10 SOAコンポジット・アプリケーションの保護

この章では、SOAコンポジット・アプリケーション固有のセキュリティ構成手順について説明します。ほとんどのSOAコンポジット・アプリケーションのセキュリティ手順では、SOA固有の構成ステップは必要ありません。これらのタスクを実行するための別のドキュメントへの参照を示します。

この章の内容は次のとおりです。

• SOAコンポジット・アプリケーションの保護の概要

• Oracle BPM Worklistを使用したOracle HTTP Serverの構成

• SOAインフラストラクチャのSAMLメッセージ保護付きポリシー構成の設定

• Oracle BPM WorklistおよびOracle Business Process Managementユーザーの自動認証

• 認証プロバイダの設定

• SSLの構成

• ヒューマン・ワークフローWSDLファイルに対するセキュリティの構成

ノート:

ポリシーのアタッチおよびデタッチについては、次の各項を参照してください。

• SOAコンポジット・アプリケーション・ポリシーの管理

• BPELプロセス・サービス・コンポーネント・ポリシーの理解

• Oracle Mediatorのポリシーの管理

• ヒューマン・ワークフロー・サービス・コンポーネント・ポリシーの管理

• 「バインディング・コンポーネントのポリシーの管理」

SOAコンポジット・アプリケーションの保護の概要

この章では、SOAコンポジット・アプリケーション固有のセキュリティ手順について説明します。ほとんどのSOAコンポジット・アプリケーションのセキュリティ手順は、SOA固有ステップを必要とせず、表10-1に示すドキュメントに従って実行できます。

表10-1 セキュリティに関するドキュメント

セキュリティ情報	参照ガイド
Oracleシングル・サインオン(OSSO)構成を含むOracle Fusion Middlewareの保護	Oracle Platform Security Servicesによるアプリケーションの保護
Webサービスの保護および管理	Webサービスの管理
Oracle WebLogic Serverのセキュリティの理解	Oracle WebLogic Server セキュリティの理解
Oracle WebLogic Serverの本番環境の保護	Oracle WebLogic Serverの本番環境の保護
Oracle WebLogic Serverの保護	Oracle WebLogic Serverのセキュリティの管理
Oracle WebLogic Serverで使用する新規セキュリティ・プロバイダの開発	Oracle WebLogic Serverセキュリティ・プロバイダの開発
Oracle WebLogic ServerのWebサービスの保護	Oracle WebLogic ServerのWebLogic Webサービスの保護
Oracle WebLogic Serverのセキュリティ・プログラミング	WebLogicセキュリティ・サービスを使用したアプリケーションの開発
Oracle User Messaging Serviceの保護	Oracle User Messaging Serviceの管理

Oracle BPM Worklistを使用したOracle HTTP Serverの構成

Oracle BPM WorklistがOracle HTTP Server経由で動作するように、Oracle HTTP Serverのmod_wl_ohs.confファイルに/integrationの場所を追加する必要があります。

  <Location /integration>
       SetHandler weblogic-handler
   #   PathTrim /weblogic
       ErrorPage  http:/WEBLOGIC_HOME:WEBLOGIC_PORT/
  </Location>

SOAインフラストラクチャのSAMLメッセージ保護付きポリシー構成の設定

この項では、Oracle WebLogic Scripting Tool (WLST)を使用して、SOAインフラストラクチャのメッセージ保護付きSecurity Assertion Markup Language (SAML)ポリシー構成を設定および検証する方法を説明します。この項の例では、タスク問合せサービスの構成について説明します。ただし、これらの説明はSAMLトークン・ポートをサポートするすべてのヒューマン・ワークフロー・サービスに関連します。

• アクティビティ・ガイド問合せサービス

• アクティビティ・ガイド・メタデータ・サービス

• アクティビティ・ガイド管理サービス

• タスク問合せサービス

• タスク・サービス

• タスク・メタデータ・サービス

• ランタイム構成サービス

• タスク・エビデンス・サービス

• ユーザー・メタデータ・サービス

別のサービスのポリシーを変更する場合は、同じWLSTコマンドをそのサービスのSAMLトークン・ポートに適用する必要があります。

SAMLメッセージ保護付きポリシー構成を設定するには:

1. WLSTを使用してSOAドメイン(たとえば、base_domain)にログインします。
2. 既存の即時利用可能なwss10_saml_token_service_policyというサービス・ポリシーをデタッチします。

   wls:/base_domain/domainRuntime> detachWebServicePolicy('/base_domain/soa
   _server1/soa-infra','integration/services/TaskQueryService','web',
   'WorkflowProvider','TaskQueryServicePortSAML','oracle/
   wss10_saml_token_service_policy')
   

