3 Oracle Containers for Java EE (OC4J) 10gのセキュリティ環境との相互運用性
この章の内容は次のとおりです。
3.1 OC4J 10gのセキュリティ環境との相互運用性の概要
OC4J 10gでの相互運用性シナリオおよびセキュリティ環境構成の詳細は、次のトピックを参照してください。
3.1.1 OC4J 10gのセキュリティ環境
OC4J 10gでは、Application Server Control、JDeveloperおよびディスクリプタ・ファイルを使用してセキュリティ環境を構成します。
-
Application Server Controlを使用したWebサービスの構成方法の詳細は、
http://download.oracle.com/docs/cd/B31017_01/web.1013/b28975/toc.htm
にあるOracle Application ServerアドバンストWebサービス開発者ガイドを参照してください。 -
JDeveloperを使用したクライアント側アプリケーションの開発および構成方法の詳細は、『Oracle JDeveloperによるアプリケーションの開発』を参照してください。
-
XMLベースのデプロイメント・ディスクリプタ・ファイルの変更方法の詳細は、
http://download.oracle.com/docs/cd/B31017_01/web.1013/b28976/toc.htm
の『Oracle Application Server Web Services セキュリティ・ガイド 10g (10.1.3.1.0)』を参照してください。
3.1.2 OC4J 10cのOWSM 12cポリシー
OWSM 12cでは、ポリシーをWebサービス・エンドポイントにアタッチします。ポリシーはドメインレベルで定義された1つ以上のアサーションで構成されています。アサーションはセキュリティ要件の定義です。そのまま使用できる事前定義のポリシーとアサーションのセットが用意されています。
次の各項では、OWSM事前定義済ポリシーについての詳細を説明しています。
-
OWSM事前定義済ポリシーについては、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の事前定義済ポリシーに関する説明を参照してください。
-
OWSM 12cポリシーの構成およびアタッチについては、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービスの保護に関する説明およびポリシーのアタッチに関する説明を参照してください。
3.1.3 OC4J 10cの相互運用性シナリオ
Oracle OC4J 10cとOWSM 12cとの間の相互運用性に関する様々なシナリオの詳細は、このトピックを参照してください。
表3-1および表3-2は、セキュリティ要件(認証、メッセージ保護およびトランスポート)に基づいたOC4J 10gの最も一般的な相互運用性シナリオをまとめたものです。
注意:
以降のシナリオでは、v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。
表3-1 OWSM 12cサービス・ポリシーとOracle OC4J 10gクライアント・ポリシーの相互運用性
アイデンティティ・トークン | WS-Securityバージョン | メッセージ保護 | トランスポート・セキュリティ | サービス・ポリシー | クライアント・ポリシー |
---|---|---|---|---|---|
匿名 |
1.0 |
はい |
いいえ |
|
|
ユーザー名 |
1.0 |
はい |
いいえ |
|
|
SAML |
1.0 |
はい |
いいえ |
|
|
相互認証 |
1.0 |
はい |
いいえ |
|
|
SSL経由のユーザー名 |
1.0および1.1 |
いいえ |
はい |
または
|
|
SSL経由のSAML |
1.0および1.1 |
いいえ |
はい |
または
|
表3-2 Oracle OC4J 10gサービス・ポリシーとOWSM 12cクライアント・ポリシーの相互運用性
アイデンティティ・トークン | WS-Securityバージョン | メッセージ保護 | トランスポート・セキュリティ | サービス・ポリシー | クライアント・ポリシー |
---|---|---|---|---|---|
匿名 |
1.0 |
はい |
いいえ |
|
|
ユーザー名 |
1.0 |
はい |
いいえ |
|
|
SAML |
1.0 |
はい |
いいえ |
|
|
相互認証 |
1.0 |
はい |
いいえ |
|
|
SSL経由のユーザー名 |
1.0および1.1 |
いいえ |
はい |
|
|
SSL経由のSAML |
1.0および1.1 |
いいえ |
はい |
|
3.2 OC4J 10gクライアント向けのメッセージ保護付き匿名認証(WS-Security 1.0)
メッセージ保護付き匿名認証アイデンティティ・トークンは、WS-Security 1.0標準に準拠します。このアイデンティティ・トークンは、OWSM 12c WebサービスとOC4J 10gクライアントとの間の相互運用性およびOC4J 10g WebサービスとOWSM 12cクライアントとの間の相互運用性を実現するために実装されます。
3.2.1 OWSM 12c WebサービスおよびOC4J 10gクライアントの構成(匿名認証)
WS-Security 1.0標準に準拠するメッセージ保護付き匿名認証を実装するには、次の手順を実行してOWSM 12c WebサービスおよびOC4J 10gクライアントを構成します。
3.2.1.1 OC4J 10g クライアントのためのOWSM 12c Webサービスの構成(匿名認証)
次のステップを実行してOWSM 12c Webサービスを構成します。
-
Webサービス・アプリケーションを作成します。
-
oracle/wss10_message_protection_service_policy
ポリシーをWebサービスのエントリ・ポイントにアタッチします。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
3.2.1.2 OC4J 10gクライアントの構成(匿名認証)
次のステップを実行して、OC4J 10gクライアントを構成します。
-
Oracle JDeveloperを使用して、Webサービスのクライアント・プロキシを作成します。
詳細は、『Oracle JDeveloperによるアプリケーションの開発』のWebサービスの開発と保護に関する項を参照してください。
-
Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。
-
プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。
-
「認証なし」を選択します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。
-
「インバウンド署名リクエスト本体の検証」を選択します。
-
「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。
-
「有効期限」(秒)を入力します。
-
「許容する署名アルゴリズム」の下のすべてのオプションを選択します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド整合性」をクリックし、次のオプションを設定します。
-
「アウトバウンド・メッセージの署名」を選択します。
