Webサービスに使用する事前定義済ポリシーの決定

3.1 Webサービスのセキュリティ・ポリシーに関する質問

要件に最適に適合するセキュリティ・ポリシーは、基本的な要件、認証の要件、認証と認可の要件、および認証とメッセージ保護の要件によって判別されます。

次に示す一連の質問で、要件に最適なセキュリティ・ポリシーを確認できます。

セキュリティ・ポリシーの基本的な要件は何ですか。ユーザーのみを認証する必要があるのか、メッセージ保護のみが必要なのか、両方が必要なのかを決定してください。
1. 認証のみが必要ですか。その場合は、手順2に進みます。
2. 認可のみが必要ですか。「はい」の場合は、Oracle Web Services Managerを使用した認可の構成を参照してください。
3. 認証および認可が必要ですか。その場合は、手順3に進みます。
4. メッセージ保護のみが必要ですか。その場合は、「セキュリティ・ポリシー - メッセージ保護のみ」を参照してください。
5. 認証およびメッセージ保護の両方が必要ですか。その場合は、手順4に進みます。
認証のみが必要な場合は、考慮する必要のある基本的な質問が2つあります。
1. トークンをどこに組み込みますか。トランスポート・レイヤーとSOAPヘッダーのどちらにトークンを組み込みますか。
2. 特定タイプのトークンを使用する必要がありますか。認証のみのポリシーでサポートされている資格証明は、ユーザー名/パスワード・トークン、SAMLトークンおよびKerberosトークンです。認証のみのポリシーの詳細は、「認証のみのポリシー」を参照してください。
認証および認可が必要な場合は、次の内容を考慮する必要があります。
1. 手順2で、認証に関して決定した内容を確認してください。
2. 認可ポリシーの詳細は、Oracle Web Services Managerを使用した認可の構成を参照してください。
認証とメッセージ保護の両方が必要な場合は、次の内容を考慮する必要があります。
1. メッセージ保護をトランスポート・レイヤーで処理しますか。その場合は、Username over SSL、SAML over SSL (Sender-Vouches)、SAML over SSL (Token Bearer)、HTTP token over SSLの4つのポリシー・セットから選択します。Kerberos over SSLもカスタム・ポリシーにより使用可能です。
  
  1つのポリシー・セット(wss_http_token_over_ssl_client_policyおよびwss_http_token_over_ssl_service_policy)では、認証もトランスポート・レイヤーで処理されます。その他3つのポリシーでは、認証はSOAPヘッダーで行われます。
  
  WS-Security V1.0またはv1.1標準を使用している場合は、認証とメッセージ保護の両方がSOAPヘッダーで行われます。5組のポリシーで、ユーザー名/パスワード、SAML、X.509証明書およびKerberosのトークンがサポートされています。
  
  詳細は、「セキュリティ・ポリシー - メッセージ保護および認証」を参照してください。

3.1.1 Webサービスの適切な認証ポリシーの選択

OWSMには様々な認証ポリシーが含まれており、どれが最適なものか明確でない場合があります。このトピックでは、選択された認証ポリシーとそれを使用すべき場面について説明します。

表3-1では、選択された認証ポリシーとそれを使用すべき場面について説明します。表3-1では、ポリシー名はワイルドカードを使用して表示されています(たとえば、*username_token*は、名前にusername_tokenが含まれるすべてのポリシーを示します。)

表3-1 適切な認証ポリシーの選択

ポリシー・タイプ	説明
username_token	これらのポリシーでは、クライアントはユーザー名とパスワードをWebサービスに送信する必要があります。クライアントは、資格証明ストアでパスワードを使用可能である必要があります。このタイプのポリシーは、クライアントが実際のエンド・ユーザー名とは異なるアプリケーション識別子を使用してWebサービスに接続する必要があるアイデンティティ切替えで便利です。これは、最も簡単な認可ポリシーであるため、多種多様なサード・パーティ・クライアントと互換性があります。
saml	これらのポリシーでは、クライアントはユーザー名を含むSAMLアサーションを送信する必要があります。SAMLには、次に示すバリアントがあります。送信者保証。この場合、クライアントがSAMLアサーションを作成します。サーバーはクライアントを信頼するよう設定される必要があります。このポリシーは、特定のエンド・ユーザーがクライアントで認証済で、クライアントがこのユーザーのパスワードを知ることなくWebサービスに伝播する必要がある場合のアイデンティティ伝播で役立ちます。送信者保証は、同一ドメインまたは同一の資格証明ストアを共有する異なるドメインの一部のミドルウェア・サーバー間の通信において最適に動作します。それらはすべて同一の資格証明ストアおよびキーを共有しているので、相互に信頼することが容易なためです。ドメインの外部にあるクライアントに対して送信者保証を使用するときは、注意が必要です。送信者保証では、信頼はクライアントのキーに基づいており、攻撃者はこのキーを使用して任意のユーザーになりすますことができます。たとえば、エンド・ユーザーのデスクトップに存在するクライアントからの送信者保証は使用しないことをお薦めします。悪質なエンド・ユーザーは容易にクライアント・キーを取得し、他のエンド・ユーザーになりすますことができるからです。 STSからのキー所有者SAMLキー所有者は、仲介された信頼を可能にするSecure Token Service (STS)と組み合せて使用されます。多数のクライアントと多数のWebサービスが関連性のない異なるセキュリティ・ドメイン内に存在する場合、すべてを相互に信頼することは困難です。かわりに、中央エンティティのSTSを信頼できます。すべてのWebサービスがSTSのみを信頼する必要があります。また、クライアントはユーザー名、パスワード、Kerberosトークンなどのエンド・ユーザーの資格証明を送信して、自身をSTSに証明する必要があります。

