4 Oracle WebLogic Server 12c Webサービスのセキュリティ環境との相互運用性
この章の内容は次のとおりです。
-
Oracle WebLogic Server向けのメッセージ保護付きユーザー名トークン(WS-Security 1.1)
-
Oracle WebLogic Server向けのメッセージ保護付きユーザー名トークン(WS-Security 1.1)およびMTOM
-
Oracle WebLogic Server向けのメッセージ保護付きユーザー名トークン(WS-Security 1.0)
-
Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン2.0 (送信者保証)(WS-Security 1.1)
-
Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.1)
-
Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.1)およびMTOM
-
Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.0)
4.1 Oracle WebLogic Server 12c Webサービスのセキュリティ環境との相互運用性の概要
Oracle Fusion Middleware 12cでは、OWSMおよびOracle WebLogic Server 12c Webサービスの両方のポリシーをWebLogic Java EE Webサービスにアタッチできます。
4.1.1 Oracle WebLogic Server 12cポリシー向けのOWSM事前定義済ポリシー
Oracle WebLogic Server 12cのセキュリティ環境向けのOWSM事前定義済ポリシーの詳細は、このトピックを参照してください。
-
OWSM事前定義済ポリシーについては、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の事前定義済ポリシーに関する説明を参照してください。
-
OWSM 12cポリシーの構成およびアタッチについては、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービスの保護に関する説明およびポリシーのアタッチに関する説明を参照してください。
Oracle WebLogic Server 12c Webサービスの事前定義済ポリシーの詳細は、次の資料を参照してください。
-
『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明
-
Oracle WebLogic Server WebLogic Webサービスの保護のOracle Web Services Managerのセキュリティ・ポリシーの使用
4.1.2 Oracle WebLogic Serviceの相互運用性シナリオ
WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーとの間、およびWebLogicクライアント・ポリシーとOWSM Webサービス・ポリシーとの間の相互運用性に関する様々なシナリオの詳細は、このトピックを参照してください。
表4-1および表4-2は、セキュリティ要件(認証、メッセージ保護およびトランスポート)に基づいたOracle WebLogic Server 12c Webサービス・ポリシーの最も一般的な相互運用性シナリオをまとめたものです。表は次のように構成されています。
表4-1 WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーの相互運用性
アイデンティティ・トークン | WS-Securityバージョン | メッセージ保護 | トランスポート・セキュリティ | サービス・ポリシー | クライアント・ポリシー |
---|---|---|---|---|---|
1.1 |
はい |
いいえ |
|
|
|
1.1 |
はい |
いいえ |
|
|
|
1.0 |
はい |
いいえ |
|
|
|
1.1 |
はい |
いいえ |
|
|
|
1.1 |
はい |
いいえ |
|
|
|
1.1 |
はい |
いいえ |
|
|
|
1.0 |
はい |
いいえ |
|
|
|
1.1 |
はい |
いいえ |
|
|
|
1.0 |
はい |
いいえ |
|
|
表4-2 OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーの相互運用性
アイデンティティ・トークン | WS-Securityバージョン | メッセージ保護 | トランスポート・セキュリティ | サービス・ポリシー | クライアント・ポリシー |
---|---|---|---|---|---|
1.1 |
はい |
いいえ |
|
|
|
1.1 |
はい |
いいえ |
|
|
|
1.0 |
はい |
いいえ |
|
|
|
1.0および1.1 |
いいえ |
はい |
|
|
|
1.0および1.1 |
いいえ |
はい |
|
|
|
1.0および1.1 |
いいえ |
はい |
|
|
|
1.0および1.1 |
いいえ |
はい |
|
|
|
1.1 |
はい |
いいえ |
|
|
|
1.1 |
はい |
いいえ |
|
|
|
1.1 |
はい |
いいえ |
|
|
|
1.0 |
はい |
いいえ |
|
|
|
1.1 |
はい |
いいえ |
|
|
|
1.0 |
はい |
いいえ |
|
|
表4-3 Oracle WebLogic Server 12c Webサービスのセキュリティ環境との相互運用性
相互運用性シナリオ | クライアント→Webサービス | OWSM 12cポリシー | Oracle WebLogic Server 12cポリシー |
---|---|---|---|
「Oracle WebLogic Server向けのメッセージ保護付きユーザー名トークン(WS-Security 1.1)」 |
Oracle WebLogicサーバー ——> OWSM |
|
|
(続き) |
OWSM ——> Oracle WebLogic Server |
|
|
「Oracle WebLogic Server向けのメッセージ保護付きユーザー名トークン(WS-Security 1.1)およびMTOM」 |
Oracle WebLogicサーバー ——> OWSM |
|
|
(続き) |
OWSM ——> Oracle WebLogic Server |
|
|
「Oracle WebLogic Server向けのメッセージ保護付きユーザー名トークン(WS-Security 1.0)」 |
Oracle WebLogicサーバー ——> OWSM |
|
|
(続き) |
OWSM ——> Oracle WebLogic Server |
|
|
Oracle WebLogicサーバー ——> OWSM |
|
|
|
Oracle WebLogicサーバー ——> OWSM |
|
|
|
Oracle WebLogicサーバー ——> OWSM |
|
|
|
Oracle WebLogicサーバー ——> OWSM |
|
|
|
「Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン2.0 (送信者保証)(WS-Security 1.1)」 |
Oracle WebLogicサーバー ——> OWSM |
oracle/wss11_saml_token_with_message_protection_service_policy |
|
(続き) |
OWSM ——> Oracle WebLogic Server |
|
|
Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.1) |
Oracle WebLogicサーバー ——> OWSM |
|
|
(続き) |
OWSM ——> Oracle WebLogic Server |
|
|
Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.1)およびMTOM |
Oracle WebLogicサーバー ——> OWSM |
|
|
(続き) |
OWSM ——> Oracle WebLogic Server |
|
|
Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.0) |
Oracle WebLogicサーバー ——> OWSM |
|
|
(続き) |
OWSM ——> Oracle WebLogic Server |
|
|
Oracle WebLogicサーバー ——> OWSM |
|
|
|
(続き) |
OWSM ——> Oracle WebLogic Server |
|
|
Oracle WebLogicサーバー ——> OWSM |
|
|
|
(続き) |
OWSM ——> Oracle WebLogic Server |
|
|
4.2 Oracle WebLogic Server向けのメッセージ保護付きユーザー名トークン(WS-Security 1.1)
メッセージ保護付きユーザー名トークン・ポリシーは、WS-Security 1.1標準に準拠します。このポリシーは、OWSMとOracle WebLogic Server Webサービスのセキュリティ環境との間の相互運用性を実現するために実装されます。
4.2.1 WebLogic Webサービス・ポリシーとの相互運用性(ユーザー名トークン)
WS-Security 1.1標準に準拠するメッセージ保護付きユーザー名トークンを実装し、WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーとの間の相互運用性を確保するには、次の手順を実行します。
4.2.1.1 WebLogic Webサービス・ポリシーのアタッチと構成(ユーザー名トークン)
次のステップに従って、WebLogic Webサービス・ポリシーをアタッチおよび構成します。
-
WebLogic Webサービスを作成します。
詳細は、『Webサービスの理解』のWebLogic (Java EE) Webサービスを実装するためのロードマップに関する説明を参照してください
-
次のポリシーをアタッチします。
-
Wssp1.2-2007-Wss1.1-UsernameToken-Plain-EncryptedKey-Basic128.xml
-
Wssp1.2-2007-SignBody.xml
-
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
-
-
IDストアおよび信頼ストアを構成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのIDおよび信頼の構成に関する項を参照してください
-
メッセージレベルのセキュリティを構成します。
注意:
WS-Security 1.1ポリシーに指定する必要があるのは、機密保護キーのみです。
詳細は、次を参照してください。
-
『Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージレベルのセキュリティの構成に関する説明
-
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのセキュリティ構成の作成に関する説明
-
-
Webサービスをデプロイします。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのインストールに関する説明を参照してください
4.2.1.2 OWSMクライアント・ポリシーのアタッチと構成(ユーザー名トークン)
次のステップに従って、OWSMクライアント・ポリシーをアタッチおよび構成します。
-
clientgen
または他のメカニズムを使用して、前に作成したWebサービスのクライアント・プロキシを作成します。詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
-
oracle/wss11_username_token_with_message_protection_client_policy
ポリシーをWebサービス・クライアントにアタッチします。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
ポリシーを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss11_username_token_with_message_protection_client_policyに関する説明を参照してください
-
クライアント構成内に
keystore.recipient.alias
を指定します。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss11_username_token_with_message_protection_client_policyに関する説明を参照してください
-
クライアントに指定する
keystore.recipient.alias
キーが、Webサービスに対して構成されている信頼ストア内に信頼できる証明書エントリとして存在していることを確認してください。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss11_username_token_with_message_protection_client_policyに関する説明を参照してください
-
有効なユーザー名およびパスワードを構成の一部として指定します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss11_username_token_with_message_protection_client_policyに関する説明を参照してください
