WebSphere Application Server Version 6.1 Feature Pack for Web Services   
             オペレーティング・システム: AIX , HP-UX, i5/OS, Linux, Solaris, Windows, Windows Vista, z/OS

             目次と検索結果のパーソナライズ化
             New or updated topic for this feature pack

WSS API を使用した Web サービス・セキュリティーの構成

Web サービス・セキュリティー・アプリケーション・プログラミング・インターフェース (WSS API) は、SOAP メッセージの保護をサポートしています。

始める前に

Feature Pack 内の Web サービス・セキュリティーは以下のプログラミング・モデルを サポートしています。

このタスクについて

これらのプログラミング・モデルは以下の機能を拡張します。
  • セキュリティー・トークン・タイプと署名用の派生鍵
  • シグニチャーおよび検証
  • 暗号化と暗号化解除

次の図は、簡易 WSS API で XML デジタル・シグニチャーや XML 暗号化を 使用して SOAP メッセージを保護する方法を示したものです。

Web サービスの 構成モデルも、デプロイメント記述子モデルからポリシー・セット・モデルに 再設計されています。構成プログラミング・モデルは、セキュリティー制約を指定するためにセキュリティー・ポリシーを使用して行う、ポリシー・セットの構成に基づいています。

ポリシー・セット構成が提供する機能は、Web サービス・セキュリティー・ランタイムで WSS API がサポートする機能と同じです。ただし、 ポリシー・セットを使用して定義されるセキュリティー・ポリシーの方が、 WSS API より優先されます。アプリケーションで WSS API とポリシー・セットの両方が使用されている場合、 デフォルトの動作では、ポリシー・セットのセキュリティー・ポリシーが有効になり、 WSS API は無視されます。アプリケーションで WSS API を使用するには、 そのアプリケーションまたはアプリケーション・リソースにポリシー・セットが添付されていないこと、 あるいは添付のポリシー・セットにセキュリティー・ポリシーが含まれていないことを 確認する必要があります。

Web サービス・セキュリティーを使用可能にするには、 管理コンソールから構成されるポリシー・セットを使用するか、 構成のために WSS API を使用します。

WSS API を使用する場合は、 以下のハイレベル手順に従って SOAP メッセージを保護します。

プロシージャー

  1. WSSSignature API を使用して、要求ジェネレーター (クライアント・サイド) バインディング用に 署名情報を構成します ジェネレーター側の 要求のメッセージ保護には、さまざまなメッセージ・パーツを 指定できます。デフォルトの必須パーツは BODY、ADDRESSING_HEADERS、 および TIMESTAMP です。

    WSSSignature API では、メッセージ保護用のシグニチャーで使用される 各種のアルゴリズム方式も指定されます。デフォルトの シグニチャー方式は RSA_SHA1 です。デフォルトの正規化方式は EXC_C14N です。

  2. メッセージ保護に使用される署名済みパーツを追加または変更する場合は、 WSSSignPart API を使用します デフォルトの署名済みパーツは、 WSSSignature.BODY、WSSSignature.ADDRESSING_HEADERS、および WSSSignature.TIMESTAMP です。

    WSSSignPart API では、署名済みパーツを追加または変更した場合に使用される 各種のアルゴリズム方式も指定されます。デフォルトのダイジェスト方式は SHA1 です。 デフォルトの変換方式は TRANSFORM_EXC_C14N です。例えば、デフォルト値の SHA1 の代わりに SHA256 のダイジェスト方式を使用して SOAP メッセージのシグニチャーを生成する場合は、WSSSignPart API を使用します。

  3. WSSEncryption API を使用して、 要求ジェネレーター側で暗号化情報を構成します ジェネレーター側の暗号化情報は、要求ジェネレーター (クライアント・サイド) バインディングの 発信 SOAP メッセージを暗号化するために使用されます。 暗号化のデフォルト・ターゲットは BODY_CONTENT および SIGNATURE です。

    WSSEncryption API では、 メッセージの機密性保護に使用される各種のアルゴリズム方式も 指定されます。デフォルトのデータ暗号化方式は AES128 です。デフォルトの鍵暗号化方式は KW_RSA_OAEP です。

