_or_username_token_sha256_service_policyは、クライアントがSAML Bearerまたはユーザー名トークンのいずれを使用するかに基づいて、認証ポリシーを強制します。
表示名: WSSecurity SAMLトークンBearer/WSSecurityユーザー名トークンSha256サービス・ポリシー
カテゴリ: セキュリティ
説明
クライアントがSAMLトークンとユーザー名トークンのどちらを使用するかに基づいて、それぞれ次の認証ポリシーのいずれかを実行します。
Bearer確認タイプを使用するWS-Security SOAPヘッダー内のSAMLトークン。
構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。
デフォルトでは、SAML BearerトークンはRSA-SHA256署名メソッドを使用したエンベロープ化された署名で署名されることが予期されています。このポリシーは、どのようなSOAPベースのエンドポイントにも適用できます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション(ORグループ)
このポリシーには、次のアサーションがORグループとして含まれます。つまり、クライアントはどちらのタイプのポリシーでも実行できます。
アサーションはWSDLで通知されています。
oracle/wss_saml_token_bearer_identity_switch_client_policyは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えを実行します。このポリシーには、アウトバウンドSOAPリクエスト・メッセージのSAMLトークンが含まれます。
表示名: Wss SAML Token Bearerアイデンティティ切替えクライアント・ポリシー
カテゴリ: セキュリティ
説明
確認方法がBearerのSAMLトークンが自動的に作成されます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
アサーション
このポリシーには次のアサーションが含まれています。
oracle/wss_saml_token_bearer_client_template
このアサーションの詳細は、「oracle/wss_saml_token_bearer_client_template」を参照してください。
構成
このポリシーには、アウトバウンドSOAPリクエスト・メッセージのSAMLトークンが含まれます。確認方法がBearerのSAMLトークンが自動的に作成されます。また、このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることも検証します。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
このポリシーには、oracle/wss_saml_token_bearer_over_ssl_client_templateポリシー・アサーションが含まれています。このアサーションの詳細は、「oracle/wss_saml_token_bearer_client_template」を参照してください。
設定
表18-54を参照してください。
構成プロパティ
表18-55を参照してください。
oracle/wss_saml_token_bearer_identity_switch_sha256_client_policyは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えを実行します。このポリシーには、アウトバウンドSOAPリクエスト・メッセージのSAMLトークンが含まれます。
表示名: Wss SAML Token Bearerアイデンティティ切替えSha256クライアント・ポリシー
カテゴリ: セキュリティ
説明
確認方法BearerのSAMLトークンは、RSA-SHA256署名メソッドを使用したエンベロープ化された署名でデフォルトで署名されます。また、このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることも検証します。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
アサーション
このポリシーには次のアサーションが含まれています。
oracle/wss_saml_token_bearer_client_template
このアサーションの詳細は、「oracle/wss_saml_token_bearer_client_template」を参照してください。
構成
このポリシーには、アウトバウンドSOAPリクエスト・メッセージのSAMLトークンが含まれます。確認方法がBearerのSAMLトークンが自動的に作成されます。また、このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることも検証します。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
このポリシーには、oracle/wss_saml_token_bearer_over_ssl_client_templateポリシー・アサーションが含まれています。このアサーションの詳細は、「oracle/wss_saml_token_bearer_client_template」を参照してください。
設定
表18-54を参照してください。
構成プロパティ
表18-55を参照してください。
oracle/wss_saml_token_bearer_over_ssl_sha256_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。確認方法がBearerのSAMLトークンが自動的に作成されます。
表示名: Wss SAML Token Over SSL (Bearer確認方式) SHA256クライアント・ポリシー
カテゴリ: セキュリティ
説明
SAMLトークンはRSA-SHA256署名メソッドを使用して署名されます。発行者名とサブジェクト名は、プログラムによって、または現在のJava Authentication and Authorization Service (JAAS)サブジェクトを介して提供されます。また、このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることも検証します。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-59に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、クライアント側でSAMLを構成します。
oracle/wss_saml_token_bearer_over_ssl_sha256_service_policyは、WS-Security SOAPヘッダー内の確認方法がBearerのSAMLトークンに含まれる資格証明を使用してユーザーを認証します。RSA-SHA256署名メソッドを使用して署名されたSAMLトークンを受け入れます。
表示名: Wss SAML Token Over SSL (Bearer確認方式) SHA256サービス・ポリシー
カテゴリ: セキュリティ
説明
SAMLトークンに含まれる資格証明は、SAMLログイン・モジュールに対して認証されます。このポリシーは、トランスポート・プロトコルでSSLメッセージの保護が提供されていることを検証します。このポリシーは、SOAPベースのエンドポイントで実行できます。
SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-60に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
saml.loginmoduleログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
oracle/wss_saml_token_bearer_service_policyは、WS-Security SOAPヘッダー内のSAML Bearerトークンに含まれる資格証明を使用してユーザーを認証します。デフォルトでは、SAML Bearerトークンはエンベロープ化された署名で署名されることが予期されています。
表示名: WSSecurity SAML Token Bearerサービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、どのようなSOAPベースのエンドポイントにも適用できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
oracle/wss_saml_token_bearer_sha256_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAML Bearerトークンを含めます。
表示名: Wss SAMLトークン(Bearer確認方式) Sha256クライアント・ポリシー
