2 OWSM 10gのセキュリティ環境との相互運用性
この章の内容は次のとおりです。
2.1 OWSM 10gのセキュリティ環境との相互運用性の概要
OWSM 10gおよび12cのポリシー・ステップ、相互運用性シナリオおよびOWSM 10gゲートウェイの詳細は、次の各トピックを参照してください。
2.1.1 OWSM 10gポリシー・ステップ
OWSM 10gでは、各ポリシー強制ポイントでポリシー・ステップを指定します。
OWSM 10gのポリシー強制ポイントには、ゲートウェイとエージェントがあります。ポリシー・ステップは、特定のセキュリティ処理を扱うきめの細かい操作タスクです。認証および認可、暗号化および復号化、セキュリティ署名、トークン、資格証明の検証、変換などの処理を扱います。各操作タスクはWebサービス要求またはWebサービス応答のいずれかによって実行されます。OWSM 10gのポリシー・ステップの詳細は、http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/policy_steps.htm#BABIAHEG
の『Oracle Web Services Manager管理者ガイド 10g (10.1.3.4)』で、Oracle Web Services Managerのポリシー・ステップに関する説明を参照してください。
2.1.2 OWSM事前定義済ポリシー
OWSM 12cでは、ポリシーをWebサービス・エンドポイントにアタッチします。
ポリシーはドメインレベルで定義された1つ以上のアサーションで構成されています。アサーションはセキュリティ要件の定義です。そのまま使用できる事前定義のポリシーとアサーションのセットが用意されています。
詳細は、次を参照してください。
-
OWSM事前定義済ポリシーについては、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の事前定義済ポリシーに関する説明を参照してください。
-
OWSM 12cポリシーの構成およびアタッチについては、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービスの保護に関する説明およびポリシーのアタッチに関する説明を参照してください。
-
OWSM 10gのポリシー・ステップの詳細は、
http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/policy_steps.htm#BABIAHEG
の『Oracle Web Services Manager管理者ガイド 10g (10.1.3.4)』で、Oracle Web Services Managerのポリシー・ステップに関する項を参照してください。
2.1.3 相互運用性シナリオ
セキュリティ要件(認証、メッセージ保護およびトランスポート)に基づいたOWSM 10gの最も一般的な相互運用性シナリオの詳細は、このトピックを参照してください。
次の各項では、OWSM 12cでのOWSM 10gのゲートウェイおよびサード・パーティ・ソフトウェアの使用に関する追加の相互運用性情報を示します。
表2-1 OWSM 10gサービス・ポリシーとOWSM 12cクライアント・ポリシーの相互運用性
アイデンティティ・トークン | WS-Securityバージョン | メッセージ保護 | トランスポート・セキュリティ | サービス・ポリシー | クライアント・ポリシー |
---|---|---|---|---|---|
匿名 |
1.0 |
はい |
いいえ |
リクエスト・パイプライン: 署名の復号化と検証 レスポンス・パイプライン: メッセージの署名と暗号化 |
|
ユーザー名 |
1.0 |
はい |
いいえ |
リクエスト・パイプライン:
レスポンス・パイプライン: メッセージの署名と暗号化 |
|
SAML |
1.0 |
はい |
いいえ |
リクエスト・パイプライン:
レスポンス・パイプライン: メッセージの署名と暗号化 |
|
相互認証 |
1.0 |
はい |
いいえ |
リクエスト・パイプライン: 復号化と検証 レスポンス・パイプライン: メッセージの署名と暗号化 |
|
SSL経由のユーザー名 |
1.0および1.1 |
いいえ |
はい |
リクエスト・パイプライン:
|
|
SSL経由のSAML |
1.0および1.1 |
いいえ |
はい |
リクエスト・パイプライン:
|
|
表2-2 OWSM 12cサービス・ポリシーとOWSM 10gクライアント・ポリシーの相互運用性
アイデンティティ・トークン | WS-Securityバージョン | メッセージ保護 | トランスポート・セキュリティ | サービス・ポリシー | クライアント・ポリシー |
---|---|---|---|---|---|
匿名 |
1.0 |
はい |
いいえ |
|
リクエスト・パイプライン: メッセージの署名と暗号化 レスポンス・パイプライン: 署名の復号化と検証 |
ユーザー名 |
1.0 |
はい |
いいえ |
|
リクエスト・パイプライン: メッセージの署名と暗号化 レスポンス・パイプライン: 署名の復号化と検証 |
SAML |
1.0 |
はい |
いいえ |
|
リクエスト・パイプライン:
レスポンス・パイプライン: 署名の復号化と検証 |
相互認証 |
1.0 |
はい |
いいえ |
|
リクエスト・パイプライン: メッセージの署名と暗号化 レスポンス・パイプライン: 署名の復号化と検証 |
SSL経由のユーザー名 |
1.0および1.1 |
いいえ |
はい |
|
該当なし |
SSL経由のSAML |
1.0および1.1 |
いいえ |
はい |
|
リクエスト・パイプライン:
|
2.2 メッセージ保護付き匿名認証(WS-Security 1.0)
メッセージ保護付き匿名認証アイデンティティ・トークンは、WS-Security 1.0標準に準拠します。このアイデンティティ・トークンは、OWSM 12c WebサービスとOWSM 10gクライアントとの間の相互運用性およびOWSM 10g WebサービスとOWSM 12cクライアントとの間の相互運用性を実現するために実装されます。