-
「アウトバウンド・メッセージにタイムスタンプを追加」および「タイムスタンプに必要な作成時間」を選択します。
-
「有効期限」(秒)を入力します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。
-
「インバウンド・メッセージ・コンテンツの復号化」を選択します。
-
「許容する署名アルゴリズム」の下のすべてのオプションを選択します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。
-
「アウトバウンド・メッセージの暗号化」を選択します。
-
「アルゴリズム」を「AES-128」に設定します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「キーストア・オプション」をクリックし、必要に応じてキーストア・プロパティを構成します。
注意:
v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。
-
「OK」をクリックし、ウィザードを閉じます。
-
「構造」ペインで<appname>Binding_Stub.xmlをクリックし、「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。
-
クライアントからWebサービス・メソッドを起動します。
3.2.1.3 <appname>Binding_Stub.xmlファイルの編集(匿名認証)
次のステップを実行して<appname>Binding_Stub.xmlファイルを編集します。
-
キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。
-
インバウンド署名で、次のように指定します。
<inbound><verify-signature><tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity- utility-1.0.xsd" local-part="Timestamp"/> ...
-
アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。
<outbound>/<signature>/<tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ...
-
アウトバウンド暗号化で、次のようにキー・トランスポート・アルゴリズムを指定します。
<outbound><encrypt> <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> ...
3.2.2 OC4J 10g WebサービスおよびOWSM 12cクライアントの構成(匿名認証)
WS-Security 1.0標準に準拠するメッセージ保護付き匿名認証を実装するには、次の手順を実行してOC4J 10g WebサービスおよびOWSM 12cクライアントを構成します。
3.2.2.1 OC4J 10g Webサービスの構成(匿名認証)
次のステップを実行して、OC4J 10g Webサービスを構成します。
-
Webサービス・アプリケーションを作成してデプロイします。
-
Application Server Controlを使用して、デプロイしたWebサービスを保護します。
-
「認証」タブをクリックし、いずれのオプションも選択されていなことを確認します。
-
「インバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。
-
「メッセージ本文に署名が必要」を選択します。
-
「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。
-
「有効期限」(秒)を入力します。
-
-
「アウトバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。
-
「メッセージのbody要素への署名」を選択します。
-
「署名メソッド」を「RSA-SHA1」に設定します。
-
「タイムスタンプの追加」および「タイムスタンプ中に作成時間が必要」を選択します。
-
「有効期限」(秒)を入力します。
-
-
「インバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。
-
「メッセージ本文に暗号化が必要」を選択します。
-
-
「アウトバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。
-
「メッセージのbody要素の暗号化」を選択します。
-
「暗号化メソッド」を「AES-128」に設定します。
-
公開キーを暗号化に設定します。
-
-
キーストア・プロパティおよびアイデンティティ証明書を構成します。
注意:
v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。
-
表3-8「wsmgmt.xmlファイルの編集」の説明に従って、wsmgmt.xmlデプロイメント・ディスクリプタ・ファイルを編集します。
3.2.2.2 OC4J 10g WebサービスのためのOWSM 12cクライアントの構成(匿名認証)
次のステップを実行してOWSM 12cクライアントを構成します。
-
OC4J 10g Webサービスのクライアント・プロキシを作成します。
-
oracle/wss10_message_protection_client_policy
ポリシーをアタッチします。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
ポリシーを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_username_token_with_message_protection_client_policyに関する説明を参照してください
-
クライアントからWebサービス・メソッドを起動します。
3.2.2.3 OC4J 10gのためのwsmgmt.xmlファイルの編集(匿名認証)
次のステップに従って、wsmgmt.xmlファイルを編集します。
-
ORACLE_HOME
/j2ee/
oc4j_instance
/config
の下でwsmgmt.xml
ファイルを探します。ヒント:
wsmgmt.xml
ファイルはインスタンス・レベルの構成ファイルで、OC4JインスタンスにデプロイされたWebサービスのセキュリティ構成全体を保持しています。詳細は、Oracle® Application ServerアドバンストWebサービス開発者ガイドのWebサービス管理スキーマの理解に関する項を参照してください
-
インバウンド署名で、次のように指定します。
<inbound><verify-signature><tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ...
-
アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。
<outbound>/<signature>/<tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ...
-
アウトバウンド暗号化で、次のようにキー・トランスポート・アルゴリズムを指定します。
<outbound><encrypt> <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> ...
