AquaLogic Service Bus セキュリティについて

AquaLogic Service Bus では、通信の整合性とプライバシを保証し、認可されたユーザだけが AquaLogic Service Bus ドメインのリソースにアクセスできるようにするために、オープンな業界標準をサポートしています。また、セキュリティサービスの構成要素として、基になっている WebLogic セキュリティフレームワークを使用します。WebLogic セキュリティフレームワークでは、ドメインを保護するための作業が認証、認可、資格マッピング、監査などの複数のコンポーネント (プロバイダ) に分かれています。特定の AquaLogic Service Bus ドメインに対して、必要なプロバイダのみをコンフィグレーションします。

以下の節では、AquaLogic Service Bus のセキュリティモデルとその機能について説明します。

着信セキュリティ

着信セキュリティによって、AquaLogic Service Bus プロキシサービスは認可されたクライアントから出された要求のみを処理できます (デフォルトでは、すべての匿名ユーザまたは認証ユーザがプロキシサービスに接続できます)。また、クライアントからデータが送信されたときに、認可されていないユーザがそのデータを参照または変更していないことが保証されます。

プロキシサービスは、サービスコンシューマと他のプロキシサービスという 2 つのタイプのクライアントを持つことができます。図 2-1 に、プロキシサービスとそのクライアント間の通信が着信セキュリティによって保護され、一方プロキシサービスとビジネスサービス間の通信が発信セキュリティによって保護されることを示します。

着信セキュリティはプロキシサービスの作成時に設定し、ニーズの変化に応じて変更できます。外向きのプロキシサービス (サービスコンシューマから要求を受信します) の場合は、双方向 SSL over HTTPS などの厳密なセキュリティ要件の設定を検討します。他の AquaLogic Service Bus プロキシサービスからのみ要求を受信することが保証されているプロキシサービスの場合は、これよりセキュリティの低いプロトコルを使用できます。

プロキシサービスで、デジタル署名、暗号化、または SSL 認証に対して公開鍵インフラストラクチャ（PKI) テクノロジを使用する場合は、証明書とペアのプライベートキーを提供するプロキシサービスプロバイダを作成します。詳細については、『AquaLogic Service Bus Console の使い方』の「プロキシサービスプロバイダ」を参照してください。

各プロキシサービスに対し、次の着信セキュリティチェックをコンフィグレーションできます。

転送レベルのセキュリティは、クライアントとプロキシサービス間の接続確立の一部としてセキュリティチェックを適用する。転送レベルのセキュリティによって適用できるセキュリティ要件は、プロキシサービスで使用するようにコンフィグレーションするプロトコルによって異なります。

たとえば、HTTPS プロトコル経由で通信するプロキシサービスの場合、AquaLogic Service Bus Console の [セキュリティコンフィグレーション] モジュールで作成したユーザのデータベースに対してすべてのクライアントが認証するように要求できます。次に、認証されたユーザに対してプロキシサービスへのアクセスを認可する条件を指定するためのアクセス制御ポリシーを作成します。

サポートされる各プロトコルに対する転送レベルのセキュリティのコンフィグレーションについては、「転送レベルのセキュリティのコンフィグレーション」を参照してください。

メッセージレベルのセキュリティ (Web サービスであるプロキシサービス用) は、WS-Security 仕様の一部である。メッセージレベルのセキュリティでは、SOAP メッセージまたは SOAP メッセージの特定の部分を処理する前にセキュリティチェックを適用します。

メッセージレベルでのセキュリティのコンフィグレーション部分は、Web サービスと関連付けられた WSDL ドキュメントおよび WS-Policy ドキュメントに埋め込まれます。これらのドキュメントでは、SOAP メッセージをデジタル署名したり暗号化したりする必要があるかどうか、および認可されたユーザのみが呼び出すことができる Web サービスの操作を指定します。

プロキシサービスまたはビジネスサービスが WS-Policy ステートメントを使用して操作へのアクセスを保護する場合、および (パススルーサービスとは対照的に) アクティブな仲介としてサービスをコンフィグレーションする場合は、AquaLogic Service Bus Console を使用してメッセージレベルのアクセス制御ポリシーを作成します。ポリシーでは、保護された操作を呼び出すためにユーザ、グループ、またはセキュリティロールを認可する条件を指定します。

