1. Oracle Web Services Manager相互運用性ソリュー ション・ガイド
  2. Oracle Containers for Java EE (OC4J) 10gのセキュリティ環境との相互運用性

3 Oracle Containers for Java EE (OC4J) 10gのセキュリティ環境との相互運用性

Oracle Web Services Manager (OWSM)は、Oracle Containers for Java EE (OC4J) 10gと相互運用できます。OWSMとOracle Containers for Java EE (OC4J) 10gとの間の相互運用性を実現するため、WS-Security 1.0および1.1標準に準拠するポリシーがWebサービスにアタッチされます。

この章の内容は次のとおりです。

3.1 OC4J 10gのセキュリティ環境との相互運用性の概要

OC4J 10gでの相互運用性シナリオおよびセキュリティ環境構成の詳細は、次のトピックを参照してください。

3.1.1 OC4J 10gのセキュリティ環境

OC4J 10gでは、Application Server Control、JDeveloperおよびディスクリプタ・ファイルを使用してセキュリティ環境を構成します。

3.1.2 OC4J 10cのOWSM 12cポリシー

OWSM 12cでは、ポリシーをWebサービス・エンドポイントにアタッチします。ポリシーはドメインレベルで定義された1つ以上のアサーションで構成されています。アサーションはセキュリティ要件の定義です。そのまま使用できる事前定義のポリシーとアサーションのセットが用意されています。

次の各項では、OWSM事前定義済ポリシーについての詳細を説明しています。

3.1.3 OC4J 10cの相互運用性シナリオ

Oracle OC4J 10cとOWSM 12cとの間の相互運用性に関する様々なシナリオの詳細は、このトピックを参照してください。

表3-1および表3-2は、セキュリティ要件(認証、メッセージ保護およびトランスポート)に基づいたOC4J 10gの最も一般的な相互運用性シナリオをまとめたものです。

注意:

以降のシナリオでは、v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。

表3-1 OWSM 12cサービス・ポリシーとOracle OC4J 10gクライアント・ポリシーの相互運用性

アイデンティティ・トークン WS-Securityバージョン メッセージ保護 トランスポート・セキュリティ サービス・ポリシー クライアント・ポリシー

匿名

1.0

はい

いいえ

oracle/wss10_message_protection_service_policy

OC4J 10gクライアントの構成(匿名認証)

ユーザー名

1.0

はい

いいえ

oracle/wss10_username_token_with_message_protection_service_policy

OC4J 10gクライアントの構成(メッセージ保護付きユーザー名トークン)

SAML

1.0

はい

いいえ

oracle/wss10_saml_token_with_message_protection_service_policy

OC4J 10gクライアントの構成(メッセージ保護付きSAMLトークン)

相互認証

1.0

はい

いいえ

oracle/wss10_x509_token_with_message_protection_service_policy

OC4J 10gクライアントの構成(メッセージ保護付き相互認証)

SSL経由のユーザー名

1.0および1.1

いいえ

はい

oracle/wss_username_token_over_ssl_service_policy

または

oracle/wss_saml_or_username_token_over_ssl_service_policy

OC4J 10gクライアントの構成(SSL経由のユーザー名トークン)

SSL経由のSAML

1.0および1.1

いいえ

はい

oracle/wss_saml_token_over_ssl_service_policy

または

oracle/wss_saml_or_username_token_over_ssl_service_policy

OC4J 10gクライアントの構成(SSL経由のSAMLトークン送信者保証)

表3-2 Oracle OC4J 10gサービス・ポリシーとOWSM 12cクライアント・ポリシーの相互運用性

アイデンティティ・トークン WS-Securityバージョン メッセージ保護 トランスポート・セキュリティ サービス・ポリシー クライアント・ポリシー

匿名

1.0

はい

いいえ

OC4J 10g Webサービスの構成(匿名認証)

oracle/wss10_message_protection_client_policy

ユーザー名

1.0

はい

いいえ

OC4J 10g Webサービスの構成(メッセージ保護付きユーザー名トークン)

oracle/wss10_username_token_with_message_protection_client_policy

SAML

1.0

はい

いいえ

OC4J 10g Webサービスの構成(メッセージ保護付きSAMLトークン)

oracle/wss10_saml_token_with_message_protection_client_policy

相互認証

1.0

はい

いいえ

OC4J 10g Webサービスの構成(メッセージ保護付き相互認証)

oracle/wss10_x509_token_with_message_protection_client_policy

SSL経由のユーザー名

1.0および1.1

いいえ

はい

OC4J 10g Webサービスの構成(SSL経由のユーザー名トークン)

oracle/wss_username_token_over_ssl_client_policy

SSL経由のSAML

1.0および1.1

いいえ

はい

OC4J 10g Webサービスの構成(SSL経由のSAMLトークン送信者保証)

oracle/wss_saml_token_over_ssl_client_policy

3.2 OC4J 10gクライアント向けのメッセージ保護付き匿名認証(WS-Security 1.0)

メッセージ保護付き匿名認証アイデンティティ・トークンは、WS-Security 1.0標準に準拠します。このアイデンティティ・トークンは、OWSM 12c WebサービスとOC4J 10gクライアントとの間の相互運用性およびOC4J 10g WebサービスとOWSM 12cクライアントとの間の相互運用性を実現するために実装されます。

3.2.1 OWSM 12c WebサービスおよびOC4J 10gクライアントの構成(匿名認証)

WS-Security 1.0標準に準拠するメッセージ保護付き匿名認証を実装するには、次の手順を実行してOWSM 12c WebサービスおよびOC4J 10gクライアントを構成します。