ポリシー・タイプ

説明

*username_token*

これらのポリシーでは、クライアントはユーザー名とパスワードをWebサービスに送信する必要があります。クライアントは、資格証明ストアでパスワードを使用可能である必要があります。このタイプのポリシーは、クライアントが実際のエンド・ユーザー名とは異なるアプリケーション識別子を使用してWebサービスに接続する必要があるアイデンティティ切替えで便利です。これは、最も簡単な認可ポリシーであるため、多種多様なサード・パーティ・クライアントと互換性があります。

*saml*

これらのポリシーでは、クライアントはユーザー名を含むSAMLアサーションを送信する必要があります。SAMLには、次に示すバリアントがあります。

送信者保証。この場合、クライアントがSAMLアサーションを作成します。サーバーはクライアントを信頼するよう設定される必要があります。このポリシーは、特定のエンド・ユーザーがクライアントで認証済で、クライアントがこのユーザーのパスワードを知ることなくWebサービスに伝播する必要がある場合のアイデンティティ伝播で役立ちます。

送信者保証は、同一ドメインまたは同一の資格証明ストアを共有する異なるドメインの一部のミドルウェア・サーバー間の通信において最適に動作します。それらはすべて同一の資格証明ストアおよびキーを共有しているので、相互に信頼することが容易なためです。

ドメインの外部にあるクライアントに対して送信者保証を使用するときは、注意が必要です。送信者保証では、信頼はクライアントのキーに基づいており、攻撃者はこのキーを使用して任意のユーザーになりすますことができます。たとえば、エンド・ユーザーのデスクトップに存在するクライアントからの送信者保証は使用しないことをお薦めします。悪質なエンド・ユーザーは容易にクライアント・キーを取得し、他のエンド・ユーザーになりすますことができるからです。
STSからのキー所有者SAMLキー所有者は、仲介された信頼を可能にするSecure Token Service (STS)と組み合せて使用されます。多数のクライアントと多数のWebサービスが関連性のない異なるセキュリティ・ドメイン内に存在する場合、すべてを相互に信頼することは困難です。かわりに、中央エンティティのSTSを信頼できます。

すべてのWebサービスがSTSのみを信頼する必要があります。また、クライアントはユーザー名、パスワード、Kerberosトークンなどのエンド・ユーザーの資格証明を送信して、自身をSTSに証明する必要があります。

SAML送信者保証は、最も使用されるポリシーに含まれるユーザー名トークンであるため、OWSMはoracle/wss_saml_or_username_token_service_policyなど、これら2つを組み合せるORグループ・ポリシーを提供します。多くの場合、Webサービスはこのポリシーを使用します。このポリシーは、グローバル・ポリシー・アタッチメントの候補でもあります。

3.1.2 Webサービスの適切な機密保護および整合性ポリシーの選択

OWSMは、3つのレベルの機密性と整合性を提供します。

3つのレベルの機密性と整合性は次のとおりです。

機密性と整合性なし: 機密性と整合性には暗号化が必要です。これには、コンピュータ・リソースを消費します。ファイアウォール化されたプライベート・ネットワーク内のミドルウェア・サーバー間で交換されるメッセージでは、機密性および整合性に対する負担はありません。機密性と整合性を持たないOWSMポリシーは、ユーザー名トークンまたはSAMLを介した認証を提供します。
SSLベースの機密性と整合性: SSLはトランスポート・レベルの機密性と整合性を提供します。SSLによりHTTPSを使用するようエンドポイントを変更して、クライアントがHTTPSエンドポイントと対話できるようにする必要があります。
メッセージ・セキュリティ・ベースの機密性と整合性: メッセージ・セキュリティは、SSLよりパフォーマンスは低下しますが、次のいくつかの点でSSLよりも利点があります。
- SSLとは異なり、メッセージがSSLの終了地点(ロード・バランサ、Oracle HTTP ServerまたはJ2EEコンテナなど)で保護されなくなっても、メッセージはメッセージ・セキュリティによりアプリケーションに到達するまでセキュアなままです。
- SSLのセキュリティはコンテナ・レベルです。つまり、コンテナで実行されているすべてのWebサービスは、同一のキーを共有する必要があります。メッセージ・セキュリティでは、デフォルトではドメインで同一のキーを共有しますが、Webサービスごとにキーをオーバーライドできます。
OWSMでは、wss10とwss11の2つのリリースのメッセージ・セキュリティを提供しています。wss11はwss10を改善したもので、wss10ではすべてのクライアントがクライアント・キーを持つ必要がありましたが、wss11では必要ありません。(SAML送信者保証などの特定のポリシーでは、wss11でもクライアント・キーが必要です。)

また、wss11は必要とする非対称鍵の操作が少ないため、高速です。ただし、wss10は互換性の幅がより広く、一部のクライアントはwss10でのみ動作します。

wss10のみを使用できるクライアントをサポートする必要がある場合以外は、wss11のポリシーを使用してください。

3.2 Webサービスの事前定義済セキュリティ・ポリシーのサマリー

事前定義済セキュリティ・ポリシーはWebサービスにセキュリティを提供します。これらのポリシーはトランスポート・レイヤーまたはSOAPヘッダーで施行されます。

次の項では、事前定義済セキュリティ・ポリシーを、提供するセキュリティのタイプと、ポリシーがトランスポート・レイヤーまたはSOAPヘッダーで実行されるかどうかに基づいてまとめています。事前定義済ポリシー・カテゴリの詳細は、『Oracle Web Services Managerの理解』のポリシー・カテゴリに関する項を参照してください。ポリシーの詳細は、Oracle Web Services Managerの事前定義済ポリシーを参照してください。

