[FMW, Security] Custom Assertion in OWSM - OES, OSDT (Oracle Security Developer Toolkit) & OWSM - 11g

原文はこちら。
https://blogs.oracle.com/owsm/entry/custom_assertion_in_owsm_oes

---

OES、OSDTとOWSMに関する簡単なメモです。以前のエントリで述べたように、OWSMは、カスタムポリシーとカスタムアサーションを構築するための拡張ガイドを提供しています。
そこで、「いつOWSM 11gでカスタムアサーションを作成する必要があるのか」という質問がでてきます。

簡単に答えると、OWSMが直接サポートしていない場合、ということになります。

いくつか例を挙げてみましょう。

1. コンテンツに基づくきめの細かい認可のために、例えばOESと連係したい場合。
   このエントリ執筆のタイミングでは、OWSM 11gR1はOESとの連係を提供していませんが、OWSM 11gのカスタムアサーションを使ってOESとの連係することができます。
以下のリンクに、OWSMのカスタムアサーションを使うOWSM-OESの連係を説明するサンプルがあります。

The new Oracle Entitlements Server (OES) and Oracle Web Services Manager (OWSM) 11g integration is finally here! (Oracle Fusion Middleware Security) http://fusionsecurity.blogspot.jp/2009/11/new-oracle-entitlements-server-oes-and.html

OWSM拡張ガイドに別の例があります。

Oracle® Fusion Middleware Extensibility Guide for Oracle Web Services Manager 11g Release 1 (11.1.1.6)
http://docs.oracle.com/cd/E23943_01/web.1111/e13882/toc.htm
Oracle® Fusion Middleware Oracle Web Services Manager拡張ガイド 11gリリース1 (11.1.1.6)
http://docs.oracle.com/cd/E28389_01/web.1111/b66193/toc.htm

別の例では…
2. OAuthを使うサービスをセキュアにするためにOAuthサポートを作りたい場合。
   OWSM 11gは現時点ではOAuthをサポートしていません。ただし、サービスをOAuthで保護したい場合は同様にカスタムアサーションを作成することで実現できます。
3. 特定の正規化メソッドを使いたい場合（例：標準のポリシーやアサーションテンプレートが当該正規化メソッドの実装の柔軟性を提供しない場合)
4. 特定のセキュリティ変換を使いたい場合
5. OWSMなどでLibertyをサポートしたい場合

このエントリの後半では、特定の署名や暗号化を要件とするカスタムアサーションの作成を取り上げます。

カスタムアサーション、署名、暗号化
署名や暗号化などを取り扱うカスタムアサーションを作成する際に心配しなければならない一つに、どんなXMLセキュリティツールキットを使うか、というものがあります。

お気づきかもしれませんが、OWSM拡張ガイドでは署名や暗号化などで利用可能なAPIを提供していませんが、OSDT(Oracle Security Developer Toolkit) という、署名や暗号・復号化、署名の検証などの様々なXMLセキュリティオペレーションを実現する数多くのAPIを公開しているツールが使えるのです。
OSDTのドキュメントは以下からどうぞ。

Oracle® Fusion Middleware Reference for Oracle Security Developer Tools 11g Release 1 (11.1.1)
http://docs.oracle.com/cd/E23943_01/security.1111/e10037/toc.htm
Oracle® Fusion Middleware Oracle Security Developer Toolsリファレンス 11gリリース1（11.1.1）
http://docs.oracle.com/cd/E23549_01/security.1111/b61386/toc.htm

OSDTのjavadocはこちら。

• Webサービスセキュリティ:
  http://docs.oracle.com/cd/E23943_01/apirefs.1111/e10678/toc.htm
• XMLセキュリティ:
  http://docs.oracle.com/cd/E23943_01/apirefs.1111/e10680/toc.htm
• JCE Crypto API:
  http://docs.oracle.com/cd/E23943_01/apirefs.1111/e10697/toc.htm
• SAML関連のAPI:
  http://docs.oracle.com/cd/E23943_01/apirefs.1111/e10675/toc.htm
  http://docs.oracle.com/cd/E23943_01/apirefs.1111/e10676/toc.htm
• Liberty API:
  http://docs.oracle.com/cd/E23943_01/apirefs.1111/e10670/toc.htm
  http://docs.oracle.com/cd/E23943_01/apirefs.1111/e10671/toc.htm

OSDTとOWSM拡張ガイドを組み合わせると、XMLセキュリティやWebサービス（SOAP)セキュリティを取り扱う様々な種類のセキュリティポリシーを構築するための非常に強力なAPIおよびツールキットになります。

[注意]
これらのAPIを使用する際には自分が何をしているかを知る必要があります。これらは、かなり低レベルのAPIであり、ドキュメントは、これらのAPIを使用する開発者がセキュリティ技術や概念、様々な低レベルのビルディングブロックの使用方法について非常に精通していることを前提として記載されています。

これが1つがOWSMカスタムアサーションやOSDTを使ってOWSMの種々のポリシーを構築する方法のガイダンスになることを願っています。