-
クライアントからWebサービス・メソッドを起動します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
4.2.2 Webサービス・クライアント・ポリシー(ユーザー名トークン)
WS-Security 1.1標準に準拠するメッセージ保護付きユーザー名トークンを実装して、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保できます。
4.2.2.1 OWSM Webサービス・ポリシーのアタッチと構成(ユーザー名トークン)
次のステップに従って、OWSMポリシーをアタッチおよび構成します。
-
Webサービスを作成してデプロイします。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
-
次のポリシーをWebサービスにアタッチします。
-
oracle/wss11_username_token_with_message_protection_service_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
4.2.2.2 WebLogic Webサービス・クライアント・ポリシーのアタッチと構成(ユーザー名トークン)
次のステップに従って、WebLogic Webサービス・クライアント・ポリシーをアタッチおよび構成します。
-
clientgen
を使用して作成されたWebサービスのクライアント・プロキシを作成します。詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する説明を参照してください
-
次のポリシーをアタッチします。
-
Wssp1.2-2007-Wss1.1-UsernameToken-Plain-EncryptedKey-Basic128.xml
-
Wssp1.2-2007-SignBody.xml
-
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
-
-
クライアントでサーバー(暗号化キー)を構成します。
注意:
指定する暗号化キーが、Webサービスに対して構成されている暗号化キーと一致していることを確認してください。
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のクライアント・アプリケーションの更新によるメッセージ保護されたWebサービスの呼出しに関する項を参照してください
-
クライアントからWebサービス・メソッドを起動します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のWebサービスを起動するためのJavaクライアント・アプリケーション・コードの記述に関する説明を参照してください
4.3 Oracle WebLogic Server向けのメッセージ保護付きユーザー名トークン(WS-Security 1.1)およびMTOM
メッセージ保護付きユーザー名トークン・ポリシーとメッセージ送信最適化メカニズム・ポリシーは、WS-Security 1.1標準に準拠します。これらのポリシーは、OWSMとOracle WebLogic Server Webサービスのセキュリティ環境との間の相互運用性を実現するために実装されます。
4.3.1 WebLogic Webサービス・ポリシーとの相互運用性(メッセージ保護およびMTOMを使用するユーザー名トークン)
WS-Security 1.1標準に準拠し、メッセージ送信最適化メカニズム(MTOM)を使用するメッセージ保護付きユーザー名トークンを実装し、WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーとの間の相互運用性を確保するには、次の手順を実行します。
4.3.1.1 WebLogic Webサービス・ポリシーのアタッチと構成(メッセージ保護およびMTOMを使用するユーザー名トークン)
次のステップに従って、WebLogic Webサービス・ポリシーをアタッチおよび構成します。
-
WebLogic Webサービスを作成します。
詳細は、『Webサービスの理解』のWebLogic (Java EE) Webサービスを実装するためのロードマップに関する説明を参照してください。
-
Webサービスで
@MTOM
注釈を使用します。詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
4.3.1.2 OWSMクライアント・ポリシーのアタッチと構成(メッセージ保護およびMTOMを使用するユーザー名トークン)
次のステップに従って、OWSMクライアント・ポリシーをアタッチおよび構成します。
-
clientgen
または他のメカニズムを使用して、Webサービスのクライアント・プロキシを構成します。 -
Webサービスで
@MTOM
注釈を使用していない場合、「管理」タブからwsmtom_policy
をアタッチします。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
4.3.2 WebLogic Webサービス・クライアント・ポリシーとの相互運用性(メッセージ保護およびMTOMを使用するユーザー名トークン)
WS-Security 1.1標準に準拠し、メッセージ送信最適化メカニズム(MTOM)を使用するメッセージ保護付きユーザー名トークンを実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保するには、次の手順を実行します。
4.3.2.1 OWSMポリシーのアタッチと構成(メッセージ保護およびMTOMを使用するユーザー名トークン)
次のステップに従って、OWSMポリシーをアタッチおよび構成します。
-
OWSM Webサービスを構成します。
-
「管理」タブから
wsmtom_policy
をアタッチします。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
4.4 Oracle WebLogic Server向けのメッセージ保護付きユーザー名トークン(WS-Security 1.0)
メッセージ保護付きユーザー名トークン・ポリシーは、WS-Security 1.0標準に準拠します。このポリシーは、OWSMとOracle WebLogic Server 12c Webサービスのセキュリティ環境との間の相互運用性を実現するために実装されます。
注意:
WS-Security 1.0ポリシーは、レガシー・アプリケーションに対してのみサポートされています。最大のパフォーマンスを実現するためには、WS-Security 1.1ポリシーを使用してください。詳細は、Oracle WebLogic Server向けのメッセージ保護付きユーザー名トークン(WS-Security 1.1)を参照してください。
4.4.1 WebLogic Webサービス・ポリシーとの相互運用性(メッセージ保護付きユーザー名トークン)
WS-Security 1.0標準に準拠するメッセージ保護付きユーザー名トークンを実装し、WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーとの間の相互運用性を確保するには、次の手順を実行します。
4.4.1.1 WebLogic Webサービス・ポリシーのアタッチと構成(メッセージ保護付きユーザー名トークン)
次のステップに従って、WebLogic Webサービス・ポリシーをアタッチおよび構成します。
-
WebLogic Webサービスを作成します。
詳細は、『Webサービスの理解』のWebLogic (Java EE) Webサービスを実装するためのロードマップに関する説明を参照してください
-
次のポリシーをアタッチします。
-
Wssp1.2-2007-SignBody.xml
-
Wssp1.2-wss10_username_token_with_message_protection_owsm_policy.xm
l -
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
-
-
IDストアおよび信頼ストアを構成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのIDおよび信頼の構成に関する項を参照してください。
-
メッセージレベルのセキュリティを構成します。
詳細は、次を参照してください。
-
『Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージレベルのセキュリティの構成に関する説明
-
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのセキュリティ構成の作成に関する説明
-
-
Webサービスをデプロイします。
詳細は、Oracle WebLogic ServerへのアプリケーションのデプロイのWebサービスのデプロイを参照してください。
4.4.1.2 OWSMクライアント・ポリシーのアタッチと構成(メッセージ保護付きユーザー名トークン)
次のステップに従って、OWSMクライアント・ポリシーをアタッチおよび構成します。
-
clientgen
または他のメカニズムを使用して、作成したWebサービスへのクライアント・プロキシを作成します。詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
-
次のポリシーをWebサービス・クライアントにアタッチします。
-
oracle/wss10_username_token_with_message_protection_client_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
-
ポリシーを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_username_token_with_message_protection_client_policyに関する説明を参照してください
注意:
クライアント(署名および復号化キー)とキーストア受信者別名(暗号化に使用されるサーバー公開キー)には、必ず別々のキーを使用してください。受信者別名が、Webサービス・ポリシーのセキュリティ構成内に定義されているキーと一致していることを確認してください。
-
クライアントに指定する署名および暗号化キーが、Webサービスに対して構成されている信頼ストア内に信頼できる証明書エントリとして存在していることを確認してください。
-
有効なユーザー名およびパスワードを構成の一部として指定します。
-
クライアントからWebサービス・メソッドを起動します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
4.4.2 WebLogic Webサービス・クライアント・ポリシーとの相互運用性(メッセージ保護付きユーザー名トークン)
WS-Security 1.0標準に準拠するメッセージ保護付きユーザー名トークンを実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保するには、次の手順を実行します。
4.4.2.1 OWSMポリシーのアタッチと構成(メッセージ保護付きユーザー名トークン)
OWSMポリシーをアタッチおよび構成するには、次のステップを実行します。
-
Webサービスを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
-
次のポリシーをWebサービスにアタッチします。
-
oracle/wss10_username_token_with_message_protection_service_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。
-
4.4.2.2 WebLogic Webサービス・クライアント・ポリシーのアタッチと構成(メッセージ保護付きユーザー名トークン)
次のステップに従って、WebLogic Webサービス・クライアント・ポリシーをアタッチおよび構成します。
-
clientgen
を使用して作成されたWebサービスのクライアント・プロキシを作成します。詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する説明を参照してください
-
次のポリシーをアタッチします。
-
Wssp1.2-wss10_username_token_with_message_protection_owsm_policy.xml
-
Wssp1.2-2007-SignBody.xml
-
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
-
-
クライアント・サーバー(暗号化キー)およびクライアント証明書を構成します。
注意:
指定する暗号化キーが、Webサービスに対して構成されている暗号化キーと一致していることを確認してください。
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のクライアント・アプリケーションの更新によるメッセージ保護されたWebサービスの呼出しに関する項を参照してください
-
クライアントからWebサービス・メソッドを起動します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のWebサービスを起動するためのJavaクライアント・アプリケーション・コードの記述に関する説明を参照してください
4.5 Oracle WebLogic Server向けのSSL経由のユーザー名トークン
SSL経由のユーザー名トークン・アイデンティティ・トークンは、WS-Security 1.0および1.1標準に準拠します。このアイデンティティ・トークンは、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を実現するために実装されます。
