23 グローバル・ポリシー・アタッチメントの理解
Oracle Identity Managerをインストールするときや、Oracle Identity Managerのこのリリースにアップグレードするときは、特定のOWSMポリシー・セットがデフォルトで作成されます。これらのポリシー・セットでは、RestfulおよびSOAPサービスを保護するための、アタッチされたOWSMポリシーがアプリケーション・パスに含まれています。デフォルトでは、ポリシーはSSLが有効化されていません。
この章のトピックは、次のとおりです:
23.1 事前定義済ポリシー
グローバル・ポリシー・アタッチメントの一部として、RESTful WebサービスとSOAP Webサービスの両方のOWSMポリシーによって、RESTおよびSOAPサービスへのセキュリティ・アクセスがそれぞれ制御されます。これらのポリシーを変更して、異なるレベルまたはタイプのセキュリティをアプリケーションに適用できます。
表23-1は、RESTful WSMポリシー・セットとそれに対応する、アタッチされているポリシーのリストです。
表23-1 RESTful WSMポリシー・セット
ポリシー・セット名 | アタッチされているポリシー | 説明 |
---|---|---|
policySetAPPONBRD | oracle/multi_token_rest_service_policy | このポリシーは、クライアントから送信されたトークンに基づいて、次のいずれかの認証ポリシーを強制します。
HTTP Basic (ユーザー名/パスワード) SAML 2.0 Bearerトークン JWTトークン・セキュリティ HTTP OAMセキュリティ(デフォルトでは無効) |
policySetDM | oracle/multi_token_rest_service_policy | このポリシーは、クライアントから送信されたトークンに基づいて、次のいずれかの認証ポリシーを強制します。
HTTP Basic (ユーザー名/パスワード) SAML 2.0 Bearerトークン JWTトークン・セキュリティ HTTP OAMセキュリティ(デフォルトでは無効) |
policySetREST_Auth | oracle/multi_token_rest_service_policy | このポリシーは、クライアントから送信されたトークンに基づいて、次のいずれかの認証ポリシーを強制します。
HTTP Basic (ユーザー名/パスワード) SAML 2.0 Bearerトークン JWTトークン・セキュリティ HTTP OAMセキュリティ(デフォルトでは無効) |
policySetREST_Unauth | oracle/no_authentication_service_policy | このポリシーでは、グローバルにアタッチされた認証ポリシーを簡単に無効化できます。これには、認証アサーションに加えて他のアサーションを含むグローバル・ポリシー全体の無効化が含まれます。 |
policySetSCIM_Auth | oracle/multi_token_rest_service_policy | このポリシーは、クライアントから送信されたトークンに基づいて、次のいずれかの認証ポリシーを強制します。
HTTP Basic (ユーザー名/パスワード) SAML 2.0 Bearerトークン JWTトークン・セキュリティ HTTP OAMセキュリティ(デフォルトでは無効) |
policySetSCIM_Unauth | oracle/no_authentication_service_policy | このポリシーでは、グローバルにアタッチされた認証ポリシーを簡単に無効化できます。これには、認証アサーションに加えて他のアサーションを含むグローバル・ポリシー全体の無効化が含まれます。 |
policySetTOKEN | oracle/multi_token_rest_service_policy | このポリシーは、クライアントから送信されたトークンに基づいて、次のいずれかの認証ポリシーを強制します。
HTTP Basic (ユーザー名/パスワード) SAML 2.0 Bearerトークン JWTトークン・セキュリティ HTTP OAMセキュリティ(デフォルトでは無効) |
policySetFacade | oracle/http_saml20_token_bearer_client_policy | このポリシーは、/tokensエンド・ポイントで認証に使用されるファサード・アプリケーションからのSAMLトークンの生成を制御します。 |
表23-2は、SOAP WSMポリシー・セットとそれに対応する、アタッチされているポリシーのリストです。
表23-2 SOAP WSMポリシー・セット
ポリシー・セット名 | アタッチされているポリシー |
---|---|
policySetCertCallbackSvc | oracle/wss_username_token_service_policy |
policySetIdAuditCallbackSvc | oracle/wss_username_token_service_policy |