3. アプリケーションを再起動して、ポリシーまたは構成の変更をアクティブ化します。
4. 新しいポリシーをアタッチします。この場合、ポリシーにはoracle/wss10_saml_token_with_message_protection_service_policyという名前が付けられます。

   wls:/base_domain/domainRuntime> attachWebServicePolicy('/base_domain/soa
   _server1/soa-infra','integration/services/TaskQueryService',
   'web','WorkflowProvider','TaskQueryServicePortSAML','ora
   cle/wss10_saml_token_with_message_protection_service_policy')
   

5. アプリケーションを再起動して、ポリシーまたは構成の変更をアクティブ化します。
6. ポリシーを表示して検証します。

   wls:/base_domain/domainRuntime> listWebServicePolicies('/base_domain/soa
   _server1/soa-infra','integration/services/TaskQueryService',
   'web','WorkflowProvider','TaskQueryServicePortSAML')
       TaskQueryServicePortSAML :
       security :
   oracle/wss10_saml_token_with_message_protection_service_policy,
       enabled=true 
   Attached policy or policies are valid; endpoint is secure.
   

7. キーストアを作成して、orakeyという別名を追加し、Oracle Web Service Manager (OWSM)構成を実行して、SAMLメッセージ保護付きポリシーをアクティブ化します。たとえば:

   keytool -genkeypair
           -keystore  domain_home/config/fmwconfig/default-keystore.jks
           -keyalg RSA
           -dname "cn=consumer,dc=example,dc=com"
           -alias clientalias
           -keypass  password 
           -storepass password
           -validity 3600
   
   keytool -exportcert 
           -keystore domain_home/config/fmwconfig/default-keystore.jks
           -v 
           -alias clientalias
           -storepass password 
           -rfc 
           -file domain_home/config/fmwconfig/certificate.cer
   
   keytool -importcert 
           -keystore domain_home/config/fmwconfig/default-keystore.jks
           -alias orakey
           -file domain_home/config/fmwconfig/certificate.cer
           -storepass password
            createCred(map="oracle.wsm.security", key="keystore-csf-key",
            user="owsm", password="welcome1", desc="Keystore key")
            createCred(map="oracle.wsm.security", key="enc-csf-key",
            user="clientalias", password="welcome1", desc="Encryption key")
            createCred(map="oracle.wsm.security", key="sign-csf-key",
            user="clientalias", password="welcome1", desc="Signing key") 
   

   SOAコンポジットが異なるサーバーにデプロイされており、別名を使用してサービスを呼び出す場合は、次のプロパティを指定します。

   oracle.soa.binding.keystore.location
   oracle.soa.binding.key.alias

   SOAコンポジットのこれらのプロパティを使用して、キーストアの場所とキー別名を指定できます。

8. サーバーを再起動します。

Oracle BPM WorklistおよびOracle Business Process Managementユーザーの自動認証

この項では、様々な環境でOracle BPM WorklistおよびOracle Business Process Managementのユーザーを認証する方法について説明します。

SAML SSO環境でのOracle BPM Worklistユーザーの自動認証

SAML SSO環境で最初のOracle BPM Worklistから2番目のOracle BPM Worklistにアクセスするとき自動認証されるようにするには、次のステップを実行する必要があります。この手順を実行しないと、2番目のOracle BPM Worklistにアクセスするときに再度ログインするように求められます。この環境では、最初のOracle BPM WorklistはSAML IDプロバイダとして構成され、アクセスする2番目のOracle BPM WorklistはSAMLサービス・プロバイダとして構成されます。

SAML SSO環境でOracle BPM Worklistユーザーを自動認証するには:

1. /integration/worklistapp/*をworklistappのリダイレクトURLとして、SAMLサービス・プロバイダ・サイトのSAML2IdentityAsserter構成に追加します。

   1. Oracle WebLogicコンソールで、「セキュリティ・レルム」を選択します。

   2. サービス・プロバイダのレルムをクリックします。

   3. 「プロバイダ」タブを選択し、「認証」サブタブを選択します。

   4. プロバイダ・リストから、SAML 2.0 IDアサーション・プロバイダと説明されているプロバイダを選択します。

      SAML IDアサーション・プロバイダ構成が見つからない場合は、Oracle WebLogic Serverのセキュリティの管理の説明に従ってください。

   5. 「管理」タブを選択します。

      「管理」タブには、IDプロバイダ・パートナのリストが表示されます。これらは、このSAML IDサービス・プロバイダ・サイトのSAML IDプロバイダ・パートナとして構成されているホストです。この構成ステップは、Oracle BPM Worklistがホスト管理されるIDサービス・プロバイダ・サイトで実行されることに注意してください。