メッセージレベルでのセキュリティのコンフィグレーションの詳細については、「Web サービスのメッセージレベルでのセキュリティのコンフィグレーション」を参照してください。

発信セキュリティ

発信セキュリティは、プロキシサービスとビジネスサービス間の通信を保護します。発信セキュリティのために行うタスクのほとんどは、ビジネスサービスで指定される転送レベルまたはメッセージレベルのセキュリティ要件に準拠するためのプロキシサービスのコンフィグレーションのためのものです。

たとえば、ビジネスサービスでユーザ名とパスワードトークンを要求する場合は、サービスアカウントを作成します。このサービスアカウントは、ユーザ名とパスワードを直接含み、発信要求に含まれていたユーザ名とパスワードを渡すか、または発信要求に含まれていたユーザ名に応じてユーザ名とパスワードを提供します。詳細については、『AquaLogic Service Bus Console の使い方』の「サービスアカウント」を参照してください。

ビジネスサービスでデジタル署名または SSL 認証のために PKI テクノロジを使用する必要がある場合は、証明書とペアのプライベートキーを提供するプロキシサービスプロバイダを作成します。詳細については、『AquaLogic Service Bus Console の使い方』の「プロキシサービスプロバイダ」を参照してください。

ID の伝播のオプション

AquaLogic Service Bus のセキュリティの設計時に決定する必要がある主な項目の 1 つは、クライアントが提供する ID の処理 (伝播) 方法です。AquaLogic Service Bus のコンフィグレーションによって、次のことを実行できます。

表 2-1 は、AquaLogic Service Bus がクライアント ID をビジネスサービスに伝播する方法に影響するオプションについての説明です。

表 2-1 ID の伝播のオプション
オプション	説明
クライアントが提供する必要があるのはどのタイプの資格か。	転送レベルのセキュリティの場合、AquaLogic Service Bus は既存のセキュリティ要件に合わせる。AquaLogic Service Bus のクライアントは、ユーザ名とパスワードトークン、SSL 証明書、またはコンフィグレーションした認証プロバイダによってサポートされる他のタイプのトークンを提供できる。メッセージレベルのセキュリティの場合、AquaLogic Service Bus ではユーザ名トークン、X.509 トークン、および SAML トークンプロファイル (「サポートされる標準とセキュリティプロバイダ」を参照) をサポートする。 Web サービスセキュリティを使用する新しいビジネスサービス用のセキュリティ要件を確立する場合は、SAML トークンを提供するようクライアントに要求することを推奨する。SAML は、Web サービス内でユーザ ID を伝播するための新しい標準である。「認証での SAML の使用」を参照。
AquaLogic Service Bus でクライアントを認証するように要求するか、またはクライアントが提供する資格をそのまま認証のためにビジネスサービスに渡すか。	AquaLogic Service Bus でクライアントに認証を要求するときは、新たなセキュリティのレイヤを追加する。通常、追加するセキュリティレイヤが多いほど、ドメインの安全性が高くなる。 AquaLogic Service Bus でユーザを認証できるようにするには、AquaLogic Service Bus Console でユーザアカウントを作成する必要がある。ユーザの集合が非常に大きい場合は、AquaLogic Service Bus Console でユーザアカウントの大規模なデータベースを保守するだけの価値があるかどうかを検討する必要がある。
X.509 トークンまたは SAML トークンを提供するクライアントを AquaLogic Service Bus で認証する場合は、どの AquaLogic Service Bus ユーザがトークンにマップされるか。	AquaLogic Service Bus で認証するようにクライアントに要求し、特定の認証されたユーザのみがプロキシサービスにアクセスできる (認可される) ように、デフォルトのアクセス制御ポリシーを変更することを推奨する。 X.509 証明書、SAML トークン、またはユーザ名とパスワード以外の別のタイプの資格を提供するクライアントの認証と認可を行うには、クライアントの資格を AquaLogic Service Bus ユーザにマップする ID アサーションプロバイダをコンフィグレーションする必要がある。AquaLogic Service Bus はこのユーザ名を使用して、クライアントのセキュリティコンテキストを確立する。
ユーザ名とパスワードトークンを提供するクライアントを AquaLogic Service Bus で認証する場合は、次の処理を行うかどうか。クライアントのユーザ名とパスワードをビジネスサービスに渡すクライアントのユーザ名を新しいユーザ名とパスワードにマップし、新しい資格をビジネスサービスに渡す	クライアントが提供するユーザ名とパスワードをビジネスサービスに渡す場合、クライアントはビジネスサービスが要求する資格を保守する責任がある。ビジネスサービスがセキュリティ要件を変更する場合は、対応する変更を行うように各クライアントに通知する必要がある。ビジネスサービスが要件を頻繁に変更する可能性がある場合は、クライアントの提供する資格からビジネスサービスの要求する資格へのマッピングについて検討する。ビジネスサービスのクライアントが増えると、この資格マッピングを保守するために必要な作業が多くなる。

