B Oracle Web Servicesの事前定義済アサーション・テンプレート
トピック:
B.1 Oracle Web Servicesのアサーション・テンプレートの設定
事前定義済アサーション・テンプレートを設定するには、アサーション・テンプレート設定を使用します。
設定は、アルファベット順にリストされています。
注意:
すべての設定がすべてのアサーション・テンプレートに適用されるわけではありません。
B.1.1 アクション一致
「アクションの一致」は、Webサービス操作の認可チェックを実行します。
この値は、値のカンマ区切りのリストにすることもできます。このフィールドでは、ワイルドカードを使用できます。例: validate
、amountAvailable
B.1.4 認証ヘッダー - メカニズム
この設定は、アサーション・テンプレートの認証メカニズムを指定するために使用されます。
有効な値は次のとおりです。
-
basic
: ユーザー名およびパスワードを送信することで、クライアントが自身を認証します。注意: Basic認証を使用する場合はSSLを構成することをお薦めします。詳細は、「SSLに関するキーストアの構成について」を参照してください。
-
cert
: このリリースではサポートされていません。証明書を送信することで、クライアントが自身を認証します。 -
custom
: このリリースではサポートされていません。カスタムの認証メカニズム。 -
digest
: このリリースではサポートされていません。暗号化されたパスワードをMD5ダイジェストを使用して送信することで、クライアントが自身を認証します。 -
jwt
- 今後の使用のために予約されています。 -
oam
: クライアントはOAMエージェントを使用して自身を認証します。 -
saml20-bearer
: クライアントはSAML 2.0 Bearerトークンを使用して自身を認証します。 -
spnego
: クライアントはKerberos SPNEGOを使用して自身を認証します。
B.1.5 本体要素
この設定は、アサーション・テンプレートの本体要素を定義するために使用します。
注意: このフィールドは、「本体全体を含める」が無効化されている場合に使用できます。
指定された本体要素に署名するか暗号化します。このフィールドは、「ボディを含める」が無効化されている場合に使用できます。
本体要素を追加するには、次のようにします。
-
「追加」をクリックします。
-
ネームスペースURIを入力します。
-
ヘッダー要素のローカル名を入力します。
-
「OK」をクリックします。
本体要素を編集するには、次のようにします。
-
「本体要素」リストで、編集するbpdu要素を選択します。
-
「編集」をクリックします。
-
必要に応じて値を変更します。
-
「OK」をクリックします。
本体要素を削除するには、次のようにします。
-
「本体要素」リストで、削除する本体要素を選択します。
-
「削除」をクリックします。
-
確認を要求されたら、「OK」をクリックします。
B.1.6 ブートストラップ・メッセージ・セキュリティ
セキュア通信ポリシーには、内部と外部の2つのポリシーがあります。「ブートストラップ・メッセージ・セキュリティ」コントロールによって、内部ポリシーおよび外部ポリシーが公開されます。
ブートストラップ(内部)ポリシーは、トークンの取得と、クライアントとWebサービス間のハンドシェイクの確立に使用されます。外部ポリシーは、トークンを使用したリクエストの実行時にアプリケーション・メッセージに対して使用されます。
B.1.8 クライアント・ポリシーURI
クライアントがSTSと通信する際に使用するクライアント・ポリシーURI。
WSDLでの識別に従い、選択するポリシーはSTSの認証要件に応じて異なります。場合によっては、「すべてのクライアント・ポリシーを表示」または「互換性のあるクライアント・ポリシーを表示」を選択して、ポリシーのリストをフィルタリングできます。「互換性のあるクライアント・ポリシーを表示」を選択した場合、「ポートURI」で指定したポートと互換性のあるポリシーのみが表示されます。
B.1.11 制約の一致
認可チェックが実行される制約を表す式。
制約式は、次の2つのmessageContextプロパティを使用して指定します。
-
messageContext.authenticationMethod: ユーザーの認証に使用する認証方法を決定します。有効な値はSAML_SVです。
-
messageContext.requestOrigin: リクエストが内部ネットワークまたは外部ネットワークから発行されたかどうかを決定します。このプロパティは、Oracle HTTP Serverを使用しており、Oracle HTTP Server管理者がカスタムのVIRTUAL_HOST_TYPEヘッダーをリクエストに追加した場合のみ有効です。
制約パターン・プロパティとその値では、大文字と小文字が区別されます。
制約式では、サポートされている標準的な演算子(==、!=、&&、||、!)を使用します。
B.1.12 必要な作成時間
このフラグは、ユーザー名トークンの作成にタイム・スタンプが必要かどうかを指定します。
注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。
B.1.16 暗号化鍵参照メカニズム