SSL経由でユーザー名トークンを実装できます。SSL経由のユーザー名トークンを実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保するには、次の手順を実行します。
4.5.1 OWSMポリシーのアタッチと構成(SSL経由のユーザー名トークン)
次のステップに従って、OWSMポリシーをアタッチおよび構成します。
-
サーバーを一方向SSL用に構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebLogic ServerへのSSLの構成(一方向)に関する説明を参照してください
-
Webサービスを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
-
次のポリシーをアタッチします。
-
oracle/wss_username_token_over_ssl_service_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
4.5.2 WebLogic Webサービス・クライアント・ポリシーのアタッチと構成(SSL経由のユーザー名トークン)
次のステップに従って、WebLogic Webサービス・クライアント・ポリシーをアタッチおよび構成します。
-
clientgen
を使用して作成されたWebサービスのクライアント・プロキシを作成します。クライアント・プロキシ内に、このポリシーの構成の一部として有効なユーザー名およびパスワードを指定します。詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する説明を参照してください
-
SSL向けにWebLogic Serverを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebLogic ServerへのSSLの構成(一方向)に関する説明を参照してください
-
IDストアおよび信頼ストアを構成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのIDおよび信頼の構成に関する項を参照してください
-
Wssp1.2-2007-Https-UsernameToken-Plain.xml
をWebサービス・クライアントにアタッチします。詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
-
SSLクライアントで信頼ストアおよび他の必要なシステム・プロパティを指定します。
詳細は、『WebLogicセキュリティ・サービスによるアプリケーションの開発』のJavaクライアントでのSSL認証の使用に関する説明を参照してください
-
Webサービスを起動します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のWebサービスを起動するためのJavaクライアント・アプリケーション・コードの記述に関する説明を参照してください
4.6 MTOMを使用したOracle WebLogic Server向けのSSL経由のユーザー名トークンの実装
メッセージ送信最適化メカニズム(MTOM)を使用するSSL経由のユーザー名トークンを実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保するには、次のステップを実行します。
4.7 Oracle WebLogic Server向けのSSL経由のSAMLトークン(送信者保証)
SSL経由のSAMLトークン(送信者保証)アイデンティティ・トークンは、WS-Security 1.0および1.1標準に準拠します。このアイデンティティ・トークンは、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保するために実装されます。
4.7.1 OWSMポリシーのアタッチと構成(SAMLトークン)
次のステップに従って、OWSMポリシーをアタッチおよび構成します。
-
双方向SSLの
oracle/wss_saml_token_over_ssl_service_policy
ポリシーを構成します。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss_saml_token_over_ssl_service_policyに関する説明を参照してください
-
Webサービスを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
-
oracle/wss_saml_token_over_ssl_service_policy
ポリシーをWebサービスにアタッチします。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。
4.7.2 WebLogic Webサービス・クライアント・ポリシーの構成(SAMLトークン)
次のステップに従って、WebLogic Webサービス・クライアント・ポリシーをアタッチおよび構成します。
-
双方向SSLの
oracle/wss_saml_token_over_ssl_service_policy
ポリシーを構成します。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss_saml_token_over_ssl_service_policyに関する説明を参照してください
-
Webサービスを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
-
oracle/wss_saml_token_over_ssl_service_policy
ポリシーをWebサービスにアタッチします。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください。
4.7.3 WebLogic Webサービス・クライアント・ポリシーのアタッチと構成(SAMLトークン)
次のステップに従って、WebLogic Webサービス・クライアント・ポリシーをアタッチおよび構成します。
-
clientgen
を使用して前に作成されたWebサービスのクライアント・プロキシを作成します。詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する説明を参照してください
-
Oracle WebLogic Serverを双方向SSL用に構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebLogic ServerへのSSLの構成(双方向)に関する説明を参照してください
-
IDストアおよび信頼ストアを構成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのIDおよび信頼の構成に関する項を参照してください
-
Wssp1.2-2007-Saml1.1-SenderVouches-Https.xml
をWebサービス・クライアントにアタッチします。詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
-
SAML資格証明マッピング・プロバイダを構成します。
-
WebLogic Server管理コンソールで、「セキュリティ・レルム」→「レルム名」→「プロバイダ」→「資格証明マッピング」ページにナビゲートし、「SAMLCredentialMapperV2」タイプの新しい資格証明マッピング・プロバイダを作成します。
-
新規のプロバイダを選択して「プロバイダ固有」をクリックし、プロバイダを次のように構成します。
-
「発行者URI」を
www.oracle.com
に設定します。 -
「名前修飾子」を
www.oracle.com
に設定します。
-
-
Oracle WebLogic Serverを再起動します。
詳細は、『Webサービスの管理』のOracle WebLogic管理コンソールへのアクセスに関する説明を参照してください
-
「プロファイル」をWSS/Sender-Vouchesに設定して、SAMLリライイング・パーティを作成します。
-
次のようにSAMLリライイング・パーティを構成します(その他の値はデフォルトの設定のままにしておきます)。
-
ターゲットURL: <url_used_to_access_Web_service>
-
説明: <your_description>
-
「有効」チェック・ボックスを選択し、「保存」をクリックします。
-
「ターゲットURL」は必ず、クライアントWebサービスに使用されているURLに設定してください。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 1.1リライング・パーティの作成に関する項を参照してください
-
-
サーブレットを作成し、そのサーブレットからプロキシ・コードをコールします。
-
認証済サブジェクトを作成できるように、基本認証を使用します。
-
SSLクライアントで信頼ストアおよび他の必要なシステム・プロパティを指定します。
詳細は、『WebLogicセキュリティ・サービスによるアプリケーションの開発』のJavaクライアントでのSSL認証の使用に関する説明を参照してください
-
Webアプリケーション・クライアントを起動します。
-
SAMLトークンを使用してアイデンティティを伝播するユーザーの資格証明を入力します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のWebサービスを起動するためのJavaクライアント・アプリケーション・コードの記述に関する説明を参照してください
4.8 MTOMを使用したOracle WebLogic Server向けのSSL経由のSAMLトークン(送信者保証)の実装
MTOMを使用するSSL経由のSAMLトークン保証を実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保するには、次のステップを実行します。
4.9 Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン2.0 (送信者保証)(WS-Security 1.1)
メッセージ保護付きSAMLトークン2.0 (送信者保証)アイデンティティ・トークンは、WS-Security 1.1標準に準拠します。このアイデンティティ・トークンは、OWSMとOracle WebLogic Server 12c Webサービスのセキュリティ環境との間の相互運用性を実現するために実装されます。
4.9.1 WebLogic Webサービス・ポリシーとの相互運用性(SAMLトークン2.0)
WS-Security 1.1標準に準拠するメッセージ保護付きSAML 2.0トークン送信者保証を実装し、WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーとの間の相互運用性を確保するには、次の手順を実行します。
4.9.1.1 WebLogic Webサービス・ポリシーのアタッチと構成(SAMLトークン2.0)
次のステップに従って、WebLogic Webサービス・ポリシーをアタッチおよび構成します。
-
WebLogic Webサービスを作成します。
詳細は、『Webサービスの理解』のWebLogic (Java EE) Webサービスを実装するためのロードマップに関する説明を参照してください
-
次のポリシーをアタッチします。
-
Wssp1.2-2007-Saml2.0-SenderVouches-Wss1.1.xml
-
Wssp1.2-2007-SignBody.xml
-
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
-
-
メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。キーストアから2つのキーをエクスポートし、その両方を信頼して信頼ストアにインポートし、信頼ストアを作成します。IDストアおよび信頼ストアを構成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのIDおよび信頼の構成に関する項を参照してください。
-
メッセージレベルのセキュリティを構成します。
詳細は、次の章を参照してください。
-
『Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージレベルのセキュリティの構成に関する説明
-
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのセキュリティ構成の作成に関する説明
-
-
次のアノテーションを使用して、新規の構成をアタッチします。
@WssConfiguration(value="<my_security_configuration>")
where <my_security_configuration> is the name of the Web Security Configuration created in previous step.詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージ・レベルのセキュリティの構成に関する項を参照してください
-
Webサービスをデプロイします。
詳細は、Oracle WebLogic ServerへのアプリケーションのデプロイのWebサービスのデプロイを参照してください。
-
SAML IDアサータを作成します。
In the WebLogic Server Administration Console, navigate to Security Realms > RealmName > Providers > Credential Mapping page and create a New Credential Mapping Provider of type SAML2IdentityAsserter.
