1 Oracle SALT 22c (22.1.0.0.0)の新機能

このリリース・ノートには、Oracle SALTリリース22c (22.1.0.0.0)に組み込まれた新機能および拡張機能が含まれています。

• Oracle Transaction Manager for Microservicesとの統合
  このリリースでは、Oracle Transaction Manager for Microservicesで調整されたグローバル・トランザクションにOracle Tuxedoサービスが参加できるようにSALTが拡張されています。
• JWTトークン認証のサポート
  
• SALTセキュリティに対する更新
  このリリースでは、デフォルトでより安全な環境が提供されます。この項では、デフォルトのセキュリティ動作と下位互換性のために必要な環境変数について説明します。

1.1 Oracle Transaction Manager for Microservicesとの統合

このリリースでは、Oracle Transaction Manager for Microservicesで調整されたグローバル・トランザクションにOracle Tuxedoサービスが参加できるようにSALTが拡張されています。

Oracle Transaction Manager for Microservicesを使用すると、エンタープライズ・ユーザーは、ミッションクリティカルなアプリケーションでマイクロサービス・アーキテクチャを採用し、多用できるようになります。提供される機能によって、そうしたアプリケーションの開発、デプロイおよびメンテナンスが容易になるためです。Oracle Transaction Manager for MicroservicesとSALTを統合するために、追加の構成は必要ありません。

関連項目:

Oracle® Transaction Manager for Microservices開発者ガイド

1.2 JWTトークン認証のサポート

• JWTトークン認証

  JWTトークン認証には、新しいTrustedIdpCert要素を使用できます。この要素を証明書のブロックに追加します。次に、この要素の値をX509証明書のPEM形式のリストを含むファイルの名前に設定します。

  GWWSがRESTインバウンド・リクエストを受信すると、HTTPヘッダーがチェックされます。Authorization: Bearerヘッダーが存在する場合、GWWSでは、リクエストでJWTベアラー・トークンが使用されていると想定されます。JWTトークンが有効な場合、GWWSは資格証明マッピングを実行します。デフォルトでは、GWWSは、JWTのsubクレームをTuxedoユーザー名として使用します。

  ノート:

  UBBCONFIGファイルでTuxedo SECURITYをNONEに設定すると、GWWSはJWTトークンを検証しません。この場合、Authorizationヘッダーは無視されます。

  例

  <System>
          <Certificate>
              <TrustedIdpCert>idp.pem</TrustedIdpCert>
          </Certificate>
      </System>

• JWT認証では、次のJWT署名アルゴリズムがサポートされています:
  • RS256: SHA-256によるRSA署名
  • RS384: SHA-384によるRSA署名
  • RS512: SHA-512によるRSA署名
  • ES256: SHA-256によるECDSA署名
  • ES384: SHA-384によるECDSA署名
  • ES512: SHA-512によるECDSA署名

1.3 SALTセキュリティに対する更新

このリリースでは、デフォルトでより安全な環境が提供されます。この項では、デフォルトのセキュリティ動作と下位互換性のために必要な環境変数について説明します。

• TM_MIN_PUB_KEY_LENGTH: HTTPSを使用する場合、RSAのキーの最小長は2048です。キー/証明書をロードすると、GWWSによってキーの長さが検出されます。キーの長さが2048より小さい場合、起動に失敗します。短いキー長を使用する場合は、環境変数TM_MIN_PUB_KEY_LENGTHを使用します。
• TM_TLS_FORCE_VER: TLS 1.2がデフォルトで使用されます。別のバージョンのTLSを(SSLサーバーに)使用するには、環境変数TM_TLS_FORCE_VERを使用して強制TLSバージョンを指定します。
• デフォルトでサポートされている暗号スイートのリストを次に示します:
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256

    他の暗号スイートを使用する場合は、環境変数TM_CIPHERSUITESを使用して暗号を明示的に指定します。たとえば、古いバージョンのOracle Tuxedoと相互運用する場合などです。