2.2.1 OWSM 12c WebサービスおよびOWSM 10gクライアントの構成(匿名認証)
WS-Security 1.0標準に準拠するメッセージ保護付き匿名認証を実装するには、次の手順を実行してOWSM 12c WebサービスおよびOWSM 10gクライアントを構成します。
2.2.1.1 OWSM 12c Webサービスの構成(匿名認証)
次のステップを実行してOWSM 12c Webサービスを構成します。
-
oracle/wss10_message_protection_service_policy
ポリシーのクローンを作成します詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください
-
次のようにして、ポリシー設定を編集します。
-
「タイムスタンプを含める」構成設定を無効化します。
-
それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。
-
-
ポリシーをWebサービスにアタッチします。
詳細は、次の章を参照してください。
『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明
2.2.1.2 OWSM 10gクライアントの構成(匿名認証)
OWSM 10gクライアントを構成するには、次のステップを実行します。
-
(前述の)WebサービスをOWSM 10gゲートウェイに登録します。
詳細は、OWSMの管理者ガイド10gのOWSMゲートウェイへのWebサービスの登録に関する項(
http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htm
)を参照してください -
メッセージの署名とゲートウェイの暗号化ポリシー・ステップをリクエスト・パイプラインにアタッチします。
-
リクエスト・パイプライン内の「メッセージの署名と暗号化」ポリシー・ステップを次のように構成します。
-
「暗号化アルゴリズム」を「AES-128」に設定します。
-
「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。
-
メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります
-
-
「署名の復号化と検証」ポリシー・ステップをレスポンス・パイプラインにアタッチします。
-
復号化および署名検証のためのキーストア・プロパティを構成することによって、レスポンス・パイプライン内の「署名の復号化と検証」ポリシー・ステップを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。
-
OWSMテスト・ページにナビゲートし、Webサービスの仮想化されたURLを入力します。
-
Webサービスを起動します。
2.2.2 OWSM 10g WebサービスおよびOWSM 12cクライアントの構成(匿名認証)
WS-Security 1.0標準に準拠するメッセージ保護付き匿名認証を実装するには、次の手順を実行してOWSM 10g WebサービスおよびOWSM 12cクライアントを構成します。
2.2.2.1 OWSM 10g Webサービスの構成(匿名認証)
次のステップを実行してOWSM 10g Webサービスを構成します。
-
WebサービスをOWSM 10gゲートウェイに登録します。
詳細は、OWSMの管理者ガイド10gのOWSMゲートウェイへのWebサービスの登録に関する項(
http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htm
)を参照してください -
「署名の復号化と検証」ポリシー・ステップをリクエスト・パイプラインにアタッチします。
-
リクエスト・パイプライン内の「署名の復号化と検証」ポリシー・ステップを次のように構成します。復号化および署名検証のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。
-
「メッセージの署名と暗号化」ポリシー・ステップをレスポンス・パイプラインにアタッチします。
-
レスポンス・パイプライン内の「メッセージの署名と暗号化」ポリシーを次のように構成します。
-
「暗号化アルゴリズム」を「AES-128」に設定します。
-
「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。
-
メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。
-
2.2.2.2 OWSM 12cクライアントの構成(匿名認証)
次のステップを実行してOWSM 12cクライアントを構成します。
-
OWSMゲートウェイに登録されているWebサービスの仮想化されたURLを使用して、クライアント・プロキシを作成します。
-
oracle/wss10_message_protection_client_policy
ポリシーのクローンを作成します。 -
次のようにして、ポリシー設定を編集します。
-
「タイムスタンプを含める」構成設定を無効化します。
-
それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。
-
-
ポリシーをWebサービス・クライアントにアタッチします。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
ポリシーを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_message_protection_client_policyに関する説明を参照してください
-
Webサービスを起動します。
2.3 メッセージ保護付きユーザー名トークン(WS-Security 1.0)