表 2-2 は、着信および発信の転送レベルのセキュリティに対して適用できる要件のすべての組み合わせについての説明です。

表 2-2 転送レベルのセキュリティ要件の組み合わせ
着信要件	組み合わせ可能な発信要件	コンフィグレーション方法
クライアントが HTTP または HTTPS ヘッダ内にユーザ名とパスワードを提供し、AquaLogic Service Bus がクライアントを認証する。	クライアントの資格を HTTP または HTTPS ヘッダで渡す。	着信 HTTPS (または HTTP) セキュリティをコンフィグレーションする。「着信 HTTPS セキュリティのコンフィグレーション : 主な手順」を参照。クライアントのユーザ名を AquaLogic Service Bus の [セキュリティコンフィグレーション] モジュールに追加する。発信 HTTPS (または HTTP) セキュリティをコンフィグレーションする。「発信 HTTPS セキュリティのコンフィグレーション : 主な手順」を参照。パススルーサービスアカウントを作成し、そのアカウントをビジネスサービスに付加する。
	クライアントの資格を別の AquaLogic Service Bus ユーザにマップし、新しい資格を HTTP または HTTPS ヘッダで渡す。	着信 HTTPS (または HTTP) セキュリティをコンフィグレーションする。「着信 HTTPS セキュリティのコンフィグレーション : 主な手順」を参照。クライアントのユーザ名を AquaLogic Service Bus の [セキュリティコンフィグレーション] モジュールに追加する。発信 HTTPS (または HTTP) セキュリティをコンフィグレーションする。「発信 HTTPS セキュリティのコンフィグレーション : 主な手順」を参照。ユーザマッピングサービスアカウントを作成し、そのアカウントをビジネスサービスに付加する。
クライアントが HTTP または HTTPS ヘッダ内にユーザ名とパスワードを提供し、AquaLogic Service Bus はクライアントを認証しない。	クライアントの資格を HTTP または HTTPS ヘッダで渡す。	着信 HTTPS (または HTTP) セキュリティをコンフィグレーションする。「着信 HTTPS セキュリティのコンフィグレーション : 主な手順」を参照。 HTTP または認証なし用か、あるいは HTTPS、一方向 SSL、または認証なし用にプロキシサービスをコンフィグレーションする。発信 HTTPS (または HTTP) セキュリティをコンフィグレーションする。「発信 HTTPS セキュリティのコンフィグレーション : 主な手順」を参照。 HTTP 基本認証用か、あるいは HTTPS、一方向 SSL、または基本認証用にビジネスサービスをコンフィグレーションする。また、パススルーサービスアカウントを作成し、そのアカウントをビジネスサービスに付加する。
	クライアントの資格を EJB over RMI に渡す。EJB コンテナでユーザを認証する。	パススルーサービスアカウントを作成し、そのアカウントをビジネスサービスに付加する。『AquaLogic Service Bus Console の使い方』の「サービスアカウント」を参照。
あらゆる形のローカル認証 (HTTP または HTTPS 基本、あるいは資格マッピングによる HTTPS クライアント証明書)。	クライアントの資格を EJB over RMI に渡す。EJB コンテナでユーザを認証する。	パススルーサービスアカウントを作成し、そのアカウントをビジネスサービスに付加する。『AquaLogic Service Bus Console の使い方』の「サービスアカウント」を参照。
	クライアントの資格を別の AquaLogic Service Bus ユーザにマップし、新しい資格を EJB over RMI に渡す。EJB コンテナでユーザを認証する。	ユーザマッピングサービスアカウントを作成し、そのアカウントをビジネスサービスに付加する。『AquaLogic Service Bus Console の使い方』の「サービスアカウント」を参照。