3.2.1.1 OC4J 10g クライアントのためのOWSM 12c Webサービスの構成(匿名認証)

次のステップを実行してOWSM 12c Webサービスを構成します。

  1. Webサービス・アプリケーションを作成します。

  2. oracle/wss10_message_protection_service_policyポリシーをWebサービスのエントリ・ポイントにアタッチします。

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』ポリシーのアタッチに関する説明を参照してください

3.2.1.2 OC4J 10gクライアントの構成(匿名認証)

次のステップを実行して、OC4J 10gクライアントを構成します。

  1. Oracle JDeveloperを使用して、Webサービスのクライアント・プロキシを作成します。

    詳細は、『Oracle JDeveloperによるアプリケーションの開発』Webサービスの開発と保護に関する項を参照してください。

  2. Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。

  3. プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。

    1. 「認証なし」を選択します。

  4. プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。

    1. 「インバウンド署名リクエスト本体の検証」を選択します。

    2. 「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。

    3. 「有効期限」(秒)を入力します。

    4. 「許容する署名アルゴリズム」の下のすべてのオプションを選択します。

  5. プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド整合性」をクリックし、次のオプションを設定します。

    1. 「アウトバウンド・メッセージの署名」を選択します。

    2. 「アウトバウンド・メッセージにタイムスタンプを追加」および「タイムスタンプに必要な作成時間」を選択します。

    3. 「有効期限」(秒)を入力します。

  6. プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。

    1. 「インバウンド・メッセージ・コンテンツの復号化」を選択します。

    2. 「許容する署名アルゴリズム」の下のすべてのオプションを選択します。

  7. プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。

    1. 「アウトバウンド・メッセージの暗号化」を選択します。

    2. 「アルゴリズム」を「AES-128」に設定します。

  8. プロキシ・エディタ・ナビゲーション・バーの「キーストア・オプション」をクリックし、必要に応じてキーストア・プロパティを構成します。

    注意:

    v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。

  9. 「OK」をクリックし、ウィザードを閉じます。

  10. 「構造」ペインで<appname>Binding_Stub.xmlをクリックし、「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。

  11. クライアントからWebサービス・メソッドを起動します。

3.2.1.3 <appname>Binding_Stub.xmlファイルの編集(匿名認証)

次のステップを実行して<appname>Binding_Stub.xmlファイルを編集します。

  1. キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。

  2. インバウンド署名で、次のように指定します。 

    <inbound><verify-signature><tbs-elements>
<tbs-element
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-
utility-1.0.xsd" local-part="Timestamp"/>
...

  3. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。

    <outbound>/<signature>/<tbs-elements>
<tbs-element
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
-utility-1.0.xsd" local-part="Timestamp"/>
...

  4. アウトバウンド暗号化で、次のようにキー・トランスポート・アルゴリズムを指定します。

    <outbound><encrypt>
<keytransport-method>RSA-OAEP-MGF1P</keytransport-method>
...

3.2.2 OC4J 10g WebサービスおよびOWSM 12cクライアントの構成(匿名認証)

WS-Security 1.0標準に準拠するメッセージ保護付き匿名認証を実装するには、次の手順を実行してOC4J 10g WebサービスおよびOWSM 12cクライアントを構成します。

3.2.2.1 OC4J 10g Webサービスの構成(匿名認証)

次のステップを実行して、OC4J 10g Webサービスを構成します。

  1. Webサービス・アプリケーションを作成してデプロイします。

  2. Application Server Controlを使用して、デプロイしたWebサービスを保護します。

  3. 「認証」タブをクリックし、いずれのオプションも選択されていなことを確認します。

  4. 「インバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。

    1. 「メッセージ本文に署名が必要」を選択します。

    2. 「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。

    3. 「有効期限」(秒)を入力します。

  5. 「アウトバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。

    1. 「メッセージのbody要素への署名」を選択します。

    2. 「署名メソッド」「RSA-SHA1」に設定します。

    3. 「タイムスタンプの追加」および「タイムスタンプ中に作成時間が必要」を選択します。

    4. 「有効期限」(秒)を入力します。

  6. 「インバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。

    1. 「メッセージ本文に暗号化が必要」を選択します。

  7. 「アウトバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。

    1. 「メッセージのbody要素の暗号化」を選択します。

    2. 「暗号化メソッド」「AES-128」に設定します。

    3. 公開キーを暗号化に設定します。

  8. キーストア・プロパティおよびアイデンティティ証明書を構成します。

    注意:

    v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。

  9. 表3-8「wsmgmt.xmlファイルの編集」の説明に従って、wsmgmt.xmlデプロイメント・ディスクリプタ・ファイルを編集します。

3.2.2.2 OC4J 10g WebサービスのためのOWSM 12cクライアントの構成(匿名認証)

次のステップを実行してOWSM 12cクライアントを構成します。

  1. OC4J 10g Webサービスのクライアント・プロキシを作成します。

  2. oracle/wss10_message_protection_client_policyポリシーをアタッチします。

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』ポリシーのアタッチに関する説明を参照してください

  3. ポリシーを構成します。

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』oracle/wss10_username_token_with_message_protection_client_policyに関する説明を参照してください

  4. クライアントからWebサービス・メソッドを起動します。

3.2.2.3 OC4J 10gのためのwsmgmt.xmlファイルの編集(匿名認証)

次のステップに従って、wsmgmt.xmlファイルを編集します。

  1. ORACLE_HOME/j2ee/oc4j_instance/configの下でwsmgmt.xmlファイルを探します。

    ヒント:

    wsmgmt.xmlファイルはインスタンス・レベルの構成ファイルで、OC4JインスタンスにデプロイされたWebサービスのセキュリティ構成全体を保持しています。

    詳細は、Oracle® Application ServerアドバンストWebサービス開発者ガイドのWebサービス管理スキーマの理解に関する項を参照してください

  2. インバウンド署名で、次のように指定します。

    <inbound><verify-signature><tbs-elements>
<tbs-element
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
-utility-1.0.xsd" local-part="Timestamp"/>
...

  3. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。

    <outbound>/<signature>/<tbs-elements>
<tbs-element
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
-utility-1.0.xsd" local-part="Timestamp"/>
...

  4. アウトバウンド暗号化で、次のようにキー・トランスポート・アルゴリズムを指定します。

    <outbound><encrypt>
<keytransport-method>RSA-OAEP-MGF1P</keytransport-method>
...