3.3 OC4J 10gクライアント向けのメッセージ保護付きユーザー名トークン(WS-Security 1.0)
メッセージ保護付きユーザー名トークン・アイデンティティ・トークンは、WS-Security 1.0標準に準拠します。このアイデンティティ・トークンは、OWSM 12c WebサービスとOC4J 10gクライアントとの間の相互運用性およびOC4J 10g WebサービスとOWSM 12cクライアントとの間の相互運用性を実現するために実装されます。
3.3.1 OWSM 12c WebサービスおよびOC4J 10gクライアントの構成(メッセージ保護付きユーザー名トークン)
WS-Security 1.0標準に準拠するメッセージ保護付きユーザー名トークンを実装するには、次の手順を実行してOWSM 12c WebサービスおよびOC4J 10gクライアントを構成します。
3.3.1.1 OWSM 12c Webサービスの構成(メッセージ保護付きユーザー名トークン)
次のステップを実行してOWSM 12c Webサービスを構成します。
-
OWSM 12c Webサービスを作成します。
-
oracle/wss10_username_token_with_message_protection_service_policy
ポリシーをWebサービスにアタッチします。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
3.3.1.2 OC4J 10gクライアントの構成(メッセージ保護付きユーザー名トークン)
次のステップを実行して、OC4J 10gクライアントを構成します。
-
Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。
詳細は、『Oracle JDeveloperによるアプリケーションの開発』のWebサービスの開発と保護に関する項を参照してください。
-
クライアント・プロキシ内のユーザー名およびパスワードを次のように指定します。
port.setUsername(<username>) port.setPassword(<password>)
-
Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。
-
プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。
-
「認証にユーザー名を使用」を選択します。
-
「Nonceを追加」および「作成時間を追加」を選択解除します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。
-
「インバウンド署名リクエスト本体の検証」を選択します。
-
「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。
-
「有効期限」(秒)を入力します。
-
「許容する署名アルゴリズム」の下のすべてのオプションを選択します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド整合性」をクリックし、次のオプションを設定します。
-
「アウトバウンド・メッセージの署名」を選択します。
-
「アウトバウンド・メッセージにタイムスタンプを追加」および「タイムスタンプに必要な作成時間」を選択します。
-
「有効期限」(秒)を入力します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。
-
「インバウンド・メッセージ・コンテンツの復号化」を選択します。
-
「許容する署名アルゴリズム」の下のすべてのオプションを選択します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。
-
「アウトバウンド・メッセージの暗号化」を選択します。
-
「アルゴリズム」を「AES-128」に設定します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「キーストア・オプション」をクリックし、必要に応じてキーストア・プロパティを構成します。
ヒント:
v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。
-
「OK」をクリックし、ウィザードを閉じます。
-
「構造」ペインで<appname>Binding_Stub.xmlをクリックし、「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。
-
Webサービスを起動します。
3.3.1.3 <appname>Binding_Stub.xmlファイルの編集(メッセージ保護付きユーザー名トークン)
次のステップを実行して<appname>Binding_Stub.xmlファイルを編集します。
-
キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。
-
インバウンド署名で、次のように指定します。
<inbound><verify-signature><tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp" /> ...
-
アウトバウンド署名で、次のようにタイムスタンプおよびUsernameTokenに署名が必要であることを指定します。
<outbound>/<signature>/<tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity- utility-1.0.xsd" local-part="Timestamp"/> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -secext-1.0.xsd" local-part="UsernameToken"/> ...
-
アウトバウンド暗号化で、次のようにキー・トランスポート・アルゴリズムを指定します。
<outbound><encrypt> <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> ...
-
アウトバウンド暗号化で、次のようにUsernameTokenに暗号化が必要であることを指定します。
<outbound>/<encrypt>/<tbe-elements> <tbe-element local-part="UsernameToken" name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -secext-1.0.xsd" mode="CONTENT"/> ...
3.3.2 OC4J 10g WebサービスおよびOWSM 12cクライアントの構成(メッセージ保護付きユーザー名トークン)
WS-Security 1.0標準に準拠するメッセージ保護付きユーザー名トークンを実装するには、次の手順を実行してOC4J 10g WebサービスおよびOWSM 12cクライアントを構成します。
3.3.2.1 OC4J 10g Webサービスの構成(メッセージ保護付きユーザー名トークン)
次のステップを実行して、OC4J 10g Webサービスを構成します。
-
JAX-RPC Webサービスを作成してOC4Jにデプロイします。
-
Application Server Controlを使用して、デプロイしたWebサービスを保護します。
-
「認証」タブをクリックし、次のオプションを設定します。
-
「ユーザー名/パスワード認証の使用」を選択します。
-
「パスワード」を「プレーン・テキスト」に設定します。
-
-
「インバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。
-
「メッセージ本文に署名が必要」を選択します。
-
「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。
-
「有効期限」(秒)を入力します。
-
-
「アウトバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。
-
「メッセージのbody要素への署名」を選択します。
-
「署名メソッド」を「RSA-SHA1」に設定します。
-
「タイムスタンプの追加」および「タイムスタンプ中に作成時間が必要」を選択します。
-
「有効期限」(秒)を入力します。
-
-
「インバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。
-
「メッセージ本文に暗号化が必要」を選択します。
-
-
「アウトバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。
-
「メッセージのbody要素の暗号化」を選択します。
-
「暗号化メソッド」を「AES-128」に設定します。
-
公開キーを暗号化に設定します。
-
-
キーストア・プロパティおよびアイデンティティ証明書を構成します。
ヒント:
v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。
-
表3-14「wsmgmt.xmlファイルの編集」の説明に従って、wsmgmt.xmlデプロイメント・ディスクリプタ・ファイルを編集します。
3.3.2.2 OC4J 10gのためのOWSM 12cクライアントの構成(メッセージ保護付きユーザー名トークン)
次のステップを実行してOWSM 12cクライアントを構成します。
-
OC4J 10g Webサービスのクライアント・プロキシを作成します。
-
oracle/wss10_username_token_with_message_protection_client_policy
ポリシーをアタッチします。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
ポリシーを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_username_token_with_message_protection_client_policyに関する説明を参照してください
-
クライアントからWebサービス・メソッドを起動します。
3.3.2.3 wsmgmt.xmlファイルの構成(メッセージ保護付きユーザー名トークン)
次のステップに従って、wsmgmt.xmlファイルを編集します。
-
ORACLE_HOME
/j2ee/
oc4j_instance
/config/
の下でwsmgmt.xml
ファイルを検索します。 -
インバウンド署名で、次のように指定します。
<inbound><verify-signature><tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ...