リクエストの暗号化に使用されるメカニズム。
wss10_message_protection_client_template
およびwss10_saml_token_with_message_protection_client_template
の場合の有効な値は、次のとおりです。
-
direct: リクエストに含まれるX.509トークン。
-
ski: 証明書の参照に使用されるX.509証明書のサブジェクト・キー識別子(SKI)の拡張子の値。(一部の証明書にはこの拡張子がありません。)メッセージの受信者は、SKIに対応する証明書のキーストアを調査し、それに対して署名を検証します。
-
issuerserial: 発行者名およびX.509証明書の参照に使用されるシリアル番号属性のコンポジット・キー。メッセージの受信者は、発行者名およびシリアル番号に対応する証明書のキーストアを調査し、それに対して署名を検証します。
wss11_message_protection_client_template
、wss11_saml_token_with_message_protection_client_template
、wss11_saml20_token_with_message_protection_client_template
、wss11_username_token_with_message_protection_client_template
、wss11_x509_token_with_message_protection_client_template
およびwss11_username_token_with_message_protection_client_template
の場合の有効な値は、次のとおりです。
-
direct: リクエストに含まれるX.509トークン。
-
ski: 証明書の参照に使用されるX.509証明書のサブジェクト・キー識別子(SKI)の拡張子の値。(一部の証明書にはこの拡張子がありません。)メッセージの受信者は、SKIに対応する証明書のキーストアを調査し、それに対して署名を検証します。
-
issuerserial: 発行者名およびX.509証明書の参照に使用されるシリアル番号属性のコンポジット・キー。メッセージの受信者は、発行者名およびシリアル番号に対応する証明書のキーストアを調査し、それに対して署名を検証します。
-
thumbprint: 証明書のコンテンツのメッセージ・ダイジェスト(SHA1ハッシュ)。証明書を格納する、オーバーヘッドの少ない方法を提供します。
B.1.17フォルト
この設定は、フォルト・メッセージのロギングのために使用します。
有効な値は、次のとおりです。
-
all: SOAPメッセージ全体が記録されます。
-
header: SOAPヘッダー情報のみが記録されます。
-
soap_body: SOAP本文の情報のみが記録されます。
-
soap_envelope: SOAPエンベロープの情報のみが記録されます。
B.1.19 ヘッダー要素
この設定は、指定されたSOAPヘッダー要素に署名するか暗号化するために使用します。
ヘッダー要素を追加するには、次のようにします。
-
「追加」をクリックします。
-
ネームスペースURIを入力します。
-
ヘッダー要素のローカル名を入力します。
-
「OK」をクリックします。
ヘッダー要素を編集するには、次のようにします。
-
「ヘッダー要素」リストで、編集するヘッダー要素を選択します。
-
「編集」をクリックします。
-
必要に応じて値を変更します。
-
「OK」をクリックします。
ヘッダー要素を削除するには、次のようにします。
-
「ヘッダー要素」リストで、削除するヘッダー要素を選択します。
-
「削除」をクリックします。
-
確認を要求されたら、「OK」をクリックします。
B.1.21 MIMEヘッダーを含める
MIMEヘッダー付きのSOAPアタッチメントに署名するか暗号化します。
注意: このフィールドは、「SwAアタッチメントを含める」が有効な場合に有効であり、適用されます。MTOMアタッチメントには適用されません。
B.1.22 SwAアタッチメントを含める
「SwAアタッチメントを含める」は、アタッチメント付きのSOAPメッセージに署名するか暗号化します。
注意: このフィールドは、MTOMアタッチメントには適用されません。
B.1.23 タイムスタンプを含める
このフラグは、タイムスタンプを含めるかどうかを指定します。
タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。
B.1.26 Kerberosトークン・タイプ
これは、Kerberosトークンのタイプを指定します。
有効な値は、gss-apreq-v5 (Kerberosバージョン5 GSS-API)のみです。
B.1.29 相互認証が必要
このフラグは、双方向認証が必要かどうかを指定します。
有効な値は次のとおりです。
-
Enabled: サービスをクライアントに対して認証し、クライアントをサービスに対して認証する必要があります。
-
Disabled: 一方向認証が必要です。サービスをクライアントに対して認証する必要がありますが、クライアントをサービスに対して認証する必要はありません。
B.1.30 名前識別子フォーマット
これは、名前識別子で使用するフォーマットのタイプを指定します。
