WebSphere® Message
Broker は、以下の面をサポートすることにより、条件付きで Web Services Security: SOAP Message Security および関連した仕様に準拠します。
Web Services Security: SOAP Message Security への準拠
- セキュリティー・ヘッダー
- <wsse:Security> ヘッダーには、SOAP アクターまたはロールの形で、特定の受信者をターゲットとするセキュリティー関連の情報を付加する機構があります。 受信者は、メッセージの最終的な受信者であるか、または仲介です。 WebSphere Message
Broker では以下の属性がサポートされています。
- S11:actor (仲介の場合)
- S11:mustUnderstand
- S12:role (仲介の場合)
- S12:mustUnderstand
- セキュリティー・トークン
- 以下のセキュリティー・トークンが、セキュリティー・ヘッダーでサポートされています。
- ユーザー名およびパスワード
- バイナリー・セキュリティー・トークン:
- X.509 証明書
- Kerberos チケット
- LTPA 証明書
- SAML アサーション
- トークン参照
- セキュリティー・トークンは要求のセットを搬送します。 これらの要求は別のところにある場合があり、受信側のアプリケーションがアクセスする必要があります。
<wsse:SecurityTokenReference> エレメントはセキュリティー・トークンを参照するための拡張可能な機構を提供します。 以下の機構がサポートされています。
- 署名アルゴリズム
- この仕様は、XML Signature を基に構築されているため、XML Signature 仕様で指定されるものと同じアルゴリズム要件を持ちます。 WebSphere Message
Broker は、以下の表で示されているとおりに、署名アルゴリズムをサポートします。
アルゴリズム・タイプ |
アルゴリズム |
URI |
ダイジェスト |
SHA1 |
http://www.w3.org/2000/09/xmldsig#sha1 |
署名 |
DSA および SHA1 (検証のみ) |
http://www.w3.org/2000/09/xmldsig#dsa-sha1 |
署名 |
RSA および SHA1 |
http://www.w3.org/2000/09/xmldsig#rsa-sha1 |
正規化 |
排他的 XML 正規化 (コメントなし) |
http://www.w3.org/2001/10/xml-exc-c14n# |
- 署名される部分
- WebSphere Message
Broker では、以下の SOAP エレメントを署名することができます。
- SOAP メッセージ本体
- 表明される ID として使用される ID トークン (セキュリティー・トークンのタイプのいずれか)。
- 暗号化アルゴリズム
- サポートされるデータ暗号化アルゴリズムについて、以下の表で示します。
アルゴリズム |
URI |
トリプル・データ暗号化規格アルゴリズム (Triple-DES) |
http://www.w3.org/2001/04/xmlenc#tripledes-cbc |
Advanced Encryption Standard (AES) アルゴリズム (鍵長 128 ビット) |
http://www.w3.org/2001/04/xmlenc#aes128-cbc |
Advanced Encryption Standard (AES) アルゴリズム (鍵長 192 ビット) |
http://www.w3.org/2001/04/xmlenc#aes192-cbc |
Advanced Encryption Standard (AES) アルゴリズム (鍵長 256 ビット) |
http://www.w3.org/2001/04/xmlenc#aes256-cbc |
サポートされる鍵暗号化アルゴリズムについて、以下の表に示します。
アルゴリズム |
URI |
鍵トランスポート (公開鍵暗号) RSA バージョン 1.5 |
http://www.w3.org/2001/04/xmlenc#rsa-1_5 |
- 暗号化されるメッセージの部分
- WebSphere Message
Broker では、以下の SOAP エレメントを暗号化することができます。
- タイム・スタンプ
- <wsu:Timestamp> エレメントは、メッセージ内のセキュリティー・セマンティクスの作成時および有効期限を表す機構を提供します。 WebSphere Message
Broker では、インバウンド SOAP メッセージの Web サービス・セキュリティー・ヘッダー内でタイム・スタンプを使用することが許容されます。
- エラー処理
- WebSphere Message
Broker は、仕様にリストされている応答コードの標準リストを使用して SOAP 障害メッセージを生成します。
Web Services Security: Username Token Profile 1.1 への準拠
この仕様の以下の面がサポートされています。
- パスワードのタイプ
- テキスト
- トークン参照
- 直接参照
Web Services Security: X.509 Certificate Token Profile 1.1 への準拠
この仕様の以下の面がサポートされています。
- トークン・タイプ
- X.509 バージョン 3: 単一証明書。
- X.509 バージョン 3: 証明書取り消しリスト (CRL) なしの X509PKIPathv1。
- X.509 バージョン 3: CRL 付きまたは CRL なしの PKCS7。 IBM® Software Development Kit (SDK) は両方をサポートします。
Sun Java™ Development Kit (JDK) は CRL なしの PKCS7 のみをサポートします。
詳細については、Web Services Security X.509 Certificate Token Profileを参照してください。
- トークン参照
- 鍵 ID - サブジェクトの鍵 ID
- 直接参照
- カスタム参照 - 発行者名およびシリアル番号
Web Services Security: SAML Token Profile への準拠
WS-Security SAML プロファイルとの相互運用を可能にする SAML パススルー・サポートが用意されています。
このサポートを利用すれば、サブジェクトの確認処理を実行する必要はありません。 つまり、SAML サブジェクトとメッセージ・コンテンツ・シグニチャーの間の信頼関係に関する検証は行われない、ということです。
メッセージ・フロー・セキュリティー・マネージャーは、トークンをパススルーして、処理のためにトークンを WS-Trust STS に渡します。
Web Services Security: Kerberos Token Profile への準拠
この仕様の以下の面がサポートされています。
- トークン・タイプ
- Kerberos GSS v5 AP_REQ
- Kerberos v5 AP_REQ
サポートされていない面
WebSphere Message
Broker では以下の項目がサポートされません。
- タイム・スタンプの最新性の検証。
- Nonce。
- SOAP 添付のための Web サービス・セキュリティー。
- XrML トークン・プロファイル。
- Web Services Interoperability (WS-I) 基本セキュリティー・プロファイル。
- XML エンベロープ・デジタル署名。
- XML エンベロープ・デジタル暗号化。
- デジタル署名のための以下のトランスポート・アルゴリズム。
- 暗号化のための Diffie-Hellman 鍵合意アルゴリズム。 詳細については、Diffie-Hellman Key Valuesを参照してください。
- XML 暗号化仕様のオプションである、暗号化のための以下の正規化アルゴリズム。
- コメント付きまたはコメントなしの Canonical XML
- 排他的 XML 正規化 (コメント付きまたはコメントなし)
- Username Token バージョン 1.0 Profile 仕様におけるダイジェスト・パスワード・タイプ。