17 Oracle Web Services Managerの事前定義済ポリシー
この章の内容は次のとおりです。
注意:
-
現行リリースとともに配布される事前定義済のポリシーおよびアサーション・テンプレートは、読取り専用です。ポリシーまたはアサーション・テンプレートを変更するには、それらをコピーしておく必要があります。セキュリティ・カテゴリおよび管理カテゴリのポリシーのみをコピーできます。アサーション内の属性をポリシーに追加してから構成することもできます。アサーション・テンプレートの管理およびポリシーへの追加の詳細は、「ポリシー・アサーション・テンプレートの管理」を参照してください。
-
OWSM 12c事前定義済ポリシーのアタッチ時に「値」フィールドに空白の値(" ")を指定した場合、デフォルトの値が適用されます。11gポリシーまたは任意のカスタム・ポリシーをインポート済の場合、そのポリシーの「デフォルト」フィールドに同じ効果をもたらす有効な値が設定されていることを確認してください。それ以外の場合は、指定した値が取得されます。
17.1 アドレス・ポリシー
OWSMの事前定義済のアドレス・ポリシーを使用して、WS-Addressingヘッダーがインバウンド・メッセージに存在するかどうかを確認し、グローバルに添付されたWS Addressingポリシーを上位スコープで効率よく無効化できます。
トピック:
-
oracle/wsaddr_policyは、W3C 2005 Final WS-Addressing Policy標準に準拠したWS-Addressingヘッダーがインバウンド・メッセージに存在するかどうかを確認します。
-
oracle/no_addressing_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたWS Addressingポリシーを上位スコープで効率よく無効化します。
Webサービスのアドレス・ポリシーのアタッチの詳細は、次を参照してください。
-
『Webサービスの管理』のFusion Middleware Controlを使用したアドレッシングの構成に関する項
-
『Webサービスの管理』のWLSTを使用したアドレッシングの構成に関する項
17.2 アトミック・トランザクション・ポリシー
事前定義済のOWSMアトミック・トランザクション・ポリシーを使用して、アトミック・トランザクションのサポートを有効化および構成できます。
トピック:
-
oracle/atomic_transaction_policyは、アトミック・トランザクションのサポートを有効にして、構成します。
-
oracle/no_atomic_transaction_policyは、エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたアトミック・トランザクションWebサービス・ポリシーを上位スコープで効率よく無効化します。
Webサービスのアトミック・トランザクション・ポリシーのアタッチの詳細は、次を参照してください。
-
『Webサービスの管理』のFusion Middleware Controlを使用したアトミック・トランザクションの構成に関する項
-
『Webサービスの管理』のWLSTを使用したアトミック・トランザクションの構成に関する説明
17.3 構成ポリシー
Webサービスを有効化および構成するOWSM事前定義済構成プロパティを使用できます。
トピック:
注意:
以下の点に注意する必要があります。
-
構成ポリシーを複製することはできません。
-
構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
-
oracle/async_web_service_policyは、非同期Webサービスを有効にして、構成します。
-
oracle/cache_binary_content_policyは、コンテンツのバイナリ・キャッシュのサポートを有効にして、構成します。
-
oracle/fast_infoset_client_policyは、Webサービス・クライアント上のFast Infosetを有効にして、構成します。
-
oracle/fast_infoset_service_policyは、Webサービス上のFast Infosetを有効にします。
-
oracle/max_request_size_policyは、Webサービスに送信可能なリクエスト・メッセージの最大サイズをバイト単位で構成します。
-
oracle/mex_request_processing_service_policyは、Webサービス・メタデータの交換を有効にします。
-
oracle/mtom_encode_fault_service_policyは、MTOMが有効になっている場合の、MTOM対応SOAPフォルト・メッセージの作成を有効にします。
-
oracle/no_async_web_service_policyは、エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた非同期Webサービス・ポリシーを上位スコープで効率よく無効化します。
-
oracle/no_cache_binary_content_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたバイナリ・キャッシング・ポリシーを上位スコープで効率よく無効化します。
-
oracle/no_fast_infoset_client_policyは、エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたFast Infosetクライアント・ポリシーを上位スコープで効率よく無効化します。
-
oracle/no_fast_infoset_service_policyは、エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたFast Infosetサービス・ポリシーを上位スコープで効率よく無効化します。
-
oracle/no_max_request_size_policyは、エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた最大リクエスト・サイズ・ポリシーを上位スコープで効率よく無効化します。
-
oracle/no_mex_request_processing_service_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたWebサービス・メタデータ交換ポリシーを上位スコープで効率よく無効化します。
-
oracle/no_mtom_encode_fault_service_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたSOAPフォルトMTOMエンコーディング・ポリシーを上位スコープで効率よく無効化します。
-
oracle/no_persistence_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付された永続性ポリシーを上位スコープで効率よく無効化します。
-
oracle/no_pox_http_binding_service_policyは、エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたPlain Old XML (POX)ポリシーを上位スコープで効率よく無効化します。
-
oracle/no_request_processing_service_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたリクエスト処理ポリシーを上位スコープで効率よく無効化します。
-
oracle/no_schema_validation_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたスキーマ検証ポリシーを上位スコープで効率よく無効化します。
-
oracle/no_soap_request_processing_service_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたSOAPリクエスト処理ポリシーを上位スコープで効率よく無効化します。
-
oracle/no_test_page_processing_service_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたテスト・ページ処理ポリシーを上位スコープで効率よく無効化します。
-
oracle/no_ws_logging_level_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたロギング・ポリシーを上位スコープで効率よく無効化します。
-
oracle/no_wsdl_request_processing_service_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたWSDLリクエスト処理ポリシーを上位スコープで効率よく無効化します。
-
oracle/persistence_policyは、Webサービスのセキュア通信永続性メカニズムを構成します。
-
oracle/pox_http_binding_service_policyは、ユーザー定義の
javax.xml.ws.Provider<T>.invoke
メソッドによって処理される非SOAP XMLメッセージをエンドポイントで受信できるようにします。 -
oracle/request_processing_service_policyは、Webサービス・エンドポイントで着信リクエストを処理できるようにします。
-
oracle/schema_validation_policyは、スキーマに対するリクエスト・メッセージの検証を有効にします。
-
oracle/soap_request_processing_service_policyは、Webサービス・エンドポイントでのSOAPリクエストの処理を有効にします。
-
oracle/test_page_processing_policyは、『Webサービスの管理』のWebサービス・テスト・クライアントの使用に関する項で説明されているように、Webサービス・テスト・クライアントを有効にします。
-
oracle/ws_logging_level_policyは、Webサービス・エンドポイントの診断ログのログ・レベルを設定します。
-
oracle/wsdl_request_processing_service_policyは、WebサービスがWSDLにアクセスできるようにします。
構成ポリシーのアタッチの詳細は、次を参照してください。
-
Webサービスの管理のFusion Middleware Controlを使用したWebサービスの構成
-
Webサービスの管理のWLSTを使用したWebサービスの構成に関する項
17.4 管理ポリシー
事前定義済の管理ポリシーを使用して、リクエストのSOAPメッセージ全体およびレスポンスのSOAP本体情報のみをログに記録できます。
oracle/log_policyを使用すると、メッセージ・ログにリクエスト、レスポンスおよびフォルト・メッセージが送信されます。
17.5 MTOMポリシー
事前定義済のメッセージ転送最適化メカニズム(MTOM)・ポリシーを使用して、グローバルにアタッチされたWS MTOMポリシーを上位スコープで効率よく無効化し、MTOM形式ではないインバウンド・メッセージを拒否し、アウトバウンド・メッセージがMTOM形式であるかどうかを検証できます。
トピック:
-
oracle/no_mtom_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたWS MTOMポリシーを上位スコープで効率よく無効化します。
-
oracle/wsmtom_policyは、MTOM形式ではないインバウンド・メッセージを拒否し、アウトバウンド・メッセージがMTOM形式であるかどうかを検証します。
MTOMポリシーのアタッチの詳細は、次を参照してください。
-
『Webサービスの管理』のFusion Middleware Controlを使用したMTOMの構成に関する項
-
『Webサービスの管理』のWLSTを使用したMTOMの構成に関する項
17.6 信頼できるメッセージング・ポリシー
事前定義済の信頼できるメッセージング・ポリシーを使用して、グローバルにアタッチされたWebサービスの信頼性のあるメッセージング・ポリシーを効果的に無効化し、WebサービスおよびクライアントのWebサービスの信頼性のあるメッセージングを構成し、Web Services Reliable Messagingプロトコルを構成できます。
トピック:
-
oracle/no_reliable_messaging_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたWeb Services信頼できるメッセージング・ポリシーを上位スコープで効率よく無効化します。
-
oracle/no_wsrm_policyは、エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたWeb Services信頼できるメッセージング・ポリシーを上位スコープで効率よく無効化します。
-
oracle/reliable_messaging_policyは、Webサービスおよびクライアントで、Webサービスの信頼性のあるメッセージングを構成します。
-
oracle/wsrm10_policyは、Web Services Reliable Messagingプロトコルのバージョン1.0を構成します。
-
oracle/wsrm11_policyは、Web Services Reliable Messagingプロトコルのバージョン1.1を構成します。
信頼できるメッセーング・ポリシーのアタッチの詳細は、次を参照してください。
-
『Webサービスの管理』のFusion Middleware Controlを使用した信頼できるメッセージングの構成に関する項
-
『Webサービスの管理』のWLSTを使用した信頼できるメッセージングの構成に関する項
17.7 セキュリティ・ポリシー - 認証のみ
認証のみシナリオ用の事前定義済セキュリティ・ポリシーを使用できます。
トピック:
注意:
Kerberos over SSLおよびSPNEGOの2つの認証のみシナリオには、事前定義済のポリシーはありません。これらのシナリオを使用するには、Oracle Web Services Managerの事前定義済アサーション・テンプレートで説明されているKerberos over SSLおよびSPNEGOアサーション・テンプレートを使用する独自のポリシーを作成します。
-
oracle/wss_saml_bearer_or_username_token_service_policyは、クライアントがSAMLまたはユーザー名トークンのいずれを使用するかに基づいて、次の認証ポリシーのいずれかを強制します。
-
Bearer確認タイプを使用するWS-Security SOAPヘッダー内のSAMLトークン。
-
構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。
-
-
oracle/wss_saml_or_username_token_service_policyは、クライアントがSAMLまたはユーザー名トークンのいずれを使用するかに基づいて、次の認証ポリシーのいずれかを強制します。
-
sender-vouchesの確認タイプを使用したWS-Security SOAPヘッダー内のSAMLトークン。
-
構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。
-
-
oracle/wss_saml_token_bearer_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。
-
oracle/http_oam_token_service_policyは、OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。
-
oracle/http_saml20_token_bearer_client_policyは、HTTPヘッダーにSAML Bearer V2.0トークンを含めます。
-
oracle/http_saml20_token_bearer_service_policyは、HTTPヘッダー内の確認方法がBearerのSAML v2.0トークンに含まれる資格証明を使用してユーザーを認証します。
-
oracle/multi_token_rest_service_policyは、クライアントにより送信されたトークンに基づいて次のいずれかの認証ポリシーを強制します。
-
HTTP Basic: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
-
HTTPヘッダーのSAML v2.0 Bearerトークン: HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
-
HTTP OAMセキュリティ: OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。
-
SPNEGO over HTTPセキュリティ: Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO)トークンをHTTPヘッダーから抽出します。
-
-
oracle/no_authentication_client_policyは、クライアント・エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付された認証ポリシーを上位スコープで効率よく無効化します。
-
oracle/no_authentication_service_policyは、サービス・エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付された認証ポリシーを上位スコープで効率よく無効化します。
-
oracle/wss_http_token_client_policyは、アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を含めます。
-
oracle/wss_http_token_service_policyは、HTTPヘッダーの資格証明を使用して、OPSSアイデンティティ・ストアに対してユーザーを認証します。
-
oracle/wss_username_token_client_policyは、すべてのアウトバウンドSOAPリクエスト・メッセージにWS-Security UsernameTokenヘッダーの資格証明を含めます。
-
oracle/wss_username_token_service_policyは、UsernameToken WS-Security SOAPヘッダーの資格証明を使用してユーザーを認証します。
-
oracle/wss10_saml_token_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。
-
oracle/wss10_saml_token_service_policyは、WS-Security SOAPヘッダー内のSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
-
oracle/wss10_saml20_token_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。
-
oracle/wss10_saml20_token_service_policyは、WS-Security SOAPヘッダー内のSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
-
oracle/wss11_kerberos_token_client_policyは、WS-Security Kerberos Token Profile v1.1標準に従い、WS-SecurityヘッダーにKerberosトークンを含めます。
-
oracle/wss11_kerberos_token_service_policyは、SOAPヘッダーからKerberosトークンを抽出し、ユーザーを認証します。
-
oracle/multi_token_rest_access_service_policyでは、リクエストにセキュリティ・トークンがない場合に匿名サブジェクトを使用してエンドポイントにアクセスできます。また、セキュリティ・トークンがリクエストに存在しない場合にサービスから403レスポンスをマスクします。
-
oracle/multi_token_rest_access_over_ssl_service_policyでは、リクエストにセキュリティ・トークンがない場合に匿名サブジェクトを使用してSSL経由でエンドポイントにアクセスできます。また、セキュリティ・トークンがリクエストに存在しない場合にサービスから403レスポンスをマスクします。
-
oracle/http_anonymous_rest_service_policyでは、コンテキストで匿名サブジェクトを使用してエンドポイントにアクセスできます。
-
oracle/http_anonymous_rest_over_ssl_service_policyでは、コンテキストで匿名サブジェクトを使用してSSL経由でエンドポイントにアクセスできます。
-
oracle/multi_token_sso_over_ssl_rest_service_policyは、クライアントにより送信されたトークンに基づいて次のいずれかの認証ポリシーを強制します。
-
HTTP Basic over SSL: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
-
HTTPヘッダーのSAML 2.0 Bearerトークン(SSL経由): HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
-
HTTP OAMセキュリティ(SSL以外): OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。(サーバー側でのみSSL以外のOAM保護を提供します。)
-
SPNEGO over HTTPセキュリティ(SSL以外): SPNEGO Kerberosトークン情報をHTTPヘッダーから抽出します。(SSL以外の保護のみを提供します。)
-
HTTPヘッダー内のJWTトークン(SSL経由): HTTPヘッダー内のJWTトークンからユーザー名を抽出します。
-
-
oracle/multi_token_sso_rest_service_policyは、クライアントにより送信されたトークンに基づいて次のいずれかの認証ポリシーを強制します。
-
HTTP Basic over SSL: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
-
HTTPヘッダーのSAML 2.0 Bearerトークン(SSL経由): HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
-
HTTP OAMセキュリティ(SSL以外): OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。(サーバー側でのみSSL以外のOAM保護を提供します。)
-
SPNEGO over HTTPセキュリティ(SSL以外): SPNEGO Kerberosトークン情報をHTTPヘッダーから抽出します。(SSL以外の保護のみを提供します。)
-
HTTPヘッダー内のJWTトークン(SSL経由): HTTPヘッダー内のJWTトークンからユーザー名を抽出します。
-
17.8 セキュリティ・ポリシー - 認可のみ
認証のみシナリオ用の事前定義済セキュリティ・ポリシーを使用できます。
この項では、事前定義済のOWSM認可のみセキュリティ・ポリシーについて次の各トピックで説明します。
-
oracle/binding_authorization_denyall_policyは、SOAPバインディング・レベルの認証されたサブジェクトに基づき、簡単なロール・ベースの認可ポリシーを提供します。
-
oracle/binding_authorization_permitall_policyは、SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロール・ベースの認可を行います。
-
oracle/binding_permission_authorization_policyは、認証済のサブジェクトに基づく権限ベースの認可ポリシーを提供します。
-
oracle/component_authorization_denyall_policyは、認証されたサブジェクトに基づき、簡単なロールベースの認可ポリシーを提供します。
-
oracle/component_authorization_permitall_policyは、認証されたサブジェクトに基づき、簡単なロールベースの認可ポリシーを提供します。
-
oracle/component_permission_authorization_policyは、認証済のサブジェクトに基づく権限ベースの認可ポリシーを提供します。
-
oracle/no_authorization_component_policyは、SOAコンポーネントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付された認可ポリシーを上位スコープで効率よく無効化します。
-
oracle/no_authorization_service_policyは、サービス・エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付された認可ポリシーを上位スコープで効率よく無効化します。グローバルにアタッチされたポリシーに、認可アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効になります。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
-
oracle/whitelist_authorization_policyは、次のいずれかの条件が真である場合にのみリクエストを受け入れます。
-
認証されたトークンがSAML送信者保証の場合。
-
ユーザーが特定のロールの場合(デフォルトは
trustedEnterpriseRole
であり、ユーザーを信頼できるエンティティとして確立します -
リクエストがプライベート・ネットワークから届いている場合。
-
17.9 セキュリティ・ポリシー - メッセージ保護のみ
メッセージ保護のみシナリオ用の事前定義済セキュリティ・ポリシーを使用できます。
トピック:
-
oracle/no_messageprotection_client_policyは、クライアント・エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたメッセージ保護ポリシーを上位スコープで効率よく無効化します。
-
oracle/no_messageprotection_service_policyは、サービス・エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたメッセージ保護ポリシーを上位スコープで効率よく無効化します。
-
oracle/wss10_message_protection_client_policyは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
-
oracle/wss10_message_protection_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
-
oracle/wss11_message_protection_client_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストにメッセージの整合性および機密保護を提供します。
-
oracle/wss11_message_protection_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストにメッセージの整合性および機密保護を提供します。
17.10 セキュリティ・ポリシー - メッセージ保護および認証
OWSMには、メッセージ保護および認証用の事前定義済セキュリティ・ポリシーがあります。
この項では、これらのポリシーについて次の各トピックで説明します。
-
oracle/http_basic_auth_over_ssl_client_policyでは、アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込んで、トランスポート・プロトコルがHTTPSであることを検証します。
-
oracle/http_basic_auth_over_ssl_service_policyは、HTTPヘッダー内の資格証明を使用して、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。
-
oracle/http_saml20_token_bearer_over_ssl_client_policyは、HTTPヘッダーにSAML Bearer v2.0トークンを含めます。確認方式がBearerとなっているSAMLトークンが自動的に作成され、トランスポート・プロトコルがSSLメッセージ保護を提供していることが検証されます。
-
oracle/http_saml20_bearer_token_over_ssl_service_policyは、HTTPヘッダー内の確認方式がBearerとなっているSAML v2.0トークンに指定されている資格証明を使用してユーザーを認証し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
-
oracle/multi_token_over_ssl_rest_service_policyは、クライアントにより送信されたトークンに基づいて次のいずれかの認証ポリシーを強制します。
-
HTTP Basic over SSL: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
-
HTTPヘッダーのSAML 2.0 Bearerトークン(SSL経由): HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
-
HTTP OAMセキュリティ(SSL以外): OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。
-
SPNEGO over HTTPセキュリティ(非SSL): SPNEGOトークン情報をHTTPヘッダーから抽出します。
-
-
oracle/pii_security_policyは保護するPIIデータを暗号化します。
-
oracle/sts_trust_config_client_policyは、トークン交換用のSTS呼出しに使用されるSTSクライアント構成情報を指定します。
-
oracle/sts_trust_config_service_policyは、トークン交換用のSTS呼出しに使用されるSTS構成情報を指定します。
-
oracle/wss_saml_or_username_token_over_ssl_service_policyは、メッセージ保護(整合性と機密保護)を実行し、クライアントがSAMLまたはユーザー名トークンを使用するかどうかに基づいて、それぞれ次のいずれかの認証ポリシーを実行します。
-
sender-vouchesの確認タイプを使用したWS-Security SOAPヘッダー内のSAMLトークン。
-
構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。
-
-
oracle/wss_saml_token_bearer_over_ssl_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。
-
oracle/wss_saml_token_bearer_over_ssl_service_policyは、WS-Security SOAPヘッダー内の確認方法がBearerのSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
-
oracle/wss_http_token_over_ssl_client_policyは、アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込み、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。
-
oracle/wss_http_token_over_ssl_service_policyは、HTTPヘッダー内の資格証明を抽出して、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。
-
oracle/wss_saml_token_over_ssl_client_policyは、確認タイプsender-vouchesを使用して、アウトバウンドWS-Security SOAPヘッダーに、SAMLトークンを組み込みます。
-
oracle/wss_saml_token_over_ssl_service_policyは、確認タイプsender-vouchesを使用した、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証を実行し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
-
oracle/wss_saml20_token_bearer_over_ssl_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
-
oracle/wss_saml20_token_bearer_over_ssl_service_policyは、WS-Security SOAPヘッダー内の確認方式がBearerとなっているSAMLトークンに指定されている資格証明を使用してユーザーを認証し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
-
oracle/wss_saml20_token_over_ssl_client_policyは、確認タイプsender-vouchesを使用して、アウトバウンドWS-Security SOAPヘッダーにSAMLトークンを組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
-
oracle/wss_saml20_token_over_ssl_service_policyは、確認タイプsender-vouchesを使用した、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証を実行し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
-
oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policyは、信頼できるSTSが発行したSAML Bearerアサーションを挿入します。
-
oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policyは、信頼できるSTSが発行したSAML Bearerアサーションを認証します。
-
oracle/wss_username_token_over_ssl_client_policyは、アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
-
oracle/wss_username_token_over_ssl_service_policyは、WS-Security UsernameToken SOAPヘッダー内の資格証明を使用して、OPSS構成済アイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
-
oracle/wss_username_token_over_ssl_wssc_client_policyは、アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
-
oracle/wss_username_token_over_ssl_wssc_service_policyは、WS-Security UsernameToken SOAPヘッダー内の資格証明を使用して、OPSS構成済アイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
-
oracle/wss10_saml_hok_token_with_message_protection_client_policyは、アウトバウンドSOAPメッセージに対してWS-Security 1.0標準に従ったメッセージ保護(整合性と機密保護)およびSAML Holder of Keyベースの認証を行います。
-
oracle/wss10_saml_hok_token_with_message_protection_service_policyは、インバウンドSOAPリクエストに対してWS-Security 1.0標準に従ったメッセージ保護(整合性と機密保護)およびSAML Holder of Keyベースの認証を行います。
-
oracle/wss10_saml_token_with_message_integrity_client_policyは、WS-Security 1.0標準に準拠して、アウトバウンドSOAPメッセージに対してメッセージレベルの整合性およびSAMLベースの認証を提供します。
-
oracle/wss10_saml_token_with_message_integrity_service_policyは、インバウンドSOAPリクエストに対してWS-Security 1.0標準に従ったメッセージ・レベルの整合性の保護およびSAMLベースの認証を行います。
-
oracle/wss10_saml_token_with_message_protection_client_policyは、WS-Security 1.0標準に準拠して、アウトバウンドSOAPメッセージに対してメッセージレベルの保護およびSAMLベースの認証を提供します。
-
oracle/wss10_saml_token_with_message_protection_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。
-
oracle/wss10_saml_token_with_message_protection_ski_basic256_client_policyは、WS-Security 1.0標準に準拠して、アウトバウンドSOAPメッセージに対してメッセージレベルの保護およびSAMLベースの認証を提供します。
-
oracle/wss10_saml_token_with_message_protection_ski_basic256_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。
-
oracle/wss10_saml20_token_with_message_protection_client_policyは、WS-Security 1.0標準に準拠して、アウトバウンドSOAPメッセージに対してメッセージレベルの保護およびSAMLベースの認証を提供します。
-
oracle/wss10_saml20_token_with_message_protection_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。
-
oracle/wss10_username_id_propagation_with_msg_protection_client_policyは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)およびアイデンティティの伝播を提供します。
-
oracle/wss10_username_id_propagation_with_msg_protection_service_policyは、WS-Security 1.0に記述されたメカニズムを使用して、インバウンドSOAPリクエストに対するメッセージ・レベルの保護(整合性および機密保護)およびアイデンティティ伝播を実施します。
-
oracle/wss10_username_token_with_message_protection_client_policyは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および認証を提供します。
-
oracle/wss10_username_token_with_message_protection_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(メッセージの整合性および機密保護)と、認証を行います。
-
oracle/wss10_username_token_with_message_protection_ski_basic256_client_policyは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および認証を提供します。
-
oracle/wss10_username_token_with_message_protection_ski_basic256_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(メッセージの整合性および機密保護)と、認証を行います。
-
oracle/wss10_x509_token_with_message_protection_client_policyは、アウトバウンドSOAPリクエストに対してWS-Security 1.0標準に従ったメッセージ保護(整合性と機密保護)および証明書資格証明の移入を行います。
-
oracle/wss10_x509_token_with_message_protection_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、証明書ベースの認証を行います。
-
oracle/wss11_kerberos_token_with_message_protection_client_policyは、WS-SecurityヘッダーにKerberosトークンを組み込み、WS-Security Kerberos Token Profile v1.1標準に従い、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。
-
oracle/wss11_kerberos_token_with_message_protection_service_policyは、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。
-
oracle/wss11_kerberos_token_with_message_protection_basic128_client_policyは、WS-SecurityヘッダーにKerberosトークンを組み込み、WS-Security Kerberos Token Profile v1.1標準に従い、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。
-
oracle/wss11_kerberos_token_with_message_protection_basic128_service_policyは、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。
-
oracle/wss11_saml_or_username_token_with_message_protection_service_policyは、メッセージ保護(整合性と機密保護)を実行し、クライアントがSAML、ユーザー名またはHTTPトークンを使用するかどうかに基づいて、それぞれ次のいずれかの認証ポリシーを実行します。
-
WS-Security 1.1標準に従ったインバウンドSOAPリクエストのSAMLベースの認証。
-
WS-Security 1.1標準に従ったインバウンドSOAPリクエストのユーザー名トークン認証。
-
WS-Security SOAPヘッダーの、確認方法がBearerのSAMLトークンに含まれる資格証明を使用する、SAMLベースの認証。トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。
-
UsernameToken WS-Security SOAPヘッダーの資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーを認証する、ユーザー名トークン認証。トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。
-
HTTPヘッダーから抽出した資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーを認証する、HTTP認証。トランスポート・プロトコルがHTTPSであることを検証します。
-
-
oracle/wss11_saml_token_identity_switch_with_message_protection_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
-
oracle/wss11_saml_token_with_message_protection_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
-
oracle/wss11_saml_token_with_message_protection_wssc_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
-
oracle/wss11_saml_token_with_message_protection_wssc_reauthn_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
-
oracle/wss11_saml_token_with_message_protection_wssc_reauthn_service_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
-
oracle/wss11_saml20_token_with_message_protection_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
-
oracle/wss11_saml20_token_with_message_protection_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。
-
oracle/wss11_sts_issued_saml_hok_with_message_protection_client_policyは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを挿入します。メッセージは、STSで提供される証明鍵マテリアルを使用して保護されます。
-
oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policyは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを認証します。
-
oracle/wss11_username_token_with_message_protection_service_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および認証を提供します。プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
-
oracle/wss11_username_token_with_message_protection_client_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、認証を行います。
-
oracle/wss11_username_token_derivedkey_with_message_protection_service_policyでは、リクエストでユーザー名トークンに<wsse11:Salt>または<wsse11:Iteration>要素が含まれるバックエンド・サービス・クライアントと統合するためにOWSMを使用できます。これらの要素をユーザー名トークンで使用し、パスワード導出キーをサポートできます。署名または暗号化が使用されます。
-
oracle/wss11_username_token_derivedkey_with_message_protection_signature_only_client_policyでは、ユーザー名トークンに<wsse11:Salt>または<wsse11:Iteration>要素が必要なバックエンド・サービスと統合するためにOWSMを使用できます。これらの要素をユーザー名トークンで使用し、パスワード導出キーをサポートできます。このクライアント・ポリシーは、署名を使用したメッセージ保護用です。
-
oracle/wss11_username_token_derivedkey_with_message_protection_encryption_only_client_policyでは、ユーザー名トークンに<wsse11:Salt>または<wsse11:Iteration>要素が必要なバックエンド・サービスと統合するためにOWSMを使用できます。これらの要素をユーザー名トークンで使用し、パスワード導出キーをサポートできます。このクライアント・ポリシーは、暗号化を使用したメッセージ保護用です。
-
oracle/wss11_username_token_with_message_protection_wssc_client_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および認証を提供します。
-
oracle/wss11_username_token_with_message_protection_wssc_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、認証を行います。
-
oracle/wss11_x509_token_with_message_protection_client_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および証明書ベースの認証を提供します。
-
oracle/wss11_x509_token_with_message_protection_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ・レベルの保護と、証明書ベースの認証を行います。
-
oracle/wss11_x509_token_with_message_protection_wssc_client_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および証明書ベースの認証を提供します。
-
oracle/wss11_x509_token_with_message_protection_wssc_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ・レベルの保護と、証明書ベースの認証を行います。
17.11 セキュリティ・ポリシー - Sha256のみ
OWSMには、事前定義済のSha256ポリシーがあります。
この項では、事前定義済のOWSM Sha256のみセキュリティ・ポリシーについて次の各トピックで説明します。
-
oracle/wss11_saml_or_username_token_with_message_protection_sha256_service_policyは、メッセージ保護(整合性と機密保護)を実行し、クライアントがSAML、ユーザー名またはHTTPトークンを使用するかどうかに基づいて、認証ポリシーを強制します。
-
oracle/wss11_saml_token_identity_switch_with_message_protection_sha256_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
-
oracle/wss11_saml_token_with_message_protection_sha256_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
-
oracle/wss11_saml_token_with_message_protection_sha256_service_policyは、WS-Security 1.1に記述されているメカニズムを使用して、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
-
oracle/wss11_username_token_with_message_protection_sha256_client_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および認証を提供します。
-
oracle/wss11_username_token_with_message_protection_sha256_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、認証を行います。
-
oracle/wss_saml_bearer_or_username_token_sha256_service_policyは、クライアントがSAML Bearerまたはユーザー名トークンのいずれを使用するかに基づいて、認証ポリシーを強制します。
-
oracle/wss_saml_token_bearer_identity_switch_sha256_client_policyは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えを実行します。
-
oracle/wss_saml_token_bearer_over_ssl_sha256_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。
-
oracle/wss_saml_token_bearer_over_ssl_sha256_service_policyは、WS-Security SOAPヘッダー内の確認方法がBearerのSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
-
oracle/wss_saml_token_bearer_sha256_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAML Bearerトークンを含めます。
-
oracle/wss_saml_token_bearer_sha256_service_policyは、WS-Security SOAPヘッダー内のSAML Bearerトークンに含まれる資格証明を使用してユーザーを認証します。
17.12 セキュリティ・ポリシー - Oracle Entitlements Server
OWSMには、Oracle Entitlements Server (OES)用の事前定義済のセキュリティ・ポリシーがあります。
トピック:
-
oracle/binding_oes_authorization_policyは、Oracle Entitlements Serverで定義されたポリシーに基づき、ユーザー認可を設定します。
-
oracle/binding_oes_masking_policyは、Oracle Entitlements Serverで定義されたポリシーに基づいてレスポンス・マスキングを実行します。
-
oracle/component_oes_authorization_policyは、Oracle Entitlements Serverで定義されたポリシーに基づき、ユーザー認可を設定します。
17.13 SOAP Over JMSトランスポート・ポリシー
SOAP Over JMSトランスポート用の事前定義済ポリシーを使用できます。
トピック:
-
oracle/jms_transport_client_policyは、Webサービス・クライアントに対するSOAP over JMSトランスポートのサポートを有効にして、構成します。
-
oracle/jms_transport_service_policyは、Webサービスに対するSOAP over JMSトランスポートのサポートを有効にして、構成します。
-
oracle/no_jms_transport_client_policyは、エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAP over JMSトランスポート・クライアント・ポリシーを上位スコープで効率よく無効化します。
-
oracle/no_jms_transport_service_policyは、エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAP over JMSトランスポート・サービス・ポリシーを上位スコープで効率よく無効化します。
SOAP over JMSトランスポート・ポリシーのアタッチの詳細は、次を参照してください。
-
『Webサービスの管理』のFusion Middleware Controlを使用したSOAP Over JMSトランスポートの構成に関する項
-
『Webサービスの管理』のWLSTを使用したSOAP Over JMSトランスポートの構成に関する項
17.14 oracle/wsaddr_policy
oracle/wsaddr_policyは、W3C 2005 Final WS-Addressing Policy標準に準拠したWS-Addressingヘッダーがインバウンド・メッセージに存在するかどうかを確認します。また、プラットフォームにより、WS-AddressingヘッダーがアウトバウンドSOAPメッセージに組み込まれます。
表示名: WSアドレス・ポリシー
カテゴリ: WSアドレス
説明
Webサービス・クライアントでのWS-Addressingの構成の詳細は、Web Services Addressing 1.0 - SOAP Bindingの仕様(http://www.w3.org/TR/ws-addr-soap/
)を参照してください。
注意:
以下の点に注意する必要があります。
-
このポリシーを複製することはできません。
-
このポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-1は、このアドレス・ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-1 oracle/wsaddr_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.15 oracle/no_addressing_policy
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWSアドレス・ポリシーを上位スコープで効率よく無効化します。
表示名: アドレッシング動作無効ポリシー
カテゴリ: WSアドレス
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-2は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-2 oracle/no_addressing_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.16 oracle/atomic_transaction_policy
アトミック・トランザクション・ポリシーは、アトミック・トランザクションのサポートを有効にして、構成します。
表示名: アトミック・トランザクション・ポリシー
カテゴリ: アトミック・トランザクション
説明
アトミック・トランザクションの詳細は、Oracle Infrastructure Webサービスの開発のWebサービスのアトミック・トランザクションの使用に関する項を参照してください。
注意:
以下の点に注意する必要があります。
-
このアトミック・トランザクション・ポリシーを複製することはできません。
-
このアトミック・トランザクション・ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
このアトミック・トランザクション・ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-3は、アトミック・トランザクションの、オーバーライド可能な構成プロパティを示しています。
表17-3 oracle/atomic_transaction_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
Webサービスアトミック・トランザクション調整コンテキストがトランザクション・フローとともに渡されるかどうか。有効な値は次のとおりです。
有効な値の詳細は、『Oracle Infrastructure Webサービスの開発』のWebサービスのアトミック・トランザクションの構成に関する項を参照してください。 |
|
オプション |
|
Webサービスのアトミック・トランザクションの調整コンテキストのサポートされているバージョン。Webサービス・クライアントの場合、アウトバウンド・メッセージにのみ使用されるバージョンが指定されます。トランザクション全体で同じ値を指定する必要があります。有効な値は次のとおりです。
有効な値の詳細は、『Oracle Infrastructure Webサービスの開発』のWebサービスのアトミック・トランザクションの構成に関する項を参照してください。 |
|
オプション |
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.17 oracle/no_atomic_transaction_policy
エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたアトミック・トランザクションWebサービス・ポリシーを上位スコープで効率よく無効化します。
表示名: アトミック・トランザクションなしポリシー
カテゴリ: アトミック・トランザクション
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
アトミック・トランザクションの詳細は、Oracle Infrastructure Webサービスの開発のWebサービスのアトミック・トランザクションの使用に関する項を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-4は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-4 oracle/no_atomic_transaction_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.18 oracle/async_web_service_policy
非同期Webサービス・ポリシーは、非同期Webサービスを有効にして、構成します。
表示名: 非同期Webサービス・ポリシー
カテゴリ: 構成
説明
非同期Webサービスを有効にして、構成します。
注意:
以下の点に注意する必要があります。
-
この構成ポリシーを複製することはできません。
-
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-5は、非同期Webサービスの、オーバーライド可能な構成プロパティを示しています。
表17-5 oracle/async_web_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
JMSキューの使用を許可されているユーザー。 注意: 大多数のユーザーでは、OracleSystemUserで十分です。ただし、このユーザーを、セキュリティ・レルム内の別のユーザーに変更する必要がある場合は、『Webサービスの管理』のFusion Middleware Controlを使用した非同期WebサービスのJMSシステム・ユーザーの変更に関する項に示されている手順を使用して、これを実行できます。 |
|
オプション |
|