メッセージ保護付きユーザー名トークン・アイデンティティ・トークンは、WS-Security 1.0標準に準拠します。このアイデンティティ・トークンは、OWSM 12c WebサービスとOWSM 10gクライアントとの間の相互運用性およびOWSM 10g WebサービスとOWSM 12cクライアントとの間の相互運用性を実現するために実装されます。
2.3.1 OWSM 12c WebサービスおよびOWSM 10gクライアントの構成(ユーザー名トークン)
WS-Security 1.0標準に準拠するメッセージ保護付きユーザー名トークンを実装するには、次の手順を実行してOWSM 12c WebサービスおよびOWSM 10gクライアントを構成します。
2.3.1.1 OWSM 12c Webサービスの構成(ユーザー名トークン)
次のステップを実行してOWSM 12c Webサービスを構成します。
-
oracle/wss10_username_token_with_message_protection_service_policy
ポリシーのクローンを作成します -
次のようにして、ポリシー設定を編集します。
-
「タイムスタンプを含める」構成設定を無効化します。
-
それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください
-
-
ポリシーをWebサービスにアタッチします。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
2.3.1.2 OWSM 10g クライアントの構成(ユーザー名トークン)
OWSM 10gクライアントを構成するには、次のステップを実行します。
-
(前述の)WebサービスをOWSM 10gゲートウェイに登録します。
詳細は、OWSMの管理者ガイド10gのOWSMゲートウェイへのWebサービスの登録に関する項(
http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htm
)を参照してください -
「メッセージの署名と暗号化」ポリシー・ステップをリクエスト・パイプラインにアタッチします。
-
リクエスト・パイプライン内の「メッセージの署名と暗号化」ポリシー・ステップを次のように構成します。
-
「暗号化アルゴリズム」を「AES-128」に設定します。
-
「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。
-
「暗号化されたコンテンツ」を「エンベロープ」に設定します。
-
「署名されたコンテンツ」を「エンベロープ」に設定します。
-
メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。
-
-
「署名の復号化と検証」ポリシー・ステップをレスポンス・パイプラインにアタッチします。
-
レスポンス・パイプライン内の「署名の復号化と検証」ポリシー・ステップを次のように構成します。
-
復号化および署名検証のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。
-
-
OWSMテスト・ページにナビゲートし、Webサービスの仮想化されたURLを入力します。
-
WS-Securityに対応するヘッダーを含めるチェック・ボックスを選択し、有効な資格証明を指定します。
-
Webサービスを起動します。
2.3.2 OWSM 10g WebサービスおよびOWSM 12cクライアントの構成(ユーザー名トークン)
WS-Security 1.0標準に準拠するメッセージ保護付きユーザー名トークンを実装するには、次の手順を実行してOWSM 10g WebサービスおよびOWSM 12cクライアントを構成します。
2.3.2.1 OWSM 10g Webサービスの構成(ユーザー名トークン)
次のステップを実行してOWSM 10g Webサービスを構成します。
-
WebサービスをOWSM 10gゲートウェイに登録します。
詳細は、OWSMの管理者ガイド10gのOWSMゲートウェイへのWebサービスの登録に関する項(
http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htm
)を参照してください -
次のポリシー・ステップをリクエスト・パイプラインにアタッチします。
-
復号化および署名の検証
-
資格証明の抽出(WS-BASICとして構成された資格証明)
-
ファイルの認証
注意:
「ファイルの認証」は、「LDAPの認証」、「Oracle Access Managerの認証」、「Active Directoryの認証」または「SiteMinderの認証」に置き換えることができます。
-
-
リクエスト・パイプライン内の「署名の復号化と検証」ポリシー・ステップを次のように構成します。
-
資格証明を抽出するためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。
-
-
リクエスト・パイプライン内の「資格証明の抽出」ポリシー・ステップを次のように構成します。
-
「資格証明の場所」を「WS-BASIC」に設定します。
-
-
リクエスト・パイプライン内の「ファイルの認証」ポリシー・ステップを、有効な資格証明を使用するように構成します。
-
「メッセージの署名と暗号化」ポリシー・ステップをレスポンス・パイプラインにアタッチします。
-
「暗号化アルゴリズム」を「AES-128」に設定します。
-
「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。
-
メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。
-
2.3.2.2 OWSM 12cクライアントの構成(ユーザー名トークン)
次のステップを実行してOWSM 12cクライアントを構成します。
-
OWSMゲートウェイに登録されているWebサービスの仮想化されたURLを使用して、クライアント・プロキシを作成します。
-