3.3 OC4J 10gクライアント向けのメッセージ保護付きユーザー名トークン(WS-Security 1.0)

メッセージ保護付きユーザー名トークン・アイデンティティ・トークンは、WS-Security 1.0標準に準拠します。このアイデンティティ・トークンは、OWSM 12c WebサービスとOC4J 10gクライアントとの間の相互運用性およびOC4J 10g WebサービスとOWSM 12cクライアントとの間の相互運用性を実現するために実装されます。

3.3.1 OWSM 12c WebサービスおよびOC4J 10gクライアントの構成(メッセージ保護付きユーザー名トークン)

WS-Security 1.0標準に準拠するメッセージ保護付きユーザー名トークンを実装するには、次の手順を実行してOWSM 12c WebサービスおよびOC4J 10gクライアントを構成します。

3.3.1.1 OWSM 12c Webサービスの構成(メッセージ保護付きユーザー名トークン)

次のステップを実行してOWSM 12c Webサービスを構成します。

  1. OWSM 12c Webサービスを作成します。

  2. oracle/wss10_username_token_with_message_protection_service_policyポリシーをWebサービスにアタッチします。

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』ポリシーのアタッチに関する説明を参照してください

3.3.1.2 OC4J 10gクライアントの構成(メッセージ保護付きユーザー名トークン)

次のステップを実行して、OC4J 10gクライアントを構成します。

  1. Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。

    詳細は、『Oracle JDeveloperによるアプリケーションの開発』Webサービスの開発と保護に関する項を参照してください。

  2. クライアント・プロキシ内のユーザー名およびパスワードを次のように指定します。

    port.setUsername(<username>)
port.setPassword(<password>)

  3. Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。

  4. プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。

    1. 「認証にユーザー名を使用」を選択します。

    2. 「Nonceを追加」および「作成時間を追加」を選択解除します。

  5. プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。

    1. 「インバウンド署名リクエスト本体の検証」を選択します。

    2. 「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。

    3. 「有効期限」(秒)を入力します。

    4. 「許容する署名アルゴリズム」の下のすべてのオプションを選択します。

  6. プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド整合性」をクリックし、次のオプションを設定します。

    1. 「アウトバウンド・メッセージの署名」を選択します。

    2. 「アウトバウンド・メッセージにタイムスタンプを追加」および「タイムスタンプに必要な作成時間」を選択します。

    3. 「有効期限」(秒)を入力します。

  7. プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。

    1. 「インバウンド・メッセージ・コンテンツの復号化」を選択します。

    2. 「許容する署名アルゴリズム」の下のすべてのオプションを選択します。

  8. プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。

    1. 「アウトバウンド・メッセージの暗号化」を選択します。

    2. 「アルゴリズム」を「AES-128」に設定します。

  9. プロキシ・エディタ・ナビゲーション・バーの「キーストア・オプション」をクリックし、必要に応じてキーストア・プロパティを構成します。

    ヒント:

    v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。

  10. 「OK」をクリックし、ウィザードを閉じます。

  11. 「構造」ペインで<appname>Binding_Stub.xmlをクリックし、「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。

  12. Webサービスを起動します。

3.3.1.3 <appname>Binding_Stub.xmlファイルの編集(メッセージ保護付きユーザー名トークン)

次のステップを実行して<appname>Binding_Stub.xmlファイルを編集します。

  1. キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。

  2. インバウンド署名で、次のように指定します。

    <inbound><verify-signature><tbs-elements>
<tbs-element
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
-utility-1.0.xsd" local-part="Timestamp" />
...

  3. アウトバウンド署名で、次のようにタイムスタンプおよびUsernameTokenに署名が必要であることを指定します。

    <outbound>/<signature>/<tbs-elements>
<tbs-element
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-
utility-1.0.xsd" local-part="Timestamp"/>
 <tbs-element
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
-secext-1.0.xsd" local-part="UsernameToken"/>
...

  4. アウトバウンド暗号化で、次のようにキー・トランスポート・アルゴリズムを指定します。

    <outbound><encrypt>
<keytransport-method>RSA-OAEP-MGF1P</keytransport-method>
...

  5. アウトバウンド暗号化で、次のようにUsernameTokenに暗号化が必要であることを指定します。

    <outbound>/<encrypt>/<tbe-elements>
<tbe-element local-part="UsernameToken"
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
-secext-1.0.xsd" mode="CONTENT"/>
...

3.3.2 OC4J 10g WebサービスおよびOWSM 12cクライアントの構成(メッセージ保護付きユーザー名トークン)

WS-Security 1.0標準に準拠するメッセージ保護付きユーザー名トークンを実装するには、次の手順を実行してOC4J 10g WebサービスおよびOWSM 12cクライアントを構成します。

3.3.2.1 OC4J 10g Webサービスの構成(メッセージ保護付きユーザー名トークン)

次のステップを実行して、OC4J 10g Webサービスを構成します。

  1. JAX-RPC Webサービスを作成してOC4Jにデプロイします。

  2. Application Server Controlを使用して、デプロイしたWebサービスを保護します。

  3. 「認証」タブをクリックし、次のオプションを設定します。

    1. 「ユーザー名/パスワード認証の使用」を選択します。

    2. 「パスワード」「プレーン・テキスト」に設定します。

  4. 「インバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。

    1. 「メッセージ本文に署名が必要」を選択します。

    2. 「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。

    3. 「有効期限」(秒)を入力します。

  5. 「アウトバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。

    1. 「メッセージのbody要素への署名」を選択します。

    2. 「署名メソッド」「RSA-SHA1」に設定します。

    3. 「タイムスタンプの追加」および「タイムスタンプ中に作成時間が必要」を選択します。

    4. 「有効期限」(秒)を入力します。

  6. 「インバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。

    1. 「メッセージ本文に暗号化が必要」を選択します。

  7. 「アウトバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。

    1. 「メッセージのbody要素の暗号化」を選択します。

    2. 「暗号化メソッド」「AES-128」に設定します。

    3. 公開キーを暗号化に設定します。

  8. キーストア・プロパティおよびアイデンティティ証明書を構成します。

    ヒント:

    v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。

  9. 表3-14「wsmgmt.xmlファイルの編集」の説明に従って、wsmgmt.xmlデプロイメント・ディスクリプタ・ファイルを編集します。

3.3.2.2 OC4J 10gのためのOWSM 12cクライアントの構成(メッセージ保護付きユーザー名トークン)

次のステップを実行してOWSM 12cクライアントを構成します。

  1. OC4J 10g Webサービスのクライアント・プロキシを作成します。

  2. oracle/wss10_username_token_with_message_protection_client_policyポリシーをアタッチします。

