バージョン 5.x アプリケーション用 Web Services Security の概念
IBM® は Web Services Security をサポートします。これは IBM Web サービス・エンジンの拡張機能であり、これによって高品質のサービスが提供されます。WebSphere® Application Server セキュリティー・インフラストラクチャーは、Web Services Security と Java™ Platform, Enterprise Edition (Java EE) セキュリティー仕様を完全に統合します。
サブトピック
Web Services Security 仕様 - 年表
この年表は、Web Services Security 仕様の作成に使用されるプロセスを説明します。この年表には Organization for the Advancement of Structured Information Standards (OASIS) および非 OASIS アクティビティーの両方が含まれます。Web Services Security のサポート
IBM® は Web Services Security をサポートします。これは IBM Web サービス・エンジンの拡張機能であり、これによって高品質のサービスが提供されます。WebSphere® Application Server セキュリティー・インフラストラクチャーは、Web Services Security と Java™ Platform, Enterprise Edition (Java EE) セキュリティー仕様を完全に統合します。Web Services Security と Java Platform, Enterprise Edition セキュリティーの関係
この項では、Web Services Security (メッセージ・レベルのセキュリティー) モデルと Java Platform, Enterprise Edition (Java EE) セキュリティー・モデルとの関係について説明します。また、Java EE のロール・ベースの許可検査に関する情報も含まれています。WebSphere Application Server における Web Services Security モデル
WebSphere Application Server が使用する Web Services Security モデルは、宣言モデルです。WebSphere Application Server には、Web Services Security とプログラマチックに対話を行うためのアプリケーション・プログラミング・インターフェース (API) は含まれていません。ただし、一部のセキュリティー関連の振る舞いを拡張するためのいくつかの サーバー・プロバイダー・インターフェース (SPI) は使用可能です。セキュリティー・トークンの伝搬
この例では、Web Services Security、WebSphere Application Server のセキュリティー・インフラストラクチャー、および Java Platform, Enterprise Edition (Java EE) セキュリティーを使用してセキュリティー・トークンを伝搬します。Web Services Security 制約
WebSphere Application Server が使用する Web Services Security モデルは、宣言モデルです。バージョン 5.x アプリケーションは、Web Services Security を使用して、IBM 拡張デプロイメント記述子と IBM 拡張バインディングにセキュリティー制約を定義することにより、アプリケーションを保護できます。認証メソッドの概要
WebSphere Application Server の Web Services Security の実装では、認証メソッドである BasicAuth、Lightweight Third Party Authentication (LTPA)、デジタル署名、および ID アサーションをサポートしています。トークン・タイプの概要
Web Services Security は、セキュリティー・トークンのタイプを定義します。デプロイメント記述子拡張ファイルは、メッセージが受け入れることのできるトークンのタイプを定義します。XML デジタル署名
XML-Signature Syntax and Processing (XML Signature) は、 デジタル・コンテンツに対するデジタル署名に署名し、 それを確認するための XML 構文および処理規則を定義する仕様です。 この仕様は、World Wide Web Consortium (W3C) および Internet Engineering Task Force (IETF) による共同開発です。デフォルト・バインディング
デフォルト・バインディング情報は、ws-security.xml ファイルで定義されており、 管理コンソールまたはスクリプトのいずれでも管理できます。 JAX-RPC アプリケーション用のデフォルト・バインディングのみがサポートされています。 JAX-WS アプリケーション用のデフォルト・バインディングはサポートされていません。ws-security.xml ファイル - WebSphere Application Server Network Deployment のデフォルト構成
JAX-RPC アプリケーションの場合、WebSphere Application Server Network Deployment のインストール済み環境では、ws-security.xml ファイルを使用して、セル全体の Web Services Security のデフォルト・バインディング情報を定義します。トラスト・アンカー