-
アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。
<outbound>/<signature>/<tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ...
-
アウトバウンド暗号化で、次のようにUsernameTokenに暗号化が必要であることを指定します。
<outbound>/<encrypt>/<tbe-elements> <tbe-element local-part="UsernameToken" name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -secext-1.0.xsd" mode="CONTENT"/> ...
3.4 OC4J 10gクライアント向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.0)
メッセージ保護付きSAMLトークン(送信者保証)アイデンティティ・トークンは、WS-Security 1.0標準に準拠します。このアイデンティティ・トークンは、OWSM 12c WebサービスとOC4J 10gクライアントとの間の相互運用性およびOC4J 10g WebサービスとOWSM 12cクライアントとの間の相互運用性を実現するために実装されます。
3.4.1 OWSM 12c WebサービスおよびOC4J 10gクライアントの構成(メッセージ保護付きSAMLトークン)
WS-Security 1.0標準に準拠するメッセージ保護付きSAMLトークン送信者保証を実装するには、次の手順を実行してOWSM 12c WebサービスおよびOC4J 10gクライアントを構成します。
3.4.1.1 OWSM 12c Webサービスの構成(メッセージ保護付きSAMLトークン)
次のステップを実行してOWSM 12c Webサービスを構成します。
-
OWSM 12c Webサービスを作成します。
-
oracle/wss10_saml_token__with_message_protection_service_policy
ポリシーをWebサービスにアタッチします。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
3.4.1.2 OC4J 10gクライアントの構成(メッセージ保護付きSAMLトークン)
次のステップを実行して、OC4J 10gクライアントを構成します。
-
Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。
詳細は、『Oracle JDeveloperによるアプリケーションの開発』のWebサービスの開発と保護に関する項を参照してください。
-
Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。
-
プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。
-
「SAMLトークンの使用」を選択します。
-
「SAML詳細」をクリックします。
-
「送信者保証確認」および「署名の使用」を選択します。
-
「デフォルト・サブジェクト名」として、伝播する必要のあるユーザー名を入力します。
-
「デフォルト発行者名」としてwww.oracle.comを入力します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。
-
「インバウンド署名リクエスト本体の検証」を選択します。
-
「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。
-
「有効期限」(秒)を入力します。
-
「許容する署名アルゴリズム」の下のすべてのオプションを選択します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド整合性」をクリックし、次のオプションを設定します。
-
「アウトバウンド・メッセージの署名」を選択します。
-
「アウトバウンド・メッセージにタイムスタンプを追加」および「タイムスタンプに必要な作成時間」を選択します。
-
「有効期限」(秒)を入力します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。
-
「インバウンド・メッセージ・コンテンツの復号化」を選択します。
-
「許容する署名アルゴリズム」の下のすべてのオプションを選択します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。
-
「アウトバウンド・メッセージの暗号化」を選択します。
-
「アルゴリズム」を「AES-128」に設定します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「キーストア・オプション」をクリックし、必要に応じてキーストア・プロパティを構成します。
注意:
v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。
-
「OK」をクリックし、ウィザードを閉じます。
-
「構造」ペインで<appname>Binding_Stub.xmlをクリックし、「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。
-
Webサービス・メソッドを起動します。
3.4.1.3 <appname>Binding_Stub.xmlファイルの編集(メッセージ保護付きSAMLトークン)
次のステップを実行して<appname>Binding_Stub.xmlファイルを編集します。
-
キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。
-
インバウンド署名で、次のように指定します。
<inbound><verify-signature><tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp" /> ...
-
アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。
<outbound>/<signature>/<tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ...
-
アウトバウンド暗号化で、次のようにキー・トランスポート・アルゴリズムを指定します。
<outbound><encrypt> <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> ...