JMSリクエスト・キューのコネクション・ファクトリの名前。 |
|
オプション |
|
リクエスト・キューの名前。 |
|
オプション |
|
JMSレスポンス・キューのコネクション・ファクトリの名前。 |
|
オプション |
|
リクエスト・キューの名前。 |
|
オプション |
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.19 oracle/cache_binary_content_policy
oracle/cache_binary_content_policyは、コンテンツのバイナリ・キャッシュのサポートを有効にして、構成します。
表示名: キャッシュ・バイナリ・コンテンツ・ポリシー
カテゴリ: 構成
説明
コンテンツのバイナリ・キャッシュのサポートを有効にして、構成します。
注意:
以下の点に注意する必要があります。
-
この構成ポリシーを複製することはできません。
-
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-6は、バイナリ・キャッシュの、オーバーライド可能な構成プロパティを示しています。
表17-6 oracle/cache_binary_content_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
OraSAAJのXTIスケーラブルDOMのランタイム要件を指定する値。有効な値は次のとおりです。
|
|
オプション |
|
次のいずれかの値を定義するブール値。
|
|
オプション |
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.20 oracle/fast_infoset_client_policy
oracle/fast_infoset_client_policyは、Webサービス・クライアントでFast Infosetを有効にして、構成します。
表示名: Fast Infosetクライアント・ポリシー
カテゴリ: 構成
説明
Webサービス・クライアント上のFast Infosetを有効にして、構成します。
Fast Infosetの詳細は、次を参照してください。
-
JAX-WS Webサービス: 『Oracle WebLogic Server JAX-WS Webサービスの開発』のFast Infosetを使用したXML転送の最適化に関する項
-
Oracle Infrastructure Webサービス: 『Oracle Infrastructure Webサービスの開発』のFast Infosetを使用したXML転送の最適化に関する項。
注意:
以下の点に注意する必要があります。
-
この構成ポリシーを複製することはできません。
-
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-7は、Fast Infosetクライアントの、オーバーライド可能な構成プロパティを示しています。
表17-7 oracle/fastinfoset_client_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
Fast Infosetコンテンツ・ネゴシエーション設定を指定する値。有効な値は次のとおりです。
|
|
オプション |
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.21 oracle/fast_infoset_service_policy
oracle/fast_infoset_service_policyは、WebサービスでFast Infosetを有効にします。
表示名: Fast Infosetサービス・ポリシー
カテゴリ: 構成
説明
WebサービスのFast Infosetを有効にします。
Fast Infosetの詳細は、次を参照してください。
-
JAX-WS Webサービス: 『Oracle WebLogic Server JAX-WS Webサービスの開発』のFast Infosetを使用したXML転送の最適化に関する項
-
Oracle Infrastructure Webサービス: 『Oracle Infrastructure Webサービスの開発』のFast Infosetを使用したXML転送の最適化に関する項。
注意:
以下の点に注意する必要があります。
-
この構成ポリシーを複製することはできません。
-
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-8は、Fast Infoset Webサービスの、オーバーライド可能な構成プロパティを示しています。
表17-8 oracle/fastinfoset_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.22 oracle/max_request_size_policy
oracle/max_request_size_policyは、Webサービスに送信可能なリクエスト・メッセージの最大サイズをバイト単位で構成します。
表示名: 最大リクエスト・サイズ・ポリシー
カテゴリ: 構成
説明
Webサービスに送信可能なリクエスト・メッセージの最大サイズをバイト単位で構成します。
注意:
以下の点に注意する必要があります。
-
この構成ポリシーを複製することはできません。
-
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-9は、Webサービスで最大リクエスト・サイズを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-9 oracle/max_request_size_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
リクエスト・メッセージの最大サイズ(バイト単位)。 値 |
|
オプション |
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.23 oracle/mex_request_processing_service_policy
oracle/mex_request_processing_service_policyは、Webサービス・メタデータの交換を有効にします。
表示名: MEXリクエスト処理サービス・ポリシー
カテゴリ: 構成
説明
Webサービス・メタデータの交換を有効にします。
注意:
以下の点に注意する必要があります。
-
この構成ポリシーを複製することはできません。
-
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-10は、Webサービス・メタデータの交換を有効にする際にオーバーライドできる構成プロパティを示しています。
表17-10 oracle/mex_request_processing_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.24 oracle/mtom_encode_fault_service_policy
oracle/mtom_encode_fault_service_policyは、MTOMが有効になっている場合の、MTOM対応SOAPフォルト・メッセージの作成を有効にします。
表示名: MTOMエンコード・フォルト・サービス・ポリシー
カテゴリ: 構成
説明
MTOMが有効になっている場合の、MTOM対応SOAPフォルト・メッセージの作成を有効にします。
注意:
以下の点に注意する必要があります。
-
この構成ポリシーを複製することはできません。
-
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-11は、SOAPフォルトのMTOMエンコーディングを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-11 oracle/mtom_encode_fault_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.25 oracle/no_async_web_service_policy
oracle/no_async_web_service_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた非同期Webサービス・ポリシーを上位スコープで効率よく無効化します。
表示名: 非同期Webサービスなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-12は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-12 oracle/no_async_web_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.26 oracle/no_cache_binary_content_policy
oracle/no_cache_binary_content_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたバイナリ・キャッシュ・ポリシーを上位スコープで効率よく無効化します。
表示名: キャッシュ・バイナリ・コンテンツなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-13は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-13 oracle/no_cache_binary_content_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.27 oracle/no_fast_infoset_client_policy
oracle/no_fast_infoset_client_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたFast Infosetクライアント・ポリシーを上位スコープで効率よく無効化します。
表示名: Fast Infosetクライアントなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-14は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-14 oracle/no_fast_infoset_client_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.28 oracle/no_fast_infoset_service_policy
oracle/no_fast_infoset_service_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたFast Infosetサービス・ポリシーを上位スコープで効率よく無効化します。
表示名: Fast Infosetサービスなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-15は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-15 oracle/no_fast_infoset_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.29 oracle/no_max_request_size_policy
oracle/no_max_request_size_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた最大リクエスト・サイズ・ポリシーを上位スコープで効率よく無効化します。
表示名: 最大リクエスト・サイズなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-16は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-16 oracle/no_max_request_size_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.30 oracle/no_mex_request_processing_service_policy
oracle/no_mex_request_processing_service_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWebサービス・メタデータ交換ポリシーを上位スコープで効率よく無効化します。
表示名: MEXリクエスト処理サービスなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-17は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-17 oracle/no_mex_request_processing_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.31 oracle/no_mtom_encode_fault_service_policy
oracle/no_mtom_encode_fault_service_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAPフォルトMTOMエンコーディング・ポリシーを上位スコープで効率よく無効化します。
表示名: MTOMエンコード・フォルト・サービスなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-18は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-18 oracle/no_mtom_encode_fault_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.32 oracle/no_persistence_policy
oracle/no_persistence_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた永続性ポリシーを上位スコープで効率よく無効化します。
表示名: 永続性なしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-19は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-19 oracle/no_persistence_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.33 oracle/no_pox_http_binding_service_policy
oracle/no_pox_http_binding_service_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたPlain Old XML (POX)ポリシーを上位スコープで効率よく無効化します。
表示名: Pox HTTPバインディング・サービスなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-20は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-20 oracle/no_pox_http_binding_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.34 oracle/no_request_processing_service_policy
oracle/no_request_processing_service_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたリクエスト処理ポリシーを上位スコープで効率よく無効化します。
表示名: リクエスト処理サービスなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-21は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-21 oracle/no_request_processing_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.35 oracle/no_schema_validation_policy
oracle/no_schema_validation_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたスキーマ検証ポリシーを上位スコープで効率よく無効化します。
表示名: スキーマ検証なしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-22は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-22 oracle/no_schema_validation_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.36 oracle/no_soap_request_processing_service_policy
oracle/no_soap_request_processing_service_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAPリクエスト処理ポリシーを上位スコープで効率よく無効化します。
表示名: SOAPリクエスト処理サービスなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-23は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-23 oracle/no_soap_request_processing_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.37 oracle/no_test_page_processing_service_policy
oracle/no_test_page_processing_service_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたテスト・ページ処理ポリシーを上位スコープで効率よく無効化します。
表示名: テスト・ページ処理サービスなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-24は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-24 oracle/no_test_page_processing_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.38 oracle/no_ws_logging_level_policy
oracle/no_ws_logging_level_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたロギング・ポリシーを上位スコープで効率よく無効化します。
表示名: WSロギング・レベルなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-25は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-25 oracle/no_ws_logging_level_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.39 oracle/no_wsdl_request_processing_service_policy
oracle/no_wsdl_request_processing_service_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWSDLリクエスト処理ポリシーを上位スコープで効率よく無効化します。
表示名: WSDLリクエスト処理サービスなしポリシー
カテゴリ: 構成
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-26は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-26 oracle/no_wsdl_request_processing_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.40 oracle/persistence_policy
oracle/persistence_policyは、Webサービスのセキュア通信永続性メカニズムを構成します。
表示名: 永続性ポリシー
カテゴリ: 構成
説明
Webサービスのセキュア通信永続性メカニズムを構成します。
注意:
以下の点に注意する必要があります。
-
この構成ポリシーを複製することはできません。
-
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-27は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-27 oracle/persistence_policyの構成プロパティ
属性 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
システムに登録されている永続性プロバイダを識別します。次の値を指定できます。
注意: J2SEクライアントの場合、構成できるのは |
|
オプション |
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.41 oracle/pox_http_binding_service_policy
oracle/pox_http_binding_service_policyは、ユーザー定義によって処理される非SOAP XMLメッセージをエンドポイントで受信できるようにします。
表示名: Pox HTTPバインディング・サービス・ポリシー
カテゴリ: 構成
説明
ユーザー定義のjavax.xml.ws.Provider<T>.invoke
メソッドによって処理される非SOAP XMLメッセージをエンドポイントで受信できるようにします。
注意:
以下の点に注意する必要があります。
-
この構成ポリシーを複製することはできません。
-
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-28は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-28 oracle/pox_http_binding_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.42 oracle/request_processing_service_policy
oracle/request_processing_service_policyは、Webサービス・エンドポイントで着信リクエストを処理できるようにします。
表示名: リクエスト処理サービス・ポリシー
カテゴリ: 構成
説明
Webサービス・エンドポイントで着信リクエストを処理できるようにします。
注意:
以下の点に注意する必要があります。
-
この構成ポリシーを複製することはできません。
-
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-29は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-29 oracle/request_processing_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.43 oracle/schema_validation_policy
oracle/schema_validation_policyは、スキーマに対するリクエスト・メッセージの検証を有効にします。
表示名: スキーマ検証ポリシー
カテゴリ: 構成
説明
スキーマに対するリクエスト・メッセージの検証を有効にします。
注意:
以下の点に注意する必要があります。
-
この構成ポリシーを複製することはできません。
-
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-30は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-30 oracle/schema_validation_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.44 oracle/soap_request_processing_service_policy
oracle/soap_request_processing_service_policyは、Webサービス・エンドポイントでのSOAPリクエストの処理を有効にします。
表示名: SOAPリクエスト処理サービス・ポリシー
カテゴリ: 構成
説明
Webサービス・エンドポイントでのSOAPリクエストの処理を有効にします。
注意:
以下の点に注意する必要があります。
-
この構成ポリシーを複製することはできません。
-
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-31は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-31 oracle/soap_request_processing_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.45 oracle/test_page_processing_policy
oracle/test_page_processing_policyはWebサービス・テスト・クライアントを有効にします。構成プロパティとしてreference.priority
が含まれています。
表示名: テスト・ページ処理サービス・ポリシー
カテゴリ: 構成
説明
『Webサービスの管理』のWebサービス・テスト・クライアントの使用に関する項で説明されているように、Webサービス・テスト・クライアントを有効にします。
注意:
以下の点に注意する必要があります。
-
この構成ポリシーを複製することはできません。
-
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-32は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-32 oracle/test_page_processing_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.46 oracle/ws_logging_level_policy
oracle/ws_logging_level_policyは、Webサービス・エンドポイントの診断ログのログ・レベルを設定します。構成プロパティとしてlogging.level
およびreference.priority
が含まれています。
表示名: WSロギング・レベル・ポリシー
カテゴリ: 構成
説明
Webサービス・エンドポイントの診断ログのログ・レベルを設定します。
注意:
以下の点に注意する必要があります。
-
この構成ポリシーを複製することはできません。
-
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-33は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-33 oracle/ws_logging_level_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
ロギング・レベルを定義します。有効な値は、 |
なし |
オプション |
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.47 oracle/wsdl_request_processing_service_policy
oracle/wsdl_request_processing_service_policyは、WebサービスがWSDLにアクセスできるようにします。構成プロパティとしてreference.priority
が含まれています。
表示名: WSDLリクエスト処理サービス
カテゴリ: 構成
説明
WebサービスのWSDLへのアクセスを有効にします。
注意:
以下の点に注意する必要があります。
-
この構成ポリシーを複製することはできません。
-
この構成ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この構成ポリシーは、SOAコンポジットまたはJava EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-34は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-34 oracle/ws_logging_level_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.48 oracle/log_policy
oracle/log_policyを使用すると、メッセージ・ログにリクエスト、レスポンスおよびフォルト・メッセージが送信されます。デフォルトで、このポリシーでは、リクエストのSOAPメッセージ全体およびレスポンスのSOAP本体情報のみがログに記録されます。
表示名: ログ・ポリシー
カテゴリ: 管理
説明
メッセージは、ドメインのメッセージ・ログに記録されます。メッセージ・ログの表示およびフィルタリングについては、『Webサービスの管理』のWebサービスのメッセージ・ログの使用に関する項を参照してください。
注意:
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションはWSDLで通知されていません。
構成
表17-35は、ログ・ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-35 oracle/log_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.49 oracle/no_mtom_policy
oracle/no_mtom_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたMTOMポリシーを上位スコープで効率よく無効化します。
表示名: MTOM動作無効ポリシー
カテゴリ: MTOMアタッチメント
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-36は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-36 oracle/no_mtom_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.50 oracle/wsmtom_policy
oracle/wsmtom_policyは、MTOM形式ではないインバウンド・メッセージを拒否し、アウトバウンド・メッセージがMTOM形式であるかどうかを検証します。MTOMは、SOAPメッセージ内のxs:base64Binary
またはxs:hexBinary
タイプのXMLデータの転送を最適化するためのメソッドを定義します。
表示名: WS MTOMポリシー
カテゴリ: MTOMアタッチメント
説明
MTOMについては、SOAP 1.2および1.1それぞれの次の仕様を参照してください。http://www.w3.org/TR/2005/REC-soap12-mtom-20050125
およびhttp://www.w3.org/Submission/2006/SUBM-soap11mtom10-20060405
。
WebサービスのクライアントでMTOMを有効にするには、次のサンプルのように、Webサービスのプロキシまたはディスパッチの作成時にパラメータとしてjavax.xml.ws.soap.MTOMFeature
を渡します。
package examples.webservices.mtom.client; import javax.xml.ws.soap.MTOMFeature; public class Main { public static void main(String[] args) { String FOO = "FOO"; MtomService service = new MtomService() MtomPortType port = service.getMtomPortTypePort(new MTOMFeature()); String result = null; result = port.echoBinaryAsString(FOO.getBytes()); System.out.println( "Got result: " + result ); } }
注意:
以下の点に注意する必要があります。
-
このMTOMポリシーを複製することはできません。
-
このポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-37は、MTOMポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-37 oracle/wsmtom_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.51 oracle/no_reliable_messaging_policy
oracle/no_reliable_messaging_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWeb Services Reliable Messagingポリシーを上位スコープで効率よく無効化します。
表示名: 信頼できるメッセージングなしポリシー
カテゴリ: 信頼できるメッセージング
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
信頼できるメッセージングの詳細は、『Oracle Infrastructure Webサービスの開発』のWebサービスのアトミック・トランザクションの使用に関する項を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-38は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-38 oracle/no_reliable_messaging_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.52 oracle/no_wsrm_policy
oracle/no_wsrm_policyは動作無効ポリシーです。エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたWeb Services Reliable Messagingポリシーを上位スコープで効率よく無効化します。
表示名: RM動作無効ポリシー
カテゴリ: 信頼できるメッセージング
注意:
このポリシーは非推奨になりました。「oracle/no_reliable_messaging_policy」で説明しているように、oracle/no_reliable_messaging
ポリシーの使用をお薦めします。
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-39は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-39 oracle/no_wsrm_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.53 oracle/reliable_messaging_policy
oracle/reliable_messaging_policyは、Webサービスおよびクライアントで、Webサービスの信頼性のあるメッセージングを構成します。このポリシーは、SOAPベースのあらゆるWebサービスおよびクライアントにアタッチできます。
表示名: 信頼できるメッセージング・ポリシー
カテゴリ: 信頼できるメッセージング
説明
Webサービス・クライアントは、実行時にWSDLポリシー・アサーションを自動的に検出して使用し、クライアントで通知済バージョンの信頼できるメッセージングを有効にします。複数のバージョンが有効な場合、生成されたWSDLには、指定されたバージョンについてポリシーの選択肢があるため、クライアントではいずれのバージョンでも選択できます。クライアントでは、指定されたシーケンスでのすべての相互作用に対して、選択したバージョンのプロトコルを一貫して使用する必要があります。
マルチメッセージ・シーケンスの場合、クライアント・コードには、シーケンス境界を区切るメソッドの明示的な呼び出しが含まれている必要があります。そうしない場合、各メッセージは独自のシーケンスでラップされます。クライアントを編集して、サービスに送信されるメッセージの信頼できるメッセージング・セッションを有効にします。oracle.webservices.rm.client.RMSessionLifecycle
インタフェースは、信頼できるメッセージング・シーケンス境界を区切るメカニズムをクライアントに提供します。
次の例は、サーブレット・クライアントのWebサービスの信頼できるメッセージングのサンプル・クライアント・コードを示しています。この例では、新規TestServiceが作成されます。クライアントがサービスと通信するときに使用されるTestPortが取得されます。ポート・オブジェクトがRMSessionLifecycle
オブジェクトにキャストされ、信頼できるメッセージング・セッションがそのオブジェクト上で開かれます(openSession
)。メッセージがサービスに送信されると、セッションは終了します(closeSession
)。
public class ClientServlet extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { int num1 = Integer.parseInt(request.getParameter("num1")); int num2 = Integer.parseInt(request.getParameter("num2")); String outputStr = null; TestService service = new TestService(); Test port = service.getTestPort(); try { ((RMSessionLifecycle) port).openSession(); outputStr = port.hello(inputStr); } catch (Exception e) { e.printStackTrace(); outputStr = e.getMessage(); } finally { ((RMSessionLifecycle) port).closeSession(); response.getOutputStream().write(outputStr.getBytes()); } } }
注意:
以下の点に注意する必要があります。
-
この信頼できるメッセージング・トランザクション・ポリシーを複製することはできません。
-
このポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-40は、このポリシーを有効にする際にオーバーライドできる構成プロパティを示しています。
表17-40 oracle/reliable_messaging_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
宛先エンドポイントがスタンドアロンの確認応答を送信する必要のある最大間隔(ミリ秒単位)。 指定する値はXMLスキーマの期間を表す字句形式( この値はシーケンスの作成時に設定され、リセットすることはできません。 |
|
オプション |
|
サポートされている信頼できるメッセージングのバージョン(複数可)。 複数のバージョンが有効な場合、生成されたWSDLでは、指定されたバージョンについてポリシーの選択肢がリストされ、クライアントで特定のバージョンを選択できるようになります。クライアントでは、指定されたシーケンスでのすべての相互作用に対して、選択したバージョンを一貫して使用する必要があります。 有効な値は次のとおりです。
|
|
オプション |
|
メッセージの非バッファ受信がリクエストされていることを示すフラグ。 この値はシーケンスの作成時に設定され、リセットすることはできません。 |
|
オプション |
|
非アクティブの間隔を定義するミリ秒数。この時間が経過した時点で、宛先エンドポイントがソース・エンドポイントからのメッセージを受け取っていなければ、宛先エンドポイントは、処理が行われずシーケンスは終了したものと見なす場合があります。これは、ソース・エンドポイントについても同様のことが言えます。デフォルトでは、シーケンスがタイムアウトすることはありません。 RM送信元とRM宛先の実装では、シーケンスに関連付けられたリソースを任意に管理できますが、非アクティブ・タイムアウトの経過後に送信元および宛先がそのシーケンスを使用できるという保証はありません。 指定する値はXMLスキーマの期間を表す字句形式( 値は順序の作成時に設定され、リセットできません。 |
|
オプション |
|
呼び出されたWebLogic ServerインスタンスのJMSキューが、操作が正常に呼び出されるまでWebサービスの実装にメッセージの配信を試みる回数。 |
|
オプション |
|
信頼できるメッセージングが必要かどうかを指定するフラグ。 このフラグによって、サービス・エンドポイントでは、様々なクライアントとの信頼できる通信と信頼性の低い通信をサポートできるようになります。 optionalを 操作レベルで必要なWS-RMポリシーと組み合せて使用した場合、明示的なWS-RMポリシーを指定していない操作は、WS-RMプロトコルを使用して呼び出す必要はありませんが、明示的なWS-RMポリシーを指定した操作は、WS-RMプロトコルを使用して呼び出す必要があります。 |
|
オプション |
|
「reference.priority」を参照してください。 |
なし |
オプション |
|
信頼できるメッセージングの配信保証。 有効な値は次のとおりです。
|
|
オプション |
|
メッセージが送信された順序で配信されることを指定するフラグ。 |
|
オプション |
|
信頼性のあるWebサービスの有効期限が切れ、これ以上の新しいシーケンス・メッセージを受け付けなくなるまでの時間の長さ。 順序が完了する前にこの期限に達すると、強制終了されます。 指定する値はXMLスキーマの期間を表す字句形式( この値はシーケンスの作成時に設定され、リセットすることはできません。 |
|
オプション |
|
信頼性のある順序内のメッセージを保護するために、 |
|
オプション |
|
信頼性のある順序内のメッセージを保護するために、 存在する場合、このアサーションは、 |
|
オプション |
|
バックオフ・アルゴリズム。 宛先エンドポイントが、基本の再送信間隔( 有効な値は次のとおりです。
この値はシーケンスの作成時に設定され、リセットすることはできません。 |
|
オプション |
|
前の送信が失敗した場合に、RM宛先にメッセージを再送信するまでに経過する必要がある時間間隔。 この間隔をバックオフ・アルゴリズム( 指定する値はXMLスキーマの期間を表す字句形式( この値はシーケンスの作成時に設定され、リセットすることはできません。 |
|
オプション |
|
RM送信元でサポートされている信頼できるメッセージングのバージョン(複数可)。 サービスのWSDLに、複数のRMバージョンについてのポリシー選択肢が含まれる場合は、クライアントではこの属性を使用して特定のバージョンを選択できます。WSDLに複数のRMバージョンが含まれ、この属性が明示的には設定されていない場合、RM 1.2が使用されるか、WSDLにRM 1.2が含まれない場合は、WSDL内でバージョン番号が一番大きいバージョンが使用されます。 有効な値は次のとおりです。
WSDLにRMバージョンが1つしか含まれない場合、この属性は無視され、WSDL内のそのバージョンが使用されます。 その他の可能な値は、DEFAULT、WS_RM_1_0およびWS_RM_1_1です。 |
|
オプション |
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.54 oracle/wsrm10_policy
oracle/wsrm10_policyは、Web Services Reliable Messagingプロトコルのバージョン1.0を構成します。このポリシーは、SOAPベースのすべてのクライアントまたはエンドポイントにアタッチできます。
表示名: WS RM10ポリシー
カテゴリ: 信頼できるメッセージング
注意:
このポリシーは非推奨になりました。「oracle/reliable_messaging_policy」で説明しているように、oracle/reliable_messaging
ポリシーの使用をお薦めします。
説明
Webサービス・クライアントは、実行時にWSDLポリシー・アサーションを自動的に検出して使用し、クライアントで通知済バージョンの信頼できるメッセージングを有効にします。
マルチメッセージ・シーケンスの場合、クライアント・コードには、シーケンス境界を区切るメソッドの明示的な呼び出しが含まれている必要があります。そうしない場合、各メッセージは独自のシーケンスでラップされます。クライアントを編集して、サービスに送信されるメッセージの信頼できるメッセージング・セッションを有効にします。oracle.webservices.rm.client.RMSessionLifecycle
インタフェースは、信頼できるメッセージング・シーケンス境界を区切るメカニズムをクライアントに提供します。
oracle/wsmtom_policyの例は、サーブレット・クライアントを示しています。この例では、新規TestServiceが作成されます。クライアントがサービスと通信するときに使用されるTestPortが取得されます。ポート・オブジェクトがRMSessionLifecycle
オブジェクトにキャストされ、信頼できるメッセージング・セッションがそのオブジェクト上で開かれます(openSession
)。メッセージがサービスに送信されると、セッションは終了します(closeSession
)。
注意:
以下の点に注意する必要があります。
-
この信頼できるメッセージング・トランザクション・ポリシーを複製することはできません。
-
このポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-41は、信頼できるメッセージング・ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-41 wsrm10_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須 |
---|---|---|---|
|
配信の保証。次のように配信の保証タイプを定義します。
また、メッセージが送信された順序で配信されるかどうかを構成できます。 有効な値は次のとおりです。
|
|
オプション |
|
メッセージ・ストアのタイプ。 有効な値は次のとおりです。
|
|
オプション |
|
メッセージ・ストアの名前。 |
|
オプション |
|
JDBCデータ・ソースへのJNDI参照。このフィールドは、StoreTypeがJDBCに設定されている場合のみ有効です。この値は、jdbc-connection-urlより優先されます。ユーザー名とパスワードは、両方存在する場合に使用されます。 |
jdbc/MessagesStore |
オプション |
|
非アクティブの間隔を定義するミリ秒数。この時間が経過した時点で、宛先エンドポイントがソース・エンドポイントからのメッセージを受け取っていなければ、宛先エンドポイントは、処理が行われずシーケンスは終了したものと見なす場合があります。これは、ソース・エンドポイントについても同様のことが言えます。デフォルトでは、シーケンスがタイムアウトすることはありません。 RM送信元とRM宛先の実装では、シーケンスに関連付けられたリソースを任意に管理できますが、非アクティブ・タイムアウトの経過後に送信元および宛先がそのシーケンスを使用できるという保証はありません。 |
|
オプション |
|
前の送信が失敗した場合に、RM宛先にメッセージを再送信するまでに経過する必要がある時間間隔。 |
|
オプション |
17.55 oracle/wsrm11_policy
oracle/wsrm11_policyは、Web Services Reliable Messagingプロトコルのバージョン1.1を構成します。このポリシーは、SOAPベースのすべてのクライアントまたはエンドポイントにアタッチできます。
表示名: WS RM11ポリシー
カテゴリ: 信頼できるメッセージング
注意:
このポリシーは非推奨になりました。「oracle/reliable_messaging_policy」で説明しているように、oracle/reliable_messaging
ポリシーの使用をお薦めします。
説明
Webサービス・クライアントは、実行時にWSDLポリシー・アサーションを自動的に検出して使用し、クライアントで通知済バージョンの信頼できるメッセージングを有効にします。
マルチメッセージ・シーケンスの場合、クライアント・コードには、シーケンス境界を区切るメソッドの明示的な呼び出しが含まれている必要があります。そうでない場合、各メッセージは独自のシーケンスでラップされます。サービスに送信されるメッセージに対して信頼できるメッセージング・セッションを有効にするようクライアントを編集してください。oracle.webservices.rm.client.RMSessionLifecycle
インタフェースは、信頼できるメッセージング・シーケンス境界を区切るメカニズムをクライアントに提供します。
例17-の例は、サーブレット・クライアントを示しています。この例では、新規TestServiceが作成されます。クライアントがサービスと通信するときに使用されるTestPortが取得されます。ポート・オブジェクトがRMSessionLifecycle
オブジェクトにキャストされ、信頼できるメッセージング・セッションがそのオブジェクト上で開かれます(openSession
)。メッセージがサービスに送信されると、セッションは終了します(closeSession
)。
注意:
以下の点に注意する必要があります。
-
この信頼できるメッセージング・トランザクション・ポリシーを複製することはできません。
-
このポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
このポリシーの作成用のアサーション・テンプレートは提供されていません。このため、このポリシーを削除しないことが重要です。このポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-41は、このポリシーの、オーバーライド可能な構成プロパティを示しています。
17.56 oracle/http_basic_auth_over_ssl_client_policy
oracle/http_basic_auth_over_ssl_client_policyでは、アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込んで、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。
表示名: HTTP Basic Auth Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベースのクライアント・エンドポイントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-52に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverへの一方向SSLの構成」で説明されているように、一方向を構成します。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、管理コンソールを使用して、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
17.57 oracle/http_basic_auth_over_ssl_service_policy
oracle/http_basic_auth_over_ssl_service_policyは、HTTPヘッダー内の資格証明を使用して、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。
表示名: HTTP Basic Auth Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのエンドポイントで実行できます。
注意:
このポリシーの機能は、oracle/wss_http_token_over_ssl_service_policyに似ています。相違点は、oracle/wss_http_token_over_ssl_service_policy
では、require-tls
要素内のinclude-timestamp
属性を有効化して、リプレイ攻撃を防止できることです。この機能は、RESTfulサービスには適用されません。require-tls
要素の詳細は、「orasp:require-tls要素」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションはWSDLで通知されています。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。関連づけられたポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-53に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverへの一方向SSLの構成」で説明されているように、一方向SSLを構成します。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、管理コンソールを使用して、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
17.58 oracle/http_mutual_auth_over_ssl_client_policy
oracle/http_mutual_auth_over_ssl_client_policyでは、アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込んで、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。
表示名: HTTP Mutual Auth Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベースのクライアント・エンドポイントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
-
oracle/http_mutual_auth_over_ssl_client_template
アサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
wss_http_token_over_ssl_client_template
の構成プロパティに定義されている構成プロパティをオーバーライドします。 -
双方向SSLの構成。
-
管理コンソールを使用して、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
17.59 oracle/http_mutual_auth_over_ssl_service_policy
http_mutual_auth_over_ssl_service_policyは、HTTPヘッダー内の資格証明を使用して、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。
表示名: http mutual auth over sslサービス・ポリシー
カテゴリ: セキュリティ
説明
HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのエンドポイントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
-
oracle/http_mutual_auth_over_ssl_service_template
アサーションはWSDLで通知されています。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。関連づけられたポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
このポリシーを構成する手順は次のとおりです。
-
wss_http_token_over_ssl_service_template
の構成プロパティに定義されている構成プロパティをオーバーライドします。 -
双方向SSLの構成。
-
管理コンソールを使用して、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
17.60 oracle/http_oam_token_service_policy
oracle/http_oam_token_service_policyは、OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。
表示名: HTTP OAMサービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベースのエンドポイントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションはWSDLで通知されていません。
注意:
WSDLファイルでのポリシー・アサーションの通知はサポートされていません。関連づけられたポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-5に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
HTTP OAMセキュリティを実行するには、OAM WebGateを構成して、リクエストのインターセプト、ユーザーの認証および
OAM_REMOTE_USER HTTP
ヘッダーの設定を行います。OWSMは、リクエストを許可する前に、OAM_REMOTE_USER_HTTP
ヘッダーの有無を確認します。 -
リモート・ユーザー・ヘッダーをサポートするには、
remote-user
構成プロパティの値がOAM_REMOTE_USER
のデフォルト値に設定されていることを確認します。
詳細は、WebGate for Oracle Access ManagerのインストールのOAM用のOracle HTTP Server 11g WebGateのインストールと構成を参照してください。
17.61 oracle/http_saml20_token_bearer_client_policy
oracle/http_saml20_token_bearer_client_policyは、HTTPヘッダーにSAML Bearer V2.0トークンを含めます。確認方法がBearerのSAMLトークンが自動的に作成されます。
表示名: HTTP Saml Bearer V2.0トークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベースのクライアント・エンドポイントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションは通知されています。
構成
ポリシーを構成するには、表18-7に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
設計時の考慮事項
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、設計時にWebサービス・クライアントにSAMLを構成します。
17.62 oracle/http_saml20_token_bearer_service_policy
oracle/http_saml20_token_bearer_service_policyは、HTTPヘッダー内の確認方法がBearerのSAML v2.0トークンに含まれる資格証明を使用してユーザーを認証します。SAMLトークンの資格証明は、SAML v2.0ログイン・モジュールに対して認証されます。
表示名: HTTP Saml Bearer V2.0トークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベースのエンドポイントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションはWSDLで通知されています。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-8に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、
saml2.loginmodule
ログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
17.63 oracle/http_saml20_token_bearer_over_ssl_client_policy
oracle/http_saml20_token_bearer_over_ssl_client_policyは、HTTPヘッダーにSAML Bearer v2.0トークンを含めます。確認方式がBearerとなっているSAMLトークンが自動的に作成され、トランスポート・プロトコルがSSLメッセージ保護を提供していることが検証されます。
表示名: HTTP Saml Bearer V2.0 Token Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベースのクライアント・エンドポイントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションは通知されています。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-7に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「Webサービス・クライアントへの一方向SSLの構成」で説明されているように、一方向SSLを構成します。
設計時の考慮事項
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、設計時にWebサービス・クライアントにSAMLを構成します。
17.64 oracle/http_saml20_bearer_token_over_ssl_service_policy
oracle/http_saml20_bearer_token_over_ssl_service_policyは、HTTPヘッダー内の確認方式がBearerとなっているSAML v2.0トークンに指定されている資格証明を使用してユーザーを認証し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
表示名: HTTP Saml Bearer V2.0トークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
SAMLトークンの資格証明は、SAML v2.0ログイン・モジュールに対して認証されます。このポリシーは、HTTPベースのエンドポイントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
アサーションはWSDLで通知されています。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-8に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
-
「WebLogic Serverへの一方向SSLの構成」で説明されているように、一方向SSLを構成します。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、