3.2.1 認証のみのポリシー

このトピックでは、SOAPおよびRESTful Webサービス用に提供されている認証のみのポリシーの一覧を示します。

表3-3に、SOAPおよびRESTful Webサービスに対して認証のみを実行するセキュリティ・ポリシーをまとめます。

表3-2 認証のみのポリシー: SOAPおよびRESTful Webサービス

クライアント・ポリシー	サービス・ポリシー	認証(トランスポート)
oracle/http_basic_auth_over_ssl_client_policy	oracle/http_basic_auth_over_ssl_service_policy	あり
該当なし	oracle/http_oam_token_service_policy	あり
oracle/http_saml20_token_bearer_client_policy	oracle/http_saml20_token_bearer_service_policy	あり
oracle/http_saml20_token_bearer_over_ssl_client_policy	oracle/http_saml20_bearer_token_over_ssl_service_policy	あり
次のいずれかをアタッチします。 oracle/wss_http_token_client_policy oracle/http_saml20_token_bearer_client_policy oracle/http_jwt_token_client_policy oracle/http_oauth2_token_client_policy HTTP OAMセキュリティをサポートするには、OAM Webgateを構成してリクエストをインターセプトする必要があります。詳細は、「oracle/multi_token_rest_service_policy」を参照してください。	oracle/multi_token_rest_service_policy	あり
次のいずれかをアタッチします。 oracle/http_basic_auth_over_ssl_client_policy oracle/http_saml20_token_bearer_over_ssl_client_policy oracle/http_jwt_token_over_ssl_client_policy oracle/http_oauth2_token_identity_switch_over_ssl_client_policy oracle/http_oauth2_token_over_ssl_client_policy HTTP OAMセキュリティをサポートするには、OAM Webgateを構成してリクエストをインターセプトする必要があります。詳細は、「oracle/multi_token_over_ssl_rest_service_policy」を参照してください。	oracle/multi_token_over_ssl_rest_service_policy	あり

表3-3に、SOAP Webサービスに対して認証のみを実行するセキュリティ・ポリシーをまとめ、トークンがトランスポート・レイヤーまたはSOAPヘッダーに組み込まれるかどうかを示します。

表3-3 認証のみのポリシー: SOAP Webサービスの場合のみ

クライアント・ポリシー	サービス・ポリシー	認証(トランスポート)	認証(SOAP)
oracle/wss_http_token_client_policy	oracle/wss_http_token_service_policy	あり	なし
oracle/wss_username_token_client_policy	oracle/wss_username_token_service_policy	なし	あり
oracle/wss10_saml_token_client_policy	oracle/wss10_saml_token_service_policy	なし	あり
oracle/wss10_saml_token_client_policy	oracle/wss10_saml20_token_service_policy	なし	あり
oracle/wss11_kerberos_token_client_policy	oracle/wss11_kerberos_token_service_policy	なし	あり

表3-4に、AOuth2およびJWT Webサービスに対して認証のみを実行するセキュリティ・ポリシーをまとめます。

表3-4 認証のみのポリシー: OAuth2およびJWT Webサービス

クライアント・ポリシー	サービス・ポリシー	認証(トランスポート)
oracle/http_oauth2_token_client_policy	oracle/http_jwt_token_service_policy	あり
oracle/http_oauth2_token_identity_switch_opc_oauth2_over_ssl_client_policy
oracle/http_oauth2_token_identity_switch_over_ssl_client_policy	oracle/http_jwt_token_over_ssl_service_policy	あり
oracle/http_oauth2_token_opc_oauth2_client_policy	Oracle Cloud用に予約済。
oracle/http_oauth2_token_opc_oauth2_over_ssl_client_policy
oracle/http_oauth2_token_over_ssl_client_policy	oracle/http_jwt_token_over_ssl_service_policy	あり
oracle/oauth2_config_client_policy	該当なし
oracle/http_jwt_token_client_policy	oracle/http_jwt_token_service_policy	あり
oracle/http_jwt_token_identity_switch_client_policy
oracle/http_jwt_token_over_ssl_client_policy	oracle/http_jwt_token_over_ssl_service_policy	あり

3.2.2 メッセージ保護のみのポリシー

このトピックでは、メッセージ保護のみを実行するポリシーの概要と、ポリシーがトランスポート・レイヤーまたはSOAPヘッダーで実行されるかどうかを示します。

表3-5 メッセージ保護のみのポリシー

クライアント・ポリシー	サービス・ポリシー	認証(トランスポート)	認証(SOAP)	メッセージ保護(トランスポート)	メッセージ保護(SOAP)
oracle/wss10_message_protection_client_policy	oracle/wss10_message_protection_service_policy	なし	なし	なし	あり
oracle/wss11_message_protection_client_policy	oracle/wss11_message_protection_service_policy	なし	なし	なし	あり

3.2.3 メッセージ保護および認証ポリシー

このトピックでは、メッセージ保護と認証の両方を実行し、WS-Security 1.0または1.1標準に準拠しないポリシーの概要を示します。表には、ポリシーがトランスポート・レイヤーまたはSOAPヘッダーで実行されるかどうかが示されます。