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証およびIDアサーション・プロバイダの構成に関する項を参照してください
-
WebLogic Serverを再起動します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのサーバーの起動と停止に関する項 を参照してください。
-
ステップ7で作成したIDアサータにIDプロバイダを追加するには、次のステップを実行します。
-
WebLogic管理コンソールで、ステップ7で作成したIDアサータを選択します。
-
新規のアイデンティティ・プロバイダ・パートナを作成し、「新規」を選択し、新規Webサービスのアイデンティティ・プロバイダ・パートナを選択します。
-
名前を入力して、「終了」を選択します。
-
-
次のように、アイデンティティ・プロバイダを構成します。
-
ステップ9で作成したアイデンティティ・プロバイダを選択します。
-
「有効」チェック・ボックスを選択します。
-
オーディエンスのURIを入力します。次に例を示します。
target:*:/saml20WLSWS-Project1-context-root/Class1Port
-
「発行者URI」を
www.oracle.com
に設定します。 -
「ターゲットURL」を<url_used_to_access_Web_service>に設定します。
-
「プロファイル」を
WSS/Sender-Vouches
に設定します。
-
4.9.1.2 OWSMクライアント・ポリシーのアタッチと構成(SAMLトークン2.0)
次のステップに従って、OWSMクライアント・ポリシーをアタッチおよび構成します。
-
JDeveloperを使用して、前に作成したWebサービスのクライアントを生成します。Webプロジェクトを作成し、「新規」を選択し、WSDLを使用してクライアント・プロキシを作成します。
詳細は、次の章を参照してください。
-
『Webサービスの理解』のOracle Fusion Middleware Webサービスを実装するためのロードマップに関する説明
-
Oracle JDeveloperによるアプリケーションの開発のWebサービスの開発と保護に関する項。
-
-
前述のプロジェクトにサーブレットを追加します。
-
oracle/wss11_saml20_token_with_message_protection_client_policy
ポリシーをWebサービス・クライアントにアタッチします。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
クライアント構成内に
keystore.recipient.alias
を指定します。注意:
keystore.recipient.alias
が、Webサービスに対して指定されている復号化キーと同じであることを確認してください。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss11_saml20_token_with_message_protection_cient_policyに関する説明を参照してください
-
クライアントに指定する
keystore.recipient.alias
キーが、Webサービスに対して構成されている信頼ストア内に信頼できる証明書エントリとして存在していることを確認してください。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss11_saml20_token_with_message_protection_cient_policyに関する説明を参照してください
-
JDeveloperで、「ADFセキュリティの構成」ウィザードを使用して、フォーム・ベースの認証を備えたセキュアなWebプロジェクトにします。
詳細は、『Oracle JDeveloperによるアプリケーションの開発』を参照してください
-
Webアプリケーション・クライアントを起動します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
4.9.2 WebLogic Webサービス・クライアント・ポリシーとの相互運用性(SAMLトークン2.0)
WS-Security 1.1標準に準拠するメッセージ保護付きSAML 2.0トークン送信者保証を実装し、WebLogic Webサービス・クライアント・ポリシーとOWSMポリシーとの間の相互運用性を確保するには、次の手順を実行します。
4.9.2.1 OWSMポリシーのアタッチと構成(SAMLトークン2.0)
次のステップに従って、OWSMポリシーをアタッチおよび構成します。
-
Webサービスを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
-
次のポリシーをWebサービスにアタッチします。
oracle/wss11_saml20_token_with_message_protection_service_policy
.詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
4.9.2.2 WebLogic Webサービス・クライアントのアタッチと構成(SAMLトークン2.0)
次のステップに従って、WebLogic Webサービス・クライアントをアタッチおよび構成します。
-
JDeveloperを使用して、デプロイ済WebサービスのJava EEクライアントを作成します。Webプロジェクトを作成し、WSDLプロキシを使用してプロキシを作成します。
詳細は、『Oracle JDeveloperによるアプリケーションの開発』のJAX-WS Webサービスとクライアントの作成に関する項を参照してください
-
次のポリシーをアタッチします。
-
Wssp1.2-2007-Saml2.0-SenderVouches-Wss1.1.xml
-
Wssp1.2-2007-SignBody.xml
-
Wssp1.2-2007-EncryptBody.xml
注意:
weblogic.jar
をフォルダに抽出して、前述のポリシー・ファイルの絶対パスを指定します。詳細は、『Oracle JDeveloperによるアプリケーションの開発』のポリシーのアタッチに関する項を参照してください
-
-
前述のWebプロジェクトにサーブレットを追加します。
-
クライアント・サーバー(暗号化キー)およびクライアント証明書を構成します。
注意:
指定する暗号化キーが、Webサービスに対して構成されている復号化キーと一致していることを確認してください。
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のクライアント・アプリケーションの更新によるメッセージ保護されたWebサービスの呼出しに関する項を参照してください
-
基本認証を使用してWebアプリケーション・クライアントを保護します。
詳細は、『WebLogicセキュリティ・サービスによるアプリケーションの開発』のBASIC認証Webアプリケーションの開発に関する項を参照してください
-
Java EE Webアプリケーション・クライアントをデプロイします。
詳細は、『Webサービスの管理』のWebサービス・アプリケーションのデプロイに関する説明を参照してください
-
SAML資格証明マッピング・プロバイダを構成します。
-
Oracle WebLogic Server管理コンソールで、「セキュリティ・レルム」→「レルム名」→「プロバイダ」→「資格証明マッピング」ページに移動し、「SAML2CredentialMapper」タイプの新しい資格証明マッピング・プロバイダを作成します。
-
-
新規のプロバイダを選択して「プロバイダ固有」をクリックし、プロバイダを次のように構成します。
-
「発行者URI」を
www.oracle.com
に設定します。 -
「名前修飾子」を
www.oracle.com
に設定します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの資格証明マッピング・プロバイダの構成に関する項を参照してください
-
-
WebLogic Serverを再起動します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのサーバーの起動と停止に関する項 を参照してください。
-
新規のサービス・プロバイダ・パートナを作成するには、次のステップを実行します。
-
WebLogic管理コンソールで、ステップ7で作成した資格証明マッパーを選択し、「管理」タブを選択します。
-
「新規」を選択し、新規Webサービスのサービス・プロバイダ・パートナを選択します。
-
名前を入力して、「終了」を選択します。
-
-
次のように、サービス・プロバイダ・パートナを構成します。
-
ステップ10で作成したサービス・プロバイダ・パートナを選択します。
-
「有効」チェック・ボックスを選択します。
-
オーディエンスのURIを入力します。
-
「発行者URI」を
www.oracle.com
に設定します。 -
「ターゲットURL」を<url_used_to_access_Web_service>に設定します。
-
「プロファイル」を
WSS/Sender-Vouches
に設定します。
-
-
Webアプリケーション・クライアントを起動します。
-
SAMLトークンを使用してアイデンティティを伝播するユーザーの資格証明を入力します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のWebサービスを起動するためのJavaクライアント・アプリケーション・コードの記述に関する説明を参照してください
-
4.10 Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.1)
メッセージ保護付きSAMLトークン(送信者保証)アイデンティティ・トークンは、WS-Security 1.1標準に準拠します。このアイデンティティ・トークンは、OWSMとOracle WebLogic Server 12c Webサービスのセキュリティ環境との間の相互運用性を実現するために実装されます。
4.10.1 WebLogic Webサービス・ポリシーとの相互運用性(メッセージ保護付きSAMLトークン)
WS-Security 1.1標準に準拠するメッセージ保護付きSAMLトークン送信者保証を実装し、WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーとの間の相互運用性を確保するには、次の手順を実行します。
4.10.1.1 WebLogic Webサービス・ポリシーのアタッチと構成(メッセージ保護付きSAMLトークン)
次のステップに従って、WebLogic Webサービス・ポリシーをアタッチおよび構成します。
-
WebLogic Webサービスを作成します。
詳細は、『Webサービスの理解』のWebLogic (Java EE) Webサービスを実装するためのロードマップに関する説明を参照してください
-
次のポリシーをアタッチします。
-
Wssp1.2-wss11_saml_token_with_message_protection_owsm_policy.xml
-
Wssp1.2-2007-SignBody.xml
-
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください。
-
-
IDストアおよび信頼ストアを構成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのIDおよび信頼の構成に関する項を参照してください
-
メッセージレベルのセキュリティを構成します。
注意:
これはWS-Security 1.1ポリシーなので、指定する必要があるのは機密保護キーのみです。
詳細は、次の章を参照してください。
-
『Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージレベルのセキュリティの構成に関する説明
-
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのセキュリティ構成の作成に関する説明。
-
-
Webサービスをデプロイします。
詳細は、Oracle WebLogic ServerへのアプリケーションのデプロイのWebサービスのデプロイを参照してください。
-
SAMLIdentityAsserterV2認証プロバイダを作成します。
-
WebLogic Server管理コンソールで、「セキュリティ・レルム」→「レルム名」→「プロバイダ」→「資格証明マッピング」ページにナビゲートし、「SAMLCredentialMapperV2」タイプの新しい資格証明マッピング・プロバイダを作成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証およびIDアサーション・プロバイダの構成に関する項を参照してください
-
-
WebLogic Serverを再起動します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのサーバーの起動と停止に関する項 を参照してください。
-
ステップ5で作成した認証プロバイダを選択します。
-
SAMLアサーティング・パーティを作成します。
-
「プロファイル」を
WSS/Sender-Vouches
に設定します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 1.1アサーティング・パーティの作成に関する項を参照してください
-
-
次のようにして、SAMLアサーティング・パーティを構成します。
-
「発行者URI」を
www.oracle.com
に設定します。 -
「ターゲットURL」を<url_used_to_access_Web_service>に設定します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 1.1アサーティング・パーティの作成に関する項を参照してください
-
4.10.1.2 OWSMクライアント・ポリシーのアタッチと構成(メッセージ保護付きSAMLトークン)
次のステップに従って、OWSMクライアント・ポリシーをアタッチおよび構成します。
-
clientgenまたは他のメカニズムを使用して、前に作成したWebサービスへのクライアント・プロキシを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
-
次のポリシーをWebサービス・クライアントにアタッチします。
-
oracle/wss11_saml_token_with_message_protection_client_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
-
oracle/wss11_saml_token_with_message_protection_client_policy
の説明に従って、このポリシーを構成します。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss11_saml_token_with_message_protection_client_policyに関する説明を参照してください
-
クライアント構成内に
keystore.recipient.alias
を指定します。注意:
keystore.recipient.alias
が、Webサービスに対して指定されている復号化キーと同じであることを確認してください。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss11_saml_token_with_message_protection_client_policyに関する説明を参照してください
-
クライアントに指定する
keystore.recipient.alias
キーが、Webサービスに対して構成されている信頼ストア内に信頼できる証明書エントリとして存在していることを確認してください。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss11_saml_token_with_message_protection_client_policyに関する説明を参照してください
-
クライアント構成内に、SAMLトークンを使用してアイデンティティを伝播する必要のあるユーザーの有効なユーザー名を指定します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss11_saml_token_with_message_protection_client_policyに関する説明を参照してください
-
Webアプリケーション・クライアントを起動します。
-
SAMLトークンを使用してアイデンティティを伝播するユーザーの資格証明を入力します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
-
4.10.2 WebLogic Webサービス・クライアント・ポリシーとの相互運用性(メッセージ保護付きSAMLトークン)
WS-Security 1.1標準に準拠するメッセージ保護付きSAML送信者保証を実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保するには、次の手順を実行します。
4.10.2.1 OWSMポリシーのアタッチと構成(メッセージ保護付きSAMLトークン)
次のステップに従って、OWSMポリシーをアタッチおよび構成します。
-
Webサービスを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
-
次のポリシーをWebサービスにアタッチします。
-
oracle/wss11_saml_token_with_message_protection_service_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
4.10.2.2 WebLogic Webサービス・クライアント・ポリシーのアタッチと構成(メッセージ保護付きSAMLトークン)
次のステップに従って、WebLogic Webサービス・クライアント・ポリシーをアタッチおよび構成します。
-
clientgenを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する説明を参照してください
-
次のポリシーをアタッチします。
-
Wssp1.2-wss11_saml_token_with_message_protection_owsm_policy.xml
-
Wssp1.2-2007-SignBody.xml
-
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
-
-
クライアント・サーバー(暗号化キー)およびクライアント証明書を構成します。
注意:
指定する暗号化キーが、Webサービスに対して構成されている復号化キーと一致していることを確認してください。
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のクライアント・アプリケーションの更新によるメッセージ保護されたWebサービスの呼出しに関する項を参照してください
-
基本認証を使用してWebアプリケーション・クライアントを保護します。
詳細は、『WebLogicセキュリティ・サービスによるアプリケーションの開発』のBASIC認証Webアプリケーションの開発に関する項を参照してください。
-
Webサービス・クライアントをデプロイします。
詳細は、『Webサービスの管理』のWebサービス・アプリケーションのデプロイに関する説明を参照してください
-
SAML資格証明マッピング・プロバイダを構成します。
-
Oracle WebLogic Server管理コンソールで、「セキュリティ・レルム」→「レルム名」→「プロバイダ」→「資格証明マッピング」ページにナビゲートし、「SAMLCredentialMapperV2」タイプの新しい資格証明マッピング・プロバイダを作成します。
-
-
新規のプロバイダを選択して「プロバイダ固有」をクリックし、プロバイダを次のように構成します。
-
「発行者URI」を
www.oracle.com
に設定します。 -
「名前修飾子」を
www.oracle.com
に設定します。詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの資格証明マッピング・プロバイダの構成に関する項を参照してください
-
-
WebLogic Serverを再起動します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのサーバーの起動と停止に関する項 を参照してください。
-
SAMLリライイング・パーティを作成します。
-
「プロファイル」をWSS/Sender-Vouchesに設定します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 1.1リライイング・パーティの作成に関する項とSAML 1.1リライイング・パーティの構成に関する項を参照してください
-
-
SAMLリライイング・パーティを構成します。
-
「ターゲットURL」は必ず、クライアントWebサービスに使用されているURLに設定してください。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 1.1リライング・パーティの構成に関する項を参照してください
-
-
Webアプリケーション・クライアントを起動します。
-
SAMLトークンを使用してアイデンティティを伝播するユーザーの資格証明を入力します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のWebサービスを起動するためのJavaクライアント・アプリケーション・コードの記述に関する説明を参照してください
-
4.11 Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.1)およびMTOM
メッセージ保護付きSAMLトークン(送信者保証)アイデンティティ・トークンとメッセージ送信最適化メカニズム・アイデンティティ・トークンは、WS-Security 1.1標準に準拠します。これらのアイデンティティ・トークンは、OWSMとOracle WebLogic Server 12c Webサービスのセキュリティ環境との間の相互運用性を実現するために実装されます。
4.11.1 WebLogic Webサービス・ポリシーとの相互運用性(メッセージ保護およびMTOMを使用するSAMLトークン)
WS-Security 1.1標準に準拠し、MTOMを使用するメッセージ保護付きSAMLトークン送信者保証を実装し、WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーとの間の相互運用性を確保するには、次の手順を実行します。
4.11.1.1 WebLogic Webサービス・ポリシーのアタッチと構成(メッセージ保護およびMTOMを使用するSAMLトークン)
次のステップに従って、WebLogic Webサービス・ポリシーをアタッチおよび構成します。
-
Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.1)の説明に従って、WebLogic Webサービスを作成します。
詳細は、『Webサービスの理解』のWebLogic (Java EE) Webサービスを実装するためのロードマップに関する説明を参照してください
-
「WebLogic Webサービス・ポリシーのアタッチと構成」のステップ2で、Webサービスに@MTOM注釈を使用します。