次のいずれかの値を指定します。
-
指定なし
-
emailAddress
-
X509SubjectName
-
WindowsDomainQualifiedName
次のアサーション・テンプレートには、さらに値kerberosが指定されます。
wss10_saml20_token_client_template、wss_saml20_token_bearer_over_ssl_client_template、wss10_saml20_token_with_message_protection_client_template、wss11_saml20_token_with_message_protection_client_template
「名前識別子フォーマット」は、subject.precedenceがfalseに設定されている場合のみ適用されます。subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyプロパティまたはusernameプロパティ(設計時のSAML Webサービス・クライアントの構成を参照)から取得されます。ユーザー名のフォーマットは、「名前識別子フォーマット」に設定されたフォーマットと同じである必要があります。
subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトから取得されます。この場合、「名前識別子フォーマット」は常に「未指定」であり、「名前識別子フォーマット」を設定してこれを変更することはできません。
B.1.31 必要なNonce
このフラグは、リプレイ攻撃を防止するためユーザー名にNonceを含める必要があるかどうかを指定します。
注意: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。
B.1.32 パスワード・タイプ
これは、必要なパスワードのタイプを指定します。
有効な値は次のとおりです。
-
none: パスワードは使用されません。
-
plaintext: クリア・テキストのパスワード。
-
digest: 暗号化されたパスワードをMD5ダイジェストを使用して送信することで、クライアントが自身を認証します。
パスワード・タイプを「なし」に指定した場合、キーにパスワードを含める必要はありません。
注意:
ダイジェスト・パスワードを使用しないと、このテンプレートを使用して作成されたポリシーはセキュアではなくなります。plaintext
によって、パスワードはクリア・テキストで送信されます。このアサーションは、セキュリティが低くても問題にならない場合にのみダイジェスト・パスワードなしに、または他のメカニズムでトランスポートが保護されていることがはっきりしている場合に使用してください。または、このアサーションのSSLバージョンであるoracle/wss_username_token_over_ssl_client_templateの使用を検討します。
B.1.33 権限
ロールベースおよび権限ベースのポリシーでは、guard要素を使用してリソース、アクションおよび制約一致の値が定義されます。これらの値によって、guardの結果がtrueの場合にのみ、アサーション実行が許可されるようになります。アクセスしたリソース名およびアクションが一致した場合にのみ、アサーションの実行が許可されます。
guard要素の詳細は、「orawsp:guard要素」を参照してください。
デフォルトで、リソース名およびアクションでは、ワイルドカードのアスタリスク(*)が使用され、すべてが許可されます。
B.1.34 権限クラス
権限ベースの確認に使用されるクラス。
たとえば、oracle.wsm.security.WSFuncPermission
です。
そのポリシーの構成プロパティpermission_classを変更する方法もあります。これはJAAS標準によって権限クラスを識別します。権限クラスは、アプリケーションまたはサーバーのクラスパスに存在する必要があります。
カスタムの権限クラスは、抽象的な権限クラスを拡張し、シリアライズ可能なインタフェースを実装する必要があります。http://docs.oracle.com/javase/7/docs/api/java/security/Permission.html
にあるJavadocを参照してください。
デフォルトはoracle.wsm.security.WSFunctionPermissionです。
B.1.35 ポート・エンドポイント
STS Webサービスのエンドポイント。WSDL 2.0 STSの場合、target-namespace#wsdl.endpoint(service-name/port-name)
の形式で指定されます。
たとえば、http://samples.otn.com.LoanFlow#wsdl.endpoint(LoanFlowService/LoanFlowPort)
と指定します。WSDL 1.1 STSの場合、targetnamespace#wsdl11.endpoint(servicename/portname)
という形式で指定します。たとえば、http://samples.otn.com.LoanFlow#wsdl11.endpoint(LoanFlowService/LoanFlowPort)
と指定します。