   6. ユーザーが最初のログインを実行するIDプロバイダ・サイトを選択します。

   7. 「リダイレクトURI」フィールドが表示されるまでページを下にスクロールします。

   8. /integration/worklistapp/*をリストに追加します。

   このステップを実行した後、通常の/integration/worklistappというURLを使用してSAML IDプロバイダ・サイトでOracle BPM Worklistにログインできます。必要に応じて、SAMLサービス・プロバイダ・サイトでURL /integration/worklistapp/ssologinに移動できます。ここで、Oracle BPM Worklistにアクセスして自動認証されます。

   SAML2IdentityAsserterおよびWebブラウザとHTTPクライアントを使用したSSOの構成の詳細は、Oracle WebLogic Serverのセキュリティの管理を参照してください。

SAML SSO環境でのOracle BPM Workspaceユーザーの自動認証

SAML SSO環境で最初のOracle BPM Workspaceから2番目のOracle BPM Workspaceにアクセスするときに自動的に認証されるようにするには、次のステップを実行する必要があります。この手順を実行しないと、2番目のOracle BPM Workspaceにアクセスするときに再度ログインするように求められます。この環境では、最初のOracle BPM WorkspaceはSAML IDプロバイダとして構成され、アクセスする2番目のOracle BPM WorkspaceはSAMLサービス・プロバイダとして構成されます。

SAML SSO環境でOracle BPM Workspaceユーザーを自動認証するには:

1. workspaceのリダイレクトURLとして、SAMLサービス・プロバイダ・サイトのSAML2IdentityAsserter構成に/bpm/workspace/*を次のように追加します。

   1. Oracle WebLogicコンソールで、「セキュリティ・レルム」を選択します。

   2. サービス・プロバイダのレルムをクリックします。

   3. 「プロバイダ」タブを選択し、「認証」サブタブを選択します。

   4. プロバイダ・リストから、SAML 2.0 IDアサーション・プロバイダと説明されているプロバイダを選択します。

      SAML IDアサーション・プロバイダ構成が見つからない場合は、Oracle WebLogic Serverのセキュリティの管理の説明に従ってください。

   5. 「管理」タブを選択します。

      「管理」タブには、IDプロバイダ・パートナのリストが表示されます。これらは、このSAML IDサービス・プロバイダ・サイトのSAML IDプロバイダ・パートナとして構成されているホストです。この構成ステップは、Oracle BPM Workspaceがホスト管理されるIDサービス・プロバイダ・サイトで実行されることを忘れないでください。

   6. ユーザーが最初のログインを実行するIDプロバイダ・サイトを選択します。

   7. 「リダイレクトURI」フィールドが表示されるまでページを下にスクロールします。

   8. リストに/bpm/workspace/*を追加します。

   このステップの実行後は、/bpm/workspaceの通常のURLを使用してSAML IDプロバイダにあるOracle BPM Workspaceにログインできます。必要に応じて、SAMLサービス・プロバイダ・サイトでURL /bpm/workspace/ssologinに移動でき、ここからOracle BPM Workspaceにアクセスすると自動認証されます。

   SAML2IdentityAsserterおよびWebブラウザとHTTPクライアントを使用したSSOの構成の詳細は、Oracle WebLogic Serverのセキュリティの管理を参照してください。

SAML SSO環境でのOracle Business Process Composerユーザーの自動認証

SAML SSO環境で最初のOracle Business Process Composerから2番目のOracle Business Process Composerにアクセスするときに自動的に認証されるようにするには、次のステップを実行する必要があります。この手順を実行しないと、2番目のOracle Business Process Composerにアクセスするときに再度ログインするように求められます。この環境では、最初のOracle Business Process ComposerはSAML IDプロバイダとして構成され、アクセスする2番目のOracle Business Process ComposerはSAMLサービス・プロバイダとして構成されます。

SAML SSO環境でOracle Business Process Composerユーザーを自動認証するには:

1. composerのリダイレクトURLとして、SAMLサービス・プロバイダ・サイトのSAML2IdentityAsserter構成に/bpm/composer/*を次のように追加します。

   1. Oracle WebLogicコンソールで、「セキュリティ・レルム」を選択します。

   2. サービス・プロバイダのレルムをクリックします。

   3. 「プロバイダ」タブを選択し、「認証」サブタブを選択します。

   4. プロバイダ・リストから、SAML 2.0 IDアサーション・プロバイダと説明されているプロバイダを選択します。

      SAML IDアサーション・プロバイダ構成が見つからない場合は、Oracle WebLogic Serverのセキュリティの管理の説明に従ってください。

   5. 「管理」タブを選択します。

      「管理」タブには、IDプロバイダ・パートナのリストが表示されます。これらは、このSAML IDサービス・プロバイダ・サイトのSAML IDプロバイダ・パートナとして構成されているホストです。この構成ステップは、Oracle Business Process Composerがホスト管理されるIDサービス・プロバイダ・サイトで実行されることを忘れないでください。

