1. Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ
  2. 他のアプリケーションと統合するインタフェース
  3. グローバル・ポリシー・アタッチメントの理解

23 グローバル・ポリシー・アタッチメントの理解

Oracle Identity Managerをインストールするときや、Oracle Identity Managerのこのリリースにアップグレードするときは、特定のOWSMポリシー・セットがデフォルトで作成されます。これらのポリシー・セットでは、RestfulおよびSOAPサービスを保護するための、アタッチされたOWSMポリシーがアプリケーション・パスに含まれています。デフォルトでは、ポリシーはSSLが有効化されていません。

この章のトピックは、次のとおりです:

23.1 事前定義済ポリシー

グローバル・ポリシー・アタッチメントの一部として、RESTful WebサービスとSOAP Webサービスの両方のOWSMポリシーによって、RESTおよびSOAPサービスへのセキュリティ・アクセスがそれぞれ制御されます。これらのポリシーを変更して、異なるレベルまたはタイプのセキュリティをアプリケーションに適用できます。

表23-1は、RESTful WSMポリシー・セットとそれに対応する、アタッチされているポリシーのリストです。

表23-1 RESTful WSMポリシー・セット

ポリシー・セット名 アタッチされているポリシー 説明
policySetAPPONBRD oracle/multi_token_rest_service_policy このポリシーは、クライアントから送信されたトークンに基づいて、次のいずれかの認証ポリシーを強制します。

HTTP Basic (ユーザー名/パスワード)

SAML 2.0 Bearerトークン

JWTトークン・セキュリティ

HTTP OAMセキュリティ(デフォルトでは無効)
policySetDM oracle/multi_token_rest_service_policy このポリシーは、クライアントから送信されたトークンに基づいて、次のいずれかの認証ポリシーを強制します。

HTTP Basic (ユーザー名/パスワード)

SAML 2.0 Bearerトークン

JWTトークン・セキュリティ

HTTP OAMセキュリティ(デフォルトでは無効)
policySetREST_Auth oracle/multi_token_rest_service_policy このポリシーは、クライアントから送信されたトークンに基づいて、次のいずれかの認証ポリシーを強制します。

HTTP Basic (ユーザー名/パスワード)

SAML 2.0 Bearerトークン

JWTトークン・セキュリティ

HTTP OAMセキュリティ(デフォルトでは無効)
policySetREST_Unauth oracle/no_authentication_service_policy このポリシーでは、グローバルにアタッチされた認証ポリシーを簡単に無効化できます。これには、認証アサーションに加えて他のアサーションを含むグローバル・ポリシー全体の無効化が含まれます。
policySetSCIM_Auth oracle/multi_token_rest_service_policy このポリシーは、クライアントから送信されたトークンに基づいて、次のいずれかの認証ポリシーを強制します。

HTTP Basic (ユーザー名/パスワード)

SAML 2.0 Bearerトークン

JWTトークン・セキュリティ

HTTP OAMセキュリティ(デフォルトでは無効)
policySetSCIM_Unauth oracle/no_authentication_service_policy このポリシーでは、グローバルにアタッチされた認証ポリシーを簡単に無効化できます。これには、認証アサーションに加えて他のアサーションを含むグローバル・ポリシー全体の無効化が含まれます。
policySetTOKEN oracle/multi_token_rest_service_policy このポリシーは、クライアントから送信されたトークンに基づいて、次のいずれかの認証ポリシーを強制します。

HTTP Basic (ユーザー名/パスワード)

SAML 2.0 Bearerトークン

JWTトークン・セキュリティ

HTTP OAMセキュリティ(デフォルトでは無効)
policySetFacade oracle/http_saml20_token_bearer_client_policy このポリシーは、/tokensエンド・ポイントで認証に使用されるファサード・アプリケーションからのSAMLトークンの生成を制御します。