oracle/wss10_username_token_with_message_protection_client_policy
ポリシーのクローンを作成します詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください。
-
次のようにして、ポリシー設定を編集します。
-
「タイムスタンプを含める」構成設定を無効化します。
-
それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください。
-
-
ポリシーをWebサービス・クライアントにアタッチします。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
ポリシーを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_username_token_with_message_protection_client_policyに関する説明を参照してください
-
Webサービスを起動します。
2.4 メッセージ保護付きSAMLトークン(送信者保証)(WS-Security 1.0)
メッセージ保護付きSAMLトークン(送信者保証)アイデンティティ・トークンは、WS-Security 1.0標準に準拠します。このアイデンティティ・トークンは、OWSM 12c WebサービスとOWSM 10gクライアントとの間の相互運用性およびOWSM 10g WebサービスとOWSM 12cクライアントとの間の相互運用性を実現するために実装されます。
2.4.1 OWSM 12c WebサービスおよびOWSM 10gクライアントの構成(SAMLトークン)
WS-Security 1.0標準に準拠するメッセージ保護付きSAMLトークン(送信者保証)を実装するには、次の手順を実行してOWSM 12c WebサービスおよびOWSM 10gクライアントを構成します。
2.4.1.1 OWSM 12c Webサービスの構成(SAMLトークン)
次のステップを実行してOWSM 12c Webサービスを構成します。
-
oracle/wss10_saml_token_with_message_protection_service_policyポリシーのクローンを作成します。
注意:
使用できることがわかっている有効なポリシー・セットが常にあるように、事前定義済ポリシーは変更しないことをお薦めします。
-
次のようにして、ポリシー設定を編集します。
-
「タイムスタンプを含める」構成設定を無効化します。
-
それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。
-
-
ポリシーをWebサービスにアタッチします。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
2.4.1.2 OWSM 10gクライアントの構成(SAMLトークン)
OWSM 10gクライアントを構成するには、次のステップを実行します。
-
WebサービスをOWSM 10gゲートウェイに登録します。
詳細は、「OWSMの管理者ガイド10g」のOWSMゲートウェイへのWebサービスの登録に関する項(http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htm)を参照してください
-
次のポリシー・ステップをリクエスト・パイプラインにアタッチします。
-
資格証明の抽出(WS-BASICとして構成された資格証明)
-
SAML - WSS 1.0送信者保証トークンの挿入
-
メッセージの署名と暗号化
-
-
リクエスト・パイプライン内の「資格証明の抽出」ポリシー・ステップを次のように構成します。
-
「資格証明の場所」を「WS-BASIC」に設定します。
-
-
リクエスト・パイプライン内の「SAML - WSS 1.0送信者保証トークンの挿入」ポリシー・ステップを次のように構成します。
-
「サブジェクト名修飾子」をwww.oracle.comに設定します
-
「アサーション発行者」をwww.oracle.comとして設定します
-
「サブジェクト・フォーマット」を「未指定」として設定します。
-
その他の署名プロパティを必要に応じて設定します。
-
-
リクエスト・パイプライン内の「メッセージの署名と暗号化」ポリシー・ステップを次のように構成します。
-
「暗号化アルゴリズム」を「AES-128」に設定します。
-
「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。
-
復号化および署名検証のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。
-
-
「署名の復号化と検証」ポリシー・ステップをレスポンス・パイプラインにアタッチします。
-
レスポンス・パイプライン内の「署名の復号化と検証」ポリシー・ステップを次のように構成します。
-
復号化および署名検証のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。
-
-
OWSMテスト・ページにナビゲートし、Webサービスの仮想化されたURLを入力します。
-
WS-Securityに対応するヘッダーを含めるチェック・ボックスを選択し、有効な資格証明を指定します。
-
Webサービスを起動します。
2.4.2 OWSM 10g WebサービスおよびOWSM 12cクライアントの構成(SAMLトークン)
WS-Security 1.0標準に準拠するメッセージ保護付きSAMLトークン(送信者保証)を実装するには、次の手順を実行してOWSM 10g WebサービスおよびOWSM 12cクライアントを構成します。
2.4.2.1 OWSM 10g Webサービスの構成(SAMLトークン)
次のステップを実行してOWSM 10g Webサービスを構成します。
-
WebサービスをOWSM 10gゲートウェイに登録します。
詳細は、OWSMの管理者ガイド10gのOWSMゲートウェイへのWebサービスの登録に関する項(