表 2-3 は、着信および発信のメッセージレベルのセキュリティに対して適用できる要件のすべての組み合わせについての説明です。場合によっては、転送レベルのセキュリティの着信要件が、発信メッセージレベルのセキュリティに適用できる要件に影響します。

表 2-3 メッセージレベルのセキュリティ要件の組み合わせ
着信要件	組み合わせ可能な発信要件	コンフィグレーション方法
クライアントが HTTP または HTTPS ヘッダ内にユーザ名とパスワードを提供し、AquaLogic Service Bus がクライアントを認証する。	クライアントの資格を SOAP ヘッダで渡す。	着信 HTTPS (または HTTP) セキュリティをコンフィグレーションする。「着信 HTTPS セキュリティのコンフィグレーション : 主な手順」を参照。クライアントのユーザ名を AquaLogic Service Bus の [セキュリティコンフィグレーション] モジュールに追加する。パススルーサービスアカウントを作成し、そのアカウントをビジネスサービスに付加する。『AquaLogic Service Bus Console の使い方』の「サービスアカウント」を参照。
	クライアントの資格を別の AquaLogic Service Bus ユーザにマップし、新しい資格を SOAP ヘッダで渡す。	着信 HTTPS (または HTTP) セキュリティをコンフィグレーションする。「着信 HTTPS セキュリティのコンフィグレーション : 主な手順」を参照。クライアントのユーザ名を AquaLogic Service Bus の [セキュリティコンフィグレーション] モジュールに追加する。ユーザマッピングサービスアカウントを作成し、そのアカウントをビジネスサービスに付加する。『AquaLogic Service Bus Console の使い方』の「サービスアカウント」を参照。
	クライアント資格を SAML トークンにマップする。AquaLogic Service Bus がユーザ ID アサーションを行う。	着信 HTTPS (または HTTP) セキュリティをコンフィグレーションする。「着信 HTTPS セキュリティのコンフィグレーション : 主な手順」を参照。クライアントのユーザ名を AquaLogic Service Bus の [セキュリティコンフィグレーション] モジュールに追加する。 SAML 資格マッピングプロバイダをコンフィグレーションする。「SAML 資格マッピングのコンフィグレーション : 主な手順」を参照してください。
クライアントが HTTP または HTTPS ヘッダ内にユーザ名とパスワードを提供し、AquaLogic Service Bus はクライアントを認証しない。	クライアントの資格を SOAP ヘッダで渡す。	着信 HTTPS (または HTTP) セキュリティをコンフィグレーションする。「着信 HTTPS セキュリティのコンフィグレーション : 主な手順」を参照。 HTTP または認証なし用か、あるいは HTTPS、一方向 SSL、または認証なし用にプロキシサービスをコンフィグレーションする。発信 HTTPS (または HTTP) セキュリティをコンフィグレーションする。「発信 HTTPS セキュリティのコンフィグレーション : 主な手順」を参照。 HTTP 基本認証用か、あるいは HTTPS、一方向 SSL、または基本認証用にビジネスサービスをコンフィグレーションする。また、パススルーサービスアカウントを作成し、そのアカウントをビジネスサービスに付加する。
クライアントが HTTPS クライアント証明書認証 (双方向 SSL) の一部として証明書を提供し、AquaLogic Service Bus がクライアントを認証する。	クライアント資格を SAML トークンにマップする。AquaLogic Service Bus がユーザ ID アサーションを行う。	着信 HTTPS (または HTTP) セキュリティをコンフィグレーションする。「着信 HTTPS セキュリティのコンフィグレーション : 主な手順」を参照。 SAML 資格マッピングプロバイダをコンフィグレーションする。「SAML 資格マッピングのコンフィグレーション : 主な手順」を参照してください。
アクティブな仲介プロキシサービスが、ユーザ名トークンプロファイルによる Web サービスセキュリティを強制する。	SOAP メッセージのユーザ名とパスワードトークンとして資格をコード化する。	パスワード (パスワードダイジェストではない) を要求する WS-Policy ステートメントでアクティブな仲介プロキシサービスを作成する。「アクティブな仲介プロキシサービスの作成 : 主な手順」を参照。
	SOAP メッセージの SAML トークンとして資格をコード化する。	パスワードを要求する WS-Policy ステートメントでアクティブな仲介プロキシサービスを作成する。「アクティブな仲介プロキシサービスの作成 : 主な手順」を参照。 SAML 資格マッピングプロバイダをコンフィグレーションする。「SAML 資格マッピングのコンフィグレーション : 主な手順」を参照してください。
アクティブな仲介プロキシサービスが、X.509 トークンプロファイルによる Web サービスセキュリティを強制する。	SOAP メッセージの SAML トークンとして資格をコード化する。	デジタル署名および必要に応じて X.509 トークンによる認証を要求する WS-Policy ステートメントで、アクティブな仲介プロキシサービスを作成する。「アクティブな仲介プロキシサービスの作成 : 主な手順」を参照。 SAML 資格マッピングプロバイダをコンフィグレーションする。「SAML 資格マッピングのコンフィグレーション : 主な手順」を参照してください。
アクティブな仲介プロキシサービスが、SAML トークンプロファイルによる Web サービスセキュリティを強制する。	発信 SOAP メッセージに新しい SAML トークンを生成する。	SAML トークンを要求する WS-Policy ステートメントでアクティブな仲介プロキシサービスを作成する。「着信要求での SAML トークンの認証」を参照。 SAML 資格マッピングプロバイダをコンフィグレーションする。「SAML 資格マッピングのコンフィグレーション : 主な手順」を参照してください。
ユーザ名とパスワード、X.509 トークン、または SAML トークンを渡すことができるパススループロキシサービス。	ユーザ名トークンプロファイル、X.509 トークンプロファイル、または SAML トークンプロファイルを使用するビジネスサービス。	パススループロキシサービスを作成する。「パススループロキシサービスの作成 : 主な手順」を参照。いずれかのトークンプロファイルを強制するビジネスサービスを作成する。「発信メッセージレベルのセキュリティのコンフィグレーション : 主な手順」または「SAML パススルー ID の伝播のコンフィグレーション」を参照。

