B Oracle Web Servicesの事前定義済アサーション・テンプレート

アサーション・テンプレートをカスタマイズするには、Oracle Web Servicesのアサーション・テンプレートの設定および構成プロパティを使用します。

トピック:

• Oracle Web Servicesのアサーション・テンプレートの設定

• Oracle Web Servicesのアサーション・テンプレートの構成プロパティ

B.1 Oracle Web Servicesのアサーション・テンプレートの設定

事前定義済アサーション・テンプレートを設定するには、アサーション・テンプレート設定を使用します。

設定は、アルファベット順にリストされています。

ノート:

すべての設定がすべてのアサーション・テンプレートに適用されるわけではありません。

• アクションの一致

• アルゴリズム・スイート

• 認証ヘッダー - ヘッダー名

• 認証ヘッダー - メカニズム

• 本体要素

• ブートストラップ・メッセージ・セキュリティ

• クライアント・エントロピ

• クライアント・ポリシーURI

• 署名の確認

• 確認タイプ

• 制約の一致

• 必要な作成時間

• 導出キー

• 有効

• 署名の暗号化

• 暗号化キー参照メカニズム

• フォルト

• 「フォルト・メッセージ」設定

• ヘッダー要素

• 本体全体を含める

• MIMEヘッダーを含める

• SwAアタッチメントを含める

• タイムスタンプを含める

• 暗号化済

• 署名済

• Kerberosトークン・タイプ

• キー・タイプ

• キーストア受信者の別名

• 相互認証が必要

• 名前識別子フォーマット

• 必要なNonce

• パスワード・タイプ

• 権限

• 権限クラス

• ポート・エンドポイント

• ポートURI

• 再認証

• 受信者暗号化キー参照メカニズム

• 受信者署名キー参照メカニズム

• リクエスト

• 「リクエスト・メッセージ」設定

• リクエストXPath

• リクエスト・ネームスペース

• 適用先が必要

• クライアント・エントロピが必要

• 外部参照が必要

• 内部参照が必要

• サーバー・エントロピが必要

• リソースの一致

• レスポンス

• 「レスポンス・メッセージ」設定

• レスポンス・ネームスペース

• レスポンスXPath

• ロール

• サーバー・エントロピ

• 署名キー参照メカニズム

• 署名して暗号化

• トークン・タイプ

• Transport Layer Security

• Transport Layer Security - タイムスタンプを含める

• Transport Layer Security - 相互認証が必要

• バージョン

• トラスト・バージョン

• 導出キーの使用

• PKIパスの使用

• WSDLは存在しますか。

• WSDL

B.1.1 アクション一致

「アクションの一致」は、Webサービス操作の認可チェックを実行します。

この値は、値のカンマ区切りのリストにすることもできます。このフィールドでは、ワイルドカードを使用できます。たとえば、validate、amountAvailable

B.1.2 アルゴリズム・スイート

アルゴリズム・スイートは、メッセージ保護に使用されます。

詳細は、「サポートされているアルゴリズム・スイート」を参照してください。

B.1.3 認証ヘッダー - ヘッダー名

認証ヘッダーの名前を指定します。

B.1.4 認証ヘッダー - メカニズム

この設定は、アサーション・テンプレートの認証メカニズムを指定するために使用されます。

有効な値は次のとおりです。

• basic—ユーザー名およびパスワードを送信することで、クライアントが自身を認証します。

  ノート: Basic認証を使用する場合はSSLを構成することをお薦めします。詳細は、「SSLに関するキーストアの構成について」を参照してください。

• cert—このリリースではサポートされていません。証明書を送信することで、クライアントが自身を認証します。

• custom—このリリースではサポートされていません。カスタムの認証メカニズム。

• digest— このリリースではサポートされていません。暗号化されたパスワードをMD5ダイジェストを使用して送信することで、クライアントが自身を認証します。

• jwt - 今後の使用のために予約されています。

• oam—クライアントはOAMエージェントを使用して自身を認証します。

• saml20-bearer—クライアントはSAML 2.0 Bearerトークンを使用して自身を認証します。

• spnego—クライアントはKerberos SPNEGOを使用して自身を認証します。

B.1.5 本体要素

この設定は、アサーション・テンプレートの本体要素を定義するために使用します。

ノート: このフィールドは、「本体全体を含める」が無効化されている場合に使用できます。

指定された本体要素に署名するか暗号化します。このフィールドは、「ボディを含める」が無効化されている場合に使用できます。

本体要素を追加するには:

1. 「追加」をクリックします。

2. ネームスペースURIを入力します。

3. ヘッダー要素のローカル名を入力します。

4. 「OK」をクリックします。

本体要素を編集するには:

1. 「本体要素」リストで、編集するbpdu要素を選択します。

2. 「編集」をクリックします。

3. 必要に応じて値を変更します。

4. 「OK」をクリックします。

本体要素を削除するには:

1. 「本体要素」リストで、削除する本体要素を選択します。

2. 「削除」をクリックします。

3. 確認を要求されたら、「OK」をクリックします。

B.1.6 ブートストラップ・メッセージ・セキュリティ

セキュア通信ポリシーには、内部と外部の2つのポリシーがあります。「ブートストラップ・メッセージ・セキュリティ」コントロールによって、内部ポリシーおよび外部ポリシーが公開されます。

ブートストラップ(内部)ポリシーは、トークンの取得と、クライアントとWebサービス間のハンドシェイクの確立に使用されます。外部ポリシーは、トークンを使用したリクエストの実行時にアプリケーション・メッセージに対して使用されます。