カテゴリ: セキュリティ
説明
確認方法BearerのSAMLトークンは、RSA-SHA256署名メソッドを使用したエンベロープ化された署名でデフォルトで署名されます。
発行者名とサブジェクト名は、プログラムによって、または現在のJava Authentication and Authorization Service (JAAS)サブジェクトを介して提供されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-59に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、クライアント側でSAMLを構成します。
oracle/wss_saml_token_bearer_sha256_service_policyは、WS-Security SOAPヘッダー内のSAML Bearerトークンに含まれる資格証明を使用してユーザーを認証します。SAML BearerトークンはRSA-SHA256署名メソッドを使用したエンベロープ化された署名で署名されることが予期されています。
表示名: WSSecurity SAML Token Bearer Sha256サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、どのようなSOAPベースのエンドポイントにも適用できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
oracle/binding_oes_authorization_policyは、Oracle Entitlements Server (OES)で定義されたポリシーに基づき、認可を設定します。認可は、属性、現在の認証されたサブジェクト、およびクライアントが起動したWebサービスのアクションに基づいています。このポリシーは、Webサービスの任意の操作におけるファイングレイン認可に使用されます。
表示名: Oracle Entitlements Serverを使用したファイングレイン認可
カテゴリ: セキュリティ
説明
このポリシーは、サブジェクトが確立される認証ポリシーに従う必要があります。このポリシーは任意のSOAPエンドポイントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
oracle/binding_oes_masking_policyは、OESで定義されているポリシーに基づいてレスポンスのマスキングを実行します。マスキングは、属性、現在の認証されたサブジェクト、およびクライアントが起動したWebサービスのアクションに基づいています。このテンプレートは、Webサービスの任意の操作におけるファイングレイン・マスキングに使用されます。
表示名: Oracle Entitlements Serverを使用したレスポンスのマスキング
カテゴリ: セキュリティ
説明
このポリシーは、サブジェクトが確立される認証ポリシーに従う必要があります。このポリシーは任意のSOAPエンドポイントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
oracle/component_oes_authorization_policyは、Oracle Entitlements Server (OES)で定義されたポリシーに基づき、ユーザー認可を実行します。
表示名: Oracle Entitlements Serverを使用したSCAコンポーネントのファイングレイン認可
カテゴリ: セキュリティ
説明
このポリシーは、Oracle Entitlements Server (OES)で定義されたポリシーに基づき、ユーザーの認可を実行します。
JMS転送クライアント・ポリシーは、Webサービス・クライアントに対するSOAP over JMSトランスポートのサポートを有効にして、構成します。
表示名: JMS転送クライアント・ポリシー
カテゴリ: SOAP over JMSトランスポート
説明
Webサービス・クライアントに対するSOAP over JMSトランスポートのサポートを有効にして、構成します。
注意:
このポリシーを複製することはできません。また、このテンプレートに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
構成
表17-48は、SOAP over JMSクライアントの、オーバーライド可能な構成プロパティを示しています。
表17-48 oracle/jms_transport_client_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
宛先キューまたはトピックのJNDI名。 |
|
必須 |
|
宛先タイプ。有効な値は、 |
|
必須 |
|
JMSヘッダー・プロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: |
なし |
オプション |
|
JMSメッセージ・プロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: |
なし |
オプション |
|
JMS接続を確立するために使用されるコネクション・ファクトリのJNDI名。 |
|
必須 |
|
JNDIプロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: JNDIプロバイダの |
なし |
オプション |
|
JNDIルックアップに使用される初期コンテキスト・ファクトリ・クラスの名前。この値は、 |
|
必須 |
|
JNDIプロバイダのURL。この値は、 |
|
必須 |
|
リクエスト・メッセージとともに使用するメッセージ・タイプ。有効な値は、 詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のJMSメッセージ・タイプの構成に関する項を参照してください。 |
|
必須 |
|
リクエストとレスポンスのメッセージに関連付けられるJMS優先度。この値は、0(優先度最低)から9(優先度最高)までの正の整数として指定します。デフォルト値は |
|
必須 |
|
レスポンス・メッセージが送信されるJMS宛先のJNDI名。 双方向動作の場合、デフォルトで一時レスポンス・キューが生成されます。デフォルトの一時レスポンス・キューを使用することで、必要となる構成が最小限に抑えられます。ただし、サーバーの障害時には、レスポンス・メッセージが失われる可能性があります。 このプロパティにより、クライアントは、応答の受取りにデフォルトの一時キューまたはトピックを使用するのではなく、事前に定義された永続キューまたはトピックを使用できます。JMSレスポンス・キューの構成の詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のレスポンス・キューの構成に関する項を参照してください。 この値は、リクエスト・メッセージの |
なし |
オプション |
|
Webサービスのポート・コンポーネント名。この値は、サービス・リクエストをディスパッチするためにサービス実装によって使用されます。指定しない場合は、WSDLまたは この値は、 |
なし |
オプション |
|
リクエスト・メッセージの存続期間(ミリ秒)。値が0の場合は、存続期間に制限がないことを示します。 サービス側では、 |
|
必須 |
|
reference.priorityを参照してください。 |
なし |
オプション |
JMS転送サービス・ポリシーは、WebサービスのSOAP over JMSトランスポートの構成プロパティをオーバーライドします。
表示名: JMS転送サービス・ポリシー
カテゴリ: SOAP over JMSトランスポート
説明
注意:
このポリシーを複製することはできません。また、このテンプレートに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
構成
表17-49は、WebサービスのSOAP over JMSトランスポートの、オーバーライド可能な構成プロパティを示しています。
表17-49 oracle/jms_transport_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
SOAP JMSバインディングのバージョン。このリリースでは、この値を この値は、 |
|
必須 |
|
リクエスト・メッセージが永続的であるかどうかを示す配信モード。有効な値は、 |
|
必須 |
|
HTTPを介してWSDLを公開するかどうかを指定するブール・フラグです。 |
|
オプション |
|
リスニングMDBの実行に使用されるプリンシパル。 |
なし |
オプション |
|
リスニングMDBの実行に使用されるロール。 |
なし |
オプション |
|
リクエストされた宛先ごとに1つのリスニング・メッセージドリブンBean (MDB)を作成するかどうかを指定するブール・フラグ。
|
|
オプション |
|
