Web サービスを使用すると、ポリシー・セット用に定義されたサービスの品質に基づいて、
メッセージ・パーツの署名、暗号化、またはその両方を行うことができます。
これらのアクションは、添付内容のカスタム・バインディング内のバインディング情報を定義することにより実行できます。
始める前に
このタスクを開始する前に、
アプリケーション、サービスまたはエンドポイントなどのサービス成果物にポリシー・セットを添付し、
添付内容のカスタム・バインディングを作成します。
ポリシー・セットの添付内容のカスタム・バインディング作成についての説明をお読みください。
サービス成果物に添付されているポリシー・セットには、
署名または暗号化するメッセージ・パーツを指定する WS-Security ポリシーが組み込まれている必要があります。
管理コンソールを使用したメッセージ・パーツの保護についての説明をお読みください。
このタスクについて
ポリシー・セット用に定義されたサービスの品質に基づいてメッセージ・パーツの署名、
暗号化、またはその両方を行うには、以下のステップを実行します。
プロシージャー
- 管理コンソールを開きます。
- サービス・プロバイダーのメッセージ・パーツの署名と暗号化を行うには、
「アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」>「サービス・プロバイダーのポリシー・セット (Service provider policy sets and binding)」とクリックします。
サービス・クライアントのメッセージ・パーツの署名と暗号化を行うには、
「アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」>「サービス・クライアントのポリシー・セット (Service client policy sets and bindings)」とクリックします。
- 添付内容のカスタム・バインディングを伴うサービス成果物のバインディング名リンクをクリックします。
- バインディングに WS-Security ポリシー・セット・バインディングが含まれていない場合は、
「追加」をクリックしてリストから「WS-Security」を選択します。
- 「WS-Security」ポリシー・セット・バインディングをクリックします。
- 「認証と保護」をクリックします。
結果のパネルに、以下の 4 つのテーブルが表示されます。
- 保護トークン: ポリシー・セット内の対称または非対称のシグニチャーおよび暗号化ポリシー用に定義されたトークンを指定します。
- 認証トークン: 要求と応答のトークン・ポリシー用に定義されたトークンを指定します。
- 要求メッセージのシグニチャーと暗号化保護: ポリシー・セットの要求メッセージ・パーツ保護で定義されたメッセージ・パーツを指定します。
- 応答メッセージのシグニチャーと暗号化保護: ポリシー・セット内の応答メッセージ・パーツ保護で定義されたメッセージ・パーツを指定します。
最初は、各テーブルには、サービス成果物に添付されたポリシー・セットに基づいて生成された情報が表示されています。
ポリシー・セットに基づいた、可能な構成オブジェクトが表示されます。
「状況」列は、オブジェクトが現在カスタム添付バインディングで構成されているかどうかを示しています。
- 保護トークンの状況が「未構成」の場合は、
デフォルト名をクリックして保護トークンを作成し、デフォルト値を確認します。
「OK」をクリックします。
-
[オプション] X.509 保護トークンを使用する場合は、メッセージ・パーツの署名、
確認、暗号化、または暗号化解除に使用する、鍵ストアと鍵を構成する必要があります。
カスタム・トークンの要件によっては、カスタム保護トークンを使用する場合にも、
鍵ストアと鍵を構成する必要があります。
保護 (セキュア会話) のためにセキュリティー・コンテキスト・トークンを使用する場合は、
鍵ストアや鍵を構成する必要はありません。
鍵ストアと鍵を構成する必要がある場合は、以下のアクションを実行します。
- トークン名リンクをクリックします。
- 「追加バインディング (Additional bindings)」の下の「コールバック・ハンドラー」リンクをクリックします。
「コールバック・ハンドラー」リンクがクリックできない場合は、
「適用」をクリックしてから「コールバック・ハンドラー」リンクをクリックします。
- 事前定義された鍵ストアまたはカスタム鍵ストアのいずれかを使用します。
事前定義された鍵ストアを使用するには、リストから鍵ストアを選択します。
カスタム鍵ストアを使用するには、リストから「カスタム」を選択し、
「カスタム鍵ストア構成 (Custom key store configuration)」リンクをクリックして、構成を指定します。
- 「OK」をクリックします。
- 署名または暗号化する、要求または応答メッセージ・パーツ参照の名前をクリックします。
「保護 (Protection)」列には、
ポリシー・セットに基づいてメッセージ・パーツに署名または暗号化を行うかどうかが表示されます。
- メッセージ・パーツの名前を指定します。
- 暗号化されたパーツの場合は、「鍵情報参照の使用法 (Usage of key information references)」から暗号化のタイプを選択します。
非対称暗号化、または X.509 の場合は、「鍵の暗号化」を選択します。
対称暗号化、またはセキュア会話の場合は、「データの暗号化」を選択します。
- [オプション] 暗号化されたパーツの場合は、「タイム・スタンプの組み込み」または「nonce の組み込み」オプションを選択して、