http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htm
)を参照してください -
次のポリシー・ステップをリクエスト・パイプラインにアタッチします。
-
XML復号化
-
SAML - WSS 1.0トークンの検証
-
-
リクエスト・パイプライン内の「XML復号化」ポリシー・ステップを次のように構成します。
-
XML復号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。
-
-
リクエスト・パイプライン内の「SAML - WSS 1.0トークンの検証」ポリシー・ステップを次のように構成します。
-
「信頼できる発行者名」をwww.oracle.comとして設定します
-
-
「メッセージの署名と暗号化」ポリシー・ステップをレスポンス・パイプラインにアタッチします。
-
レスポンス・パイプライン内の「メッセージの署名と暗号化」ポリシー・ステップを次のように構成します。
-
「暗号化アルゴリズム」を「AES-128」に設定します。
-
「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。
-
メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。
-
2.4.2.2 OWSM 12cクライアントの構成(SAMLトークン)
次のステップを実行してOWSM 12cクライアントを構成します。
-
OWSMゲートウェイに登録されているWebサービスの仮想化されたURLを使用して、クライアント・プロキシを作成します。
-
oracle/wss10_saml_token_with_message_protection_client_policy
ポリシーのクローンを作成します。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください
-
次のようにして、ポリシー設定を編集します。
-
「タイムスタンプを含める」構成設定を無効化します。
-
それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。
-
-
ポリシーをWebサービス・クライアントにアタッチします。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
ポリシーを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_saml_token_with_message_protection_client_policyに関する説明を参照してください。
-
Webサービスを起動します。
2.5 メッセージ保護付き相互認証(WS-Security 1.0)
メッセージ保護付き相互認証アイデンティティ・トークンは、WS-Security 1.0標準に準拠します。このアイデンティティ・トークンは、OWSM 12c WebサービスとOWSM 10gクライアントとの間の相互運用性およびOWSM 10g WebサービスとOWSM 12cクライアントとの間の相互運用性を実現するために実装されます。
2.5.1 OWSM 12c WebサービスおよびOWSM 10gクライアントの構成(相互認証)
WS-Security 1.0標準に準拠するメッセージ保護付き相互認証を実装するには、次の手順を実行してOWSM 12c WebサービスおよびOWSM 10gクライアントを構成します。
2.5.1.1 OWSM 12c Webサービスの構成(相互認証)
次のステップを実行してOWSM 12c Webサービスを構成します。
-
oracle/wss10_x509_token_with_message_protection_service_policy
ポリシーのクローンを作成します。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください
-
次のようにして、ポリシー設定を編集します。
-
「タイムスタンプを含める」構成設定を無効化します。
-
それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。
-
-
ポリシーをWebサービスにアタッチします。
2.5.1.2 OWSM 10gクライアントの構成(相互認証)
次のステップを実行して、相互認証を使用したOWSM 10gクライアントを構成します。
-
(前述の)WebサービスをOWSM 10gゲートウェイに登録します。
詳細は、OWSMの管理者ガイド10gのOWSMゲートウェイへのWebサービスの登録に関する項(
http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htm
)を参照してください -
「メッセージの署名と暗号化」ポリシー・ステップをリクエスト・パイプラインにアタッチします。
-
リクエスト・パイプライン内の「メッセージの署名と暗号化」ポリシー・ステップを次のように構成します。
-
「暗号化アルゴリズム」を「AES-128」に設定します。
-
「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。
-
メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。
-
-
「署名の復号化と検証」ポリシー・ステップをレスポンス・パイプラインにアタッチします。
-
レスポンス・パイプライン内の「署名の復号化と検証」ポリシー・ステップを次のように構成します。
-
復号化および署名検証のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。
-
-
ORACLE_HOME
/j2ee/
oc4j_instance/applications/gateway/gateway/WEB-INF
にあるgateway-config-installer.properties