   6. ユーザーが最初のログインを実行するIDプロバイダ・サイトを選択します。

   7. 「リダイレクトURI」フィールドが表示されるまでページを下にスクロールします。

   8. リストに/bpm/composer/*を追加します。

   このステップの実行後は、/bpm/composerの通常のURLを使用してSAML IDプロバイダにあるOracle Business Process Composerにログインできます。必要に応じて、SAMLサービス・プロバイダ・サイトでURL /bpm/composer/ssologinに移動でき、ここからOracle Business Process Composerにアクセスすると自動認証されます。

   SAML2IdentityAsserterおよびWebブラウザとHTTPクライアントを使用したSSOの構成の詳細は、Oracle WebLogic Serverのセキュリティの管理を参照してください。

Windowsのネイティブ認証環境でのOracle BPM Worklistユーザーの自動認証

Kerberosを使用したWindowsのネイティブ認証をOracle BPM Worklistで使用するには、保護されたURL /integration/worklistapp/ssologinを使用する必要があります。たとえば、Windowsのネイティブ認証を構成した後は、次のようにOracle BPM Worklistにアクセスします。

http://host_name.domain_name:8001/integration/worklistapp/ssologin 

Microsoftクライアントを使用したSSOの構成の詳細は、Oracle WebLogic Serverのセキュリティの管理を参照してください。

Windowsのネイティブ認証環境でのOracle Business Process Composerユーザーの自動認証

Kerberosを使用したWindowsのネイティブ認証をOracle Business Process Composerで使用するには、保護されたURL bpm/composer/ssologinを使用する必要があります。たとえば、Windowsのネイティブ認証を構成した後は、次のようにProcess Composerにアクセスします。

http://host_name.domain_name:8001/bpm/composer/ssologin 

Microsoftクライアントを使用したSSOの構成の詳細は、Oracle WebLogic Serverのセキュリティの管理を参照してください。

認証プロバイダの設定

使用する認証プロバイダは、認証プロバイダのリスト内で最初に表示される必要があります。この項では、最初の認証プロバイダを設定する方法を説明します。

Oracle Internet Directoryを最初の認証プロバイダとして表示

Oracle BPM Worklistおよびワークフロー・サービスでは、Java Platform Security (JPS)と、ユーザーおよびロールAPIが使用されます。このため、Oracle Internet Directoryでワークフローが使用されるときは、Oracle Internet Directoryオーセンティケータが最初のプロバイダとして表示される必要があります。Oracle Internet Directoryが最初に表示されない場合(たとえば、DefaultAuthenticatorの下に表示される場合)、ログイン認証は失敗します。

認証プロバイダの順序の変更の詳細は、Oracle WebLogic Serverのセキュリティの管理を参照してください。

デフォルトの認証プロバイダを使用したWebベースのアプリケーションへのアクセス

Oracle Internet Directoryの認証を使用している場合、Webベースのアプリケーションへのログインが失敗することがあります。これは、Oracle WebLogic Serverの構成が、デフォルトの認証の前にOracle Internet Directoryの認証を使用するように設定されている場合に起こります。

この場合、次のエラーが発生することがあります。

"@ User "weblogic" is not found in configuration "jazn.com" Check if the user
 exists in the repository specified by the configurations. Check the error stack
 and fix the cause of the error. Contact oracle support if error is not fixable."

セキュリティ・プロバイダの順序は次のようにしてください。

1. デフォルトの認証

2. Oracle Internet Directory/LDAP認証

複数の認証プロバイダの有効化

「裁決プロバイダ」は、1つのセキュリティ・レルムで複数の認証プロバイダが構成されている場合に、処理方法を決定します。

裁決プロバイダの詳細と複数の認証プロバイダの有効化の詳細は、『Oracle WebLogic Serverのセキュリティの管理』のWebLogic裁決プロバイダの構成に関する項を参照してください。

SSLの構成

この項では、Oracle SOA SuiteおよびOracle Business Process Managementの環境でSecure Socket Layer (SSL)を構成する方法について説明します。

HTTPSポートで構成されたSOA/BPMサーバーでのSSL証明書の使用

SOA/BPMサーバーがHTTPSポートで構成されている場合は、SSL証明書が次の標準に従っていることを確認します。

• サーバーがSSLクライアント(ブラウザ、または通知送信者などの他の内部クライアント)に提示する証明書は、その独自のトラスト・ストア(CAストア)で信頼される証明書です。

• サーバーの証明書が自己署名されている場合は、その証明書がトラスト・ストアに追加されていることを確認します。

このようにされていない場合は、タスク通知の送信時に問題が発生する可能性があります。たとえば、サーバー出力ログ(soa_server_name.out)で、次のタスク通知エラー・メッセージを受信できます。