saml2.loginmodule
ログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
17.65 oracle/multi_token_rest_service_policy
oracle/multi_token_rest_service_policy: クライアントにより送信されたトークンに基づいて認証ポリシーを強制します。
表示名: 複数トークンRESTfulサービス・ポリシー
カテゴリ: セキュリティ
説明
クライアントが送信するトークンに基づいて、次の認証ポリシーのいずれかを実行します。
-
HTTP Basic: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
-
HTTPヘッダーのSAML v2.0 Bearerトークン: HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
-
HTTP OAMセキュリティ: OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。
-
SPNEGO over HTTPセキュリティ: Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO)トークンをHTTPヘッダーから抽出します。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
-
oracle/http_oam_token_service_template(サーバー側でのみOAM保護を提供します。)
注意:
このポリシーでは、remote-user
構成プロパティの値がNONE
に設定され、リモート・ユーザー・ヘッダーの処理が無効化されます。
oracle/http_saml20_token_bearer_client_template
およびoracle/http_spengo_token_service_template
ポリシー・アサーションは通知されています。
wss_http_token_client_template
およびoracle/http_oam_token_service_template
アサーションはWSDLで通知されていません。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
このポリシーを構成する手順は次のとおりです。
-
クライアントから送信されたトークンに基づいて、次の各項のいずれかで定義された構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
HTTP OAMセキュリティを構成する手順は次のとおりです。
-
OAMコンソールを使用して、OAMサービス・エンドポイントを
anonymous
として構成します。 -
クライアント・リクエストをインターセプトし、ユーザーを認証し、
OAM_REMOTE_USER HTTP
ヘッダーを設定するように、OAM WebGateを構成します。OWSMは、リクエストを許可する前に、OAM_REMOTE_USER_HTTP
ヘッダーの有無を確認します。
詳細は、WebGate for Oracle Access ManagerのインストールのOAM用のOracle HTTP Server 11g WebGateのインストールと構成を参照してください。
-
17.66 oracle/multi_token_over_ssl_rest_service_policy
oracle/multi_token_over_ssl_rest_service_policyは、クライアントにより送信されたトークンに基づいて認証ポリシーを強制します。
表示名: Multi Token Over SSL RESTfulサービス・ポリシー
カテゴリ: 構成
説明
クライアントが送信するトークンに基づいて、次の認証ポリシーのいずれかを実行します。
-
HTTP Basic over SSL: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
-
HTTPヘッダーのSAML 2.0 Bearerトークン(SSL経由): HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
-
HTTP OAMセキュリティ(SSL以外): OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。
-
SPNEGO over HTTPセキュリティ(非SSL): SPNEGOトークン情報をHTTPヘッダーから抽出します。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
-
oracle/http_oam_token_service_template。
注意:
このポリシーでは、remote-user
構成プロパティの値がNONE
に設定され、リモート・ユーザー・ヘッダーの処理が無効化されます。
oracle/wss_http_token_over_ssl_client_template
、oracle/http_samle20_token_bearer_service_template
、およびoracle/http_spengo_token_service_template
アサーションはWSDLで通知されています。
oracle/http_oam_token_service_template
アサーションはWSDLで通知されていません。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
このポリシーを構成する手順は次のとおりです。
-
クライアントから送信されたトークンに基づいて、次の各項のいずれかで定義された構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
HTTP OAMセキュリティを構成する手順は次のとおりです。
-
OAMコンソールを使用して、OAMサービス・エンドポイントを
anonymous
として構成します。 -
リクエストをインターセプトし、ユーザーを認証し、
OAM_REMOTE_USER HTTP
ヘッダーを設定するように、OAM WebGateを構成します。OWSMは、リクエストを許可する前に、OAM_REMOTE_USER_HTTP
ヘッダーの有無を確認します。
詳細は、WebGate for Oracle Access ManagerのインストールのOAM用のOracle HTTP Server 11g WebGateのインストールと構成を参照してください。
-
17.67 oracle/multi_token_sso_over_ssl_rest_service_policy
oracle/multi_token_sso_over_ssl_rest_service_policyは、クライアントにより送信されたトークンに基づいて認証ポリシーを強制します。
表示名: Multi Token SSO Over SSL RESTfulサービス・ポリシー
カテゴリ: セキュリティ
説明
クライアントが送信するトークンに基づいて、次の認証ポリシーのいずれかを実行します。
-
HTTP Basic: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
-
HTTPヘッダーのSAML v2.0 Bearerトークン: HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
-
HTTP OAMセキュリティ(SSL以外): OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。(サーバー側でのみSSL以外のOAM保護を提供します。)
-
SPNEGO over HTTPセキュリティ(SSL以外): SPNEGO Kerberosトークン情報をHTTPヘッダーから抽出します。(SSL以外の保護のみを提供します。)
-
HTTPヘッダー内のJWTトークン(SSL経由): HTTPヘッダー内のJWTトークンからユーザー名を抽出します。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
構成
このポリシーを構成する手順は次のとおりです。
-
HTTP OAMセキュリティを構成する手順は次のとおりです。
詳細は、WebGate for Oracle Access ManagerのインストールのOAM用のOracle HTTP Server 11g WebGateのインストールと構成を参照してください。
-
リモート・ユーザー・ヘッダーをサポートするには、
remote-user
構成プロパティの値がOAM_REMOTE_USER
のデフォルト値に設定されていることを確認します。
17.68 oracle/multi_token_sso_rest_service_policy
oracle/multi_token_sso_rest_service_policy: クライアントにより送信されたトークンに基づいて認証ポリシーを強制します。
表示名: Multi Token SSO Over SSL RESTfulサービス・ポリシー
カテゴリ: セキュリティ
説明
クライアントが送信するトークンに基づいて、次の認証ポリシーのいずれかを実行します。
-
HTTP Basic: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
-
HTTPヘッダーのSAML v2.0 Bearerトークン: HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
-
HTTP OAMセキュリティ(SSL以外): OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。(サーバー側でのみSSL以外のOAM保護を提供します。)
-
SPNEGO over HTTPセキュリティ(SSL以外): SPNEGO Kerberosトークン情報をHTTPヘッダーから抽出します。(SSL以外の保護のみを提供します。)
-
HTTPヘッダー内のJWTトークン(SSL経由): HTTPヘッダー内のJWTトークンからユーザー名を抽出します。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
構成
このポリシーを構成する手順は次のとおりです。
-
HTTP OAMセキュリティを構成する手順は次のとおりです。
詳細は、WebGate for Oracle Access ManagerのインストールのOAM用のOracle HTTP Server 11g WebGateのインストールと構成を参照してください。
-
リモート・ユーザー・ヘッダーをサポートするには、
remote-user
構成プロパティの値がOAM_REMOTE_USER
のデフォルト値に設定されていることを確認します。
17.69 oracle/no_authentication_client_policy
oracle/no_authentication_client_policyは動作無効ポリシーです。クライアント・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認証ポリシーを上位スコープで効率よく無効化します。
表示名: 認証クライアント動作無効ポリシー
カテゴリ: セキュリティ
説明
グローバルにアタッチされたポリシーに、認証アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効化されます。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-42は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-42 oracle/no_authentication_client_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.70 oracle/no_authentication_service_policy
oracle/no_authentication_service_policyは動作無効ポリシーです。サービス・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認証ポリシーを上位スコープで効率よく無効化します。
表示名: 認証サービス動作無効ポリシー
カテゴリ: セキュリティ
説明
グローバルにアタッチされたポリシーに、認証アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効化されます。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-43は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-43 oracle/no_authentication_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.71 oracle/wss_http_token_client_policy
oracle/wss_http_token_client_policyは、アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を含めます。クライアントは、HTTPヘッダーに資格証明を渡す必要があります。
表示名: Wss HTTPトークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベースのクライアントで実行できます。
注意:
現在サポートされているのはHTTP Basic認証のみです。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-13に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
csf-key
の値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
クライアントは、HTTPヘッダーに資格証明を渡す必要があります。
17.72 oracle/wss_http_token_service_policy
oracle/wss_http_token_service_policyでは、HTTPヘッダーの資格証明を使用して、OPSSアイデンティティ・ストアに対してユーザーを認証します。このポリシーは、HTTPベースのエンドポイントで実行できます。
説明
Webサービスは、提供されたユーザー名とパスワードの資格証明を、構成済の認証ソースに対して認証する必要があります。
注意:
現在サポートされているのはHTTP Basic認証のみです。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-14に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
-
Webサービスは、提供されたユーザー名とパスワードの資格証明を、構成済の認証ソースに対して認証する必要があります。「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
17.73 oracle/wss_username_token_client_policy
oracle/wss_username_token_client_policyは、すべてのアウトバウンドSOAPリクエスト・メッセージにWS-Security UsernameTokenヘッダーの資格証明を含めます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
表示名: Wssユーザー名トークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーでは、プレーン・テキスト・パスワードがサポートされます。このクライアント・ポリシーは、oracle/wss_username_token_service_policy
サービス・エンドポイント・ポリシーに類似しています。
注意:
このポリシーでは、パスワードがクリア・テキストで送信されます。セキュリティが低い場合や、他のメカニズムを使用してトランスポートが保護されることを認識している場合にのみ、このポリシーを使用してください。
または、次のことを検討してください。
-
「Webサービス・ポリシーの作成および編集」で説明しているように、ポリシーをコピーして、パスワード・タイプをダイジェストに設定すること。
-
このポリシーのSSLバージョンである「oracle/wss_username_token_over_ssl_client_policy」の使用。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-16に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
csf-key
の値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」を参照してください。 -
「設定」ページでパスワード・タイプを「なし」に指定した場合、キーにパスワードを含める必要はありません。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
SOAPリクエスト・メッセージにWS-Security UsernameToken要素(
<wsse:UsernameToken/>
)を組み込みます。また、クライアントは、認証用にユーザー名とパスワードを提供します。
17.74 oracle/wss_username_token_service_policy
oracle/wss_username_token_service_policyは、UsernameToken WS-Security SOAPヘッダーの資格証明を使用してユーザーを認証します。
表示名: Wssユーザー名トークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、プレーン・テキスト・パスワードがサポートされます。
注意:
このポリシーでは、パスワードがクリア・テキストで送信されます。セキュリティが低い場合や、他のメカニズムを使用してトランスポートが保護されることを認識している場合にのみ、このポリシーを使用してください。
または、次のことを検討してください。
-
「Webサービス・ポリシーの作成および編集」で説明しているように、ポリシーをコピーして、パスワード・タイプをダイジェストに設定すること。
-
このポリシーのSSLバージョンである「oracle/wss_username_token_over_ssl_client_policy」の使用。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-17に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
17.75 oracle/wss10_saml_token_client_policy
oracle/wss10_saml_token_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。
表示名: Wss10 SAMLトークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、SOAPベースのクライアントで実行できます。
注意:
このポリシーはセキュアではなく、デモの目的でのみ提供されています。SAML発行者名は存在しますが、SAMLトークンが承認されていません。したがって、メッセージの偽装が可能です。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-19に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
saml.issuer.name
の値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、設計時にWebサービス・クライアントにSAMLを構成します。
-
アウトバウンドSOAPメッセージに、SAMLトークンを挿入するWS-Securityヘッダー要素(
<saml:Assertion>
)を組み込みます。確認タイプは、常にsender-vouchesです。
17.76 oracle/wss10_saml_token_service_policy
WS-Security SOAPヘッダー内のSAMLトークンに含まれる資格証明を使用してユーザーを認証するoracle/wss10_saml_token_service_policyを使用できます。SAMLトークンに含まれる資格証明は、SAMLログイン・モジュールに対して認証されます。
表示名: Wss10 SAMLトークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、SOAPベースのエンドポイントで実行できます。
注意:
このポリシーはセキュアではなく、デモの目的でのみ提供されています。SAML発行者名は存在しますが、SAMLトークンが承認されていません。したがって、メッセージの偽装が可能です。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-20に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。 -
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、
saml.loginmodule
ログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。
17.77 oracle/wss10_saml20_token_client_policy
oracle/wss10_saml20_token_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。
表示名: Wss10 SAML V2.0トークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、SOAPベースのクライアントで実行できます。
注意:
このポリシーはセキュアではなく、デモの目的でのみ提供されています。SAML発行者名は存在しますが、SAMLトークンが承認されていません。したがって、メッセージの偽装が可能です。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-22に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
saml.issuer.name
の値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、設計時にWebサービス・クライアントにSAMLを構成します。
-
アウトバウンドSOAPメッセージに、SAMLトークンを挿入するWS-Securityヘッダー要素(
<saml:Assertion>
)を組み込みます。確認タイプは、常にsender-vouchesです。
17.78 oracle/wss10_saml20_token_service_policy
oracle/wss10_saml20_token_service_policyは、WS-Security SOAPヘッダー内のSAMLトークンに含まれる資格証明を使用してユーザーを認証します。SAMLトークンに含まれる資格証明は、SAMLログイン・モジュールに対して認証されます。
表示名: Wss10 SAML V2.0トークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、SOAPベースのエンドポイントで実行できます。
注意:
このポリシーはセキュアではなく、デモの目的でのみ提供されています。SAML発行者名は存在しますが、SAMLトークンが承認されていません。したがって、メッセージの偽装が可能です。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-23に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。 -
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、
saml2.loginmodule
ログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。
17.79 oracle/wss11_kerberos_token_client_policy
oracle/wss11_kerberos_token_client_policyは、WS-Security Kerberos Token Profile v1.1標準に従い、WS-SecurityヘッダーにKerberosトークンを含めます。このポリシーはMITとActive Directory KDCと互換性があります。このポリシーは、SOAPベースのクライアントで実行できます。
表示名: Wss11 Kerberosトークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
サービス・プリンシパル名(SPN)は、Kerberos認証のキー・コンポーネントです。SPNは、サーバー上で動作しているサービスに対する一意のIDです。Kerberos認証を使用するすべてのサービスは各自のSPNのセットを保持する必要があり、それによってクライアント側でのネットワーク上のサービスの識別が可能になります。サービスにSPNが設定されていない場合、クライアントではそのサービスを特定できないため、Kerberos認証を使用できなくなります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-25に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「Kerberosトークンの構成の理解」で説明されているように、Kerberosを構成します。
-
Kerberosクライアント側ポリシーを実行するWebサービス・クライアントは、アクセスを試行するサービスのサービス・プリンシパル名を認識している必要があります。「ポリシー構成プロパティのオーバーライド」で説明されているように、
service.principal.name
の値を指定できます。デフォルト値(プレースホルダ)は、HOST/localhost@oracle.com
です。
設計時の考慮事項
設計時に次の手順を実行します。
-
「Kerberosトークンの構成の理解」で説明されているように、Kerberosを構成します。
-
サービス・プリンシパル名(
service.principal.name
)を設定します。サービス・プリンシパル名は、クライアントがKDCにリクエストするチケットに対応するサービス・プリンシパルの名前を指定します。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。 -
Kerberos認証が成功した場合、取得されたKerberosチケットとオーセンティケータを、SOAPセキュリティ・ヘッダーの
BinarySecurityToken
要素で囲まれたWebサービスに送信します。
17.80 oracle/wss11_kerberos_token_service_policy
oracle/wss11_kerberos_token_service_policyは、SOAPヘッダーからKerberosトークンを抽出し、ユーザーを認証します。このポリシーは、WS-Security Kerberos Token Profile v1.1標準に従って適用されます。コンテナには、OPSSを介して構成されたKerberosインフラストラクチャが含まれている必要があります。
表示名: Wss11 Kerberosトークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーはMITとActive Directory KDCと互換性があります。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
サービス・プリンシパル名(SPN)は、Kerberos認証のキー・コンポーネントです。SPNは、サーバー上で動作しているサービスに対する一意のIDです。Kerberos認証を使用するすべてのサービスは各自のSPNのセットを保持する必要があり、それによってクライアント側でのネットワーク上のサービスの識別が可能になります。サービスにSPNが設定されていない場合、クライアントではそのサービスを特定できないため、Kerberos認証を使用できなくなります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-26に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「Kerberosログイン・モジュールの構成」で説明しているように、
krb5.loginmodule
ログイン・モジュールを構成します。 -
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
17.81 oracle/http_oauth2_token_client_policy
HTTPベースのSOAPまたはRESTクライアントにアタッチするoracle/http_oauth2_token_client_policyを使用できます。
表示名: HTTP OAuth2トークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークン(AT)は、Mobile & Social OAuth2サーバーから取得します。このポリシーは、任意のHTTPベースのクライアントに割り当てることができます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_client_template
このアサーションの詳細は、「oracle/http_oauth2_token_client_template」を参照してください。
構成
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
-
OAuth2トークン・リクエストの場合:
-
scope
-
authz.code (このリリースでは使用されません。)
-
redirect.uri (このリリースでは使用されません。)
-
-
ローカルにトークンを作成する場合:
-
subject.precedence
-
csf.map
-
csf-key
-
oauth2.client.csf.key
-
federated.client.token
-
user.attributes
-
issuer.name
-
oracle.oauth2.service
-
user.roles.include
-
keystore.sig.csf.key
-
propagate.identity.context
-
user.tenant.name
-
include.certificate
-
-
一般:
-
audience.uri
-
reference.priority
-
time.in.millis
-
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_client_template」を参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。
oracle/oauth2_config_client_policyポリシーの必須プロパティtoken.uri
は、OAuth2サーバーのトークン・エンドポイントを指定します。
次の任意のOracle WSM JWTサービス・ポリシーもWebサービスに割り当てます。Oracle WSMのサーバー側エージェントがアクセス・トークンを検証します。
-
oracle/http_jwt_token_service_policy
-
oracle/multi_token_rest_service_policy (REST)
-
oracle/wss11_saml_or_username_token_with_message_protection_service_policy (SOAP)
デフォルトでは、oracle/http_oauth2_token_client_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-oauth2-security xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy" xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy" orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication" orawsp:name="Http OAuth2"> <orasp:auth-header orasp:is-encrypted="false" orasp:is-signed="false" orasp:mechanism="oauth2"/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="HttpOAuth2Config"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="subject.precedence"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="oauth2.client.csf.key"> <orawsp:Value/> <orawsp:DefaultValue>NONE</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="federated.client.token"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="scope"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="authz.code"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="redirect.uri"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.attributes"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="issuer.name"> <orawsp:Value/> <orawsp:DefaultValue>www.oracle.com</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="oracle.oauth2.service"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="user.roles.include"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:name="propagate.identity.context" orawsp:type="string" orawsp:contentType="optional"> <orawsp:Value></orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.tenant.name"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="audience.uri"> <orawsp:Value/> <orawsp:DefaultValue>NONE</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="include.certificate"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:http-oauth2-security>
設定
表18-27を参照してください。
構成プロパティ
表18-28を参照してください。
17.82 oracle/ http_oauth2_token_with_resource_owner_creds_client_policy
oracle/ http_oauth2_token_with_resource_owner_creds_client_policyは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークン(AT)は、Mobile & Social OAuth2サーバーから取得します。
表示名: Http OAuth2トークン(リソース所有者資格証明付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、任意のHTTPベースのクライアントに割り当てることができます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_client_template
「oracle/http_oauth2_token_client_template」を参照してください。
構成
このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークン(AT)は、Mobile & Social OAuth2サーバーから取得します。このポリシーは、HTTPベースのSOAPまたはRESTクライアントに割り当てることができます。
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
-
OAuth2トークン・リクエストの場合:
-
scope
-
authz.code (このリリースでは使用されません。)
-
redirect.uri (このリリースでは使用されません。)
-
-
ローカルにトークンを作成する場合:
-
subject.precedence
-
csf.map
-
csf-key
-
oauth2.client.csf.key
-
federated.client.token
-
user.attributes
-
issuer.name
-
oracle.oauth2.service
-
user.roles.include
-
keystore.sig.csf.key
-
propagate.identity.context
-
user.tenant.name
-
include.certificate
-
-
一般:
-
audience.uri
-
reference.priority
-
time.in.millis
-
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_client_template」を参照してください。
ポリシーをアタッチする前に、サービス・ドメインからクライアント・ドメインおよびOAuthサーバー・ドメインにユーザーをインポートする必要があります。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。
oracle/oauth2_config_client_policyポリシーの必須プロパティtoken.uri
は、OAuth2サーバーのトークン・エンドポイントを指定します。
次の任意のOracle WSM JWTサービス・ポリシーもWebサービスに割り当てます。Oracle WSMのサーバー側エージェントがアクセス・トークンを検証します。
-
oracle/http_jwt_token_service_policy
-
oracle/multi_token_rest_service_policy (REST)
-
oracle/wss11_saml_or_username_token_with_message_protection_service_policy (SOAP)
デフォルトでは、oracle/ http_oauth2_token_with_resource_owner_creds_client_policyアサーション・コンテンツは、次のように定義されています。
<?xml version = '1.0'?> <wsp:Policy xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy" xmlns:oralgp="http://schemas.oracle.com/ws/2006/01/loggingpolicy" xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy" orawsp:provides="{http://docs.oasis-open.org/ns/opencsa/sca/200912}authentication, {http://docs.oasis-open.org/ns/opencsa/sca/200912}clientAuthentication, {http://schemas.oracle.com/ws/2006/01/policy}SOAP_HTTP, {http://schemas.oracle.com/ws/2006/01/policy}REST_HTTP" orawsp:status="enabled" xmlns="http://schemas.xmlsoap.org/ws/2004/09/policy" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="http_oauth2_token_with_resource_owner_creds_client_policy" orawsp:displayName="i18n:oracle.wsm.resources.policydescription.PolicyDescriptionBundle_oracle/http_oauth2_token_with_resource_owner_creds_client_policy_PolyDispNameKey" xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy" orawsp:description="i18n:oracle.wsm.resources.policydescription.PolicyDescriptionBundle_oracle/http_oauth2_token_with_resource_owner_creds_client_policy_PolyDescKey" orawsp:attachTo="binding.client" Name="oracle/http_oauth2_token_with_resource_owner_creds_client_policy" orawsp:readOnly="true" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" orawsp:category="security" orawsp:local-optimization="check-identity"> <oralgp:Logging orawsp:Silent="true" orawsp:name="Log Message1" orawsp:Enforced="false" orawsp:category="security/logging"> <orlagp:msg-log> <oralgp:request>alloralgp:request>all> <oralgp:response>alloralgp:response>all> <oralgp:fault>alloralgp:fault>all> </oralgp:msg-log> <orawsp:bindings> <orawsp:Config orawsp:name="Log Message1_properties"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority"/> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </oralgp:Logging> <orasp:http-oauth2-security xmlns:ns0="http://schemas.oracle.com/ws/2006/01/policy" ns0:Silent="false" ns0:name="Http OAuth2" ns0:Enforced="true" ns0:category="security/authentication"> <orasp:auth-header orasp:mechanism="oauth2"/> <orawsp:bindings> <orawsp:Config orawsp:name="HttpOAuth2Config" orawsp:configType="declarative"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="subject.precedence"> <orawsp:Value/> <orawsp:DefaultValue>trueorawsp:DefaultValue>true> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="constant" orawsp:name="grant_type"> <orawsp:DefaultValue>passwordorawsp:DefaultValue>password> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="oauth2.client.csf.key"> <orawsp:Value/> <orawsp:DefaultValue>NONE</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="federated.client.token"> <orawsp:Value/> <orawsp:DefaultValue>trueorawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="scope"> <orawsp:Value/> </orawsp:Property> <!-- Begin : properties needed for local token creation for end user --> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.attributes"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="issuer.name"> <orawsp:Value/> <orawsp:DefaultValue>www.oracle.comorawsp:DefaultValue>www.oracle.com> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="oracle.oauth2.service"> <orawsp:Value/> <orawsp:DefaultValue>falseorawsp:DefaultValue>false> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="user.roles.include"> <orawsp:Value/> <orawsp:DefaultValue>falseorawsp:DefaultValue>false> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:name="propagate.identity.context" orawsp:type="string" orawsp:contentType="optional"> <orawsp:Value></orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.tenant.name"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="audience.uri"> <orawsp:Value/> <orawsp:DefaultValue>NONE</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="include.certificate"> <orawsp:Value/> <orawsp:DefaultValue>falseorawsp:DefaultValue>false> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="token.lifetime"> <orawsp:Value/> </orawsp:Property> <!--End properties for local token creation for end user --> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:http-oauth2-security> <oralgp:Logging orawsp:Silent="true" orawsp:name="Log Message2" orawsp:Enforced="false" orawsp:category="security/logging"> <oralgp:msg-log> <oralgp:request>all</oralgp:request> <oralgp:response>all</oralgp:response> <oralgp:fault>all</oralgp:fault> </oralgp:msg-log> <orawsp:bindings> <orawsp:Config orawsp:name="Log Message2_properties"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority"/> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </oralgp:Logging> </wsp:Policy>
設定
表18-27を参照してください。
構成プロパティ
表18-28を参照してください。
17.83 oracle/http_oauth2_token_with_resource_owner_creds_over_ssl_client_policy
oracle/ http_oauth2_token_with_resource_owner_creds_over_ssl_client_policyは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークン(AT)は、Mobile & Social OAuth2サーバーから取得します。
表示名: Http OAuth2トークン(リソース所有者資格証明付き)(SSL経由)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、任意のHTTPベースのクライアントに割り当てることができます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_client_template
「oracle/http_oauth2_token_client_template」を参照してください。
設定
表18-27を参照してください。
構成プロパティ
表18-28を参照してください。
17.84 oracle/http_jwt_token_service_policy
HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証するoracle/http_jwt_token_service_policyを使用できます。
表示名: HTTP JWTトークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベースのすべてのエンドポイントに適用できます。
アサーション
このポリシーには次のポリシー・アサーションが含まれています。
oracle/http_jwt_token_service_template。
このアサーションの詳細は、「oracle/http_jwt_token_service_template」を参照してください。
構成
http_jwt_token_service_policyは、HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証します。デフォルトのポリシー構成では、非対称署名を使用してJWTトークンが署名されます(algorithm-suite
属性がBasic128Sha256Rsa15
に設定されています)。
このポリシーはどのHTTPベース・エンドポイントにも添付できます。
ポリシー・ファイルは手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_jwt_token_service_template」を参照してください。
デフォルトでは、oracle/http_jwt_token_service_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-jwt-security orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication" orawsp:name="Http JWT Security"> <orasp:auth-header orasp:algorithm-suite="Basic128Sha256Rsa15" orasp:is-encrypted="false" orasp:is-signed="true" orasp:mechanism="jwt"/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="HttpJwtConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="optional" orawsp:name="trusted.issuers" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="csf.map" orawsp:type="string"/> <orawsp:Property orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="propagate.identity.context" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="reference.priority" orawsp:type="string"/> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:http-jwt-security>
設定
表18-37を参照してください。
構成プロパティ
表18-29を参照してください。
17.85 oracle/http_oauth2_token_identity_switch_over_ssl_client_policy
oracle/http_oauth2_token_identity_switch_over_ssl_client_policyは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、Mobile and Social OAuth2サーバーから取得します。また、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。
表示名: Http OAuth2 Token Over SSLアイデンティティ切替えクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、oracle/http_oauth2_token_over_ssl_client_policyポリシーに類似しており、subject.precedenceプロパティがデフォルトでfalseに設定されています。
このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えを実行します。このポリシーは、任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_over_ssl_client_template
このアサーションの詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
構成
このポリシーは、oracle/ http_oauth2_token_over_ssl_client_policyポリシーに類似しており、subject.precedence
プロパティがデフォルトでfalseに設定されています。
このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。)アクセス・トークンは、Mobile and Social OAuth2サーバーから取得します。)また、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。
このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えを実行します。このポリシーは、任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
-
OAuth2トークン・リクエストの場合:
-
scope
-
authz.code (このリリースでは使用されません。)
-
redirect.uri (このリリースでは使用されません。)
-
-
ローカルにトークンを作成する場合:
-
subject.precedence
-
csf.map
-
csf-key
-
oauth2.client.csf.key
-
federated.client.token
-
user.attributes
-
issuer.name
-
oracle.oauth2.service
-
user.roles.include
-
keystore.sig.csf.key
-
propagate.identity.context
-
user.tenant.name
-
include.certificate
-
-
一般:
-
audience.uri
-
reference.priority
-
time.in.millis
-
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。必要なoracle/oauth2_config_client_policyポリシーのtoken.uri
プロパティは、OAuth2サーバーを指定します。
次の任意のOracle WSM JWTサービス・ポリシーもWebサービスに割り当てます。Oracle WSMのサーバー側エージェントがATを検証します。
-
oracle/http_jwt_token_over_ssl_service_policy
-
oracle/multi_token_over_ssl_rest_service_policy (REST)
-
oracle/wss11_saml_or_username_token_with_message_protection_service_policy (SOAP)
認証されたサブジェクトのかわりにクライアント固有のユーザー名を使用できるようにするには、subject.precedence
をfalse
に設定します。ユーザー名は、csf-keyのユーザー名プロパティからのみ取得されます。
subject.precedence
がfalseに設定され、csf-key
とユーザー名が構成されている場合、Webサービス・クライアント・アプリケーションにはoracle.wsm.security.WSIdentityPermission
権限が必要です。つまり、Oracle WSMが外部から提供されるアイデンティティをアプリケーションから受け入れるには、そのアプリケーションがWSIdentityPermission
権限を持つ必要があります。これにより、Oracle WSMが潜在的に悪質なアプリケーションからアイデンティティを提供されるのを回避します。
デフォルトでは、oracle/http_oauth2_token_identity_switch_over_ssl_client_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-oauth2-security xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy" xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy" orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication, security/msg-protection" orawsp:name="Http OAuth2 Over SSL "> <orasp:auth-header orasp:is-encrypted="false" orasp:is-signed="false" orasp:mechanism="oauth2"/> <orasp:require-tls orasp:algorithm-suite="Basic128" orasp:include-timestamp="false" orasp:mutual-auth="false"/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="HttpOAuth2OverSSLConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="subject.precedence"> <orawsp:Value>false</orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="oauth2.client.csf.key"> <orawsp:Value/> <orawsp:DefaultValue>NONE</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="federated.client.token"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="scope"> <orawsp:Value/> </orawsp:Property> orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="authz.code"> <orawsp:Value/> </orawsp:Property> orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="redirect.uri"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.attributes"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="issuer.name"> <orawsp:Value/> <orawsp:DefaultValue>www.oracle.com</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="oracle.oauth2.service"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="user.roles.include"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:name="propagate.identity.context" orawsp:type="string" orawsp:contentType="optional"> <orawsp:Value></orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.tenant.name"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="audience.uri"> <orawsp:Value/> <orawsp:DefaultValue>NONE</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="include.certificate"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:http-oauth2-security>