表3-6 メッセージ保護および認証のポリシー

クライアント・ポリシー	サービス・ポリシー	認証(トランスポート)	認証(SOAP)	メッセージ保護(トランスポート)	メッセージ保護(SOAP)
oracle/wss_http_token_over_ssl_client_policy	oracle/wss_http_token_over_ssl_service_policy	あり	なし	あり	なし
次のいずれかをアタッチします。 oracle/wss_saml_token_over_ssl_client_policy oracle/wss_username_token_over_ssl_client_policy	oracle/wss_saml_or_username_token_service_policy	なし	あり	あり	なし
oracle/wss_saml_token_bearer_over_ssl_client_policy	oracle/wss_saml_token_bearer_over_ssl_service_policy	なし	あり	あり	なし
oracle/wss_saml_token_over_ssl_client_policy	oracle/wss_saml_token_over_ssl_service_policy	なし	あり	あり	なし
oracle/wss_saml20_token_over_ssl_client_policy	oracle/wss_saml20_token_over_ssl_service_policy	なし	あり	あり	なし
oracle/wss_username_token_over_ssl_client_policy	oracle/wss_username_token_over_ssl_service_policy	なし	あり	あり	なし
oracle/wss10_saml_hok_token_with_message_protection_client_policy	oracle/wss10_saml_hok_token_with_message_protection_service_policy	なし	あり	なし	あり
oracle/wss10_saml_token_with_message_integrity_client_policy	oracle/wss10_saml_token_with_message_integrity_service_policy	なし	あり	なし	あり
oracle/wss10_saml_token_with_message_protection_client_policy	oracle/wss10_saml_token_with_message_protection_service_policy	なし	あり	なし	あり
oracle/wss10_saml20_token_with_message_protection_client_policy	oracle/wss10_saml20_token_with_message_protection_service_policy	なし	あり	なし	あり
oracle/wss10_saml_token_with_message_protection_ski_basic256_client_policy	oracle/wss10_saml_token_with_message_protection_ski_basic256_service_policy	なし	あり	なし	あり
oracle/wss10_username_id_propagation_with_msg_protection_client_policy	oracle/wss10_username_id_propagation_with_msg_protection_service_policy	なし	あり	なし	あり
oracle/wss10_username_token_with_message_protection_client_policy	oracle/wss10_username_token_with_message_protection_service_policy	なし	あり	なし	あり
oracle/wss10_username_token_with_message_protection_ski_basic256_client_policy	oracle/wss10_username_token_with_message_protection_ski_basic256_service_policy	なし	あり	なし	あり
oracle/wss10_x509_token_with_message_protection_client_policy	oracle/wss10_x509_token_with_message_protection_service_policy	なし	あり	なし	あり
oracle/wss11_kerberos_token_with_message_protection_client_policy	oracle/wss11_kerberos_token_with_message_protection_service_policy	なし	あり	なし	あり
oracle/wss11_kerberos_token_with_message_protection_basic128_client_policy	oracle/wss11_kerberos_token_with_message_protection_basic128_service_policy	なし	あり	なし	あり
次のいずれかをアタッチします。 oracle/wss11_saml_token_with_message_protection_client_policy oracle/wss11_username_token_with_message_protection_client_policy	oracle/wss11_saml_or_username_token_with_message_protection_service_policy	なし	あり	なし	あり
oracle/wss11_saml_token_with_message_protection_client_policy	oracle/wss11_saml_token_with_message_protection_service_policy	なし	あり	なし	あり
oracle/wss11_saml20_token_with_message_protection_client_policy	oracle/wss11_saml20_token_with_message_protection_service_policy	なし	あり	なし	あり
oracle/wss11_saml_token_identity_switch_with_message_protection_client_policy	oracle/wss11_saml_token_with_message_protection_service_policy	なし	あり	なし	あり
oracle/wss11_username_token_with_message_protection_client_policy	oracle/wss11_username_token_with_message_protection_service_policy	なし	あり	なし	あり
oracle/wss11_x509_token_with_message_protection_client_policy	oracle/wss11_x509_token_with_message_protection_service_policy	なし	あり	なし	あり
oracle/wss_saml20_token_bearer_over_ssl_client_policy	oracle/wss_saml20_token_bearer_over_ssl_service_policy	なし	あり	なし	あり
oracle/wss_saml_token_bearer_client_policy	oracle/wss_saml_token_bearer_service_policy	なし	あり	なし	あり
oracle/wss_saml_token_bearer_identity_switch_client_policy	-	なし	あり	なし	あり
-	oracle/wss_saml_bearer_or_username_token_service_policy	なし	あり	なし	あり

3.2.4 認可ポリシー

このトピックでは、認可を実行するセキュリティ・ポリシーの概要と、ポリシーがトランスポート・レイヤーまたはSOAPヘッダーで実行されるかどうかを示します。

表3-7 認可のみのポリシー

クライアント・ポリシー	認証(トランスポート)	認証(SOAP)	メッセージ保護(トランスポート)	メッセージ保護(SOAP)
oracle/binding_authorization_denyall_policy	なし	あり	なし	なし
oracle/binding_authorization_permitall_policy	なし	あり	なし	なし
oracle/binding_permission_authorization_policy	なし	あり	なし	なし
oracle/component_authorization_denyall_policy	なし	あり	なし	なし
oracle/component_authorization_permitall_policy	なし	あり	なし	なし
oracle/component_permission_authorization_policy	なし	あり	なし	なし
oracle/whitelist_authorization_policy	なし	あり	なし	なし

3.2.5 WS-Trustポリシー

このトピックでは、WS-Trustポリシーの概要を示します。

表3-8 WS-Trustポリシー

クライアント・ポリシー	サービス・ポリシー	認証(トランスポート)	認証(SOAP)	メッセージ保護(トランスポート)	メッセージ保護(SOAP)
oracle/sts_trust_config_client_policy	oracle/sts_trust_config_service_policy	なし	なし	なし	なし
oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policy	oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policy	あり	なし	あり	なし
oracle/wss11_sts_issued_saml_hok_with_message_protection_client_policy	oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policy	なし	あり	なし	あり
oracle/wss11_sts_issued_saml_with_message_protection_client_policy		なし	あり	なし	あり

