WebSphere Application Server Version 6.1 Feature Pack for Web Services   
             オペレーティング・システム: AIX , HP-UX, i5/OS, Linux, Solaris, Windows, Windows Vista, z/OS

             目次と検索結果のパーソナライズ化
             New or updated topic for this feature pack

バージョン 6 以降用の Web サービス・セキュリティー仕様 - 年表

Web サービス・セキュリティー仕様の開発には、Organization for the Advancement of Structured Information Standards (OASIS) Web サービス・セキュリティー仕様についての情報が含まれています。OASIS Web サービス・セキュリティー仕様は、WebSphere Application Server バージョン 6 以降において Web サービスを保護する基礎としての役割を果たします。

新規またはこのフィーチャー・パックで更新されました ベスト・プラクティス: WebSphere Application Server Version 6.1 Feature Pack for Web Services は、本製品の機能を拡張して、Java API for XML-Based Web Services (JAX-WS) 2.0 の プログラミング・モデルを導入できるようにします。 JAX-WS は、次世代の Web サービス・プログラミング・モデルであり、 Java API for XML-based RPC (JAX-RPC) プログラミング・モデルが提供する 基盤を提供します。戦略的 JAX-WS プログラミング・モデルを使用すると、 標準ベースの注釈モデルのサポートによって、Web サービスおよび Web クライアントの開発が 容易になります。 JAX-RPC プログラミング・モデルとアプリケーションは 引き続きサポートされますが、Web サービス・アプリケーションおよびクライアントを 新規に開発する場合は、 実装が容易な JAX-WS プログラミング・モデルをご利用ください。bprac

OASIS 以外のアクティビティー

Web サービスは、 インターオペラビリティーおよび統合のための実用的なテクノロジーとして、急速に受け入れられています。 しかし、Web サービスの保護は、最も重要なサービスの品質の 1 つであり、 Web サービスを採択することは、企業にとって実用的な商用ソリューションとなります。 IBM と Microsoft は、 「Security in a Web Services World: A Proposed Architecture and Roadmap」というタイトルの Web サービスに関するセキュリティー白書を共同で公表しました。 この白書では、提案された Web サービス・セキュリティー・ロードマップの中で、以下の初期およびその後の仕様について説明しています。
Web サービス・セキュリティー
この仕様には、 SOAP メッセージにおいてデジタル・シグニチャーを添付する方法、 暗号化を使用する方法、およびセキュリティー・トークンを使用する方法が定義されています。
WS-Policy
この仕様には、セキュリティー制約、 および仲介者またはエンドポイントのポリシーを記述するために使用される言語が定義されています。
WS-Trust
この仕様には、 Web サービス間の信頼性を確立するためのトラスト・モデルのフレームワークが定義されています。
WS-Privacy
この仕様には、 Web サービスおよび要求側のプライバシー・ポリシーを表現する方法のモデルが定義されています。
WS-SecureConversation
この仕様には、 Web サービス間のセッション鍵を派生させるセキュア・コンテキストを交換および確立する方法が定義されています。
WS-Authorization

この仕様には、Web サービスの許可ポリシーが定義されています。しかし、WS-Authorization 仕様はまだ公表されていません。既存の Web サービス・セキュリティーのインプリメンテーションは、Java 2 Platform, Enterprise Edition (J2EE) 仕様または Java Specification Requirements (JSR) 109 仕様の Web サービスに基づいています。 Web サービス・セキュリティーのインプリメンテーションは、J2EE 役割ベースの許可検査を利用します。 役割ベースの許可に関する概念的な情報については、役割ベースの許可 を参照してください。 メソッド・レベルの許可検査が必要な Web サービスを開発する場合は、ステートレス・セッション Bean を使用して Web サービスをインプリメントする必要があります。 詳しくは、エンタープライズ Bean アプリケーションの保護 を参照してください。

