ジェネレーターのセキュリティー制約を要求ジェネレーターまたは応答ジェネレーターに対して構成するときに、XPath 式を使用して機密性を得るための nonce を指定できます。
要求ジェネレーターはクライアント用に構成され、
応答ジェネレーターはサーバー用に構成されます。
始める前に
このタスクを実行する前に、
アプリケーションをアセンブリー・ツールにインポートする必要があります。
アプリケーションをインポートする方法については、エンタープライズ・アプリケーションのインポートを参照してください。
ここでは、署名するメッセージ・パーツを指定する際に、
XPath 式を使用する場合とキーワードを使用する場合の違いについて説明します。
- XPath 式
- XPath 式を使用して任意のメッセージ・パーツを指定します。XPath は、
XML 文書のパーツを処理する場合に使用される言語です。XPath 構文に関する情報は、
Web サイト http://www.w3.org/TR/1999/REC-xpath-19991116 で入手できます。
- キーワード
- 事前定義されたキーワードを使用して、メッセージ内のエレメントのみを指定します。
このタスクについて
メッセージ内の特定のエレメントに nonce を組み込み、
そのエレメントを暗号化するよう指定する場合は、機密性を得るための nonce を使用します。
nonce はランダムに生成される暗号トークンです。
特定のメッセージ・パーツに nonce を追加すると、
メッセージの盗み見やリプレイ・アタックを防ぐことができます。これは、生成される nonce が固有のものであるためです。
例えば、nonce を使用しないと、
非セキュア・トランスポート (HTTP など) を使用してユーザー名トークンがマシン間で受け渡される場合に、
トークンが傍受されて、リプレイ・アタックで使用されることがあります。
ユーザー名トークンは、XML デジタル・シグニチャーと XML 暗号化を使用している場合であっても、
盗まれる可能性があります。このような状況は、nonce を追加することで防止できます。
以下のステップを実行します。ステップ 2 でのクライアント・サイドの拡張機能、またはステップ 3 でのサーバー・サイドの拡張機能の構成を行う必要があります。
プロシージャー
- アセンブリー・ツールを開始します。
- Java 2 Platform, Enterprise Edition (J2EE) パースペクティブへ切り替えます。
「ウィンドウ」>「パースペクティブのオープン」>「J2EE」とクリックします。
- オプション: プロジェクト・エクスプローラー・ウィンドウで、
クライアント・サイドの拡張機能を探します。
「Client Deployment Descriptor」ウィンドウが表示されます。
この Web サービスに、構成が必要な拡張機能が含まれています。
以下のステップを実行して、クライアント・サイドの拡張機能を見付けます。
- 「Web サービス」>「クライアント」とセクションを展開し、
Web サービスの名前をダブルクリックします。
- 「WS Extension」タブをクリックして、
「Request Generator Configuration」セクションを展開します。
- オプション: 「Project Explorer」ウィンドウを使用して、サーバー・サイドの拡張機能を見付けます。
「Web Services Editor」ウィンドウが表示されます。
この Web サービスに、構成が必要な拡張機能が含まれています。
以下のステップを実行して、サーバー・サイドの拡張機能を見付けます。
- 「Web サービス」>「サービス」とセクションを展開し、
Web サービスの名前をダブルクリックします。
- 「拡張機能」タブをクリックして、
「Response Generator Service Configuration Details」セクションを展開します。
- 「機密性」セクションを展開します。 機密性は暗号化に関連し、保全性はデジタル署名に関連します。
機密性は、ネットワーク内を通過するメッセージが傍受されるリスクを軽減します。機密性仕様により、
メッセージは送信前に暗号化され、正当な宛先で受信されると暗号化解除されます。
暗号化について詳しくは、XML 暗号化
を参照してください。
- 「追加」をクリックして、保全性を得るための nonce を指定します。
「機密性」ダイアログ・ウィンドウが表示されます。
以下のステップを実行し、構成を指定します。
- 「Confidentiality Name」フィールドで、
機密性エレメントの名前を指定します。 例えば、conf_nonce などです。
- 「順序」フィールドで順序を指定します。 この値は正の整数値で、
暗号化の処理順序を指定するものです。
順序値 1 を指定すると、その暗号化が最初に実行されます。
- 「機密性」ダイアログ・ウィンドウの「Nonce」セクションで、「追加」をクリックします。
以下のステップに従って、nonce ダイアレクトとメッセージ・パーツを指定します。
- 「Nonce」セクションから nonce ダイアレクトを選択します。
http://www.w3.org/TR/1999/REC-xpath-19991116 ダイアレクトで、
XPath 式を使用して nonce を追加したり暗号化したりするメッセージ・パーツが指定されます。
- 「Nonce keyword」フィールドで、
XPath 式を使用して nonce を追加および暗号化するメッセージ・パーツを指定します。
例えば、nonce を bodycontent エレメントに追加し、そのエレメントを暗号化するように指定するには、以下の式を、
「Nonce keyword」フィールドに連続した 1 行として追加します。
/*[namespace-uri()='http://schemas.xmlsoap.org/soap/envelope/'
and local-name()='Envelope']/*[namespace-uri()='http://schemas.xmlsoap.org/
soap/envelope/' and local-name()='Bodycontent']
- 「メッセージ・パーツ」セクションで「追加」をクリックして、「Message parts dialect」フィールドで http://www.w3.org/TR/1999/REC-xpath-19991116 を選択します。
- 「メッセージ・パーツ」セクションで、メッセージ・パーツのキーワードを選択します。
重要: 機密性を得るために nonce を指定するには、
「メッセージ・パーツ」セクションで少なくとも 1 つのメッセージ・パーツを定義しておく必要があります。
ここでメッセージ・パーツを選択するのは、nonce の親エレメントに加えてメッセージ・パーツも暗号化するためです。
- 「OK」をクリックして、構成変更を保管します。
注: 以上の構成は、コンシューマーとジェネレーターで一致している必要があります。
nonce のほか、タイム・スタンプ・エレメントに署名されるように指定することもできます。
詳しくは、以下の項目を参照してください。