3.4.2 OC4J 10g WebサービスおよびOWSM 12cクライアントの構成(メッセージ保護付きSAMLトークン)
WS-Security 1.0標準に準拠するメッセージ保護付きSAMLトークン送信者保証を実装するには、次の手順を実行してOC4J 10g WebサービスおよびOWSM 12cクライアントを構成します。
3.4.2.1 OC4J 10g Webサービスの構成(メッセージ保護付きSAMLトークン)
次のステップを実行して、OC4J 10g Webサービスを構成します。
-
JAX-RPC Webサービスを作成してOC4Jにデプロイします。
-
Application Server Controlを使用して、デプロイしたWebサービスを保護します。
-
ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。
-
「SAML認証の使用」を選択します。
-
「送信者保証の許容」を選択します。
-
「署名の検証」を選択解除します。
-
-
ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。
-
「メッセージ本文に署名が必要」を選択します。
-
「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。
-
「有効期限」(秒)を入力します。
-
-
ナビゲーション・バーの「アウトバウンド整合性」をクリックし、次のオプションを設定します。
-
「メッセージのbody要素への署名」を選択します。
-
「署名メソッド」を「RSA-SHA1」に設定します。
-
「タイムスタンプの追加」および「タイムスタンプ中に作成時間が必要」を選択します。
-
「有効期限」(秒)を入力します。
-
-
ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。
-
「メッセージ本文に暗号化が必要」を選択解除します。
-
-
ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。
-
「メッセージのbody要素の暗号化」を選択します。
-
「暗号化メソッド」を「AES-128」に設定します。
-
公開キーを暗号化に設定します。
-
-
キーストア・プロパティおよびアイデンティティ証明書を構成します。
注意:
v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。
-
表3-20「wsmgmt.xmlファイルの編集」の説明に従って、
wsmgmt.xml
デプロイメント・ディスクリプタ・ファイルを編集します。 -
Webサービスを起動します。
3.4.2.2 OWSM 12cクライアントの構成(メッセージ保護付きSAMLトークン)
次のステップを実行してOWSM 12cクライアントを構成します。
-
OC4J 10g Webサービスのクライアント・プロキシを作成します。
-
oracle/wss10_saml_token_with_message_protection_client_policy
ポリシーをアタッチします。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
ポリシーを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_saml_token_with_message_protection_client_policyに関する説明を参照してください
-
クライアントからWebサービス・メソッドを起動します。
3.4.2.3 wsmgmt.xmlファイルの編集(メッセージ保護付きSAMLトークン)
次のステップに従って、wsmgmt.xmlファイルを編集します。
-
ORACLE_HOME
/j2ee/
oc4j_instance
/config
でwsmgmt.xml
ファイルを検索します。 -
インバウンド署名で、次のように指定します。
<inbound><verify-signature><tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ...
-
アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。
<outbound>/<signature>/<tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ...
-
アウトバウンド暗号化で、次のようにUsernameTokenに暗号化が必要であることを指定します。
<outbound>/<encrypt>/<tbe-elements> <tbe-element local-part="UsernameToken" name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -secext-1.0.xsd" mode="CONTENT"/> ...
3.5 OC4J 10gクライアント向けのメッセージ保護付き相互認証(WS-Security 1.0)
メッセージ保護付き相互認証アイデンティティ・トークンは、WS-Security 1.0標準に準拠します。このアイデンティティ・トークンは、OWSM 12c WebサービスとOC4J 10gクライアントとの間の相互運用性およびOC4J 10g WebサービスとOWSM 12cクライアントとの間の相互運用性を実現するために実装されます。
3.5.1 OWSM 12c WebサービスおよびOC4J 10g クライアントの構成(メッセージ保護付き相互認証)
WS-Security 1.0標準に準拠するメッセージ保護付き相互認証を実装するには、次の手順を実行してOWSM 12c WebサービスおよびOC4J 10gクライアントを構成します。
3.5.1.1 OWSM 12c Webサービスの構成(メッセージ保護付き相互認証)
次のステップを実行してOWSM 12c Webサービスを構成します。
-
Webサービス・アプリケーションを作成します。
-
oracle/wss10_x509_token_with_message_protection_service_policy
ポリシーをWebサービスにアタッチします。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
3.5.1.2 OC4J 10gクライアントの構成(メッセージ保護付き相互認証)
次のステップを実行して、OC4J 10gクライアントを構成します。
-
Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。
詳細は、『Oracle JDeveloperによるアプリケーションの開発』のWebサービスの開発と保護に関する項を参照してください。
-
Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。
-
プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。
-
「認証にX509を使用」を選択します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。
-
「インバウンド署名リクエスト本体の検証」を選択します。
-
「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。
-
「有効期限」(秒)を入力します。
-
「許容する署名アルゴリズム」の下のすべてのオプションを選択します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド整合性」をクリックし、次のオプションを設定します。
-
「アウトバウンド・メッセージの署名」を選択します。
-
「アウトバウンド・メッセージにタイムスタンプを追加」および「タイムスタンプに必要な作成時間」を選択します。
-
「有効期限」(秒)を入力します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。
-
「インバウンド・メッセージ・コンテンツの復号化」を選択します。
-
「許容する署名アルゴリズム」の下のすべてのオプションを選択します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。
-
「アウトバウンド・メッセージの暗号化」を選択します。
-
「アルゴリズム」を「AES-128」に設定します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「キーストア・オプション」をクリックし、必要に応じてキーストア・プロパティを構成します。
注意:
v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。
-
「OK」をクリックし、ウィザードを閉じます。
-
「構造」ペインで<appname>Binding_Stub.xmlをクリックし、「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。
-
Webサービスを起動します。
3.5.1.3 <appname>Binding_Stub.xmlファイルの編集(メッセージ保護付き相互認証)
次のステップを実行して<appname>Binding_Stub.xmlファイルを編集します。
-
キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。
-
インバウンド署名で、次のように指定します。
<inbound><verify-signature><tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp" /> ...
