トランスポート・レベルでの Web サービス・アプリケーションの保護

トランスポート・レベルのセキュリティーは既知のメカニズムで、多くの場合、HTTP インターネットおよびイントラネット通信を 保護するために使用されます。 トランスポート・レベル・セキュリティーを使用して Web サービス・メッセージを保護することができます。  トランスポート・レベル・セキュリティー機能は、メッセージ・レベル・セ キュリティー (WS-Security) により提供される機能や HTTP 基本認証により提供される機能とは独立しています。

始める前に

メッセージ・レベル・セキュリティー (WS-Security)、トランスポート・レベル・セキュリティー、またはその両方の組み合わせを使用できます。 以下の例は一般的な使用法のシナリオですが、考えられるすべてのシナリオを網羅してリストしてはいません。
  • Web サービス・アプリケーションにセキュリティーが必須である場合は、メッセージ・レベル・セキュリティーを使用します。 HTTP 基本認証は、ユーザー名とパスワードを使用して、保護されたエンドポイントに対してサービス・クライアント の認証を行います。基本認証は、SOAP メッセージを伝送する HTTP 要求内でエンコードされます。 アプリケーション・サーバーが HTTP 要求を受け取ると、 ユーザー名とパスワードが取り出され、そのサーバー固有の認証メカニズムを使用して検査されます。
    重要: メッセージ・レベルのセキュリティーを使用する場合で、デフォルトのアウトバウンド Secure Sockets Layer (SSL) ポートである 443 を使用しない場合は、ご使用の構成に対して、SSL の動的アウトバウンド・エンドポイントが適切に構成されていることを確認してください。
  • 基本認証を使用可能にするには、トランスポート・レベル・セキュリティーを使用します。トランスポート・レベル・セキュリティーは、メッセージ・レベル・セキュリティーとは独立して、使用可能または使用不可にすることができます。 トランスポート・レベル・セキュリティーは最小のセキュリティーを提供します。この構成は、Web サービスが別の Web サービスのクライアントになっている場合に使用されます。
  • 機密性と保全性のために SSL を使用し、認証のために HTTP 基本認証を使用します。
  • 機密性と保全性のために SSL を使用し、認証のために WS-Security を使用します。 例えば、ユーザー名トークンか LTPA トークンを認証に使用できます。
  • 機密性および保全性と認証の両方のために WS-Security を使用します。

このタスクについて

トランスポート・レベルのセキュリティーは、HTTP の下で実行される Secure Sockets Layer (SSL) または Transport Layer Security (TLS) を基にしています。最も良く使われるインターネット通信プロトコルの HTTP は、現在 Web サービスでも最も人気の高いプロ トコルでもあります。HTTP は、非セキュア・ネットワークを介して認証されていないピア間を、 すべての情報が平文で送信されるため、本質的に非セキュアなプロトコルです。 HTTP を保護するためには、トランスポート・レベル・セキュリティーを適用します。

トランスポート・レベル・セキュリティーを使用して Web サービス・メッセージを保護することができます。  ただし、トランスポート・レベル・セキュリティー機能は、WS-Security ま たは HTTP 基本認証に装備されている機能に依存することはありません。

SSL と TLS は、セキュアな HTTP 接続のための認証、データ保護、および暗号トークンのサポートなどのセキュリティー機能を提供します。 HTTPS で実行するには、 サービス・ポート・アドレスが https:// の形式でなければなりません。SOAP メッセージや HTTP 基本認証などのトランスポート・データの保全性と機密性 は、SSL と TLS を使用する際に確認されます。

[AIX Solaris HP-UX Linux Windows]Web サービス・アプリケーションは、 TLS 接続をよりセキュアにするために、連邦情報処理標準 (FIPS) 承認済みの暗号も使用することができます。

WebSphere® Application Server では、Java™ Secure Sockets Extension (JSSE) パッケージを使用して SSL および TLS がサポートされます。

この作業は、別の Web サービス・サーバーに対するクライアントとして機能する Web サービスに、 HTTP アウトバウンド・トランスポート・レベル・セキュリティーを構成する方法のうちの 1 つです。HTTP アウトバウンド・トランスポート・レベル・セキュリティーは、アセンブリー・ツールまたは Java プロパティーを使用して構成することもできます。 HTTP アウトバウンド・トランスポート・レベル・セキュリティーを構成しない場合、Web サービス・ランタイムは、有効な Secure Sockets Layer (SSL) 構成のために WebSphere 製品の Java Platform, Enterprise Edition (Java EE) セキュリティー・ランタイムに従います。 WebSphere 製品に Java EE セキュリティー・ランタイムの SSL 構成がない場合、Java Secure Socket Extension (JSSE) システム・プロパティーが使用されます。

Web サービス・アプリケーション用に追加の HTTP トランスポート・プロパティーを定義できます。追加プロパティーを使用して、HTTP アウトバウンド接続の接続プールの管理、HTTP メッセージのエンコードするコンテンツの構成、HTTP 永続接続の使用可能化、およびタイムアウト発生時の HTTP 要求の再送信を行います。

手順

  1. Web サービス・アプリケーションを開発して、アセンブルします。
    1. アセンブリー・ツールを使用して、アプリケーションの HTTP アウトバウンド・トランスポート・レベル・セキュリティーを構成およびアセンブルすることができます。
  2. アプリケーションをデプロイします。
    1. Web サービス・アプリケーションのデプロイについて詳しくは、 Web サービスのデプロイに関する説明を参照してください。
  3. アプリケーションのトランスポート・レベル・セキュリティーを構成します。
    1. 以下のいずれかの方法を使用して、HTTP アウトバウンド・トランスポート・レベル・セキュリティーを構成します。
      • 管理コンソールを使用して HTTP アウトバウンド・トランスポート・レベル・セキュリティーを構成します。
      • Java プロパティーを使用して HTTP アウトバウンド・トランスポート・レベル・セキュリティーを構成します。
  4. Web サービス・アプリケーションの追加 HTTP トランスポート・プロパティーを定義します。
    1. 以下のいずれかの方法を使用して、 追加の HTTP トランスポート・プロパティーを定義します。
      • 管理コンソールの JVM カスタム・プロパティー・パネルを使用して、追加の HTTP トランスポート・プロパティーを構成します。
      • アセンブリー・ツールを使用して、追加の HTTP トランスポート・プロパティーを構成します。

タスクの結果

これらのステップを完了すると、トランスポート・レベルで Web サービス・アプリケーションが保護されます。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_secwsaatl
ファイル名:twbs_secwsaatl.html