<Sep 13, 2011 12:59:41 AM PDT> <Error> <oracle.soa.services.workflow.common>
<BEA-000000> <<.>
ORABPEL-0
        at
oracle.bpel.services.workflow.task.notification.
TaskNotifications.getEmailPaylOad
(TaskNotifications.java:1354)
        at
oracle.bpel.services.workflow.task.notification.
TaskNotifications.getEmailNotificationContent
(TaskNotifications.java:987)
        at
weblogic.jms.client.JMSSession$UseForRunnable.run
(JMSSession.java:5170)
        at
weblogic.work.SelfTuningWorkManagerImpl$WorkAdapterImpl.run(SelfTuningWorkManagerI
mpl.java:528)
        at weblogic.work.ExecuteThread.execute(ExecuteThread.java:209)
        at weblogic.work.ExecuteThread.run(ExecuteThread.java:178)
Caused By: javax.net.ssl.SSLKeyException: [Security:090477]Certificate chain
received from myhost.us.example.com - 10.232.152.78 was not trusted causing
SSL handshake failure.
        at
com.certicom.tls.interfaceimpl.TLSConnectionImpl.
fireException(UnknownSource)
        at
com.certicom.tls.interfaceimpl.TLSConnectionImpl.
fireAlertSent(UnknownSource)
        at
com.certicom.tls.record.handshake.HandshakeHandler.
fireAlert(Unknown Source).
ficationContent(TaskNotifications.java:987)
        at
weblogic.jms.client.JMSSession$UseForRunnable.run(JMSSession.java:5170)
        at
weblogic.work.SelfTuningWorkManagerImpl$WorkAdapterImpl.run(SelfTuningWorkManagerI
mpl.java:528)
        at weblogic.work.ExecuteThread.execute(ExecuteThread.java:209)
        at weblogic.work.ExecuteThread.run(ExecuteThread.java:178)
Caused By: javax.net.ssl.SSLKeyException: [Security:090477]Certificate chain
received from myhost.us.example.com - 10.232.152.78 was not trusted causing
SSL handshake failure.
        at
com.certicom.tls.interfaceimpl.TLSConnectionImpl.
fireException(UnknownSource)
        at
com.certicom.tls.interfaceimpl.TLSConnectionImpl.
fireAlertSent(UnknownSource)
        at
com.certicom.tls.record.handshake.HandshakeHandler.
fireAlert(Unknown Source

概念および構成の詳細は、Oracle WebLogic Serverのセキュリティの管理を参照してください。

SSLで管理対象サーバーを全部構成する、または構成しないための推奨事項

SSL (SOA、BAMなど)で管理対象サーバーを全部構成するか、構成しないかのいずれかをベスト・プラクティスとしてお薦めします。一部の管理対象サーバーをSSLで構成し、他の管理対象サーバーを構成しないと、Oracle BPM WorklistおよびOracle Web Services Manager (OWSM)では好ましくない結果になる可能性があります。たとえば、SSL構成された管理対象サーバー(bam_server)が存在する場合、SSLの構成がないサーバーはOWSMでは使用されません。SSL構成されたサーバーが停止した場合、OWSMは停止状態になり、Oracle BPM Worklistが停止状態になる原因となります。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の一般的なポリシー・マネージャ接続の問題の理解に関する項を参照してください。

Oracle BPM Worklistでの非SSLからSSL構成への切替え

Oracle BPM Worklistで非SSLからSSL構成に切り替えるには、Oracle WebLogicコンソールで「フロントエンド・ホスト」および「フロントエンドHTTPSポート」フィールドを設定する必要があります。そうしないと、To-Doタスクを作成しようとしたときにエラーが発生します。

Oracle BPM Worklistで非SSLからSSL構成に切り替えるには:

1. Oracle WebLogicコンソールにログインします。
2. 「環境」セクションで「サーバー」を選択します。
3. 管理対象サーバーの名前(たとえば、soa_server1)を選択します。
4. 「プロトコル」を選択し、次に「HTTP」を選択します。
5. 「フロントエンド・ホスト」フィールドに、Oracle BPM Worklistがあるホスト名を入力します。
6. 「フロントエンドHTTPSポート」フィールドに、SSLリスナー・ポートを入力します。
7. 「保存」をクリックします。

SOAコンポジット・アプリケーションの双方向SSL通信の構成

Oracle SOA Suiteでは、Oracle WebLogic ServerとOracle Secure Socket Layer (SSL)スタックの両方を使用し、て双方向SSL通信を構成します。

• インバウンドのWebサービス・バインディングの場合、Oracle SOA SuiteではOracle WebLogic Serverインフラストラクチャを使用し、SSL用にOracle WebLogic Serverライブラリを使用します。

• アウトバウンドのWebサービス・バインディングの場合、Oracle SOA SuiteはJRF HttpClientを使用するため、SSLにはOracle JDKライブラリを使用します。