B.1.7 クライアント・エントロピ

これは、セキュア通信でリクエストされた証明トークンのキー・マテリアルとして使用されます。

B.1.8 クライアント・ポリシーURI

クライアントがSTSと通信する際に使用するクライアント・ポリシーURI。

WSDLでの識別に従い、選択するポリシーはSTSの認証要件に応じて異なります。場合によっては、「すべてのクライアント・ポリシーを表示」または「互換性のあるクライアント・ポリシーを表示」を選択して、ポリシーのリストをフィルタリングできます。「互換性のあるクライアント・ポリシーを表示」を選択した場合、「ポートURI」で指定したポートと互換性のあるポリシーのみが表示されます。

B.1.9 署名の確認

このフラグは、クライアントにシグネチャの確認を送信するかどうかを指定します。このフラグのデフォルト値は'false'です。

B.1.10 確認タイプ

この設定は、認証用のSAML送信者保証トークンを指定します。

次の値のみ有効です。

• sender-vouches—認証に送信者保証のSAMLトークンが使用されます。

B.1.11 制約の一致

認可チェックが実行される制約を表す式。

制約式は、次の2つのmessageContextプロパティを使用して指定します。

• messageContext.authenticationMethod—ユーザーの認証に使用する認証方法を決定します。有効な値はSAML_SVです。

• messageContext.requestOrigin—リクエストが内部ネットワークまたは外部ネットワークから発行されたかどうかを決定します。このプロパティは、Oracle HTTP Serverを使用しており、Oracle HTTP Server管理者がカスタムのVIRTUAL_HOST_TYPEヘッダーをリクエストに追加した場合のみ有効です。

制約パターン・プロパティとその値では、大文字と小文字が区別されます。

制約式では、サポートされている標準的な演算子(==、!=、&&、||、!)を使用します。

B.1.12 必要な作成時間

このフラグは、ユーザー名トークンの作成にタイム・スタンプが必要かどうかを指定します。

ノート: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。

B.1.13 導出キー

このフラグは、導出キーを使用するどうかを指定します。

B.1.14 有効

事前構成済のWS-SCポリシーの場合、「セキュア通信」はデフォルトで有効になります。その他すべてのポリシーで、「セキュア通信」はデフォルトで無効になります。

B.1.15 署名の暗号化

このフラグは、署名を暗号化するかどうかを指定します。

B.1.16 暗号化キー参照メカニズム

リクエストの暗号化に使用されるメカニズム。

wss10_message_protection_client_templateおよびwss10_saml_token_with_message_protection_client_templateの場合の有効な値は、次のとおりです。

• direct—リクエストに含まれるX.509トークン。

• ski—証明書の参照に使用されるX.509証明書のサブジェクト・キー識別子(SKI)の拡張子の値。(一部の証明書にはこの拡張子がありません。)メッセージの受信者は、SKIに対応する証明書のキーストアを調査し、それに対して署名を検証します。

• issuerserial—発行者名およびX.509証明書の参照に使用されるシリアル番号属性のコンポジット・キー。メッセージの受信者は、発行者名およびシリアル番号に対応する証明書のキーストアを調査し、それに対して署名を検証します。

wss11_message_protection_client_template、wss11_saml_token_with_message_protection_client_template、wss11_saml20_token_with_message_protection_client_template、wss11_username_token_with_message_protection_client_template、wss11_x509_token_with_message_protection_client_templateおよびwss11_username_token_with_message_protection_client_templateの場合の有効な値は、次のとおりです。

• direct—リクエストに含まれるX.509トークン。

• ski—証明書の参照に使用されるX.509証明書のサブジェクト・キー識別子(SKI)の拡張子の値。(一部の証明書にはこの拡張子がありません。)メッセージの受信者は、SKIに対応する証明書のキーストアを調査し、それに対して署名を検証します。

• issuerserial—発行者名およびX.509証明書の参照に使用されるシリアル番号属性のコンポジット・キー。メッセージの受信者は、発行者名およびシリアル番号に対応する証明書のキーストアを調査し、それに対して署名を検証します。

• thumbprint—証明書のコンテンツのメッセージ・ダイジェスト(SHA1ハッシュ)。証明書を格納する、オーバーヘッドの少ない方法を提供します。

B.1.17フォルト

この設定は、フォルト・メッセージのロギングのために使用します。

有効な値は、次のとおりです。

• all—SOAPメッセージ全体が記録されます。

• header—SOAPヘッダー情報のみが記録されます。

• soap_body—SOAP本文の情報のみが記録されます。

• soap_envelope—SOAPエンベロープの情報のみが記録されます。

B.1.18 「フォルト・メッセージ」設定

これらの設定は、メッセージの署名と暗号化のために使用します。

表18-131を参照してください。

B.1.19 ヘッダー要素

この設定は、指定されたSOAPヘッダー要素に署名するか暗号化するために使用します。

ヘッダー要素を追加するには:

1. 「追加」をクリックします。

2. ネームスペースURIを入力します。

3. ヘッダー要素のローカル名を入力します。

4. 「OK」をクリックします。

ヘッダー要素を編集するには:

1. 「ヘッダー要素」リストで、編集するヘッダー要素を選択します。

2. 「編集」をクリックします。

3. 必要に応じて値を変更します。

4. 「OK」をクリックします。

ヘッダー要素を削除するには:

1. 「ヘッダー要素」リストで、削除するヘッダー要素を選択します。

2. 「削除」をクリックします。

3. 確認を要求されたら、「OK」をクリックします。

B.1.20 本体全体を含める

この設定は、SOAPメッセージの本文全体に署名するか暗号化するために使用します。

falseの場合は、「本体要素」セクションを使用して特定の本体要素を追加できます。

B.1.21 MIMEヘッダーを含める

MIMEヘッダー付きのSOAPアタッチメントに署名するか暗号化します。

ノート: このフィールドは、「SwAアタッチメントを含める」が有効な場合に有効であり、適用されます。MTOMアタッチメントには適用されません。

B.1.22 SwAアタッチメントを含める

「SwAアタッチメントを含める」は、アタッチメント付きのSOAPメッセージに署名するか暗号化します。

ノート: このフィールドは、MTOMアタッチメントには適用されません。

B.1.23 タイムスタンプを含める

このフラグは、タイムスタンプを含めるかどうかを指定します。

タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。

B.1.24 暗号化済

このフラグは、SAMLトークンを暗号化するかどうかを指定します。

B.1.25 署名済

このフラグは、SAMLトークンを署名するかどうかを指定します。

B.1.26 Kerberosトークン・タイプ

これは、Kerberosトークンのタイプを指定します。

有効な値は、gss-apreq-v5 (Kerberosバージョン5 GSS-API)のみです。

B.1.27 キー・タイプ

これは、キー・タイプを指定します。

有効な値はbearerのみです。

B.1.28 キーストア受信者の別名

キーストアに追加したSTS証明書の別名。

デフォルトの別名はsts-csf-keyです。

B.1.29 相互認証が必要

このフラグは、双方向認証が必要かどうかを指定します。

有効な値は次のとおりです。

• Enabled—サービスをクライアントに対して認証し、クライアントをサービスに対して認証する必要があります。

• Disabled—一方向認証が必要です。サービスをクライアントに対して認証する必要がありますが、クライアントをサービスに対して認証する必要はありません。

B.1.30 名前識別子フォーマット

これは、名前識別子で使用するフォーマットのタイプを指定します。

次のいずれかの値を指定します。

• 指定なし

• emailAddress

• X509SubjectName

• WindowsDomainQualifiedName

次のアサーション・テンプレートには、さらに値kerberosが指定されます。

wss10_saml20_token_client_template、wss_saml20_token_bearer_over_ssl_client_template、wss10_saml20_token_with_message_protection_client_template、wss11_saml20_token_with_message_protection_client_template

「名前識別子フォーマット」は、subject.precedenceがfalseに設定されている場合のみ適用されます。subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyプロパティまたはusernameプロパティ(設計時のSAML Webサービス・クライアントの構成を参照)から取得されます。ユーザー名のフォーマットは、「名前識別子フォーマット」に設定されたフォーマットと同じである必要があります。

subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトから取得されます。この場合、「名前識別子フォーマット」は常に「未指定」であり、「名前識別子フォーマット」を設定してこれを変更することはできません。

B.1.31 必要なNonce

このフラグは、リプレイ攻撃を防止するためユーザー名にNonceを含める必要があるかどうかを指定します。

ノート: 「パスワード・タイプ」がdigestに設定されている場合は、この属性をtrueに設定する必要があります。設定しない場合、添付先のポリシーは検証されません。

B.1.32 パスワード・タイプ

これは、必要なパスワードのタイプを指定します。

有効な値は次のとおりです。

• none—パスワードは使用されません。

• plaintext—クリア・テキストのパスワード。

• digest— 暗号化されたパスワードをMD5ダイジェストを使用して送信することで、クライアントが自身を認証します。

パスワード・タイプを「なし」に指定した場合、キーにパスワードを含める必要はありません。

ノート:

ダイジェスト・パスワードを使用しないと、このテンプレートを使用して作成されたポリシーはセキュアではなくなります。plaintextによって、パスワードはクリア・テキストで送信されます。このアサーションは、セキュリティが低くても問題にならない場合にのみダイジェスト・パスワードなしに、または他のメカニズムでトランスポートが保護されていることがはっきりしている場合に使用してください。または、このアサーションのSSLバージョンであるoracle/wss_username_token_over_ssl_client_templateの使用を検討します。

B.1.33 権限

ロールベースおよび権限ベースのポリシーでは、guard要素を使用してリソース、アクションおよび制約一致の値が定義されます。これらの値によって、guardの結果がtrueの場合にのみ、アサーション実行が許可されるようになります。アクセスしたリソース名およびアクションが一致した場合にのみ、アサーションの実行が許可されます。

guard要素の詳細は、「orawsp:guard要素」を参照してください。

デフォルトで、リソース名およびアクションでは、ワイルドカードのアスタリスク(*)が使用され、すべてが許可されます。

B.1.34 権限クラス

権限ベースの確認に使用されるクラス。

たとえば、oracle.wsm.security.WSFuncPermissionです。

そのポリシーの構成プロパティpermission_classを変更する方法もあります。これはJAAS標準によって権限クラスを識別します。権限クラスは、アプリケーションまたはサーバーのクラスパスに存在する必要があります。

カスタムの権限クラスは、抽象的な権限クラスを拡張し、シリアライズ可能なインタフェースを実装する必要があります。http://docs.oracle.com/javase/7/docs/api/java/security/Permission.htmlにあるJavadocを参照してください。

デフォルトはoracle.wsm.security.WSFunctionPermissionです。

B.1.35 ポート・エンドポイント

STS Webサービスのエンドポイント。WSDL 2.0 STSの場合、target-namespace#wsdl.endpoint(service-name/port-name)の形式で指定されます。

たとえば、http://samples.otn.com.LoanFlow#wsdl.endpoint(LoanFlowService/LoanFlowPort)と指定します。WSDL 1.1 STSの場合、targetnamespace#wsdl11.endpoint(servicename/portname)という形式で指定します。たとえば、http://samples.otn.com.LoanFlow#wsdl11.endpoint(LoanFlowService/LoanFlowPort)と指定します。