-
アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。
<outbound>/<signature>/<tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ...
-
アウトバウンド暗号化で、次のようにキー・トランスポート・アルゴリズムを指定します。
<outbound><encrypt> <keytransport-method>RSA-OAEP-MGF1P</keytransport-method> ...
3.5.2 OC4J 10g WebサービスおよびOWSM 12cクライアントの構成(メッセージ保護付き相互認証)
WS-Security 1.0標準に準拠するメッセージ保護付き相互認証を実装するには、次の手順を実行してOC4J 10g WebサービスおよびOWSM 12cクライアントを構成します。
3.5.2.1 OC4J 10g Webサービスの構成(メッセージ保護付き相互認証)
次のステップを実行して、OC4J 10g Webサービスを構成します。
-
JAX-RPC Webサービスを作成してOC4Jにデプロイします。
-
Application Server Controlを使用して、デプロイしたWebサービスを保護します。
-
「認証」タブをクリックし、次のオプションを設定します。
-
「X509証明書認証の使用」を選択します。
-
-
「インバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。
-
「メッセージ本文に署名が必要」を選択します。
-
「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。
-
「有効期限」(秒)を入力します。
-
-
「アウトバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。
-
「メッセージのbody要素への署名」を選択します。
-
「署名メソッド」を「RSA-SHA1」に設定します。
-
「タイムスタンプの追加」および「タイムスタンプ中に作成時間が必要」を選択します。
-
「有効期限」(秒)を入力します。
-
-
「インバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。
-
「メッセージ本文に暗号化が必要」を選択します。
-
-
「アウトバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。
-
「メッセージのbody要素の暗号化」を選択します。
-
「暗号化メソッド」を「AES-128」に設定します。
-
公開キーを暗号化に設定します。
-
-
キーストア・プロパティおよびアイデンティティ証明書を構成します。
注意:
v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。
-
表3-26「wsmgmt.xmlファイルの編集」の説明に従って、
wsmgmt.xml
デプロイメント・ディスクリプタ・ファイルを編集します。
3.5.2.2 OWSM 12cクライアントの構成(メッセージ保護付き相互認証)
次のステップを実行してOWSM 12cクライアントを構成します。
-
OC4J 10g Webサービスへのクライアント・プロキシを作成します。
-
oracle/wss10_x509_token_with_message_protection_client_policy
ポリシーをアタッチします。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
ポリシーを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_x509_token_with_message_protection_client_policyに関する説明を参照してください
-
Webサービスを起動します。
3.5.2.3 wsmgmt.xmlファイルの編集(メッセージ保護付き相互認証)
次のステップに従って、wsmgmt.xmlファイルを編集します。
-
ORACLE_HOME
/j2ee/
oc4j_instance
/config/
の下でwsmgmt.xml
ファイルを検索します。 -
インバウンド署名で、次のように指定します。
<inbound><verify-signature><tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ...
-
アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。
<outbound>/<signature>/<tbs-elements> <tbs-element name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -utility-1.0.xsd" local-part="Timestamp"/> ...
-
アウトバウンド暗号化で、次のようにUsernameTokenに暗号化が必要であることを指定します。
<outbound>/<encrypt>/<tbe-elements> <tbe-element local-part="UsernameToken" name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity -secext-1.0.xsd" mode="CONTENT"/> ...
3.6 OC4J 10gクライアント向けのSSL経由のユーザー名トークン
SSL経由のユーザー名トークン・アイデンティティ・トークンは、WS-Security 1.0および1.1標準に準拠します。このアイデンティティ・トークンは、OWSM 12c WebサービスとOC4J 10gクライアントとの間の相互運用性およびOC4J 10g WebサービスとOWSM 12cクライアントとの間の相互運用性を実現するために実装されます。
次を参照してください。
-
WebLogic ServerでのSSLの構成の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のトランスポート・レベルのセキュリティ(SSL)の構成に関する説明を参照してください。
-
OC4JでのSSLの構成の詳細は、
http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htm
を参照してください。
3.6.1 OWSM 12c WebサービスおよびOC4J 10gクライアントの構成(SSL経由のユーザー名トークン)
SSL経由のユーザー名トークンを実装するには、次の手順を実行してOWSM 12c WebサービスおよびOC4J 10gクライアントを構成します。
3.6.1.1 OC4JクライアントのためのOWSM 12c Webサービスの構成(SSL経由のユーザー名トークン)
OWSM 12c Webサービスを構成するには、次のステップを実行します。
-
サーバーをSSL用に構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のトランスポート・レベルのセキュリティ(SSL)の構成に関する説明を参照してください
-
次のポリシーの1つをWebサービスにアタッチします。
oracle/wss_username_token_over_ssl_service_policy
oracle/wss_username_or_saml_token_over_ssl_service_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
3.6.1.2 OC4J 10gクライアントの構成(SSL経由のユーザー名トークン)
次のステップを実行して、OC4J 10gクライアントを構成します。
-
Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。
注意:
Webサービス・エンドポイントが、Oracle WebLogic ServerでHTTPSおよびSSLポートが構成されているURLを参照していることを確認してください。
詳細は、『Oracle JDeveloperによるアプリケーションの開発』のWebサービスの開発と保護に関する項を参照してください。
-
次のコードを(クライアント・プロキシ・コードの最初に)追加して、双方向SSLを初期化します。