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
4.11.1.2 OWSMクライアント・ポリシーのアタッチと構成(メッセージ保護およびMTOMを使用するSAMLトークン)
次のステップに従って、OWSMクライアント・ポリシーをアタッチおよび構成します。
-
Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.1)の説明に従って、前に作成したWebサービスへのクライアント・プロキシを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
-
「管理」タブから
wsmtom_policy
をアタッチします。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
4.11.2 WebLogic Webサービス・クライアント・ポリシーとの相互運用性(メッセージ保護およびMTOMを使用するSAMLトークン)
WS-Security 1.1標準に準拠し、MTOMを使用するメッセージ保護付きSAMLトークン送信者保証を実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保するには、次の手順を実行します。
4.11.2.1 OWSMポリシーのアタッチと構成(メッセージ保護およびMTOMを使用するSAMLトークン)
次のステップに従って、OWSMポリシーをアタッチおよび構成します。
-
Webサービスを作成してデプロイします。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
-
次のポリシーをWebサービスにアタッチします。
-
oracle/wss11_username_token_with_message_protection_service_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
4.11.2.2 WebLogic Webサービス・クライアント・ポリシーのアタッチと構成(メッセージ保護およびMTOMを使用するSAMLトークン)
次のステップに従って、WebLogic Webサービス・クライアント・ポリシーをアタッチおよび構成します。
-
clientgenを使用して前に作成されたWebサービスのクライアント・プロキシを作成します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する説明を参照してください
-
次のポリシーをアタッチします。
-
Wssp1.2-2007-Wss1.1-UsernameToken-Plain-EncryptedKey-Basic128.xml
-
Wssp1.2-2007-SignBody.xml
-
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
-
-
クライアントでサーバー(暗号化キー)を構成します。
注意:
指定する暗号化キーが、Webサービスに対して構成されている暗号化キーと一致していることを確認してください。
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のクライアント・アプリケーションの更新によるメッセージ保護されたWebサービスの呼出しに関する項を参照してください
-
クライアントからWebサービス・メソッドを起動します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のWebサービスを起動するためのJavaクライアント・アプリケーション・コードの記述に関する説明を参照してください
4.12 Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.0)
メッセージ保護付きSAMLトークン(送信者保証)アイデンティティ・トークンは、WS-Security 1.0標準に準拠します。このアイデンティティ・トークンは、OWSMとOracle WebLogic Server 12c Webサービスのセキュリティ環境との間の相互運用性を実現するために実装されます。
-
WebLogic Webサービス・ポリシーとの相互運用性 - メッセージ保護付きSAMLトークン(WS-Security 1.0)
-
WebLogic Webサービス・クライアント・ポリシーとの相互運用性 - メッセージ保護付きSAMLトークン(WS-Security 1.0)
注意:
WS-Security 1.0ポリシーは、レガシー・アプリケーションに対してのみサポートされています。最大のパフォーマンスを実現するためには、WS-Security 1.1ポリシーを使用してください。詳細は、Oracle WebLogic Server向けのメッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.1)を参照してください。
4.12.1 WebLogic Webサービス・ポリシーとの相互運用性 - メッセージ保護付きSAMLトークン(WS-Security 1.0)
送信者保証およびWS-Security 1.0標準に準拠するメッセージ保護付きSAMLトークンを実装し、WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーとの間の相互運用性を確保するには、次の手順を実行します。
4.12.1.1 WebLogic Webサービス・ポリシーのアタッチと構成-メッセージ保護付きSAMLトークン(WS-Security 1.0)
次のステップに従って、WebLogic Webサービス・ポリシーをアタッチおよび構成します。
-
WebLogic Webサービスを作成します。
詳細は、『Webサービスの理解』のWebLogic (Java EE) Webサービスを実装するためのロードマップに関する説明を参照してください
-
次のポリシーをアタッチします。
-
Wssp1.2-wss10_saml_token_with_message_protection_owsm_policy.xml
-
Wssp1.2-2007-SignBody.xml
-
Wssp1.2-2007-EncryptBody.xml
-
-
IDストアおよび信頼ストアを構成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのIDおよび信頼の構成に関する項を参照してください
-
メッセージレベルのセキュリティを構成します。
詳細は、次の章を参照してください。
-
『Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージレベルのセキュリティの構成に関する説明
-
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのセキュリティ構成の作成に関する説明
-
-
Webサービスをデプロイします。
詳細は、Oracle WebLogic ServerへのアプリケーションのデプロイのWebサービスのデプロイを参照してください。
-
SAMLIdentityAsserterV2認証プロバイダを作成します。
-
WebLogic Server管理コンソールで、「セキュリティ・レルム」→「レルム名」→「プロバイダ」→「資格証明マッピング」ページにナビゲートし、「SAMLCredentialMapperV2」タイプの新しい資格証明マッピング・プロバイダを作成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証およびIDアサーション・プロバイダの構成に関する項を参照してください
-
-
WebLogic Serverを再起動します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのサーバーの起動と停止に関する項 を参照してください。
-
ステップ5で作成した認証プロバイダを選択します。
-
SAMLアサーティング・パーティを作成します。
-
「プロファイル」をWSS/Sender-Vouchesに設定します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 1.1アサーティング・パーティの作成に関する項を参照してください
-
-
次のようにSAMLアサーティング・パーティを構成します(その他の値はデフォルトの設定のままにしておきます)。
-
「発行者URI」を
www.oracle.com
に設定します。 -
「ターゲットURL」を<url_used_by_client>に設定します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 1.1アサーティング・パーティの構成に関する項を参照してください
-
4.12.1.2 OWSMクライアント・ポリシーのアタッチと構成-メッセージ保護付きSAMLトークン(WS-Security 1.0)
次のステップに従って、OWSMクライアント・ポリシーをアタッチおよび構成します。
-
clientgenまたは他のメカニズムを使用して、前に作成したWebサービスへのクライアント・プロキシを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
-
次のポリシーをWebサービス・クライアントにアタッチします。
-
oracle/wss10_saml_token_with_message_protection_client_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
-
ポリシーを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_saml_token_with_message_protection_client_policyに関する説明を参照してください
-
クライアント(署名および復号化キー)とキーストア受信者別名(暗号化に使用されるサーバー公開キー)には、必ず別々のキーを使用してください。受信者別名が、Webサービス・ポリシーのセキュリティ構成内に定義されているキーと一致していることを確認してください。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_saml_token_with_message_protection_client_policyに関する説明を参照してください
-
クライアントに指定する署名および暗号化キーが、Webサービスに対して構成されている信頼ストア内に信頼できる証明書エントリとして存在していることを確認してください。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_saml_token_with_message_protection_client_policyに関する説明を参照してください
-
クライアント構成内に、SAMLトークンを使用してアイデンティティを伝播する必要のあるユーザーの有効なユーザー名を指定します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_saml_token_with_message_protection_client_policyに関する説明を参照してください
-
Webサービス・メソッドを起動します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
4.12.2 WebLogic Webサービス・クライアント・ポリシーとの相互運用性 - メッセージ保護付きSAMLトークン(WS-Security 1.0)
WS-Security 1.0標準に準拠するメッセージ保護付きSAMLトークンを実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保するには、次の手順を実行します。
4.12.2.1 OWSMポリシーのアタッチと構成-メッセージ保護付きSAMLトークン(WS-Security 1.0)
