|
|
Oracle Service Bus と共に Oracle Web Services Manager を使用することで、ご使用の SOA 環境のセキュリティに役立てることができます。
このドキュメントでは、サービス パイプライン全体のセキュリティを確保する場合の使用例を挙げ、Oracle Service Bus と Oracle Web Services Manager 機能の間の対話に重点を置いて説明します。
Oracle Web Services Manager との対話に Oracle Service Bus でのコンフィグレーションは不要です。目的のクライアントとサービスの場所に Oracle Web Services Manager 機能を実装すれば、自動的に対話が行われ、セキュリティが確立されます。
Oracle Web Services Manager の詳細については、以下を参照してください。
このドキュメントでは、Oracle Web Services Manager で使用する以下のセキュリティの使用例について説明します。
サポート対象のバージョンについては、Oracle Service Bus の「製品サポート情報」を参照してください。次のいずれかの節では、使用例を実装するには Oracle Web Services Manager のどのバージョンを使用できるかを示します。
| 注意 : | Oracle Web Services Manager 11.1.1 には Gateway に相当するバージョンがありません。 |
この使用例を次の Oracle Web Services Manager のバージョンに実装することができます。
図 11-1 では、 Oracle Web Services Manager Gateway を使用して境界セキュリティを適用する方法について説明します。
Oracle Web Services Manager Gateway が、Oracle Service Bus プロキシ サービスによって公開されるサービスを仮想化します。Oracle Web Services Manager Gateway への着信要求に、メッセージ保護ポリシーが含まれています。クライアントが、セキュリティで保護された要求を Oracle Web Services Manager Gateway で仮想化されたサービスに送信します。要求は署名され、暗号化されています。
Oracle Web Services Manager Gateway は、セキュリティを確立するポイントとして機能し、復号化と署名の検証を行います。その後、Oracle Web Services Manager Gateway は SSL を介して通常の要求をプロキシ サービスにルーティングします。プロキシ サービスは要求をビジネス サービスに転送し、ビジネス サービスは Web サービスを呼び出して通常の応答を受け取ります。応答はプロキシ サービスと Oracle Web Services Manager Gateway を介してクライアントに戻ってきます。
この使用例を次の Oracle Web Services Manager のバージョンに実装することができます。
図 11-2 では、SAML (Security Assertion Markup Language) トークン バージョン 1.1 による ID 伝播のために Oracle Web Services Manager Gateway を使用する方法について説明します。
クライアントが、基本的な HTTP 認証要求を Oracle Web Services Manager Gateway に送信します。Oracle Web Services Manager Gateway は HTTP ヘッダにあるユーザ名とパスワードを使用してユーザを認証します。Oracle Web Services Manager Gateway は、認証されたユーザ ID を使用して SAML 送信者保証アサーションを生成し (トークン仲介)、アサーションに SAML トークンを挿入して、アサーションをプロキシ サービスに送信します。プロキシ サービスは、ユーザ ID を含む SAML アサーションを受け取り、能動的仲介者としてユーザ ID を検証します。次に、プロキシ サービスは要求をビジネス サービスに渡します。応答がビジネス サービス、プロキシ サービス、および Oracle Web Services Manager Gateway を介してクライアントに戻ってきます。
この使用例を次の Oracle Web Services Manager のバージョンに実装することができます。
図 11-3 では、メッセージの保護のために Oracle Web Services Manager クライアント エージェントを使用する方法について説明します。
プロキシ サービスに、着信メッセージ保護ポリシーがあります。Oracle Web Services Manager クライアント エージェントが、署名され、暗号化された要求をプロキシ サービスに送信します。プロキシ サービスは、セキュリティで保護された要求を受け取り、能動的仲介者として復号化および署名の検証を行い、要求をビジネス サービスにルーティングします。ビジネス サービスは、Web サービスを呼び出し、応答を受け取り、その応答をプロキシ サービスに送信します。プロキシ サービスは、応答に署名し、応答を暗号化して、Oracle Web Services Manager クライアント エージェントに送信します。クライアント エージェントはセキュリティで保護された応答を受け取り、復号化および署名の検証を行い、その応答をクライアントに渡します。
この使用例を次の Oracle Web Services Manager のバージョンに実装することができます。
図 11-4 では、メッセージの保護のために Oracle Web Services Manager Gateway を使用する方法について説明します。
クライアントは Oracle Service Bus にあるプロキシおよびビジネス サービスを介して通常の要求を送信します。ビジネス サービスは、要求に署名し、要求を暗号化して、Oracle Web Services Manager Gateway に送信します。Gateway は要求を復号化して、検証を行います。クライアントに通常のメッセージ応答を返します。
この使用例を次の Oracle Web Services Manager のバージョンに実装することができます。
図 11-5 では、メッセージの保護のために Oracle Web Services Manager サーバ エージェントを使用する方法について説明します。
クライアントは Oracle Service Bus にあるプロキシおよびビジネス サービスを介して通常の要求を送信します。ビジネス サービスは、要求に署名し、要求を暗号化して、Oracle Web Services Manager サーバ エージェントにメッセージを送信します。サーバ エージェントは要求を復号化して、検証を行います。クライアントに通常のメッセージ応答を返します。
この使用例を次の Oracle Web Services Manager のバージョンに実装することができます。
図 11-6 では、メッセージの保護のために Oracle Web Services Manager クライアントおよびサーバ エージェントを使用する方法について説明します。
Oracle Web Services Manager クライアント エージェントは、クライアント要求に署名し、クライアント要求を暗号化して、プロキシ サービスに送信します。プロキシ サービスは、署名を復号化し、署名の検証を行って、ビジネス サービスに送信します。ビジネス サービスは、要求に署名し、要求を暗号化します。Web サービスには、サーバ エージェントが挿入されています。サーバ エージェントは、着信メッセージの保護ポリシーがあります。着信メッセージの保護ポリシーは署名を復号化し署名の検証を行って、応答を暗号化します。ビジネス サービスに応答を送信します。ビジネス サービスはメッセージを検証して、応答をプロキシ サービスに送信します。プロキシ サービスは、署名や暗号化された応答を生成して、クライアント エージェントに送信します。クライアント エージェントは応答を復号化し応答を検証して、クライアントに通常の応答を返します。
この使用例を次の Oracle Web Services Manager のバージョンに実装することができます。
図 11-7 では、認証のために Oracle Web Services Manager クライアント エージェントを使用する方法について説明します。
プロキシ サービスに、ユーザ名トークン ポリシーがあります。クライアントが、Oracle Web Services Manager クライアント エージェントを介して、ユーザ名トークンに含めたメッセージ レベルのユーザ資格と共に要求をプロキシ サービスに送信します。プロキシ サービスは、資格マッピングを使用してユーザ名トークンのユーザ資格をマップし、認証のためにビジネス サービスを介して Web サービスに送信します。Web サービスは、Oracle Web Services Manager サービス エージェントにより着信ユーザ名トークン ポリシーを使用して保護されています。Oracle Web Services Manager サービス クライアント エージェントが、ユーザ資格を抽出して認証します。その後、応答がビジネス サービスとプロキシ サービスを介してクライアントに送り返されます。
|