Oracle Service Bus と WebLogic Server のセキュリティにはどのような関係がありますか。
Oracle Service Bus では WebLogic Security フレームワークを利用しています。このフレームワークの詳細については、『WebLogic Security について』の「WebLogic Security サービスのアーキテクチャ」にある「WebLogic Security フレームワーク」を参照してください。Oracle Service Bus でセキュリティをコンフィグレーションする前に、「WebLogic Security フレームワークのコンフィグレーション : 主な手順」の説明に従って、WebLogic Server で WebLogic Server セキュリティ レルムやその他のサーバのコンフィグレーション (SSL など) を行う必要があります。
転送レベルのセキュリティとは何ですか。
転送レベルのセキュリティは、メッセージの転送に使用する接続を保護する転送プロトコルを指します。転送レベルのセキュリティの例として、HTTPS (HTTP over SSL) があります。SSL のセキュリティはポイント ツー ポイントですが、メッセージの経路に仲介者がいるとメッセージが保護されません。詳細については、「転送レベルのセキュリティのコンフィグレーション」を参照してください。
Web サービス セキュリティとは何ですか。
Web サービス セキュリティ (WS-Security) は OASIS 標準の 1 つです。SOAP メッセージにメッセージレベルのセキュリティを組み込むための相互運用可能なメカニズムを定義しています。WS-Security は、メッセージの整合性と機密性をサポートします。また、SOAP エンベロープにセキュリティ トークンを含める拡張モデルや、SOAP エンベロープ内からセキュリティ トークンを参照するモデルも定義しています。WS-Security トークン プロファイルは、コアの WS-Security 仕様内での特定のトークン タイプの使用方法を指定しています。メッセージの整合性は XML デジタル署名を使用することで確保され、メッセージの機密性は XML 暗号化を使用することで確保されます。WS-Security では、SOAP メッセージのどの部分をデジタル署名または暗号化するかを指定できます。Oracle Service Bus は、HTTP (HTTPS を含む) および JMS による WS-Security をサポートします。WS-Security の詳細については、以下の URL にある「Web Services Security: SOAP Message Security 1.0 (WS-Security 2004)」を参照してください。
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0.pdf
Web サービス ポリシーとは何ですか。
Web サービス ポリシー フレームワーク (WS-Policy) は、Web サービスのポリシーを記述して通信するための汎用モデルとその構文を提供します。WS-Policy は、さまざまなサービスの要件、環境設定、および機能を記述するための一連の基本構成要素を定義しています。これは、他の Web サービス仕様によって使用および拡張できます。詳細については、「Oracle Service Bus プロキシ サービスとビジネス サービスでの WS-Policy の使用」を参照してください。
Web サービス ポリシーのアサーションとは何ですか。
Web Services Policy Assertions Language (WS-PolicyAssertions) は、セキュリティ ポリシー内で指定できる一連の共通メッセージ ポリシー アサーションを指定しています。この仕様は、WS-Policy で使用する一般的なメッセージング関連のアサーションを定義しています。個別の仕様で、セキュリティ アサーションと信頼性の高いメッセージング アサーションについて、ドメイン固有のアサーションの構文とセマンティクスを記述します。
発信 WS-Security は、Oracle Service Bus プロキシ サービスとビジネス サービスの間のセキュリティを表します。ビジネス アプリケーションとプロキシ サービスの間の要求と応答の両方が含まれます。詳細については、「メッセージレベルのセキュリティについて」を参照してください。
SAML とは何ですか。
SAML (Security Assertion Markup Language) は、OASIS 標準ベースの拡張可能な XML フレームワークです。認証および認可情報を交換することによって、最新のネットワーク環境でのシングル サインオンを可能にします。
SAML アサーションのサブジェクト ID の形式はカスタマイズ可能ですか。
デフォルトでは、発信 SAML トークン内のサブジェクト ID は、着信ユーザ名と同じです。サブジェクト ID の形式は、カスタムの SAML 名前マッパー プロバイダを記述することでカスタマイズできます。詳細については、『WebLogic Server のセキュリティ』の「SAML 資格マッピング プロバイダのコンフィグレーション」を参照してください。
元のクライアント要求からユーザ資格をパススルーするようにビジネス サービスのサービス アカウントをコンフィグレーションする方法 (ビジネス サービスでユーザ名とパスワードのトークンを要求される場合)。『Oracle Service Bus Console の使い方』の「サービス アカウント」を参照してください。
プロキシ サービスへの着信メッセージに転送レベルの認証とメッセージレベルの認証の両方が存在する場合、どちらの ID が伝播されますか。
転送レベルの認証とメッセージレベルの認証の両方が存在する場合、メッセージレベルのサブジェクト ID が伝播されます。
シングル サインオンは Oracle Service Bus でサポートされますか。
厳密に言えば、Oracle Service Bus メッセージング シナリオでは、シングル サインオン (SSO) はさまざまな理由で使用できません。まず、Oracle Service Bus はステートレスであるため、セッションの概念や複数のパーティ間での会話がありません。次に、Oracle Service Bus のクライアントは、通常は他のエンタープライズ ソフトウェア アプリケーションであり、Web ブラウザを使用するユーザではありません。そのため、このようなクライアントが要求ごとにユーザ名とパスワードなどの資格情報を送信する必要があっても、通信が SSL や WS-Security などの方法で保護される限り、許容されます。ただし、Oracle Service Bus Console と WebLogic Server Administration Console の間の SSO はサポートされています。詳細については、『WebLogic Security について』の「セキュリティの基礎概念」にある「シングル サインオン」を参照してください。
セキュリティ エラーはモニタされますか。
WS-Security エラーのみが、Oracle Service Bus モニタ フレームワークによってモニタされます。SSL ハンドシェーク エラー、転送レベルの認証、転送レベルのアクセス制御などの転送レベルのセキュリティ エラーは、このリリースではモニタされません。詳細については、Oracle Service Bus オペレーション ガイドのモニタにあるサービスのモニタの詳細を参照してください。ただし、監査プロバイダをコンフィグレーションして、転送レベルの認証と認可を監査することができます。
MBean のセキュリティをコンフィグレーションできますか。
Oracle Service Bus には、抽象 WS-Policy ステートメントで利用できる資格のタイプなど、実行時の動作をコンフィグレーションする 2 つの管理対象 Bean (MBean) があります。デフォルトでは、Admin および Deployer セキュリティ ロールのユーザのみがこれらの MBean を変更できます。ただし、これらのデフォルトは変更できます。WebLogic Server Administration Console オンライン ヘルプの「JMX ポリシーの作成」を参照してください。