サーブレットとしてインプリメントされる Web サービスを開発する場合は、簡単な許可または URL ベースの許可を Web コンテナーで使用することができます。 ただし、そのような状況においては、許可検査のために Web サービス・セキュリティーの ID を使用することはできません。 代わりに、トランスポートの ID を使用することができます。 HTTP 経由で SOAP を使用する場合、ID は HTTP トランスポートにあります。

次の図は、これらの仕様間の関係を示しています。

さまざまな仕様の関係

2002 年 4 月、 IBM、Microsoft、および VeriSign は、それぞれの Web サイトで、 前の図のグリーン・ボックスで示された「Web Services Security (WS-Security) 仕様」を提案しました。 この仕様には、セキュリティー・トークン、XML デジタル・シグニチャー、 および XML 暗号化の基本概念が含まれています。 この仕様には、ユーザー名トークンおよびエンコードされたバイナリー・セキュリティー・トークンのフォーマットも定義されています。 度重なる検討と仕様に基づいたインターオペラビリティー・テストが行なわれた後、 以下の問題が指摘されました。
  • この仕様では、Web サービス・セキュリティー・プロセッサーがスキーマを正しく認識していることが必要になります。 これにより、プロセッサーが XML デジタル・シグニチャーと XML 暗号化の ID 属性を区別できるようになります。
  • メッセージが事前定義された時間制約に従っているかどうかを示す、 メッセージの新鮮度を判別することはできません。
  • ダイジェスト・パスワード・ストリングにより、セキュリティーは強化されません。
2002 年 8 月、IBM、Microsoft、および VeriSign は、 Web Services Security Addendum を公表し、 その時点までに確認された問題に対応する意思を示しました。 この補足には、以下の解決策が示されました。
  • XML シグニチャーと XML 暗号化のグローバル ID 属性が必要であること。
  • メッセージの作成、受信、または有効期限の時刻を示すタイム・スタンプ・ヘッダー・エレメントを使用すること。
  • タイム・スタンプと nonce (ランダムに生成されたトークン) を用いてダイジェストされたパスワード・ストリングを使用すること。

前の図のブルー・ボックスの仕様は、業界のさまざまなベンダーによって提案されたものであり、 提案された仕様を検証および洗練するために、さまざまなインターオペラビリティー・イベントがベンダーによって編成されました。

OASIS の活動

2002 年 6 月、OASIS は、IBM、Microsoft、 および Verisign から提案された Web サービス・セキュリティー仕様を受理しました。 提出後、直ちに OASIS に Web Services Security Technical Committee (WSS TC) が設立されました。 この技術委員会には、IBM、Microsoft、VeriSign、Sun Microsystems、および BEA Systems を含め、 多くの会社が参与しました。

2002 年 9 月、 WSS TC は最初の仕様である Web Services Security Core Specification, Working Draft 01 を公開しました。 この仕様には、元の Web サービス・セキュリティー仕様とその補足の両方の内容が含まれていました。

議論が進むに連れて、技術委員会の担当範囲がさらに広がりました。 Web Services Security Core Specification により、 任意のタイプのセキュリティー・トークンを使用できるようになるため、 提案はプロファイルとして公表されました。 このプロファイルには、 Web サービス・セキュリティー・メッセージに組み込まれる Security Assertion Markup Language (SAML) トークンおよび Kerberos トークンを含め、 トークンを組み込む方法についての記述がありました。 その後、元の Web Services Security 仕様に定義されていたユーザー名トークンと X.509 バイナリー・セキュリティー・トークンの使用法の定義が、 プロファイルに分割されました。

WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 は、以下の仕様をサポートしています。
  • Web Services Security: SOAP Message Security Draft 13 (以前の Web Services Security Core Specification)
  • Web Services Security: Username Token Profile Draft 2
2004 年 4 月、Web サービス・セキュリティー仕様 (正式には、Web Services Security: SOAP Message Security Version 1.0 と呼ばれる) は、 Version 1.0 OASIS 標準となりました。 同様に、Username トークン・プロファイルおよび X.509 トークン・プロファイルは、Version 1.0 仕様となりました。 WebSphere Application Server 6 以降は、OASIS からの以下の Web サービス・セキュリティー仕様をサポートしています。
新規またはこのフィーチャー・パックで更新されました 2006 年 2 月には、コア Web サービス・セキュリティー仕様が更新され、バージョン 1.1 OASIS 標準になりました。同様に、Username トークン・プロファイルおよび X.509 トークン・プロファイルが更新されてバージョン 1.1 仕様になりました。次の OASIS の Web サービス・セキュリティー仕様の一部、具体的にはシグニチャーの確認、暗号化ヘッダー、および指紋参照がサポートされています。

次の図に、さまざまな Web サービス・セキュリティー関連の仕様を示します。

OASIS 仕様

WebSphere Application Server Version 6 以降はまた、 プラグイン機能を拡張および提供します。これにより、セキュリティー・プロバイダーは、ランタイム機能を拡張し、 Web サービス・セキュリティー・スタックにおいて一部の高水準仕様をインプリメントすることができるようになります。 プラグイン・ポイントは、Service Provider Programming Interfaces (SPI) として公開されます。 これらの SPI の詳細については、 Web サービス・セキュリティー・サービス・プロバイダーのプログラミング・インターフェースのデフォルトのインプリメンテーション を参照してください。

Web サービス・セキュリティー 1.0 仕様の発展

OASIS Web Services Security バージョン 1.0 仕様には、 メッセージの保全性と機密性を得るための機能強化が定義されています。 この仕様はまた、セキュリティー・トークンを SOAP メッセージと関連付ける汎用フレームワークも提供します。 この仕様は、複数のセキュリティー・トークン・フォーマットをサポートするように、 拡張が可能なように設計されています。 特定のセキュリティー・トークンの使用法は、 セキュリティー・トークン・プロファイルに示されています。 OASIS Web サービス・セキュリティー仕様は、 以下の World Wide Web Consortium (W3C) 仕様に基づいています。 W3C 仕様のほとんどは、標準団体から推奨されています。

これらの仕様は、 Web サービス・セキュリティーのコンテキストにおいて WebSphere Application Server バージョン 6 以降でサポートされています。 例えば、デプロイメント記述子で保全性オプションを指定することによって、 SOAP メッセージに署名することができます。 ただし、SOAP メッセージにおける XML エレメント上でアプリケーションが XML Signature 用に使用できるアプリケーション・プログラミング・インターフェース (API) はありません。

OASIS Web Services Security バージョン 1.0 仕様には、 メッセージの保全性と機密性を得るための機能強化が定義されています。 この仕様はまた、セキュリティー・トークンを SOAP メッセージと関連付ける汎用フレームワークも提供します。 この仕様は、複数のセキュリティー・トークン・フォーマットをサポートするように、 拡張が可能なように設計されています。 特定のセキュリティー・トークンの使用法は、 セキュリティー・トークン・プロファイルに示されています。

WebSphere Application Server バージョン 6 以降における仕様とプロファイルのサポート

OASIS は、さまざまなプロファイルについて作業を行っています。 詳しくは、 「Organization for the Advancement of Structured Information Standards Committees」を参照してください。

以下のリストには、公表済みのドラフト・プロファイル、および OASIS の Web Services Security Technical Committee で進行中の作業が含 まれています。

WebSphere Application Server バージョン 6 以降では次 のプロファイルはサポートされていません。

注: WebSphere Application 5.0.2、5.1.0、および 5.1.1 における Web サービス・セキュリティーのドラフト 13 およびユーザー名トークン・プロフ ァイルのドラフト 2 のサポートは非推奨になりました。

Web サービス・セキュリティー バージョン 1.0 の Web サービス・セキュリティーにおける SOAP メッセージのワイヤー・フォーマットは変更されて、 OASIS Web サービス・セキュリティー仕様の前のドラフトとは互換性がありません。 OASIS Web サービス・セキュリティー バージョン 1.0 と前の Web サービス・セキュリティー・ドラフトとのインターオペラビリティーは、サポートされていません。 ただし、Web サービス・セキュリティーのドラフト 13 に準拠したアプリケーションを WebSphere Application Server バージョン 6 以降で実行することは可能です。 このアプリケーションは、WebSphere Application Server バージョン 5.0.2、5.1、または 5.1.1 上で、 Web サービス・セキュリティーのドラフト 13 に準拠したアプリケーションと相互運用することができます。