B.1.36 ポートURI

STSポートの実際のエンドポイントURI。

たとえば、http://host:port/context-root/service1と指定します。

B.1.37 再認証

propagate.identity.context構成属性をTrueに設定するときは、SAML送信者保証ポリシーに対してのみ再認証制御を有効化できます。

詳細は、Oracle Web Services Managerの理解の再認証を使用する状況に関する項を参照してください。

B.1.38 受信者暗号化キー参照メカニズム

受信の暗号化に使用されるメカニズム。

有効な値は、前述の「署名キー参照メカニズム」と同じです。

B.1.39 受信者署名キー参照メカニズム

受信の署名に使用できるメカニズム。

有効な値は、「署名キー参照メカニズム」と同じです。

B.1.40 リクエスト

ロギング・リクエスト・メッセージの要件。

有効な値は、次のとおりです。

• all—SOAPメッセージ全体が記録されます。

• header—SOAPヘッダー情報のみが記録されます。

• soap_body—SOAP本文の情報のみが記録されます。

• soap_envelope—SOAPエンベロープの情報のみが記録されます。

B.1.41 「リクエスト・メッセージ」設定

リクエスト・メッセージ設定を指定します。

表18-131を参照してください。

B.1.42 リクエストXPath

これは、XPathをリクエストするかどうかを指定します。

オプション要素です。リクエストのXPathのカンマ区切りのリストです。デフォルト値は空白です。

B.1.43 リクエスト・ネームスペース

オプション要素です。リクエストのネームスペースのカンマ区切りのリストです。各ネームスペースの接頭辞とURIは、等号で区切られます。デフォルト値は空白です。

B.1.44 適用先が必要

RSTのオプション要素。存在する場合、OWSMによって、トークンがリクエストされているWebサービスのエンドポイント・アドレスが送信されます。デフォルト動作では、クライアントからSTSへのメッセージでappliesTo要素が常に送信されます。

B.1.45 クライアント・エントロピが必要

Webサービスのセキュリティ・ポリシーによって対称証明キーが求められる場合、要求者は証明キーの計算に含めることができるキーの内容の一部(エントロピ)を渡すことができます。Webサービス・ポリシーでは、クライアント・エントロピ、STSエントロピ、またはその両方が必要であるかどうかを示すことができます。

B.1.46 外部参照が必要

トークンの外部参照が必要かどうかを指定します。

B.1.47 内部参照が必要

トークンの内部参照が必要かどうかを指定します。

B.1.48 サーバー・エントロピが必要

Webサービスのセキュリティ・ポリシーによって対称証明キーが求められる場合、要求者は証明キーの計算に含めることができるキーの内容の一部(エントロピ)を渡すことができます。Webサービス・ポリシーでは、クライアント・エントロピ、STSエントロピ、またはその両方が必要であるかどうかを示すことができます。

B.1.49 リソース一致

認可チェックが実行されるリソースの名前。このフィールドには、ワイルドカードを使用できます。たとえば、Webサービスのネームスペースがhttp://project11で、サービス名がCreditValidationの場合、リソース名はhttp://project11/CreditValidationになります。

B.1.50 レスポンス

ロギング・レスポンス・メッセージの要件。有効な値は、前述のRequestと同じです。

B.1.51 「レスポンス・メッセージ」設定

表18-131を参照してください。

B.1.52 レスポンス・ネームスペース

オプション要素です。ネームスペースのカンマ区切りのリストです。各ネームスペースの接頭辞とURIは、等号で区切られます。デフォルト値は空白です。

B.1.53 レスポンスXPath

オプション要素です。レスポンスのXPathのカンマ区切りのリストです。デフォルト値は空白です。

B.1.54 ロール

認可されたロールを指定します。

有効な値は、次のとおりです。

• すべてを許可—すべてのロールのユーザーを許可します。

• すべてを拒否—ロールを持つすべてのユーザーを拒否します。

• 選択したロール—選択したロールを許可します。

ロールを追加するには:

1. 「追加」をクリックします。

2. ロールを追加するには、「使用可能なロール」列の追加する各ロールの隣にあるチェック・ボックスをクリックし、「移動」をクリックします。すべてのロールを追加するには、「すべて移動」をクリックします。

   ロールを削除するには、「追加対象として選択したロール」列の削除する各ロールの隣にあるチェック・ボックスをクリックし、「削除」をクリックします。すべてのロールを削除するには、「すべて削除」をクリックします。

   ロールを検索するには、「ロール名」検索ボックスに検索文字列を入力して、実行の矢印をクリックします。検索文字列に一致するロールのみが含まれるように、「使用可能なロール」列が更新されます。

3. 「OK」をクリックします。

ロールを削除するには:

1. 「選択したロール」リストで削除するロールを選択します。

2. 「削除」をクリックします。

B.1.55 サーバー・エントロピ

これは、セキュア通信でリクエストされた証明トークンのキー・マテリアルとして使用されます。

B.1.56 署名キー参照メカニズム

リクエストの署名に使用できるメカニズム。

有効な値は次のとおりです。

• direct—リクエストに含まれるX.509トークン。

• ski—証明書の参照に使用されるX.509証明書のサブジェクト・キー識別子(SKI)の拡張子の値。(一部の証明書にはこの拡張子がありません。)メッセージの受信者は、SKIに対応する証明書のキーストアを調査し、それに対して署名を検証します。

• issuerserial—発行者名およびX.509証明書の参照に使用されるシリアル番号属性のコンポジット・キー。メッセージの受信者は、発行者名およびシリアル番号に対応する証明書のキーストアを調査し、それに対して署名を検証します。

• thumbprint—証明書のコンテンツのメッセージ・ダイジェスト(SHA1ハッシュ)。証明書を格納する、オーバーヘッドの少ない方法を提供します。このプロパティは、次のテンプレートの場合にのみ有効です。wss11_saml_token_with_message_protection_client_template、wss11_saml20_token_with_message_protection_client_template、wss11_x509_token_with_message_protection_client_template、wss11_sts_issued_saml_with_message_protection_client_template、oracle/wss11_sts_issued_saml_hok_with_message_protection_client_template。