設定
表18-30を参照してください。
構成プロパティ
表18-27を参照してください。
17.86 oracle/http_jwt_token_over_ssl_service_policy
oracle/http_jwt_token_over_ssl_service_policyは、HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証します。また、このポリシーは、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。
表示名: Http JWT Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベースのすべてのエンドポイントに適用できます。
アサーション
このポリシーには次のポリシー・アサーションが含まれています。
oracle/http_jwt_token_over_ssl_service_template。
このアサーションの詳細は、「oracle/http_jwt_token_over_ssl_service_template」を参照してください。
構成
http_jwt_token_service_policyは、HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証します。デフォルトのポリシー構成では、非対称署名を使用してJWTトークンが署名されます(algorithm-suite
属性がBasic128Sha256Rsa15
に設定されています)。
また、このポリシーは、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのすべてのエンドポイントに適用できます。
ポリシー・ファイルは手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_jwt_token_over_ssl_service_template」を参照してください。
デフォルトでは、oracle/http_jwt_token_over_ssl_service_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-jwt-security orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication" orawsp:name="Http JWT Security"> <orasp:auth-header orasp:algorithm-suite="Basic128Sha256Rsa15" orasp:is-encrypted="false" orasp:is-signed="true" orasp:mechanism="jwt"/> <orasp:require-tls orasp:include-timestamp="false" orasp:mutual-auth="false"/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="HttpJwtConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="optional" orawsp:name="trusted.issuers" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="csf.map" orawsp:type="string"/> <orawsp:Property orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="propagate.identity.context" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="reference.priority" orawsp:type="string"/> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:http-jwt-security>
設定
表18-39を参照してください。
構成プロパティ
表18-34を参照してください。
17.87 oracle/http_oauth2_token_opc_oauth2_client_policy
oracle/http_oauth2_token_opc_oauth2_client_policyは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、Mobile & Social OAuth2サーバーから取得します。
表示名: HTTP OAuth2トークンOpc OAuth2クライアント・ポリシー
カテゴリ: セキュリティ
説明
oracle.oauth2.serviceプロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびJWTトークンの発行者としてクライアントIDが使用されます。scopeの値がない場合(デフォルト)、プロトコル、ホストおよびポート(使用可能な場合)をサービスURLから取得して使用します。このポリシーは、任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_client_template
このアサーションの詳細は、「oracle/http_oauth2_token_client_template」を参照してください。
構成
このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、OracleクラウドのOAuthサーバーから取得します。
oracle.oauth2.service
プロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびJWTトークンの発行者としてクライアントIDが使用されます。scope
が空(デフォルト)の場合、Oracle WSMがサービスURLを自動的に取得し、address:port部分をスコープとして使用します。
このポリシーは、任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
-
OAuth2トークン・リクエストの場合:
-
scope
-
authz.code (このリリースでは使用されません。)
-
redirect.uri (このリリースでは使用されません。)
-
-
ローカルにトークンを作成する場合:
-
subject.precedence
-
csf.map
-
csf-key
-
oauth2.client.csf.key
-
federated.client.token
-
user.attributes
-
issuer.name
-
oracle.oauth2.service
-
user.roles.include
-
keystore.sig.csf.key
-
propagate.identity.context
-
user.tenant.name
-
include.certificate
-
-
一般:
-
audience.uri
-
reference.priority
-
time.in.millis
-
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_client_template」を参照してください。
オーバーライド可能な構成設定については、ポリシー構成プロパティのオーバーライドを参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。oracle/oauth2_config_client_policyポリシーの必須プロパティtoken.uri
は、OAuth2サーバーを指定します。
次の任意のOracle WSM JWTサービス・ポリシーもWebサービスに割り当てます。Oracle WSMのサーバー側エージェントがアクセス・トークンを検証します。
-
oracle/http_jwt_token_service_policy
-
oracle/multi_token_rest_service_policy (REST)
-
oracle/wss11_saml_or_username_token_with_message_protection_service_policy (SOAP)
デフォルトでは、oracle/http_oauth2_token_opc_oauth2_client_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-oauth2-security xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy" xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy" orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication" orawsp:name="Http OAuth2"> <orasp:auth-header orasp:is-encrypted="false" orasp:is-signed="false" orasp:mechanism="oauth2"/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="HttpOAuth2Config"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="subject.precedence"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="oauth2.client.csf.key"> <orawsp:Value/> <orawsp:DefaultValue>NONE</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="federated.client.token"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="scope"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="authz.code"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="redirect.uri"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.attributes"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="issuer.name"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="oracle.oauth2.service"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="user.roles.include"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:name="propagate.identity.context" orawsp:type="string" orawsp:contentType="optional"> <orawsp:Value></orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.tenant.name"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="audience.uri"> <orawsp:Value/> <orawsp:DefaultValue>NONE</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="include.certificate"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:http-oauth2-security>
設定
表18-27を参照してください。
構成プロパティ
表18-28を参照してください。
17.88 oracle/http_oauth2_token_over_ssl_client_policy
oracle/http_oauth2_token_over_ssl_client_policyは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークン(AT)は、Mobile & Social OAuth2サーバーから取得します。このポリシーは、任意のHTTPベースのクライアントに割り当てることができます。
表示名: Http OAuth2 Token Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
ポリシーは、アウトバウンド・トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_over_ssl_client_template
このアサーションの詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
構成
このポリシーは、ATが一方向SSLでリソースに伝播される以外は、http_oauth2_token_client_policyと同じです。このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。ATは、Mobile and Social OAuth2サーバーから取得します。
ポリシーは、アウトバウンド・トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、任意のHTTPベースのクライアントに割り当てることができます。
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
-
OAuth2トークン・リクエストの場合:
-
scope
-
authz.code (このリリースでは使用されません。)
-
redirect.uri (このリリースでは使用されません。)
-
-
ローカルにトークンを作成する場合:
-
subject.precedence
-
csf.map
-
csf-key
-
oauth2.client.csf.key
-
federated.client.token
-
user.attributes
-
issuer.name
-
oracle.oauth2.service
-
user.roles.include
-
keystore.sig.csf.key
-
propagate.identity.context
-
user.tenant.name
-
include.certificate
-
-
一般:
-
audience.uri
-
reference.priority
-
time.in.millis
-
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
オーバーライド可能な構成設定については、ポリシー構成プロパティのオーバーライドを参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。oracle/oauth2_config_client_policyポリシーの必須プロパティtoken.uri
は、OAuth2サーバーを指定します。
次の任意のOracle WSM JWTサービス・ポリシーもWebサービスに割り当てます。Oracle WSMのサーバー側エージェントがATを検証します。
-
oracle/http_jwt_token_over_ssl_service_policy
-
oracle/multi_token_over_ssl_rest_service_policy (REST)
-
oracle/wss11_saml_or_username_token_with_message_protection_service_policy (SOAP)
デフォルトでは、oracle/http_oauth2_token_over_ssl_client_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-oauth2-security xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy" xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy" orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication, security/msg-protection" orawsp:name="Http OAuth2 Over SSL "> <orasp:auth-header orasp:is-encrypted="false" orasp:is-signed="false" orasp:mechanism="oauth2"/> <orasp:require-tls orasp:algorithm-suite="Basic128" orasp:include-timestamp="false" orasp:mutual-auth="false"/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="HttpOAuth2OverSSLConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="subject.precedence"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="oauth2.client.csf.key"> <orawsp:Value/> <orawsp:DefaultValue>NONE</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="federated.client.token"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="scope"> <orawsp:Value/> </orawsp:Property> orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="authz.code"> <orawsp:Value/> </orawsp:Property> orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="redirect.uri"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.attributes"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="issuer.name"> <orawsp:Value/> <orawsp:DefaultValue>www.oracle.com</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="oracle.oauth2.service"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="user.roles.include"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:name="propagate.identity.context" orawsp:type="string" orawsp:contentType="optional"> <orawsp:Value></orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.tenant.name"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="audience.uri"> <orawsp:Value/> <orawsp:DefaultValue>NONE</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="include.certificate"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:http-oauth2-security> <oralgp:Logging orawsp:Silent="true" orawsp:name="Log Message2" orawsp:Enforced="false" orawsp:category="security/logging"> <oralgp:msg-log> <oralgp:request>all</oralgp:request> <oralgp:response>all</oralgp:response> <oralgp:fault>all</oralgp:fault> </oralgp:msg-log> <orawsp:bindings> <orawsp:Config orawsp:name="Log Message2_properties"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority"/> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:http-oauth2-security>
設定
表18-30を参照してください。
構成プロパティ
表18-27を参照してください。
17.89 oracle/http_jwt_token_over_ssl_service_policy
oracle/http_jwt_token_over_ssl_service_policyは、HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証します。また、このポリシーは、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。
表示名: Http JWT Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベースのすべてのエンドポイントに適用できます。
アサーション
このポリシーには、oracle/http_jwt_token_over_ssl_service_templateポリシー・アサーションが含まれています。このアサーションの詳細は、「oracle/http_jwt_token_over_ssl_service_template」を参照してください。
構成
ポリシーの構成の詳細は、「oracle/http_jwt_token_client_policy」を参照してください。
17.90 oracle/oauth2_config_client_policy
oracle/oauth2_config_client_policyは、クライアント側のOAuth2情報を提供します。
表示名: OAuth2構成クライアント・ポリシー
カテゴリ: セキュリティ
説明
OAuth2の情報は、トークン交換でMobile and Social OAuth2サーバーを起動するために使用されます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/oauth2_config_client_template
このアサーションの詳細は、「oracle/oauth2_config_client_template」を参照してください。
構成
このポリシーは、クライアント側のOAuth2情報を提供します。この情報は、トークン交換でMobile and Social OAuth2サーバーを起動するために使用されます。
このポリシーは、OAuth2トークン・クライアント・ポリシーも割り当てる場合にのみ実行されます。それ以外の場合、このパラメータは無視されます。通常、このポリシーはグローバルに、OAuth2トークン・クライアント・ポリシーはローカルに割り当てられます。
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/oauth2_config_client_template」を参照してください。
token.uri
プロパティを設定またはオーバーライドする必要があります。オーバーライド可能な構成設定については、ポリシー構成プロパティのオーバーライドを参照してください。
デフォルトでは、oracle/oauth2_config_client_policyアサーション・コンテンツは、次のように定義されています。
<orasp:oauth2-config xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy" xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy" orasp:token-uri="http://host:port/tokens" orawsp:Enforced="true" orawsp:Silent="true" orawsp:category="security/oauth2-config" orawsp:name="OAuth2 Configuration"> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="OAuth2Config"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:name="role" orawsp:type="string" orawsp:contentType="constant"> <orawsp:Value/> <orawsp:DefaultValue>ultimateReceiver</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:name="token.uri" orawsp:type="string" orawsp:contentType="optional"> <orawsp:Value/> <orawsp:DefaultValue>http://host:port/tokens</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="required" orawsp:name="oauth2.client.csf.key"> <orawsp:Value/> <orawsp:DefaultValue>basic.client.credentials</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority"/> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:oauth2-config>
設定
表18-35を参照してください。
構成プロパティ
表18-36を参照してください。
17.91 oracle/http_jwt_token_client_policy
oracle/http_jwt_token_client_policyは、HTTPヘッダーにJWTトークンを含めます。JWTトークンは自動的に作成されます。発行者名とサブジェクト名は、プログラムによって、またはポリシーを介して宣言的に提供されます。
表示名: HTTP JWTトークン・クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーにはオーディエンス制限条件を指定できます。
このポリシーは、HTTPベースのクライアント・エンドポイントで実行できます。
アサーション
このポリシーには次のポリシー・アサーションが含まれています。
oracle/http_jwt_token_client_template
このアサーションの詳細は、「oracle/http_jwt_token_client_template」を参照してください。
構成
http_jwt_token_client_policyは、HTTPヘッダーにJWTトークンを含めます。JWTトークンは自動的に作成されます。発行者名とサブジェクト名は、プログラムによって、またはポリシーを介して宣言的に提供されます。このポリシーにはオーディエンス制限条件を指定できます。
このポリシーは、HTTPベースのどのクライアント・エンドポイントにも適用できます。
ポリシー・ファイルは手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_jwt_token_client_template」を参照してください。
デフォルトでは、oracle/http_jwt_token_client_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-jwt-security orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication" orawsp:name="Http JWT Security"> <orasp:auth-header orasp:algorithm-suite="Basic128Sha256Rsa15" orasp:is-encrypted="false" orasp:is-signed="true" orasp:mechanism="jwt"/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="HttpJwtTokenConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:contentType="optional" orawsp:name="user.attributes" orawsp:type="string"/> <orawsp:Property orawsp:contentType="optional" orawsp:name="issuer.name" orawsp:type="string"> <orawsp:Value>www.oracle.com</orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="user.roles.include" orawsp:type="string"> <orawsp:Value>false</orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="csf.map" orawsp:type="string"/> <orawsp:Property orawsp:contentType="optional" orawsp:name="csf-key" orawsp:type="string"> <orawsp:Value>basic.credentials</orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="subject.precedence" orawsp:type="string"> <orawsp:Value>true</orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="audience.uri" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="propagate.identity.context" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="user.tenant.name" orawsp:type="string"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:contentType="optional" orawsp:name="reference.priority" orawsp:type="string"/> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:http-jwt-security>
設定
表18-37を参照してください。
構成プロパティ
表18-38を参照してください。
17.92 oracle/http_jwt_token_over_ssl_client_policy
oracle/http_jwt_token_over_ssl_client_policyは、HTTPヘッダーにJWTトークンを含めます。JWTトークンは自動的に作成されます。発行者名とサブジェクト名は、プログラムによって、またはポリシーを介して宣言的に提供されます。
表示名: Http JWT Token Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーにはオーディエンス制限条件を指定できます。
また、このポリシーは、トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。
このポリシーは、HTTPベースのクライアント・エンドポイントで実行できます。
アサーション
このポリシーには、oracle/http_jwt_token_over_ssl_client_templateポリシー・アサーションが含まれています。このアサーションの詳細は、「oracle/http_jwt_token_over_ssl_client_template」を参照してください。
構成
ポリシーの構成の詳細は、「oracle/http_jwt_token_client_policy」を参照してください。
17.93 oracle/http_oauth2_token_identity_switch_opc_oauth2_over_ssl_client_policy
oracle/http_oauth2_token_identity_switch_opc_oauth2_over_ssl_client_policyは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、OAuthサーバーから取得します。また、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、SSLを通じてサービスを呼び出す任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
表示名: HTTP OAuth2トークン・アイデンティティ切替えOpc OAuth2 Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えも実行します。
subject.precedenceプロパティは、デフォルトでfalseに設定されています。oracle.oauth2.serviceプロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびクライアントJWTトークンの発行者としてクライアントIDが使用されます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_over_ssl_client_template
このアサーションの詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
構成
このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、OracleクラウドのOAuthサーバーから取得します。
oracle.oauth2.service
プロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびJWTトークンの発行者としてクライアントIDが使用されます。scope
が空(デフォルト)の場合、Oracle WSMがサービスURLを自動的に取得し、address:port部分をスコープとして使用します。
また、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、SSLを通じてサービスを呼び出す任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えも実行します。
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
-
OAuth2トークン・リクエストの場合:
-
scope
-
authz.code (このリリースでは使用されません。)
-
redirect.uri (このリリースでは使用されません。)
-
-
ローカルにトークンを作成する場合:
-
subject.precedence
-
csf.map
-
csf-key
-
oauth2.client.csf.key
-
federated.client.token
-
user.attributes
-
issuer.name
-
oracle.oauth2.service
-
user.roles.include
-
keystore.sig.csf.key
-
propagate.identity.context
-
user.tenant.name
-
include.certificate
-
-
一般:
-
audience.uri
-
reference.priority
-
time.in.millis
-
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。必要なoracle/oauth2_config_client_policyポリシーのtoken.uri
プロパティは、OAuth2サーバーを指定します。
次の任意のOracle WSM JWTサービス・ポリシーもWebサービスに割り当てます。Oracle WSMのサーバー側エージェントがATを検証します。
-
oracle/http_jwt_token_over_ssl_service_policy
-
oracle/multi_token_over_ssl_rest_service_policy (REST)
-
oracle/wss11_saml_or_username_token_with_message_protection_service_policy (SOAP)
認証されたサブジェクトのかわりにクライアント固有のユーザー名を使用できるようにするには、subject.precedence
をfalse
に設定します。ユーザー名は、csf-key
のユーザー名プロパティからのみ取得されます。
subject.precedence
がfalseに設定され、csf-key
とユーザー名が構成されている場合、Webサービス・クライアント・アプリケーションにはoracle.wsm.security.WSIdentityPermission
権限が必要です。つまり、Oracle WSMが外部から提供されるアイデンティティをアプリケーションから受け入れるには、そのアプリケーションがWSIdentityPermission
権限を持つ必要があります。これにより、Oracle WSMが潜在的に悪質なアプリケーションからアイデンティティを提供されるのを回避します。WSIdentityPermissionを使用した権限の設定のWSIdentityPermission
権限の付与の説明を参照してください。
デフォルトでは、oracle/http_oauth2_token_identity_switch_opc_oauth2_over_ssl_client_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-oauth2-security xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy" xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy" orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication, security/msg-protection" orawsp:name="Http OAuth2 Over SSL "> <orasp:auth-header orasp:is-encrypted="false" orasp:is-signed="false" orasp:mechanism="oauth2"/> <orasp:require-tls orasp:algorithm-suite="Basic128" orasp:include-timestamp="false" orasp:mutual-auth="false"/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="HttpOAuth2OverSSLConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="subject.precedence"> <orawsp:Value>false</orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="oauth2.client.csf.key"> <orawsp:Value/> <orawsp:DefaultValue>NONE</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="federated.client.token"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="scope"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="authz.code"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="redirect.uri"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.attributes"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="issuer.name"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="oracle.oauth2.service"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="user.roles.include"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:name="propagate.identity.context" orawsp:type="string" orawsp:contentType="optional"> <orawsp:Value></orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.tenant.name"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="audience.uri"> <orawsp:Value/> <orawsp:DefaultValue>NONE</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="include.certificate"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:http-oauth2-security>
設定
表18-30を参照してください。
構成プロパティ
表18-27を参照してください。
17.94 oracle/http_oauth2_token_opc_oauth2_over_ssl_client_policy
oracle/http_oauth2_token_opc_oauth2_over_ssl_client_policyは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、Mobile & Social OAuth2サーバーから取得します。oracle.oauth2.serviceプロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびJWTトークンの発行者としてクライアントIDが使用されます。
表示名: HTTP OAuth2トークンOpc OAuth2 Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
scopeの値がない場合(デフォルト)、プロトコル、ホストおよびポート(使用可能な場合)をサービスURLから取得して使用します。
ポリシーは、アウトバウンド・トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、任意のHTTPベースのクライアントに割り当てることができます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_over_ssl_client_template
このアサーションの詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
構成
このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、OracleクラウドのOAuth2サーバーから取得します。
oracle.oauth2.service
プロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびJWTトークンの発行者としてクライアントIDが使用されます。scope
が空(デフォルト)の場合、Oracle WSMがサービスURLを自動的に取得し、address:port部分をスコープとして使用します。
ポリシーは、アウトバウンド・トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、HTTPベースのSOAPまたはRESTクライアントに割り当てることができます。
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
-
OAuth2トークン・リクエストの場合:
-
scope
-
authz.code (このリリースでは使用されません。)
-
redirect.uri (このリリースでは使用されません。)
-
-
ローカルにトークンを作成する場合:
-
subject.precedence
-
csf.map
-
csf-key
-
oauth2.client.csf.key
-
federated.client.token
-
user.attributes
-
issuer.name
-
oracle.oauth2.service
-
user.roles.include
-
keystore.sig.csf.key
-
propagate.identity.context
-
user.tenant.name
-
include.certificate
-
-
一般:
-
audience.uri
-
reference.priority
-
time.in.millis
-
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
オーバーライド可能な構成設定については、ポリシー構成プロパティのオーバーライドを参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。oracle/oauth2_config_client_policyポリシーの必須プロパティtoken.uri
は、OAuth2サーバーを指定します。
次の任意のOracle WSM JWTサービス・ポリシーもWebサービスに割り当てます。Oracle WSMのサーバー側エージェントがATを検証します。
-
oracle/http_jwt_token_over_ssl_service_policy
-
oracle/multi_token_over_ssl_rest_service_policy (REST)
-
oracle/wss11_saml_or_username_token_with_message_protection_service_policy (SOAP)
デフォルトでは、oracle/http_oauth2_token_opc_oauth2_over_ssl_client_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-oauth2-security xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy" xmlns:orawsp="http://schemas.oracle.com/ws/2006/01/policy" orawsp:Enforced="true" orawsp:Silent="false" orawsp:category="security/authentication, security/msg-protection" orawsp:name="Http OAuth2 Over SSL "> <orasp:auth-header orasp:is-encrypted="false" orasp:is-signed="false" orasp:mechanism="oauth2"/> <orasp:require-tls orasp:algorithm-suite="Basic128" orasp:include-timestamp="false" orasp:mutual-auth="false"/> <orawsp:bindings> <orawsp:Config orawsp:configType="declarative" orawsp:name="HttpOAuth2OverSSLConfig"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="subject.precedence"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="oauth2.client.csf.key"> <orawsp:Value/> <orawsp:DefaultValue>NONE</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="federated.client.token"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="scope"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="authz.code"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="redirect.uri"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.attributes"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="issuer.name"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="oracle.oauth2.service"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="user.roles.include"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:name="propagate.identity.context" orawsp:type="string" orawsp:contentType="optional"> <orawsp:Value></orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.tenant.name"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="audience.uri"> <orawsp:Value/> <orawsp:DefaultValue>NONE</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="include.certificate"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:http-oauth2-security>
設定
表18-30を参照してください。
構成プロパティ
表18-27を参照してください。
17.95 oracle/http_jwt_token_identity_switch_client_policy
oracle/http_jwt_token_identity_switch_client_policyは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えを実行します。このポリシーは、HTTPヘッダーにJSON Webトークン(JWT)を含めます。JWTトークンは自動的に作成されます。発行者名とサブジェクト名は、プログラムによって、またはポリシーを介して宣言的に提供されます。このポリシーにはオーディエンス制限条件を指定できます。
表示名: HTTP JWTトークン・アイデンティティ切替えクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、HTTPベース、SOAPまたはRESTクライアント・エンドポイントで実行できます。
アサーション
このポリシーには次のポリシー・アサーションが含まれています。
oracle/http_jwt_token_client_template
このアサーションの詳細は、「oracle/http_jwt_token_client_template」を参照してください。
構成
認証済サブジェクトに基づいたアイデンティティではなく、別のアイデンティティを伝播して、動的なアイデンティティ切替えを実行します。このポリシーは、HTTPヘッダーにJWTトークンを含めます。ポリシーがクライアントにより使用される場合、Oracle WSMによってJWTトークンが自動的に作成されます。発行者名とサブジェクト名は、プログラムによって、またはポリシーを介して宣言的に提供されます。このポリシーにはオーディエンス制限条件を指定できます。
このポリシーは、HTTPベース、SOAPまたはRESTクライアント・エンドポイントで実行できます。
ポリシー・ファイルは手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_jwt_token_client_template」を参照してください。
デフォルトでは、subject.precedence
プロパティがfalse
に設定されていること以外は、oracle/http_jwt_token_identity_switch_client_policyアサーション・コンテンツとoracle/http_jwt_token_client_templateは同じです。
<orawsp:Property orawsp:contentType="optional" orawsp:name="subject.precedence" orawsp:type="string"> <orawsp:Value>true</orawsp:Value> </orawsp:Property>
設定
表18-37を参照してください。
構成プロパティ
表18-38を参照してください。
17.96 oracle/binding_authorization_denyall_policy
oracle/binding_authorization_denyall_policyは、SOAPバインディング・レベルの認証されたサブジェクトに基づき、簡単なロール・ベースの認可ポリシーを提供します。
表示名: バインディング認可DenyAllポリシー
カテゴリ: セキュリティ
説明
このポリシーは、任意のロールを持つすべてのユーザーを拒否します。サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SOAPベースの任意のエンドポイントに添付できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-123に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
OPSSを設定する手順は次のとおりです。
-
1つ以上のWebLogic Serverエンタープライズ・ロールを指定する場合、認証されたサブジェクトにそのロールがすでに付与されている必要があります。ユーザーとグループの管理での説明に従って、WebLogic Server管理コンソールを使用してロールをユーザーまたはグループに付与します。
-
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。
-
17.97 oracle/binding_authorization_permitall_policy
oracle/binding_authorization_permitall_policyは、SOAPバインディング・レベルの認証されたサブジェクトに基づき、リクエストに対して簡単なロール・ベースの認可を行います。このポリシーは、任意のロールを持つすべてのユーザーを許可します。
表示名: バインディング認可PermitAllポリシー
カテゴリ: セキュリティ
説明
サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SOAPベースの任意のエンドポイントに添付できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-123に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
OPSSを設定する手順は次のとおりです。
-
1つ以上のWebLogic Serverエンタープライズ・ロールを指定する場合、認証されたサブジェクトにそのロールがすでに付与されている必要があります。ユーザーとグループの管理での説明に従って、WebLogic Server管理コンソールを使用してロールをユーザーまたはグループに付与します。
-
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。
-
17.98 oracle/binding_permission_authorization_policy
oracle/binding_permission_authorization_policyは、認証済のサブジェクトに基づく権限ベースの認可ポリシーを提供します。このポリシーは、サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SOAPベースの任意のエンドポイントに添付できます。
表示名: バインディング権限ベース認可ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、サブジェクトに操作を実行する権限があることを保証します。これを行うため、認可ポリシー・エグゼキュータはOPSSを利用し、認証されたサブジェクトに、パラメータとして「リソース・パターン」
と「アクション・パターン」
を使用してoracle.wsm.security.WSFunctionPermission
(または「権限チェック・クラス」
で指定された任意の権限クラス)が付与されているかどうかを確認します。詳細は、「認可権限の決定」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-125に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
OPSSを設定する手順は次のとおりです。
-
Fusion Middleware Controlを使用して、Webサービスに対する認証を試行するユーザー、グループまたはアプリケーションに
WSFunctionPermission
権限を付与します。 -
オプションで、このポリシーの
permission_class
構成プロパティを変更します。これは、JAAS標準に従って権限クラスを識別します。クラスは、サーバー・クラスパスに存在する必要があります。カスタムの権限クラスは、抽象的な権限
クラスを拡張し、シリアライズ可能な
インタフェースを実装する必要があります。http://docs.oracle.com/javase/7/docs/api/java/security/Permission.html
にあるJavadocを参照してください。デフォルトは、oracle.wsm.security.WSFunctionPermission
です。 -
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。
-
17.99 oracle/component_authorization_denyall_policy
oracle/component_authorization_denyall_policyは、認証されたサブジェクトに基づき、簡単なロールベースの認可ポリシーを提供します。
表示名: コンポーネント認可DenyAllポリシー
カテゴリ: セキュリティ
説明
このポリシーは、任意のロールを持つすべてのユーザーを拒否します。サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SCAベースの任意のエンドポイントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-127に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
OPSSを設定する手順は次のとおりです。
-
1つ以上のWebLogic Serverエンタープライズ・ロールを指定する場合、認証されたサブジェクトにそのロールがすでに付与されている必要があります。ユーザーとグループの管理での説明に従って、WebLogic Server管理コンソールを使用してロールをユーザーまたはグループに付与します。
-
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。
-
17.100 oracle/component_authorization_permitall_policy
oracle/component_authorization_permitall_policyは、認証されたサブジェクトに基づき、簡単なロールベースの認可ポリシーを提供します。
表示名: コンポーネント認可PermitAllポリシー
カテゴリ: セキュリティ
説明
このポリシーは、任意のロールを持つすべてのユーザーを許可します。サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SCAベースの任意のエンドポイントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-127に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
OPSSを設定する手順は次のとおりです。
-
1つ以上のWebLogic Serverエンタープライズ・ロールを指定する場合、認証されたサブジェクトにそのロールがすでに付与されている必要があります。ユーザーとグループの管理での説明に従って、WebLogic Server管理コンソールを使用してロールをユーザーまたはグループに付与します。
-
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。
-
17.101 oracle/component_permission_authorization_policy
oracle/component_permission_authorization_policyは、認証済のサブジェクトに基づく権限ベースの認可ポリシーを提供します。このポリシーは、サブジェクトが作成されている認証ポリシーの後に続ける必要があり、SCAベースの任意のエンドポイントにアタッチできます。
表示名: コンポーネント権限ベース認可ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、サブジェクトに操作を実行する権限があることを保証します。これを行うため、認可ポリシー・エグゼキュータはOPSSを利用し、認証されたサブジェクトに、パラメータとして「リソース・パターン」
と「アクション・パターン」
を使用してoracle.wsm.security.WSFunctionPermission
(または「権限チェック・クラス」
で指定された任意の権限クラス)が付与されているかどうかを確認します。「リソース・パターン」