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』ポリシーのアタッチに関する説明を参照してください

  3. ポリシーを構成します。

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』oracle/wss10_username_token_with_message_protection_client_policyに関する説明を参照してください

  4. クライアントからWebサービス・メソッドを起動します。

3.3.2.3 wsmgmt.xmlファイルの構成(メッセージ保護付きユーザー名トークン)

次のステップに従って、wsmgmt.xmlファイルを編集します。

  1. ORACLE_HOME/j2ee/oc4j_instance/config/の下でwsmgmt.xmlファイルを検索します。

  2. インバウンド署名で、次のように指定します。

    <inbound><verify-signature><tbs-elements>
<tbs-element
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
-utility-1.0.xsd" local-part="Timestamp"/>
...

  3. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。

    <outbound>/<signature>/<tbs-elements>
<tbs-element
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
-utility-1.0.xsd" local-part="Timestamp"/>
...

  4. アウトバウンド暗号化で、次のようにUsernameTokenに暗号化が必要であることを指定します。

    <outbound>/<encrypt>/<tbe-elements>
<tbe-element local-part="UsernameToken"
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
-secext-1.0.xsd" mode="CONTENT"/>
...

3.4 OC4J 10gクライアント向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.0)

メッセージ保護付きSAMLトークン(送信者保証)アイデンティティ・トークンは、WS-Security 1.0標準に準拠します。このアイデンティティ・トークンは、OWSM 12c WebサービスとOC4J 10gクライアントとの間の相互運用性およびOC4J 10g WebサービスとOWSM 12cクライアントとの間の相互運用性を実現するために実装されます。

3.4.1 OWSM 12c WebサービスおよびOC4J 10gクライアントの構成(メッセージ保護付きSAMLトークン)

WS-Security 1.0標準に準拠するメッセージ保護付きSAMLトークン送信者保証を実装するには、次の手順を実行してOWSM 12c WebサービスおよびOC4J 10gクライアントを構成します。

3.4.1.1 OWSM 12c Webサービスの構成(メッセージ保護付きSAMLトークン)

次のステップを実行してOWSM 12c Webサービスを構成します。

  1. OWSM 12c Webサービスを作成します。

  2. oracle/wss10_saml_token__with_message_protection_service_policyポリシーをWebサービスにアタッチします。

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』ポリシーのアタッチに関する説明を参照してください

3.4.1.2 OC4J 10gクライアントの構成(メッセージ保護付きSAMLトークン)

次のステップを実行して、OC4J 10gクライアントを構成します。

  1. Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。

    詳細は、『Oracle JDeveloperによるアプリケーションの開発』Webサービスの開発と保護に関する項を参照してください。

  2. Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。

  3. プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。

    1. 「SAMLトークンの使用」を選択します。

    2. 「SAML詳細」をクリックします。

    3. 「送信者保証確認」および「署名の使用」を選択します。

    4. 「デフォルト・サブジェクト名」として、伝播する必要のあるユーザー名を入力します。

    5. 「デフォルト発行者名」としてwww.oracle.comを入力します。

  4. プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。

    1. 「インバウンド署名リクエスト本体の検証」を選択します。

    2. 「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。

    3. 「有効期限」(秒)を入力します。

    4. 「許容する署名アルゴリズム」の下のすべてのオプションを選択します。

  5. プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド整合性」をクリックし、次のオプションを設定します。

    1. 「アウトバウンド・メッセージの署名」を選択します。

    2. 「アウトバウンド・メッセージにタイムスタンプを追加」および「タイムスタンプに必要な作成時間」を選択します。

    3. 「有効期限」(秒)を入力します。

  6. プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。

    1. 「インバウンド・メッセージ・コンテンツの復号化」を選択します。

    2. 「許容する署名アルゴリズム」の下のすべてのオプションを選択します。

  7. プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。

    1. 「アウトバウンド・メッセージの暗号化」を選択します。

    2. 「アルゴリズム」を「AES-128」に設定します。

  8. プロキシ・エディタ・ナビゲーション・バーの「キーストア・オプション」をクリックし、必要に応じてキーストア・プロパティを構成します。

    注意:

    v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。

  9. 「OK」をクリックし、ウィザードを閉じます。

  10. 「構造」ペインで<appname>Binding_Stub.xmlをクリックし、「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。

  11. Webサービス・メソッドを起動します。

3.4.1.3 <appname>Binding_Stub.xmlファイルの編集(メッセージ保護付きSAMLトークン)

次のステップを実行して<appname>Binding_Stub.xmlファイルを編集します。

  1. キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。

  2. インバウンド署名で、次のように指定します。

    <inbound><verify-signature><tbs-elements>
<tbs-element
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
-utility-1.0.xsd" local-part="Timestamp" />
...

  3. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。

    <outbound>/<signature>/<tbs-elements>
<tbs-element
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
-utility-1.0.xsd" local-part="Timestamp"/>
...

  4. アウトバウンド暗号化で、次のようにキー・トランスポート・アルゴリズムを指定します。

    <outbound><encrypt>
<keytransport-method>RSA-OAEP-MGF1P</keytransport-method>
...