JMSプロバイダに渡されるアクティブ化構成プロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: このプロパティでサポートされるアクティブ化構成プロパティのリストは、『Oracle WebLogic Server JAX-WS Webサービスの開発』のJMSトランスポート構成プロパティのサマリーに関する項を参照してください。 |
なし |
オプション |
|
宛先キューまたはトピックのJNDI名。 |
|
必須 |
|
宛先タイプ。有効な値は、 |
|
必須 |
|
JMSヘッダー・プロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: |
なし |
オプション |
|
JMSメッセージ・プロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: |
なし |
オプション |
|
JMS接続を確立するために使用されるコネクション・ファクトリのJNDI名。 |
|
必須 |
|
JNDIプロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: JNDIプロバイダの |
なし |
オプション |
|
JNDIルックアップに使用される初期コンテキスト・ファクトリ・クラスの名前。この値は、 |
|
必須 |
|
JNDIプロバイダのURL。この値は、 |
|
必須 |
oracle/no_jms_transport_client_policyは、動作無効ポリシーであり、エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAP over JMSトランスポート・クライアント・ポリシーを上位スコープで効率よく無効化します。
表示名: JMS転送クライアントなしポリシー
カテゴリ: SOAP over JMSトランスポート
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-50は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-50 oracle/no_jms_transport_client_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
oracle/no_jms_transport_service_policyは、動作無効ポリシーであり、エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAP over JMSトランスポート・サービス・ポリシーを上位スコープで効率よく無効化します。
表示名: JMS転送クライアントなしポリシー
カテゴリ: SOAP over JMSトランスポート
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
この動作無効ポリシーを複製することはできません。
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-51は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-51 oracle/no_jms_transport_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
reference.priorityを参照してください。 |
なし |
オプション |
特定のリソースにアクセスするためにSalesforce OAuth2サーバーからアクセス・トークンを取得する必要があるクライアント・アプリケーションにoracle/http_oauth2_token_over_ssl_salesforce_jwt_client_policyをアタッチできます。
表示名: Http OAuth2 Token Over SSL Salesforce JWTクライアント・ポリシー
カテゴリ: セキュリティ
説明
oracle/http_oauth2_token_over_ssl_salesforce_jwt_client_policyは、特定のリソースにアクセスするためにSalesforce OAuth2サーバーからアクセス・トークンを取得する必要があるクライアント・アプリケーションにアタッチできます。Salesforce OAuth2サーバーがアクセス・トークンを発行するために受け入れることができるJWTトークンを生成するためにOWSMで必要となる特定のプロパティでカスタマイズされています。
ポリシーは、アウトバウンド・トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、HTTPベースのクライアントにアタッチできます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_over_ssl_client_template
このアサーションの詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
構成
oracle/http_oauth2_token_over_ssl_salesforce_jwt_client_policyは、ATが一方向SSLでリソースに伝播される以外は、http_oauth2_token_client_policyと同じです。このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。ATはSalesforce OAuth2サーバーから取得します。
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
csf-key
oauth2.client.csf.key
audience.uri
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
オーバーライド可能な構成設定については、ポリシー構成プロパティのオーバーライドを参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。oracle/oauth2_config_client_policyポリシーの必須プロパティtoken.uriは、OAuth2サーバーを指定します。
設定
表18-30を参照してください。
構成プロパティ
表18-27を参照してください。
oracle/multi_token_rest_access_service_policyでは、リクエストにセキュリティ・トークンがない場合に匿名サブジェクトを使用してエンドポイントにアクセスできます。また、セキュリティ・トークンがリクエストに存在しない場合にサービスから403レスポンスをマスクします。
表示名: 複数トークンRESTfulアクセス・サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、クライアントが送信するトークンに基づいて、次の認証ポリシーのいずれかを実行します。
HTTP Basic: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
HTTPヘッダーのSAML v2.0 Bearerトークン: HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
JWTトークン・セキュリティ: HTTPヘッダー内のJWTトークンからユーザー名を抽出します。
HTTP OAMセキュリティ(デフォルトで無効): OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。(サーバー側でのみSSL以外のOAM保護を提供します。)
リクエストにセキュリティ・トークンがない場合、このポリシーはサービスへのリクエストをバイパスし、サービス自体で後で検証できるコンテキストの匿名サブジェクトを確立します。
リクエストに関連付けられたセキュリティ・トークンがない場合、ポリシーはコンテキストの有効な非匿名サブジェクトを確立します。
サービスが403レスポンスを送信し、匿名サブジェクトが確立された場合、OWSMは401未認可へのレスポンス・コードをマスクし、レスポンスにWWW認証チャレンジ・ヘッダーを追加します。
コンテキストで確立された非匿名サブジェクトがあり、サービスが引き続き403禁止レスポンスを返す場合、OWSMが403禁止レスポンスを渡します。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
動作無効アサーション: 動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。「OWSMリポジトリの再構築」を参照してください。
oracle/http_saml20_token_bearer_service_templateポリシー・アサーションが通知されます。
wss_http_token_service_templateアサーションはWSDLで通知されていません。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