と「アクション・パターン」
は、認可アサーションがこの特定のリクエストに対して実行されるかどうかを識別するために使用されます。認証されたサブジェクトにWSFunctionPermission
が付与されている場合、アクセスは許可されます。詳細は、「認可権限の決定」を参照してください。
WSFunctionPermission
権限を、ユーザー、グループまたはアプリケーション・ロールに付与できます。WSFunctionPermission
をユーザーまたはグループに付与した場合、この権限は、ドメインにデプロイされているすべてのアプリケーションに適用されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-130に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
OPSSを設定する手順は次のとおりです。
-
Fusion Middleware Controlを使用して、Webサービスに対する認証を試行するユーザー、グループまたはアプリケーションに
WSFunctionPermission
権限を付与します。 -
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成します。
-
17.102 oracle/no_authorization_component_policy
oracle/no_authorization_component_policyは動作無効ポリシーです。SOAコンポーネントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認可ポリシーを上位スコープで効率よく無効化します。
表示名: 認可コンポーネント動作無効ポリシー
カテゴリ: セキュリティ
説明
グローバルにアタッチされたポリシーに、認可アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効化されます。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-44は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-44 oracle/no_authorization_component_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.103 oracle/no_authorization_service_policy
oracle/no_authorization_service_policyは動作無効ポリシーです。サービス・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされた認可ポリシーを上位スコープで効率よく無効化します。
表示名: 認可サービス動作無効ポリシー
カテゴリ: セキュリティ
説明
グローバルにアタッチされたポリシーに、認可アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効になります。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-45は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-45 oracle/no_authorization_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.104 oracle/whitelist_authorization_policy
oracle/whitelist_authorization_policyは、ロール・ベースの認可ポリシーの特殊なケースであり、指定された条件が真である場合にのみリクエストを受け入れます。
表示名: 制約ベース認可ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、ロールベースの認可ポリシーの特殊なケースです。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
次のいずれかの条件が該当する場合のみ、リクエストを受け取ります。
-
認証されたトークンがSAML送信者保証の場合。
-
ユーザーが特定のロールの場合(デフォルトは
trustedEnterpriseRole
であり、ユーザーを信頼できるエンティティとして確立します -
リクエストがプライベート・ネットワークから届いている場合。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
-
whitelist_authorization_policy
がアタッチされたサービスを正常に起動するには、次のいずれかの操作を実行する必要があります。-
サービスが認証でSAML送信者保証を受け入れる場合(たとえば、SAMLトークン・サービス・ポリシーがサービスにアタッチされている場合)、対応するSAMLトークン・クライアント・ポリシーをクライアントにアタッチする必要があります。
-
サービスが認証でユーザー名/パスワードを受け入れる場合(たとえば、ユーザー名トークン・サービス・ポリシーがサービスに添付されている場合)、対応するユーザー名トークン・クライアント・ポリシーをクライアントに添付し、クライアントが、ポリシーで定義される信頼できるロールであることを確認する必要があります。(デフォルトでは、事前定義済ポリシーで定義されるロールは
trustedEnterpriseRole
です。事前定義済ポリシー内のこのロールを変更する必要があります。) -
サービスが、Oracle HTTP Serverを使用して起動され、プライベート内部ネットワークからのリクエストであることを示すよう構成されている場合(「リクエスト元を指定するためのOracle HTTP Serverの構成」を参照)、内部ネットワーク上のクライアントのみが、対応するユーザー名トークン・クライアント・ポリシーをクライアント側でアタッチする必要があります。
-
-
OPSSを設定する手順は次のとおりです。
-
1つ以上のWebLogic Serverエンタープライズ・ロールを指定する場合、認証されたサブジェクトにそのロールがすでに付与されている必要があります。ユーザーとグループの管理での説明に従って、WebLogic Server管理コンソールを使用してロールをユーザーまたはグループに付与します。
-
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項で説明されているように、WebLogic認証プロバイダを構成する必要があります。
-
「制約パターン」プロパティ設定には、リクエストが内部ネットワークまたは外部ネットワークから発行されたかどうかを指定する
requestOrigin
フィールドが含まれています。このプロパティは、Oracle HTTP Serverを使用しており、Oracle HTTP Server管理者がカスタムのVIRTUAL_HOST_TYPE
ヘッダーをリクエストに追加した場合のみ有効です。Oracle HTTP Serverを構成するには、「リクエスト元を指定するためのOracle HTTP Serverの構成」を参照してください。
-
17.105 oracle/no_messageprotection_client_policy
oracle/no_messageprotection_client_policyは動作無効ポリシーです。クライアント・エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたメッセージ保護ポリシーを上位スコープで効率よく無効化します。
表示名: メッセージ保護クライアント動作無効ポリシー
カテゴリ: セキュリティ
説明
グローバルにアタッチされたポリシーに、メッセージ保護アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効化されます。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-46は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-46 oracle/no_messageprotection_client_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.106 oracle/no_messageprotection_service_policy
oracle/no_messageprotection_service_policyは、動作無効ポリシーであり、サービス・エンドポイントに直接添付されている場合、または下位スコープでグローバルに添付されている場合、グローバルに添付されたメッセージ保護ポリシーを上位スコープで効率よく無効化します。
表示名: メッセージ保護サービス動作無効ポリシー
カテゴリ: セキュリティ
説明
グローバルにアタッチされたポリシーに、メッセージ保護アサーションに加えて他のアサーションが含まれる場合、そのアサーションも無効化されます。この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-47は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-47 oracle/no_messageprotection_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.107 oracle/wss10_message_protection_client_policy
oracle/wss10_message_protection_client_policyは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
表示名: Wss10メッセージ保護クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-42に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
OPSSを構成するには、「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアおよびWebサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。 -
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
WS-Security 1.0標準に準拠して、セキュリティ・ヘッダーに署名要素および暗号化要素を組み込むことができます。
次の例(SOAPメッセージのWS-Security 1.0メッセージ整合性)は、セキュリティ・ヘッダーに含まれる署名の一般的な構造を示しています。この例では、SOAPメッセージの本体要素が署名されています。
<dsig:Signature xmlns:dsig="http://www.w3.org/2000/09/xmldsig#"> <dsig:SignedInfo> <dsig:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/> <dsig:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/> <dsig:Reference URI="#Timestamp-..."> <dsig:Transforms> <dsig:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/> </dsig:Transforms> <dsig:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/> <dsig:DigestValue>...</dsig:DigestValue> </dsig:Reference> <dsig:Reference URI="#Body-..."> <dsig:Transforms> <dsig:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/> </dsig:Transforms> <dsig:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/> <dsig:DigestValue>...</dsig:DigestValue> </dsig:Reference> <dsig:Reference URI="#KeyInfo-..."> <dsig:Transforms> <dsig:Transform Algorithm="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform"> <TransformationParameters xmlns="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"> <CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" xmlns="http://www.w3.org/2000/09/xmldsig#"/> </TransformationParameters> </dsig:Transform> </dsig:Transforms> <dsig:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/> <dsig:DigestValue>...</dsig:DigestValue> </dsig:Reference> </dsig:SignedInfo> <dsig:SignatureValue>....</dsig:SignatureValue> <dsig:KeyInfo Id="KeyInfo-..."> <wsse:SecurityTokenReference xmlns="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"> <wsse:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509SubjectKeyIdentifier" EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary"> ...</wsse:KeyIdentifier> </wsse:SecurityTokenReference> </dsig:KeyInfo> </dsig:Signature>
次の例(SOAPメッセージのWS-Security 1.0メッセージ機密保護)に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
<env:Body xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="Body-JA9fsCRnqbFJ0ocBAMKb7g22"> <xenc:EncryptedData xmlns:xenc="http://www.w3.org/2001/04/xmlenc#" Type="http://www.w3.org/2001/04/xmlenc#Content" Id="..."> <xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc"/> <xenc:CipherData> <xenc:CipherValue>...</xenc:CipherValue> </xenc:CipherData> </xenc:EncryptedData> </env:Body>
17.108 oracle/wss10_message_protection_service_policy
oracle/wss10_message_protection_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)を実行します。
表示名: Wss10メッセージ保護サービス・ポリシー
カテゴリ: セキュリティ
説明
メッセージは、WS-Securityの非対称鍵テクノロジのBasic 128スイートを使用して保護されます。具体的には、RSA鍵メカニズム(メッセージの機密性)、SHA-1ハッシュ・アルゴリズム(メッセージの整合性)、およびAES-128ビットの暗号化が使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-43に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
OPSSを設定する手順は次のとおりです。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。また、メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、さらにCAルート証明書も格納する必要があります。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。
-
17.109 oracle/wss11_message_protection_client_policy
oracle/wss11_message_protection_client_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストにメッセージの整合性および機密保護を提供します。
表示名: Wss11メッセージ保護クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
対称鍵テクノロジは、データの暗号化と復号化に同じ共有鍵を使用する暗号化メソッドです。対称鍵は、メッセージへの署名に使用されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-45に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアおよびWebサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.enc.csf.key
の値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
-
このポリシーは対称鍵テクノロジを使用します。このテクノロジは、データの暗号化と復号化に同じ共有鍵を使用する暗号化メソッドです。対称鍵は、メッセージへの署名に使用されます。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
次の例(SOAPメッセージのWS-Security 1.1メッセージ機密保護)に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
<xenc:EncryptedKey xmlns:xenc="http://www.w3.org/2001/04/xmlenc#" Id="EK-..."> <xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p"> <dsig:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" xmlns:dsig="http://www.w3.org/2000/09/xmldsig#" /> </xenc:EncryptionMethod> <dsig:KeyInfo xmlns:dsig="http://www.w3.org/2000/09/xmldsig#"> <wsse:SecurityTokenReference xmlns="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"> <wsse:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#ThumbprintSHA1" EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary">...</wsse:KeyIdentifier> </wsse:SecurityTokenReference> </dsig:KeyInfo> <xenc:CipherData> <xenc:CipherValue>...</xenc:CipherValue> </xenc:CipherData> <xenc:ReferenceList> <xenc:DataReference URI="#_..." /> </xenc:ReferenceList> </xenc:EncryptedKey> <env:Body xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="Body-..."> <xenc:EncryptedData xmlns:xenc="http://www.w3.org/2001/04/xmlenc#" Type="http://www.w3.org/2001/04/xmlenc#Content" Id="..."> <xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc" /> <dsig:KeyInfo xmlns:dsig="http://www.w3.org/2000/09/xmldsig#"> <wsse:SecurityTokenReference xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"> <wsse:Reference URI="#EK-..." ValueType="http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#EncryptedKey" /> </wsse:SecurityTokenReference> </dsig:KeyInfo> <xenc:CipherData> <xenc:CipherValue>...</xenc:CipherValue> </xenc:CipherData> </xenc:EncryptedData> </env:Body>
17.110 oracle/wss11_message_protection_service_policy
oracle/wss11_message_protection_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストにメッセージの整合性および機密保護を実行します。
表示名: Wss11メッセージ保護サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-46に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
OPSSを設定する手順は次のとおりです。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。また、メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、さらにCAルート証明書も格納する必要があります。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。 -
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.enc.csf.key
の値を指定します。
-
17.111 wss11_username_token_derivedkey_with_message_protection_service
oracle/wss11_username_token_derivedkey_with_message_protection_service_policy
では、リクエストでユーザー名トークンに<wsse11:Salt>
または<wsse11:Iteration>
要素が含まれるクライアントと統合するためにOWSMを使用できます。これらの要素をユーザー名トークンで使用し、パスワード導出キーをサポートできます。署名または暗号化が使用されます。
表示名: Wss11ユーザー名トークン(メッセージ保護付き)(パスワード導出キー使用)サービス・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージを署名または暗号化します。Webサービス・プロバイダはメッセージを復号化または検証します。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
注意:
BASIC128 ALgosuiteのみがこのポリシーにサポートされます。-
クライアントは、ユーザーに関連付けられたパスワードを使用して秘密鍵を作成します。これを使用して、適用されたクライアント・ポリシーに従ってデータの対称署名または暗号化を作成します。
注意:
UsernameTokenヘッダーの暗号化はサポートされていません。 -
サービスがメッセージを受け取ると、パスワードおよび2つの追加要素(リクエスト・トークンで受け取ったsaltおよびiteration)の情報を使用して、クライアントと同じ秘密鍵を導出します。
-
Webサービスは、UsernameTokenを使用して渡されたユーザーを認証し、このパスワード導出キーを使用してメッセージを復号化または検証します。
-
次に、クライアントに返信するレスポンスの暗号化または署名のために、同じ秘密鍵を使用します。
アサーション(ORグループ)
構成
このポリシーを構成する手順は次のとおりです。
-
表18-102に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
OPSSを設定する手順は次のとおりです。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
-
user.csf.key 構成パラメータの値を設定します。デフォルト値はです
basic.credentials
.
17.112 oracle/wss11_username_token_with_message_protection_client_policy
oracle/wss11_username_token_with_message_protection_client_policy
では、ユーザー名トークンに<wsse11:Salt>
または<wsse11:Iteration>
要素が必要なバックエンド・サービスと統合するためにOWSMを使用できます。これらの要素をユーザー名トークンで使用し、パスワード導出キーをサポートできます。このクライアント・ポリシーは、署名を使用したメッセージ保護用です。
表示名: Wss11ユーザー名トークン(メッセージ保護署名付き)(パスワード導出キー使用)サービス・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名します。Webサービス・プロバイダはメッセージの署名を検証します。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージが署名されます。Webサービス・プロバイダは署名の検証と認証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
注意:
BASIC128 ALgosuiteのみがこのポリシーにサポートされます。-
クライアントは、ユーザーに関連付けられたパスワードを使用して秘密鍵を作成します。この秘密鍵を使用して、データの対称署名を作成します。
-
サービスがメッセージを受け取ると、パスワードおよび2つの追加要素(リクエスト・トークンで受け取ったsaltおよびiteration)の情報を使用して、クライアントと同じ秘密鍵を導出します。
-
Webサービスは、UsernameTokenを使用して渡されたユーザーを認証し、このパスワード導出キーを使用してメッセージを検証します。
-
次に、クライアントに返信するレスポンスの署名のために、同じ秘密鍵を使用します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-101に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
OWSMキーストアを設定して、鍵(ユーザー名/パスワード)を指定します。
-
メッセージ署名のポリシー・アサーションを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
メッセージ署名のポリシー・アサーションを構成します。
17.113 wss11_username_token_derivedkey_message_protection_encryption_client
oracle/wss11_username_token_derivedkey_with_message_protection_encryption_only_client_policy
では、ユーザー名トークンに<wsse11:Salt>
または<wsse11:Iteration>
要素が必要なバックエンド・サービスと統合するためにOWSMを使用できます。これらの要素をユーザー名トークンで使用し、パスワード導出キーをサポートできます。このクライアント・ポリシーは、暗号化を使用したメッセージ保護用です。
表示名: Wss11ユーザー名トークン(メッセージ保護暗号化付き)(パスワード導出キー使用)サービス・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージを暗号化します。Webサービス・プロバイダはメッセージを復号化します。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージが復号化されます。Webサービス・プロバイダはメッセージを復号化し、ユーザーを認証します。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
注意:
BASIC128 ALgosuiteのみがこのポリシーにサポートされます。-
クライアントは、ユーザーに関連付けられたパスワードを使用して秘密鍵を作成します。この秘密鍵は暗号化に使用します。
注意:
UsernameTokenヘッダーの暗号化はサポートされていません。 -
サービスがメッセージを受け取ると、パスワードおよび2つの追加要素(リクエスト・トークンで受け取ったsaltおよびiteration)の情報を使用して、クライアントと同じ秘密鍵を導出します。
-
Webサービスは、UsernameTokenを使用して渡されたユーザーを認証し、このパスワード導出キーを使用してメッセージを検証します。
-
次に、クライアントに返信するレスポンスの暗号化のために、同じ秘密鍵を使用します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-101に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
OWSMキーストアを設定して、鍵(ユーザー名/パスワード)を指定します
-
メッセージ暗号化のポリシー・アサーションを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
メッセージ暗号化のポリシー・アサーションを構成します。
17.114 oracle/pii_security_policy
oracle/pii_security_policyは保護するPII (Personally Identifiable Information)データを暗号化します。
表示名: PIIセキュリティ・ポリシー
カテゴリ: セキュリティ
説明
保護する個人を特定できる情報(PII)データを暗号化します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
構成
表18-109に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
17.115 oracle/sts_trust_config_client_policy
oracle/sts_trust_config_client_policyは、トークン交換用のSTS呼出しに使用されるSTSクライアント構成情報を指定します。
表示名: STS信頼構成クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーを使用するのは、「STSの自動ポリシー構成の設定」で説明されている自動(クライアントSTS)ポリシー構成を使用していない場合のみです。
oracle/sts_trust_config_client_policy
の複数のインスタンスをアタッチした場合に、エラーは生成されません。しかし、実行されるのは1つのインスタンスのみであり、それをどのインスタンスにするかを制御できません。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されていません。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-111に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「STSの自動ポリシー構成の設定」で説明されているように、WebサービスからSTS構成ポリシーを構成します。
-
ただし、WebサービスからSTS構成ポリシーを構成しなかった場合、またはSAML送信者保証による確認方法を使用している場合は、Webサービス・クライアントからSTS構成ポリシーを構成する必要があります。詳細は、「Webサービス・クライアントからのSTS構成ポリシーの手動による構成: メイン手順」を参照してください。
設計時の考慮事項
次の例に示すように、設計時に、oracle/sts_trust_config_client_policy
ポリシーをプログラムによって設定し、アタッチできます。
URL endpointUrl = new URL(getWebConnectionString() + "/jaxws-test-service/jaxws-test-port"); ServiceDelegateImpl client = new ServiceDelegateImpl( new URL(endpointUrl.toString() + "?WSDL"), new QName("http://jaxws.example.com/targetNamespace/JaxwsService", "JaxwsService"), OracleService.class); JaxwsService port = client.getPort( new QName("http://jaxws.example.com/targetNamespace/JaxwsService", "JaxwsServicePort"), test.jaxws.client.JaxwsService.class); ((BindingProvider)port).getRequestContext().put(BindingProvider.ENDPOINT_ADDRESS_PROPERTY,endpointUrl.toExternalForm()); ((BindingProvider)port).getRequestContext().put(ClientConstants.CLIENT_CONFIG, fileToElement(new File("./jaxws/client/dat/oracle-webservice-client.xml")));
次の例は、STS構成ポリシーおよびSTS発行ポリシーに関連するoracle-webservice-client.xml
ファイルを示しています。
<?xml version="1.0" encoding="UTF-8"?> <oracle-webservice-clients> <webservice-client> <port-info> <policy-references> <policy-reference uri="oracle/sts_trust_config_client_policy" category="security"/> <policy-reference uri="oracle/wss11_sts_issue_saml_hok_with_message_protection_client_policy " category="security"/> </policy-references> </port-info> </webservice-client> </oracle-webservice-clients>
17.116 oracle/sts_trust_config_service_policy
oracle/sts_trust_config_service_policyは、トークン交換用のSTS呼出しに使用されるSTS構成情報を指定します。
表示名: STS信頼構成サービス・ポリシー
カテゴリ: セキュリティ
説明
トークン交換用のSTSの呼出しに使用されるSTS構成情報を指定します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-113に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「STSの自動ポリシー構成の設定」で説明されているように、Webサービスを設定します。
17.117 oracle/wss_saml_bearer_or_username_token_service_policy
oracle/wss_saml_bearer_or_username_token_service_policyは、クライアントがSAMLまたはユーザー名トークンのいずれを使用するかに基づいて、認証ポリシーを強制します。
表示名: WSSecurity SAMLトークンBearer/WSSecurityユーザー名トークン
カテゴリ: セキュリティ
説明
クライアントがSAMLトークンとユーザー名トークンのどちらを使用するかに基づいて、それぞれ次の認証ポリシーのいずれかを実行します。
-
Bearer確認タイプを使用するWS-Security SOAPヘッダー内のSAMLトークン。
-
構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション(ORグループ)
このポリシーには、次のアサーションがORグループとして含まれます。つまり、クライアントはどちらのタイプのポリシーでも実行できます。
アサーションはWSDLで通知されています。
17.118 oracle/wss_saml_or_username_token_service_policy
oracle/wss_saml_or_username_token_service_policyは、クライアントがSAMLまたはユーザー名トークンのいずれを使用するかに基づいて、認証ポリシーを強制します。
表示名: Wss SAMLトークン/Wssユーザー名トークン・サービス・ポリシー
カテゴリ: セキュリティ
説明
クライアントがSAMLトークンとユーザー名トークンのどちらを使用するかに基づいて、それぞれ次の認証ポリシーのいずれかを実行します。
-
sender-vouchesの確認タイプを使用したWS-Security SOAPヘッダー内のSAMLトークン。
-
構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
アサーションはWSDLで通知されています。
構成
このポリシーの構成については、次のポリシーの説明を参照してください。
17.119 oracle/wss_saml_or_username_token_over_ssl_service_policy
oracle/wss_saml_or_username_token_over_ssl_service_policyは、メッセージ保護(整合性と機密保護)を実行し、クライアントがSAMLまたはユーザー名トークンを使用するかどうかに基づいて、認証ポリシーを強制します。
表示名: Wss SAML Token/Wss Username Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
メッセージ保護(整合性と機密保護)を実行し、クライアントがSAMLトークンとユーザー名トークンのどちらを使用するかに基づいて、それぞれ次の認証ポリシーのいずれかを実行します。
-
sender-vouchesの確認タイプを使用したWS-Security SOAPヘッダー内のSAMLトークン。
-
構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
アサーションはWSDLで通知されています。
構成
このポリシーの構成については、次のポリシーの説明を参照してください。
17.120 oracle/wss_saml_token_bearer_client_policy
oracle/wss_saml_token_bearer_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。
Display Name: Wss SAMLトークン(Bearer確認方式)クライアント・ポリシー
カテゴリ: セキュリティ
説明
確認方法がBearerのSAMLトークンが自動的に作成されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-59に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、クライアント側でSAMLを構成します。
17.121 oracle/wss_saml_token_bearer_over_ssl_client_policy
oracle/wss_saml_token_bearer_over_ssl_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。また、このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることも検証します。
表示名: Wss SAML Token Over SSL (Bearer確認方式)クライアント・ポリシー
カテゴリ: セキュリティ
説明
確認方法がBearerのSAMLトークンが自動的に作成されます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
このポリシーは、SSLを使用してメッセージ保護付きで送信者保証確認を使用するため、SSL証明書で使用される発行者キー識別子は信頼できるものである必要があります。「WLSTを使用した信頼できるSAML発行者とJWT発行者、DNリストおよびトークン属性ルールの構成」で示すように、信頼できる発行者およびDNリストを構成します
注意:
発行者にDNが構成されていない場合、またはトークン発行者信頼ドキュメントのデフォルトの信頼できるSAML発行者(www.oracle.com
)を使用している場合、信頼できる発行者およびDNリストを構成する必要はありません。 -
表18-59に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、クライアント側でSAMLを構成します。
17.122 oracle/wss_saml_token_bearer_over_ssl_service_policy
oracle/wss_saml_token_bearer_over_ssl_service_policyは、WS-Security SOAPヘッダー内の確認方法がBearerのSAMLトークンに含まれる資格証明を使用してユーザーを認証します。
表示名: Wss SAML Token Over SSL (Bearer確認方式)サービス・ポリシー
カテゴリ: セキュリティ
説明
SAMLトークンに含まれる資格証明は、SAMLログイン・モジュールに対して認証されます。このポリシーは、トランスポート・プロトコルでSSLメッセージの保護が提供されていることを検証します。このポリシーは、SOAPベースのエンドポイントで実行できます。
SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-60に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。 -
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
saml.loginmodule
ログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。 -
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
17.123 oracle/wss_http_token_over_ssl_client_policy
oracle/wss_http_token_over_ssl_client_policyは、アウトバウンド・クライアント・リクエストのHTTPヘッダーに資格証明を組み込み、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。クライアントは、HTTPヘッダーに資格証明を渡す必要があります。
表示名: Wss HTTP Token Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのクライアントで実行できます。
注意:
現在サポートされているのはHTTP Basic認証のみです。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-52に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「Webサービス・クライアントへの一方向SSLの構成」で説明されているように、一方向SSLを構成します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
csf-key
の値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
クライアントは、HTTPヘッダーに資格証明を渡す必要があります。
17.124 oracle/wss_http_token_over_ssl_service_policy
oracle/wss_http_token_over_ssl_service_policyは、HTTPヘッダー内の資格証明を抽出して、OPSSアイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルがHTTPSであることを検証します。
表示名: Wss HTTP Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
HTTPS以外のトランスポート・プロトコルを介するリクエストは拒否されます。このポリシーは、HTTPベースのエンドポイントで実行できます。
注意:
このポリシーの機能は、oracle/http_basic_auth_over_ssl_service_policyに似ています。唯一の相違は、oracle/wss_http_token_over_ssl_service_policy
では、require-tls
要素内のinclude-timestamp
属性を有効化して、リプレイ攻撃を防止できることです。これは、RESTfulサービスには適用されません。require-tls
要素の詳細は、「orasp:require-tls要素」を参照してください。
現在サポートされているのはHTTP Basic認証のみです。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-53に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「Webサービス・クライアントへの一方向SSLの構成」で説明されているように、一方向SSLを構成します。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
17.125 oracle/wss_saml_token_over_ssl_client_policy
oracle/wss_saml_token_over_ssl_client_policyは、確認タイプsender-vouchesを使用して、アウトバウンドWS-Security SOAPヘッダーに、SAMLトークンを組み込みます。このポリシーは、トランスポート・プロトコルでSSLメッセージの保護が提供されていることを検証します。
表示名: Wss SAML Token Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、SOAPベースのクライアントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
このポリシーは、SSLを使用してメッセージ保護付きで送信者保証確認を使用するため、SSL証明書で使用される発行者キー識別子は信頼できるものである必要があります。「WLSTを使用した信頼できるSAML発行者とJWT発行者、DNリストおよびトークン属性ルールの構成」で示すように、信頼できる発行者およびDNリストを構成します。
注意:
発行者にDNが構成されていない場合、またはトークン発行者信頼ドキュメントのデフォルトの信頼できるSAML発行者(www.oracle.com
)を使用している場合、信頼できる発行者およびDNリストを構成する必要はありません。 -
表18-65に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、クライアント側でSAMLを構成します。
17.126 oracle/wss_saml_token_over_ssl_service_policy
oracle/wss_saml_token_over_ssl_service_policyは、確認タイプsender-vouchesを使用した、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証を実行し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
表示名: Wss SAML Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
SAMLトークンは、構成済のアイデンティティ・ストアのユーザーにマッピングされます。このポリシーは、SOAPベースのエンドポイントで実行できます。
SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-66に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。 -
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、
saml.loginmodule
ログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。 -
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
17.127 oracle/wss_saml20_token_bearer_over_ssl_client_policy
oracle/wss_saml20_token_bearer_over_ssl_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
表示名: Wss SAML V2.0 Token Over SSL (Bearer確認方式)クライアント・ポリシー
カテゴリ: セキュリティ
説明
確認方法がBearerのSAMLトークンが自動的に作成されます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-62に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
-
「構成」ページで
propagate.identity.context
の値を指定するか、ポリシーをアタッチするときに「セキュリティ構成の詳細」コントロールを使用して、クライアントごとにこの値をオーバーライドします。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、クライアント側でSAMLを構成します。
17.128 oracle/wss_saml20_token_bearer_over_ssl_service_policy
oracle/wss_saml20_token_bearer_over_ssl_service_policyは、WS-Security SOAPヘッダー内の確認方式がBearerとなっているSAMLトークンに指定されている資格証明を使用してユーザーを認証し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
表示名: Wss SAML V2.0 Token Over SSL (Bearer確認方式)サービス・ポリシー
カテゴリ: セキュリティ
説明
SAMLトークンに含まれる資格証明は、SAMLログイン・モジュールに対して認証されます。このポリシーは、SOAPベースのエンドポイントで実行できます。
SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-63に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。 -
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、
saml2.loginmodule
ログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。 -
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
17.129 oracle/wss_saml20_token_over_ssl_client_policy
oracle/wss_saml20_token_over_ssl_client_policyは、確認タイプsender-vouchesを使用して、アウトバウンドWS-Security SOAPヘッダーにSAMLトークンを組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
表示名: Wss SAML V2.0 Token Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、SOAPベースのクライアントで実行できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-68に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、クライアント側でSAMLを構成します。
17.130 oracle/wss_saml20_token_over_ssl_service_policy
oracle/wss_saml20_token_over_ssl_service_policyは、確認タイプsender-vouchesを使用した、WS-Security SOAPヘッダー内のSAMLトークンに指定されている資格証明の認証を実行し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
表示名: Wss SAML V2.0 Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
SAMLトークンは、構成済のアイデンティティ・ストアのユーザーにマッピングされます。このポリシーは、SOAPベースのエンドポイントで実行できます。
SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-63に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。 -
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、
saml2.loginmodule
ログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。 -
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
17.131 oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policy
oracle/wss_sts_issued_saml_bearer_token_over_ssl_client_policyは、信頼できるSTSが発行したSAML Bearerアサーションを挿入します。メッセージは、SSLを使用して保護されます。
表示名: Wss Issued Token Over SSL (Saml Bearer方式)クライアント・ポリシー
カテゴリ: セキュリティ
説明
信頼できるSTSが発行したSAMLベアラー・アサーションを挿入します。メッセージは、SSLを使用して保護されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-115に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。STS構成設定のオーバーライドの例は、「WS-Trustクライアント・ポリシーのプログラムによるポリシー構成オーバーライド」を参照してください。
-
自動ポリシー構成の設定の主な手順で説明されているように、Webサービス・クライアントを設定します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、クライアント側でSAMLを構成します。
17.132 oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policy
oracle/wss_sts_issued_saml_bearer_token_over_ssl_service_policyは、信頼できるSTSが発行したSAML Bearerアサーションを認証します。
表示名: Wss Issued Token Over SSL (Saml Bearer方式)サービス・ポリシー
カテゴリ: セキュリティ
説明
信頼できるSTSが発行したSAMLベアラー・アサーションを認証します。メッセージは、SSLを使用して保護されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
このアサーションの詳細は、「WS-Trustアサーション・テンプレート」も参照してください。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-116に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。STS構成設定のオーバーライドの例は、「WS-Trustクライアント・ポリシーのプログラムによるポリシー構成オーバーライド」を参照してください。
-
「自動ポリシー構成の設定の主な手順」で説明されているように、Webサービス・サービスを設定します。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
17.133 oracle/wss_username_token_over_ssl_client_policy
oracle/wss_username_token_over_ssl_client_policyは、アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。
表示名: Wss Username Token Over SSLクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、SOAPベースのすべてのクライアントに添付できます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-71に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「設定」ページでパスワード・タイプを「なし」に指定した場合、キーにパスワードを含める必要はありません。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
csf-key
の値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」を参照してください。 -
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
SOAPリクエスト・メッセージにWS-Security UsernameToken要素(
<wsse:UsernameToken/>
)を組み込みます。また、クライアントは、認証用にユーザー名とパスワードを提供します。
17.134 oracle/wss_username_token_over_ssl_service_policy
oracle/wss_username_token_over_ssl_service_policyは、WS-Security UsernameToken SOAPヘッダー内の資格証明を使用して、OPSS構成済アイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
表示名: Wss Username Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-72に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
ユーザー名とパスワードが存在し、有効になっている必要があります。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
17.135 oracle/wss_username_token_over_ssl_wssc_client_policy
oracle/wss_username_token_over_ssl_wssc_client_policyは、アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
表示名: Wss Username Token Over SSL (セキュア通信有効)クライアント・ポリシー
カテゴリ: セキュリティ
説明
プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーでは、セキュア通信が有効になります。詳細は、Oracle Web Services Managerを使用したセキュア通信の構成を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-71に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
Oracle Web Services Managerを使用したセキュア通信の構成で説明されているように、セキュア通信を構成します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
csf-key
の値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」を参照してください。 -
「設定」ページでパスワード・タイプを「なし」に指定した場合、キーにパスワードを含める必要はありません。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
SOAPリクエスト・メッセージにWS-Security UsernameToken要素(
<wsse:UsernameToken/>
)を組み込みます。また、クライアントは、認証用にユーザー名とパスワードを提供します。
17.136 oracle/wss_username_token_over_ssl_wssc_service_policy
oracle/wss_username_token_over_ssl_wssc_service_policyは、WS-Security UsernameToken SOAPヘッダー内の資格証明を使用して、OPSS構成済アイデンティティ・ストアに対してユーザーを認証し、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
表示名: Wss Username Token Over SSL (セキュア通信有効)サービス・ポリシー
カテゴリ: セキュリティ
説明
プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーでは、セキュア通信が有効になります。詳細は、Oracle Web Services Managerを使用したセキュア通信の構成を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-72に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