  4. メッセージの機密性に 使用される暗号化パーツを追加または変更する場合は、 WSSEncryptPart API を使用します 例えば、データ暗号化方式を デフォルト値の AES128 から TRIPLE_DES に変更する場合などです。

    暗号化されたパーツでは、 アルゴリズム方式は不要です。

  5. WSS API を使用して、 ジェネレーター側にトークンを添付します セキュリティー・トークンの要件はトークン・タイプによって異なります。JAAS ログイン・モジュールと JAAS CallbackHandler は、ジェネレーター側でセキュリティー・トークンを作成します。さまざまなスタンドアロン・トークンを要求または応答で送信できます。 デフォルト・トークンは X509Token です。署名に使用できる他のトークンは、 DerivedKeyToken です。これは Web Services Secure Conversation (WS-SecureConversation) でのみ使用できます。
  6. WSSVerification API を 使用して、応答コンシューマー (クライアント・サイド) バインディングのシグニチャーを検証します コンシューマー側の応答のメッセージ保護には、さまざまなメッセージ・パーツを 指定できます。検証に必要なターゲットは、 BODY、ADDRESSING_HEADERS、および TIMESTAMP です。

    WSSVerification API では、 シグニチャーの検証やメッセージ保護に使用される各種のアルゴリズム方式も 指定されます。デフォルトのシグニチャー方式は RSA_SHA1 です。デフォルトの 正規化方式は EXC_C14N です。

  7. WSSVerifyPart API を 使用して、メッセージ保護に使用される検証署名済みパーツを追加または変更します。 必要な検証パーツは WSSVerification.BODY、WSSVerification.ADDRESSING_HEADERS、 および WSSVerification.TIMESTAMP です。

    WSSVerifyPart API では、 検証パーツを追加または変更した場合に使用される各種のアルゴリズム方式も 指定します。デフォルトのダイジェスト方式は SHA1 です。デフォルトの 変換方式は TRANSFORM_EXC_C14N です。

  8. WSSDecryption API を 使用して、応答コンシューマー (クライアント・サイド) バインディング用に暗号化解除情報を 構成します コンシューマー側の暗号化解除情報は、 着信 SOAP メッセージの暗号化解除に使用されます。暗号化解除の デフォルト・ターゲットは BODY_CONTENT および SIGNATURE です。デフォルトの データ暗号化方式は AES128 です。デフォルトの鍵暗号化方式は KW_RSA_OAEP です。

    暗号化解除では、 アルゴリズム方式は不要です。

  9. メッセージの機密性に 使用される暗号化解除パーツを追加または変更する場合は、WSSDecryptPart API を 使用します 例えば、データ暗号化方式を デフォルト値の AES128 から TRIPLE_DES に変更する場合などです。

    暗号化解除されたパーツには、 アルゴリズム方式は不要です。

  10. WSS API を使用して、コンシューマー側でトークンを構成します セキュリティー・トークンの要件はトークン・タイプによって異なります。 JAAS ログイン・モジュールと JAAS CallbackHandler は、コンシューマー側で セキュリティー・トークンを検証 (認証) する場合に使用します。さまざまなスタンドアロン・トークンを要求または応答で送信できます。

    WSS API は、暗号化解除に使用される トークン候補の情報を追加します。デフォルト・トークンは X509Token です。

結果

次の作業

Web サービス・セキュリティー・ランタイム・トークンの生成と、 トークンを消費するサービス・プログラミング・インターフェース (SPI) が再設計され、 WSS API と SPI の両方で同じセキュリティー・トークン・インターフェースおよび JAAS ログイン・モジュール実装が 使用できるようになりました。詳しくは、SPI の情報を参照してください。




サブトピック
Web サービス・セキュリティー API
Web Services Security プラグ可能トークン・フレームワーク SPI
WSS API 使用時における Web サービス・セキュリティーの構成に関する考慮事項
関連概念
Web サービス・セキュリティー API プログラミング・モデル
関連タスク
WSS API を使用したメッセージ・レベルでの Web サービス・アプリケーションの保護
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 4:10:06 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.wsfep.multiplatform.doc/info/ae/ae/twbs_confwssapi.html