このように違いがあるため、次のJVMオプションを使用してOracle WebLogic Serverを起動します。

SOAコンポジット・アプリケーションの双方向SSL通信を構成するには:

1. 次のファイルを開きます。

   • UNIXオペレーティング・システムでは、$MIDDLEWARE_HOME/user_projects/domains/domain_name/bin/setDomainEnv.shを開きます。

   • Windowsオペレーティング・システムでは、MIDDLEWARE_HOME\user_projects\domains\domain_name\bin\setDomainEnv.batを開きます。

2. サーバーで一方向SSL(サーバー認可のみ)が有効化されている場合は、次の行をJAVA_OPTIONSセクションに追加します。

   -Djavax.net.ssl.trustStore=your_truststore_location
   

   双方向SSLの場合は、キーストア情報(場所とパスワード)は不要です。

また、次のステップを実行してSOAコンポジット・アプリケーションの双方向SSLが別のSOAコンポジット・アプリケーションまたは別の非SOAアプリケーションを起動できるようにします。

ノート:

サーバーとクライアントの両方が双方向のSSLについて構成されているものとします。

SOAコンポジット・アプリケーションが別のアプリケーションを呼び出すために双方向SSLを有効化するには:

1. クライアント側で、キーストアの場所を指定します。

   1. 「SOAインフラストラクチャ」メニューから、「SOA管理」→「共通プロパティ」の順に選択します。

   2. ページの下部で、「詳細SOAインフラ拡張構成プロパティ」をクリックします。

   3. 「KeystoreLocation」をクリックします。

   4. 「値」列に、キーストアの場所を入力します。

   5. 「適用」をクリックします。

   6. 「戻る」をクリックします。

2. クライアント側のDOMAIN_HOME\config\soa-infra\configuration\soa-infra-config.xmlでキーストアの場所を指定します。

   <keystoreLocation>absolute_path_to_the_keystore_location_and_the_file_name
   </keystoreLocation> 
   

3. Oracle JDeveloperでの設計時に、composite.xmlファイル内の参照セクションをoracle.soa.two.way.ssl.enabledプロパティで更新します。

   <reference name="Service1" 
      ui:wsdlLocation=". . ."> 
      <interface.wsdl interface=". . ."/> 
        <binding.ws port=". . ."> 
         <property name="oracle.soa.two.way.ssl.enabled">true</property> 
     </binding.ws> 
    </reference> 
   

4. Oracle Enterprise Manager Fusion Middleware Controlで、「WebLogicドメイン」→「domain_name」の順に選択します。

5. 「domain_name」を右クリックし、「セキュリティ」→「資格証明」と選択します。

6. 「マップの作成」をクリックします。

7. 「マップ名」フィールドに名前(SOAなど)を入力し、「OK」をクリックします。

8. 「キーの作成」をクリックします。

9. 次の詳細を入力します。

   フィールド	説明
   マップの選択	ステップ7で作成したマップ(この例ではSOA)を選択します。
   キー	キー名を入力します(KeystorePasswordがデフォルトです)。
   タイプ	「パスワード」を選択します。
   ユーザー名	ユーザー名を入力します(KeystorePasswordがデフォルトです)。
   パスワード	キーストアに対して作成したパスワードを入力します。

   ノート:

   SSLをOracle WebLogic Serverで設定する場合は、キーの別名が必要です。別名の値として「mykey」を入力する必要があります。この値は必須です。

10. Oracle Enterprise Manager Fusion Middleware Controlでキーストアの場所を設定します。方法については、ステップ1を参照してください。

11. httpsおよびsslportを使用してSOAコンポジット・アプリケーションを起動するように、composite.xmlを変更します。たとえば、次の太字で示されている構文を変更します。

    <?xml version="1.0" encoding="UTF-8" ?> 
    <!-- Generated by Oracle SOA Modeler version 1.0 at [4/1/09 11:01 PM]. --> 
    <composite name="InvokeEchoBPELSync" 
    revision="1.0" 
    label="2009-04-01_23-01-53_994" 
    mode="active" 
    state="on" 
    xmlns="http://xmlns.oracle.com/sca/1.0" 
    xmlns:xs="http://www.w3.org/2001/XMLSchema" 
    xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy" 
    xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy" 
    xmlns:ui="http://xmlns.oracle.com/soa/designer/"> 
    <import 
    namespace="http://xmlns.oracle.com/CustomApps/InvokeEchoBPELSync/BPELProcess1"
      location="BPELProcess1.wsdl" importType="wsdl"/>
    <import namespace="http://xmlns.oracle.com/CustomApps/EchoBPELSync/
    BPELProcess1"location="http://hostname:port/soa-infra/services/default/EchoBPEL
    Sync/BPELProcess1.wsdl"
    importType="wsdl"/>
    

    httpsおよびsslportを使用するように変更します。

    location="https://hostname:sslport/soa-infra/services/default/EchoBPELSync
    /BPELProcess1.wsdl"