次のステップに従って、OWSMポリシーをアタッチおよび構成します。
-
Webサービスを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
-
次のポリシーをWebサービスにアタッチします。
-
oracle/wss10_saml_token_with_message_protection_service_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
4.12.2.2 WebLogic Webサービス・クライアント・ポリシーのアタッチと構成-メッセージ保護付きSAMLトークン(WS-Security 1.0)
次のステップに従って、WebLogic Webサービス・クライアント・ポリシーをアタッチおよび構成します。
-
clientgenを使用して、(前述の)Webサービスのクライアント・プロキシを作成します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する説明を参照してください
-
次のポリシーをアタッチします。
-
Wssp1.2-wss10_saml_token_with_message_protection_owsm_policy.xml
-
Wssp1.2-2007-SignBody.xml
-
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
-
-
クライアント・サーバー(暗号化キー)およびクライアント証明書を構成します。
注意:
指定する暗号化キーが、Webサービスに対して構成されている復号化キーと一致していることを確認してください。
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のクライアント・アプリケーションの更新によるメッセージ保護されたWebサービスの呼出しに関する項を参照してください
-
基本認証を使用してWebアプリケーション・クライアントを保護します。
詳細は、『WebLogicセキュリティ・サービスによるアプリケーションの開発』のBASIC認証Webアプリケーションの開発に関する項を参照してください
-
Webサービス・クライアントをデプロイします。
詳細は、『Webサービスの管理』のWebサービス・アプリケーションのデプロイに関する説明を参照してください
-
SAML資格証明マッピング・プロバイダを構成します。
-
WebLogic Server管理コンソールで、「セキュリティ・レルム」→「レルム名」→「プロバイダ」→「資格証明マッピング」ページにナビゲートし、「SAMLCredentialMapperV2」タイプの新しい資格証明マッピング・プロバイダを作成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの資格証明マッピング・プロバイダの構成に関する項を参照してください
-
-
「SAMLCredentialMapperV2」を選択して「プロバイダ固有」をクリックし、これを次のように構成します。
-
「発行者URI」を
www.oracle.com
に設定します。 -
「名前修飾子」を
www.oracle.com
に設定します。
-
-
WebLogic Serverを再起動します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのサーバーの起動と停止に関する項 を参照してください。
-
SAMLリライイング・パーティを作成します。「プロファイル」を
WSS/Sender-Vouches
に設定します。詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 1.1リライング・パーティの作成に関する項を参照してください
-
SAMLリライイング・パーティを構成します。
注意:
「ターゲットURL」は必ず、クライアントWebサービスに使用されているURLに設定してください。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのSAML 1.1リライング・パーティの構成に関する項を参照してください
-
Webアプリケーション・クライアントを起動し、適切な資格証明を入力します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のWebサービスを起動するためのJavaクライアント・アプリケーション・コードの記述に関する説明を参照してください
4.13 Oracle WebLogic Server向けのメッセージ保護付き相互認証(WS-Security 1.0)
メッセージ保護付き相互認証アイデンティティ・トークンは、WS-Security 1.0標準に準拠します。このアイデンティティ・トークンは、OWSMとOracle WebLogic Server 12c Webサービスのセキュリティ環境との間の相互運用性を実現するために実装されます。
4.13.1 WebLogic Webサービス・ポリシーとの相互運用性-相互認証(WS-Security 1.0)
WS-Security 1.0標準に準拠するメッセージ保護付き相互認証を実装し、WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーとの間の相互運用性を確保するには、次の手順を実行します。
4.13.1.1 WebLogic Webサービス・ポリシーのアタッチと構成-相互認証(WS-Security 1.0)
次のステップに従って、WebLogic Webサービス・ポリシーをアタッチおよび構成します。
-
WebLogic Webサービスを作成します。
詳細は、『Webサービスの理解』のWebLogic (Java EE) Webサービスを実装するためのロードマップに関する説明を参照してください
-
次のポリシーをアタッチします。
-
Wssp1.2-wss10_x509_token_with_message_protection_owsm_policy.xml
-
Wssp1.2-2007-SignBody.xml
-
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
-
-
IDストアおよび信頼ストアを構成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのIDおよび信頼の構成に関する項を参照してください
-
メッセージレベルのセキュリティを構成します。
詳細は、次の章を参照してください。
-
『Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージレベルのセキュリティの構成に関する説明
-
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのセキュリティ構成の作成に関する説明
-
-
X.509およびユーザー名トークンのトークン・ハンドラを作成して構成します。WebLogic管理コンソールで、ドメインの「Webサービス・セキュリティ」ページにナビゲートし、次のようにしてトークン・ハンドラを作成します。
-
ユーザー名トークンのトークン・ハンドラを作成し、次のように構成します。
-
名前: <name>
-
クラス名:
weblogic.xml.crypto.wss.UsernameTokenHandler
-
トークンのタイプ:
ut
-
処理順序:
1
-
-
X.509のトークン・ハンドラを作成し、次のように構成します。
-
名前: <name>
-
クラス名:
weblogic.xml.crypto.wss.BinarySecurityTokenHandler
-
トークンのタイプ:
x509
-
処理順序:
0
-
-
X.509のトークン・ハンドラに対しては、次のプロパティを追加します。
-
名前:
UserX509ForIdentity
-
値:
true
-
暗号化:
False
-
-
資格証明マッピング・プロバイダを構成します。PKICredentialMapperを作成し、次のように構成します(その他の値はすべてデフォルト設定のままにしておきます)。
-
キーストア・プロバイダ: なし
-
キーストアのタイプ:
jks
-
キーストア・ファイル名:
default_keystore.jks
-
キーストアのパスフレーズ: <password>
-
キーストアのパスフレーズを確認: <password>
-
-
「認証」タブを選択し、次のように構成して認証を構成します。
-
「DefaultIdentityAsserter」をクリックし、「X.509」を「選択済み」アクティブ・タイプに追加します。
-
「プロバイダ固有」をクリックし、次のように構成します。
デフォルト・ユーザー名マッパーの属性のタイプ:
CN
アクティブなタイプ:
X.509
デフォルト・ユーザー名マッパーの使用:
True
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証およびIDアサーション・プロバイダの構成に関する項を参照してください。
-
-
ユーザーを追加していない場合、証明書で指定されている一般名(CN)ユーザーを追加します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのユーザーの作成に関する項を参照してください
-
Oracle WebLogic Serverを再起動します。
-
Webサービスをデプロイします。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのインストールに関する説明を参照してください
4.13.1.2 OWSMクライアント・ポリシーのアタッチと構成-相互認証(WS-Security 1.0)
次のステップに従って、OWSMクライアント・ポリシーをアタッチおよび構成します。
-
clientgen
または他のメカニズムを使用して、前に作成したWebサービスへのクライアント・プロキシを作成します。詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
-
次のポリシーをクライアントにアタッチします。
wss10_x509_token_with_message_protection_client_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
クライアントでサーバー(暗号化キー)を構成します。
注意:
指定する暗号化キーが、Webサービスに対して構成されている暗号化キーと一致していることを確認してください。
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のクライアント・アプリケーションの更新によるメッセージ保護されたWebサービスの呼出しに関する項を参照してください
-
クライアントからWebサービス・メソッドを起動します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
4.13.2 WebLogic Webサービス・クライアント・ポリシーとの相互運用性-相互認証(WS-Security 1.0)
WS-Security 1.0標準に準拠するメッセージ保護付き相互認証を実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保するには、次の手順を実行します。
4.13.2.1 OWSMポリシーのアタッチと構成-相互認証(WS-Security 1.0)
次のステップに従って、OWSMポリシーをアタッチおよび構成します。
-
Webサービス・アプリケーションを作成してデプロイします。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
-
次のポリシーをWebサービスにアタッチします。
oracle/wss10_x509_token_with_message_protection_service_policy
.
