WebSphere Application Server における Web Services Security モデル

WebSphere® Application Server が使用する Web Services Security モデルは、宣言モデルです。WebSphere Application Server には、Web Services Security とプログラマチックに対話を行うためのアプリケーション・プログラミング・インターフェース (API) は含まれていません。ただし、一部のセキュリティー関連の振る舞いを拡張するためのいくつかの サーバー・プロバイダー・インターフェース (SPI) は使用可能です。

重要: バージョン 5.x とバージョン 6 以降のアプリケーションには重要な相違点があります。 この情報は、WebSphere Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。 この情報は、バージョン 6 以降のアプリケーションには適用されません。
図 1. Web Services Security モデルWeb Services Security モデル
Web Services Security のセキュリティー制約は、Web サービスの IBM® デプロイメント記述子拡張に指定されています。Web Services Security ランタイムは、SOAP メッセージの Web Services Security を実行するための制約に従って処理を行います。IBM デプロイメント記述子拡張の有効範囲は、エンタープライズ Bean (EJB) または Web モジュール・レベルです。バインディングは、以下の各 IBM デプロイメント記述子拡張に関連付けられています。
クライアント (Java™ Platform, Enterprise Edition (Java EE) クライアント (アプリケーション・クライアント・コンテナー) またはクライアントとして機能する Web サービスのいずれか)
ibm-webservicesclient-ext.xmi
ibm-webservicesclient-bnd.xmi
サーバー
ibm-webservices-ext.xmi
ibm-webservices-bnd.xmi

IBM デプロイメント記述子拡張とバインディングを作成する場合は、 IBM が提供するアセンブリー・ツールを使用することをお勧めします。バインディングを作成した後、 管理コンソールまたはアセンブリー・ツールを使用してバインディングを指定できます。

重要: バインディング情報は、アプリケーションをデプロイしているときではなく、 アプリケーションをデプロイした後に収集されます。 別の方法として、アプリケーションをデプロイする前に必要なバインディング情報を指定することもできます。
図 2. Web Services Security メッセージの解釈Web Services Security メッセージの解釈
Web Services Security ランタイムは、デプロイメント記述子とバインディング・ファイル内の定義済みセキュリティー制約に基づいて、Web Services Security を施行します。Web Services Security には以下の 4 つのポイントがあります。Web Services Security は、これらのポイントでメッセージをインターセプトし、定義済みセキュリティー制約に従って処理を行います。
表 1. Web Services Security のメッセージ・ポイント. ポイントの説明では、Web Services Security ランタイム環境の動作の例を示します。
メッセージ・ポイント 説明
要求送信側 (ibm-webservicesclient-ext.xmi および ibm-webservicesclient-bnd.xmi ファイルで定義)
  • メッセージを送信する前に、 適切なセキュリティー制約 (署名または暗号化など) を SOAP メッセージに適用し、 タイム・スタンプまたは必要なセキュリティー・トークンを生成します。
要求受信側 (ibm-webservices-ext.xmi および ibm-webservices-bnd.xmi ファイルで定義)
  • Web Services Security 制約を満たしていることを確認します。
  • タイム・スタンプに基づいてメッセージの新鮮度を検査します。 メッセージの最新度によって、そのメッセージが事前定義された時間の制約に準拠しているかどうかが示されます。
  • 必要なシグニチャーを検査します。
  • メッセージが暗号化されていることを確認し、暗号化されている場合には暗号化解除します。
  • セキュリティー・トークンを検証し、 ダウンストリーム呼び出し用のセキュリティー・コンテキストをセットアップします。
応答送信側 (ibm-webservices-ext.xmi および ibm-webservices-bnd.xmi ファイルで定義)
  • メッセージへの署名、メッセージの暗号化、またはタイム・スタンプの生成と同じように、 適切なセキュリティー制約を SOAP メッセージの応答に適用します。
応答受信側 (ibm-webservicesclient-ext.xmi または ibm-webservicesclient-bnd.xmi ファイルに定義)
  • Web Services Security 制約を満たしていることを確認します。
  • タイム・スタンプに基づいてメッセージの新鮮度を検査します。 メッセージの最新度によって、そのメッセージが事前定義された時間の制約に準拠しているかどうかが示されます。
  • 必要なシグニチャーを検査します。
  • メッセージが暗号化されていることを確認し、暗号化されている場合には暗号化解除します。

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wssinwas
ファイル名:cwbs_wssinwas.html