表23-2は、SOAP WSMポリシー・セットとそれに対応する、アタッチされているポリシーのリストです。

表23-2 SOAP WSMポリシー・セット

ポリシー・セット名 アタッチされているポリシー
policySetCertCallbackSvc oracle/wss_username_token_service_policy
policySetIdAuditCallbackSvc oracle/wss_username_token_service_policy
policySetProvCallback oracle/wss11_saml_or_username_token_with_message_protection_service_policy
policySetReqSvc oracle/wss_username_token_service_policy
policySetSPMLXSD oracle/wss_saml_or_username_token_service_policy
policySetWorkflowSvc oracle/wss11_saml_or_username_token_with_message_protection_service_policy

ノート:

デフォルトのRESTfulおよびSOAP WSMポリシーの詳細は、Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理セキュリティ・ポリシー - 認証のみを参照してください。

23.2 グローバル・ポリシー・アタッチメントの表示および編集

Oracle Enterprise Manager Fusion Middleware Controlを使用して、ポリシー・アタッチメントを表示および編集できます。

ポリシー・セットおよびアタッチされているポリシーを表示し、ポリシー・セットを編集するには、Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理Webサービスを管理および保護するためのポリシーのアタッチを参照してください。

ポリシーを変更した場合、ポリシーに加えた変更は、ポリシー変更の次のポーリング間隔で有効になります。デフォルトのポーリング間隔は10分(600000ミリ秒)です。

23.3 SCIMのHTTPSのみでの実行の有効化

デフォルトでは、SCIMは、HTTPとHTTPSの両方のポートで実行するように構成されています。 policySetSCIM_AuthおよびpolicySetSCIM_Unauthポリシー・セットを編集して、SCIMをHTTPSポートのみで実行できるようにすることができます。

SCIMは、デフォルトではHTTPとHTTPSの両方のポートで実行できます。たとえば、次のURLはどちらも、構成を変更せずにデフォルトで動作します。

http://OIM_HOST:OIM_HTTP_PORT/iam/governance/scim/v1/Users
https://OIM_HOST:OIM_HTTP_PORT/iam/governance/scim/v1/Users
SCIMをHTTPSポートのみで実行できるようにするには:
  1. Oracle Enterprise Manager Fusion Middleware Controlにログインします。
  2. 「WebLogicドメイン」をクリックし、「Webサービス」「WSMポリシー・セット」の順に選択します。
  3. WSMポリシー・セットpolicySetSCIM_Authを編集し、「ポリシー参照の追加」ページに移動します。
  4. 既存のoracle/multi_token_rest_service_policyをデタッチし、oracle/multi_token_over_ssl_rest_service_policyをアタッチします。
  5. 「サマリー」ページに移動し、ポリシー・セットを保存します。
  6. WSMポリシー・セットpolicySetSCIM_Unauthを編集し、「ポリシー参照の追加」ページに移動します。
  7. 既存のoracle/no_authentication_service_policyをデタッチし、oracle/http_anonymous_rest_over_ssl_service_policyをアタッチします。
  8. 「サマリー」ページに移動し、ポリシー・セットを保存します。

23.4 RESTのHTTPSのみでの実行の有効化

デフォルトでは、RESTは、HTTPとHTTPSの両方のポートで実行するように構成されています。policySetREST_AuthおよびpolicySetREST_Unauthポリシー・セットを編集して、RESTをHTTPSポートのみで実行できるようにすることができます。

RESTをHTTPSポートのみで実行できるようにするには:
  1. Oracle Enterprise Manager Fusion Middleware Controlにログインします。
  2. 「WebLogicドメイン」をクリックし、「Webサービス」「WSMポリシー・セット」の順に選択します。
  3. WSMポリシー・セットpolicySetREST_Authを編集し、「ポリシー参照の追加」ページに移動します。
  4. 既存のoracle/multi_token_rest_service_policyをデタッチし、oracle/multi_token_over_ssl_rest_service_policyをアタッチします。
  5. 「サマリー」ページに移動し、ポリシー・セットを保存します。
  6. WSMポリシー・セットpolicySetREST_Unauthを編集し、「ポリシー参照の追加」ページに移動します。
  7. 既存のoracle/no_authentication_service_policyをデタッチし、oracle/http_anonymous_rest_over_ssl_service_policyをアタッチします。
  8. 「サマリー」ページに移動し、ポリシー・セットを保存します。