WebSphere Application Server - Express, Version 6.1   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows, Windows Vista

             目次と検索結果のパーソナライズ化

OASIS 仕様からサポートされた機能性

WebSphere Application Server バージョン 6 以降では、Organization for the Advancement of Structured Information (OASIS) Web サービス・セキュリティー (WS-Security) 仕様をサポートしています。

WebSphere Application Server では以下の OASIS Web サービス・セキュリティー、バージョン 1.0 仕様をサポートしています。

OASIS: Web Services Security SOAP Message Security 1.0

以下のリストは、WebSphere Application Server バージョン 6.0 以降でサポートされている、OASIS: Web Services Security: SOAP Message Security 1.0 仕様の特徴を示しています。

サポートされるトピック サポートされる特定の特徴
セキュリティー・ヘッダー
  • @S11 :actor (仲介ホストの場合)
  • @S11:mustUnderstand
セキュリティー・トークン
  • ユーザー名トークン (ユーザー名およびパスワード)
  • バイナリー・セキュリティー・トークン (X.509 および Lightweight Third Party Authentication (LTPA))
  • カスタム・トークン
    • その他のバイナリー・セキュリティー・トークン
    • XML トークン (XML token)
      注: WebSphere Application Server はインプリメンテーションを提供しませんが、 プラグイン・ポイントで XML トークンを使用することができます。
トークン参照
  • 直接参照
  • 鍵 ID
  • 鍵名
  • 組み込み参照
シグニチャー・アルゴリズム
  • ダイジェスト
    SHA1
    http://www.w3.org/2000/09/xmldsig#sha1
    SHA256
    http://www.w3.org/2001/04/xmlenc#sha256
    SHA512
    http://www.w3.org/2001/04/xmlenc#sha512
  • MAC
    HMAC-SHA1
    http://www.w3.org/2000/09/xmldsig#hmac-sha1
  • シグニチャー
    DSA および SHA1
    http://www.w3.org/2000/09/xmldsig#dsa-sha1

    ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、 このアルゴリズムを使用しないでください。

    RSA および SHA1
    http://www.w3.org/2000/09/xmldsig#rsa-sha1
  • 正規化
    Canonical XML (コメント付き)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
    Canonical XML (コメントなし)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    Exclusive XML canonicalization (コメント付き)
    http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    Exclusive XML canonicalization (コメントなし)
    http://www.w3.org/2001/10/xml-exc-c14n#
  • 変換
    STR transform (STR 変換)
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soapmessage- security-1.0#STR-Transform
    XPath
    http://www.w3.org/TR/1999/REC-xpath-19991116
    ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、 元の XPATH 変換を使用しないでください。
    注: SIGNATURE エレメントの ds:Reference からのタイプ ID の属性を持っていない SECURE_ENVELOPE のエレメントを参照する場合には、XPATH Filter 2.0 Transform (http://www.w3.org/2002/06/xmldsig-filter2) を使用する必要があります。
    Enveloped signature (エンベロープされたシグニチャー)
    http://www.w3.org/2000/09/xmldsig#enveloped-signature
    XPath Filter2
    http://www.w3.org/2002/06/xmldsig-filter2
    注: SIGNATURE エレメントの ds:Reference からの ID 属性タイプを持っていない SECURE_ENVELOPE のエレメントを参照する場合には、XPATH Filter 2.0 Transform (http://www.w3.org/2002/06/xmldsig-filter2) を使用する必要があります。
    Decryption transform (暗号化解除変換)
    http://www.w3.org/2002/07/decrypt#XML
シグニチャー署名パーツ
  • WebSphere Application Server キーワード:
    • SOAP メッセージ本文に署名する body
    • すべてのタイム・スタンプに署名する timestamp
    • すべてのセキュリティー・トークンに署名する securitytoken
    • 署名鍵に署名する dsigkey
    • 暗号鍵に署名する enckey
    • WS-Addressing 内の wsa :MessageID エレメントに署名する messageid。
    • WS-Addressing 内の wsa:To エレメントに署名する to。
    • WS-Addressing 内の wsa:Action エレメントに署名する action。
    • WS-Addressing 内の wsa:RelatesTo エレメントに署名する relatesto。