ユーザー名とパスワードが存在し、有効になっている必要があります。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
17.137 oracle/wss_username_token_over_ssl_notimestamp_client_policy
表示名: Wss Username Token Over SSL(タイムスタンプなし)クライアント・ポリシー
カテゴリ: セキュリティ
説明
oracle/wss_username_token_over_ssl_notimestamp_client_policyは、アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに資格証明を含めます。プレーン・テキスト・メカニズムのみがサポートされています。資格証明は、Java Authentication and Authorization Service (JAAS)サブジェクトを介してプログラムによって提供するか、構成済の資格証明ストアをポリシーで参照することによって提供できます。また、このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることも検証します。このポリシーは、SOAPベースのすべてのクライアントに添付できます。タイムスタンプはメッセージに追加されません。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-71に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「設定」ページでパスワード・タイプを「なし」に指定した場合、キーにパスワードを含める必要はありません。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
csf-key
の値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」を参照してください。 -
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
SOAPリクエスト・メッセージにWS-Security UsernameToken要素(
<wsse:UsernameToken/>
)を組み込みます。また、クライアントは、認証用にユーザー名とパスワードを提供します。
17.138 oracle/wss_username_token_over_ssl_notimestamp_service_policy
表示名: Wss Username Token Over SSL(タイムスタンプなし)サービス・ポリシー
カテゴリ: セキュリティ
説明
oracle/wss_username_token_over_ssl_notimestamp_service_policyは、UsernameToken WS-Security SOAPヘッダーの資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーを認証します。プレーン・テキスト・メカニズムのみがサポートされています。このポリシーは、トランスポート・プロトコルでSSLメッセージの保護が提供されていることを検証します。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。受信メッセージにタイムスタンプが含まれていない必要があります。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-72に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
ユーザー名とパスワードが存在し、有効になっている必要があります。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
17.139 oracle/wss10_saml_hok_token_with_message_protection_client_policy
oracle/wss10_saml_hok_token_with_message_protection_client_policyは、アウトバウンドSOAPメッセージに対してWS-Security 1.0標準に従ったメッセージ保護(整合性と機密保護)およびSAML Holder of Keyベースの認証を行います。
表示名: Wss10 SAML Holder-Of-Keyトークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
SOAPメッセージに含まれているSAMLトークンは、鍵所有者確認を使用したSAMLベースの認証で使用されます。
ポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-74に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
saml.issuer.name
の値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「SAMLアサーション発行者名の追加」を参照してください。 -
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、鍵所有者アサーションが含まれるファイルを指すように
saml.assertion.filename
プロパティをオーバーライドします。 -
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
-
鍵所有者アサーションを含むファイルを指し示すように、
saml.assertion.filename
プロパティをオーバーライドします。詳細は、「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、設計時にWebサービス・クライアントにSAMLを構成します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.140 oracle/wss10_saml_hok_token_with_message_protection_service_policy
oracle/wss10_saml_hok_token_with_message_protection_service_policyは、インバウンドSOAPリクエストに対してWS-Security 1.0標準に従ったメッセージ保護(整合性と機密保護)およびSAML Holder of Keyベースの認証を行います。
表示名: Wss10 SAML Holder-Of-Keyトークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-75に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
saml.loginmodule
ログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。 -
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
注意:
キーストアに期限切れの証明書が存在する場合は、この証明書が参照されているかどうかに関係なく、
CertificateExpiredException
が返されます。この例外を解決するには、期限切れの証明書をキーストアから削除します。 -
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
-
OPSSを設定する手順は次のとおりです。
-
「SAMLの構成について」で説明されているように、SAMLを構成します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
SAML認証局の信頼できる証明書をキーストアに格納します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。
-
17.141 oracle/wss10_saml_token_with_message_integrity_client_policy
oracle/wss10_saml_token_with_message_integrity_client_policyは、WS-Security 1.0標準に準拠して、アウトバウンドSOAPメッセージに対してメッセージレベルの整合性およびSAMLベースの認証を提供します。SOAPメッセージに組み込まれているSAMLトークンは、送信者保証確認付きSAMLベース認証で使用されます。
表示名: Wss10 SAMLトークン(メッセージ整合性付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、WS-Securityの非対称鍵テクノロジのBasic 128スイートおよびメッセージの整合性のためにはSHA-1ハッシュ・アルゴリズムを使用します。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-77に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
saml.issuer.name
の値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
user.roles.include
の値を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。 -
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
「SAMLの構成について」で説明されているように、SAMLを構成します。
-
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、設計時にクライアントをSAML用に構成します。
-
アウトバウンドSOAPメッセージに、SAMLトークンを挿入するWS-Securityヘッダー要素(
<saml:Assertion>
)を組み込みます。確認タイプは、常にsender-vouches
です。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.142 oracle/wss10_saml_token_with_message_integrity_service_policy
oracle/wss10_saml_token_with_message_integrity_service_policyは、インバウンドSOAPリクエストに対してWS-Security 1.0標準に従ったメッセージ・レベルの整合性の保護およびSAMLベースの認証を行います。
表示名: Wss10 SAMLトークン(メッセージ整合性付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Securityバイナリ・セキュリティ・トークンまたは現在のJava Authentication and Authorization Service (JAAS)サブジェクトからSAMLトークンを抽出し、その資格証明を使用して、Oracle Platform Security Servicesアイデンティティ・ストアに対してユーザーを検証します。
このポリシーは、WS-Securityの非対称鍵テクノロジのBasic 128スイートおよびメッセージの整合性のためにはSHA-1ハッシュ・アルゴリズムを使用します。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-78に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティの
keystore.sig.csf.key
およびkeystore.enc.csf.key
をオーバーライドします。 -
「SAMLの構成について」で説明されているように、SAMLを構成します。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
saml.loginmodule
ログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
17.143 oracle/wss10_saml_token_with_message_protection_client_policy
oracle/wss10_saml_token_with_message_protection_client_policyは、WS-Security 1.0標準に準拠して、アウトバウンドSOAPメッセージに対してメッセージレベルの保護およびSAMLベースの認証を提供します。Webサービス・コンシューマによって、SOAPヘッダーにSAMLトークンが組み込まれ、確認タイプはsender-vouchesです。
表示名: Wss10 SAMLトークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-77に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
saml.issuer.name
の値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
user.roles.include
の値を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。 -
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
「SAMLの構成について」で説明されているように、SAMLを構成します。
-
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、設計時にクライアントをSAML用に構成します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.144 oracle/wss10_saml_token_with_message_protection_service_policy
oracle/wss10_saml_token_with_message_protection_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。
表示名:Wss10 SAMLトークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマによって、SOAPヘッダーにSAMLトークンが組み込まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-78に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。 -
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
saml.loginmodule
ログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。 -
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
-
OPSSを設定する手順は次のとおりです。
-
「SAMLの構成について」で説明されているように、SAMLを構成します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
SAML認証局の信頼できる証明書をキーストアに格納します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。
-
17.145 oracle/wss10_saml_token_with_message_protection_ski_basic256_client_policy
oracle/wss10_saml_token_with_message_protection_ski_basic256_client_policyは、WS-Security 1.0標準に準拠して、アウトバウンドSOAPメッセージに対してメッセージレベルの保護およびSAMLベースの認証を提供します。
表示名: Wss10 SAMLトークン(メッセージ保護SKI Basic 256付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマによって、SOAPヘッダーにSAMLトークンが組み込まれ、確認タイプはsender-vouchesです。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
ポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 256スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-256ビット暗号化も使用されます。このポリシーは、リクエストの暗号化鍵、およびレスポンスの署名と暗号化鍵の両方に、サブジェクト・キー識別子(SKI)の参照メカニズムを使用します。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
注意:
一部の国の輸入制限により、JDK 5.0ソフトウェアとともに配布されるJurisdiction Policy Filesには、使用可能な暗号化強度において制限が組み込まれています。
デフォルトでは、Basic192以上のアルゴリズムを使用するポリシーは、バンドルされたJRE/JDKでは動作しません。これらのアルゴリズムを使用するには、http://www.oracle.com/technetwork/java/javase/downloads/index-jdk5-jsp-142662.html
からJCE Extension jar (Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 5.0)をダウンロードする必要があります。
これらのポリシー・ファイルを使用するには、$JAVA_HOME/jre/lib/security
内の次のJARファイルを、対応するJCE ExtensionのJARに置き換える必要があります。
-
US_export_policy.jar
-
local_policy.jar
JARファイルを置き換える前に、既存のJARファイルをバックアップする必要があります。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-77に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「SAMLの構成について」で説明されているように、SAMLを構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
saml.issuer.name
の値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
user.roles.include
の値を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。 -
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、SAMLを構成します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.146 oracle/wss10_saml_token_with_message_protection_ski_basic256_service_policy
oracle/wss10_saml_token_with_message_protection_ski_basic256_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。ポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 256スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-256ビット暗号化も使用されます。
表示名: Wss10 SAMLトークン(メッセージ保護SKI Basic 256付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマによって、SOAPヘッダーにSAMLトークンが組み込まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
このポリシーは、リクエストの暗号化鍵、およびレスポンスの署名と暗号化鍵の両方に、サブジェクト・キー識別子(SKI)の参照メカニズムを使用します。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
注意:
一部の国の輸入制限により、JDK 5.0ソフトウェアとともに配布されるJurisdiction Policy Filesには、使用可能な暗号化強度において制限が組み込まれています。
デフォルトでは、Basic192以上のアルゴリズムを使用するポリシーは、バンドルされたJRE/JDKでは動作しません。これらのアルゴリズムを使用するには、http://www.oracle.com/technetwork/java/javase/downloads/index-jdk5-jsp-142662.html
からJCE Extension jar (Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 5.0)をダウンロードする必要があります。
これらのポリシー・ファイルを使用するには、$JAVA_HOME/jre/lib/security
内の次のJARファイルを、対応するJCE ExtensionのJARに置き換える必要があります。
-
US_export_policy.jar
-
local_policy.jar
JARファイルを置き換える前に、既存のJARファイルをバックアップする必要があります。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-78に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
saml.loginmodule
ログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。 -
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティの
keystore.sig.csf.key
およびkeystore.enc.csf.key
をオーバーライドします。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。 -
OPSSを設定する手順は次のとおりです。
-
「SAMLの構成について」で説明されているように、SAMLを構成します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
このポリシーでは、キーストアを設定する必要があります。ski参照メカニズムを使用するときは、OpenSSLなどのユーティリティを使用して証明書を作成します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。
-
17.147 oracle/wss10_saml20_token_with_message_protection_client_policy
oracle/wss10_saml20_token_with_message_protection_client_policyは、WS-Security 1.0標準に準拠して、アウトバウンドSOAPメッセージに対してメッセージレベルの保護およびSAMLベースの認証を提供します。このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。
表示名: Wss10 SAML V2.0トークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマによって、SOAPヘッダーにSAMLトークンが組み込まれ、確認タイプはsender-vouchesです。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-80に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「SAMLの構成について」で説明されているように、SAMLを構成します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。 -
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、
user.roles.include
の値を指定します。 -
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。 -
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、SAMLを構成します。
-
Webサービス・セキュリティの概念の理解の説明に従って、Webサービス・クライアントのキーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.148 oracle/wss10_saml20_token_with_message_protection_service_policy
oracle/wss10_saml20_token_with_message_protection_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。
表示名: Wss10 SAML V2.0トークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマによって、SOAPヘッダーにSAMLトークンが組み込まれ、確認タイプはsender-vouchesです。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。
リプレイ攻撃から保護するため、アサーションには、タイム・スタンプ、SAMLトークンの制限、およびWebサービス・プロバイダによる検証を含めるオプションが用意されています。
メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-81に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
saml2.loginmodule
ログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。 -
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティの
keystore.sig.csf.key
およびkeystore.enc.csf.key
をオーバーライドします。 -
OPSSを設定する手順は次のとおりです。
-
「SAMLの構成について」で説明されているように、SAMLを構成します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
このポリシーでは、キーストアを設定する必要があります。ski参照メカニズムを使用するときは、OpenSSLなどのユーティリティを使用して証明書を作成します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。
-
17.149 oracle/wss10_username_id_propagation_with_msg_protection_client_policy
oracle/wss10_username_id_propagation_with_msg_protection_client_policyは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)およびアイデンティティの伝播を提供します。メッセージ保護は、WS-Securityの非対称鍵テクノロジのBasic128スイートを使用して行われます。具体的には、機密性のためにRSA主要なメカニズム、整合性のためにSHA-1ハッシュ・アルゴリズムおよびAES-128ビットの暗号化。
表示名: Wss10ユーザー名ID伝播(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
注意:
このリリースでは、oracle/wss10_username_id_propagation_with_msg_protection_client_policyポリシーは非推奨になりました。
説明
資格証明(ユーザー名のみ)は、WS-Security UsernameTokenヘッダーを介して、アウトバウンドSOAPリクエスト・メッセージに含まれます。パスワードは含まれません。このポリシーは、SOAPベースのクライアントで実行できます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-83に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
-
SOAPリクエスト・メッセージにWS-Security UsernameToken要素(
<wsse:UsernameToken/>
)を組み込みます。また、クライアントは、認証用にユーザー名とパスワードを提供します。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.150 oracle/wss10_username_id_propagation_with_msg_protection_service_policy
oracle/wss10_username_id_propagation_with_msg_protection_service_policyは、WS-Security 1.0に記述されたメカニズムを使用して、インバウンドSOAPリクエストに対するメッセージ・レベルの保護(整合性および機密保護)およびアイデンティティ伝播を実施します。非対称の主要技術のWS-Security 1.0 Basic128スイートを使用することでメッセージ保護を提供します。具体的には、機密性のためにRSA主要なメカニズム、整合性のためにSHA-1ハッシュ・アルゴリズムおよびAES-128ビットの暗号化。
表示名: Wss10ユーザー名ID伝播(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
注意:
このリリースでは、oracle/wss10_username_id_propagation_with_msg_protection_service_policyポリシーは非推奨になりました。
説明
このポリシーは、SOAPベースのエンドポイントで実行できます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-84に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
-
OPSSを設定する手順は次のとおりです。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。 -
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティの
keystore.sig.csf.key
およびkeystore.enc.csf.key
をオーバーライドします。
-
17.151 oracle/wss10_username_token_with_message_protection_client_policy
oracle/wss10_username_token_with_message_protection_client_policyは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および認証を提供します。このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。
表示名: Wss10ユーザー名トークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-83に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
csf-key
の値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」を参照してください。 -
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティの
keystore.sig.csf.key
およびkeystore.enc.csf.key
をオーバーライドします。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
Webサービス・セキュリティの概念の理解の説明に従って、Webサービス・クライアントのキーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.152 oracle/wss10_username_token_with_message_protection_service_policy
oracle/wss10_username_token_with_message_protection_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(メッセージの整合性および機密保護)と、認証を行います。このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。
表示名: Wss10ユーザー名トークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-84に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
OPSSを設定する手順は次のとおりです。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。 -
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティの
keystore.sig.csf.key
およびkeystore.enc.csf.key
をオーバーライドします。
-
17.153 oracle/wss10_username_token_with_message_protection_ski_basic256_client_policy
oracle/wss10_username_token_with_message_protection_ski_basic256_client_policyは、WS-Security 1.0標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および認証を提供します。このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 256スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-256ビット暗号化も使用されます。
表示名: Wss10ユーザー名トークン(メッセージ保護SKI Basic 256付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーは、リクエストの暗号化鍵、およびレスポンスの署名と暗号化鍵の両方に、サブジェクト・キー識別子(SKI)の参照メカニズムを使用します。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
注意:
一部の国の輸入制限により、JDK 5.0ソフトウェアとともに配布されるJurisdiction Policy Filesには、使用可能な暗号化強度において制限が組み込まれています。
デフォルトでは、Basic192以上のアルゴリズムを使用するポリシーは、バンドルされたJRE/JDKでは動作しません。これらのアルゴリズムを使用するには、http://www.oracle.com/technetwork/java/javase/downloads/index-jdk5-jsp-142662.html
からJCE Extension jar (Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 5.0)をダウンロードする必要があります。
これらのポリシー・ファイルを使用するには、$JAVA_HOME/jre/lib/security
内の次のJARファイルを、対応するJCE ExtensionのJARに置き換える必要があります。
-
US_export_policy.jar
-
local_policy.jar
JARファイルを置き換える前に、既存のJARファイルをバックアップする必要があります。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-83に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
csf-key
の値を指定します。この値は、ユーザー名/パスワードにマッピングされているキーを表しています。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」を参照してください。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
17.154 oracle/wss10_username_token_with_message_protection_ski_basic256_service_policy
oracle/wss10_username_token_with_message_protection_ski_basic256_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(メッセージの整合性および機密保護)と、認証を行います。このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 256スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-256ビット暗号化も使用されます。
表示名: Wss10ユーザー名トークン(メッセージ保護SKI Basic 256付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーは、リクエストの暗号化鍵、およびレスポンスの署名と暗号化鍵の両方に、サブジェクト・キー識別子(SKI)の参照メカニズムを使用します。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
注意:
一部の国の輸入制限により、JDK 5.0ソフトウェアとともに配布されるJurisdiction Policy Filesには、使用可能な暗号化強度において制限が組み込まれています。
デフォルトでは、Basic192以上のアルゴリズムを使用するポリシーは、バンドルされたJRE/JDKでは動作しません。これらのアルゴリズムを使用するには、http://www.oracle.com/technetwork/java/javase/downloads/index-jdk5-jsp-142662.html
からJCE Extension jar (Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 5.0)をダウンロードする必要があります。
これらのポリシー・ファイルを使用するには、$JAVA_HOME/jre/lib/security
内の次のJARファイルを、対応するJCE ExtensionのJARに置き換える必要があります。
-
US_export_policy.jar
-
local_policy.jar
JARファイルを置き換える前に、既存のJARファイルをバックアップする必要があります。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-84に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
OPSSを設定する手順は次のとおりです。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
キーストアを設定します。ski参照メカニズムを使用するときは、OpenSSLなどのユーティリティを使用して証明書を作成します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。 -
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティの
keystore.sig.csf.key
およびkeystore.enc.csf.key
をオーバーライドします。
-
17.155 oracle/wss10_x509_token_with_message_protection_client_policy
oracle/wss10_x509_token_with_message_protection_client_policyは、アウトバウンドSOAPリクエストに対してWS-Security 1.0標準に従ったメッセージ保護(整合性と機密保護)および証明書資格証明の移入を行います。
表示名: Wss10 X509トークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-86に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
-
WS-Securityバイナリ・セキュリティ・トークンを介してSOAPメッセージに有効なX.509認証資格証明を提供します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている署名の一般的な構造を示します。この例では、SOAPメッセージの本体要素が署名されています。
例17-*に、WS-Security 1.0標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.156 oracle/wss10_x509_token_with_message_protection_service_policy
oracle/wss10_x509_token_with_message_protection_service_policyは、WS-Security 1.0標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、証明書ベースの認証を行います。
表示名: Wss10 X509トークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-87に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを構成します。
-
OPSSを設定する手順は次のとおりです。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。 -
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティの
keystore.sig.csf.key
およびkeystore.enc.csf.key
をオーバーライドします。
-
17.157 oracle/wss11_kerberos_token_with_message_protection_client_policy
oracle/wss11_kerberos_token_with_message_protection_client_policyは、WS-SecurityヘッダーにKerberosトークンを組み込み、WS-Security Kerberos Token Profile v1.1標準に従い、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。
表示名: Wss11 Kerberosトークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、SOAPベースのクライアントで実行できます。
このポリシーは、MIT Kerberos KDCおよび新しいバージョンのActive Directory KDCと互換性があります。このポリシーは、2008より前のバージョンのActive Directoryとは互換性がありません。これらのActive Directoryでは、トリプルDES暗号化が使用されるためです。このような前のバージョンの場合は、「oracle/wss11_kerberos_token_with_message_protection_basic128_client_policy」を使用してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-89に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。 -
「Kerberosトークンの構成の理解」で説明されているように、Kerberosトークンを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.158 oracle/wss11_kerberos_token_with_message_protection_service_policy
oracle/wss11_kerberos_token_with_message_protection_service_policyは、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。SOAPヘッダーからKerberosトークンを抽出してユーザーを認証し、Kerberosの鍵を使用してメッセージの整合性と秘密性が適用されます。コンテナには、Oracle Platform Security Servicesを介して構成されたKerberosインフラストラクチャが含まれている必要があります。
表示名: Wss11 Kerberosトークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、SOAPベースのエンドポイントで実行できます。
このポリシーは、MIT Kerberos KDCおよび新しいバージョンのActive Directory KDCと互換性があります。このポリシーは、2008より前のバージョンのActive Directoryとは互換性がありません。これらのActive Directoryでは、トリプルDES暗号化が使用されるためです。このような前のバージョンの場合は、「oracle/wss11_kerberos_token_with_message_protection_basic128_service_policy」を使用してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-89に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
krb5.loginmodule
ログイン・モジュールを構成します。「Kerberosログイン・モジュールの構成」を参照してください。 -
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
OPSSを設定する手順は次のとおりです。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。 -
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティの
keystore.enc.csf.key
をオーバーライドします。 -
「Kerberosトークンの構成の理解」で説明されているように、Kerberosを構成します。
-
17.159 oracle/wss11_kerberos_token_with_message_protection_basic128_client_policy
oracle/wss11_kerberos_token_with_message_protection_basic128_client_policyは、WS-SecurityヘッダーにKerberosトークンを組み込み、WS-Security Kerberos Token Profile v1.1標準に従い、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。
表示名: Wss11 Kerberosトークン(メッセージ保護Basic 128付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、Active Directory KDCと互換性があります。このポリシーは、SOAPベースのクライアントで実行できます。
このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-92に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。 -
「Kerberosトークンの構成の理解」で説明されているように、Kerberosトークンを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.160 oracle/wss11_kerberos_token_with_message_protection_basic128_service_policy
oracle/wss11_kerberos_token_with_message_protection_basic128_service_policyは、WS-Security Kerberos Token Profile v1.1標準に従って実行されます。このポリシーでは、WS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。具体的には、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。
表示名: Wss11 Kerberosトークン(メッセージ保護Basic 128付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、Active Directory KDCと互換性があります。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーは、SOAPヘッダーからKerberosトークンを抽出してユーザーを認証し、Kerberosキーを使用してメッセージの整合性と機密保護を保証します。コンテナには、Oracle Platform Security Servicesを介して構成されたKerberosインフラストラクチャが含まれている必要があります。
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-93に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
krb5.loginmodule
ログイン・モジュールを構成します。「Kerberosログイン・モジュールの構成」を参照してください。 -
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
OPSSを設定する手順は次のとおりです。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。 -
「Kerberosトークンの構成の理解」で説明されているように、Kerberosを構成します。
-
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティの
keystore.enc.csf.key
をオーバーライドします。
-
17.161 oracle/wss11_saml_or_username_token_with_message_protection_service_policy
表示名: Wss11 SAMLトークン、Wss11ユーザー名トークン(メッセージ保護付き)、Wss SAML Token Over SSL (Bearer確認方式)、Wss Username Token Over SSL、Http Basic Auth Over SSL、またはHTTP JWT Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
oracle/wss11_saml_or_username_token_with_message_protection_service_policyは、メッセージ保護(整合性と機密保護)を実行し、クライアントがSAML、ユーザー名またはHTTPトークンを使用するかどうかに基づいて、認証ポリシーを強制します。
メッセージ保護(整合性と機密保護)を実行し、クライアントがSAML、ユーザー名またはHTTPトークンを使用するかどうかに基づいて、それぞれ次のいずれかの認証ポリシーを実行します。
-
WS-Security 1.1標準に従ったインバウンドSOAPリクエストのSAMLベースの認証。
-
WS-Security 1.1標準に従ったインバウンドSOAPリクエストのユーザー名トークン認証。
-
WS-Security SOAPヘッダーの、確認方法がBearerのSAMLトークンに含まれる資格証明を使用する、SAMLベースの認証。トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。
-
UsernameToken WS-Security SOAPヘッダーの資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーを認証する、ユーザー名トークン認証。トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。
-
HTTPヘッダーから抽出した資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーを認証する、HTTP認証。トランスポート・プロトコルがHTTPSであることを検証します。
-
HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証するHTTP認証。また、このポリシーは、トランスポート・プロトコルがHTTPSであることを検証します。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、署名の承認にはWS-Securityの非対称鍵テクノロジのBasic 128スイート、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-1またはSHA-2ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション(ORグループ)
このポリシーには、次のアサーションがORグループとして含まれます。つまり、クライアントはいずれのトークンでも送信できます。
-
oracle/wss11_saml_token_with_message_protection_service_template。
-
oracle/wss11_username_token_with_message_protection_service_template。
アサーションはWSDLで通知されています。
17.162 oracle/wss11_saml_or_username_token_with_message_protection_sha256_service_policy
表示名: Wss11 SAMLトークン、Wss11ユーザー名トークン(メッセージ保護付き)、Wss SAML Token Over SSL (Bearer確認方式)、Wss Username Token Over SSL、Http Basic Auth Over SSL Sha256、またはHTTP JWT Token Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
oracle/wss11_saml_or_username_token_with_message_protection_sha256_service_policyは、メッセージ保護(整合性と機密保護)を実行し、クライアントがSAML、ユーザー名またはHTTPトークンを使用するかどうかに基づいて、認証ポリシーを強制します。
メッセージ保護(整合性と機密保護)を実行し、クライアントがSAML、ユーザー名またはHTTPトークンを使用するかどうかに基づいて、それぞれ次のいずれかの認証ポリシーを実行します。
-
WS-Security 1.1標準に従ったインバウンドSOAPリクエストのSAMLベースの認証。
-
WS-Security 1.1標準に従ったインバウンドSOAPリクエストのユーザー名トークン認証。
-
WS-Security SOAPヘッダーの、確認方法がBearerのSAMLトークンに含まれる資格証明を使用する、SAMLベースの認証。トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。
-
UsernameToken WS-Security SOAPヘッダーの資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーを認証する、ユーザー名トークン認証。トランスポート・プロトコルによりSSLメッセージ保護が提供されることを検証します。
-
HTTPヘッダーから抽出した資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーを認証する、HTTP認証。トランスポート・プロトコルがHTTPSであることを検証します。
-
HTTPヘッダー内のJWTトークンに指定されているユーザー名を使用してユーザーを認証するHTTP認証。また、このポリシーは、トランスポート・プロトコルがHTTPSであることを検証します。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、署名の承認にはWS-Securityの非対称鍵テクノロジのBasic 128スイート、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-2ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できるアルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション(ORグループ)
このポリシーには、次のアサーションがORグループとして含まれます。つまり、クライアントはいずれのトークンでも送信できます。
-
oracle/wss11_saml_token_with_message_protection_service_template。
-
oracle/wss11_username_token_with_message_protection_service_template。
アサーションはWSDLで通知されています。
17.163 oracle/wss11_saml_token_identity_switch_with_message_protection_client_policy
oracle/wss11_saml_token_identity_switch_with_message_protection_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
表示名: Wss11 SAMLトークン・アイデンティティ切替え(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-95に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
認証されたサブジェクトのかわりにクライアント固有のユーザー名を使用できるようにするには、
subject.precedence
をfalse
に設定します。(subject.precedence
がfalse
の場合、SAMLアサーションを作成するユーザー名は、csf-key
ユーザー名プロパティからのみ取得されます。)wss11_saml_token_identity_switch_with_message_protection_client_policy
ポリシーでは、このポリシーのアタッチ先のアプリケーションにWSIdentityPermission
権限が必要です。つまり、OWSMが外部から提供されるアイデンティティをアプリケーションから受け入れるには、そのアプリケーションがWSIdentityPermission
権限を持つ必要があります。これにより、OWSMが潜在的に悪質なアプリケーションからアイデンティティを提供されるのを回避します。 -
このポリシーの構成については、「アイデンティティ切替えのためのSAML Webサービス・クライアントの構成について」を参照してください。特に、「javax.xml.ws.security.auth.usernameプロパティの設定」で説明されているようにjavax.xml.ws.security.auth.usernameプロパティを設定し、WSIdentityPermissionを使用した権限の設定で説明されているようにWSIdentityPermission権限を設定する必要があります。
-
SAMLの詳細は、「設計時のSAML Webサービス・クライアントの構成」を参照してください。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
saml.issuer.name
の値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
saml.issuer.uri
の値を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
user.roles.include
の値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、SAMLを構成します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.164 oracle/wss11_saml_token_identity_switch_with_message_protection_sha256_client_policy
表示名: Wss11 SAMLトークン・アイデンティティ切替え(メッセージ保護付き) SHA256クライアント・ポリシー
カテゴリ: セキュリティ
説明
oracle/wss11_saml_token_identity_switch_with_message_protection_sha256_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、署名の承認にはWS-Securityの非対称鍵テクノロジのBasic 128スイート、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-2ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。クライアントのキーストアは、リクエストごとに構成されるか、セキュリティ構成を介して構成されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。これらの資格証明は、プログラムによって提供されるか、セキュリティ構成を介して提供されます。このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えを実行します。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-95に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
認証されたサブジェクトのかわりにクライアント固有のユーザー名を使用できるようにするには、
subject.precedence
をfalse
に設定します。(subject.precedence
がfalse
の場合、SAMLアサーションを作成するユーザー名は、csf-key
ユーザー名プロパティからのみ取得されます。)wss11_saml_token_identity_switch_with_message_protection_client_policy
ポリシーでは、このポリシーのアタッチ先のアプリケーションにWSIdentityPermission
権限が必要です。つまり、OWSMが外部から提供されるアイデンティティをアプリケーションから受け入れるには、そのアプリケーションがWSIdentityPermission