表17-52は、このポリシーを構成するために使用できる構成プロパティを示しています。
表17-52 oracle/multi_token_rest_access_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
「anonymous.access」を参照してください。 |
True |
オプション |
oracle/multi_token_rest_access_over_ssl_service_policyでは、リクエストにセキュリティ・トークンがない場合に匿名サブジェクトを使用してSSL経由でエンドポイントにアクセスできます。また、セキュリティ・トークンがリクエストに存在しない場合にサービスから403レスポンスをマスクします。
表示名: Multi Token RESTful Access Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、クライアントが送信するトークンに基づいて、次の認証ポリシーのいずれかを実行します。
HTTP Basic: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
HTTPヘッダーのSAML v2.0 Bearerトークン: HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
JWTトークン・セキュリティ: HTTPヘッダー内のJWTトークンからユーザー名を抽出します。
HTTP OAMセキュリティ(デフォルトで無効): OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。(サーバー側でのみSSL以外のOAM保護を提供します。)
リクエストにセキュリティ・トークンがない場合、このポリシーはサービスへのリクエストをバイパスし、サービス自体で後で検証できるコンテキストの匿名サブジェクトを確立します。
リクエストに関連付けられたセキュリティ・トークンがない場合、ポリシーはコンテキストの有効な非匿名サブジェクトを確立します。
サービスが403レスポンスを送信し、匿名サブジェクトが確立された場合、OWSMは401未認可へのレスポンス・コードをマスクし、レスポンスにWWW認証チャレンジ・ヘッダーを追加します。
コンテキストで確立された非匿名サブジェクトがあり、サービスが引き続き403禁止レスポンスを返す場合、OWSMが403禁止レスポンスを渡します。
このポリシーは、SSL経由でサービス起動を実行します。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
動作無効アサーション: 動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。「OWSMリポジトリの再構築」を参照してください。
oracle/http_saml20_token_bearer_service_templateポリシー・アサーションが通知されます。
wss_http_token_service_templateアサーションはWSDLで通知されていません。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
表17-53は、このポリシーを構成するために使用できる構成プロパティを示しています。
表17-53 oracle/multi_token_rest_access_over_ssl_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
「anonymous.access」を参照してください。 |
True |
オプション |
oracle/http_anonymous_rest_service_policyでは、コンテキストで匿名サブジェクトを使用してエンドポイントにアクセスできます。
表示名: Http Anonymous RESTfulサービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、no_authentication_service_policyが提供する機能の拡張です。
リクエストにセキュリティ・トークンがある場合またはセキュリティ・トークンがない場合、いずれの場合もこのポリシーはサービスへのリクエストをバイパスし、コンテキストの匿名サブジェクトを確立します。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
動作無効アサーション: 動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。「OWSMリポジトリの再構築」を参照してください。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
表17-54は、このポリシーを構成するために使用できる構成プロパティを示しています。
表17-54 oracle/http_anonymous_rest_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
「anonymous.access」を参照してください。 |
True |
オプション |
oracle/http_anonymous_rest_over_ssl_service_policyでは、コンテキストで匿名サブジェクトを使用してSSL経由でエンドポイントにアクセスできます。
表示名: HTTP Anonymous RESTful Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、no_authentication_service_policyが提供する機能の拡張です。
リクエストにセキュリティ・トークンがある場合またはセキュリティ・トークンがない場合、いずれの場合もこのポリシーはサービスへのリクエストをバイパスし、コンテキストの匿名サブジェクトを確立します。
このポリシーは、SSL経由でサービス起動を実行します。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
動作無効アサーション: 動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。「OWSMリポジトリの再構築」を参照してください。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
表17-55は、このポリシーを構成するために使用できる構成プロパティを示しています。
表17-55 oracle/http_anonymous_rest_over_ssl_service_policyの構成プロパティ
| 名前 | 説明 | デフォルト | 必須? |
|---|---|---|---|
|
「anonymous.access」を参照してください。 |
True |
オプション |
oracle/http_oauth2_token_over_ssl_google_jwt_client_policyは、Google APIにアクセスする必要があるクライアントが使用できます。
表示名: HTTP oauth2 token over ssl google jwtクライアント・ポリシー
カテゴリ: セキュリティ
説明
oracle/http_oauth2_token_over_ssl_google_jwt_client_policyは、Google APIにアクセスする必要があるクライアント・アプリケーションにアタッチできます。このポリシーにより、クライアントはGoogle OAUTH2サーバーからOAuth2アクセス・トークンを取得できます。このトークンは、対応するGoogle APIにアクセスするために発行されたクライアント・リクエストのHTTPヘッダーに設定されます。Google OAUTH2サーバーが受け入れることができるJWTトークンを生成するためにOWSMで必要となる特定のプロパティでカスタマイズされています。
ポリシーは、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、HTTPベースのクライアントにアタッチできます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_over_ssl_client_template
「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
構成
oracle/http_oauth2_token_over_ssl_google_jwt_client_policyは、Google APIにアクセスする必要があるクライアント・アプリケーションにアタッチできます。
使用する各プロパティのリストは次のとおりです。
oracle/oauth2_config_client_policy
token.uri = https://accounts.google.com/o/oauth2/token
oracle/http_oauth2_token_over_ssl_google_jwt_client_policy.