      wsa は、http://schemas.xmlsoap.org/ws/2004/08/addressing のネーム・スペース・プレフィックスです。

    • SOAP ヘッダーの WS-Context ヘッダーを指定する wscontext。 詳しくは、作業区画コンテキストの Web サービスへの伝搬を参照してください。
    • SOAP ヘッダーの <wsa:From> WS-Addressing From エレメントを指定する wsafrom。
    • SOAP ヘッダーの <wsa:ReplyTo> WS-Addressing ReplyTo エレメントを指定する wsareplyto。
    • SOAP ヘッダーの <wsa:FaultTo> WS-Addressing FaultTo エレメントを指定する wsafaultto。
    • SOAP ヘッダーのすべての WS-Addressing エレメントを指定する wsaall。
  • SOAP メッセージ内の XML エレメントを選択するための XPath 式。詳しくは、http://www.w3.org/TR/1999/REC-xpath-19991116 を参照してください。
暗号化アルゴリズム
  • データ暗号化
    • CBC の Triple-DES: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • CBC の AES128: http://www.w3.org/2001/04/xmlenc#aes128-cbc
    • CBC の AES192: http://www.w3.org/2001/04/xmlenc#aes192-cbc

      このアルゴリズムは、制限なしの JCE ポリシー・ファイルを要求します。 詳しくは、暗号化情報構成の設定: メッセージ・パーツ にある鍵暗号化アルゴリズムの説明を参照してください。

      ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、 192 ビットのデータ暗号化アルゴリズムを使用しないでください。

    • CBC の AES256: http://www.w3.org/2001/04/xmlenc#aes256-cbc

      このアルゴリズムは、制限なしの JCE ポリシー・ファイルを要求します。 詳しくは、暗号化情報構成の設定: メッセージ・パーツ にある鍵暗号化アルゴリズムの説明を参照してください。

  • 鍵の暗号化
    • 鍵のトランスポート (公開鍵暗号方式)
      • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p
        注:
        • Software Development Kit (SDK) バージョン 1.4 で実行する場合は、 サポートされる鍵トランスポート・アルゴリズムのリストに、このアルゴリズムは含まれていません。 SDK バージョン 1.5 で実行する場合、このアルゴリズムはサポートされる鍵トランスポート・アルゴリズムのリストに表示されます。
        • 連邦情報処理標準 (FIPS) 準拠の Java 暗号化エンジンを使用すると、このトランスポート・アルゴリズムはサポートされません。
      • RSA バージョン 1.5: http://www.w3.org/2001/04/xmlenc#rsa-1_5
    • 対称鍵ラップ (秘密鍵暗号方式)
      • Triple-DES 鍵ラップ: http://www.w3.org/2001/04/xmlenc#kw-tripledes
      • AES 鍵ラップ (aes128): http://www.w3.org/2001/04/xmlenc#kw-aes128
      • AES 鍵ラップ (aes192): http://www.w3.org/2001/04/xmlenc#kw-aes192

        このアルゴリズムは、制限なしの JCE ポリシー・ファイルを要求します。 詳しくは、暗号化情報構成の設定: メッセージ・パーツ にある鍵暗号化アルゴリズムの説明を参照してください。

        ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、 192 ビットのデータ暗号化アルゴリズムを使用しないでください。

      • AES 鍵ラップ (aes256): http://www.w3.org/2001/04/xmlenc#kw-aes256

        このアルゴリズムは、制限なしの JCE ポリシー・ファイルを要求します。 詳しくは、暗号化情報構成の設定: メッセージ・パーツ にある鍵暗号化アルゴリズムの説明を参照してください。

  • Manifests-xenc は、http://www.w3.org/TR/xmlenc-core のネーム・スペース・プレフィックスです。
    • xenc:ReferenceList
    • xenc:EncryptedKey

Advanced Encryption Standard (AES) は、Triple-DES (データ暗号化規格) を介した対称鍵暗号化のために、より強力でより優れたパフォーマンスを提供するように設計されています。 したがって、可能な場合は、対称鍵暗号化に AES を使用することをお勧めします。