B.1.57 署名して暗号化

このフラグは、リクエストが署名され、暗号化されるかどうかを指定します。

B.1.58 トークン・タイプ

SAMLトークン・タイプ。有効な値は1.1のみです。

B.1.59 Transport Layer Security

このフラグは、Secure Socket Layer (SSL)(別名Transport Layer Security (TLS))を有効にするかどうかを指定します。

B.1.60 Transport Layer Security - タイムスタンプを含める

このフラグは、タイムスタンプを含めるかどうかを指定します。

タイムスタンプを使用して、メッセージが無効になる有効期限を識別することで、リプレイ攻撃を防止できます。

B.1.61 Transport Layer Security - 相互認証が必要

このフラグは、双方向認証が必要かどうかを指定します。

有効な値は次のとおりです。

• Enabled—サービスをクライアントに対して認証し、クライアントをサービスに対して認証する必要があります。

• Disabled—一方向認証が必要です。サービスをクライアントに対して認証する必要がありますが、クライアントをサービスに対して認証する必要はありません。

B.1.62 バージョン

これは、SAMLまたはセキュア通信のバージョンを指定します。

B.1.63 トラスト・バージョン

これは、WS-Trustのバージョンを指定します。

B.1.64 導出キーの使用

このフラグは、導出キーを使用するどうかを指定します。

B.1.65 PKIパスの使用

このフラグは、X509PKIPathV1トークンを処理して伝播する必要があるかどうかを指定します。

B.1.66 WSDLは存在しますか。

セキュリティ・トークン・サービス(STS)に対してWSDLが存在するかどうかを示します。

WSDLが存在する場合は、テンプレートのクローンを作成する際、WSDLのエンドポイントURIの入力、認証が必要かどうかの指定、およびユーザー名とパスワードの入力を求められる可能性があります。その後、「WSDL解析」を選択し、WSDLを解析してWSDLから取得した値を後続のフィールドに入力できます。

B.1.67 WSDL

STS WSDLのエンドポイントURIで、STS情報の取得およびトークン交換用のSTSの呼出しに使用されます。

B.2 Oracle Web Servicesのアサーション・テンプレートの構成プロパティ

次の各項では、事前定義済のアサーション・テンプレートに設定可能な構成プロパティの概要を示しています(アルファベット順)。

ノート:

すべての構成プロパティがすべてのアサーション・テンプレートに適用されるわけではありません。

• algorithm

• anonymous.access

• application.name

• attesting.mapping.attribute

• caller.principal.name

• credential.delegation

• csf.map

• csf-key

• encryption-algorithm

• execute.action

• ignore.timestamp.in.response

• include-timestamp

• issued.token.caching

• issued.token.lifetime

• iteration

• keysize

• keytab.location

• keystore.enc.csf.key

• keystore.recipient.alias

• keystore.sig.csf.key

• lookup.action

• on.behalf.of

• policy.reference.uri

• port.endpoint

• port.uri

• propagate.identity.context

• realm

• reference.priority

• resource.mapping.model

• resource.name

• resource.type

• rm.encrypt.body

• role

• salt

• saml.assertion.filename

• saml.audience.uri

• saml.envelope.signature.required

• saml.issuer.name

• saml.trusted.issuers

• sc.token.lifetime

• service.principal.name

• subject.precedence

• sts.auth.caller.principal.name

• sts.auth.keytab.location

• sts.auth.on.behalf.of.csf.key

• sts.auth.on.behalf.of.username.only

• sts.auth.service.principal.name

• sts.auth.user.csf.key

• sts.auth.x509.csf.key

• sts.in.order

• sts.keystore.recipient.alias

• use.single.step

• user.attributes

• user.roles.include

• user.tenant.name

• wsdl.uri

• auth.header.token.type

B.2.1 algorithm

キー導出アルゴリズム。PBKDF2である必要があります。

B.2.2 anonymous.access

デフォルト値がtrueである構成オーバーライド・プロパティ。値はtrueまたはfalseを指定できます。trueに設定すると、メッセージ・コンテキストの匿名サブジェクトの追加を管理します。

B.2.3 application.name

OESに定義されたアプリケーション名。${}表記法を使用した値は、静的にも動的にもできます。

B.2.4 attesting.mapping.attribute

アテスト・エンティティの表現で使用されるマッピング属性。現在サポートされているのはDNのみです。この属性は、送信者保証およびメッセージ保護ユースケースにのみ適用されます。SAML over SSLポリシーには適用されません。

B.2.5 auth.header.token.type

デフォルトでは、クライアント側で"oit"認可ヘッダーが送信リクエスト・フェーズの一部として作成されます。クライアント側から"Bearer"認可ヘッダーを送信するには、クライアントは構成プロパティ"auth.header.token.type"を値"Bearer"でオーバーライドする必要があります。サービス側は、"Bearer"および"oit"を使用して認可ヘッダーを処理します。認可ヘッダー接頭辞として、"oit"および"Bearer"の認可ヘッダーを確認します。一致する場合、サービス側はヘッダーを抽出して検証します。それ以外の場合、適切な例外がスローされます。

B.2.6 caller.principal.name

ktpassコマンドを使用して生成されたクライアントのプリンシパル名で、kerberosトークンの生成先のユーザー名にマップされます。<username>@<REALM NAME>の形式を使用します。

ノート: keytab.locationとcaller.principal.nameは、Java EEアプリケーションのクライアント・アイデンティティの伝播で必要です。

B.2.7 credential.delegation

転送されたTGTによる資格証明委任がサポートされるかどうかを指定するフラグ。詳細は、「資格証明委任の構成について」を参照してください。デフォルトで、この値はfalseです。