subject.precedence = false (デフォルト)
oauth2.client.csf.key = google-service-credential (「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」を参照)
include.client.credentials = false (デフォルト)
issuer.name = ${client.id} (実行時に決定)
audience.uri = https://accounts.google.com/o/oauth2/token
keystore.sig.csf.key = privatekey (「OWSMキーストアの構成」を参照)
custom.jwt.claims = scope=api1 api2 apiN (参照
OWSMは、JWTトークンを使用してGoogle OAuth2サーバーにリクエストを送信します。リクエストは次のようになります。
Post /o/oauth2/token
ホスト: host: https://accounts.google.com
Content-Type: application/x-www-form-urlencoded
grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Ajwt-bearer&assertion=<JWT Token>
注意:
"audience.uri"および"issuer.name"には、ポリシーに示されているデフォルト値が含まれます。
注意:
custom.jwt.claimsの値に変更がある場合、OWSMは新しいアクセス・トークンをリクエストする送信リクエストの新しいJWTトークンを生成します。つまり、この値に変更がある場合、キャッシュされたJWTトークンを使用できません。OWSMでは、認証用にWSMエージェントで生成されるJWTを使用してGoogle OAuth2サーバーにリクエストを送信します。JWTトークンがGoogleサーバーで正常に認証されると、アクセス・トークンがレスポンスで送信されます。トークンのデフォルト有効期間は1時間です。
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
オーバーライド可能な構成設定については、ポリシー構成プロパティのオーバーライドを参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。oracle/oauth2_config_client_policyポリシーの必須プロパティtoken.uriは、OAuth2サーバーを指定します。
設定
表18-30を参照してください。
構成プロパティ
表18-27を参照してください。
oracle/wss_saml20_token_bearer_over_ssl_notimestamp_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
表示名: Wss SAML V2.0 Token Over SSL (Bearer確認方式)クライアント・ポリシー(タイムスタンプなし)
カテゴリ: セキュリティ
説明
確認方法がBearerのSAMLトークンが自動的に作成されます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。タイムスタンプはメッセージに追加されません。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-62に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「構成」ページでpropagate.identity.contextの値を指定するか、ポリシーをアタッチするときに「セキュリティ構成の詳細」コントロールを使用して、クライアントごとにこの値をオーバーライドします。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、クライアント側でSAMLを構成します。
oracle/wss_saml20_token_bearer_over_ssl_notimestamp_service_policyは、WS-Security SOAPヘッダー内の確認方式がBearerとなっているSAMLトークンに指定されている資格証明を使用してユーザーを認証し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
表示名: Wss SAML V2.0 Token Over SSL (Bearer確認方式)サービス・ポリシー(タイムスタンプなし)
カテゴリ: セキュリティ
説明
SAMLトークンに含まれる資格証明は、SAMLログイン・モジュールに対して認証されます。このポリシーは、SOAPベースのエンドポイントで実行できます。
SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。受信メッセージにタイムスタンプが含まれていない必要があります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
表18-63に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
「ポリシー構成プロパティのオーバーライド」で説明されているように、propagate.identity.contextの値を指定します。propagate.identity.contextプロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、saml2.loginmoduleログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
oracle/http_oauth2_token_idcs_client_policyは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、IDCS OAuthサーバーから取得します。また、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、SSLを通じてサービスを呼び出す任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
表示名: HTTP Oauth2トークンIDCSクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えも実行します。
subject.precedenceプロパティは、デフォルトでtrueに設定されています。oracle.oauth2.serviceプロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびクライアントJWTトークンの発行者としてクライアントIDが使用されます。
set.client.IDは、デフォルトではfalseに設定されています。Trueに設定した場合、OWSMはクライアントIDをOAuth2プロバイダにアクセス・トークン・リクエストで問合せパラメータとして送信します。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_client_template
このアサーションの詳細は、「oracle/http_oauth2_token_client_template」を参照してください。
構成
このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、OracleクラウドのOAuthサーバーから取得します。
oracle.oauth2.serviceプロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびJWTトークンの発行者としてクライアントIDが使用されます。scopeが空(デフォルト)の場合、Oracle WSMがサービスURLを自動的に取得し、address:port部分をスコープとして使用します。
また、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、SSLを通じてサービスを呼び出す任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えも実行します。
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
OAuth2トークン・リクエストの場合:
scope
authz.code (このリリースでは使用されません。)
redirect.uri (このリリースでは使用されません。)
ローカルにトークンを作成する場合:
subject.precedence
csf.map
csf-key
oauth2.client.csf.key
federated.client.token
user.attributes
issuer.name
oracle.oauth2.service
user.roles.include
keystore.sig.csf.key
propagate.identity.context
user.tenant.name
include.certificate
一般:
audience.uri
reference.priority
time.in.millis
set.client.id
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。必要なoracle/oauth2_config_client_policyポリシーのtoken.uriプロパティは、OAuth2サーバーを指定します。oauth2.client.csf.keyプロパティもあります。
次の任意のOracle WSM JWTサービス・ポリシーもWebサービスに割り当てます。Oracle WSMのサーバー側エージェントがATを検証します。
oracle/http_jwt_token_over_ssl_service_policy
oracle/multi_token_over_ssl_rest_service_policy (REST)