3.2.6 MTOMアタッチメント・ポリシー

このトピックでは、現在のリリースでサポートされているMTOMアタッチメント・ポリシーの一覧を示します。

oracle/wsmtom_policy

以下の点に注意する必要があります。

(直接またはグローバル・ポリシー・アタッチメントを介して)oracle/wsmtom_policyポリシーをアタッチすることによって、Fusion Middleware ControlからMTOMを構成する場合、リクエストがMTOMエンコードされていないと、エンドポイントはフォルトをスローします。MTOMポリシーは、MTOM形式ではないインバウンド・メッセージを拒否し、アウトバウンド・メッセージがMTOM形式であるかどうかを検証します。この使用方法の場合、リクエストはMTOM対応である必要があります。
oracle-webservices.xml内のMTOM対応スイッチを編集したり、@MTOM注釈をWebサービスに直接追加するなどして、Fusion Middleware Controlの外部でADF BC Webサービスに対してMTOMを構成する場合、エンドポイントはMTOMリクエストを受信できますが、リクエストがMTOMエンコードされていない場合にフォルトを返しません。この使用方法の場合、リクエストはMTOM対応の可能性がありますが、MTOM対応である必要はありません。

3.2.7 信頼できるメッセージング・ポリシー

このトピックでは、現在のリリースでサポートされている信頼できるメッセージング・ポリシーの一覧を示します。

3.2.8 動作無効ポリシー

動作無効ポリシーを使用すると、ポリシー・セット内のグローバルにアタッチされたポリシーを事実上無効化できます。このポリシーには、構成プロパティはありません。これらのポリシーは、いずれも同じ動作無効アサーションを使用します。

クライアント・ポリシー:

サービス・ポリシー:

3.3 Java EE WebサービスおよびクライアントでサポートされるOWSMポリシー

すべてのOWSMポリシーが、Java EE Webサービスおよびクライアントでサポートされるわけではありません。OWSMポリシーのサブセットのみがJava EE Webサービスおよびクライアントでサポートされます。

WebLogic JAX-WS Webサービスおよびクライアントに次のカテゴリのOWSMセキュリティ・ポリシーをアタッチできます。

認証のみ
メッセージ保護のみ
メッセージ保護および認証
Authorization
WS-Trust
WS-SecureConversation

次のカテゴリのOWSMポリシーは、現在WebLogic JAX-WS Webサービスおよびクライアントでサポートされていません。

アトミック・トランザクション
構成
管理
MTOMアタッチメント
動作無効
信頼できるメッセージング
SOAP Over JMSトランスポート
WS-Addressingポリシー

注意:

WebLogic Serverによって提供されるWebLogic Webサービス・ポリシーを使用して、Java EE (WebLogic) Webサービスを保護することもできます。WebLogic Webサービス・ポリシーは、WebLogic管理コンソールから管理します。サービス・ポリシーの詳細は、Oracle Web Service Managerセキュリティ・ポリシーの使用を参照してください

WebLogic Webサービス・ポリシーのサブセットは、OWSMポリシーと相互運用できます。詳細は、『Oracle Web Services Manager相互運用性ソリューション・ガイド』のOracle WebLogic Server 12c Webサービス・セキュリティ環境との相互運用性に関する項を参照してください。

OWSMポリシーは、JAX-RPC Webサービスにアタッチできません。

3.4 RESTful WebサービスおよびクライアントでサポートされるOWSMポリシー

すべてのOWSMポリシーが、RESTful Webサービスおよびクライアントでサポートされるわけではありません。OWSMセキュリティ・ポリシーのサブセットのみが、RESTful Webサービスおよびクライアントでサポートされます。

これらのポリシーの概要を表3-9に示します。

注意:

この項は、Java EE、SOAおよびOracle Service Bus RESTful Webサービスとクライアントに適用されます。

OWSMポリシーは、Jersey 1.x JAX-RS RIを使用して構築されたRESTful Webサービスおよびクライアントにのみアタッチできます。Jersey 2.5 JAX-RS RIを使用して構築されたRESTful Webサービスおよびクライアントは、このリリースではOWSMポリシーを使用して保護できません。Jersey 2.5 JAX-RS RIを使用して作成されたRESTful Webサービスとクライアントを保護する場合の詳細は、『Oracle WebLogic Server RESTful Webサービスの開発と保護』の「RESTful Webサービスおよびクライアントの保護」を参照してください。

表3-9 RESTful WebサービスおよびクライアントでサポートされるOWSMセキュリティ・ポリシー

セキュリティサポートされているポリシー

セキュリティ	サポートされているポリシー
認証ポリシー	表3-2で定義された認証ポリシー
Authorization	`oracle/binding_authorization_denyall_policy` `oracle/binding_authorization_permitall_policy` `oracle/binding_permission_authorization_policy` 注意: `oracle/binding_permission_authorization_policy`権限ベース・ポリシーは、RESTful Oracle Service Bus Webサービスおよびクライアントでサポートされていません。

認証ポリシー

表3-2で定義された認証ポリシー

Authorization

oracle/binding_authorization_denyall_policy
oracle/binding_authorization_permitall_policy
oracle/binding_permission_authorization_policy

注意: oracle/binding_permission_authorization_policy権限ベース・ポリシーは、RESTful Oracle Service Bus Webサービスおよびクライアントでサポートされていません。

注意:

oracle/http_spnego_token_service_templateアサーション・テンプレートを使用して作成する、SPNEGOトークン・ポリシーをアタッチすることもできます。詳細は、「SPNEGOネゴシエーションによるKerberosの構成」を参照してください。

