管理コンソールでポリシー・セットを処理する場合は、
ポリシーをカスタマイズして、メッセージ・セキュリティーを確保できます。
WS-Security ポリシーは、
要求にメッセージ・セキュリティー (WS-Security) プロファイルを適用するように構成できます。
メッセージ・セキュリティー・ポリシーは、要求に適用され、
インターオペラビリティーをサポートするために応答で実行されます。
始める前に
一部の設定は、カスタム・ポリシー・セットのデフォルト・ポリシー用に構成できます。
(提供されたデフォルト・ポリシーは編集できません。)
したがって、ポリシーを指定する対象として、デフォルト・ポリシー・セットがコピーを作成されていること、
または全く新規のポリシー・セットが作成されていることを確認してください。
このタスクについて
メッセージ・セキュリティー・ポリシーは、要求に適用され、
インターオペラビリティーをサポートするために応答で実行されます。
プロシージャー
- 「WS-Security ポリシー (WS-Security policy)」パネルを使用して、
WS-Security ポリシーの構成を開始します。
「WS-Security ポリシー (WS-Security policy)」パネルにアクセスするには、管理コンソールから、
「サービス」>「ポリシー・セット」>「アプリケーション・ポリシー・セット (Application policy sets)」>「policy_set_name」>「WS-Security ポリシー (WS-Security policy)」とクリックします。
- 構成するメッセージ・セキュリティーのタイプを選択します。
- 「メイン・ポリシー (Main policy)」リンクをクリックして、
メッセージ・セキュリティー・ポリシーを要求に対して適用する方法と、
インターオペラビリティーをサポートするために応答で実行する方法を指定します。
- 「ブートストラップ・ポリシー (Bootstrap policy)」リンクをクリックして、
セキュア会話を確立する方法を構成します。
ブートストラップ・ポリシーはすでに構成済みの場合があります。
ブートストラップ・ポリシーが現在構成されていない場合は、
まず、対称シグニチャーと暗号化ポリシー、およびセキュア会話トークンによるメッセージ・セキュリティーが、保全性と機密性保護の両方の目的で使用できるようになっていることを確認してください。
- 「メイン・ポリシー (Main policy)」設定パネルまたは「ブートストラップ・ポリシー (Bootstrap policy)」設定パネルを使用して、
メッセージ・セキュリティー・ポリシーを要求に対して適用する方法と、応答で実行する方法を指定します。
WS-Security バージョンのアサーションは、
ポリシー・セットのアサーションを基にして、すでに生成されています。
ポリシー・セットに WS-S 1.1 のアサーションが組み込まれている場合は、
WS-S 1.1 そのものが表明されます。
このパネルで設定を構成して、
メイン・ポリシーまたはブートストラップ・ポリシーの設定を構成します。
- メッセージ・レベルの保護が必要かどうかを選択します。
いずれかのメッセージ・パーツに対してデジタル的に署名または暗号化を行う必要がある場合、
あるいは、メッセージにタイム・スタンプを挿入する必要がある場合は、このチェック・ボックスを選択します。
このボックスのチェック・マークを外した場合、
「シグニチャー確認 (Signature confirmation)」、「鍵の対称」、
「タイム・スタンプとセキュリティー・ヘッダー・レイアウト (Timestamp and Security header layout)」の各オプションは使用不可になります。
- シグニチャーの確認が必要かどうかを指定します。
シグニチャーの確認が必要な場合は、このチェック・ボックスをクリックします。
- 「鍵の対称」セクションの設定を構成します。
「鍵の対称」セクションで構成可能なフィールドは、以下のとおりです。
- 対称トークンを使用
- 対称トークンを使用する場合は、このラジオ・ボタンをクリックします。
その後で、「対称シグニチャーおよび暗号化のポリシー (Symmetric signature and encryption policies)」リンクを使用して、
対称トークンを構成できます。
このリンクをクリックすると、
「対称シグニチャーおよび暗号化のポリシー (Symmetric Signature and Encryption Policies)」パネルにアクセスできます。
このパネルで、対称トークンを使用するトラスト・コンテキストを作成することができます。
メッセージの署名と検証、およびメッセージの暗号化と暗号化解除に対して、
同じトークンを使用すると、
非対称トークンを使用する場合に比べてパフォーマンスが向上します。
対称トークンは、トラスト・コンテキスト内で使用する必要があります。
- 非対称トークンを使用 (Use asymmetric tokens)
-
このリンクをクリックすると、
「非対称シグニチャーおよび暗号化のポリシー (Asymmetric Signature and Encryption Policies)」パネルにアクセスできます。
このパネルで、非対称トークンを使用するトラスト・コンテキスト (メッセージの保全性と機密性) を
作成できます。そのためには、起動側と受信側のシグニチャーに使用するトークン・タイプと同時に、
起動側と受信側の暗号化に使用するトークン・タイプも指定してください。
- ヘッダーにタイム・スタンプを組み込む (Include timestamp in header)
- ヘッダーにタイム・スタンプを組み込む場合は、
このチェック・ボックスをクリックします。
その後で、「セキュリティー・ヘッダーのレイアウト」ラジオ・ボタン・オプションの「あいまいだがタイム・スタンプは最初 (Lax but timestamp required first in header)」または「あいまいだがタイム・スタンプは最後 (Lax but timestamp required last in header)」を使用して、
タイム・スタンプの位置をヘッダー内で最初にするか、最後にするかを指定できます。
- オプション: 「アルゴリズム (Algorithms)」パネルにアクセスして、
使用可能なアルゴリズムを表示し、その中から選択する場合は、
「ポリシーの詳細」セクションの下の「アルゴリズム (Algorithms)」リンクをクリックします。
使用可能なアルゴリズムには、暗号アルゴリズムとそれらの鍵の長さ、
および XML の相違を一致させる正規化アルゴリズムが含まれています。
このリンクをクリックすると、
サポートされている暗号アルゴリズムと正規化アルゴリズムが表示されます。
- オプション: 要求の設定を構成します。
以下のリンクのいずれかをクリックして、要求の設定を構成します。
- 要求メッセージ・パーツ保護
- 要求メッセージ・パーツ保護の構成にリンクします。
保護するメッセージ・パーツと、
その保護の提供方法を定義するには、このリンクをクリックしてください。
- 要求トークン・ポリシー
- 要求トークン・ポリシーの構成にリンクします。
サポートするセキュリティー・トークンのタイプと、
そのトークン・タイプのプロパティーを指定するポリシーを定義するには、
このリンクをクリックしてください。
- オプション: 応答の設定を構成します。
以下のリンクのいずれかをクリックして、応答の設定を構成します。
- 応答メッセージ・パーツ保護
- 応答メッセージ・パーツ保護の構成にリンクします。
保護するメッセージ・パーツと、
その保護の提供方法を定義するには、このリンクをクリックしてください。
- 応答トークン・ポリシー
- 応答トークン・ポリシーの構成にリンクします。
サポートするセキュリティー・トークンのタイプと、
そのトークン・タイプのプロパティーを指定するポリシーを定義するには、
このリンクをクリックしてください。
結果
WS-Security ポリシーをカスタマイズした後で、
関連したポリシー・セットがこのポリシーを使用して、メッセージを保護します。