権限を持つ必要があります。これにより、OWSMが潜在的に悪質なアプリケーションからアイデンティティを提供されるのを回避します。 -
このポリシーの構成については、「アイデンティティ切替えのためのSAML Webサービス・クライアントの構成について」を参照してください。特に、「javax.xml.ws.security.auth.usernameプロパティの設定」で説明されているようにjavax.xml.ws.security.auth.usernameプロパティを設定し、WSIdentityPermissionを使用した権限の設定で説明されているようにWSIdentityPermission権限を設定する必要があります。
-
SAMLの詳細は、「設計時のSAML Webサービス・クライアントの構成」を参照してください。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
saml.issuer.name
の値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
saml.issuer.uri
の値を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
user.roles.include
の値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、SAMLを構成します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.165 oracle/wss11_saml_token_with_message_protection_client_policy
oracle/wss11_saml_token_with_message_protection_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
表示名: Wss11 SAMLトークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-95に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
saml.issuer.name
の値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
user.roles.include
の値を指定します。 -
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、SAMLを構成します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.166 oracle/wss11_saml_token_with_message_protection_service_policy
oracle/wss11_saml_token_with_message_protection_service_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
表示名: Wss11 SAMLトークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-96に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「SAMLの構成について」で説明されているように、SAMLを構成します。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、
saml.loginmodule
ログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。 -
OPSSを設定する手順は次のとおりです。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。 -
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティの
keystore.enc.csf.key
をオーバーライドします。
-
17.167 oracle/wss11_saml_token_with_message_protection_sha256_client_policy
表示名: Wss11 SAMLトークン(メッセージ保護付き) SHA256クライアント・ポリシー
カテゴリ: セキュリティ
説明
oracle/wss11_saml_token_with_message_protection_sha256_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、署名の承認にはWS-Securityの対称鍵テクノロジのBasic 128スイート、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-2ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
クライアントのキーストアは、リクエストごとに構成されるか、セキュリティ構成を介して構成されます。SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。これらの資格証明は、プログラムによって提供されるか、セキュリティ構成を介して提供されます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-95に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
saml.issuer.name
の値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
user.roles.include
の値を指定します。 -
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、SAMLを構成します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.168 oracle/wss11_saml_token_with_message_protection_sha256_service_policy
表示名: Wss11 SAMLトークン(メッセージ保護付き) SHA256サービス・ポリシー
カテゴリ: セキュリティ
説明
oracle/wss11_saml_token_with_message_protection_sha256_service_policyは、WS-Security 1.1に記述されているメカニズムを使用して、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、署名の承認にはWS-Securityの対称鍵テクノロジのBasic 128スイート、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-2ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
キーストアはセキュリティ構成を通して構成されます。WS-Securityのバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、それらの資格証明を使用して、構成済のアイデンティティ・ストアに対してユーザーが検証されます。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-96に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「SAMLの構成について」で説明されているように、SAMLを構成します。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、
saml.loginmodule
ログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。 -
OPSSを設定する手順は次のとおりです。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。 -
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティの
keystore.enc.csf.key
をオーバーライドします。
-
17.169 oracle/wss11_saml_token_with_message_protection_wssc_client_policy
oracle/wss11_saml_token_with_message_protection_wssc_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
表示名: Wss11 SAMLトークン(メッセージ保護付き)(セキュア通信有効)クライアント・ポリシー
カテゴリ: セキュリティ
説明
SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-95に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
Oracle Web Services Managerを使用したセキュア通信の構成で説明されているように、セキュア通信を構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
saml.issuer.name
の値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
user.roles.include
の値を指定します。 -
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、SAMLを構成します。
-
Oracle Web Services Managerを使用したセキュア通信の構成で説明されているように、セキュア通信を構成します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.170 oracle/wss11_saml_token_with_message_protection_wssc_service_policy
oracle/wss11_saml_token_with_message_protection_wssc_service_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
表示名: Wss11 SAMLトークン(メッセージ保護付き)(セキュア通信有効)サービス・ポリシー
カテゴリ: セキュリティ
説明
SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。Oracle Web Services Managerを使用したセキュア通信の構成を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-96に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「SAMLの構成について」で説明されているように、SAMLを構成します。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、
saml.loginmodule
ログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。 -
OPSSを設定する手順は次のとおりです。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。 -
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティの
keystore.enc.csf.key
をオーバーライドします。
-
17.171 oracle/wss11_saml_token_with_message_protection_wssc_reauthn_client_policy
oracle/wss11_saml_token_with_message_protection_wssc_reauthn_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
表示名: Wss11 SAMLトークン(メッセージ保護付き)(セキュア通信および再認証モード有効)クライアント・ポリシー
カテゴリ: セキュリティ
説明
SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-95に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
Oracle Web Services Managerを使用したセキュア通信の構成で説明されているように、セキュア通信を構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
saml.issuer.name
の値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
user.roles.include
の値を指定します。 -
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、SAMLを構成します。
-
Oracle Web Services Managerを使用したセキュア通信の構成で説明されているように、セキュア通信を構成します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造の例を示します。この例では、本体要素が暗号化されています。
17.172 oracle/wss11_saml_token_with_message_protection_wssc_reauthn_service_policy
oracle/wss11_saml_token_with_message_protection_wssc_reauthn_service_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
表示名: Wss11 SAMLトークン(メッセージ保護付き)(セキュア通信および再認証モード有効)サービス・ポリシー
カテゴリ: セキュリティ
説明
SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。Oracle Web Services Managerを使用したセキュア通信の構成を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-96に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「SAMLの構成について」で説明されているように、SAMLを構成します。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、
saml.loginmodule
ログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。 -
OPSSを設定する手順は次のとおりです。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。 -
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティの
keystore.enc.csf.key
をオーバーライドします。
-
17.173 oracle/wss11_saml20_token_with_message_protection_client_policy
oracle/wss11_saml20_token_with_message_protection_client_policyは、WS-Security 1.1に記述されているメカニズムを使用して、アウトバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)およびSAMLトークンの移入を可能にします。
表示名: Wss11 SAML V2.0トークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
SOAPメッセージに含まれているSAMLトークンは、送信者保証確認を使用したSAMLベースの認証で使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-98に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
saml.issuer.name
の値を指定します。saml.issuer.name
プロパティのデフォルトは、www.oracle.com
という値です。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
user.roles.include
の値を指定します。 -
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
『Oracle Web Services Managerの理解』の鍵と証明書の理解に関する項で説明されているように、Webサービス・クライアント・キーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、SAMLを構成します。
-
Oracle Web Services Managerを使用したセキュア通信の構成で説明されているように、セキュア通信を構成します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.174 oracle/wss11_saml20_token_with_message_protection_service_policy
oracle/wss11_saml20_token_with_message_protection_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、SAMLベースの認証を行います。
表示名: Wss11 SAML V2.0トークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
WS-Securityバイナリ・セキュリティ・トークンからSAMLトークンを抽出し、その資格証明をOracle Platform Security Servicesアイデンティティ・ストアに対するユーザーの検証に使用します。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-99に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「SAMLの構成について」で説明されているように、SAMLを構成します。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、
saml.loginmodule
ログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。 -
OPSSを設定する手順は次のとおりです。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。 -
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティの
keystore.enc.csf.key
をオーバーライドします。
-
17.175 oracle/wss11_sts_issued_saml_hok_with_message_protection_client_policy
Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)クライアント・ポリシー。は、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを挿入します。
表示名: Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを挿入します。メッセージは、STSで提供される証明鍵マテリアルを使用して保護されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-118に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
注意:
Oracle STSを使用しているとき、非対称証明鍵(HoK)ユースケースは、クライアントの証明書CSFキーが
sts.auth.x509.csf.key
構成オーバーライドを使用してポリシーに構成されている場合のみ動作します。この値は、STSに送信されたWS-Trustリクエストを署名するため、または証明鍵としてOracle STSによって使用されます。SAMLアサーションの公開鍵も、この鍵ペアに対応します。
-
自動ポリシー構成の設定の主な手順で説明されているように、Webサービス・クライアントを設定します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。STS構成設定のオーバーライドの例は、「WS-Trustクライアント・ポリシーのプログラムによるポリシー構成オーバーライド」を参照してください。
-
自動ポリシー構成の設定の主な手順で説明されているように、Webサービス・クライアントを設定します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
17.176 oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policy
oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policyは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを認証します。メッセージは、対称鍵テクノロジのWS-SecurityのBasic 128スイートを使用して保護されます。
表示名: Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティのkeystore.enc.csf.key
をオーバーライドするオプションもあります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-119に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「自動ポリシー構成の設定の主な手順」で説明されているように、Webサービス・サービスを設定します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.enc.csf.key
の値を指定します。
17.177 oracle/wss11_sts_issued_saml_hok_with_message_protection_client_policy
Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)クライアント・ポリシー。は、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを挿入します。
表示名: Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを挿入します。メッセージは、STSで提供される証明鍵マテリアルを使用して保護されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-118に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
自動ポリシー構成の設定の主な手順で説明されているように、Webサービス・クライアントを設定します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。STS構成設定のオーバーライドの例は、「WS-Trustクライアント・ポリシーのプログラムによるポリシー構成オーバーライド」を参照してください。
-
自動ポリシー構成の設定の主な手順で説明されているように、Webサービス・クライアントを設定します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
17.178 oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policy
oracle/wss11_sts_issued_saml_hok_with_message_protection_service_policyは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを認証します。
表示名: Wss11発行トークン(SAML Holder of Key方式/メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML HOKアサーションを認証します。メッセージは、対称鍵テクノロジのWS-SecurityのBasic 128スイートを使用して保護されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-119に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「自動ポリシー構成の設定の主な手順」で説明されているように、Webサービス・サービスを設定します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.enc.csf.key
の値を指定します。
17.179 oracle/wss11_sts_issued_saml_with_message_protection_client_policy
Wss11発行トークン(SAML送信者保証方式/メッセージ保護付き)クライアント・ポリシー。は、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML送信者保証アサーションを挿入します。
表示名: Wss11発行トークン(SAML送信者保証方式/メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、信頼できるSTS (セキュリティ・トークン・サービス)が発行したSAML送信者保証アサーションを挿入します。メッセージは、クライアントの秘密鍵を使用して保護されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-121に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
自動ポリシー構成の設定の主な手順で説明されているように、Webサービス・クライアントを設定します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。STS構成設定のオーバーライドの例は、「WS-Trustクライアント・ポリシーのプログラムによるポリシー構成オーバーライド」を参照してください。
-
自動ポリシー構成の設定の主な手順で説明されているように、Webサービス・クライアントを設定します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
17.180 oracle/wss11_username_token_with_message_protection_client_policy
oracle/wss11_username_token_with_message_protection_client_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および認証を提供します。プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
表示名: Wss11ユーザー名トークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-101に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
このポリシーは対称鍵テクノロジを使用します。このテクノロジは、データの暗号化と復号化に同じ共有鍵を使用する暗号化メソッドです。対称鍵は、メッセージへの署名に使用されます。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.181 oracle/wss11_username_token_with_message_protection_service_policy
oracle/wss11_username_token_with_message_protection_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、認証を行います。プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。
表示名: Wss11ユーザー名トークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-102に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
OPSSを設定する手順は次のとおりです。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。 -
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティの
keystore.enc.csf.key
をオーバーライドします。
-
17.182 oracle/wss11_username_token_with_message_protection_sha256_client_policy
表示名: Wss11ユーザー名トークン(メッセージ保護付き) SHA256クライアント・ポリシー
カテゴリ: セキュリティ
説明
oracle/wss11_username_token_with_message_protection_sha256_client_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および認証を提供します。プレーン・テキスト・メカニズムのみがサポートされています。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、署名の承認にはWS-Securityの非対称鍵テクノロジのBasic 128スイート、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-2ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
クライアント側のキーストアは、リクエストごとに構成されるか、セキュリティ構成を介して構成されます。資格証明は、アウトバウンドSOAPリクエスト・メッセージのWS-Security UsernameTokenヘッダーに含まれます。資格証明は、現在のJava Authentication and Authorization Service (JAAS)サブジェクトを介してプログラムによって提供するか、構成済の資格証明ストアをポリシーで参照することによって提供します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-101に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.sig.csf.key
およびkeystore.enc.csf.key
の値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
このポリシーは対称鍵テクノロジを使用します。このテクノロジは、データの暗号化と復号化に同じ共有鍵を使用する暗号化メソッドです。対称鍵は、メッセージへの署名に使用されます。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.183 oracle/wss11_username_token_with_message_protection_sha256_service_policy
表示名: Wss11ユーザー名トークン(メッセージ保護付き) SHA256サービス・ポリシー
カテゴリ: セキュリティ
説明
oracle/wss11_username_token_with_message_protection_sha256_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、認証を行います。プレーン・テキスト・メカニズムのみがサポートされています。
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、署名の承認にはWS-Securityの非対称鍵テクノロジのBasic 128スイート、メッセージ機密保護にはRSA鍵メカニズム、メッセージ整合性にはSHA-2ハッシュ・アルゴリズムが使用され、AES-128ビット暗号化も使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
キーストアはセキュリティ構成を通して構成されます。資格証明は、UsernameToken WS-Security SOAPヘッダーを介して提供されます。資格証明は、構成済のアイデンティティ・ストアに対して認証されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-102に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
OPSSを設定する手順は次のとおりです。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。 -
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティの
keystore.enc.csf.key
をオーバーライドします。
-
17.184 oracle/wss11_username_token_with_message_protection_wssc_client_policy
oracle/wss11_username_token_with_message_protection_wssc_client_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および認証を提供します。プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
表示名: Wss11ユーザー名トークン(メッセージ保護付き)(セキュア通信有効)クライアント・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-101に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
Oracle Web Services Managerを使用したセキュア通信の構成で説明されているように、セキュア通信を構成します。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.enc.csf.key
の値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
このポリシーは対称鍵テクノロジを使用します。このテクノロジは、データの暗号化と復号化に同じ共有鍵を使用する暗号化メソッドです。対称鍵は、メッセージへの署名に使用されます。
-
Oracle Web Services Managerを使用したセキュア通信の構成で説明されているように、セキュア通信を構成します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.185 oracle/wss11_username_token_with_message_protection_wssc_service_policy
oracle/wss11_username_token_with_message_protection_wssc_service_policyは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ保護(整合性および機密保護)と、認証を行います。プレーン・テキストとダイジェストの両方のメカニズムがサポートされます。
表示名: Wss11ユーザー名トークン(メッセージ保護付き)(セキュア通信有効)サービス・ポリシー
カテゴリ: セキュリティ
説明
Webサービス・コンシューマは、ユーザー名とパスワード資格証明を挿入し、送信するSOAPメッセージに署名して暗号化します。Webサービス・プロバイダは、メッセージと署名の復号化および検証を行います。このポリシーは、SOAPベースのすべてのエンドポイントにアタッチできます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
リプレイ攻撃を防止するため、アサーションには、タイムスタンプおよびWebサービス・プロバイダによる検証を含めるオプションが用意されています。異なる強度の暗号を使用してメッセージを保護できます。
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。Oracle Web Services Managerを使用したセキュア通信の構成を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-102に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
OPSSを設定する手順は次のとおりです。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。 -
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティの
keystore.enc.csf.key
をオーバーライドします。
-
17.186 oracle/wss11_x509_token_with_message_protection_client_policy
oracle/wss11_x509_token_with_message_protection_client_policyは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および証明書ベースの認証を提供します。
表示名: Wss11 X509トークン(メッセージ保護付き)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-104に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。 -
「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.enc.csf.key
の値を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
Webサービス・セキュリティの概念の理解の説明に従って、Webサービス・クライアントのキーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
-
Webサービス・クライアントは、WS-Securityバイナリ・セキュリティ・トークンを介してSOAPメッセージに有効なX.509認証資格証明を提供する必要があります。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.187 oracle/wss11_x509_token_with_message_protection_service_policy
Wss11 X509トークン(メッセージ保護付き)サービス・ポリシーは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ・レベルの保護と、証明書ベースの認証を行います。
表示名: Wss11 X509トークン(メッセージ保護付き)サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-105に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを構成します。
-
OPSSを設定する手順は次のとおりです。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。 -
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティの
keystore.enc.csf.key
をオーバーライドします。
-
17.188 oracle/wss11_x509_token_with_message_protection_wssc_client_policy
Wss11 X509トークン(メッセージ保護付き)(セキュア通信有効)クライアント・ポリシーは、WS-Security 1.1標準に従って、アウトバウンドSOAPリクエストに対するメッセージ保護(整合性と機密性)および証明書ベースの認証を提供します。
表示名: Wss11 X509トークン(メッセージ保護付き)(セキュア通信有効)クライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-104に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定して、STSに対する認証用の鍵(ユーザー名/パスワードまたはX.509)を指定します。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
Oracle Web Services Managerを使用したセキュア通信の構成で説明されているように、セキュア通信を構成します。
-
「サービス・アイデンティティ証明拡張の理解」で説明されているように、Webサービスのbase64エンコードされた公開証明書は、Webサービス・クライアントが使用するためにWSDLでパブリッシュされます。代替方法として、「ポリシー構成プロパティのオーバーライド」で説明されているように、
keystore.recipient.alias
の値を指定できます。keystore.recipient.alias
は、アウトバウンドSOAPメッセージの暗号化用のキーを取得するときにキーストア内の公開鍵を検索するために使用される別名を指定します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
Oracle Web Services Managerを使用したセキュア通信の構成で説明されているように、セキュア通信を構成します。
-
Webサービス・クライアントは、WS-Securityバイナリ・セキュリティ・トークンを介してSOAPメッセージに有効なX.509認証資格証明を提供する必要があります。
-
Webサービス・セキュリティの概念の理解の説明に従って、Webサービス・クライアントのキーストアを設定します。このポリシーでは特に、クライアントとWebサービスそれぞれのキーストアに、お互いの公開鍵を含むデジタル証明書がすでに含まれている必要があります。
-
Webサービス・クライアントは、WS-Securityバイナリ・セキュリティ・トークンを介してSOAPメッセージに有効なX.509認証資格証明を提供する必要があります。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
例17-*に、WS-Security 1.1標準に準拠し、セキュリティ・ヘッダーに含まれている暗号化要素の一般的な構造を示します。この例では、本体要素が暗号化されています。
17.189 oracle/wss11_x509_token_with_message_protection_wssc_service_policy
Wss11 X509トークン(メッセージ保護付き)(セキュア通信有効)サービス・ポリシーは、WS-Security 1.1標準に従って、インバウンドSOAPリクエストのメッセージ・レベルの保護と、証明書ベースの認証を行います。
表示名: Wss11 X509トークン(メッセージ保護付き)(セキュア通信有効)サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーでは、署名と暗号化には対称鍵テクノロジ、保証される署名にはWS-Securityの非対称鍵テクノロジのBasic 128スイートが使用されます。メッセージ保護に使用できる非対称アルゴリズムの詳細は、「サポートされているアルゴリズム・スイート」を参照してください。
このポリシーでは、セキュア通信が有効になります。Oracle Web Services Managerを使用したセキュア通信の構成を参照してください。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-105に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを構成します。
-
OPSSを設定する手順は次のとおりです。
-
ポリシー・アサーションを、メッセージの署名、メッセージの暗号化またはその両方用に構成します。
-
「メッセージ保護に関するキーストアの構成の概要」で説明されているように、OWSMキーストアを設定します。
-
(メッセージへの署名に使用される)クライアントの秘密鍵に対応する信頼できる証明書をキーストアに格納します。メッセージを復号化するためにキーストアにサービスの秘密鍵を格納し、CAルート証明書も格納します。
-
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」で説明されているように、復号化キーのパスワードを資格証明ストアに格納します。キー名として
keystore.enc.csf.key
を使用します。 -
「ポリシー構成のオーバーライドの概要」で説明されているように、サーバー側構成プロパティの
keystore.enc.csf.key
をオーバーライドします。
-
17.190 oracle/wss_saml_bearer_or_username_token_sha256_service_policy
oracle/wss_saml_bearer_or_username_token_sha256_service_policyは、クライアントがSAML Bearerまたはユーザー名トークンのいずれを使用するかに基づいて、認証ポリシーを強制します。
表示名: WSSecurity SAMLトークンBearer/WSSecurityユーザー名トークンSha256サービス・ポリシー
カテゴリ: セキュリティ
説明
クライアントがSAMLトークンとユーザー名トークンのどちらを使用するかに基づいて、それぞれ次の認証ポリシーのいずれかを実行します。
-
Bearer確認タイプを使用するWS-Security SOAPヘッダー内のSAMLトークン。
-
構成済のアイデンティティ・ストアに対してユーザーを認証するWS-Security UsernameToken SOAPヘッダー。
デフォルトでは、SAML BearerトークンはRSA-SHA256署名メソッドを使用したエンベロープ化された署名で署名されることが予期されています。このポリシーは、どのようなSOAPベースのエンドポイントにも適用できます。
リプレイ攻撃から保護するため、アサーションには、ユーザー名トークンにNonceおよび作成時間を必要とするオプションが用意されています。SOAPメッセージは署名されて暗号化されています。Webサービス・プロバイダはメッセージを復号化し、署名の検証と認証を行います。
アサーション(ORグループ)
このポリシーには、次のアサーションがORグループとして含まれます。つまり、クライアントはどちらのタイプのポリシーでも実行できます。
アサーションはWSDLで通知されています。
17.191 oracle/wss_saml_token_bearer_identity_switch_client_policy
oracle/wss_saml_token_bearer_identity_switch_client_policyは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えを実行します。このポリシーには、アウトバウンドSOAPリクエスト・メッセージのSAMLトークンが含まれます。
表示名: Wss SAML Token Bearerアイデンティティ切替えクライアント・ポリシー
カテゴリ: セキュリティ
説明
確認方法がBearerのSAMLトークンが自動的に作成されます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
アサーション
このポリシーには次のアサーションが含まれています。
oracle/wss_saml_token_bearer_client_template
このアサーションの詳細は、「oracle/wss_saml_token_bearer_client_template」を参照してください。
構成
このポリシーには、アウトバウンドSOAPリクエスト・メッセージのSAMLトークンが含まれます。確認方法がBearerのSAMLトークンが自動的に作成されます。また、このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることも検証します。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
このポリシーには、oracle/wss_saml_token_bearer_over_ssl_client_templateポリシー・アサーションが含まれています。このアサーションの詳細は、「oracle/wss_saml_token_bearer_client_template」を参照してください。
設定
表18-54を参照してください。
構成プロパティ
表18-55を参照してください。
17.192 oracle/wss_saml_token_bearer_identity_switch_sha256_client_policy
oracle/wss_saml_token_bearer_identity_switch_sha256_client_policyは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えを実行します。このポリシーには、アウトバウンドSOAPリクエスト・メッセージのSAMLトークンが含まれます。
表示名: Wss SAML Token Bearerアイデンティティ切替えSha256クライアント・ポリシー
カテゴリ: セキュリティ
説明
確認方法BearerのSAMLトークンは、RSA-SHA256署名メソッドを使用したエンベロープ化された署名でデフォルトで署名されます。また、このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることも検証します。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
アサーション
このポリシーには次のアサーションが含まれています。
oracle/wss_saml_token_bearer_client_template
このアサーションの詳細は、「oracle/wss_saml_token_bearer_client_template」を参照してください。
構成
このポリシーには、アウトバウンドSOAPリクエスト・メッセージのSAMLトークンが含まれます。確認方法がBearerのSAMLトークンが自動的に作成されます。また、このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることも検証します。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
このポリシーには、oracle/wss_saml_token_bearer_over_ssl_client_templateポリシー・アサーションが含まれています。このアサーションの詳細は、「oracle/wss_saml_token_bearer_client_template」を参照してください。
設定
表18-54を参照してください。
構成プロパティ
表18-55を参照してください。
17.193 oracle/wss_saml_token_bearer_over_ssl_sha256_client_policy
oracle/wss_saml_token_bearer_over_ssl_sha256_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを含めます。確認方法がBearerのSAMLトークンが自動的に作成されます。
表示名: Wss SAML Token Over SSL (Bearer確認方式) SHA256クライアント・ポリシー
カテゴリ: セキュリティ
説明
SAMLトークンはRSA-SHA256署名メソッドを使用して署名されます。発行者名とサブジェクト名は、プログラムによって、または現在のJava Authentication and Authorization Service (JAAS)サブジェクトを介して提供されます。また、このポリシーは、トランスポート・プロトコルによりSSLメッセージ保護が提供されることも検証します。このポリシーは、SOAPベースのすべてのクライアントに添付できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-59に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、クライアント側でSAMLを構成します。
17.194 oracle/wss_saml_token_bearer_over_ssl_sha256_service_policy
oracle/wss_saml_token_bearer_over_ssl_sha256_service_policyは、WS-Security SOAPヘッダー内の確認方法がBearerのSAMLトークンに含まれる資格証明を使用してユーザーを認証します。RSA-SHA256署名メソッドを使用して署名されたSAMLトークンを受け入れます。
表示名: Wss SAML Token Over SSL (Bearer確認方式) SHA256サービス・ポリシー
カテゴリ: セキュリティ
説明
SAMLトークンに含まれる資格証明は、SAMLログイン・モジュールに対して認証されます。このポリシーは、トランスポート・プロトコルでSSLメッセージの保護が提供されていることを検証します。このポリシーは、SOAPベースのエンドポイントで実行できます。
SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-60に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。 -
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
saml.loginmodule
ログイン・モジュールを構成します。詳細は、「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。 -
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
17.195 oracle/wss_saml_token_bearer_service_policy
oracle/wss_saml_token_bearer_service_policyは、WS-Security SOAPヘッダー内のSAML Bearerトークンに含まれる資格証明を使用してユーザーを認証します。デフォルトでは、SAML Bearerトークンはエンベロープ化された署名で署名されることが予期されています。
表示名: WSSecurity SAML Token Bearerサービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、どのようなSOAPベースのエンドポイントにも適用できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
17.196 oracle/wss_saml_token_bearer_sha256_client_policy
oracle/wss_saml_token_bearer_sha256_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAML Bearerトークンを含めます。
表示名: Wss SAMLトークン(Bearer確認方式) Sha256クライアント・ポリシー
カテゴリ: セキュリティ
説明
確認方法BearerのSAMLトークンは、RSA-SHA256署名メソッドを使用したエンベロープ化された署名でデフォルトで署名されます。
発行者名とサブジェクト名は、プログラムによって、または現在のJava Authentication and Authorization Service (JAAS)サブジェクトを介して提供されます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-59に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、クライアント側でSAMLを構成します。
17.197 oracle/wss_saml_token_bearer_sha256_service_policy
oracle/wss_saml_token_bearer_sha256_service_policyは、WS-Security SOAPヘッダー内のSAML Bearerトークンに含まれる資格証明を使用してユーザーを認証します。SAML BearerトークンはRSA-SHA256署名メソッドを使用したエンベロープ化された署名で署名されることが予期されています。
表示名: WSSecurity SAML Token Bearer Sha256サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、どのようなSOAPベースのエンドポイントにも適用できます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
17.198 oracle/binding_oes_authorization_policy
oracle/binding_oes_authorization_policyは、Oracle Entitlements Server (OES)で定義されたポリシーに基づき、認可を設定します。認可は、属性、現在の認証されたサブジェクト、およびクライアントが起動したWebサービスのアクションに基づいています。このポリシーは、Webサービスの任意の操作におけるファイングレイン認可に使用されます。
表示名: Oracle Entitlements Serverを使用したファイングレイン認可
カテゴリ: セキュリティ
説明
このポリシーは、サブジェクトが確立される認証ポリシーに従う必要があります。このポリシーは任意のSOAPエンドポイントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されていません。
17.199 oracle/binding_oes_masking_policy
oracle/binding_oes_masking_policyは、OESで定義されているポリシーに基づいてレスポンスのマスキングを実行します。マスキングは、属性、現在の認証されたサブジェクト、およびクライアントが起動したWebサービスのアクションに基づいています。このテンプレートは、Webサービスの任意の操作におけるファイングレイン・マスキングに使用されます。
表示名: Oracle Entitlements Serverを使用したレスポンスのマスキング
カテゴリ: セキュリティ
説明
このポリシーは、サブジェクトが確立される認証ポリシーに従う必要があります。このポリシーは任意のSOAPエンドポイントにアタッチできます。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
17.200 oracle/component_oes_authorization_policy
oracle/component_oes_authorization_policyは、Oracle Entitlements Server (OES)で定義されたポリシーに基づき、ユーザー認可を実行します。
表示名: Oracle Entitlements Serverを使用したSCAコンポーネントのファイングレイン認可
カテゴリ: セキュリティ
説明
このポリシーは、Oracle Entitlements Server (OES)で定義されたポリシーに基づき、ユーザーの認可を実行します。
17.201 oracle/jms_transport_client_policy
JMS転送クライアント・ポリシーは、Webサービス・クライアントに対するSOAP over JMSトランスポートのサポートを有効にして、構成します。
表示名: JMS転送クライアント・ポリシー
カテゴリ: SOAP over JMSトランスポート
説明
Webサービス・クライアントに対するSOAP over JMSトランスポートのサポートを有効にして、構成します。
注意:
このポリシーを複製することはできません。また、このテンプレートに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
構成
表17-48は、SOAP over JMSクライアントの、オーバーライド可能な構成プロパティを示しています。
表17-48 oracle/jms_transport_client_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
宛先キューまたはトピックのJNDI名。 |
|
必須 |
|
宛先タイプ。有効な値は、 |
|
必須 |
|
JMSヘッダー・プロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: |
なし |
オプション |
|
JMSメッセージ・プロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: |
なし |
オプション |
|
JMS接続を確立するために使用されるコネクション・ファクトリのJNDI名。 |
|
必須 |
|
JNDIプロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: JNDIプロバイダの |
なし |
オプション |
|
JNDIルックアップに使用される初期コンテキスト・ファクトリ・クラスの名前。この値は、 |
|
必須 |
|
JNDIプロバイダのURL。この値は、 |
|
必須 |
|
リクエスト・メッセージとともに使用するメッセージ・タイプ。有効な値は、 詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のJMSメッセージ・タイプの構成に関する項を参照してください。 |
|
必須 |
|
リクエストとレスポンスのメッセージに関連付けられるJMS優先度。この値は、0(優先度最低)から9(優先度最高)までの正の整数として指定します。デフォルト値は |
|
必須 |
|
レスポンス・メッセージが送信されるJMS宛先のJNDI名。 双方向動作の場合、デフォルトで一時レスポンス・キューが生成されます。デフォルトの一時レスポンス・キューを使用することで、必要となる構成が最小限に抑えられます。ただし、サーバーの障害時には、レスポンス・メッセージが失われる可能性があります。 このプロパティにより、クライアントは、応答の受取りにデフォルトの一時キューまたはトピックを使用するのではなく、事前に定義された永続キューまたはトピックを使用できます。JMSレスポンス・キューの構成の詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のレスポンス・キューの構成に関する項を参照してください。 この値は、リクエスト・メッセージの |
なし |
オプション |
|
Webサービスのポート・コンポーネント名。この値は、サービス・リクエストをディスパッチするためにサービス実装によって使用されます。指定しない場合は、WSDLまたは この値は、 |
なし |
オプション |
|
リクエスト・メッセージの存続期間(ミリ秒)。値が0の場合は、存続期間に制限がないことを示します。 サービス側では、 |
|
必須 |
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.202 oracle/jms_transport_service_policy
JMS転送サービス・ポリシーは、WebサービスのSOAP over JMSトランスポートの構成プロパティをオーバーライドします。