暗号化されたメッセージ・パーツにタイム・スタンプまたは nonce を組み込みます。
これらのオプションのうち 1 つまたは両方を暗号化されたメッセージ・パーツに組み込むことができます。
- 署名済みパーツの場合は、1 つ以上のメッセージ・パーツ参照を指定します。
「使用可能」列から参照を選択して、「追加」をクリックします。
- [オプション] 署名済みパーツの場合は、
署名済みメッセージ・パーツにタイム・スタンプまたは nonce を追加することもできます。
「割り当て済み (Assigned)」列からメッセージ・パーツ参照を選択して、
「編集」をクリックします。
「タイム・スタンプの組み込み」または「nonce の組み込み」オプションを選択して、
署名済みメッセージ・パーツにタイム・スタンプまたは nonce を組み込みます。
署名済みメッセージ・パーツには、これらのオプションのうち 1 つまたは両方を選択できます。
- 使用可能な鍵情報エントリーがない場合は、以下のアクションを実行して、それを作成します。
- 「新規」をクリックします。
- 名前を指定します。
- 「トークン・ジェネレーター」または「コンシューマー名リスト (Consumer name list)」から保護トークンを選択します。
- 「OK」をクリックします。
- 「使用可能」リストから鍵情報エントリーを選択して、「追加」をクリックします。
- [オプション] 必要であれば、カスタム・プロパティーを指定します。
- 暗号化されたデータに関して暗号文のメッセージ送信最適化メカニズム (MTOM) を使用するには、
カスタム・プロパティー com.ibm.wsspi.wssecurity.enc.MTOM.Optimize を追加します。
この場合、値は、クライアント要求またはサーバー応答のアウトバウンド暗号化パーツに関して true に設定されています。
- WS-Security 1.1 で説明されるような暗号化ではなく、
WS-Security 1.0 仕様で説明されるような暗号化ヘッダーを使用する場合は、
カスタム・プロパティー com.ibm.wsspi.wssecurity.encryptedHeader.generate.WSS1.0 を使用します。
この場合、値は、クライアント要求またはサーバー応答のアウトバウンド暗号化パーツに関して true に設定されています。
- 「OK」をクリックします。
-
「保管」をクリックして、マスター構成に変更を保管します。
結果
このタスクを完了すると、サービス成果物との通信時に使用される構成に基づいて、
メッセージ・パーツに対して署名、暗号化、またはその両方が行われます。
例
app1 というアプリケーションに、
ポリシー・セット、RAMP デフォルトおよび添付内容のカスタム・バインディング
myBinding が添付されています。そして、メッセージ・パーツの署名、暗号化を行う必要があります。
- 「アプリケーション」>「エンタープライズ・アプリケーション」コレクションで「app1」アプリケーションをクリックします。
- 「サービス・プロバイダーのポリシー・セットおよびバインディング (Service provider policy sets and bindings)」リンクまたは 「サービス・クライアントのポリシー・セットおよびバインディング (Service client policy sets and bindings)」リンクをクリックします。
- 「myBinding」リンクをクリックします。
- [オプション] WS-Security がリストされていない場合は、「追加」>「WS-Security」とクリックします。
- 「WS-Security」リンクをクリックします。
- 「認証と保護」リンクをクリックします。
- 「保護トークン」テーブルで、4 つのリンクをそれぞれクリックして、
結果のパネルで「OK」をクリックします。
「状況」列に各エントリーが「構成済み」として表示されます。
- 「要求メッセージのシグニチャーと暗号化保護」テーブルで、
「request:app_encparts」をクリックします。
requestEncParts という名前を指定します。
- 「鍵情報」から「新規」をクリックします。
requestEncKeyInfo という名前を指定します。
- 「SymmetricBindingRecipientEncryptionToken」を選択して、「OK」をクリックします。
- 「使用可能」リストで「requestEncKeyinfo」を選択して、「Add」をクリックします。
「OK」をクリックします。
-
「要求メッセージのシグニチャーと暗号化保護」テーブルで、
「request:app_signparts」をクリックします。
- requestSignParts という名前をクリックします。
- 「鍵情報」から「新規」をクリックします。
requestSignKeyInfo の名前を指定します。
- 「SymmetricBindingInitiatorSignatureToken」を選択して、「OK」をクリックします。
- 「使用可能」リストで「requestSignKeyinfo」を選択して、「追加」をクリックします。
「OK」をクリックします。
-
「応答メッセージのシグニチャーと暗号化保護」テーブル内のリンクについて、
ステップ 8 から 16 までを繰り返します。
- 「保管」をクリックして、マスター構成に対して行った変更を保管します。
次の作業
アプリケーションを開始します。