B.1.37 再認証
propagate.identity.context
構成属性をTrueに設定するときは、SAML送信者保証ポリシーに対してのみ再認証制御を有効化できます。
詳細は、Oracle Web Services Managerの理解の再認証を使用する状況に関する項を参照してください。
B.1.40 リクエスト
ロギング・リクエスト・メッセージの要件。
有効な値は、次のとおりです。
-
all: SOAPメッセージ全体が記録されます。
-
header: SOAPヘッダー情報のみが記録されます。
-
soap_body: SOAP本文の情報のみが記録されます。
-
soap_envelope: SOAPエンベロープの情報のみが記録されます。
B.1.44 適用先が必要
RSTのオプション要素。存在する場合、OWSMによって、トークンがリクエストされているWebサービスのエンドポイント・アドレスが送信されます。デフォルト動作では、クライアントからSTSへのメッセージでappliesTo要素が常に送信されます。
B.1.45 クライアント・エントロピが必要
Webサービスのセキュリティ・ポリシーによって対称証明鍵が求められる場合、要求者は証明鍵の計算に含めることができる鍵の内容の一部(エントロピ)を渡すことができます。Webサービス・ポリシーでは、クライアント・エントロピ、STSエントロピ、またはその両方が必要であるかどうかを示すことができます。
B.1.48 サーバー・エントロピが必要
Webサービスのセキュリティ・ポリシーによって対称証明鍵が求められる場合、要求者は証明鍵の計算に含めることができる鍵の内容の一部(エントロピ)を渡すことができます。Webサービス・ポリシーでは、クライアント・エントロピ、STSエントロピ、またはその両方が必要であるかどうかを示すことができます。
B.1.49 リソース一致
認可チェックが実行されるリソースの名前。このフィールドには、ワイルドカードを使用できます。たとえば、Webサービスのネームスペースがhttp://project11
で、サービス名がCreditValidation
の場合、リソース名はhttp://project11/CreditValidation
になります。
B.1.54 ロール
認可されたロールを指定します。
有効な値は、次のとおりです。
-
すべてを許可: すべてのロールのユーザーを許可します。
-
すべてを拒否: ロールを持つすべてのユーザーを拒否します。
-
選択したロール: 選択したロールを許可します。
ロールを追加するには、次のようにします。
-
「追加」をクリックします。
-
ロールを追加するには、「使用可能なロール」列の追加する各ロールの隣にあるチェック・ボックスをクリックし、「移動」をクリックします。すべてのロールを追加するには、「すべて移動」をクリックします。
ロールを削除するには、「追加対象として選択したロール」列の削除する各ロールの隣にあるチェック・ボックスをクリックし、「削除」をクリックします。すべてのロールを削除するには、「すべて削除」をクリックします。
ロールを検索するには、「ロール名」検索ボックスに検索文字列を入力して、実行の矢印をクリックします。検索文字列に一致するロールのみが含まれるように、「使用可能なロール」列が更新されます。
-
「OK」をクリックします。
ロールを削除するには、次のようにします。
-
「選択したロール」リストで削除するロールを選択します。
-
「削除」をクリックします。
B.1.56 署名鍵参照メカニズム
リクエストの署名に使用できるメカニズム。
有効な値は次のとおりです。
-
direct: リクエストに含まれるX.509トークン。
-
ski: 証明書の参照に使用されるX.509証明書のサブジェクト・キー識別子(SKI)の拡張子の値。(一部の証明書にはこの拡張子がありません。)メッセージの受信者は、SKIに対応する証明書のキーストアを調査し、それに対して署名を検証します。
-
issuerserial: 発行者名およびX.509証明書の参照に使用されるシリアル番号属性のコンポジット・キー。メッセージの受信者は、発行者名およびシリアル番号に対応する証明書のキーストアを調査し、それに対して署名を検証します。
-
thumbprint: 証明書のコンテンツのメッセージ・ダイジェスト(SHA1ハッシュ)。証明書を格納する、オーバーヘッドの少ない方法を提供します。このプロパティは、次のテンプレートの場合にのみ有効です。
wss11_saml_token_with_message_protection_client_template
、wss11_saml20_token_with_message_protection_client_template
、wss11_x509_token_with_message_protection_client_template
、wss11_sts_issued_saml_with_message_protection_client_template
、oracle/wss11_sts_issued_saml_hok_with_message_protection_client_template
。
B.1.59 Transport Layer Security
このフラグは、Secure Socket Layer (SSL)(別名Transport Layer Security (TLS))を有効にするかどうかを指定します。