HostnameVerifier hv = new HostnameVerifier() httpsURLConnection.setDefaultHostnameVerifier(hv); System.setProperty("javax.net.ssl.trustStore","<trust_store>"); System.setProperty("javax.net.ssl.trustStorePassword","<trust_store _password>"); System.setProperty("javax.net.ssl.keyStore","<key_store>"); System.setProperty("javax.net.ssl.keyStorePassword","<key_store_password>"); System.setProperty("javax.net.ssl.keyStoreType","JKS");
-
Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。
-
プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。
-
「認証にユーザー名を使用」を選択します。
-
「Nonceを追加」および「作成時間を追加」を選択解除します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、すべてのオプションを選択解除します。
-
プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、すべてのオプションを選択解除します。
-
プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、すべてのオプションを選択解除します。
-
プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、すべてのオプションを選択解除します。
-
プロキシ・エディタ・ナビゲーション・バーの「キーストア・オプション」をクリックし、必要に応じてキーストア・プロパティを構成します。
注意:
v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。
-
「OK」をクリックし、ウィザードを閉じます。
-
「構造」ペインで<appname>Binding_Stub.xmlをクリックし、「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。
-
Webサービスを起動します。
3.6.1.3 <appname>Binding_Stub.xmlファイルの編集(SSL経由のユーザー名トークン)
次のステップを実行して<appname>Binding_Stub.xmlファイルを編集します。
-
キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。
-
アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します(それ以外のタグはすべて削除します)。
<outbound> <signature> <add-timestamp created="true" expiry="<Expiry_Time>"/> </signature> ...
3.6.2 OC4J 10g WebサービスおよびOWSM 12cクライアントの構成(SSL経由のユーザー名トークン)
SSL経由のユーザー名トークンを実装するには、次の手順を実行してOC4J 10g WebサービスおよびOWSM 12cクライアントを構成します。
3.6.2.1 OC4J 10g Webサービスの構成(SSL経由のユーザー名トークン)
次のステップを実行して、OC4J 10g Webサービスを構成します。
-
サーバーをSSL用に構成します。
詳細は、
http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htm
を参照してください -
Application Server Controlを使用して、デプロイしたWebサービスを保護します。
-
「認証」タブをクリックし、次のオプションを設定します。
-
「ユーザー名/パスワード認証の使用」を選択します。
-
-
「インバウンド・ポリシー」ページの「完全性」タブをクリックし、すべてのオプションを選択解除します。
-
「アウトバウンド・ポリシー」ページの「完全性」タブをクリックし、すべてのオプションを選択解除します。
-
「インバウンド・ポリシー」ページの「秘匿性」タブをクリックし、すべてのオプションを選択解除します。
-
「アウトバウンド・ポリシー」ページの「秘匿性」タブをクリックし、すべてのオプションを選択解除します。
-
表3-32「wsmgmt.xmlファイルの編集」の説明に従って、
wsmgmt.xml
デプロイメント・ディスクリプタ・ファイルを編集します。
3.6.2.2 OC4J 10g WebサービスのためのOWSM 12c クライアントの構成(SSL経由のユーザー名トークン)
OWSM 12cクライアントを構成するには、次のステップを実行します。
-
clientgen
を使用して、OC4J 10g Webサービスへのクライアント・プロキシを作成します。注意:
Webサービス・エンドポイントが、Oracle WebLogic ServerでHTTPSおよびSSLポートが構成されているURLを参照していることを確認してください。
-
次のコードを(クライアント・プロキシ・コードの最初に)追加して、双方向SSLを初期化します。
HostnameVerifier hv = new HostnameVerifier() httpsURLConnection.setDefaultHostnameVerifier(hv); System.setProperty("javax.net.ssl.trustStore","<trust_store>"); System.setProperty("javax.net.ssl.trustStorePassword","<trust_store _password>"); System.setProperty("javax.net.ssl.keyStore","<key_store>"); System.setProperty("javax.net.ssl.keyStorePassword","<key_store_password>"); System.setProperty("javax.net.ssl.keyStoreType","JKS");
-
oracle/wss_username_token_over_ssl_client_policy
ポリシーをアタッチします。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
ポリシーを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss_username_token_over_ssl_client_policyに関する説明を参照してください
-
Webサービスを起動します。
3.7 OC4J 10gクライアント向けのSSL経由のSAMLトークン(送信者保証)(WS-Security 1.0)
SSL経由のSAMLトークン(送信者保証)アイデンティティ・トークンは、WS-Security 1.0標準に準拠します。このアイデンティティ・トークンは、OWSM 12c WebサービスとOC4J 10gクライアントとの間の相互運用性およびOC4J 10g WebサービスとOWSM 12cクライアントとの間の相互運用性を実現するために実装されます。
次を参照してください。
-
WebLogic ServerでのSSLの構成の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のトランスポート・レベルのセキュリティ(SSL)の構成に関する説明を参照してください。
-
OC4JでのSSLの構成の詳細は、
http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htm
を参照してください。
3.7.1 OWSM 12c WebサービスおよびOC4J 10gクライアントの構成(SSL経由のSAMLトークン送信者保証)