policySetProvCallback | oracle/wss11_saml_or_username_token_with_message_protection_service_policy |
policySetReqSvc | oracle/wss_username_token_service_policy |
policySetSPMLXSD | oracle/wss_saml_or_username_token_service_policy |
policySetWorkflowSvc | oracle/wss11_saml_or_username_token_with_message_protection_service_policy |
ノート:
デフォルトのRESTfulおよびSOAP WSMポリシーの詳細は、Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理のセキュリティ・ポリシー - 認証のみを参照してください。23.2 グローバル・ポリシー・アタッチメントの表示および編集
Oracle Enterprise Manager Fusion Middleware Controlを使用して、ポリシー・アタッチメントを表示および編集できます。
ポリシー・セットおよびアタッチされているポリシーを表示し、ポリシー・セットを編集するには、Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理のWebサービスを管理および保護するためのポリシーのアタッチを参照してください。
ポリシーを変更した場合、ポリシーに加えた変更は、ポリシー変更の次のポーリング間隔で有効になります。デフォルトのポーリング間隔は10分(600000ミリ秒)です。
23.3 SCIMのHTTPSのみでの実行の有効化
デフォルトでは、SCIMは、HTTPとHTTPSの両方のポートで実行するように構成されています。 policySetSCIM_Auth
およびpolicySetSCIM_Unauth
ポリシー・セットを編集して、SCIMをHTTPSポートのみで実行できるようにすることができます。
SCIMは、デフォルトではHTTPとHTTPSの両方のポートで実行できます。たとえば、次のURLはどちらも、構成を変更せずにデフォルトで動作します。
http://OIM_HOST:OIM_HTTP_PORT/iam/governance/scim/v1/Users https://OIM_HOST:OIM_HTTP_PORT/iam/governance/scim/v1/Users
- Oracle Enterprise Manager Fusion Middleware Controlにログインします。
- 「WebLogicドメイン」をクリックし、「Webサービス」、「WSMポリシー・セット」の順に選択します。
- WSMポリシー・セット
policySetSCIM_Auth
を編集し、「ポリシー参照の追加」ページに移動します。 - 既存の
oracle/multi_token_rest_service_policy
をデタッチし、oracle/multi_token_over_ssl_rest_service_policy
をアタッチします。 - 「サマリー」ページに移動し、ポリシー・セットを保存します。
- WSMポリシー・セット
policySetSCIM_Unauth
を編集し、「ポリシー参照の追加」ページに移動します。 - 既存の
oracle/no_authentication_service_policy
をデタッチし、oracle/http_anonymous_rest_over_ssl_service_policy
をアタッチします。 - 「サマリー」ページに移動し、ポリシー・セットを保存します。
23.4 RESTのHTTPSのみでの実行の有効化
デフォルトでは、RESTは、HTTPとHTTPSの両方のポートで実行するように構成されています。policySetREST_Auth
およびpolicySetREST_Unauth
ポリシー・セットを編集して、RESTをHTTPSポートのみで実行できるようにすることができます。
- Oracle Enterprise Manager Fusion Middleware Controlにログインします。
- 「WebLogicドメイン」をクリックし、「Webサービス」、「WSMポリシー・セット」の順に選択します。
- WSMポリシー・セット
policySetREST_Auth
を編集し、「ポリシー参照の追加」ページに移動します。 - 既存の
oracle/multi_token_rest_service_policy
をデタッチし、oracle/multi_token_over_ssl_rest_service_policy
をアタッチします。 - 「サマリー」ページに移動し、ポリシー・セットを保存します。
- WSMポリシー・セット
policySetREST_Unauth
を編集し、「ポリシー参照の追加」ページに移動します。 - 既存の
oracle/no_authentication_service_policy
をデタッチし、oracle/http_anonymous_rest_over_ssl_service_policy
をアタッチします。 - 「サマリー」ページに移動し、ポリシー・セットを保存します。