Web サービス・トラスト標準
Web サービス・トラスト (WS-Trust) は、要求/応答プロトコルを定義することにより、セキュリティー・トークンのインターオペラビリティーを使用可能にする、Organization for the Advancement of Structured Information Standards (OASIS) で提案された標準です。 このプロトコルにより、Web サービス・クライアントのような SOAP アクターは、特定のセキュリティー・トークンが相互に交換される、一部の信頼のおける権限を要求することができます。 WebSphere® Application Service で提供されているトラスト・サービスでは WS-Trust のセキュア・メッセージング・メカニズムを使用して、セキュリティー・トークンの発行、交換、および検証のための追加の拡張機能を定義しています。
WS-Trust はセキュリティー・トークン交換の要求および応答プロトコルを定義します。 クライアントは、RequestSecurityToken (RST) をセキュリティー・トークン・サービスに送信します。 この要求には、クライアントが交換を依頼しているセキュリティー・トークンが含まれています。 セキュリティー・トークン・サービスは、新しいトークンが含まれている RequestSecurityTokenResponse (RSTR) で応答を戻します。
トークン交換のほか、WS-Trust 要求/応答プロトコルは、クライアントがトラスト・サービスに対して、対応するセキュリティー・トークンの発行によるサービスの許可を請求する場合に、トークンの発行 をサポートする汎用性を備えています。 トークンの検証 は、クライアントがトラスト・サービスに対してトークンを示し、その有効性の判別を依頼する場合です。
また、WS-Trust は、異なるトラスト・ドメイン内でのクレデンシャルの発行と配布を可能にします。通話者間の通信を保護するには、両者がセキュリティー・クレデンシャルを (直接または間接的に) 交換する必要があります。 各通話者はまず、相手方の通話者の表明されたクレデンシャルを信頼できるかどうかを判別します。
OASIS WS-Trust 仕様では、セキュリティー・トークンの発行と交換、およびトラスト関係の存在の確立方法およびアクセス方法の提供のための、Web Services Security (WS-Security) の拡張機能を定義しています。 これらの拡張機能を使用することにより、アプリケーションはセキュア通信を行うことができ、これらの拡張機能は汎用 Web サービス・フレームワークと一緒に作業できるように設計されています。 汎用 Web サービス・フレームワークには WSDL サービス記述、 UDDI businessServices と bindingTemplates、および SOAP メッセージがあります。
WebSphere Application Server の WS-Trust のサポートは、Web Services Secure Conversation (WS-SecureConversation) のセキュリティー・コンテキスト・トークンの確立を重点を置いています。WS-Trust サポートは、発行、更新、検証、および取り消しの、セキュリティー・コンテキスト・トークンの 4 つのアクションに重点を置いています。 また、WS-Trust バージョン 1.3 についても、発行、更新、検証、および取り消しの、同じアクションのコレクション要求がサポートされています。WebSphere Application Server がサポートしている WS-Trust の主要コンポーネントはセキュリティー・トークン・サービスで、これはトラスト・サービスと呼ばれています。
WS-Trust 標準の Submission Draft と承認レベルのサポート
WebSphere Application Server のバージョン 6.1 以降は、WS-Trust 2005 提案ドラフト仕様 (バージョン 1.1) をサポートしています。ただし、WebSphere Application Server では、WS-Trust ドラフト仕様のすべての内容を実装する完全なセキュリティー・トークン・サービスは提供されていません。
2007 年 3 月付けの承認済みバージョン 1.3 仕様は、WebSphere Application Server バージョン 7.0 以降でサポートされています。セキュリティー・コンテキスト・トークン (SCT) プロバイダーは、WS-Trust および WS-SecureConversation の OASIS バージョン 1.3 仕様をサポートします。2 つの異なるレベルの WS-Trust 標準が同じサーバーで共存できるようにするための構成オプションがあります。これにより、さまざまな仕様レベルをサポートするシステムと製品間のインターオペラビリティーが提供されます。 詳しくは、管理コンソールを使用したトラスト・サービス用のセキュリティー・コンテキスト・トークン・プロバイダーの構成のトピックを参照してください。
セキュリティー・コンテキスト・トークン・プロバイダー用の WS-Trust 2005 Submission Draft 仕様 (バージョン 1.1) のサポートを特別に使用不可にする設定も用意されています。 このプロパティーの詳細については、セキュリティー・コンテキスト・トークンのドラフト標準レベルを使用不可にするトピックを参照してください。
トラスト・サービス要求の処理は、要求で参照される仕様によって異なります。また、トラスト・サービス応答は、要求で使用される仕様のレベルで判別されます。
- 仕様のスキーマについては、http://docs.oasis-open.org/ws-sx/ws-trust/200512 を参照してください。
- WS-Trust in the Web Services Trust Language (WS-Trust) 仕様 (2007 年 3 月) で使用される wst 名前空間の接頭部を参照してください。