oracle/wss11_saml_or_username_token_with_message_protection_service_policy (SOAP)
認証されたサブジェクトのかわりにクライアント固有のユーザー名を使用できるようにするには、subject.precedenceをtrueに設定します。ユーザー名は、csf-keyのユーザー名プロパティからのみ取得されます。
subject.precedenceがfalseに設定され、csf-keyとユーザー名が構成されている場合、Webサービス・クライアント・アプリケーションにはoracle.wsm.security.WSIdentityPermission権限が必要です。つまり、Oracle WSMが外部から提供されるアイデンティティをアプリケーションから受け入れるには、そのアプリケーションがWSIdentityPermission権限を持つ必要があります。これにより、Oracle WSMが潜在的に悪質なアプリケーションからアイデンティティを提供されるのを回避します。WSIdentityPermissionを使用した権限の設定のWSIdentityPermission権限の付与の説明を参照してください。
デフォルトでは、oracle/http_oauth2_token_idcs_client_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-oauth2-security xmlns:ns0="http://schemas.oracle.com/ws/2006/01/policy" ns0:Silent="true" ns0:name="Http OAuth2 Security" ns0:Enforced="true" ns0:category="security/authentication">
<orasp:auth-header orasp:mechanism="oauth2"/>
<orawsp:bindings>
<orawsp:Config orawsp:name="HttpOAuth2Config" orawsp:configType="declarative">
<orawsp:PropertySet orawsp:name="standard-security-properties">
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="subject.precedence">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="oauth2.client.csf.key">
<orawsp:Value/>
<orawsp:DefaultValue>NONEorawsp:DefaultValue>NONE>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="federated.client.token">
<orawsp:Value/>
<orawsp:DefaultValue>trueorawsp:DefaultValue>true>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="set.client.id">
<orawsp:Value/>
<orawsp:DefaultValue>falseorawsp:DefaultValue>false>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="scope">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="authz.code">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="redirect.uri">
<orawsp:Value/>
</orawsp:Property>
<!-- Begin : properties needed for local token creation for end user-->
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.attributes">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="issuer.name">
<orawsp:Value/>
<orawsp:DefaultValue>www.oracle.comorawsp:DefaultValue>www.oracle.com>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="oracle.oauth2.service">
<orawsp:Value/>
<orawsp:DefaultValue>falseorawsp:DefaultValue>false>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="user.roles.include">
<orawsp:Value/>
<orawsp:DefaultValue>falseorawsp:DefaultValue>false>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:name="propagate.identity.context" orawsp:
type="string" orawsp:contentType="optional">
<orawsp:Value>orawsp:Value>>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.tenant.name">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="audience.uri">
<orawsp:Value/>
<orawsp:DefaultValue>NONEorawsp:DefaultValue>NONE>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="include.certificate">
<orawsp:Value/>
<orawsp:DefaultValue>falseorawsp:DefaultValue>false>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis">
<orawsp:Value/>
<orawsp:DefaultValue>trueorawsp:DefaultValue>true>
</orawsp:Property>
<!--End properties for local token creation for end user -->
</orawsp:PropertySet>
</orawsp:Config>
</orawsp:bindings>
</orasp:http-oauth2-security>
設定
表18-30を参照してください。
構成プロパティ
表18-27を参照してください。
oracle/http_oauth2_token_over_ssl_idcs_client_policyは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、IDCS OAuthサーバーから取得します。また、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、SSLを通じてサービスを呼び出す任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
表示名: HTTP Oauth2 Token Over SSL IDCSクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えも実行します。
subject.precedenceプロパティは、デフォルトでtrueに設定されています。oracle.oauth2.serviceプロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびクライアントJWTトークンの発行者としてクライアントIDが使用されます。
set.client.IDは、デフォルトではfalseに設定されています。Trueに設定した場合、OWSMはクライアントIDをOAuth2プロバイダにアクセス・トークン・リクエストで問合せパラメータとして送信します。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_over_ssl_client_template
このアサーションの詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
構成
このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、OracleクラウドのOAuthサーバーから取得します。
oracle.oauth2.serviceプロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびJWTトークンの発行者としてクライアントIDが使用されます。scopeが空(デフォルト)の場合、Oracle WSMがサービスURLを自動的に取得し、address:port部分をスコープとして使用します。
また、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、SSLを通じてサービスを呼び出す任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えも実行します。
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
OAuth2トークン・リクエストの場合:
scope
authz.code (このリリースでは使用されません。)