4.13.2.2 WebLogic Webサービス・クライアント・ポリシーのアタッチと構成-相互認証(WS-Security 1.0)
次のステップに従って、WebLogic Webサービス・クライアント・ポリシーをアタッチおよび構成します。
-
clientgenを使用して前に作成されたWebサービスのクライアント・プロキシを作成します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する説明を参照してください
-
次のポリシーをアタッチします。
-
Wssp1.2-wss10_x509_token_with_message_protection_owsm_policy.xml
-
Wssp1.2-2007-SignBody.xml
-
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
-
-
クライアントでサーバー(暗号化キー)を構成します。
注意:
指定する暗号化キーが、Webサービスに対して構成されている暗号化キーと一致していることを確認してください。
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のクライアント・アプリケーションの更新によるメッセージ保護されたWebサービスの呼出しに関する項を参照してください
-
クライアントからWebサービス・メソッドを起動します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のWebサービスを起動するためのJavaクライアント・アプリケーション・コードの記述に関する説明を参照してください
4.14 Oracle WebLogic Server向けのメッセージ保護付き相互認証(WS-Security 1.1)
メッセージ保護付き相互認証アイデンティティ・トークンは、WS-Security 1.1標準に準拠します。このアイデンティティ・トークンは、OWSMとOracle WebLogic Server 12c Webサービスのセキュリティ環境との間の相互運用性を実現するために実装されます。
4.14.1 WebLogic Webサービス・ポリシーとの相互運用性-相互認証(WS-Security 1.1)
WS-Security 1.1標準に準拠するメッセージ保護付き相互認証を実装し、WebLogic Webサービス・ポリシーとOWSMクライアント・ポリシーとの間の相互運用性を確保するには、次の手順を実行します。
4.14.1.1 WebLogic Webサービス・ポリシーのアタッチと構成-相互認証(WS-Security 1.1)
次のステップに従って、WebLogic Webサービス・ポリシーをアタッチおよび構成します。
-
WebLogic Webサービスを作成します。
詳細は、『Webサービスの理解』のWebLogic (Java EE) Webサービスを実装するためのロードマップに関する説明を参照してください
-
次のポリシーをアタッチします。
-
Wssp1.2-wss11_x509_token_with_message_protection_owsm_policy.xml
-
Wssp1.2-2007-SignBody.xml
-
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
-
-
IDストアおよび信頼ストアを構成します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのIDおよび信頼の構成に関する項を参照してください
-
メッセージレベルのセキュリティを構成します。
詳細は、次の章を参照してください。
-
『Oracle WebLogic Server WebLogic Webサービスの保護』のメッセージレベルのセキュリティの構成に関する説明
-
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのセキュリティ構成の作成に関する説明
-
-
X.509およびユーザー名トークンのトークン・ハンドラを作成して構成します。WebLogic管理コンソールで、ドメインの「Webサービス・セキュリティ」ページにナビゲートし、次のようにしてトークン・ハンドラを作成します。
-
ユーザー名トークンのトークン・ハンドラを作成し、次のように構成します。
-
名前: <name>
-
クラス名:
weblogic.xml.crypto.wss.UsernameTokenHandler
-
トークンのタイプ:
ut
-
処理順序:
1
-
ユーザー名トークンのトークン・ハンドラを作成し、次のように構成します。
X.509のトークン・ハンドラを作成し、次のように構成します。
-
名前: <name>
-
クラス名:
weblogic.xml.crypto.wss.BinarySecurityTokenHandler
-
トークンのタイプ:
x509
-
処理順序:
0
X.509のトークン・ハンドラに対しては、次のプロパティを追加します。
-
名前:
UserX509ForIdentity
-
値:
true
-
暗号化:
False
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのセキュリティ構成のトークン・ハンドラの作成に関する説明を参照してください。
-
-
PKICredentialMapperを作成し、次のように構成して(その他の値はすべてデフォルト設定のままにしておきます)、資格証明マッピング・プロバイダを構成します。
-
キーストア・プロバイダ: なし
-
キーストアのタイプ:
jks
-
キーストア・ファイル名:
default_keystore.jks
-
キーストアのパスフレーズ: <password>
-
キーストアのパスフレーズを確認: <password>
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの資格証明マッピング・プロバイダの構成に関する項を参照してください
-
-
「認証」タブを選択し、次のように構成して認証を構成します。
-
「DefaultIdentityAsserter」をクリックし、「X.509」を「選択済み」アクティブ・タイプに追加します。
-
「プロバイダ固有」をクリックし、次のように構成します。
-
デフォルト・ユーザー名マッパーの属性のタイプ:
CN
-
アクティブなタイプ:
X.509
-
デフォルト・ユーザー名マッパーの使用:
True
-
-
ユーザーを追加していない場合、証明書で指定されている一般名(CN)ユーザーを追加します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのユーザーの作成に関する項を参照してください
-
Oracle WebLogic Serverを再起動します。
-
Webサービスをデプロイします。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのWebサービスのインストールに関する説明を参照してください
4.14.1.2 OWSMクライアント・ポリシーのアタッチと構成-相互認証(WS-Security 1.1)
次のステップに従って、OWSMクライアント・ポリシーをアタッチおよび構成します。
-
clientgenまたは他のメカニズムを使用して、前に作成したWebサービスのクライアント・プロキシを作成します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
-
次のポリシーをクライアントにアタッチします
wss11_x509_token_with_message_protection_client_policy
-
ポリシーを次のように編集します。
<orasp:x509-token orasp:sign-key-ref-mech="thumbprint" orasp:enc-key-ref-mech="thumbprint"/>
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
クライアントでサーバー(暗号化キー)を構成します。
注意:
指定する暗号化キーが、Webサービスに対して構成されている暗号化キーと一致していることを確認してください。
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のクライアント・アプリケーションの更新によるメッセージ保護されたWebサービスの呼出しに関する項を参照してください
-
クライアントからWebサービス・メソッドを起動します。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
4.14.2 WebLogic Webサービス・クライアント・ポリシーとの相互運用性-相互認証(WS-Security 1.1)
WS-Security 1.1標準に準拠するメッセージ保護付き相互認証を実装し、OWSM Webサービス・ポリシーとWebLogic Webサービス・クライアント・ポリシーとの間の相互運用性を確保するには、次の手順を実行します。
4.14.2.1 OWSMポリシーのアタッチと構成-相互認証(WS-Security 1.1)
次のステップに従って、OWSMポリシーをアタッチおよび構成します。
-
Webサービスを作成してデプロイします。
詳細は、『Webサービスの理解』のOracle Fusion Middleware Webサービス実装のロードマップに関する説明を参照してください
-
次のポリシーをWebサービスにアタッチします。
oracle/wss11_x509_token_with_message_protection_service_policy
.詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
4.14.2.2 WebLogic Webサービス・クライアント・ポリシーのアタッチと構成-相互認証(WS-Security 1.1)
次のステップに従って、WebLogic Webサービス・クライアント・ポリシーをアタッチおよび構成します。
-
clientgenを使用して前に作成されたWebサービスのクライアント・プロキシを作成します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のclientgen Antタスクを使用したクライアント・アーティファクトの生成に関する説明を参照してください
-
次のポリシーをアタッチします。
-
Wssp1.2-wss11_x509_token_with_message_protection_owsm_policy.xml
-
Wssp1.2-2007-SignBody.xml
-
Wssp1.2-2007-EncryptBody.xml
詳細は、『Oracle WebLogic ServerのWebLogic Webサービスの保護』の@Policy注釈と@Policies注釈を使用したJWSファイルの更新に関する項を参照してください
-
-
クライアントでサーバー(暗号化キー)を構成します。
注意:
指定する暗号化キーが、Webサービスに対して構成されている暗号化キーと一致していることを確認してください。
詳細は、『Oracle WebLogic Server WebLogic Webサービスの保護』のクライアント・アプリケーションの更新によるメッセージ保護されたWebサービスの呼出しに関する項を参照してください
-
クライアントからWebサービス・メソッドを起動します。
詳細は、『Oracle WebLogic Server JAX-WS Webサービスの開発』のWebサービスを起動するためのJavaクライアント・アプリケーション・コードの記述に関する説明を参照してください