ID アサーションは、
Simple Object Access Protocol (SOAP) メッセージにおける送信側の識別 (例えば、ユーザー名) を表す方法です。
ID アサーションが認証メソッドとして使用される場合、認証の決定は、識別の名前のみに基づいて行なわれ、
パスワードや証明書などその他の情報に基づいて行われることはありません。
重要: バージョン 5.x とバージョン 6.0.x
以降のアプリケーションには重要な相違点があります。この資料の情報は、WebSphere Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。この情報はバージョン 6.0.x
以降のアプリケーションには適用されません。
ID アサーションには、以下の項目が含まれます。
- ID タイプ
WebSphere Application Server の Web サービス・セキュリティー・インプリメンテーションでは、
以下のタイプの識別を処理できます。
- ユーザー名
- ローカル・オペレーティング・システム内にあるようなユーザー名 (例えば「alice」) を表します。この名前は <UsernameToken> エレメント内の <Username> エレメントに組み込まれます。
- DN
- ユーザーの識別名 (DN) ("CN=alice, O=IBM, C=US" など) を表します。
この名前は <UsernameToken> エレメント内の <Username> エレメントに組み込まれます。
- X.509 certificate
- ストリング名の代わりに X.509 証明書としてユーザーの ID を表します。
この証明書は <BinarySecurityToken> エレメントに組み込まれます。
- トラスト管理
SOAP メッセージの経路内にある仲介ホストは、
初期送信側の要求する ID を表明できます。
この表明に対して、以下の 2 つのメソッド (
トラスト・モード と呼ばれます) がサポートされています。
- 基本認証
- 仲介ホストは、そのユーザー名とパスワードのペアをメッセージに追加します。
- シグニチャー
- 仲介ホストは、初期送信側の <UsernameToken> エレメントにデジタル署名します。
注: このトラスト・モードは、X.509 証明書の ID タイプをサポートしません。
- 標準的なシナリオ
ID アサーションは通常、
1 つ以上の仲介ホストを介して SOAP メッセージを受け渡す複数ホップ環境で使用されます。
仲介ホストは、初期送信側を認証します。
次のシナリオで、このプロセスについて説明します。
- 初期送信側は、いくつかの組み込み認証情報とともに仲介ホストに SOAP メッセージを送信します。
この認証情報は、ユーザー名とパスワードのペアで、
そこには Lightweight Third Party Authentication (LTPA) トークンが含まれています。
- 仲介ホストは、組み込み認証情報に従って初期送信側を認証します。
- 仲介ホストは、SOAP メッセージから認証情報を除去し、
それを、ユーザー名を含んだ <UsernameToken> エレメントで置き換えます。
- 仲介ホストは、トラスト・モードに従ってトラストを表明します。
- 仲介ホストは、更新済み SOAP メッセージを最終受信側に送信します。
- 最終受信側は、構成されたトラスト・モードに従って、仲介ホスト情報に対してトラストを検査します。
また、トラステッド ID エバリュエーターも呼び出されます。
- 最終受信側によってトラストが確立されると、この受信側によって
SOAP メッセージ内のユーザー名 (すなわち初期送信側) の許可のもとで Web サービスが呼び出されます。