B.1.60 Transport Layer Security - タイムスタンプを含める
このフラグは、タイムスタンプを含めるかどうかを指定します。
タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。
B.1.61 Transport Layer Security - 相互認証が必要
このフラグは、双方向認証が必要かどうかを指定します。
有効な値は次のとおりです。
-
Enabled: サービスをクライアントに対して認証し、クライアントをサービスに対して認証する必要があります。
-
Disabled: 一方向認証が必要です。サービスをクライアントに対して認証する必要がありますが、クライアントをサービスに対して認証する必要はありません。
B.1.66 WSDLは存在しますか。
セキュリティ・トークン・サービス(STS)に対してWSDLが存在するかどうかを示します。
WSDLが存在する場合は、テンプレートのクローンを作成する際、WSDLのエンドポイントURIの入力、認証が必要かどうかの指定、およびユーザー名とパスワードの入力を求められる可能性があります。その後、「WSDL解析」を選択し、WSDLを解析してWSDLから取得した値を後続のフィールドに入力できます。
B.2 Oracle Web Servicesのアサーション・テンプレートの構成プロパティ
次の各項では、事前定義済のアサーション・テンプレートに設定可能な構成プロパティの概要を示しています(アルファベット順)。
注意:
すべての構成プロパティがすべてのアサーション・テンプレートに適用されるわけではありません。
B.2.2 anonymous.access
デフォルト値がtrueである構成オーバーライド・プロパティ。値はtrueまたはfalseを指定できます。trueに設定すると、メッセージ・コンテキストの匿名サブジェクトの追加を管理します。
B.2.4 attesting.mapping.attribute
アテスト・エンティティの表現で使用されるマッピング属性。現在サポートされているのはDNのみです。この属性は、送信者保証およびメッセージ保護ユースケースにのみ適用されます。SAML over SSLポリシーには適用されません。
B.2.5 auth.header.token.type
デフォルトでは、クライアント側で"oit"認可ヘッダーが送信リクエスト・フェーズの一部として作成されます。クライアント側から"Bearer"認可ヘッダーを送信するには、クライアントは構成プロパティ"auth.header.token.type"を値"Bearer"でオーバーライドする必要があります。サービス側は、"Bearer"および"oit"を使用して認可ヘッダーを処理します。認可ヘッダー接頭辞として、"oit"および"Bearer"の認可ヘッダーを確認します。一致する場合、サービス側はヘッダーを抽出して検証します。それ以外の場合、適切な例外がスローされます。
B.2.6 caller.principal.name
ktpass
コマンドを使用して生成されたクライアントのプリンシパル名で、kerberosトークンの生成先のユーザー名にマップされます。<username>@<REALM NAME>
の形式を使用します。
注意: keytab.location
とcaller.principal.name
は、Java EEアプリケーションのクライアント・アイデンティティの伝播で必要です。
B.2.7 credential.delegation
転送されたTGTによる資格証明委任がサポートされるかどうかを指定するフラグ。詳細は、「資格証明委任の構成について」を参照してください。デフォルトで、この値はfalseです。
B.2.8 csf.map
CSF別名を含む資格証明ストア内のOracle WSMマップ。
このプロパティのValueにアプリケーション・レベルのマップ名を指定すると、デフォルトのドメイン・レベルのOracle WSMマップをオーバーライドできます。
例: Value=app-level-mapname.map
。
アプリケーション・レベルのマップへのアクセスでは、wsm-agent-core.jar
への資格証明アクセス権限およびアイデンティティ権限も付与する必要があります(「アプリケーション・レベルの資格証明マップの作成について」を参照)。
B.2.9 csf-key
OPSSアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。資格証明ストアに鍵を追加する方法の詳細は、「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」を参照してください。
B.2.12 ignore.timestamp.in.response
サービスからレスポンスを受信したときにSOAPセキュリティ・ヘッダー内のタイムスタンプを無視するために、クライアントが使用するプロパティ。デフォルト動作では、タイムスタンプは無視されません(このプロパティのデフォルト値はfalse
)。true
に設定されている場合、レスポンス・メッセージ内にタイムスタンプは必要ありません。タイムスタンプがある場合は、無視されます。
タイムスタンプは、リプレイ攻撃を防止するために必要です。そのため、相互運用性の問題を解決する場合を除いて、通常は、このプロパティをtrue
