WebSphere Application Server Version 6.1 Feature Pack for Web Services   
             オペレーティング・システム: AIX , HP-UX, i5/OS, Linux, Solaris, Windows, Windows Vista, z/OS

             目次と検索結果のパーソナライズ化
             New or updated topic for this feature pack

Web サービスの保護のための新機能

WebSphere Application Server バージョン 6 以降では、Web サービスのセキュリティー機能が多くの点で強化されています。これらの機能強化には、Web サービス・セキュリティー (WS-Security) 仕様の各セクションのサポート、およびセキュリティー・トークン機能のプラグインと拡張に対するアーキテクチャー面でのサポートが含まれます。

サポートされている Web サービス・セキュリティー仕様の機能強化

2002 年 9 月以来、Organization for the Advancement of Structured Information Standards (OASIS) は、SOAP メッセージ標準用の Web Services Security (WS-Security) を開発してきました。

2004 年 4 月、OASIS は、 Web サービスの保護における主要なマイルストーンとなる Web Services Security Version 1.0 仕様をリリースしました。 この仕様は、他の Web サービス・セキュリティー仕様の土台となり、 Basic Security Profile (WS-I BSP) バージョン 1.0 (作業ドラフト) の作業の基礎ともなるものです。 詳しくは、「Basic Security Profile」を参照してください。

Web Services Security バージョン 1.0 は、 Web サービス・セキュリティーのインターオペラビリティーに向けての布石であり Web サービス・セキュリティーのロードマップにおける最初の一歩です。 Web サービス・セキュリティーのロードマップの詳細については、 「Security in a Web Services World: A Proposed Architecture and Roadmap」を参照してください。

WebSphere Application Server バージョン 6.0.x 以降は、次の OASIS 仕様と WS-I プロファイルをサポートしています。

以前の仕様のうち、WebSphere Application Server バージョン 6.0.x 以降でサポートされている部分について詳しくは、OASIS 仕様からサポートされた機能性 を参照してください。

WebSphere Application Server バージョン 6.0.x 以降における高水準フィーチャーの概要

WebSphere Application Server バージョン 6.0.x 以降では、 Web Services Security for SOAP Message バージョン 1.0 仕様は、Web サービスの要件に柔軟に対応するように設計されています。 例えば、この仕様には、 Web Services Security Version 1.0 仕様にある必須のセキュリティー・トークン定義がありません。 その代わり、この仕様には、 セキュリティー・トークンを SOAP メッセージと関連付けるための汎用メカニズムが定義されています。 セキュリティー・トークンの使用法は、以下の各種のバージョン 1.0 セキュリティー・トークン・プロファイルの中に定義されています。

OASIS におけるセキュリティー・トークン・プロファイル開発の詳細については、「Organization for the Advancement of Structured Information Standards」を参照してください。

新規またはこのフィーチャー・パックで更新されました Web Services Security for SOAP Message バージョン 1.1 は、Web Services Security for SOAP Message コア仕様を更新し、また、さまざまなセキュリティー・トークン・プロファイルおよびスキーマを更新しています。

今回のリリースでは、WebSphere Application Server はユーザー名・トークン・プロファイル 1.1 および X.509 トークン・プロファイル 1.1 (指紋型のセキュリティー・トークン参照のサポートを含む) を実装しています。 さらに、Web サービス・セキュリティー・バージョン 1.1 標準の署名確認および暗号化ヘッダー部分をサポートしています。