3.5 SOAP Over JMSトランスポートを使用するWebサービスおよびクライアントでサポートされるOWSMポリシー

すべてのOWSMポリシーが、SOAP Over JMSトランスポートを使用するWebサービスおよびクライアントでサポートされるわけではありません。SOAP Over JMSトランスポートを使用するWebサービスおよびクライアントでは、OWSMセキュリティ・ポリシーのサブセットのみがサポートされています。

これらのサポートされているポリシーには次のものが含まれます。

wsmtom_policy
wss_saml_token_bearer_client_policy
wss_username_token_client_policyおよびwss_username_token_service_policy
wss10_message_protection_client_policyおよびwss10_message_protection_service_policy
wss10_saml_token_client_policyおよびwss10_saml_token_service_policy
wss10_saml_hok_token_with_message_protection_client_policyおよびwss10_saml_hok_token_with_message_protection_service_policy
wss10_saml_token_with_message_integrity_client_policyおよびwss10_saml_hok_token_with_message_integrity_service_policy
wss10_saml_token_with_message_protection_client_policyおよびwss10_saml_token_with_message_protection_service_policy
wss10_saml_token_with_message_protection_ski_basic256_client_policyおよびwss10_saml_token_with_message_protection_ski_basic256_service_policy
wss10_username_token_with_message_protection_client_policyおよびwss10_username_token_with_message_protection_service_policy
wss10_x509_token_with_message_protection_client_policyおよびwss10_x509_token_with_message_protection_service_policy
wss11_kerberos_token_client_policyおよびwss11_kerberos_token_service_policy
wss11_kerberos_token_with_message_protection_client_policyおよびwss11_kerberos_token_with_message_protection_service_policy
wss11_kerberos_token_with_message_protection_basic128_client_policyおよびwss11_kerberos_token_with_message_protection_basic128_service_policy
wss11_message_protection_client_policyおよびwss11_message_protection_service_policy
wss11_saml_token_identity_switch_with_message_protection_client_policy
wss11_saml_token_with_message_protection_client_policyおよびwss11_saml_token_with_message_protection_service_policy
wss11_x509_token_with_message_protection_client_policyおよびwss11_x509_token_with_message_protection_service_policy
wss11_x509_token_with_message_protection_wssc_client_policyおよびwss11_x509_token_with_message_protection_wssc_service_policy
wss11_x509_token_with_message_protection_wssc_reauthn_client_policyおよびwss11_x509_token_with_message_protection_wssc_reauthn_service_policy
wss11_sts_issued_saml_hok_with_message_protection_client_policyおよびwss11_sts_issued_saml_hok_with_message_protection_service_policy
wss11_username_token_with_message_protection_client_policyおよびwss11_username_token_with_message_protection_service_policy
wss11_username_token_with_message_protection_wssc_client_policyおよびwss11_username_token_with_message_protection_wssc_service_policy

3.6 SOAコンポジット・サービスおよびクライアントでサポートされるOWSMポリシー

SOAP SOAコンポジット・サービスおよびクライアントには様々なOWSMポリシーをアタッチできますが、RESTful Webサービスおよびクライアントでサポートされるのは、OWSMセキュリティ・ポリシーの1つのサブセットのみです。

SOAP SOAコンポジット・サービスおよびクライアントについては、構成ポリシーで説明されているように構成ポリシーを除いて、Oracle Web Services Managerの事前定義済ポリシーで説明されているすべてのポリシーが適用されます。

RESTful SOAコンポジット・サービスおよびクライアントの詳細は、RESTful WebサービスおよびクライアントでサポートされるOWSMポリシーを参照してください。

3.7 SSLの構成が必要なOWSMポリシー

このトピックでは、SSLを構成する必要があるOWSMポリシー、およびそれらのポリシーを作成するために使用できるテンプレートの一覧を示します。

詳細は、次の項を参照してください。

3.7.1 SSLの構成が必要なポリシーのリスト

SSLの構成が必要なOWSMポリシーは次のとおりです。

oracle/wss_http_token_over_ssl_service_policy
oracle/wss_http_token_over_ssl_client_policy
oracle/wss_saml_token_bearer_over_ssl_server_policy
oracle/wss_saml_token_bearer_over_ssl_client_policy
oracle/wss_saml_token_over_ssl_service_policy
oracle/wss_saml_token_over_ssl_client_policy
oracle/wss_username_token_over_ssl_service_policy
oracle/wss_username_token_over_ssl_client_policy
http_basic_auth_over_ssl_client_policy
http_basic_auth_over_ssl_service_policy
http_jwt_token_over_ssl_client_policy
http_jwt_token_over_ssl_service_policy
http_oauth2_token_identity_switch_opc_oauth2_over_ssl_client_policy
http_oauth2_token_identity_switch_over_ssl_client_policy
http_oauth2_token_opc_oauth2_over_ssl_client_policy
http_oauth2_token_over_ssl_client_policy
http_saml20_token_bearer_over_ssl_client_policy
http_saml20_token_bearer_over_ssl_service_policy
multi_token_over_ssl_rest_service_policy
wss_http_token_over_ssl_client_policy
wss_http_token_over_ssl_service_policy
wss_saml20_token_bearer_over_ssl_client_policy
wss_saml20_token_bearer_over_ssl_service_policy
wss_saml20_token_over_ssl_client_policy
wss_saml20_token_over_ssl_service_policy
wss_saml_or_username_token_over_ssl_service_policy
wss_saml_token_bearer_over_ssl_client_policy
wss_saml_token_bearer_over_ssl_service_policy
wss_saml_token_over_ssl_client_policy
wss_saml_token_over_ssl_service_policy
wss_sts_issued_saml_bearer_token_over_ssl_client_policy
wss_sts_issued_saml_bearer_token_over_ssl_service_policy
wss_username_token_over_ssl_client_policy
wss_username_token_over_ssl_service_policy
wss_username_token_over_ssl_wssc_client_policy
wss_username_token_over_ssl_wssc_service_policy