に設定することはお薦めできません。
B.2.13 include-timestamp
タイムスタンプを検証し、WS-Securityヘッダー要素のタイムスタンプで応答します。
このデフォルト値はfalse
です。true
に設定した場合、クライアントはWS-Securityヘッダー要素のタイムスタンプを送信します。その後、サービスはタイムスタンプを検証し、WS-Securityヘッダー要素のタイムスタンプで応答し、これがクライアントによって検証されます。
B.2.14 issued.token.caching
発行されたトークンはOWSMによってキャッシュされます。STSにリクエストすると、OWSMはissued.token.lifetime
に指定されている期間に返されたトークンのトークン存続時間をリクエストします。
STSがリクエストされたissued.token.lifetime
値とは異なるトークン存続期間の値を返す場合、OWSMは返されたトークンをキャッシュするための期間として戻り値を使用します。STSが空のトークン存続時間値を返した場合、OWSMは返されたトークンをキャッシュしません。
B.2.15 issued.token.lifetime
セキュリティ・トークン・サービス(STS)から発行済トークンを取得するときにOWSMがトークンの存続時間としてリクエストする時間(ミリ秒)。この値のドメイン・デフォルト値は28800000ミリ秒(8時間)です。このデフォルト値を変更する方法については、「Fusion Middleware Controlを使用した発行済トークンの存続期間の構成」を参照してください。
B.2.17 iterations
パスワードを使用した鍵導出の反復回数。デフォルト値は1000
です。無効な反復回数(つまり、整数以外の解析できる文字列または負の値)が渡されると、警告メッセージが表示され、デフォルト値1000が使用されます。
B.2.20 keystore.enc.csf.key
復号化鍵パスワードをキーストアに格納するために使用する別名とパスワード。
「ポリシー構成のオーバーライドの概要」で説明されているように、この値を設定すると、keystore.enc.csf.key
をオーバーライドできます。
この値をオーバーライドする場合は、新しい値のキーがキーストアにあることが必要です。つまり、値をオーバーライドしても、キーをキーストアに構成する必要がなくなるわけではありません。
B.2.21 keystore.recipient.alias
ピア証明書に関連付けられているキーストア別名。実行時セキュリティは、この別名を使用して構成済のキーストアからピア証明書を抽出し、ピアへのメッセージを暗号化します。ポリシーのオーバーライドの詳細は、「ポリシー構成のオーバーライドの概要」を参照してください。
B.2.22 keystore.sig.csf.key
署名キー・パスワードをキーストアに格納するために使用する別名とパスワード。このプロパティにより、ドメイン・レベルのかわりに添付レベルで署名キーを指定できます。このキーは、saml.envelope.signature.required
フラグを使用して指定されるエンベロープ署名の生成時に使用されます。
B.2.24 on.behalf.of
オプションのプロパティ。リクエストが別のエンティティの代理かどうかを指定するには、このプロパティをオーバーライドします。このフラグのデフォルト値はfalseです。
trueに設定され、sts.auth.on.behalf.of.csf.key
が構成されている場合、これが優先されて、CSFキーを使用して確立されたアイデンティティがonBehalfOf
トークンで送信されます。sts.auth.on.behalf.of.username.only
プロパティもtrueに設定すると、CSFキー内のアイデンティティのパスワード部分は、onBehalfOf
トークンで送信されることはなくなります。
それ以外の場合、サブジェクトがすでに確立されていれば、サブジェクトのユーザー名がonBehalfOf
トークンとして送信されます。
sts.auth.on.behalf.of.csf.key
が設定されておらず、サブジェクトも存在しない場合、on.behalf.of
は、他のエンティティではなくリクエスタのトークン交換として処理されます。リクエスト内のonBehalfOf
要素には含まれません。
B.2.25 policy.reference.uri
クライアントがSTSと通信する際に使用するクライアント・ポリシーURI。WSDLでの識別に従い、選択するポリシーはSTSの認証要件に応じて異なります。
場合によっては、「すべてのクライアント・ポリシーを表示」または「互換性のあるクライアント・ポリシーを表示」を選択して、ポリシーのリストをフィルタリングできます。「互換性のあるクライアント・ポリシーを表示」を選択した場合、「ポートURI」で指定したポートと互換性のあるポリシーのみが表示されます。
B.2.26 port.endpoint
STS Webサービスのエンドポイント。WSDL 2.0 STSの場合、target-namespace#wsdl.endpoint(service-name/port-name)