WebSphere Application Server バージョン 6 以降では、 OASIS Web サービス・セキュリティーのドラフト 13 と OASIS Web サービス・セキュリティー 1.0 仕様を両方ともサポートしています。 しかし、WebSphere Application Server バージョン 6 以降では、 OASIS Web サービス・セキュリティーのドラフト 13 のサポートは推奨されません。 ただし、WebSphere Application Server 5.0.2、5.1.0、 および 5.1.1 上で OASIS Web サービス・セキュリティーのドラフト 13 を使用して開発されたアプリケーションは、 WebSphere Application Server バージョン 6 以降で実行することができます。OASIS Web サービス・セキュリティー バージョン 1.0 のサポートは、Java 2 Platform, Enterprise Edition (J2EE) バージョン 1.4 アプリケーションでのみ使 用可能です。 デプロイメント記述子およびバインディングの構成フォーマットは、 WebSphere Application Server の旧バージョンとは異なっています。 既存のアプリケーションを J2EE 1.4 にマイグレーションし、 Web サービス・セキュリティー構成を WebSphere Application Server バージョン 6 フォーマットにマイグレーションする必要があります。

WebSphere Application Server バージョン 6.1 以降における仕様とプロファイルのサポート 新規またはこのフィーチャー・パックで更新されました

OASIS は、さまざまなプロファイルについて作業を行っています。 詳しくは、 「Organization for the Advancement of Structured Information Standards Committees」を参照してください。

以下のリストには、公表済みのドラフト・プロファイル、および OASIS の Web Services Security Technical Committee で進行中の作業が含 まれています。WebSphere Application Server バージョン 6.1 では次のプロファイルはサポートされていません。

Web サービス・セキュリティー仕様バージョン 1.1 の発展 新規またはこのフィーチャー・パックで更新されました

更新された最新の OASIS Web サービス・セキュリティー仕様のバージョンが、World Wide Web Consortium (W3C) に提出され、標準化作業に入りました。 これらの仕様の作業ドラフト・バージョンは、Web サービス・セキュリティーの面において WebSphere Application Server でサポートされています。
  • Web Services Addressing (2004 年 8 月 10 日更新)

    Web サービス・アドレッシング (WS-Addressing) はコア Web サービス・アーキテクチャーの主要部分であり、処理されるセキュアで非同期かつ信頼性の高い Web サービスの発展のために、標準に基づく土台を提供するための長期的な取り組みの一部です。 WS-Addressing は、Web サービスおよびメッセージのアドレス指定を行うための、transport-neutral なメカニズムを提供します。 具体的に、この仕様は XML エレメントを定義して Web サービスのエンドポイントを識別し、メッセージのエンドツーエンドのエンドポイント ID を保護します。 この仕様はメッセージング・システムを使用可能にして、エンドポイント・マネージャー、ファイアウォール、およびゲートウェイのようなノードの処理を含む、ネットワークを介したメッセージの送信を、transport-neutral な形でサポートします。

  • Web Services Trust Language (2005 年 2 月 01 日更新)

    Web Services Trust Language (WS-Trust) は、Web サービス・セキュリティーのセキュアなメッセージング・メカニズムを使用して、セキュリティー・トークンの発行、交換、および検証のための追加の基本的機能および拡張機能を定義します。 WS-Trust は、異なるトラスト・ドメイン内のクレデンシャルの発行および配布を可能にします。 この仕様は、トラスト関係の設定方法、その存在の評価方法、および仲介方法を定義します。

  • Web Services Secure Conversation Language (2005 年 2 月 01 日更新)