B.2.8 csf.map

CSF別名を含む資格証明ストア内のOracle WSMマップ。

このプロパティのValueにアプリケーション・レベルのマップ名を指定すると、デフォルトのドメイン・レベルのOracle WSMマップをオーバーライドできます。

たとえば: Value=app-level-mapname.map。

アプリケーション・レベルのマップへのアクセスでは、wsm-agent-core.jarへの資格証明アクセス権限およびアイデンティティ権限も付与する必要があります(「アプリケーション・レベルの資格証明マップの作成について」を参照)。

B.2.9 csf-key

OPSSアイデンティティ・ストアのユーザー名およびパスワードにマップする資格証明ストア・キー。資格証明ストアにキーを追加する方法の詳細は、「資格証明ストアを構成するためのキーおよびユーザー資格証明の追加」を参照してください。

B.2.10 encryption-algorithm

データ暗号化アルゴリズム。AES/CBC/PKCS5Paddingである必要があります。

B.2.11 execute.action

オプションのプロパティ。実際の認可で使用されるアクションです。${}表記法を使用した値は、静的にも動的にもできます。

B.2.12 ignore.timestamp.in.response

サービスからレスポンスを受信したときにSOAPセキュリティ・ヘッダー内のタイムスタンプを無視するために、クライアントが使用するプロパティ。デフォルト動作では、タイムスタンプは無視されません(このプロパティのデフォルト値はfalse)。trueに設定されている場合、レスポンス・メッセージ内にタイムスタンプは必要ありません。タイムスタンプがある場合は、無視されます。

タイムスタンプは、リプレイ攻撃を防止するために必要です。そのため、相互運用性の問題を解決する場合を除いて、通常は、このプロパティをtrueに設定することはお薦めできません。

B.2.13 include-timestamp

タイムスタンプを検証し、WS-Securityヘッダー要素のタイムスタンプで応答します。

このデフォルト値はfalseです。trueに設定した場合、クライアントはWS-Securityヘッダー要素のタイムスタンプを送信します。その後、サービスはタイムスタンプを検証し、WS-Securityヘッダー要素のタイムスタンプで応答し、これがクライアントによって検証されます。

B.2.14 issued.token.caching

発行されたトークンはOWSMによってキャッシュされます。STSにリクエストすると、OWSMはissued.token.lifetimeに指定されている期間に返されたトークンのトークン存続時間をリクエストします。

STSがリクエストされたissued.token.lifetime値とは異なるトークン存続期間の値を返す場合、OWSMは返されたトークンをキャッシュするための期間として戻り値を使用します。STSが空のトークン存続時間値を返した場合、OWSMは返されたトークンをキャッシュしません。

B.2.15 issued.token.lifetime

セキュリティ・トークン・サービス(STS)から発行済トークンを取得するときにOWSMがトークンの存続時間としてリクエストする時間(ミリ秒)。この値のドメイン・デフォルト値は28800000ミリ秒(8時間)です。このデフォルト値を変更する方法については、「Fusion Middleware Controlを使用した発行済トークンの存続期間の構成」を参照してください。

B.2.16 iteration

キー導出の反復回数。

B.2.17 iterations

パスワードを使用したキー導出の反復回数。デフォルト値は1000です。無効な反復回数(つまり、整数以外の解析できる文字列または負の値)が渡されると、警告メッセージが表示され、デフォルト値1000が使用されます。

B.2.18 keysize

キー導出で使用するキーのサイズ。

B.2.19 keytab.location

クライアントのkeytabファイルの場所。

B.2.20 keystore.enc.csf.key

復号化キー・パスワードをキーストアに格納するために使用する別名とパスワード。

「ポリシー構成のオーバーライドの概要」で説明されているように、この値を設定すると、keystore.enc.csf.keyをオーバーライドできます。

この値をオーバーライドする場合は、新しい値のキーがキーストアにあることが必要です。つまり、値をオーバーライドしても、キーをキーストアに構成する必要がなくなるわけではありません。

B.2.21 keystore.recipient.alias

ピア証明書に関連付けられているキーストア別名。実行時セキュリティは、この別名を使用して構成済のキーストアからピア証明書を抽出し、ピアへのメッセージを暗号化します。ポリシーのオーバーライドの詳細は、「ポリシー構成のオーバーライドの概要」を参照してください。

B.2.22 keystore.sig.csf.key

署名キー・パスワードをキーストアに格納するために使用する別名とパスワード。このプロパティにより、ドメイン・レベルのかわりに添付レベルで署名キーを指定できます。このキーは、saml.envelope.signature.requiredフラグを使用して指定されるエンベロープ署名の生成時に使用されます。

B.2.23 lookup.action

オプションのプロパティ。属性の参照時に使用されるアクションです。${}表記法を使用した値は、静的にも動的にもできます。

B.2.24 on.behalf.of

オプションのプロパティ。リクエストが別のエンティティの代理かどうかを指定するには、このプロパティをオーバーライドします。このフラグのデフォルト値はfalseです。

trueに設定され、sts.auth.on.behalf.of.csf.keyが構成されている場合、これが優先されて、CSFキーを使用して確立されたアイデンティティがonBehalfOfトークンで送信されます。sts.auth.on.behalf.of.username.onlyプロパティもtrueに設定すると、CSFキー内のアイデンティティのパスワード部分は、onBehalfOfトークンで送信されることはなくなります。

それ以外の場合、サブジェクトがすでに確立されていれば、サブジェクトのユーザー名がonBehalfOfトークンとして送信されます。

sts.auth.on.behalf.of.csf.keyが設定されておらず、サブジェクトも存在しない場合、on.behalf.ofは、他のエンティティではなくリクエスタのトークン交換として処理されます。リクエスト内のonBehalfOf要素には含まれません。