ファイル内の次のプロパティを更新します。pep.securitysteps.signBinarySecurityToken=true
-
OWSM 10gゲートウェイを再起動します。
-
OWSMテスト・ページにナビゲートし、Webサービスの仮想化されたURLを入力します。
-
Webサービスを起動します。
2.5.2 OWSM 10g WebサービスおよびOWSM 12cクライアントの構成(相互認証)
WS-Security 1.0標準に準拠するメッセージ保護付き相互認証を実装するには、次の手順を実行してOWSM 10g WebサービスおよびOWSM 12cクライアントを構成します。
2.5.2.1 OWSM 10g Webサービスの構成(相互認証)
次のステップを実行してOWSM 10g Webサービスを構成します。
-
(前述の)WebサービスをOWSM 10gゲートウェイに登録します。
次の場所にあるOWSMの管理者ガイド10gのOWSMゲートウェイへのWebサービスの登録に関する項:
http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htm
-
「復号化と検証」ポリシー・ステップをリクエスト・パイプラインにアタッチします。
-
リクエスト・パイプライン内の「署名の復号化と検証」ポリシー・ステップを次のように構成します。
-
復号化および署名検証のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。
-
-
「メッセージの署名と暗号化」ポリシー・ステップをレスポンス・パイプラインにアタッチします。
-
レスポンス・パイプライン内の「メッセージの署名と暗号化」ポリシー・ステップを次のように構成します。
-
「暗号化アルゴリズム」を「AES-128」に設定します。
-
「キー・トランスポート・アルゴリズム」を「RSA-OAEP-MGF1P」に設定します。
-
メッセージの署名および暗号化のためのキーストア・プロパティを構成します。この構成は、サーバー側で使用されているキーストアと一致させる必要があります。
-
2.5.2.2 OWSM 12cクライアントの構成(相互認証)
次のステップを実行してOWSM 12cクライアントを構成します。
-
OWSMゲートウェイに登録されているWebサービスの仮想化されたURLを使用して、クライアント・プロキシを作成します。
-
oracle/wss10_x509_token_with_message_protection_client_policy
ポリシーのクローンを作成します。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください
-
次のようにして、ポリシー設定を編集します。
-
「タイムスタンプを含める」構成設定を無効化します。
-
それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。
-
-
ポリシーをWebサービス・クライアントにアタッチします。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
ポリシーを構成します。
『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss10_x509_token_with_message_protection_client_policyに関する項
-
Webサービスを起動します。
2.6 SSL経由のユーザー名トークン
SSL経由のユーザー名トークン・アイデンティティ・トークンは、WS-Security 1.0および1.1標準に準拠します。このアイデンティティ・トークンは、OWSM 12c WebサービスとOWSM 10gクライアントとの間の相互運用性およびOWSM 10g WebサービスとOWSM 12cクライアントとの間の相互運用性を実現するために実装されます。
次の相互運用性シナリオにおいて、SSL経由のユーザー名トークンを実装できます。
詳細は、次を参照してください。
-
WebLogic ServerでのSSLの構成の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のトランスポート・レベルのセキュリティ(SSL)の構成に関する説明を参照してください。
-
OC4JでのSSLの構成の詳細は、
http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htm
を参照してください。
2.6.1 OWSM 12c WebサービスおよびOWSM 10gクライアントの構成(SSL経由のユーザー名トークン)
SSL経由のユーザー名トークンを実装するには、次の手順を実行してOWSM 12c WebサービスおよびOWSM 10gクライアントを構成します。
2.6.1.1 OWSM 12c Webサービスの構成(SSL経由のユーザー名トークン)
次のステップを実行してOWSM 12c Webサービスを構成します。
-
サーバーをSSL用に構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のトランスポート・レベルのセキュリティ(SSL)の構成に関する説明を参照してください
-
wss_username_token_over_ssl_service_policy
ポリシーをアタッチします。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
2.6.1.2 OWSM 10gクライアントの構成(SSL経由のユーザー名トークン)
OWSM 10gクライアントを構成するには、次のステップを実行します。
-
サーバーをSSL用に構成します。
詳細は、
http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htm
にあるOracle Application Server Containers for J2EEセキュリティ・ガイドのOC4JおよびSSLの構成に関する項を参照してください -