トラスト・アンカーは、署名者証明書を検証するトラステッド・ルート証明書を含む鍵ストアを指定します。 要求受信側および応答受信側はこれらの鍵ストアを使用して、デジタル署名の署名者証明書を検証します。コレクション証明書ストア
コレクション証明書ストア は、ルート以外の認証局 (CA) の証明書と、証明書失効リスト (CRL) の集合です。 この CA 証明書および CRL の集合は、デジタル署名付きの SOAP メッセージのシグニチャー検査で使用します。鍵ロケーター
鍵ロケーター (com.ibm.wsspi.wssecurity.config.KeyLocator) は、 デジタル署名および暗号化の鍵を検索するメカニズムの抽象概念です。鍵
鍵は XML Signature と暗号化に使用されます。トラステッド ID エバリュエーター
トラステッド ID エバリュエーターは、 与えられた ID 名が信頼できるかどうかを評価するメカニズムの抽象概念です。トラステッド ID エバリュエーターは通常、複数ホップ環境内の最終受信側によって使用されます。ログイン・マッピング
ログイン・マッピングは、 ibm-webservices-bnd.xmi Extended Markup Language (XML) ファイルにあり、 マッピング構成が含まれています。 このマッピング構成は、Web Services Security ハンドラーがトークンの <ValueType> エレメント (メッセージ・ヘッダーから抽出されたセキュリティー・トークンに含まれている) を、対応する認証メソッドにマップする方法を定義しています。 トークンの <ValueType> エレメントは、SOAP メッセージ・ヘッダーから抽出されたセキュリティー・トークン内に含まれています。XML 暗号化
Extensible Markup Language (XML) 暗号化は、World Wide Web (WWW) Consortium (W3C) が 2002 年に開発した仕様で、この中には、データを暗号化するステップ、暗号化されたデータを暗号化解除するステップ、XML 暗号化されたデータを表す構文、データの暗号化解除に使用される情報、および暗号化アルゴリズム (Triple Data Encryption Standard (DES)、Advanced Encryption Standard (AES)、および Rivest-Shamir-Adleman algorithm (RSA) など) のリストが含まれています。要求送信側
SOAP メッセージの要求送信側のセキュリティー・ハンドラーは、 セキュリティー制約 (ibm-webservicesclient-ext.xmi ファイル内にあります)、 およびバインディング (ibm-webservicesclient-bnd.xmi ファイル内にあります) を実行します。 これらの制約とバインディングは、ともに Java Platform, Enterprise Edition (Java EE) アプリケーション・クライアントまたは Web サービスがクライアントとして機能する場合に適用されます。セキュリティー・ハンドラーは、SOAP メッセージを送信する前にセキュリティー制約に従って処理を行います。 例えば、セキュリティー・ハンドラーは、メッセージへのデジタル署名、 メッセージの暗号化、タイム・スタンプの作成、またはセキュリティー・トークンの挿入を行います。要求受信側
要求受信側は、SOAP メッセージのセキュリティー要件を定義します。 SOAP メッセージの要求受信側のセキュリティー・ハンドラーは、 IBM 拡張デプロイメント記述子 (ibm-webservices-ext.xmi) およびバインディング (ibm-webservices-bnd.xmi) で定義されたセキュリティー仕様を実行します。応答送信側
応答送信側は、SOAP 応答メッセージのセキュリティー要件を定義します。 セキュリティー・ハンドラーは、IBM 拡張デプロイメント記述子内の応答に対して定義されたセキュリティー制約に従って処理を行います。応答受信側
応答受信側は、要求から Web サービスに受信される応答のセキュリティー要件を定義します。応答送信側のセキュリティー制約は、 応答受信側のセキュリティー要件に一致していなければなりません。 制約が一致しない場合、応答は呼び出し元や送信側に受け入れられません。SOAP メッセージの ID アサーション
ID アサーションは、SOAP メッセージにおける送信側 (例えば、ユーザー名) の識別を表すメソッドです。 ID アサーションが認証メソッドとして使用される場合、認証の決定は、識別の名前のみに基づいて行なわれ、 パスワードや証明書などその他の情報に基づいて行われることはありません。セキュリティー・トークン
セキュリティー・トークンは、 クライアントが行なった一連の要求を表し、 名前、パスワード、ID、鍵、証明書、グループ、特権などが含まれます。プラグ可能トークン・サポート
プラグ可能セキュリティー・トークン・サポートは、トークン生成、トークン妥当性検査、 および Java Platform, Enterprise Edition (Java EE) 許可エンジンで使用される WebSphere Application Server ID へのクライアント ID へのマッピングを含め、 顧客のセキュリティー・トークン・タイプをサポートするプラグイン・ポイントを提供します。さらに、プラグ可能トークン生成および妥当性検査フレームワークは、XML ベースのトークンを Web サービス・メッセージ・ヘッダーに挿入し、受信側で妥当性検査することをサポートします。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=container_wssec_concepts_v5_apps
ファイル名:container_wssec_concepts_v5_apps.html