着信 Tuxedo 要求の場合は、次のセキュリティ要件をコンフィグレーションできます。

例 : ユーザ名トークンによる認証

図 2-2 に、AquaLogic Service Bus を次のようにコンフィグレーションしたときの、AquaLogic Service Bus 全体のユーザ ID の流れを示します。

あるクライアントがプロキシサービスに要求を送信します。要求には、ユーザ名とパスワード資格が含まれます。

クライアントは、認証のために X.509 証明書などの他のタイプのトークンを送信することもできます。クライアントが証明書トークンを送信する場合は、トークンの ID を AquaLogic Service Bus セキュリティコンテキストにマップするように ID アサーションプロバイダをコンフィグレーションする必要があります。

プロキシサービスは、ドメインの認証プロバイダストアにそのユーザが存在するかどうかをドメインの認証プロバイダに問い合わせます。

ユーザが存在する場合、プロキシサービス用にコンフィグレーションしたアクセス制御ポリシーを評価するように、プロキシサービスがドメインの認証プロバイダに依頼します。

プロキシサービスのアクセス制御ポリシーによってユーザのアクセスが許可されている場合、プロキシサービスはメッセージを処理します。ビジネスサービスへの発信要求生成の一部として、プロキシサービスは、ビジネスサービスが要求するユーザ名とパスワードを提供するようにビジネスサービスに依頼します。

ビジネスサービスは、その資格のサービスアカウントを問い合わせます。サービスアカウントのコンフィグレーション方法に応じて、次のいずれかの処理を行います。

特定の (静的な) ユーザ名とパスワードをコード化するようにプロキシサービスに要求する。
クライアントが提供するユーザ名とパスワードを渡すようにプロキシサービスに要求する。
認証プロバイダから返されたユーザ名を別の (リモート) ユーザ名にマップし、このリモートユーザ名をコード化するようにプロキシサービスに要求する。

プロキシサービスは、サービスアカウントから返されたユーザ名とパスワードと共に発信要求を送信します。

図 2-2 サービスアカウントの使用方法

サービスアカウントの使用方法

管理セキュリティ

プロキシサービスやビジネスサービスの作成など、管理機能へのアクセスを保護するため、AquaLogic Service Bus には、事前定義されたアクセス特権を持つ 4 つのセキュリティロールが用意されています。

セキュリティロールとは、実行時にユーザやグループに動的に与えることができる ID です。これらの管理セキュリティロールのアクセス特権は変更できませんが、それらのロールのいずれかにユーザまたはグループを入れるための条件は変更できます。