3.4.2 OC4J 10g WebサービスおよびOWSM 12cクライアントの構成(メッセージ保護付きSAMLトークン)

WS-Security 1.0標準に準拠するメッセージ保護付きSAMLトークン送信者保証を実装するには、次の手順を実行してOC4J 10g WebサービスおよびOWSM 12cクライアントを構成します。

3.4.2.1 OC4J 10g Webサービスの構成(メッセージ保護付きSAMLトークン)

次のステップを実行して、OC4J 10g Webサービスを構成します。

  1. JAX-RPC Webサービスを作成してOC4Jにデプロイします。

  2. Application Server Controlを使用して、デプロイしたWebサービスを保護します。

  3. ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。

    1. 「SAML認証の使用」を選択します。

    2. 「送信者保証の許容」を選択します。

    3. 「署名の検証」を選択解除します。

  4. ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。

    1. 「メッセージ本文に署名が必要」を選択します。

    2. 「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。

    3. 「有効期限」(秒)を入力します。

  5. ナビゲーション・バーの「アウトバウンド整合性」をクリックし、次のオプションを設定します。

    1. 「メッセージのbody要素への署名」を選択します。

    2. 「署名メソッド」「RSA-SHA1」に設定します。

    3. 「タイムスタンプの追加」および「タイムスタンプ中に作成時間が必要」を選択します。

    4. 「有効期限」(秒)を入力します。

  6. ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。

    1. 「メッセージ本文に暗号化が必要」を選択解除します。

  7. ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。

    1. 「メッセージのbody要素の暗号化」を選択します。

    2. 「暗号化メソッド」「AES-128」に設定します。

    3. 公開キーを暗号化に設定します。

  8. キーストア・プロパティおよびアイデンティティ証明書を構成します。

    注意:

    v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。

  9. 表3-20「wsmgmt.xmlファイルの編集」の説明に従って、wsmgmt.xmlデプロイメント・ディスクリプタ・ファイルを編集します。

  10. Webサービスを起動します。

3.4.2.2 OWSM 12cクライアントの構成(メッセージ保護付きSAMLトークン)

次のステップを実行してOWSM 12cクライアントを構成します。

  1. OC4J 10g Webサービスのクライアント・プロキシを作成します。

  2. oracle/wss10_saml_token_with_message_protection_client_policyポリシーをアタッチします。

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』ポリシーのアタッチに関する説明を参照してください

  3. ポリシーを構成します。

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』oracle/wss10_saml_token_with_message_protection_client_policyに関する説明を参照してください

  4. クライアントからWebサービス・メソッドを起動します。

3.4.2.3 wsmgmt.xmlファイルの編集(メッセージ保護付きSAMLトークン)

次のステップに従って、wsmgmt.xmlファイルを編集します。

  1. ORACLE_HOME/j2ee/oc4j_instance/configwsmgmt.xmlファイルを検索します。

  2. インバウンド署名で、次のように指定します。

    <inbound><verify-signature><tbs-elements>
<tbs-element
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
-utility-1.0.xsd" local-part="Timestamp"/>
...

  3. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。

    <outbound>/<signature>/<tbs-elements>
<tbs-element
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
-utility-1.0.xsd" local-part="Timestamp"/>
...

  4. アウトバウンド暗号化で、次のようにUsernameTokenに暗号化が必要であることを指定します。

    <outbound>/<encrypt>/<tbe-elements>
<tbe-element local-part="UsernameToken"
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
-secext-1.0.xsd" mode="CONTENT"/>
...

3.5 OC4J 10gクライアント向けのメッセージ保護付き相互認証(WS-Security 1.0)

メッセージ保護付き相互認証アイデンティティ・トークンは、WS-Security 1.0標準に準拠します。このアイデンティティ・トークンは、OWSM 12c WebサービスとOC4J 10gクライアントとの間の相互運用性およびOC4J 10g WebサービスとOWSM 12cクライアントとの間の相互運用性を実現するために実装されます。

3.5.1 OWSM 12c WebサービスおよびOC4J 10g クライアントの構成(メッセージ保護付き相互認証)

WS-Security 1.0標準に準拠するメッセージ保護付き相互認証を実装するには、次の手順を実行してOWSM 12c WebサービスおよびOC4J 10gクライアントを構成します。

3.5.1.1 OWSM 12c Webサービスの構成(メッセージ保護付き相互認証)

次のステップを実行してOWSM 12c Webサービスを構成します。

  1. Webサービス・アプリケーションを作成します。

  2. oracle/wss10_x509_token_with_message_protection_service_policyポリシーをWebサービスにアタッチします。

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』ポリシーのアタッチに関する説明を参照してください

3.5.1.2 OC4J 10gクライアントの構成(メッセージ保護付き相互認証)

次のステップを実行して、OC4J 10gクライアントを構成します。

  1. Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。

    詳細は、『Oracle JDeveloperによるアプリケーションの開発』Webサービスの開発と保護に関する項を参照してください。

  2. Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。

  3. プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。

    1. 「認証にX509を使用」を選択します。

  4. プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。

    1. 「インバウンド署名リクエスト本体の検証」を選択します。

    2. 「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。

    3. 「有効期限」(秒)を入力します。

    4. 「許容する署名アルゴリズム」の下のすべてのオプションを選択します。

  5. プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド整合性」をクリックし、次のオプションを設定します。

    1. 「アウトバウンド・メッセージの署名」を選択します。

    2. 「アウトバウンド・メッセージにタイムスタンプを追加」および「タイムスタンプに必要な作成時間」を選択します。

    3. 「有効期限」(秒)を入力します。

  6. プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。

    1. 「インバウンド・メッセージ・コンテンツの復号化」を選択します。

    2. 「許容する署名アルゴリズム」の下のすべてのオプションを選択します。

  7. プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。

    1. 「アウトバウンド・メッセージの暗号化」を選択します。

    2. 「アルゴリズム」を「AES-128」に設定します。

  8. プロキシ・エディタ・ナビゲーション・バーの「キーストア・オプション」をクリックし、必要に応じてキーストア・プロパティを構成します。

    注意:

    v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。

  9. 「OK」をクリックし、ウィザードを閉じます。

  10. 「構造」ペインで<appname>Binding_Stub.xmlをクリックし、「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。

  11. Webサービスを起動します。

3.5.1.3 <appname>Binding_Stub.xmlファイルの編集(メッセージ保護付き相互認証)

次のステップを実行して<appname>Binding_Stub.xmlファイルを編集します。

  1. キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。

  2. インバウンド署名で、次のように指定します。

    <inbound><verify-signature><tbs-elements>
<tbs-element
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
-utility-1.0.xsd" local-part="Timestamp" />
...

  3. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。

    <outbound>/<signature>/<tbs-elements>
<tbs-element
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
-utility-1.0.xsd" local-part="Timestamp"/>
...