Oracle JDeveloperの一方向SSL環境での参照の呼出し

Webサービスを一方向SSL環境でSOAコンポジット・アプリケーションからの外部参照として呼び出す場合は、サーバーの証明書名(CN)とホスト名が完全に一致することを確認します。これにより、正しいSSLハンドシェイクが保証されます。

たとえば、Webサービスの名前がadfbcで、証明書のサーバー名がmyhost05の場合、次の構文ではSSLハンドシェイク例外が発生します。

  <import namespace="/adfbc1/common/" 
           
 location="https://myhost05.us.example.com:8002/CustomApps-adfbc1-context-root/Ap 
pModuleService?WSDL" 
          importType="wsdl"/> 
 <import namespace="/adfbc1/common/" location="Service1.wsdl" 
          importType="wsdl"/> 

importの順序を入れ替えると、SSLハンドシェイクに成功します。

<import namespace="/adfbc1/common/" location="Service1.wsdl" 
          importType="wsdl"/> 
<import namespace="/adfbc1/common/" 
           location="https://myhost05.us.example.com:8002/CustomApps-adfbc1-context-root/Ap 
pModuleService?WSDL" 
          importType="wsdl"/> 

この問題に関連して次の制限があります。

• Oracle WebLogicコンソールにあるようなホスト名の検証を無視するオプションはOracle JDeveloperにありません。これは、Oracle JDeveloperで使用されているSSLキットが異なるためです。トラスト・ストアのみコマンド行から構成できます。他のすべての証明書引数は渡されません。

• WSDLファイルで、https://hostnameは前述のように証明書内の名前と一致する必要があります。ブラウザで行う場合と同じ手順は実行できません。たとえば、証明書のCNのホスト名がmyhost05.us.example.comの場合、ブラウザではmyhost05、myhost05.us.example.comまたはIPアドレスを使用できます。Oracle JDeveloperでは、必ず証明書内の名前と同じ名前(myhost05.us.example.com)を使用する必要があります。

Oracle SOA SuiteおよびOracle HTTP ServerのSSL通信の構成

ここでは、Oracle SOA SuiteとOracle HTTP Server間でSSL通信を構成するステップについて説明します。

Oracle HTTP ServerのSSL通信の構成

Oracle HTTP ServerのSSL通信を構成するには:

1. <Location /integration/services>場所ディレクティブを使用してmod_ssl.confを更新します。

   LoadModule weblogic_module   ${ORACLE_HOME}/ohs/modules/mod_wl_ohs.so
   
   <IfModule mod_weblogic.c>
         WebLogicHost host.domain.com
         WLLogFile <logdir>/ohs_ssl.log
         Debug ALL
         DebugConfigInfo ON
         SecureProxy ON
         MatchExpression *.jsp
         WlSSLWallet <OHS_
   HOME>/instances/instance1/config/OHS/ohs1/keystores/default
   </IfModule>
   
   <Location /soa-infra>
         WebLogicPort 8002
         SetHandler weblogic-handler
         ErrorPage http://host.domain.com:port/error.html
   </Location>
   
   <Location /b2bconsole>
         WebLogicPort 8002
         SetHandler weblogic-handler
         ErrorPage http://host.domain.com:port/error.html
   </Location>
   
   <Location /b2b> 
         WebLogicPort 8002 
         SetHandler weblogic-handler 
          ErrorPage http://host.domain.com:port/error.html 
   </Location> 
   
   <Location /integration/worklistapp>
         WebLogicPort 8002
         SetHandler weblogic-handler
         ErrorPage http://host.domain.com:port/error.html
   </Location>
   
   <Location /integration/services>
         WebLogicPort 8002
         SetHandler weblogic-handler
         ErrorPage http://host.domain.com:port/error.html
   </Location>
   
   <Location /DefaultToDoTaskFlow>
         WebLogicPort 8002
         SetHandler weblogic-handler
         ErrorPage http://host.domain.com:port/error.html
   </Location>
   
   <Location /OracleBAM>
         WebLogicPort 9002
         SetHandler weblogic-handler
         ErrorPage http://host.domain.com:port/error.html
   </Location>
   
   <Location /OracleBAMWS>
         WebLogicPort 9002
         SetHandler weblogic-handler
         ErrorPage  http://host.domain.com:port/error.html
   </Location>
   
   <Location /sdpmessaging/userprefs-ui/>
         WebLogicPort 8002
         SetHandler weblogic-handler
         ErrorPage http://host.domain.com:port/error.html
   </Location>
   