表示名: JMS転送サービス・ポリシー
カテゴリ: SOAP over JMSトランスポート
説明
注意:
このポリシーを複製することはできません。また、このテンプレートに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
このポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
構成
表17-49は、WebサービスのSOAP over JMSトランスポートの、オーバーライド可能な構成プロパティを示しています。
表17-49 oracle/jms_transport_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
SOAP JMSバインディングのバージョン。このリリースでは、この値を この値は、 |
|
必須 |
|
リクエスト・メッセージが永続的であるかどうかを示す配信モード。有効な値は、 |
|
必須 |
|
HTTPを介してWSDLを公開するかどうかを指定するブール・フラグです。 |
|
オプション |
|
リスニングMDBの実行に使用されるプリンシパル。 |
なし |
オプション |
|
リスニングMDBの実行に使用されるロール。 |
なし |
オプション |
|
リクエストされた宛先ごとに1つのリスニング・メッセージドリブンBean (MDB)を作成するかどうかを指定するブール・フラグ。
|
|
オプション |
|
JMSプロバイダに渡されるアクティブ化構成プロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: このプロパティでサポートされるアクティブ化構成プロパティのリストは、『Oracle WebLogic Server JAX-WS Webサービスの開発』のJMSトランスポート構成プロパティのサマリーに関する項を参照してください。 |
なし |
オプション |
|
宛先キューまたはトピックのJNDI名。 |
|
必須 |
|
宛先タイプ。有効な値は、 |
|
必須 |
|
JMSヘッダー・プロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: |
なし |
オプション |
|
JMSメッセージ・プロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: |
なし |
オプション |
|
JMS接続を確立するために使用されるコネクション・ファクトリのJNDI名。 |
|
必須 |
|
JNDIプロパティ。各プロパティは、名前と値のペアを使用してセミコロン(;)で区切って指定します。例: JNDIプロバイダの |
なし |
オプション |
|
JNDIルックアップに使用される初期コンテキスト・ファクトリ・クラスの名前。この値は、 |
|
必須 |
|
JNDIプロバイダのURL。この値は、 |
|
必須 |
17.203 oracle/no_jms_transport_client_policy
oracle/no_jms_transport_client_policyは、動作無効ポリシーであり、エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAP over JMSトランスポート・クライアント・ポリシーを上位スコープで効率よく無効化します。
表示名: JMS転送クライアントなしポリシー
カテゴリ: SOAP over JMSトランスポート
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-50は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-50 oracle/no_jms_transport_client_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.204 oracle/no_jms_transport_service_policy
oracle/no_jms_transport_service_policyは、動作無効ポリシーであり、エンドポイントに直接アタッチされている場合、または下位スコープでグローバルにアタッチされている場合、グローバルにアタッチされたSOAP over JMSトランスポート・サービス・ポリシーを上位スコープで効率よく無効化します。
表示名: JMS転送クライアントなしポリシー
カテゴリ: SOAP over JMSトランスポート
説明
この動作無効ポリシーの使用の詳細は、「グローバルにアタッチされたポリシーの無効化」を参照してください。
注意:
以下の点に注意する必要があります。
-
この動作無効ポリシーを複製することはできません。
-
この動作無効ポリシーに関連付けられているアサーション・テンプレートを新規ポリシーの生成に使用することはできません。
-
この動作無効ポリシーは、Java EE (WebLogic) Webサービスではサポートされていません。
アサーション
すべての動作無効ポリシーで、同一の動作無効アサーションが使用されます。動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。このリポジトリのリストアについては、「OWSMリポジトリの再構築」を参照してください。
構成
表17-51は、この動作無効ポリシーの、オーバーライド可能な構成プロパティを示しています。
表17-51 oracle/no_jms_transport_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「reference.priority」を参照してください。 |
なし |
オプション |
17.205 oracle/http_oauth2_token_over_ssl_salesforce_jwt_client_policy
特定のリソースにアクセスするためにSalesforce OAuth2サーバーからアクセス・トークンを取得する必要があるクライアント・アプリケーションにoracle/http_oauth2_token_over_ssl_salesforce_jwt_client_policyをアタッチできます。
表示名: Http OAuth2 Token Over SSL Salesforce JWTクライアント・ポリシー
カテゴリ: セキュリティ
説明
oracle/http_oauth2_token_over_ssl_salesforce_jwt_client_policyは、特定のリソースにアクセスするためにSalesforce OAuth2サーバーからアクセス・トークンを取得する必要があるクライアント・アプリケーションにアタッチできます。Salesforce OAuth2サーバーがアクセス・トークンを発行するために受け入れることができるJWTトークンを生成するためにOWSMで必要となる特定のプロパティでカスタマイズされています。
ポリシーは、アウトバウンド・トランスポート・プロトコルがHTTPSであることを検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、HTTPベースのクライアントにアタッチできます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_over_ssl_client_template
このアサーションの詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
構成
oracle/http_oauth2_token_over_ssl_salesforce_jwt_client_policyは、ATが一方向SSLでリソースに伝播される以外は、http_oauth2_token_client_policyと同じです。このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。ATはSalesforce OAuth2サーバーから取得します。
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
-
csf-key
-
oauth2.client.csf.key
-
audience.uri
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
オーバーライド可能な構成設定については、ポリシー構成プロパティのオーバーライドを参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。oracle/oauth2_config_client_policyポリシーの必須プロパティtoken.uri
は、OAuth2サーバーを指定します。
設定
表18-30を参照してください。
構成プロパティ
表18-27を参照してください。
17.206 oracle/multi_token_rest_access_service_policy
oracle/multi_token_rest_access_service_policyでは、リクエストにセキュリティ・トークンがない場合に匿名サブジェクトを使用してエンドポイントにアクセスできます。また、セキュリティ・トークンがリクエストに存在しない場合にサービスから403レスポンスをマスクします。
表示名: 複数トークンRESTfulアクセス・サービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、クライアントが送信するトークンに基づいて、次の認証ポリシーのいずれかを実行します。
-
HTTP Basic: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
-
HTTPヘッダーのSAML v2.0 Bearerトークン: HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
-
JWTトークン・セキュリティ: HTTPヘッダー内のJWTトークンからユーザー名を抽出します。
-
HTTP OAMセキュリティ(デフォルトで無効): OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。(サーバー側でのみSSL以外のOAM保護を提供します。)
リクエストにセキュリティ・トークンがない場合、このポリシーはサービスへのリクエストをバイパスし、サービス自体で後で検証できるコンテキストの匿名サブジェクトを確立します。
リクエストに関連付けられたセキュリティ・トークンがない場合、ポリシーはコンテキストの有効な非匿名サブジェクトを確立します。
サービスが403レスポンスを送信し、匿名サブジェクトが確立された場合、OWSMは401未認可へのレスポンス・コードをマスクし、レスポンスにWWW認証チャレンジ・ヘッダーを追加します。
コンテキストで確立された非匿名サブジェクトがあり、サービスが引き続き403禁止レスポンスを返す場合、OWSMが403禁止レスポンスを渡します。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
-
動作無効アサーション: 動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。「OWSMリポジトリの再構築」を参照してください。
oracle/http_saml20_token_bearer_service_template
ポリシー・アサーションが通知されます。
wss_http_token_service_template
アサーションはWSDLで通知されていません。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
表17-52は、このポリシーを構成するために使用できる構成プロパティを示しています。
表17-52 oracle/multi_token_rest_access_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「anonymous.access」を参照してください。 |
True |
オプション |
17.207 oracle/multi_token_rest_access_over_ssl_service_policy
oracle/multi_token_rest_access_over_ssl_service_policyでは、リクエストにセキュリティ・トークンがない場合に匿名サブジェクトを使用してSSL経由でエンドポイントにアクセスできます。また、セキュリティ・トークンがリクエストに存在しない場合にサービスから403レスポンスをマスクします。
表示名: Multi Token RESTful Access Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、クライアントが送信するトークンに基づいて、次の認証ポリシーのいずれかを実行します。
-
HTTP Basic: ユーザー名とパスワード資格証明をHTTPヘッダーから抽出します。
-
HTTPヘッダーのSAML v2.0 Bearerトークン: HTTPヘッダーのSAML 2.0 Bearerアサーションを抽出します。
-
JWTトークン・セキュリティ: HTTPヘッダー内のJWTトークンからユーザー名を抽出します。
-
HTTP OAMセキュリティ(デフォルトで無効): OAMエージェントがユーザーを認証し、アイデンティティを確立したことを検証します。(サーバー側でのみSSL以外のOAM保護を提供します。)
リクエストにセキュリティ・トークンがない場合、このポリシーはサービスへのリクエストをバイパスし、サービス自体で後で検証できるコンテキストの匿名サブジェクトを確立します。
リクエストに関連付けられたセキュリティ・トークンがない場合、ポリシーはコンテキストの有効な非匿名サブジェクトを確立します。
サービスが403レスポンスを送信し、匿名サブジェクトが確立された場合、OWSMは401未認可へのレスポンス・コードをマスクし、レスポンスにWWW認証チャレンジ・ヘッダーを追加します。
コンテキストで確立された非匿名サブジェクトがあり、サービスが引き続き403禁止レスポンスを返す場合、OWSMが403禁止レスポンスを渡します。
このポリシーは、SSL経由でサービス起動を実行します。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
-
動作無効アサーション: 動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。「OWSMリポジトリの再構築」を参照してください。
oracle/http_saml20_token_bearer_service_template
ポリシー・アサーションが通知されます。
wss_http_token_service_template
アサーションはWSDLで通知されていません。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
表17-53は、このポリシーを構成するために使用できる構成プロパティを示しています。
表17-53 oracle/multi_token_rest_access_over_ssl_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「anonymous.access」を参照してください。 |
True |
オプション |
17.208 oracle/http_anonymous_rest_service_policy
oracle/http_anonymous_rest_service_policyでは、コンテキストで匿名サブジェクトを使用してエンドポイントにアクセスできます。
表示名: Http Anonymous RESTfulサービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、no_authentication_service_policyが提供する機能の拡張です。
リクエストにセキュリティ・トークンがある場合またはセキュリティ・トークンがない場合、いずれの場合もこのポリシーはサービスへのリクエストをバイパスし、コンテキストの匿名サブジェクトを確立します。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
-
動作無効アサーション: 動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。「OWSMリポジトリの再構築」を参照してください。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
表17-54は、このポリシーを構成するために使用できる構成プロパティを示しています。
表17-54 oracle/http_anonymous_rest_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「anonymous.access」を参照してください。 |
True |
オプション |
17.209 oracle/http_anonymous_rest_over_ssl_service_policy
oracle/http_anonymous_rest_over_ssl_service_policyでは、コンテキストで匿名サブジェクトを使用してSSL経由でエンドポイントにアクセスできます。
表示名: HTTP Anonymous RESTful Over SSLサービス・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、no_authentication_service_policyが提供する機能の拡張です。
リクエストにセキュリティ・トークンがある場合またはセキュリティ・トークンがない場合、いずれの場合もこのポリシーはサービスへのリクエストをバイパスし、コンテキストの匿名サブジェクトを確立します。
このポリシーは、SSL経由でサービス起動を実行します。
アサーション(ORグループ)
このポリシーには、次のアサーション・テンプレートに基づくアサーションがORグループとして含まれます。つまり、クライアントはいずれかのトークンを送信できます。
-
動作無効アサーション: 動作無効アサーション用のアサーション・テンプレートは提供されていません。そのため、動作無効ポリシーは削除しないことが重要です。これらのポリシーを再作成するには、元のポリシーが含まれるOWSMリポジトリをリストアする必要があります。「OWSMリポジトリの再構築」を参照してください。
注意:
WADLファイルでのポリシー・アサーションの通知はサポートされていません。このポリシーがRESTful Webサービスにアタッチされている場合は、「通知済」オプションは効果がありません。
構成
表17-55は、このポリシーを構成するために使用できる構成プロパティを示しています。
表17-55 oracle/http_anonymous_rest_over_ssl_service_policyの構成プロパティ
名前 | 説明 | デフォルト | 必須? |
---|---|---|---|
|
「anonymous.access」を参照してください。 |
True |
オプション |
17.210 oracle/http_oauth2_token_over_ssl_google_jwt_client_policy
oracle/http_oauth2_token_over_ssl_google_jwt_client_policyは、Google APIにアクセスする必要があるクライアントが使用できます。
表示名: HTTP oauth2 token over ssl google jwtクライアント・ポリシー
カテゴリ: セキュリティ
説明
oracle/http_oauth2_token_over_ssl_google_jwt_client_policyは、Google APIにアクセスする必要があるクライアント・アプリケーションにアタッチできます。このポリシーにより、クライアントはGoogle OAUTH2サーバーからOAuth2アクセス・トークンを取得できます。このトークンは、対応するGoogle APIにアクセスするために発行されたクライアント・リクエストのHTTPヘッダーに設定されます。Google OAUTH2サーバーが受け入れることができるJWTトークンを生成するためにOWSMで必要となる特定のプロパティでカスタマイズされています。
ポリシーは、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、HTTPベースのクライアントにアタッチできます。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_over_ssl_client_template
「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
構成
oracle/http_oauth2_token_over_ssl_google_jwt_client_policyは、Google APIにアクセスする必要があるクライアント・アプリケーションにアタッチできます。
使用する各プロパティのリストは次のとおりです。
-
oracle/oauth2_config_client_policy
-
token.uri = https://accounts.google.com/o/oauth2/token
-
-
oracle/http_oauth2_token_over_ssl_google_jwt_client_policy
-
subject.precedence = false (デフォルト)
-
oauth2.client.csf.key = google-service-credential (「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」を参照)
-
include.client.credentials = false (デフォルト)
-
issuer.name = ${client.id} (実行時に決定)
-
audience.uri = https://accounts.google.com/o/oauth2/token
-
keystore.sig.csf.key = privatekey (「OWSMキーストアの構成」を参照)
-
custom.jwt.claims = scope=api1 api2 apiN (参照
OWSMは、JWTトークンを使用してGoogle OAuth2サーバーにリクエストを送信します。リクエストは次のようになります。
Post /o/oauth2/token
ホスト: host: https://accounts.google.com
Content-Type: application/x-www-form-urlencoded
grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Ajwt-bearer&assertion=<JWT Token>
注意:
"audience.uri"および"issuer.name"には、ポリシーに示されているデフォルト値が含まれます。
注意:
custom.jwt.claimsの値に変更がある場合、OWSMは新しいアクセス・トークンをリクエストする送信リクエストの新しいJWTトークンを生成します。つまり、この値に変更がある場合、キャッシュされたJWTトークンを使用できません。 -
OWSMでは、認証用にWSMエージェントで生成されるJWTを使用してGoogle OAuth2サーバーにリクエストを送信します。JWTトークンがGoogleサーバーで正常に認証されると、アクセス・トークンがレスポンスで送信されます。トークンのデフォルト有効期間は1時間です。
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
オーバーライド可能な構成設定については、ポリシー構成プロパティのオーバーライドを参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。oracle/oauth2_config_client_policyポリシーの必須プロパティtoken.uri
は、OAuth2サーバーを指定します。
設定
表18-30を参照してください。
構成プロパティ
表18-27を参照してください。
17.211 oracle/wss_saml20_token_bearer_over_ssl_notimestamp_client_policy
oracle/wss_saml20_token_bearer_over_ssl_notimestamp_client_policyは、アウトバウンドSOAPリクエスト・メッセージにSAMLトークンを組み込み、トランスポート・プロトコルでSSLメッセージ保護が提供されていることを検証します。
表示名: Wss SAML V2.0 Token Over SSL (Bearer確認方式)クライアント・ポリシー(タイムスタンプなし)
カテゴリ: セキュリティ
説明
確認方法がBearerのSAMLトークンが自動的に作成されます。このポリシーは、SOAPベースのすべてのクライアントに添付できます。タイムスタンプはメッセージに追加されません。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションは通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-62に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
-
「構成」ページで
propagate.identity.context
の値を指定するか、ポリシーをアタッチするときに「セキュリティ構成の詳細」コントロールを使用して、クライアントごとにこの値をオーバーライドします。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
設計時の考慮事項
設計時に次の手順を実行します。
-
「設計時におけるクライアント・ポリシー構成プロパティのオーバーライドについて」で説明されているように、構成設定をオーバーライドします。
-
「設計時のSAML Webサービス・クライアントの構成」で説明されているように、クライアント側でSAMLを構成します。
17.212 oracle/wss_saml20_token_bearer_over_ssl_notimestamp_service_policy
oracle/wss_saml20_token_bearer_over_ssl_notimestamp_service_policyは、WS-Security SOAPヘッダー内の確認方式がBearerとなっているSAMLトークンに指定されている資格証明を使用してユーザーを認証し、トランスポート・プロトコルがSSLメッセージ保護を提供していることを検証します。
表示名: Wss SAML V2.0 Token Over SSL (Bearer確認方式)サービス・ポリシー(タイムスタンプなし)
カテゴリ: セキュリティ
説明
SAMLトークンに含まれる資格証明は、SAMLログイン・モジュールに対して認証されます。このポリシーは、SOAPベースのエンドポイントで実行できます。
SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それを認証プロバイダに渡します。受信メッセージにタイムスタンプが含まれていない必要があります。
アサーション
このポリシーには、ポリシーの設定および構成プロパティを定義する次のアサーション・テンプレートに基づくアサーションが含まれています。
このアサーションはWSDLで通知されています。
構成
このポリシーを構成する手順は次のとおりです。
-
表18-63に定義されている構成プロパティをオーバーライドします。詳細は、「ポリシー構成プロパティのオーバーライド」を参照してください。
-
「WebLogic Serverへの一方向SSLの構成」または「Webサービス・クライアントに関する双方向SSLの構成」で説明されているように、一方向SSLまたは双方向SSLを構成します。
-
「ポリシー構成プロパティのオーバーライド」で説明されているように、
propagate.identity.context
の値を指定します。propagate.identity.context
プロパティのデフォルトは、空白値です。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。 -
「WebLogic Serverでサポートされる認証プロバイダ」で説明されているように、認証プロバイダを、WebサービスがデプロイされているWebLogicドメインのアクティブなセキュリティ・レルムに追加します。
-
「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」で説明しているように、
saml2.loginmodule
ログイン・モジュールを構成します。SAMLログイン・モジュールは、検証されたトークンからユーザー名を抽出し、それをプロバイダに渡します。 -
「SAMLの構成について」で説明されているように、SAMLを構成してOPSSを設定します。
17.213 oracle/http_oauth2_token_idcs_client_policy
oracle/http_oauth2_token_idcs_client_policyは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、IDCS OAuthサーバーから取得します。また、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、SSLを通じてサービスを呼び出す任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
表示名: HTTP Oauth2トークンIDCSクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えも実行します。
subject.precedenceプロパティは、デフォルトでtrueに設定されています。oracle.oauth2.serviceプロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびクライアントJWTトークンの発行者としてクライアントIDが使用されます。
set.client.IDは、デフォルトではfalseに設定されています。Trueに設定した場合、OWSMはクライアントIDをOAuth2プロバイダにアクセス・トークン・リクエストで問合せパラメータとして送信します。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_client_template
このアサーションの詳細は、「oracle/http_oauth2_token_client_template」を参照してください。
構成
このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、OracleクラウドのOAuthサーバーから取得します。
oracle.oauth2.service
プロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびJWTトークンの発行者としてクライアントIDが使用されます。scope
が空(デフォルト)の場合、Oracle WSMがサービスURLを自動的に取得し、address:port部分をスコープとして使用します。
また、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、SSLを通じてサービスを呼び出す任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えも実行します。
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
-
OAuth2トークン・リクエストの場合:
-
scope
-
authz.code (このリリースでは使用されません。)
-
redirect.uri (このリリースでは使用されません。)
-
-
ローカルにトークンを作成する場合:
-
subject.precedence
-
csf.map
-
csf-key
-
oauth2.client.csf.key
-
federated.client.token
-
user.attributes
-
issuer.name
-
oracle.oauth2.service
-
user.roles.include
-
keystore.sig.csf.key
-
propagate.identity.context
-
user.tenant.name
-
include.certificate
-
-
一般:
-
audience.uri
-
reference.priority
-
time.in.millis
-
set.client.id
-
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。必要なoracle/oauth2_config_client_policyポリシーのtoken.uri
プロパティは、OAuth2サーバーを指定します。oauth2.client.csf.key
プロパティもあります。
次の任意のOracle WSM JWTサービス・ポリシーもWebサービスに割り当てます。Oracle WSMのサーバー側エージェントがATを検証します。
-
oracle/http_jwt_token_over_ssl_service_policy
-
oracle/multi_token_over_ssl_rest_service_policy (REST)
-
oracle/wss11_saml_or_username_token_with_message_protection_service_policy (SOAP)
認証されたサブジェクトのかわりにクライアント固有のユーザー名を使用できるようにするには、subject.precedence
をtrue
に設定します。ユーザー名は、csf-key
のユーザー名プロパティからのみ取得されます。
subject.precedence
がfalseに設定され、csf-key
とユーザー名が構成されている場合、Webサービス・クライアント・アプリケーションにはoracle.wsm.security.WSIdentityPermission
権限が必要です。つまり、Oracle WSMが外部から提供されるアイデンティティをアプリケーションから受け入れるには、そのアプリケーションがWSIdentityPermission
権限を持つ必要があります。これにより、Oracle WSMが潜在的に悪質なアプリケーションからアイデンティティを提供されるのを回避します。WSIdentityPermissionを使用した権限の設定のWSIdentityPermission
権限の付与の説明を参照してください。
デフォルトでは、oracle/http_oauth2_token_idcs_client_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-oauth2-security xmlns:ns0="http://schemas.oracle.com/ws/2006/01/policy" ns0:Silent="true" ns0:name="Http OAuth2 Security" ns0:Enforced="true" ns0:category="security/authentication"> <orasp:auth-header orasp:mechanism="oauth2"/> <orawsp:bindings> <orawsp:Config orawsp:name="HttpOAuth2Config" orawsp:configType="declarative"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="subject.precedence"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="oauth2.client.csf.key"> <orawsp:Value/> <orawsp:DefaultValue>NONEorawsp:DefaultValue>NONE> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="federated.client.token"> <orawsp:Value/> <orawsp:DefaultValue>trueorawsp:DefaultValue>true> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="set.client.id"> <orawsp:Value/> <orawsp:DefaultValue>falseorawsp:DefaultValue>false> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="scope"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="authz.code"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="redirect.uri"> <orawsp:Value/> </orawsp:Property> <!-- Begin : properties needed for local token creation for end user--> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.attributes"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="issuer.name"> <orawsp:Value/> <orawsp:DefaultValue>www.oracle.comorawsp:DefaultValue>www.oracle.com> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="oracle.oauth2.service"> <orawsp:Value/> <orawsp:DefaultValue>falseorawsp:DefaultValue>false> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="user.roles.include"> <orawsp:Value/> <orawsp:DefaultValue>falseorawsp:DefaultValue>false> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:name="propagate.identity.context" orawsp: type="string" orawsp:contentType="optional"> <orawsp:Value>orawsp:Value>> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.tenant.name"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="audience.uri"> <orawsp:Value/> <orawsp:DefaultValue>NONEorawsp:DefaultValue>NONE> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="include.certificate"> <orawsp:Value/> <orawsp:DefaultValue>falseorawsp:DefaultValue>false> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis"> <orawsp:Value/> <orawsp:DefaultValue>trueorawsp:DefaultValue>true> </orawsp:Property> <!--End properties for local token creation for end user --> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:http-oauth2-security>
設定
表18-30を参照してください。
構成プロパティ
表18-27を参照してください。
17.214 oracle/http_oauth2_token_over_ssl_idcs_client_policy
oracle/http_oauth2_token_over_ssl_idcs_client_policyは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、IDCS OAuthサーバーから取得します。また、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、SSLを通じてサービスを呼び出す任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
表示名: HTTP Oauth2 Token Over SSL IDCSクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えも実行します。
subject.precedenceプロパティは、デフォルトでtrueに設定されています。oracle.oauth2.serviceプロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびクライアントJWTトークンの発行者としてクライアントIDが使用されます。
set.client.IDは、デフォルトではfalseに設定されています。Trueに設定した場合、OWSMはクライアントIDをOAuth2プロバイダにアクセス・トークン・リクエストで問合せパラメータとして送信します。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_over_ssl_client_template
このアサーションの詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
構成
このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、OracleクラウドのOAuthサーバーから取得します。
oracle.oauth2.service
プロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびJWTトークンの発行者としてクライアントIDが使用されます。scope
が空(デフォルト)の場合、Oracle WSMがサービスURLを自動的に取得し、address:port部分をスコープとして使用します。
また、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、SSLを通じてサービスを呼び出す任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えも実行します。
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
-
OAuth2トークン・リクエストの場合:
-
scope
-
authz.code (このリリースでは使用されません。)
-
redirect.uri (このリリースでは使用されません。)
-
-
ローカルにトークンを作成する場合:
-
subject.precedence
-
csf.map
-
csf-key
-
oauth2.client.csf.key
-
federated.client.token
-
user.attributes
-
issuer.name
-
oracle.oauth2.service
-
user.roles.include
-
keystore.sig.csf.key
-
propagate.identity.context
-
user.tenant.name
-
include.certificate
-
-
一般:
-
audience.uri
-
reference.priority
-
time.in.millis
-
set.client.id
-
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。必要なoracle/oauth2_config_client_policyのtoken.uri
プロパティは、OAuth2サーバーを指定します。oauth2.client.csf.key
プロパティもあります。
次の任意のOracle WSM JWTサービス・ポリシーもWebサービスに割り当てます。Oracle WSMのサーバー側エージェントがATを検証します。
-
oracle/http_jwt_token_over_ssl_service_policy
-
oracle/multi_token_over_ssl_rest_service_policy (REST)
-
oracle/wss11_saml_or_username_token_with_message_protection_service_policy (SOAP)
認証されたサブジェクトのかわりにクライアント固有のユーザー名を使用できるようにするには、subject.precedence
をtrue
に設定します。ユーザー名は、csf-key
のユーザー名プロパティからのみ取得されます。
subject.precedence
がfalseに設定され、csf-key
とユーザー名が構成されている場合、Webサービス・クライアント・アプリケーションにはoracle.wsm.security.WSIdentityPermission
権限が必要です。つまり、Oracle WSMが外部から提供されるアイデンティティをアプリケーションから受け入れるには、そのアプリケーションがWSIdentityPermission
権限を持つ必要があります。これにより、Oracle WSMが潜在的に悪質なアプリケーションからアイデンティティを提供されるのを回避します。WSIdentityPermissionを使用した権限の設定のWSIdentityPermission
権限の付与の説明を参照してください。
デフォルトでは、oracle/http_oauth2_token_over_ssl_idcs_client_policyアサーション・コンテンツは、次のように定義されています。
<orasp:http-oauth2-security xmlns:ns0="http://schemas.oracle.com/ws/2006/01/policy" ns0:Silent="true" ns0:name="Http OAuth2 Security" ns0:Enforced="true" ns0:category="security/authentication,security/msg-protection"> <orasp:auth-header orasp:mechanism="oauth2"/> <> <orawsp:bindings> <orawsp:Config orawsp:name="HttpOAuth2Config" orawsp:configType="declarative"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="subject.precedence"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="oauth2.client.csf.key"> <orawsp:Value/> <orawsp:DefaultValue>NONEorawsp:DefaultValue>NONE> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="federated.client.token"> <orawsp:Value/> <orawsp:DefaultValue>trueorawsp:DefaultValue>true> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="set.client.id"> <orawsp:Value/> <orawsp:DefaultValue>falseorawsp:DefaultValue>false> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="scope"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="authz.code"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="redirect.uri"> <orawsp:Value/> </orawsp:Property> <!-- Begin : properties needed for local token creation for end user--> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.attributes"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="issuer.name"> <orawsp:Value/> <orawsp:DefaultValue>www.oracle.comorawsp:DefaultValue>www.oracle.com> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="oracle.oauth2.service"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="user.roles.include"> <orawsp:Value/> <orawsp:DefaultValue>falseorawsp:DefaultValue>false> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:name="propagate.identity.context" orawsp:type="string" orawsp:contentType="optional"> <orawsp:Value>orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.tenant.name"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="audience.uri"> <orawsp:Value/> <orawsp:DefaultValue>NONE</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="include.certificate"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> <!--End properties for local token creation for end user --> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:http-oauth2-security>
設定
表18-30を参照してください。
構成プロパティ
表18-27を参照してください。
17.215 oracle/http_oauth2_token_identity_switch_over_ssl_idcs_client_policy
oracle/http_oauth2_token_identity_switch_over_ssl_idcs_client_policyは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、IDCS OAuthサーバーから取得します。また、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、SSLを通じてサービスを呼び出す任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
表示名: HTTP Oauth2 Token Identity Switch Over SSL IDCSクライアント・ポリシー
カテゴリ: セキュリティ
説明
このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えも実行します。
subject.precedenceプロパティは、デフォルトでfalseに設定されています。oracle.oauth2.serviceプロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびクライアントJWTトークンの発行者としてクライアントIDが使用されます。
set.client.IDは、デフォルトではfalseに設定されています。Trueに設定した場合、OWSMはクライアントIDをOAuth2プロバイダにアクセス・トークン・リクエストで問合せパラメータとして送信します。
アサーション
このポリシーには、ポリシー・アサーションの設定および構成プロパティを定義する次のアサーション・テンプレートが含まれています:
oracle/http_oauth2_token_over_ssl_client_template
このアサーションの詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
構成
このポリシーは、HTTPヘッダーにOAuth2アクセス・トークンを含めます。アクセス・トークンは、OracleクラウドのOAuthサーバーから取得します。
oracle.oauth2.service
プロパティはデフォルトでtrueに設定されているため、OAuth2サーバーのユーザーおよびJWTトークンの発行者としてクライアントIDが使用されます。scope
が空(デフォルト)の場合、Oracle WSMがサービスURLを自動的に取得し、address:port部分をスコープとして使用します。
また、アウトバウンド・トランスポート・プロトコルがHTTPSであることも検証します。HTTPS以外のトランスポート・プロトコルを使用した場合、リクエストは拒否されます。このポリシーは、SSLを通じてサービスを呼び出す任意のHTTPベース、SOAPまたはRESTクライアントに割り当てることができます。
このポリシーは、認証されたサブジェクトに基づいたものとは異なるアイデンティティを伝播することにより、動的なアイデンティティ切替えも実行します。
ポリシーを割り当てる場合、次のプロパティをオーバーライドできます。
-
OAuth2トークン・リクエストの場合:
-
scope
-
authz.code (このリリースでは使用されません。)
-
redirect.uri (このリリースでは使用されません。)
-
-
ローカルにトークンを作成する場合:
-
subject.precedence (定数値はfalseです)
-
csf.map
-
csf-key
-
oauth2.client.csf.key
-
federated.client.token
-
user.attributes
-
issuer.name
-
oracle.oauth2.service
-
user.roles.include
-
keystore.sig.csf.key
-
propagate.identity.context
-
user.tenant.name
-
include.certificate
-
-
一般:
-
audience.uri
-
reference.priority
-
time.in.millis
-
set.client.id
-
ポリシー・ファイルは、WLSTを使用するか、手動で編集する必要があります。Fusion Middleware Controlを使用してポリシーを編集することはできません。構成できるアサーション属性の詳細は、「oracle/http_oauth2_token_over_ssl_client_template」を参照してください。
このポリシーとoracle/oauth2_config_client_policyをクライアント・アプリケーションに割り当てます。必要なoracle/oauth2_config_client_policyのtoken.uri
プロパティは、OAuth2サーバーを指定します。oauth2.client.csf.key
プロパティもあります。
次の任意のOracle WSM JWTサービス・ポリシーもWebサービスに割り当てます。Oracle WSMのサーバー側エージェントがATを検証します。
-
oracle/http_jwt_token_over_ssl_service_policy
-
oracle/multi_token_over_ssl_rest_service_policy (REST)
-
oracle/wss11_saml_or_username_token_with_message_protection_service_policy (SOAP)
認証されたサブジェクトのかわりにクライアント固有のユーザー名を使用できるようにするには、subject.precedence
をfalse
に設定します。ユーザー名は、csf-key
のユーザー名プロパティからのみ取得されます。
subject.precedence
がfalseに設定され、csf-key
とユーザー名が構成されている場合、Webサービス・クライアント・アプリケーションにはoracle.wsm.security.WSIdentityPermission
権限が必要です。つまり、Oracle WSMが外部から提供されるアイデンティティをアプリケーションから受け入れるには、そのアプリケーションがWSIdentityPermission
権限を持つ必要があります。これにより、Oracle WSMが潜在的に悪質なアプリケーションからアイデンティティを提供されるのを回避します。WSIdentityPermissionを使用した権限の設定のWSIdentityPermission
権限の付与の説明を参照してください。
デフォルトでは、oauth2_token_identity_switch_over_ssl_idcs_clientアサーション・コンテンツは、次のように定義されています。
<orasp:http-oauth2-security xmlns:ns0="http://schemas.oracle.com/ws/2006/01/policy" ns0:Silent="true" ns0:name="Http OAuth2 Security" ns0:Enforced="true" ns0:category="security/authentication,security/msg-protection"> <orasp:auth-header orasp:mechanism="oauth2"/> <> <orawsp:bindings> <orawsp:Config orawsp:name="HttpOAuth2Config" orawsp:configType="declarative"> <orawsp:PropertySet orawsp:name="standard-security-properties"> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="subject.precedence"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf.map"/> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="csf-key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="oauth2.client.csf.key"> <orawsp:Value/> <orawsp:DefaultValue>NONEorawsp:DefaultValue>NONE> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="federated.client.token"> <orawsp:Value/> <orawsp:DefaultValue>trueorawsp:DefaultValue>true> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="set.client.id"> <orawsp:Value/> <orawsp:DefaultValue>falseorawsp:DefaultValue>false> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="scope"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="authz.code"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="redirect.uri"> <orawsp:Value/> </orawsp:Property> <!-- Begin : properties needed for local token creation for end user--> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.attributes"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="issuer.name"> <orawsp:Value/> <orawsp:DefaultValue>www.oracle.comorawsp:DefaultValue>www.oracle.com> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="oracle.oauth2.service"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="user.roles.include"> <orawsp:Value/> <orawsp:DefaultValue>falseorawsp:DefaultValue>false> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="keystore.sig.csf.key"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="reference.priority"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:name="propagate.identity.context" orawsp:type="string" orawsp:contentType="optional"> <orawsp:Value>orawsp:Value> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="user.tenant.name"> <orawsp:Value/> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="audience.uri"> <orawsp:Value/> <orawsp:DefaultValue>NONE</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="string" orawsp:contentType="optional" orawsp:name="include.certificate"> <orawsp:Value/> <orawsp:DefaultValue>false</orawsp:DefaultValue> </orawsp:Property> <orawsp:Property orawsp:type="boolean" orawsp:contentType="optional" orawsp:name="time.in.millis"> <orawsp:Value/> <orawsp:DefaultValue>true</orawsp:DefaultValue> </orawsp:Property> <!--End properties for local token creation for end user --> </orawsp:PropertySet> </orawsp:Config> </orawsp:bindings> </orasp:http-oauth2-security>
設定
表18-30を参照してください。
構成プロパティ
表18-27を参照してください。