https://blogs.oracle.com/owsm/entry/net_interoperability_kerberos_spnego_id1
以前のエントリで、Microsoft製品との相互運用性やKerberos、SPNEGO、NTLMなどのOWSMでのサポートについてお伝えしましたが、いくつか追記しておきます。
.NET interoperability, Kerberos, SPNEGO, Id Propagation - All things Microsoft! - OWSM 11gSPNEGO support
https://blogs.oracle.com/owsm/entry/net_interoperability_kerberos_spnego_id
http://orablogs-jp.blogspot.jp/2012/08/net-interoperability-kerberos-spnego-id.html
以前のエントリでは、SPNEGOはOWSMでサポートされていないと説明していました。
PS6では、RESTセキュリティのサポートを導入したことに伴い、SPNEGOのサポートも追加されました。キードライバーはRESTサービスであり、RESTサービスの保護でしたが、HTTP/SOAPサービスのSPNEGOポリシーもまたサポートしています。
実は、お客様がご存知のことの一つに、RESTサービスを保護するために導入された多くのポリシーもまた、HTTP/SOAP Webサービスをサポートしています。
SPNEGOのサポートに関するドキュメントは以下にあります。
Oracle® Fusion Middleware Security and Administrator's Guide for Web Services 11g Release 1 (11.1.1.7)[注意]
B Predefined Policies
Authentication Only Policies
http://docs.oracle.com/cd/E28280_01/web.1111/b32511/policies.htm#CHDEJIIF
oracle/multi_token_rest_service_policy
http://docs.oracle.com/cd/E28280_01/web.1111/b32511/policies.htm#CJAIEDEG
Oracle® Fusion Middleware Security and Administrator's Guide for Web Services 11g Release 1 (11.1.1.7)
C Predefined Assertion Templates - oracle/http_spnego_token_client_template
http://docs.oracle.com/cd/E28280_01/web.1111/b32511/assertions.htm#CHDBICJC
OWSMはNTLMをサポートしていません。
Interoperability with Microsoft environments
お客様から頂く質問の中で最も多いものの一つに、SAMLを使いMicrosoft製品とOracle製品の環境間でIDの伝播が可能かどうか、STS(secure token service)としてADFSを使いSAMLベースのID伝播が可能か、というものです。PS6では、(Oracle STS、OpenSSO STSの動作保証に加えて)ADFSとの組み合わせでの動作検証をし、動作を保証しています。
Client side Kerberos support
多くの人が以前のエントリの図をご覧になって、OSBはクライアント側でKerberosをサポートしていないと考えてらっしゃるようですが、明確にしておきたいのは、実際には、以下のような構成では、これまでもKerberosポリシーをクライアント側でもサポートしている、ということです。
主要な制限として、以前のエントリでご紹介したように、Kerberosを複数のホップ間で利用できない、ということです。しかしながら、Webサービスクライアントを保護するためにKerberosポリシーを使うこと自体は可能です。
0 件のコメント:
コメントを投稿