redirect.uri (このリリースでは使用されません。)
ローカルにトークンを作成する場合:
subject.precedence
csf.map
csf-key
oauth2.client.csf.key
federated.client.token
user.attributes
issuer.name
oracle.oauth2.service
user.roles.include
keystore.sig.csf.key
propagate.identity.context
user.tenant.name
include.certificate
一般:
audience.uri
reference.priority
time.in.millis
set.client.id
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。必要なoracle/oauth2_config_client_policyのtoken.uriプロパティは、OAuth2サーバーを指定します。oauth2.client.csf.keyプロパティもあります。
次の任意のOracle WSM JWTサービス・ポリシーもWebサービスに割り当てます。Oracle WSMのサーバー側エージェントがATを検証します。
oracle/http_jwt_token_over_ssl_service_policy
oracle/multi_token_over_ssl_rest_service_policy (REST)
oracle/wss11_saml_or_username_token_with_message_protection_service_policy (SOAP)
認証されたサブジェクトのかわりにクライアント固有のユーザー名を使用できるようにするには、subject.precedenceをtrueに設定します。ユーザー名は、csf-keyのユーザー名プロパティからのみ取得されます。
subject.precedenceがfalseに設定され、csf-keyとユーザー名が構成されている場合、Webサービス・クライアント・アプリケーションにはoracle.wsm.security.WSIdentityPermission権限が必要です。つまり、Oracle WSMが外部から提供されるアイデンティティをアプリケーションから受け入れるには、そのアプリケーションがWSIdentityPermission権限を持つ必要があります。これにより、Oracle WSMが潜在的に悪質なアプリケーションからアイデンティティを提供されるのを回避します。WSIdentityPermissionを使用した権限の設定のWSIdentityPermission権限の付与の説明を参照してください。
デフォルトでは、oracle/http_oauth2_token_over_ssl_idcs_client_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-oauth2-security xmlns:ns0="http://schemas.oracle.com/ws/2006/01/policy" ns0:Silent="true" ns0:name="Http OAuth2 Security" ns0:Enforced="true" ns0:category="security/authentication,security/msg-protection">
<orasp:auth-header orasp:mechanism="oauth2"/>
<>
<orawsp:bindings>
<orawsp:Config orawsp:name="HttpOAuth2Config" orawsp:configType="declarative">
<orawsp:PropertySet orawsp:name="standard-security-properties">
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="subject.precedence">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="oauth2.client.csf.key">
<orawsp:Value/>
<orawsp:DefaultValue>NONEorawsp:DefaultValue>NONE>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="federated.client.token">
<orawsp:Value/>
<orawsp:DefaultValue>trueorawsp:DefaultValue>true>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="set.client.id">
<orawsp:Value/>
<orawsp:DefaultValue>falseorawsp:DefaultValue>false>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="scope">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="authz.code">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="redirect.uri">
<orawsp:Value/>
</orawsp:Property>
<!-- Begin : properties needed for local token creation for end user-->
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.attributes">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="issuer.name">
<orawsp:Value/>
<orawsp:DefaultValue>www.oracle.comorawsp:DefaultValue>www.oracle.com>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="oracle.oauth2.service">
<orawsp:Value/>
<orawsp:DefaultValue>false</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="user.roles.include">
<orawsp:Value/>
<orawsp:DefaultValue>falseorawsp:DefaultValue>false>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:name="propagate.identity.context" orawsp:type="string" orawsp:contentType="optional">
<orawsp:Value>orawsp:Value>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.tenant.name">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="audience.uri">
<orawsp:Value/>
<orawsp:DefaultValue>NONE</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="include.certificate">
<orawsp:Value/>
<orawsp:DefaultValue>false</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
<!--End properties for local token creation for end user -->
</orawsp:PropertySet>
</orawsp:Config>
</orawsp:bindings>
</orasp:http-oauth2-security>
設定
表18-30を参照してください。
構成プロパティ
表18-27を参照してください。
oracle/http_oauth2_token_identity_switch_over_ssl_idcs_client_policyは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、IDCS OAuthサーバーから取得します。また、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、SSLを通じてサービスを呼び出す任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
表示名: HTTP Oauth2 Token Identity Switch Over SSL IDCSクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えも実行します。
subject.precedenceプロパティは、デフォルトでfalseに設定されています。oracle.oauth2.serviceプロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびクライアントJWTトークンの発行者としてクライアントIDが使用されます。
set.client.IDは、デフォルトではfalseに設定されています。Trueに設定した場合、OWSMはクライアントIDをOAuth2プロバイダにアクセス・トークン・リクエストで問合せパラメータとして送信します。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_over_ssl_client_template