管理ユーザをロールに割り当てるときは、すべての WebLogic Server および AquaLogic Service Bus リソースへの完全なアクセス権を持つ WebLogic Server Admin ロールに最低 1 人のユーザを割り当てます。

WebLogic Security フレームワークのコンフィグレーション : 主な手順

AquaLogic Service Bus セキュリティの初期コンフィグレーションタスクの多くでは、WebLogic Security フレームワークのコンフィグレーションのために WebLogic Server Administration Console で作業する必要があります。これらの初期タスクの後は、ほとんどのセキュリティタスクを AquaLogic Service Bus Console から実行できます。

AquaLogic Service Bus に対して WebLogic Security フレームワークをコンフィグレーションするには

転送レベルのセキュリティの一部として SSL の使用を計画している場合は、次の処理を行います。

WebLogic Server Administration Console で、ID と信頼をコンフィグレーションします。『WebLogic Server のセキュリティ』の「ID と信頼のコンフィグレーション」を参照してください。
WebLogic Server Administration Console で、SSL をコンフィグレーションします。『WebLogic Server のセキュリティ』の「SSL のコンフィグレーション」を参照してください。

AquaLogic Service Bus では、すべての HTTPS 通信はデフォルトの WebLogic Server (SSL) セキュリティネットワークチャネルを使用する必要があります。これは、AquaLogic Service Bus でサポートする唯一の SSL ネットワークチャネルです。

SSL コンフィグレーションに対して次のことを実行するようお勧めします。

双方向 SSL をコンフィグレーションする場合は、「クライアント証明書を要求するが強制しない」モードか、「クライアント証明書を要求し強制する」モードのいずれかを選択する必要がある。可能な限り、「クライアント証明書を要求し強制する」モードを選択することをお勧めします。詳細については、『WebLogic Security について』の「セキュリティの基礎概念」にある「セキュアソケットレイヤ (SSL)」を参照してください。
プロダクション環境では、ホスト名検証が有効であることを確認する。『WebLogic Server のセキュリティ』の「SSL のコンフィグレーション」にある「ホスト名検証の使い方」を参照してください。

WebLogic Server Administration Console で、プロキシサービスが着信セキュリティに対して使用する認証プロバイダをコンフィグレーションします。

表 2-4 は、AquaLogic Service Bus で通常コンフィグレーションする認証プロバイダについての説明です。コンフィグレーションできるすべての認証プロバイダの説明については、『WebLogic Server のセキュリティ』の「セキュリティプロバイダ」を参照してください。

表 2-4 認証プロバイダ
クライアントに提供を要求するもの	構成内容
単純なユーザ名とパスワード	WebLogic 認証プロバイダ。AquaLogic Service Bus Console を使用して、アクセスを許可するクライアントのユーザ名とパスワードを入力する。『AquaLogic Service Bus Console の使い方』の「セキュリティコンフィグレーション」にある「ユーザの追加」を参照。
着信 HTTPS と双方向 SSL 認証用の X.509 トークン	以下のすべてが含まれる。 WebLogic ID アサーションプロバイダ。このプロバイダは、X.509 トークンを検証できるが、デフォルトでは検証は行われない。このプロバイダが X.509 トークンをサポートできるようにする。さらに、このプロバイダがユーザ名マッパーを使用できるようにする。『WebLogic Security について』の「セキュリティの基礎概念」にある「認証」の「ID アサーションとトークン」を参照。 WebLogic 証明書パスプロバイダ。チェックに基づいて信頼された認証局を使用して、証明書チェーンを作成して検証する。
着信 Web サービスセキュリティ X.509 トークン認証用の X.509 トークン	プロキシサービスまたはビジネスサービスのいずれかが抽象 WS-Policy ステートメントを使用する Web サービスである場合は、以下もコンフィグレーションする必要がある。 `__SERVICE_BUS_INBOUND_WEB_SERVICE_SECURITY_MBEAN__` という Web サービスセキュリティコンフィグレーションで、`UseX509ForIdentity` プロパティを追加し、`true` に設定する。WebLogic Server Administration Console オンラインヘルプで「X.509 証明書を使用した ID の証明」を参照。
SAML トークン	以下のすべてが含まれる。 WebLogic SAML ID アサーションプロバイダ V2。このプロバイダは、Security Assertion Markup Language 1.1 (SAML) に基づいてユーザを認証する。 WebLogic SAML 資格マッピングプロバイダ V2。このプロバイダは、AquaLogic Service Bus ユーザをリモートユーザにマップする。

