WebSphere® Application Server の Web サービス・セキュリティー は、OASIS Web Services Security (WSS) バージョン 1.0 仕様、 Username Token バージョン 1.0 プロファイル、X.509 Token バージョン 1.0 プロファイル に基づいています。これらの標準およびプロファイルは、Web サービス環境で交換されるメッセージの保護方法を規定します。 この仕様は、メッセージの保全性と機密性を保護するための中核機構を定義し、セキュリティー関連の要求とメッセージを関連付けるためのメカニズムを提供します。WSS は、 メッセージ・レベルの標準であり、XML デジタル署名による SOAP メッセージの保護、XML 暗号化による機密性、 およびセキュリティー・トークンによる資格情報の伝搬に基づいています。Feature Pack for Web Services の新機能として、ポリシー・セットを使用して簡単に JAX-WS Web サービスを保護できるようになりました。
Web サービスを保護するには、アプリケーションとビジネス・トポロジーの範囲に渡る認証、許可、プライバシー、信頼、保全性、機密性、保護通信チャネル、統合、代行、および監査を含めた、一連の広範囲なセキュリティー要件を検討する必要があります。 最近のビジネス環境におけるセキュリティー・モデルの主要な要件の 1 つは、異種の環境 (例えば、Microsoft .NET と Java™ (Java EE)) で、 以前は非互換であったセキュリティー・テクノロジー間 (例えば、Public Key Infrastructure と Kerberos との間) で の相互運用を行う機能です。 完全な Web サービス・セキュリティー・プロトコル・スタックおよびテクノロジー・ ロードマップについては、Security in a Web Services World: A Proposed Architecture and Roadmap を 参照してください。
Web Services Security: SOAP Message Security 1.0 specification では、セキュアな Web サービスを構築するために使用できる SOAP 拡張機能の標準セットについて概説しています。 この標準セットにより、デジタル署名と暗号化技術によって提供される 保全性と機密性が確認されます。 さらに、Web サービス・セキュリティーでは、セキュリティー・トークンとメッセージを関連付けるための汎用メカニズムが提供されます。 セキュリティー・トークンの一般的な例は、 ユーザー名トークンであり、この場合、ユーザー名とパスワードはテキストとして組み込まれています。Web サービス・セキュリティーは、X.509 証明書や Kerberos チケットなどの方式を使用してバイナリーのセキュリティー・トークンをエンコードする方法を定義します。 ただし、必要なセキュリティー・トークンは、 Web サービス・セキュリティー・バージョン 1.0 仕様で定義されません。 その代わりに、トークンは、Username トークン・プロファイル、 X.509 トークン・プロファイル、SAML プロファイル、Kerberos プロファイル、 XrML プロファイルなど、別個のプロファイルで定義されます。
V6.1 Feature Pack for Web Services および V7 では、WebSphere Application Server は、WSS バージョン 1.1 仕様、ユーザー名トークン・バージョン 1.1 プロファイル、および X.509 トークン・バージョン 1.1 プロファイルを実装するためにポリシー・セット・モデルを使用します。ポリシー・セットは、 WS-Addressing、WS-ReliableMessaging、WS-SecureConversation、および WS-Security など、 トランスポート・レベルとメッセージ・レベルの構成設定を含めて、さまざまな構成設定を結合します。
Web サービスのポリシー・セットを使用可能にするには、JAX-WS Web サービスおよびクライアントのポリシー・セットの管理を参照してください。
IBM® Redbooks®: Web Services Feature Pack for WebSphere Application Server V6.1 の資料には、WebSphere Application Server V6.1 Feature Pack for Web Services のポリシー・セットに関する章が記載されています。
この文書で提供されている情報に加えて、WebSphere Application Server を使用して Web サービスを保護 する方法を示す、いくつかの役に立つチュートリアル および記事を developerWorks® で参照できます。