WebSphere Application Server バージョン 6 以降では、Web サービスのセキュリティー機能が多くの点で強化されています。これらの機能強化には、Web サービス・セキュリティー (WS-Security) 仕様の各セクションのサポート、およびセキュリティー・トークン機能のプラグインと拡張に対するアーキテクチャー面でのサポートが含まれます。
2002 年 9 月以来、Organization for the Advancement of Structured Information Standards (OASIS) は、SOAP メッセージ標準用の Web Services Security (WS-Security) を開発してきました。
2004 年 4 月、OASIS は、 Web サービスの保護における主要なマイルストーンとなる Web Services Security Version 1.0 仕様をリリースしました。 この仕様は、他の Web サービス・セキュリティー仕様の土台となり、 Basic Security Profile (WS-I BSP) バージョン 1.0 (作業ドラフト) の作業の基礎ともなるものです。 詳しくは、「Basic Security Profile」を参照してください。
Web Services Security バージョン 1.0 は、 Web サービス・セキュリティーのインターオペラビリティーに向けての布石であり Web サービス・セキュリティーのロードマップにおける最初の一歩です。 Web サービス・セキュリティーのロードマップの詳細については、 「Security in a Web Services World: A Proposed Architecture and Roadmap」を参照してください。
以前の仕様のうち、WebSphere Application Server バージョン 6.0.x 以降でサポートされている部分について詳しくは、OASIS 仕様からサポートされた機能性 を参照してください。
OASIS におけるセキュリティー・トークン・プロファイル開発の詳細については、「Organization for the Advancement of Structured Information Standards」を参照してください。
Web Services Security for SOAP Message バージョン 1.1 は、Web Services
Security for SOAP Message コア仕様を更新し、また、さまざまなセキュリティー・トークン・プロファイルおよびスキーマを更新しています。
今回のリリースでは、WebSphere Application Server はユーザー名・トークン・プロファイル 1.1 および X.509 トークン・プロファイル 1.1 (指紋型のセキュリティー・トークン参照のサポートを含む) を実装しています。 さらに、Web サービス・セキュリティー・バージョン 1.1 標準の署名確認および暗号化ヘッダー部分をサポートしています。
これらの機能強化の詳細については、 Web サービス・セキュリティーの機能強化 を参照してください。
Feature Pack for Web Services では、WebSphere Application Server は Web サービス・セキュリティー・バージョン 1.1 仕様、ユーザー名トークン・バージョン 1.1 プロファイル、および X.509 トークン・バージョン 1.1 プロファイルを実装するためにポリシー・セット・モデルを使用しています。 ポリシー・セットは、WS-Addressing、WS-ReliableMessaging、WS-SecureConversation、および WS-Security などの、トランスポート・レベルおよびメッセージ・レベルの構成を含む、構成設定を組み合わせたものです。
管理コンソールを使用すると、ポリシー・セットで定義されている Web サービス・セキュリティー制約を用いて、デプロイ済みアプリケーションの Web サービス・セキュリティー・バインディングを構成することができます。
X.509 証明書トークン・プロファイルの場合は、新しいタイプのセキュリティー・トークン参照である指紋参照があり、これはバインディングで指定されます。 WebSphere Application Server では、<KeyInfo> エレメント内の鍵 ID と指紋によるセキュリティー・トークン参照 (STR) を使用する、セキュリティー・トークンの作成と認証をサポートするようになりました。指紋鍵情報タイプには、共有鍵の代わりに公開鍵と秘密鍵の鍵ペアを持つ鍵ストアが必要です。 指定した証明書の指紋を使用するには、バインディングで keyInfo タイプに THUMBPRINT を指定します。
例えば、暗号化解除鍵は、関連する証明書の指紋を使用して参照されます。 この証明書はメッセージに含まれていません。 代わりに、<ds:KeyInfo> エレメントに、<wsse:KeyIdentifier> エレメントの http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#ThumbprintSHA1 属性を使用して、特定の証明書の指紋を指定した <wsse:SecurityTokenReference> エレメントが含まれています。
WebSphere Application Server では、 Web Services Security バージョン 1.0 仕様、Username Token バージョン 1.0 プロファイル、 および X.509 Token バージョン 1.0 プロファイルをインプリメントするためのデプロイメント・モデルを使用します。 このデプロイメント・モデルは、 Java 2 Platform, Enterprise Edition (J2EE) 用の Web サービス・デプロイメント・モデルの拡張機能です。 Web サービス・セキュリティー制約は、IBM 拡張デプロイメント記述子および Web サービス・ポートを基にしたバインディング・ファイルで定義されています。
WebSphere Application Server バージョン 6.0 の Web サービス・セキュリティー・サポートは、 その一部は、「Web Services Security: X.509 Token Profile 1.0」という OASIS 仕様と 最初の正誤表 (「Errata 1.0」) に基づいています。
最初の正誤表では、 X.509 トークン・タイプと、X.509 サブジェクトの鍵 ID 値タイプの URI が変更されました。 WebSphere Application Server バージョン 6.0 は、 この変更された URI に基づいていました。 WebSphere Application Server バージョン 6.0 の出荷後、 OASIS 技術委員会によってこれらの変更が取り消され、 元の 1.0 プロファイル URI に戻されました。
WebSphere Application Server バージョン 6.0 と、 現行バージョンのプロファイルに基づく他のベンダーの Web サービス製品との間で、 インターオペラビリティーの問題が生じる可能性があります。WebSphere Application Server は、 バージョン 6.0.2 と 6.0.1.2 で、最新バージョンのプロファイルに準拠するように修正されました。 WebSphere Application Server バージョン 6.0 を、 他のベンダーの Web サービス製品との混合環境で使用する場合は、 バージョン 6.0.1.2、または 6.0.2 以降にアップグレードするか、 APAR PK03507 を含むサービス・フィックスをインストールすることをお勧めします。
W3C Recommendation, November 2002
W3C Recommendation, December 2002
WebSphere Application Server バージョン 6.0.x 以降の Web サービス・セキュリティーでサポートされる内容について詳しくは、OASIS 仕様からサポートされた機能性 を参照してください。