2. 「SOAコンポジット・アプリケーションの双方向SSL通信の構成」の説明に従って、Oracle WebLogic Serverを起動します。

Oracle Client、Oracle HTTP ServerおよびOracle WebLogic Serverの証明書の構成

Oracle Client、Oracle HTTP ServerおよびOracle WebLogic Serverの証明書を構成する手順は、次のとおりです。

1. Oracle HTTP Serverウォレットからユーザー証明書をエクスポートします。

   orapki wallet export -wallet . -cert cert.txt  -dn 'CN=\"Self-Signed
    Certificate for ohs1 \",OU=OAS,O=ORACLE,L=REDWOODSHORES,ST=CA,C=US'
   

2. エクスポートした証明書をOracle WebLogic Serverトラスト・ストアに信頼できる証明書としてインポートします。

   keytool -file cert.txt -importcert -trustcacerts -keystore DemoTrust.jks
   

3. Oracle WebLogic Serverトラスト・ストアから証明書をエクスポートします。

   keytool -keystore DemoTrust.jks -exportcert -alias wlscertgencab -rfc -file
   certgencab.crt
   

4. エクスポートした証明書をOracle HTTP Serverウォレットに信頼できる証明書としてインポートします。

   orapki wallet add -wallet . -trusted_cert -cert certgencab.crt -auto_login_only
   

5. Oracle HTTP Serverを再起動します。
6. 「SOAコンポジット・アプリケーションの双方向SSL通信の構成」の説明に従って、Oracle WebLogic Serverを再起動します。

ビジネス・フロー・インスタンスとOracle WebCache間のSSLの構成

Oracle WebCacheおよびOracle HTTP Server環境では、「Webサービスのテスト」ページでOracle WebCacheとの通信が必要になる場合があります。したがって、ビジネス・フロー・インスタンスとOracle WebCache間でSSLを構成する必要があります(つまり、ユーザー証明書をOracle WebCacheウォレットからエクスポートし、その証明書をOracle WebLogic Serverトラスト・ストアに信頼できる証明書としてインポートします)。

設計時の一方向SSLでのカスタム・トラスト・ストアの使用

keytoolやorapkiなどのツールで作成したカスタム・トラスト・ストアを使用している場合にHTTPSを介してSOAコンポジット・アプリケーションを別のコンポジットから起動するには、Oracle JDeveloperで次の操作を実行します。

設計時に一方向SSLでカスタム・トラスト・ストアを使用するには:

1. 参照セクションでWSDLファイルをフェッチするには、「ツール」→「プリファレンス」→「HTTPアナライザ」→「HTTPS設定」→「クライアントの信頼する証明書キーストア」でトラスト・ストア情報を設定します。
2. SSL対応サーバーへのデプロイメント時に、コマンド行でJSSEプロパティを使用します。

   jdev -J-Djavax.net.ssl.trustStore=your_trusted_location

SSL対応の管理対象サーバーにデプロイ済の非同期プロセスの構成による、HTTPを介した別の非同期プロセスの呼出し

次の環境を作成するとします。

• 非同期BPELプロセスAが非同期BPELプロセスBを起動する

• 非同期BPELプロセスAは一方向SSL対応の管理対象サーバーにデプロイされる

• すべてのWSDL参照およびバインディングでプレーンHTTPを使用する

実行時に、WSDLはHTTPSを介して検索され、非同期BPELプロセスBからのコールバック・メッセージが失敗します。

この問題を解決するには、callbackServerURLプロパティをcomposite.xmlファイルの参照バインディング・レベルで渡す必要があります。これは、特定の参照呼出しのコールバックURLの値を示します。コールバックはデフォルトのHTTPSではなく、HTTPを介して実行されます。クライアント・コンポジットがSSL管理対象サーバーで実行されている場合、コールバックはデフォルトでSSLになります。

<binding.ws port="http://xmlns.oracle.com/Async/AsyncSecondBPELMTOM/BPELProcess1#wsdl.
endp oint(bpelprocess1_client_ep/BPELProcess1_pt)"
location="http://localhost:8000/soa-infra/services/default/AsyncSecondBPELMTOM/
bpelprocess1_client_ep?WSDL">
    <wsp:PolicyReference URI="oracle/wss_username_token_client_policy"
    orawsp:category="security" orawsp:status="enabled"/>
    <wsp:PolicyReference URI="oracle/wsaddr_policy" orawsp:category="addressing"
    orawsp:status="enabled"/>
    <property name="callbackServerURL">http://localhost:8000/</property>
</binding.ws>  

ヒューマン・ワークフローWSDLファイルに対するセキュリティの構成

ヒューマン・ワークフロー・サービスのWSDLファイルを外部コンシューマに公開しない場合は、各サービスのWSDL公開フラグをfalseに設定します。

<expose-wsdl>false</expose-wsdl>