3.7.2 SSLを必要とするポリシーを作成するためのテンプレートのリスト

次のテンプレートを使用して、SSLを必要とする新しいポリシーを作成できます。

oracle/wss_http_token_over_ssl_service_template。
oracle/wss_http_token_over_ssl_client_template
oracle/wss_saml_token_bearer_over_ssl_service_template。
oracle/wss_saml_token_bearer_over_ssl_client_template
oracle/wss_saml_token_over_ssl_service_template。
oracle/wss_saml_token_over_ssl_client_template
oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_template
oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_template
oracle/wss_username_token_over_ssl_service_template。
oracle/wss_username_token_over_ssl_client_template
http_jwt_token_over_ssl_client_template
http_jwt_token_over_ssl_service_template
http_oauth2_token_over_ssl_client_template
wss11_kerberos_token_over_ssl_client_template
wss11_kerberos_token_over_ssl_service_template
wss_http_token_over_ssl_client_ template
wss_http_token_over_ssl_service_ template
wss_saml20_token_bearer_over_ssl_client_template
wss_saml20_token_bearer_over_ssl_service_template
wss_saml20_token_over_ssl_client_template
wss_saml20_token_over_ssl_service_template
wss_saml_token_bearer_over_ssl_client_template
wss_saml_token_bearer_over_ssl_service_template
wss_saml_token_over_ssl_client_template
wss_saml_token_over_ssl_service_template
wss_sts_issued_saml_bearer_token_over_ssl_client_template
wss_sts_issued_saml_bearer_token_over_ssl_service_template
wss_username_token_over_ssl_ client_template
wss_username_token_over_ssl_ service_template

これらのアサーションおよびポリシーの詳細は、「Oracle Web Services Managerの事前定義済アサーション・テンプレート」および「Oracle Web Services Managerの事前定義済ポリシー」を参照してください。

3.7.3 双方向SSLの構成が必要なポリシーのリスト

このトピックでは、双方向SSLの構成が必要なOWSMポリシーの一覧を示します。

oracle/wss_saml_token_over_ssl_client_policy
oracle/wss_saml_token_over_ssl_service_policy
oracle/wss_username_token_over_ssl_client_policy(相互認証を選択した場合)
oracle/wss_username_token_over_ssl_service_policy(相互認証を選択した場合)
oracle/wss_http_token_over_ssl_client_policy(相互認証を選択した場合)
oracle/wss_http_token_over_ssl_service_policy(相互認証を選択した場合)

3.7.4 双方向SSLを必要とするポリシーを作成するためのテンプレートのリスト

このトピックでは、双方向SSLを必要とする新しいOWSMポリシーを作成するためのテンプレートの一覧を示します。

oracle/wss_saml_token_over_ssl_client_template
oracle/wss_saml_token_over_ssl_service_template。

3.8 アイデンティティ・コンテキストでサポートされるOWSMポリシー

すべてのOWSMポリシーでアイデンティティ・コンテキスト機能がサポートされるわけではありません。OWSMセキュリティ・ポリシーのサブセットのみがアイデンティティ・コンテキスト機能でサポートされます。

アイデンティティ・コンテキスト機能の詳細は、「OWSMによるアイデンティティ・コンテキストの伝播について」を参照してください。

次のSAMLポリシーは、propagate.identity.context構成プロパティをサポートしています。

oracle/http_saml20_token_bearer_service_policyおよびoracle/http_saml20_token_bearer_client_policy
oracle/http_saml20_token_bearer_over_ssl_service_policyおよびoracle/http_saml20_token_bearer_over_ssl_client_policy
oracle/wss_saml_or_username_token_service_policy
oracle/wss_saml_or_username_token_over_ssl_service_policy
oracle/wss_saml_token_bearer_over_ssl_service_policyおよびoracle/wss_saml_token_bearer_over_ssl_client_policy
oracle/wss_saml_token_over_ssl_service_policyおよびoracle/wss_saml_token_over_ssl_client_policy
oracle/wss_saml20_token_bearer_over_ssl_service_policyおよびoracle/wss_saml20_token_bearer_over_ssl_client_policy
oracle/wss_saml20_token_over_ssl_service_policyおよびoracle/wss_saml20_token_over_ssl_client_policy
oracle/wss10_saml_token_service_policyおよびoracle/wss10_saml_token_client_policy
oracle/wss10_saml_token_with_message_integrity_service_policyおよびoracle/wss10_saml_token_with_message_integrity_client_policy
oracle/wss10_saml_token_with_message_protection_service_policyおよびoracle/wss10_saml_token_with_message_protection_client_policy
oracle/wss10_saml_token_with_message_protection_ski_basic256_service_policyおよびoracle/wss10_saml_token_with_message_protection_ski_basic256_client_policy
oracle/wss10_saml20_token_service_policyおよびoracle/wss10_saml20_token_client_policy
oracle/wss10_saml20_token_with_message_protection_service_policyおよびoracle/wss10_saml20_token_with_message_protection_client_policy
oracle/wss11_saml_token_with_message_protection_service_policyおよびoracle/wss11_saml_token_with_message_protection_client_policy
oracle/wss11_saml_or_username_token_with_message_protection_service_policy
oracle/wss11_saml20_token_with_message_protection_service_policyおよびoracle/wss11_saml20_token_with_message_protection_client_policy