(前述の)WebサービスをOWSM 10gゲートウェイに登録します。
次の場所にあるOWSMの管理者ガイド10gのOWSMゲートウェイへのWebサービスの登録に関する項:
http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htm
-
OWSMテスト・ページにナビゲートし、Webサービスの仮想化されたURLを入力します。
-
WS-Securityに対応するヘッダーを含めるチェック・ボックスを選択し、有効な資格証明を指定します。
-
Webサービスを起動します。
2.6.2 OWSM 10g WebサービスおよびOWSM 12cクライアントの構成(SSL経由のユーザー名トークン)
SSL経由のユーザー名トークンを実装するには、次の手順を実行してOWSM 10g WebサービスおよびOWSM 12cクライアントを構成します。
2.6.2.1 OWSM 10g Webサービスの構成(SSL経由のユーザー名トークン)
次のステップを実行してOWSM 10g Webサービスを構成します。
-
サーバーをSSL用に構成します。
詳細は、
http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htm
にあるOracle Application Server Containers for J2EEセキュリティ・ガイドのOC4JおよびSSLの構成に関する項を参照してください -
(前述の)WebサービスをOWSM 10gゲートウェイに登録します。
次の場所にあるOWSMの管理者ガイド10gのOWSMゲートウェイへのWebサービスの登録に関する項:
http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htm
-
次のポリシー・ステップをリクエスト・パイプラインにアタッチします。
-
資格証明の抽出
-
ファイルの認証
注意:
「ファイルの認証」は、「LDAPの認証」、「Oracle Access Managerの認証」、「Active Directoryの認証」または「SiteMinderの認証」に置き換えることができます。
-
-
リクエスト・パイプライン内の「資格証明の抽出」ポリシー・ステップを次のように構成します。
-
「資格証明の場所」を「WS-BASIC」として設定します。
-
-
リクエスト・パイプライン内の「ファイルの認証」ポリシー・ステップを、適切な資格証明とともに構成します。
2.6.2.2 OWSM 12cクライアントの構成(SSL経由のユーザー名トークン)
次のステップを実行してOWSM 12cクライアントを構成します。
-
OWSMゲートウェイに登録されているWebサービスの仮想化されたURLを使用して、クライアント・プロキシを作成します。クライアントを生成する際は、URL内にHTTPがHTTPポート番号とともに指定されていることを確認してください。
-
oracle/wss_username_token_over_ssl_client_policy
ポリシーのクローンを作成します。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください
-
次のようにして、ポリシー設定を編集します。
-
「タイムスタンプを含める」構成設定を無効化します。
-
それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。
-
-
ポリシーをWebサービス・クライアントにアタッチします。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
ポリシーを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss_username_token_over_ssl_client_policyに関する説明を参照してください
-
Webサービスを起動します。
2.7 SSL経由のSAMLトークン(送信者保証)(WS-Security 1.0)
SSL経由のSAMLトークン(送信者保証)アイデンティティ・トークンは、WS-Security 1.0標準に準拠します。このアイデンティティ・トークンは、OWSM 12c WebサービスとOWSM 10gクライアントとの間の相互運用性およびOWSM 10g WebサービスとOWSM 12cクライアントとの間の相互運用性を実現するために実装されます。
詳細は、次を参照してください。
-
WebLogic ServerでのSSLの構成の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のトランスポート・レベルのセキュリティ(SSL)の構成に関する説明を参照してください。
-
OC4JでのSSLの構成の詳細は、
http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htm
を参照してください。
2.7.1 OWSM 12c WebサービスおよびOWSM 10gクライアントの構成(SSL経由のSAMLトークン)
WS-Security 1.0標準に準拠するSSL経由のSAMLトークン(送信者保証)を実装するには、次の手順を実行してOWSM 12c WebサービスおよびOWSM 10gクライアントを構成します。
2.7.1.1 OWSM 12c Webサービスの構成(SSL経由のSAMLトークン)
SSL経由のSAMLトークン(送信者保証)を実装するには、次のステップを実行してOWSM 12c Webサービスを構成します。
-
サーバーを双方向SSL用に構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のトランスポート・レベルのセキュリティ(SSL)の構成に関する説明を参照してください
-
oracle/wss_saml_token_over_ssl_service_policy