このアサーションの詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
構成
このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、OracleクラウドのOAuthサーバーから取得します。
oracle.oauth2.serviceプロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびJWTトークンの発行者としてクライアントIDが使用されます。scopeが空(デフォルト)の場合、Oracle WSMがサービスURLを自動的に取得し、address:port部分をスコープとして使用します。
また、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、SSLを通じてサービスを呼び出す任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えも実行します。
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
OAuth2トークン・リクエストの場合:
scope
authz.code (このリリースでは使用されません。)
redirect.uri (このリリースでは使用されません。)
ローカルにトークンを作成する場合:
subject.precedence (定数値はfalseです)
csf.map
csf-key
oauth2.client.csf.key
federated.client.token
user.attributes
issuer.name
oracle.oauth2.service
user.roles.include
keystore.sig.csf.key
propagate.identity.context
user.tenant.name
include.certificate
一般:
audience.uri
reference.priority
time.in.millis
set.client.id
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。必要なoracle/oauth2_config_client_policyのtoken.uriプロパティは、OAuth2サーバーを指定します。oauth2.client.csf.keyプロパティもあります。
次の任意のOracle WSM JWTサービス・ポリシーもWebサービスに割り当てます。Oracle WSMのサーバー側エージェントがATを検証します。
oracle/http_jwt_token_over_ssl_service_policy
oracle/multi_token_over_ssl_rest_service_policy (REST)
oracle/wss11_saml_or_username_token_with_message_protection_service_policy (SOAP)
認証されたサブジェクトのかわりにクライアント固有のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。ユーザー名は、csf-keyのユーザー名プロパティからのみ取得されます。
subject.precedenceがfalseに設定され、csf-keyとユーザー名が構成されている場合、Webサービス・クライアント・アプリケーションにはoracle.wsm.security.WSIdentityPermission権限が必要です。つまり、Oracle WSMが外部から提供されるアイデンティティをアプリケーションから受け入れるには、そのアプリケーションがWSIdentityPermission権限を持つ必要があります。これにより、Oracle WSMが潜在的に悪質なアプリケーションからアイデンティティを提供されるのを回避します。WSIdentityPermissionを使用した権限の設定のWSIdentityPermission権限の付与の説明を参照してください。
デフォルトでは、oauth2_token_identity_switch_over_ssl_idcs_clientアサーション・コンテンツは、次のように定義されています。
<orasp:http-oauth2-security xmlns:ns0="http://schemas.oracle.com/ws/2006/01/policy" ns0:Silent="true" ns0:name="Http OAuth2 Security" ns0:Enforced="true" ns0:category="security/authentication,security/msg-protection">
<orasp:auth-header orasp:mechanism="oauth2"/>
<>
<orawsp:bindings>
<orawsp:Config orawsp:name="HttpOAuth2Config" orawsp:configType="declarative">
<orawsp:PropertySet orawsp:name="standard-security-properties">
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="subject.precedence">
<orawsp:Value/>
<orawsp:DefaultValue>false</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="oauth2.client.csf.key">
<orawsp:Value/>
<orawsp:DefaultValue>NONEorawsp:DefaultValue>NONE>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="federated.client.token">
<orawsp:Value/>
<orawsp:DefaultValue>trueorawsp:DefaultValue>true>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="set.client.id">
<orawsp:Value/>
<orawsp:DefaultValue>falseorawsp:DefaultValue>false>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="scope">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="authz.code">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="redirect.uri">
<orawsp:Value/>
</orawsp:Property>
<!-- Begin : properties needed for local token creation for end user-->
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.attributes">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="issuer.name">
<orawsp:Value/>
<orawsp:DefaultValue>www.oracle.comorawsp:DefaultValue>www.oracle.com>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="oracle.oauth2.service">
<orawsp:Value/>
<orawsp:DefaultValue>false</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="user.roles.include">
<orawsp:Value/>
<orawsp:DefaultValue>falseorawsp:DefaultValue>false>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:name="propagate.identity.context" orawsp:type="string" orawsp:contentType="optional">
<orawsp:Value>orawsp:Value>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.tenant.name">
<orawsp:Value/>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="audience.uri">
<orawsp:Value/>
<orawsp:DefaultValue>NONE</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="include.certificate">
<orawsp:Value/>
<orawsp:DefaultValue>false</orawsp:DefaultValue>
</orawsp:Property>
<orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis">
<orawsp:Value/>
<orawsp:DefaultValue>true</orawsp:DefaultValue>
</orawsp:Property>
<!--End properties for local token creation for end user -->
</orawsp:PropertySet>
</orawsp:Config>
</orawsp:bindings>
</orasp:http-oauth2-security>
設定
表18-30を参照してください。
構成プロパティ
表18-27を参照してください。