重要: Web Services Security Version 1.0 仕様にあるワイヤー・フォーマットは変更されて、 Web サービス・セキュリティー仕様の旧ドラフトとは互換性がありません。 Web サービス・セキュリティー仕様の旧ドラフトを使用して、 ワイヤー・フォーマットのインプリメンテーションを行い、 Web Services Security Version 1.0 仕様と相互運用することはできません。
プラグ可能セキュリティー・トークンに対するサポートは、 WebSphere Application Server バージョン 5.0.2 以降、使用可能になっています。 ただし、WebSphere Application Server バージョン 6.0.x 以降では、プラグ可能アーキテクチャーは強化されて、Web サービス・セキュリティー仕様、他のプロファイル、およびその他の Web サービス・セキュリティー仕様をサポートするようになりました。 WebSphere Application Server バージョン 6 以降には、以下の主要な機能強化が含まれています。
  • SOAP メッセージにおいて複数のセキュリティー・トークンを送信するクライアント (送信側またはジェネレーター) のサポート。
  • デジタル・シグニチャー (検証) および暗号化 (暗号化解除) のセキュリティー・トークンから鍵を派生させる機能。
  • SOAP メッセージにおける任意のエレメントの署名または暗号化のサポート。 ただし、制約事項がいくつかあります。 例えば、メッセージの一部のパーツを暗号化すると、 SOAP メッセージ・フォーマットが壊れることがあります。 SOAP 本体エレメントを暗号化すると、SOAP メッセージ・フォーマットが壊れます。
  • SOAP エンベロープ、SOAP ヘッダー、および Web サービス・セキュリティー・ヘッダーの署名のサポート。
  • デジタル・シグニチャーおよび暗号化の順序を構成する機能。
  • 直接参照、鍵 ID、鍵名、および組み込み参照など、 セキュリティー・トークンを参照する各種のメカニズムに対するサポート。
  • X.509 セキュリティー・トークンに対する、 PKCS#7 フォーマットの証明書失効リスト (CRL) エンコードのサポート。
  • CRL 検証のサポート。
  • Web サービス・セキュリティー・ヘッダー内のエレメント、 署名されたエレメント、または暗号化されたエレメントに、 nonce (ランダム・ストリング) またはタイム・スタンプを挿入する機能。
  • WebSphere Application Server の現行セキュリティー・コンテキスト内の Run As (呼び出し) ID を使用した ID アサーションのサポート。
  • アプリケーションに対するデフォルトの Web サービス・セキュリティー・バインディングのセットであるデフォルト・バインディングのサポート。
  • プラグ可能デジタル署名 (検証) および暗号化 (暗号化解除) アルゴリズムを使用する機能。
  • ハードウェア暗号デバイスのアクセラレーションのサポート。
  • セキュアな鍵のサポート。
  • 基本セキュリティー・プロファイル (WS-I BSP) のサポート。
  • 初期 JSR-183 ドラフトに基づく、新しい Web サービス・セキュリティー API プログラミング・モデルのサポート。
  • 新規またはこのフィーチャー・パックで更新されました 新しい MTOM および XOP 標準を使用した、Web サービス・セキュリティー SOAP メッセージによる添付ファイル提供機能。
  • 新規またはこのフィーチャー・パックで更新されました ポリシー・セット (サービスの定義方法についてのアサーション) を使用して、Web サービスの品質の構成を簡素化する機能。
  • 新規またはこのフィーチャー・パックで更新されました パフォーマンス向上のための、フィルター・ベースのアーキテクチャーのサポート。
  • 新規またはこのフィーチャー・パックで更新されました XML デジタル署名セキュリティーを拡張し、よりセキュアなメッセージ・レベルのセキュリティーを提供するための、署名確認のサポート。
  • 新規またはこのフィーチャー・パックで更新されました SOAP mustUnderstand 処理ガイドラインに準拠し、SOAP ヘッダー・ブロックの属性に含まれる情報の開示を防ぐために SOAP ヘッダーを暗号化する標準的な方法を提供する、暗号化ヘッダーのサポート。
  • 新規またはこのフィーチャー・パックで更新されました セキュリティー・トークンの作成と認証、および <KeyInfo> エレメント内の鍵 ID と指紋によるセキュリティー・トークン参照 (STR) の使用のサポート。

これらの機能強化の詳細については、 Web サービス・セキュリティーの機能強化 を参照してください。

構成 新規またはこのフィーチャー・パックで更新されました

Feature Pack for Web Services では、WebSphere Application Server は Web サービス・セキュリティー・バージョン 1.1 仕様、ユーザー名トークン・バージョン 1.1 プロファイル、および X.509 トークン・バージョン 1.1 プロファイルを実装するためにポリシー・セット・モデルを使用しています。 ポリシー・セットは、WS-Addressing、WS-ReliableMessaging、WS-SecureConversation、および WS-Security などの、トランスポート・レベルおよびメッセージ・レベルの構成を含む、構成設定を組み合わせたものです。

管理コンソールを使用すると、ポリシー・セットで定義されている Web サービス・セキュリティー制約を用いて、デプロイ済みアプリケーションの Web サービス・セキュリティー・バインディングを構成することができます。