B.2.25 policy.reference.uri

クライアントがSTSと通信する際に使用するクライアント・ポリシーURI。WSDLでの識別に従い、選択するポリシーはSTSの認証要件に応じて異なります。

場合によっては、「すべてのクライアント・ポリシーを表示」または「互換性のあるクライアント・ポリシーを表示」を選択して、ポリシーのリストをフィルタリングできます。「互換性のあるクライアント・ポリシーを表示」を選択した場合、「ポートURI」で指定したポートと互換性のあるポリシーのみが表示されます。

B.2.26 port.endpoint

STS Webサービスのエンドポイント。WSDL 2.0 STSの場合、target-namespace#wsdl.endpoint(service-name/port-name)の形式で指定されます。たとえば、http://samples.otn.com.LoanFlow#wsdl.endpoint(LoanFlowService/LoanFlowPort)と指定します。WSDL 1.1 STSの場合、targetnamespace#wsdl11.endpoint(servicename/portname)という形式で指定します。たとえば、http://samples.otn.com.LoanFlow#wsdl11.endpoint(LoanFlowService/LoanFlowPort)と指定します。

B.2.27 port.uri

STSポートの実際のエンドポイントURI。たとえば、http://host:port/context-root/service1と指定します。

B.2.28 propagate.identity.context

アイデンティティ・コンテキストをWebサービス・クライアントからWebサービスへ伝播し、他のコンポーネントが認証および認可の目的でこれを使用できるようにします(発行します)。詳細は、SAMLポリシーを使用したアイデンティティ・コンテキストの伝播を参照してください。

B.2.29 realm

HTTPレルム。

B.2.30 reference.priority

ノート:

setWSMPolicySetOverrideコマンドを使用してスコープのないオーバーライドとして定義されている場合、このプロパティは有効ではありません。詳細は、『インフラストラクチャ・コンポーネントのためのWLSTコマンド・リファレンス』のsetWMSPolicySetOverrideに関する項を参照してください。

ポリシー添付の優先順位を指定するオプションのプロパティ。添付ポリシーに対して指定されると、有効なポリシー・セット・アルゴリズムでは、最高の整数値の優先順位を持つポリシーを、そのスコープにかかわらず、競合するポリシー添付より優先します。

reference.priorityには、(-2³¹)から(2³¹ - 1)の範囲の任意の値を指定できます。値が高いほど、有効なポリシー計算で割り当てられる優先順位が高くなります。値を持たないポリシーまたは数値以外の値を持つポリシーは、値0を持つものとして扱われます。値にyes、true、onのいずれかの単語が設定されている場合、値は1に設定されます。

詳細は、「ポリシー・アタッチメントの優先度の指定」を参照してください。

B.2.31 remote-user

ユーザーをアサートし、Webgate/OAMの保護されたリソースのサブジェクトを作成するオプションのプロパティ。デフォルト値はOAM_REMOTE_USERです。値がNONEに設定されると、リモート・ユーザー・ヘッダーのサポートが無効化されます。リクエストに他のセキュリティ・ヘッダーとともにOAM_REMOTE_USERが存在する場合、OAM_REMOTE_USERヘッダーに最高優先度が付与されます。

B.2.32 resource.mapping.model

そのまま使用できる様々なマッピング・モデルを切り替えるオプションのプロパティ。デフォルト値は、operation_as_actionです。指定可能なその他の値として、operation_as_resource_hierarchyおよびlookup_action_fixed_execute_action_as_operationがあります。

B.2.33 resource.name

オプションのプロパティ。OESに定義されたリソース名。${}表記法を使用した値は、静的にも動的にもできます。

B.2.34 resource.type

オプションのプロパティ。OESに定義されたリソース・タイプ。${}表記法を使用した値は、静的にも動的にもできます。

B.2.35 rm.encrypt.body

Webサービス・クライアントにのみ適用。これを設定すると、createSequence()やterminateSequence()などのプロトコル・リクエストの本体が暗号化されます。デフォルトで、WS-RMプロトコル・メッセージは暗号化されません。

プロトコル・メッセージのレスポンス・メッセージ本文は、リクエスト・メッセージ本文に依存します。クライアントからのリクエスト・メッセージがプロトコル・メッセージに対して暗号化されている場合、Webサービスは暗号化されたレスポンスを送信します。逆についても同様です。

B.2.36 role

SOAPロール。

B.2.37 salt

キー導出で使用されるNULL以外の空でないsalt。

B.2.38 saml.assertion.filename

SAMLトークン・ファイルの名前。

B.2.39 saml.audience.uri

saml.audience.uri構成プロパティは、リライイング・パーティをカンマ区切りのURIで表します。

このフィールドでは次のワイルドカードを使用できます。

• 任意の場所の*。

• URI末尾の/*。

• URI末尾の.*。

• サービスURLのベースURL。

B.2.40 saml.envelope.signature.required

Bearerトークンがドメインの署名キーを使用して署名されるかどうかを指定するフラグ。ドメインの署名キーは、keystore.sig.csf.keyを使用して構成されるプライベートの署名キーでオーバーライドできます。

Bearerトークンを未署名にするには、(クライアントおよびサービス・ポリシーの両方で)このフラグをfalseに設定します。

B.2.41 saml.issuer.name

SAML発行者URI。詳細は、「別のSAMLアサーション発行者名の追加」を参照してください。

B.2.42 saml.trusted.issuers

SAMLトークンの信頼できる発行者のカンマ区切りのリスト。信頼できる発行者をドメイン・レベルでオーバーライドするアプリケーション用です。

B.2.43 sc.token.lifetime

ミリ秒単位でのセキュア通信トークンの存続時間。通信セッションの存続期間中は、このセキュリティ・コンテキストがクライアントとWebサービスによって共有されます。この時間が経過すると、SCTは時間切れとなります。