  4. アウトバウンド暗号化で、次のようにキー・トランスポート・アルゴリズムを指定します。

    <outbound><encrypt>
<keytransport-method>RSA-OAEP-MGF1P</keytransport-method>
...

3.5.2 OC4J 10g WebサービスおよびOWSM 12cクライアントの構成(メッセージ保護付き相互認証)

WS-Security 1.0標準に準拠するメッセージ保護付き相互認証を実装するには、次の手順を実行してOC4J 10g WebサービスおよびOWSM 12cクライアントを構成します。

3.5.2.1 OC4J 10g Webサービスの構成(メッセージ保護付き相互認証)

次のステップを実行して、OC4J 10g Webサービスを構成します。

  1. JAX-RPC Webサービスを作成してOC4Jにデプロイします。

  2. Application Server Controlを使用して、デプロイしたWebサービスを保護します。

  3. 「認証」タブをクリックし、次のオプションを設定します。

    1. 「X509証明書認証の使用」を選択します。

  4. 「インバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。

    1. 「メッセージ本文に署名が必要」を選択します。

    2. 「タイムスタンプの検証」および「タイムスタンプに必要な作成時間」を選択します。

    3. 「有効期限」(秒)を入力します。

  5. 「アウトバウンド・ポリシー」ページの「完全性」タブをクリックし、次のオプションを設定します。

    1. 「メッセージのbody要素への署名」を選択します。

    2. 「署名メソッド」「RSA-SHA1」に設定します。

    3. 「タイムスタンプの追加」および「タイムスタンプ中に作成時間が必要」を選択します。

    4. 「有効期限」(秒)を入力します。

  6. 「インバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。

    1. 「メッセージ本文に暗号化が必要」を選択します。

  7. 「アウトバウンド・ポリシー」ページの「秘匿性」タブをクリックし、次のオプションを設定します。

    1. 「メッセージのbody要素の暗号化」を選択します。

    2. 「暗号化メソッド」「AES-128」に設定します。

    3. 公開キーを暗号化に設定します。

  8. キーストア・プロパティおよびアイデンティティ証明書を構成します。

    注意:

    v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。

  9. 表3-26「wsmgmt.xmlファイルの編集」の説明に従って、wsmgmt.xmlデプロイメント・ディスクリプタ・ファイルを編集します。

3.5.2.2 OWSM 12cクライアントの構成(メッセージ保護付き相互認証)

次のステップを実行してOWSM 12cクライアントを構成します。

  1. OC4J 10g Webサービスへのクライアント・プロキシを作成します。

  2. oracle/wss10_x509_token_with_message_protection_client_policyポリシーをアタッチします。

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』ポリシーのアタッチに関する説明を参照してください

  3. ポリシーを構成します。

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』oracle/wss10_x509_token_with_message_protection_client_policyに関する説明を参照してください

  4. Webサービスを起動します。

3.5.2.3 wsmgmt.xmlファイルの編集(メッセージ保護付き相互認証)

次のステップに従って、wsmgmt.xmlファイルを編集します。

  1. ORACLE_HOME/j2ee/oc4j_instance/config/の下でwsmgmt.xmlファイルを検索します。

  2. インバウンド署名で、次のように指定します。

    <inbound><verify-signature><tbs-elements>
<tbs-element
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
-utility-1.0.xsd" local-part="Timestamp"/>
...

  3. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します。

    <outbound>/<signature>/<tbs-elements>
<tbs-element
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
-utility-1.0.xsd" local-part="Timestamp"/>
...

  4. アウトバウンド暗号化で、次のようにUsernameTokenに暗号化が必要であることを指定します。

    <outbound>/<encrypt>/<tbe-elements>
<tbe-element local-part="UsernameToken"
name-space="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity
-secext-1.0.xsd" mode="CONTENT"/>
...

3.6 OC4J 10gクライアント向けのSSL経由のユーザー名トークン

SSL経由のユーザー名トークン・アイデンティティ・トークンは、WS-Security 1.0および1.1標準に準拠します。このアイデンティティ・トークンは、OWSM 12c WebサービスとOC4J 10gクライアントとの間の相互運用性およびOC4J 10g WebサービスとOWSM 12cクライアントとの間の相互運用性を実現するために実装されます。

次を参照してください。

3.6.1 OWSM 12c WebサービスおよびOC4J 10gクライアントの構成(SSL経由のユーザー名トークン)

SSL経由のユーザー名トークンを実装するには、次の手順を実行してOWSM 12c WebサービスおよびOC4J 10gクライアントを構成します。

3.6.1.1 OC4JクライアントのためのOWSM 12c Webサービスの構成(SSL経由のユーザー名トークン)

OWSM 12c Webサービスを構成するには、次のステップを実行します。

  1. サーバーをSSL用に構成します。

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』トランスポート・レベルのセキュリティ(SSL)の構成に関する説明を参照してください

  2. 次のポリシーの1つをWebサービスにアタッチします。

    oracle/wss_username_token_over_ssl_service_policy

    oracle/wss_username_or_saml_token_over_ssl_service_policy

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』ポリシーのアタッチに関する説明を参照してください

3.6.1.2 OC4J 10gクライアントの構成(SSL経由のユーザー名トークン)

次のステップを実行して、OC4J 10gクライアントを構成します。

  1. Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。

    注意:

    Webサービス・エンドポイントが、Oracle WebLogic ServerでHTTPSおよびSSLポートが構成されているURLを参照していることを確認してください。

    詳細は、『Oracle JDeveloperによるアプリケーションの開発』Webサービスの開発と保護に関する項を参照してください。

  2. 次のコードを(クライアント・プロキシ・コードの最初に)追加して、双方向SSLを初期化します。

    HostnameVerifier hv = new HostnameVerifier()
httpsURLConnection.setDefaultHostnameVerifier(hv);
System.setProperty("javax.net.ssl.trustStore","<trust_store>");
System.setProperty("javax.net.ssl.trustStorePassword","<trust_store
_password>");
System.setProperty("javax.net.ssl.keyStore","<key_store>");
System.setProperty("javax.net.ssl.keyStorePassword","<key_store_password>");
System.setProperty("javax.net.ssl.keyStoreType","JKS");