X.509 証明書トークン・プロファイルの場合は、新しいタイプのセキュリティー・トークン参照である指紋参照があり、これはバインディングで指定されます。 WebSphere Application Server では、<KeyInfo> エレメント内の鍵 ID と指紋によるセキュリティー・トークン参照 (STR) を使用する、セキュリティー・トークンの作成と認証をサポートするようになりました。指紋鍵情報タイプには、共有鍵の代わりに公開鍵と秘密鍵の鍵ペアを持つ鍵ストアが必要です。 指定した証明書の指紋を使用するには、バインディングで keyInfo タイプに THUMBPRINT を指定します。

例えば、暗号化解除鍵は、関連する証明書の指紋を使用して参照されます。 この証明書はメッセージに含まれていません。 代わりに、<ds:KeyInfo> エレメントに、<wsse:KeyIdentifier> エレメントの http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#ThumbprintSHA1 属性を使用して、特定の証明書の指紋を指定した <wsse:SecurityTokenReference> エレメントが含まれています。

Web Service Security バージョン 1.1 仕様に関連した実装を利用するには、以下を行う必要があります。
  • ご使用のアプリケーションが Java API for XML Web Services (JAX-WS) プログラミング・モデルを使用していることを確認します。
  • 新しいポリシー・セットおよびバインディング・フォーマットで Web サービス・セキュリティー制約を再構成します。
WebSphere Application Server は、ポリシー・セット・ファイルおよびバインディング・ファイルを編集するために使用できる以下のツールを提供します。
Rational Application Developer
これを使用して Web サービスを開発し、Web サービス・セキュリティー用のポリシー・セットおよびバインディング・ファイルを構成できます。 Rational Application Developer により、Web モジュールと Enterprise JavaBeans (EJB) モジュールのいずれもアセンブルできます。
Application Server Toolkit
WebSphere Application Server 用のアセンブリー・ツール設計機能である Application Server Toolkit (AST) を使用すると、Web サービス・セキュリティー用のポリシー・セットとバインディング・ファイルを指定できます。
WebSphere Application Server 管理 コンソール
管理コンソールを使用すると、ポリシー・セットで定義されている Web サービス・セキュリティー制約を用いて、デプロイ済みアプリケーションの Web サービス・セキュリティー・バインディングを構成することができます。

構成

WebSphere Application Server では、 Web Services Security バージョン 1.0 仕様、Username Token バージョン 1.0 プロファイル、 および X.509 Token バージョン 1.0 プロファイルをインプリメントするためのデプロイメント・モデルを使用します。 このデプロイメント・モデルは、 Java 2 Platform, Enterprise Edition (J2EE) 用の Web サービス・デプロイメント・モデルの拡張機能です。 Web サービス・セキュリティー制約は、IBM 拡張デプロイメント記述子および Web サービス・ポートを基にしたバインディング・ファイルで定義されています。