着信要求で WS-Security デジタル署名を要求するプロキシサービスまたはビジネスサービスの作成を計画している場合は、証明書レジストリプロバイダを有効にします。このプロバイダは、登録した証明書のリストに対して着信証明書を検証する証明書パスプロバイダです。

WebLogic Server Administration オンラインヘルプの「証明書パスプロバイダのコンフィグレーション」を参照してください。

ユーザ名とパスワードトークンを要求するようにメッセージレベルのセキュリティ (着信要求または発信要求) をコンフィグレーションする場合、およびメッセージでクリアテキストパスワードではなくパスワードダイジェストを提供する場合は、次の操作を行います。

WebLogic Server Administration Console で、AquaLogic Service Bus によって提供される 2 つの Web サービスセキュリティコンフィグレーションを探し、UsePasswordDigest プロパティの値を true に設定します。

この AquaLogic Service Bus Web サービスセキュリティコンフィグレーションは次の名前です。
__SERVICE_BUS_INBOUND_WEB_SERVICE_SECURITY_MBEAN__
__SERVICE_BUS_OUTBOUND_WEB_SERVICE_SECURITY_MBEAN__

Web サービスセキュリティコンフィグレーションの値の設定については、WebLogic Server Administration Console オンラインヘルプの「SOAP メッセージでのパスワードダイジェストの使用」を参照してください。

手順 2 でコンフィグレーションした各認証プロバイダに対し、WebLogic Server Administration Console で [パスワードダイジェストを有効化] チェックボックスを選択します。
手順 2 でコンフィグレーションした各 ID アサーションプロバイダに対し、WebLogic Server Administration Console でアクティブトークンタイプの 1 つとして wsse:PasswordDigest を設定します。

プロキシサービスプロバイダ (発信要求でキーと証明書のペアを渡します) の作成を計画している場合は、WebLogic Server Administration Console を使用して、PKI 資格マッピングプロバイダをコンフィグレーションします。AquaLogic Service Bus をホストする任意の WebLogic Server ドメインで、最大 1 つの PKI 資格マッピングプロバイダをコンフィグレーションできます。

PKI 資格マッピングプロバイダは、デジタル署名や暗号化 (Web サービスセキュリティ)、および発信 SSL 認証に使用できるキーペアに AquaLogic Service Bus プロキシサービスプロバイダをマップします。詳細については、『WebLogic Server のセキュリティ』の「WebLogic セキュリティプロバイダのコンフィグレーション」にある「PKI 資格マッピングプロバイダのコンフィグレーション」を参照してください。

PKI 資格マッピングプロバイダが使用するキーペアと信頼される証明局 (CA) 証明書は、キーストアに格納します。PKI 資格マッピングは、WebLogic Server が使用する ID キーストア (通常は、SSL 通信用のキーペアを格納するために使用するキーストアと同じです)、または別のキーストアに格納できます。各 WebLogic Server インスタンスがそれぞれ独自の各キーストアコピーにアクセスするようにコンフィグレーションします。PKI 資格マッパーで参照されるすべてのエントリがすべてのキーストアに存在する必要があります (同じエリアスを使用した同じエントリ)。WebLogic Server でのキーストアのコンフィグレーションについては、『WebLogic Security について』の「セキュリティの基礎概念」にある「ID と信頼」を参照してください。

注意 :

AquaLogic Service Bus ドメインを作成すると、デフォルトでドメインにユーザ名/パスワード資格マッピングプロバイダが含まれ、ユーザ名とパスワード用の資格マッピングが必要な場合に使用できます。このユーザ名/パスワード資格マッピングプロバイダの他に、1 つの PKI 資格マッピングプロバイダを追加できます。AquaLogic Service Bus ドメインは、最大 1 つのユーザ名/パスワード資格マッピングプロバイダ、1 つの PKI 資格マッピングプロバイダ、および複数の SAML 資格マッピングプロバイダを持つことができます。

セキュリティ監査を有効にする場合は、次の操作を行います。

WebLogic Server Administration Console で、監査プロバイダをコンフィグレーションします。『WebLogic Server のセキュリティ』の「WebLogic 監査プロバイダのコンフィグレーション」を参照してください。
WS-Security に関連したイベントの監査を有効にするには、各 AquaLogic Service Bus サーバの起動時に、サーバの起動コマンドで次の Java オプションを指定します。

