特定のエレメントに nonce を組み込むよう指定する場合は、保全性を得るための nonce を使用します。
この nonce の親エレメントには、必要な保全性において、メッセージ・パーツによって署名されます。
コンシューマーのセキュリティー制約を応答コンシューマーまたは要求コンシューマーに対して構成するときに、
キーワードを使用して保全性を得るための nonce を指定できます。
応答コンシューマーはクライアントに対して構成され、要求コンシューマーはサーバーに対して構成されます。
このタスクについて
以下のステップを実行します。ステップ 2 でのクライアント・サイドのバインディング、またはステップ 3 でのサーバー・サイドのバインディングを構成する必要があります。
プロシージャー
- アセンブリー・ツールを開始して、
「ウィンドウ」>「パースペクティブのオープン」>「J2EE」とクリックします。
- オプション: プロジェクト・エクスプローラー・ウィンドウで、クライアント側のバインディングを探します。
「Client Deployment Descriptor」ウィンドウが表示されます。
この Web サービスに、構成が必要な拡張機能が含まれています。
以下のステップを実行して、クライアント側のバインディングを見つけます。
- 「Web サービス」>「クライアント」とセクションを展開し、
Web サービスの名前をダブルクリックします。
- 「WS Extension」タブをクリックして、
「Response Consumer Configuration」セクションを展開します。
- オプション: 「Project Explorer」ウィンドウを使用して、サーバー・サイドのバインディングを見付けます。
「Web Services Editor」ウィンドウが表示されます。
この Web サービスに、構成が必要なバインディングが含まれています。
以下のステップを実行して、
サーバー側のバインディングを見つけます。
- 「Web サービス」>「サービス」とセクションを展開し、
Web サービスの名前をダブルクリックします。
- 「拡張機能」タブをクリックして、
「Request Consumer Service Configuration Details」セクションを展開します。
- 「Required Integrity」セクションを展開します。 機密性が暗号化を意味するのに対して、「保全性」はデジタル・シグニチャーを意味します。
保全性によって、データがネットワーク内を伝送されている間に変更されるリスクが減少します。
Simple Object Access Protocol (SOAP) メッセージへのデジタル署名について詳しくは、
XML デジタル・シグニチャー
を参照してください。
- 「追加」をクリックして、保全性を得るための nonce を指定します。
「Required Integrity」ダイアログ・ウィンドウが表示されます。以下のステップを実行し、構成を指定します。
- 「Required Integrity Name」フィールドで、
保全性エレメントの名前を指定します。
- 「Usage type」フィールドで使用タイプを指定します。 このフィールドは、
保全性エレメントの要件を指定します。この属性の値は、
「必須」または「オプション」のいずれかです。
- 必須
- 「必須」を選択した場合、必要なメッセージ・パーツまたはエレメントに署名がなければ、
コンシューマーはそのメッセージを拒否して、SOAP 障害を発行します。
- オプション
- 「オプション」を選択した場合、メッセージ・パーツまたはエレメントに署名があれば、
デジタル・シグニチャーの検証が行われます。
しかし、
選択したメッセージ・パーツまたはエレメントに署名がない場合、コンシューマーはそのメッセージを拒否しません。
- 「Nonce」の下にある「追加」をクリックして、nonce ダイアレクトを選択します。
http://www.ibm.com/websphere/webservices/wssecurity/dialect-was ダイアレクトでは、
nonce を子エレメントとして追加し、必要な保全性において署名するメッセージ・パーツが指定されます。
このダイアレクトを選択した場合は、
「Nonce keyword」の下にある以下のキーワードのいずれかを選択することができます。
- 本文
- メッセージのユーザー・データ部分を指定します。
このオプションを選択すると、
Simple Object Access Protocol (SOAP) の本文エレメントに nonce が組み込まれます。
また、nonce (SOAP 本体) の親は、
必要な保全性でメッセージ・パーツによって署名されると想定されています。
- タイム・スタンプ
- メッセージ内の独立したタイム・スタンプ・エレメントに nonce を組み込むように指定します。
また、nonce (timestamp) の親は、必要な保全性でメッセージ・パーツによって署名されると想定されています。
キーワード timestamp を選択する場合は、
メッセージ内に独立したタイム・スタンプ・エレメントが存在することを確認してください。
存在しない場合は、コンシューマー・セキュリティー制約での独立したタイム・スタンプの追加
の項を参照してください。
- securitytoken
- nonce エレメントが、セキュリティー・トークン・エレメント内に存在すると想定するように指定します。
また、nonce (securitytoken) の親は、必要な保全性でメッセージ・パーツによって署名されると想定されています。
- dsigkey
- nonce を鍵情報エレメント (デジタル・シグニチャーに使用) に挿入し、
その鍵情報エレメントに署名するように指定します。
- enckey
- nonce を鍵情報エレメント (暗号化に使用) に挿入し、
その鍵情報エレメントに署名するように指定します。
- messageid
- nonce を <wsa:MessageID> エレメントに挿入し、
<wsa:MessageID> エレメントに署名するように指定します。
- to
- nonce をメッセージ内の <wsa:To> エレメントに挿入し、
<wsa:To> エレメントに署名するように指定します。
- action
- <wsa:Action> エレメントに署名するように指定します。
- relatesto
- nonce をメッセージ内の <wsa:RelatesTo> エレメントに挿入し、
<wsa:RelatesTo> エレメントに署名するように指定します。
- 必要な保全性で以前にメッセージ・パーツを指定していない場合は、
「メッセージ・パーツ」セクションで「追加」をクリックしてメッセージ・パーツを追加します。
必要な保全性で nonce を指定するには、
必要な保全性で少なくとも 1 つのメッセージ・パーツを定義しておく必要があります。
- 「メッセージ・パーツ」セクションで、メッセージ・パーツのキーワードを選択します。
- 「OK」をクリックして、構成変更を保管します。
注: 以上の構成は、
コンシューマー側とジェネレーター側で一致している必要があります。
nonce のほか、タイム・スタンプ・エレメントに署名されるように指定することもできます。
詳しくは、以下の項目を参照してください。