の形式で指定されます。たとえば、http://samples.otn.com.LoanFlow#wsdl.endpoint(LoanFlowService/LoanFlowPort)
と指定します。WSDL 1.1 STSの場合、targetnamespace#wsdl11.endpoint(servicename/portname)
という形式で指定します。たとえば、http://samples.otn.com.LoanFlow#wsdl11.endpoint(LoanFlowService/LoanFlowPort)
と指定します。
B.2.28 propagate.identity.context
アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝播し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。
B.2.30 reference.priority
注意:
setWSMPolicySetOverride
コマンドを使用してスコープのないオーバーライドとして定義されている場合、このプロパティは有効ではありません。詳細は、『インフラストラクチャ・コンポーネントのためのWLSTコマンド・リファレンス』のsetWMSPolicySetOverrideに関する項を参照してください。
ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。
reference.priorityには、(-231)から(231 - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。
詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。
B.2.31 remote-user
ユーザーをアサートし、Webgate/OAMの保護されたリソースのサブジェクトを作成するオプションのプロパティ。デフォルト値はOAM_REMOTE_USER
です。値がNONE
に設定されると、リモート・ユーザー・ヘッダーのサポートが無効化されます。リクエストに他のセキュリティ・ヘッダーとともにOAM_REMOTE_USER
が存在する場合、OAM_REMOTE_USER
ヘッダーに最高優先度が付与されます。
B.2.32 resource.mapping.model
そのまま使用できる様々なマッピング・モデルを切り替えるオプションのプロパティ。デフォルト値は、operation_as_action
です。指定可能なその他の値として、operation_as_resource_hierarchy
およびlookup_action_fixed_execute_action_as_operation
があります。
B.2.35 rm.encrypt.body
Webサービス・クライアントにのみ適用。これを設定すると、createSequence()やterminateSequence()などのプロトコル・リクエストの本体が暗号化されます。デフォルトで、WS-RMプロトコル・メッセージは暗号化されません。
プロトコル・メッセージのレスポンス・メッセージ本文は、リクエスト・メッセージ本文に依存します。クライアントからのリクエスト・メッセージがプロトコル・メッセージに対して暗号化されている場合、Webサービスは暗号化されたレスポンスを送信します。逆についても同様です。
B.2.39 saml.audience.uri
saml.audience.uri構成プロパティは、リライイング・パーティをカンマ区切りのURIで表します。
このフィールドでは次のワイルドカードを使用できます。
-
任意の場所の
*
。 -
URI末尾の
/*
。 -
URI末尾の
.*
。 -
サービスURLのベースURL。
B.2.40 saml.envelope.signature.required
Bearerトークンがドメインの署名鍵を使用して署名されるかどうかを指定するフラグ。ドメインの署名鍵は、keystore.sig.csf.key
を使用して構成されるプライベートの署名鍵でオーバーライドできます。
Bearerトークンを未署名にするには、(クライアントおよびサービス・ポリシーの両方で)このフラグをfalseに設定します。
B.2.43 sc.token.lifetime
ミリ秒単位でのセキュア通信トークンの存続時間。通信セッションの存続期間中は、このセキュリティ・コンテキストがクライアントとWebサービスによって共有されます。この時間が経過すると、SCTは時間切れとなります。
B.2.45 subject.precedence
認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。
subject.precedence
がtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトからのみ取得されます。同様に、subject.precedence
がfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティからのみ取得されます。
B.2.46 sts.auth.caller.principal.name
ktpassコマンドを使用して生成されたクライアントのプリンシパル名であり、kerberosトークンの生成先のユーザー名にマップされます。<username>@<REALM NAME>