暗号化メッセージ・パーツ
  • WebSphere Application Server キーワード
    • SOAP 本体の内容を暗号化するために使用される bodycontent
    • ユーザー名トークンを暗号化するために使用される usernametoken
    • デジタル・シグニチャーのダイジェスト値を暗号化するために使用される digestvalue
    • デジタル・シグニチャー全体を暗号化するために使用される signature
    • SOAP ヘッダーの WS-Context ヘッダー内のコンテンツを暗号化する wscontextcontent。 詳しくは、作業区画コンテキストの Web サービスへの伝搬を参照してください。
  • SOAP メッセージ内の XML エレメントを選択するための XPath 式
    • XML エレメント
    • XML エレメント・コンテント
タイム・スタンプ
  • Web サービス・セキュリティー・ヘッダー内
  • WebSphere Application Server が拡張されて、他のエレメントにタイム・スタンプを挿入することが可能になりました。 そのため、これらのエレメントの経過時間が判別できるようになりました。
エラー処理 SOAP 障害

OASIS: Web Services Security UsernameToken Profile 1.0

以下のリストは、WebSphere Application Server でサポートされている、OASIS: Web Services Security Username Token Profile 1.0 仕様の特徴を示しています。

サポートされるトピック サポートされる特定の特徴
パスワード・タイプ テキスト
トークン参照 直接参照

OASIS: Web Services Security X.509 Certificate Token Profile 1.0

以下のリストは、 WebSphere Application Server バージョン 6 以降でサポートされている OASIS: Web Services Security X.509 Certificate Token Profile 仕様の特徴を示しています。

サポートされるトピック サポートされる特定の特徴
トークン・タイプ
  • X.509 バージョン 3: 単一証明書

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509v3

  • X.509 バージョン 3: 証明書取り消しリスト (CRL) なしの X509PKIPathv1

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509PKIPathv1

  • X.509 バージョン 3: CRL 付きまたは CRL なしの PKCS7。 IBM Software Development Kit (SDK) は両方をサポートします。 Sun Java Development Kit (JDK) は、CRL なしの PKCS7 のみをサポートします。
トークン参照
  • 鍵 ID - サブジェクト鍵 ID
  • 直接参照
  • カスタム参照 - 発行者名およびシリアル番号

WebSphere Application Server でサポートされていない機能

以下のリストは、OASIS 仕様、OASIS ドラフト、およびその他の推奨でサポートされているが、WebSphere Application Server バージョン 6 以降ではサポートされていない機能を示しています。
  • Web サービス・セキュリティーのバインディングは、アプリケーション・インストール・プロセス時には収集されません。 アプリケーションがデプロイされた後で構成することが可能です。
  • セキュリティー・ヘッダー
    • @S12:role

      S12 は、http://www.w3.org/2003/05/soap-envelope のネーム・スペース・プレフィックスです。

  • Web サービス・セキュリティーを持つ非管理対象クライアント。 例えば、Java 2 Platform, Standard Edition (J2SE) クライアントまたは Dynamic Invocation Interface (DII) クライアント。
  • SOAP 接続のための Web サービス・セキュリティー。
  • Security Assertion Markup Language (SAML) トークン・プロファイル、WS-SecurityKerberos トークン・プロファイル、および XrML トークン・プロファイル。
  • XML エンベロープ・デジタル・シグニチャー。
  • XML エンベロープ・デジタル暗号化。
  • 以下のデジタル署名のための変換アルゴリズムはサポートされていません。
    • XSLT: http://www.w3.org/TR/1999/REC-xslt-19991116
    • SOAP メッセージ正規化

      空のヘッダーや mustUnderstand=false が除去されたヘッダー・エントリーなどについての情報は、SOAP Version 1.2 Message Normalization を参照してください。

  • 暗号化のための以下の鍵合意アルゴリズムは、サポートされていません。
  • XML 暗号化仕様のオプションである、暗号化のための以下の正規化アルゴリズムは、サポートされていません。
    • コメント付きの規範的 XML またはコメントなしの規範的 XML
    • コメント付きまたはコメントなしの排他的 XML 正規化
  • DSA デジタル署名はサポートされていません。
  • 事前に合意された対称鍵データの暗号化はサポートされていません。
  • デジタル署名の否認防止の監査はサポートされていません。
  • Username Token Profile 仕様の両方のバージョンで、ダイジェスト・パスワード・タイプはサポートされていません。



関連概念
基本セキュリティー・プロファイル準拠のヒント
Web サービスの保護のための新機能
関連資料
暗号化情報構成の設定: メッセージ・パーツ
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 6:25:35 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.express.doc/info/exp/ae/cwbs_supportfunction.html