WS-Security 1.0標準に準拠するSSL経由のSAMLトークン(送信者保証)を実装するには、次の手順を実行してOWSM 12c WebサービスおよびOC4J 10gクライアントを構成します。
3.7.1.1 OC4J 10gクライアントのためのOWSM 12c Webサービスの構成(SSL経由のSAMLトークン送信者保証)
次のステップを実行してOWSM 12c Webサービスを構成します。
-
サーバーを双方向SSL用に構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebLogic ServerへのSSLの構成(双方向)に関する説明を参照してください。
-
次のポリシーをWebサービスにアタッチします。
oracle/wss_saml_token_over_ssl_service_policy
oracle/wss_username_or_saml_token_over_ssl_service_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
3.7.1.2 OC4J 10gクライアントの構成(SSL経由のSAMLトークン送信者保証)
次のステップを実行して、OC4J 10gクライアントを構成します。
-
サーバーを双方向SSL用に構成します。
詳細は、
http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htm
を参照してください -
Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。
注意:
Webサービス・エンドポイントが、Oracle WebLogic ServerでHTTPSおよびSSLポートが構成されているURLを参照していることを確認してください。
詳細は、『Oracle JDeveloperによるアプリケーションの開発』のWebサービスの開発と保護に関する項を参照してください。
-
次のコードを(クライアント・プロキシ・コードの最初に)追加して、双方向SSLを初期化します。
HostnameVerifier hv = new HostnameVerifier() httpsURLConnection.setDefaultHostnameVerifier(hv); System.setProperty("javax.net.ssl.trustStore","<trust_store>"); System.setProperty("javax.net.ssl.trustStorePassword","<trust_store _password>"); System.setProperty("javax.net.ssl.keyStore","<key_store>"); System.setProperty("javax.net.ssl.keyStorePassword","<key_store_password>"); System.setProperty("javax.net.ssl.keyStoreType","JKS");
-
Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。
-
プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。
-
「SAMLトークンの使用」を選択します。
-
「SAML詳細」をクリックします。
-
「送信者保証確認」を選択します。
-
「デフォルト・サブジェクト名」として有効なユーザー名を入力します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。
-
「署名されたインバウンド・メッセージ本体の検証」を選択解除します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、すべてのオプションを選択解除します。
-
プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。
-
「インバウンド・メッセージ・コンテンツの復号化」を選択解除します。
-
-
プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。
-
「アウトバウンド・メッセージの暗号化」を選択解除します。
-
-
使用するキーストアに必要な情報を指定します。
-
「OK」をクリックし、ウィザードを閉じます。
-
「構造」ペインで<appname>Binding_Stub.xmlをクリックし、「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。
-
Webサービスを起動します。
3.7.1.3 <appname>Binding_Stub.xmlファイルの編集(SSL経由のSAMLトークン送信者保証)
次のステップを実行して<appname>Binding_Stub.xmlファイルを編集します。
-
キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。
-
アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します(それ以外のタグはすべて削除します)。
<outbound> <signature> <add-timestamp created="true" expiry="<Expiry_Time>"/> </signature> ...
3.7.2 OC4J 10g WebサービスおよびOWSM 12cクライアントの構成(SSL経由のSAMLトークン送信者保証)
WS-Security 1.0標準に準拠するSSL経由のSAMLトークン(送信者保証)を実装するには、次の手順を実行してOC4J 10g WebサービスおよびOWSM 12cクライアントを構成します。
3.7.2.1 OC4J 10g Webサービスの構成(SSL経由のSAMLトークン送信者保証)
次のステップを実行して、OC4J 10g Webサービスを構成します。
-
サーバーを双方向SSL用に構成します。
詳細は、
http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htm
を参照してください -
Application Server Controlを使用して、デプロイしたWebサービスを保護します。
-
ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。
-
「SAML認証の使用」を選択します。
-
「送信者保証の許容」を選択します。
-
「署名の検証」を選択解除します。
-
-
「インバウンド・ポリシー」ページの「完全性」タブをクリックし、すべてのオプションを選択解除します。
-
「アウトバウンド・ポリシー」ページの「完全性」タブをクリックし、すべてのオプションを選択解除します。
-
「インバウンド・ポリシー」ページの「秘匿性」タブをクリックし、すべてのオプションを選択解除します。
-
「アウトバウンド・ポリシー」ページの「秘匿性」タブをクリックし、すべてのオプションを選択解除します。
-
表3-38「wsmgmt.xmlファイルの編集」の説明に従って、wsmgmt.xmlデプロイメント・ディスクリプタ・ファイルを編集します。
3.7.2.2 OWSM 12cクライアントの構成(SSL経由のSAMLトークン送信者保証)
次のステップを実行してOWSM 12cクライアントを構成します。
-
サーバーを双方向SSL用に構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebLogic ServerへのSSLの構成(双方向)に関する説明を参照してください
-
OC4J 10g Webサービスへのクライアント・プロキシを作成します。
詳細は、「Webサービス・エンドポイントが、Oracle WebLogic ServerでHTTPSおよびSSLポートが構成されているURLを参照していることを確認してください」を参照してください。
-
oracle/wss_saml_token_over_ssl_client_policy
ポリシーをアタッチします。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
ポリシーを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss_saml_token_over_ssl_client_policyに関する説明を参照してください
-
Webサービスを起動します。