の形式で指定します。
B.2.48 sts.auth.on.behalf.of.csf.key
オプションのプロパティ。代理エンティティの構成で使用します。存在する場合、サブジェクト(存在する場合)より優先されます。代理エンティティについては、「on.behalf.of」を参照してください。
B.2.49 sts.auth.on.behalf.of.username.only
オプションのプロパティ。sts.auth.on.behalf.of.csf.key
が指定されている場合の代理エンティティの構成に使用します。代理エンティティについては、「on.behalf.of」を参照してください。
B.2.50 sts.auth.service.principal.name
保護する必要があるWebサービスのプリンシパル名。<host>/<machine name>@<REALM NAME>
の形式で指定します。たとえば、HTTP/mymachine@MYREALM.COM
と指定します。
B.2.51 sts.auth.user.csf.key
STSに対する認証用のユーザー名/パスワードを構成する場合に使用します。
oracle/sts_trust_config_templateクライアント・アサーション・テンプレート内のpolicy-reference-uri
が、ユーザー名ベースのポリシーを指している場合は、sts.auth.user.csf.key
プロパティを構成して、STSに対する認証用のユーザー名/パスワードを指定します。
B.2.52 sts.auth.x509.csf.key
STSに対する認証用のX509証明書を構成する場合に使用します。
oracle/sts_trust_config_templateクライアント・アサーション・テンプレート内のpolicy-reference-uriが、x509ベースのポリシーを指している場合は、sts.auth.x509.csf.key
プロパティを構成して、STSに対する認証用のX509証明書を指定します。
B.2.53 sts.in.order
Webサービスが信頼するRP-STSから、Webクライアントが認証に使用するIP-STSまでのトラスト・チェーンにSTSを指定するために、Web Services Federationのケースで使用します。
接続先のSTS URIのカンマ区切りのリストに、sts.in.order
の値を設定します。このとき、RP-STSで開始して、IP-STSで終わるようにします。
このプロパティの使用の詳細は、「Web Services Federationの構成について」を参照してください。
B.2.55 user.csf.key
OPSSアイデンティティ・ストアのユーザー名およびパスワードにマップするユーザー資格証明ストア・キー。資格証明ストアを構成するための鍵およびユーザー資格証明の追加を参照してください。
basic.credentials
のデフォルト値には、ユーザーのパスワード詳細が含まれます。暗号化または署名で鍵を導出するには、パスワード詳細が必要です。サービスは、各ユーザーのユーザーcsfキーを作成します。
ユーザーcsfキーのユーザー名がリクエスト・ヘッダーのユーザー名と異なる場合、認証に失敗します。
パスワードが異なる場合、署名の検証または復号化に失敗します。
B.2.57 user.attributes
SAMLトークンのプリンシパルに関連するユーザー属性。
含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2
のようにします。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。OWSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をSAMLアサーションに含めます。
サブジェクトが有効であり、subject.precedence
がtrueに設定されている必要があります。
クライアント・ポリシーは、user.attributes
を使用して指定された属性の値を、構成済のアイデンティティ・ストアから読み取ります。すべての有効な属性名と値を使用して、SAML属性文が作成されます。
user.attributes
プロパティは1つのアイデンティティ・ストアに対してサポートされるものであり、リスト内の先頭のアイデンティティ・ストアのみが使用されます。このため、ユーザーは、構成済WebLogic Serverの認証プロバイダで使用されるアイデンティティ・ストアに存在し、有効になっている必要があります。認証プロバイダは、「WebLogic Serverでサポートされる認証プロバイダ」で説明されています。
必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合、検索する追加のアイデンティティ・ストアを指定できます。詳細は、「アサーションへのユーザー属性の組込み」を参照してください。
B.2.58 user.roles.include
この構成プロパティは、ユーザー・ロールを指定します。
trueに設定すると、OWSMでは、ユーザー・リポジトリ(LDAP)からユーザーのロールが読み取られ、それらのロールがSAML属性として伝播されます。