注意 : -Dcom.bea.wli.sb.security.AuditWebServiceSecurityErrors=true

AquaLogic Service Bus はセキュリティイベントの監査をサポートしますが、コンフィグレーション監査をサポートしません。コンフィグレーション監査では、ユーザがドメイン内のリソースのコンフィグレーションを変更したり、ドメイン内のリソースに対して管理操作を呼び出したりすると、ログメッセージが出されて監査イベントが生成されます。『WebLogic Server のセキュリティ』の「コンフィグレーション監査」を参照してください。

まだ実行していない場合は、WebLogic Server Administration Console で変更をアクティブ化します。WebLogic Server の再起動が必要になる変更を行った場合は、Administration Console に再起動が必要であることが表示されます。このようなメッセージが表示された場合は、AquaLogic Service Bus をホストするすべての WebLogic Server インスタンスを再起動して、セキュリティプロバイダに対する変更が残りのコンフィグレーション手順に対して有効になるようにします。

サポートされる標準とセキュリティプロバイダ

AquaLogic Service Bus の今回のリリースでは、次の標準がサポートされます。

表 2-5 Web サービスセキュリティと関連する標準
標準	バージョン
WS-Security	1.0
WS-Policy	WS-Policy 仕様は完全には標準化されていないため、AquaLogic Service Bus では、2002 年 12 月 18 日バージョンの Web サービスセキュリティポリシー言語 (WS-SecurityPolicy) 仕様に記述されているアサーションに基づく WebLogic Server 独自の形式をサポートしている。AquaLogic Service Bus の今回のリリースには、最新版の仕様 (2005 年 7 月 13 日) は組み込まれていない。
WS-Policy Attachment	1.0
WS-Security : Username Token Profile	1.0
WS-Security : X.509 Token Profile	1.0
WS-Security : SAML Token Profile	1.0
SAML	1.1

WebLogic Server でサポートされる標準については、WebLogic Server リリースノートの WebLogic Server の新機能に関する説明にある「標準のサポート」を参照してください。

WebLogic セキュリティプロバイダのサポート

AquaLogic Service Bus では、WebLogic 認証プロバイダ、ID アサーションプロバイダ、認可プロバイダ、ロールマッピングプロバイダ、資格マッピングプロバイダ、証明書検索と検証 (CLV) プロバイダなど、WebLogic Server に含まれるセキュリティプロバイダをサポートします。さらに、AquaLogic Service Bus 2.5 では、WebLogic SAML ID アサーションプロバイダ V2 と WebLogic SAML 資格マッピングプロバイダ V2 をサポートします。

AquaLogic Service Bus のリリース 2.5 では、独自のポリシー言語を使用するデフォルトの WebLogic 認可プロバイダとデフォルトのロールマッピングプロバイダのサポートが廃止されています。これらのプロバイダの代わりに、OASIS 標準の eXtensible Access Control Markup Language (XACML) を用いた WebLogic XACML 認可プロバイダおよび XACML ロールマッピングプロバイダを使用することをお勧めします。デフォルトの WebLogic 認可プロバイダおよびデフォルトのロールマッピングプロバイダを使用していた以前のリリースの AquaLogic Service Bus をアップグレードする場合、WebLogic Server Administration Console を使用して、XACML プロバイダに認可データおよびロールマッピングデータをインポートします。AquaLogic Service Bus アップグレードガイドの AquaLogic Service Bus 環境のアップグレードに関する説明を参照してください。

Netegrity、Oracle-Oblix、RSA などのサードパーティセキュリティプロバイダはテストされていないため、AquaLogic Service Bus 2.5 では確認されていません。ただし、AquaLogic Service Bus セキュリティアーキテクチャでは、サードパーティ認証、認可、およびロールマッピングプロバイダの使用をサポートします。AquaLogic Service Bus 2.5 でのサードパーティセキュリティプロバイダのサポートについては、BEA カスタマサポートにお問い合わせください。

セキュリティプロバイダの詳細については、『WebLogic Security について』の「WebLogic Security サービスのアーキテクチャ」にある「WebLogic セキュリティプロバイダ」を参照してください。

セキュリティ ガイド