    Web Services Secure Conversation Language (WS-SecureConversation) は、WS-Security モデルおよび WS-Policy モデルの最上位に作成され、サービス間のセキュア通信を提供します。 WS-Security はメッセージ認証モデルに重点を置いていますが、セキュリティー・コンテキストは重視しておらず、このため、複数の形式のセキュリティー・アタックに攻撃される可能性があります。 この仕様はセキュリティー・コンテキストの設定と共有のメカニズム、およびセキュリティー・コンテキストの派生鍵を定義し、セキュアな会話を可能にします。 SOAP 拡張性モデルを使用することにより、豊かなメッセージング環境を提供できるように、モジュラー SOAP ベースの各種仕様はお互いに構成されるように設計されています。

  • Web Services Security Policy Language, W3C Recommendation (2006 年 3 月 09 日更新)

    Web Services Security Policy (WS-Policy) は汎用目的のモデルおよび構文を提供して、Web サービスのポリシーの記述および通信を行います。 WS-Policy 表明は、特定の Web サービスの機能および制約を表します。 WS-PolicyAttachments は、WS-Policy の式を Web サービスと関連付けるための複数のメソッド (WSDL など) を定義します。2005 年 7 月の WS-Security ポリシーの再発表に伴い、Web サービス・セキュリティー仕様が更新されて、WS-Security、WSTrust および WS-SecureConversation を使用している Web サービスの制約および機能を反映するようになりました。WS-ReliableMessaging ポリシーも 2005 年に再発表され、WS-ReliableMessaging を実装する Web サービスの機能と制約を表すようになりました。

  • Web Services Reliable Messaging (2005 年 2 月 01 日更新)

    Web Services Reliable Messaging (WS-ReliableMessaging) は、ソフトウェア・コンポーネントの障害、システム障害、またはネットワーク障害がある場合に、分散アプリケーション間でメッセージが確実に配信できるようなプロトコルを記述します。 集められた提案に基づいて、WS-ReliableMessaging の更新が行われます。 プロトコルはこの仕様で独立して記述されており、異なるネットワーク・トランスポート技術を使用しての実装を可能にしています。 相互運用可能な Web サービスをサポートするために、SOAP バインディングがこの仕様で定義されています。

Web Services Interoperability Organization (WS-I) のアクティビティー

Web Services Interoperability Organization (WS-I) は、ベンダー、プラットフォーム、プログラム言語、 およびアプリケーションにまたがる Web サービスのインターオペラビリティーを促進するためのオープンな業界活動の 1 つです。 この組織は、IBM、Microsoft、Oracle、Sun、Novell、VeriSign、 および Daimler Chrysler を含む多くの産業にまたがる企業のコンソーシアムです。 2003 年の春、WS-I は、基本セキュリティー・プロファイル (BSP) の作業を開始しました。 BSP は、特定企業などの権利に縛られない Web サービス仕様のセットで構成されています。 この Web サービス仕様のセットは、それらの仕様を明確にし、拡張して、 異なるベンダー・インプリメンテーション間における、Web サービス・セキュリティーのインターオペラビリティーを促進します。 2004 年 6 月の時点で、BSP は公開ドラフトです。 詳しくは、 「Web Services Interoperability Organization」を参照してください。

具体的に、BSP について詳しくは、Basic Security Profile Version 1.0 を参照してください。 WebSphere Application Server は、BSP との整合性をサポートしています。BSP に準拠したアプリケーションを構成するための詳細については、基本セキュリティー・プロファイル準拠のヒント を参照してください。




関連概念
Web サービス・セキュリティー・サービス・プロバイダーのプログラミング・インターフェースのデフォルトのインプリメンテーション
役割ベースの許可
基本セキュリティー・プロファイル準拠のヒント
Web サービスの保護のための新機能
関連タスク
エンタープライズ Bean からの Web サービス・アプリケーションの開発
エンタープライズ Bean アプリケーションの保護
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 4:10:06 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.wsfep.multiplatform.doc/info/ae/ae/cwbs_wssv6chron.html