  3. Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。

  4. プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。

    1. 「認証にユーザー名を使用」を選択します。

    2. 「Nonceを追加」および「作成時間を追加」を選択解除します。

  5. プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、すべてのオプションを選択解除します。

  6. プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、すべてのオプションを選択解除します。

  7. プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、すべてのオプションを選択解除します。

  8. プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、すべてのオプションを選択解除します。

  9. プロキシ・エディタ・ナビゲーション・バーの「キーストア・オプション」をクリックし、必要に応じてキーストア・プロパティを構成します。

    注意:

    v3証明書付きのキーストアを使用していることを確認してください。JDK 1.5キーツールでは、デフォルトでv1証明書付きのキーストアが生成されます。

  10. 「OK」をクリックし、ウィザードを閉じます。

  11. 「構造」ペインで<appname>Binding_Stub.xmlをクリックし、「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。

  12. Webサービスを起動します。

3.6.1.3 <appname>Binding_Stub.xmlファイルの編集(SSL経由のユーザー名トークン)

次のステップを実行して<appname>Binding_Stub.xmlファイルを編集します。

  1. キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。

  2. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します(それ以外のタグはすべて削除します)。

    <outbound>
   <signature>
      <add-timestamp created="true" expiry="<Expiry_Time>"/> 
   </signature>
...

3.6.2 OC4J 10g WebサービスおよびOWSM 12cクライアントの構成(SSL経由のユーザー名トークン)

SSL経由のユーザー名トークンを実装するには、次の手順を実行してOC4J 10g WebサービスおよびOWSM 12cクライアントを構成します。

3.6.2.1 OC4J 10g Webサービスの構成(SSL経由のユーザー名トークン)

次のステップを実行して、OC4J 10g Webサービスを構成します。

  1. サーバーをSSL用に構成します。

    詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください

  2. Application Server Controlを使用して、デプロイしたWebサービスを保護します。

  3. 「認証」タブをクリックし、次のオプションを設定します。

    1. 「ユーザー名/パスワード認証の使用」を選択します。

  4. 「インバウンド・ポリシー」ページの「完全性」タブをクリックし、すべてのオプションを選択解除します。

  5. 「アウトバウンド・ポリシー」ページの「完全性」タブをクリックし、すべてのオプションを選択解除します。

  6. 「インバウンド・ポリシー」ページの「秘匿性」タブをクリックし、すべてのオプションを選択解除します。

  7. 「アウトバウンド・ポリシー」ページの「秘匿性」タブをクリックし、すべてのオプションを選択解除します。

  8. 表3-32「wsmgmt.xmlファイルの編集」の説明に従って、wsmgmt.xmlデプロイメント・ディスクリプタ・ファイルを編集します。

3.6.2.2 OC4J 10g WebサービスのためのOWSM 12c クライアントの構成(SSL経由のユーザー名トークン)

OWSM 12cクライアントを構成するには、次のステップを実行します。

  1. clientgenを使用して、OC4J 10g Webサービスへのクライアント・プロキシを作成します。

    注意:

    Webサービス・エンドポイントが、Oracle WebLogic ServerでHTTPSおよびSSLポートが構成されているURLを参照していることを確認してください。

  2. 次のコードを(クライアント・プロキシ・コードの最初に)追加して、双方向SSLを初期化します。

    HostnameVerifier hv = new HostnameVerifier()
httpsURLConnection.setDefaultHostnameVerifier(hv);
System.setProperty("javax.net.ssl.trustStore","<trust_store>");
System.setProperty("javax.net.ssl.trustStorePassword","<trust_store
_password>");
System.setProperty("javax.net.ssl.keyStore","<key_store>");
System.setProperty("javax.net.ssl.keyStorePassword","<key_store_password>");
System.setProperty("javax.net.ssl.keyStoreType","JKS");

  3. oracle/wss_username_token_over_ssl_client_policyポリシーをアタッチします。

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』ポリシーのアタッチに関する説明を参照してください

  4. ポリシーを構成します。

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』oracle/wss_username_token_over_ssl_client_policyに関する説明を参照してください

  5. Webサービスを起動します。

3.6.2.3 wsmgmt.xmlファイルの編集(SSL経由のユーザー名トークン)

次のステップに従います。

  1. ORACLE_HOME/j2ee/oc4j_instance/config/の下でwsmgmt.xmlファイルを検索します。

  2. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します(それ以外のタグはすべて削除します)。

    <outbound>
   <signature>
      <add-timestamp created="true" expiry="<Expiry_Time>"/> 
   </signature>
...

3.7 OC4J 10gクライアント向けのSSL経由のSAMLトークン(送信者保証)(WS-Security 1.0)

SSL経由のSAMLトークン(送信者保証)アイデンティティ・トークンは、WS-Security 1.0標準に準拠します。このアイデンティティ・トークンは、OWSM 12c WebサービスとOC4J 10gクライアントとの間の相互運用性およびOC4J 10g WebサービスとOWSM 12cクライアントとの間の相互運用性を実現するために実装されます。

次を参照してください。

3.7.1 OWSM 12c WebサービスおよびOC4J 10gクライアントの構成(SSL経由のSAMLトークン送信者保証)

WS-Security 1.0標準に準拠するSSL経由のSAMLトークン(送信者保証)を実装するには、次の手順を実行してOWSM 12c WebサービスおよびOC4J 10gクライアントを構成します。

3.7.1.1 OC4J 10gクライアントのためのOWSM 12c Webサービスの構成(SSL経由のSAMLトークン送信者保証)

次のステップを実行してOWSM 12c Webサービスを構成します。

  1. サーバーを双方向SSL用に構成します。

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』WebLogic ServerへのSSLの構成(双方向)に関する説明を参照してください。

  2. 次のポリシーをWebサービスにアタッチします。

    oracle/wss_saml_token_over_ssl_service_policy

    oracle/wss_username_or_saml_token_over_ssl_service_policy

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』ポリシーのアタッチに関する説明を参照してください

3.7.1.2 OC4J 10gクライアントの構成(SSL経由のSAMLトークン送信者保証)

次のステップを実行して、OC4J 10gクライアントを構成します。

  1. サーバーを双方向SSL用に構成します。

    詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください

  2. Oracle JDeveloperを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。

    注意:

    Webサービス・エンドポイントが、Oracle WebLogic ServerでHTTPSおよびSSLポートが構成されているURLを参照していることを確認してください。

    詳細は、『Oracle JDeveloperによるアプリケーションの開発』Webサービスの開発と保護に関する項を参照してください。

  3. 次のコードを(クライアント・プロキシ・コードの最初に)追加して、双方向SSLを初期化します。

    HostnameVerifier hv = new HostnameVerifier()
httpsURLConnection.setDefaultHostnameVerifier(hv);
System.setProperty("javax.net.ssl.trustStore","<trust_store>");
System.setProperty("javax.net.ssl.trustStorePassword","<trust_store
_password>");
System.setProperty("javax.net.ssl.keyStore","<key_store>");
System.setProperty("javax.net.ssl.keyStorePassword","<key_store_password>");
System.setProperty("javax.net.ssl.keyStoreType","JKS");

  4. Oracle JDeveloperウィザードを使用して、プロキシを保護します。これには、プロキシ・プロジェクトを右クリックし、「セキュアなプロキシ」を選択します。

  5. プロキシ・エディタ・ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。

    1. 「SAMLトークンの使用」を選択します。

    2. 「SAML詳細」をクリックします。

    3. 「送信者保証確認」を選択します。

    4. 「デフォルト・サブジェクト名」として有効なユーザー名を入力します。

  6. プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、次のオプションを設定します。

    1. 「署名されたインバウンド・メッセージ本体の検証」を選択解除します。

  7. プロキシ・エディタ・ナビゲーション・バーの「インバウンド整合性」をクリックし、すべてのオプションを選択解除します。

  8. プロキシ・エディタ・ナビゲーション・バーの「インバウンド機密保護」をクリックし、次のオプションを設定します。

    1. 「インバウンド・メッセージ・コンテンツの復号化」を選択解除します。

  9. プロキシ・エディタ・ナビゲーション・バーの「アウトバウンド機密保護」をクリックし、次のオプションを設定します。

    1. 「アウトバウンド・メッセージの暗号化」を選択解除します。

  10. 使用するキーストアに必要な情報を指定します。

  11. 「OK」をクリックし、ウィザードを閉じます。

  12. 「構造」ペインで<appname>Binding_Stub.xmlをクリックし、「<appname>Binding_Stub.xmlファイルの編集」の説明に従ってこのファイルを編集します。

  13. Webサービスを起動します。

3.7.1.3 <appname>Binding_Stub.xmlファイルの編集(SSL経由のSAMLトークン送信者保証)

次のステップを実行して<appname>Binding_Stub.xmlファイルを編集します。

  1. キーストア・パスワード、署名キー・パスワードおよび暗号化キー・パスワードを指定します。

  2. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します(それ以外のタグはすべて削除します)。

    <outbound>
   <signature>
      <add-timestamp created="true" expiry="<Expiry_Time>"/> 
   </signature>
...

3.7.2 OC4J 10g WebサービスおよびOWSM 12cクライアントの構成(SSL経由のSAMLトークン送信者保証)

WS-Security 1.0標準に準拠するSSL経由のSAMLトークン(送信者保証)を実装するには、次の手順を実行してOC4J 10g WebサービスおよびOWSM 12cクライアントを構成します。

3.7.2.1 OC4J 10g Webサービスの構成(SSL経由のSAMLトークン送信者保証)

次のステップを実行して、OC4J 10g Webサービスを構成します。

  1. サーバーを双方向SSL用に構成します。

    詳細は、http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htmを参照してください

  2. Application Server Controlを使用して、デプロイしたWebサービスを保護します。

  3. ナビゲーション・バーの「認証」をクリックし、次のオプションを設定します。

    1. 「SAML認証の使用」を選択します。

    2. 「送信者保証の許容」を選択します。

    3. 「署名の検証」を選択解除します。

  4. 「インバウンド・ポリシー」ページの「完全性」タブをクリックし、すべてのオプションを選択解除します。

  5. 「アウトバウンド・ポリシー」ページの「完全性」タブをクリックし、すべてのオプションを選択解除します。

  6. 「インバウンド・ポリシー」ページの「秘匿性」タブをクリックし、すべてのオプションを選択解除します。

  7. 「アウトバウンド・ポリシー」ページの「秘匿性」タブをクリックし、すべてのオプションを選択解除します。

  8. 表3-38「wsmgmt.xmlファイルの編集」の説明に従って、wsmgmt.xmlデプロイメント・ディスクリプタ・ファイルを編集します。

3.7.2.2 OWSM 12cクライアントの構成(SSL経由のSAMLトークン送信者保証)

次のステップを実行してOWSM 12cクライアントを構成します。

  1. サーバーを双方向SSL用に構成します。

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』WebLogic ServerへのSSLの構成(双方向)に関する説明を参照してください

  2. OC4J 10g Webサービスへのクライアント・プロキシを作成します。

    詳細は、「Webサービス・エンドポイントが、Oracle WebLogic ServerでHTTPSおよびSSLポートが構成されているURLを参照していることを確認してください」を参照してください。

  3. oracle/wss_saml_token_over_ssl_client_policyポリシーをアタッチします。

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』ポリシーのアタッチに関する説明を参照してください

  4. ポリシーを構成します。

    詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』oracle/wss_saml_token_over_ssl_client_policyに関する説明を参照してください

  5. Webサービスを起動します。

3.7.2.3 wsmgmt.xmlファイルの編集(SSL経由のSAMLトークン送信者保証)

次のステップに従って、wsmgmt.xmlファイルを編集します。

  1. ORACLE_HOME/j2ee/oc4j_instance/config/の下でwsmgmt.xmlファイルを検索します。

  2. アウトバウンド署名で、次のようにタイムスタンプに署名が必要であることを指定します(それ以外のタグはすべて削除します)。

    <outbound>
   <signature>
      <add-timestamp created="true" expiry="<Expiry_Time>"/> 
   </signature>
...