3.9 WS-SecureConversationでサポートされるOWSMポリシー

デフォルトでWS-SecureConversationが有効化されているOWSMポリシーの詳細を示します。

デフォルトでWS-SecureConversationが有効になるOWSMポリシーを次に示します。

oracle/wss11_saml_token_with_message_protection_wssc_client_policy
oracle/wss11_saml_token_with_message_protection_wssc_service_policy
oracle/wss11_saml_token_with_message_protection_wssc_reauthn_client_policy
oracle/wss11_saml_token_with_message_protection_wssc_reauthn_service_policy
oracle/wss11_username_token_with_message_protection_wssc_client_policy
oracle/wss11_username_token_with_message_protection_wssc_service_policy
oracle/wss11_x509_token_with_message_protection_wssc_client_policy
oracle/wss11_x509_token_with_message_protection_wssc_service_policy
oracle/wss_username_token_over_ssl_wssc_client_policy
oracle/wss_username_token_over_ssl_wssc_service_policy

これらのポリシーに加え、多くの事前定義済アサーション・テンプレートに基づくポリシーがWS-SecureConversationをサポートしています。詳細は、「Oracle Web Services Managerの事前定義済アサーション・テンプレート」を参照してください。

注意:

WS-SecureConversationポリシーではSOAP over JMSはサポートされません。

3.10 JCAアダプタでサポートされるOWSMポリシー

すべてのOWSMポリシーでJCAアダプタがサポートされるわけではありません。OWSMセキュリティ・ポリシーのサブセットのみがJCAアダプタでサポートされます。

OWSMでは、JCAアダプタに対して次の事前定義済ポリシーがサポートされています。

oracle/pii_security_policy

さらに、pii_security_policyをクローニングして作成したカスタム・ポリシーやoracle/pii_security_templateに基づいたカスタム・ポリシーも使用できます。このポリシーの使用方法の詳細は、「個人情報の保護」を参照してください。

注意:

このポリシーは、SOAおよびOracle Service Bus環境のみでサポートされています。

3.11 OES統合でサポートされるOWSMポリシー

すべてのOWSMポリシーでOES統合がサポートされるわけではありません。OWSMセキュリティ・ポリシーのサブセットのみがOES統合でサポートされます。

OWSMでは、OES統合に対して次の事前定義済ポリシーがサポートされています。

oracle/binding_oes_authorization_policy
oracle/binding_oes_masking_policy
oracle/component_oes_authorization_policy

さらに、OESポリシーをクローニングして作成したカスタム・ポリシーやOESテンプレートに基づいたカスタム・ポリシーも使用できます。これらのポリシーの使用方法の詳細は、「Oracle Entitlements Serverを使用したファイングレイン認可の構成について」を参照してください。

3.12 PIIでサポートされるOWSMポリシー

すべてのOWSMポリシーで個人の身元を特定する情報(PII)がサポートされるわけではありません。OWSMセキュリティ・ポリシーのサブセットのみがPIIでサポートされます。

OWSMでは、PIIを保護するために次の事前定義済ポリシーがサポートされています。

oracle/pii_security_policy

さらに、pii_security_policyをクローニングして作成したカスタム・ポリシーやoracle/pii_security_templateに基づいたカスタム・ポリシーも使用できます。このポリシーの使用方法の詳細は、「個人情報の保護」を参照してください。

注意:

このポリシーは、SOAおよびOracle Service Bus環境のみでサポートされています。

3.13 Oracle Service BusでサポートされるOWSMポリシー

Oracle Service BusでサポートされるOWSMポリシーの詳細を説明します。

Oracle Service Busについては、表3-10で示されているものを除き、Oracle Web Services Managerの事前定義済ポリシーで説明されているすべてのポリシーが適用されます。この表は、SOAPおよび非SOAPサービス両方でのサポートされないOWSMアサーションの一覧であり、アサーションを含むポリシーを示し、影響を受ける機能とその機能を実現するための代替方法について説明しています。記述されていないアサーションは、ユーザー定義アサーションも含めてサポートされます。

表3-10 Oracle Service Busでサポートされないポリシーおよびアサーション

サポートされないアサーション	アサーションを含むOWSMポリシー	影響を受ける機能と代替方法
binding-permission-authorization	`oracle/binding_permission_authorization_policy`	サービスに対する許可ベースのアクセス制御。代替方法: XACML認可ポリシーを使用します。
sca-component-auhorization	`oracle/component_authorization_denyall_policy` `oracle/component_authorization_permitall_policy`	コンポーネントにアクセスするすべてを拒否または許可するロール・ベースのアクセス制御。代替方法: 使用できません。
sca-component-pemission-authorization	`oracle/component_permission_authorization_policy`	コンポーネントに対する許可ベースのアクセス制御代替方法: 使用できません。
OptimizedMimeSerialization	`oracle/wsmtom_policy`	MTOM (メッセージ転送最適化メカニズム) 代替方法: プロキシ・サービスまたはビジネス・サービスで直接MTOM構成を使用します。
RMアサーション	`oracle/reliable_messaging_policy` `oracle/wsrm10_policy` `oracle/wsrm11_policy`	WS-RM 1.0/1.1 代替方法: WS-RM 1.0用のService Busで直接WSトランスポートを使用します。
UsingAddressing	`oracle/wsaddr_policy`	WS-Addressingが要件代替方法: SOA-DIRECTトランスポートを使用するビジネス・サービスでWS-Addressingを構成するか、Service BusパイプラインのメッセージにWS-Addressingを追加します。