B.2.44 service.principal.name

サービスを識別するKerberosプリンシパルの名前。

B.2.45 subject.precedence

認証されたサブジェクトではなくクライアント指定のユーザー名を使用できるようにするには、subject.precedenceをfalseに設定します。

subject.precedenceがtrueの場合、SAMLアサーションを作成するユーザー名はサブジェクトからのみ取得されます。同様に、subject.precedenceがfalseの場合、SAMLアサーションを作成するユーザー名は、csf-keyユーザー名プロパティからのみ取得されます。

B.2.46 sts.auth.caller.principal.name

ktpassコマンドを使用して生成されたクライアントのプリンシパル名であり、kerberosトークンの生成先のユーザー名にマップされます。<username>@<REALM NAME>の形式で指定します。

B.2.47 sts.auth.keytab.location

クライアントのkeytabファイルの場所。

B.2.48 sts.auth.on.behalf.of.csf.key

オプションのプロパティ。代理エンティティの構成で使用します。存在する場合、サブジェクト(存在する場合)より優先されます。代理エンティティについては、「on.behalf.of」を参照してください。

B.2.49 sts.auth.on.behalf.of.username.only

オプションのプロパティ。sts.auth.on.behalf.of.csf.keyが指定されている場合の代理エンティティの構成に使用します。代理エンティティについては、「on.behalf.of」を参照してください。

B.2.50 sts.auth.service.principal.name

保護する必要があるWebサービスのプリンシパル名。<host>/<machine name>@<REALM NAME>の形式で指定します。たとえば、HTTP/mymachine@MYREALM.COMと指定します。

B.2.51 sts.auth.user.csf.key

STSに対する認証用のユーザー名/パスワードを構成する場合に使用します。

oracle/sts_trust_config_templateクライアント・アサーション・テンプレート内のpolicy-reference-uriが、ユーザー名ベースのポリシーを指している場合は、sts.auth.user.csf.keyプロパティを構成して、STSに対する認証用のユーザー名/パスワードを指定します。

B.2.52 sts.auth.x509.csf.key

STSに対する認証用のX509証明書を構成する場合に使用します。

oracle/sts_trust_config_templateクライアント・アサーション・テンプレート内のpolicy-reference-uriが、x509ベースのポリシーを指している場合は、sts.auth.x509.csf.keyプロパティを構成して、STSに対する認証用のX509証明書を指定します。

B.2.53 sts.in.order

Webサービスが信頼するRP-STSから、Webクライアントが認証に使用するIP-STSまでのトラスト・チェーンにSTSを指定するために、Web Services Federationのケースで使用します。

接続先のSTS URIのカンマ区切りのリストに、sts.in.orderの値を設定します。このとき、RP-STSで開始して、IP-STSで終わるようにします。

このプロパティの使用の詳細は、「Web Services Federationの構成について」を参照してください。

B.2.54 sts.keystore.recipient.alias

キーストアに追加したSTS証明書の別名。デフォルトの別名はsts-csf-keyです。

B.2.55 user.csf.key

OPSSアイデンティティ・ストアのユーザー名およびパスワードにマップするユーザー資格証明ストア・キー。資格証明ストアを構成するためのキーおよびユーザー資格証明の追加を参照してください。

basic.credentialsのデフォルト値には、ユーザーのパスワード詳細が含まれます。暗号化または署名でキーを導出するには、パスワード詳細が必要です。サービスは、各ユーザーのユーザーcsfキーを作成します。

ユーザーcsfキーのユーザー名がリクエスト・ヘッダーのユーザー名と異なる場合、認証に失敗します。

パスワードが異なる場合、署名の検証または復号化に失敗します。

B.2.56 use.single.step

これはオプションの構成プロパティです。参照フェーズを省略するには、値をtrueに設定します。

マスキング・ポリシーには適用されません。

B.2.57 user.attributes

SAMLトークンのプリンシパルに関連するユーザー属性。

含まれる属性をカンマ区切りのリストで指定します。たとえば、attrib1,attrib2のようにします。指定する属性名は、構成済アイデンティティ・ストア内の有効な属性に正確に一致する必要があります。OWSMランタイムは、構成済のアイデンティティ・ストアからこれらの属性の値を読み取り、属性とその値をSAMLアサーションに含めます。

サブジェクトが有効であり、subject.precedenceがtrueに設定されている必要があります。

クライアント・ポリシーは、user.attributesを使用して指定された属性の値を、構成済のアイデンティティ・ストアから読み取ります。すべての有効な属性名と値を使用して、SAML属性文が作成されます。

user.attributesプロパティは1つのアイデンティティ・ストアに対してサポートされるものであり、リスト内の先頭のアイデンティティ・ストアのみが使用されます。このため、ユーザーは、構成済WebLogic Serverの認証プロバイダで使用されるアイデンティティ・ストアに存在し、有効になっている必要があります。認証プロバイダは、「WebLogic Serverでサポートされる認証プロバイダ」で説明されています。

必要なアイデンティティ・ストアが先頭のアイデンティティ・ストアでない場合、検索する追加のアイデンティティ・ストアを指定できます。詳細は、「アサーションへのユーザー属性の組込み」を参照してください。

B.2.58 user.roles.include

この構成プロパティは、ユーザー・ロールを指定します。

trueに設定すると、OWSMでは、ユーザー・リポジトリ(LDAP)からユーザーのロールが読み取られ、それらのロールがSAML属性として伝播されます。

B.2.59 user.tenant.name

この構成プロパティは、Oracle Cloudで使用するために予約されています。

B.2.60 wsdl.uri

STS WSDLのエンドポイントURIで、STS情報の取得およびトークン交換用のSTSの呼出しに使用されます。