ポリシーのクローンを作成します。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください
-
次のようにして、ポリシー設定を編集します。
-
「タイムスタンプを含める」構成設定を無効化します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください
-
-
ポリシーをアタッチします。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
2.7.1.2 OWSM 10gクライアントの構成(SSL経由のSAMLトークン)
OWSM 10gクライアントを構成するには、次のステップを実行します。
-
サーバーを双方向SSL用に構成します。
詳細は、
http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htm
にあるOracle Application Server Containers for J2EEセキュリティ・ガイドのOC4JおよびSSLの構成に関する項を参照してください -
(前述の)WebサービスをOWSM 10gゲートウェイに登録します。
詳細は、OWSMの管理者ガイド10gのOWSMゲートウェイへのWebサービスの登録に関する項(
http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htm
)を参照してください -
次のポリシー・ステップをリクエスト・パイプラインにアタッチします。
-
資格証明の抽出
-
SAML - WSS 1.0送信者保証トークンの挿入
-
-
リクエスト・パイプライン内の「追加の資格証明」ポリシー・ステップを次のように構成します。
-
「資格証明の場所」を「WS-BASIC」として設定します。
-
-
リクエスト・パイプライン内の「SAML - WSS 1.0送信者保証トークンの挿入」ポリシー・ステップを次のように構成します。
-
「サブジェクト名修飾子」をwww.oracle.comとして構成します
-
「アサーション発行者」をwww.oracle.comとして構成します
-
「サブジェクト・フォーマット」を「未指定」として構成します。
-
「アサーションに署名」を「false」として構成します。
-
-
OWSMテスト・ページにナビゲートし、Webサービスの仮想化されたURLを入力します。
-
WS-Securityに対応するヘッダーを含めるチェック・ボックスを選択し、有効な資格証明を指定します。
-
Webサービスを起動します。
2.7.2 OWSM 10g WebサービスおよびOWSM 12cクライアントの構成(SSL経由のSAMLトークン)
WS-Security 1.0標準に準拠するSSL経由のSAMLトークン(送信者保証)を実装するには、次の手順を実行してOWSM 10g WebサービスおよびOWSM 12cクライアントを構成します。
2.7.2.1 OWSM 10g Webサービスの構成(SSL経由のSAMLトークン)
SSL経由のSAMLトークンを使用してOWSM 10g Webサービスを構成するには、次のステップを実行します。
-
サーバーを双方向SSL用に構成します。
詳細は、
http://download.oracle.com/docs/cd/B14099_19/web.1012/b14013/configssl.htm
にあるOracle Application Server Containers for J2EEセキュリティ・ガイドのOC4JおよびSSLの構成に関する項を参照してください -
(前述の)WebサービスをOWSM 10gゲートウェイに登録します。
詳細は、OWSMの管理者ガイド10gのOWSMゲートウェイへのWebサービスの登録に関する項(
http://download.oracle.com/docs/cd/E12524_01/web.1013/e12575/gateways.htm
)を参照してください -
「SAML - WSS 1.0トークンの検証」ポリシー・ステップをアタッチします。
-
リクエスト・パイプライン内の「SAML - WSS 1.0トークンの検証」ポリシー・ステップを次のように構成します。
-
「署名の検証プロパティ」で、「署名付きアサーションのみを許可」を「false」に設定します。
-
「信頼できる発行者名」を
www.oracle.com
に設定します。
-
2.7.2.2 OWSM 12cクライアントの構成(SSL経由のSAMLトークン)
次のステップを実行してOWSM 12cクライアントを構成します。
-
サーバーを双方向SSL用に構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebLogic ServerへのSSLの構成(双方向)に関する説明を参照してください
-
OWSMゲートウェイに登録されているWebサービスの仮想化されたURLを使用して、クライアント・プロキシを作成します。
-
s:
oracle/wss_saml_token_over_ssl_client_policy
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWebサービス・ポリシーのクローニングに関する説明を参照してください
-
次のようにして、ポリシー設定を編集します。
-
「タイムスタンプを含める」構成設定を無効化します。
-
それ以外の構成設定はすべてデフォルトの構成設定のままにしておきます。
-
-
ポリシーをWebサービス・クライアントにアタッチします。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のポリシーのアタッチに関する説明を参照してください
-
ポリシーを構成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のoracle/wss_username_token_over_ssl_client_policyに関する説明を参照してください
-
Webサービスを起動します。