デプロイメント記述子およびバインディング・ファイルのフォーマットは、 IBM 所有の資材であり、使用できません。 しかし、WebSphere Application Server は、 デプロイメント記述子およびバインディング・ファイルを編集するために使用できる以下のツールを提供します。
Rational Application Developer
これを使用して Web サービスを開発し、Web サービス・セキュリティー用のデプロイメント記述子およびバインディング・ファイルを構成することができます。 Rational Application Developer により、Web モジュールと Enterprise JavaBeans (EJB) モジュールのいずれもアセンブルできます。
Application Server Toolkit
WebSphere Application Server 用のアセンブリー・ツール設計機能である Application Server Toolkit (AST) を使用すると、Web サービス・セキュリティー用のデプロイメント記述子とバインディング・ファイルを指定できます。
WebSphere Application Server 管理 コンソール
管理コンソールを使用すると、 デプロイメント記述子で定義されている Web サービス・セキュリティー制約を用いて、 デプロイ済みアプリケーションの Web サービス・セキュリティー・バインディングを構成することができます。
重要: WebSphere Application Server バージョン 6.0.x における Web サービス・セキュリティー用のデプロイメント記述子およびバインディング・ファイルのフォーマットは、 WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 とは異なります。 WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 における Web サービス・セキュリティーのサポートは、 Web サービス・セキュリティーのドラフト 13 仕様、および Username トークンのドラフト 2 プロファイルを基にしています。 そのため、このサポートは非推奨です。 ただし、Web Service Security Versions 5.0.2、5.1、 および 5.1.1 のデプロイメント記述子およびバインディング・ファイルを使用して構成したアプリケーションは、 WebSphere Application Server バージョン 6 以降で使用することができます。 これらのアプリケーションは、ドラフト 13 仕様のフォーマットを使用して SOAP メッセージ・セキュリティーを発行するデプロイメント記述子およびバインディング・ファイルを使用します。 WebSphere Application Server バージョン 6.0.x 以降の Web サービス・セキュリティー・デプロイメント記述子およびバインディング・ファイルは、 J2EE Version 1.4 アプリケーションのみで使用可能です。 したがって、Web Services Security Version 1.0 仕様は、 J2EE Version 1.4 アプリケーションに対してのみサポートされています。
Web Services Security Version 1.0 仕様に関連付けられているインプリメンテーションを活用するには、 以下を行う必要があります。
  • 既存のアプリケーションを J2EE Version 1.4 にマイグレーションします。
  • 新規デプロイメント記述子およびバインディング・フォーマットで Web サービス・セキュリティー制約を再構成します。
重要: Rational Application Developer および Application Server Toolkit を使用して、 Web サービス・セキュリティー用のデプロイメント記述子およびバインディング・ファイルをバージョン 5.0.2、 5.1、および 5.1.1 フォーマットから、 新しいバージョン 6.0.x 以降のフォーマットにマイグレーションする自動プロセスは存在しません。 構成は手動でマイグレーションする必要があります。

WebSphere Application Server バージョン 6.0 の Web サービス・セキュリティー・サポートは、 その一部は、「Web Services Security: X.509 Token Profile 1.0」という OASIS 仕様と 最初の正誤表 (「Errata 1.0」) に基づいています。

最初の正誤表では、 X.509 トークン・タイプと、X.509 サブジェクトの鍵 ID 値タイプの URI が変更されました。 WebSphere Application Server バージョン 6.0 は、 この変更された URI に基づいていました。 WebSphere Application Server バージョン 6.0 の出荷後、 OASIS 技術委員会によってこれらの変更が取り消され、 元の 1.0 プロファイル URI に戻されました。

WebSphere Application Server バージョン 6.0 と、 現行バージョンのプロファイルに基づく他のベンダーの Web サービス製品との間で、 インターオペラビリティーの問題が生じる可能性があります。WebSphere Application Server は、 バージョン 6.0.2 と 6.0.1.2 で、最新バージョンのプロファイルに準拠するように修正されました。 WebSphere Application Server バージョン 6.0 を、 他のベンダーの Web サービス製品との混合環境で使用する場合は、 バージョン 6.0.1.2、または 6.0.2 以降にアップグレードするか、 APAR PK03507 を含むサービス・フィックスをインストールすることをお勧めします。

何がサポートされないか

Web サービス・セキュリティーは、まだかなり新しく、 一部の標準は現在も定義または標準化が行われています。 以下の機能は WebSphere Application Server ではサポートされていません。
  • XML セキュリティーおよび Web サービス・セキュリティー用の Java アプリケーション・プログラミング・インターフェースとしては、 以下の標準が存在しています。
  • SAML トークン・プロファイルは、そのまま使用できるようにはサポートされていません。
  • WS-SecurityKerberos トークン・プロファイルは、そのまま使用できるようにはサポートされていません。
  • REL トークン・プロファイルはサポートされていません。

WebSphere Application Server バージョン 6.0.x 以降の Web サービス・セキュリティーでサポートされる内容について詳しくは、OASIS 仕様からサポートされた機能性 を参照してください。




サブトピック
バージョン 6 以降用の Web サービス・セキュリティー仕様 - 年表
OASIS 仕様からサポートされた機能性
Web サービス・セキュリティーの機能強化
関連概念
基本セキュリティー・プロファイル準拠のヒント
XML トークン (XML token)
関連タスク
管理コンソールを使用したポリシー・セットの管理
JAX-RPC を使用したメッセージ・レベルでの Web サービス・アプリケーションの保護
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 4:10:06 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.wsfep.multiplatform.doc/info/ae/ae/cwbs_welcwebsvcsec.html