OASIS 仕様からサポートされた機能性

アプリケーション・サーバーは、Organization for the Advancement of Structured Information (OASIS) Web Services Security (WS-Security) 仕様をサポートしています。

WebSphere® Application Server は、以下の OASIS Web Services Security バージョン 1.0 仕様をサポートしています。
WebSphere Application Server バージョン 6.1 以降の Feature Pack for Web Services では、OASIS 標準のサポートが Web Services Security (WS-Security) 仕様およびトークンの最新バージョンに更新されています。Web Service Security バージョン 1.1 は、SOAP ヘッダーを暗号化する標準的な方法である署名に対してより優れたセキュリティー検証を提供し、Web Service Security バージョン 1.1 の機能を使用する一部のインターオペラビリティー・シナリオの要件を満たしています。
以下の標準は、WebSphere Application Server バージョン 7.0 以降でのみサポートされます。

WS-SecurityPolicy サポートは、アサーションが WSDL ファイルに組み込まれている Web サービス・メタデータ交換 (WS-MetadataExchange) シナリオでのみ使用できます。詳しくは、『WS-MetadataExchange 要求』を参照してください。

2007 年に、OASIS Web Services Secure Exchange Technical Committee (WS-SX) で、次の仕様が作成され、承認されました。これらの仕様の一部は、WebSphere Application Server バージョン 7 以降でサポートされています。

OASIS: Web Services Security SOAP Message Security 1.0 および 1.1

次の表は、WebSphere Application Server バージョン 6 以降でサポートされている、OASIS: Web Services Security: SOAP Message Security 1.0 および 1.1 の仕様の特徴を示しています。

表 1. WebSphere Application Server でサポートされている OASIS SOAP Message Security 標準の特徴. この表を使用して、どの OASIS 標準の特徴がサポートされているかを判別してください。
サポートされるトピック サポートされる特定の特徴
セキュリティー・ヘッダー
  • @S11 :actor (仲介ホストの場合)
  • @S11:mustUnderstand
  • @S12:mustUnderstand
  • @S12:role (S12 は、SOAP バージョン 1.2 を使用する場合の http://www.w3.org/2003/05/soap-envelope の名前空間接頭部)
セキュリティー・トークン
  • ユーザー名トークン (ユーザー名およびパスワード)
  • バイナリー・セキュリティー・トークン (X.509 および Lightweight Third Party Authentication (LTPA))
  • カスタム・トークン
    • その他のバイナリー・セキュリティー・トークン
    • XML トークン (XML token)
      注: WebSphere Application Server は実装を提供しませんが、プラグイン・ポイントで XML トークンを使用することができます。
トークン参照
  • 直接参照
  • 鍵 ID
  • 鍵名
  • 組み込み参照
シグニチャー シグニチャーの確認
署名アルゴリズム
  • ダイジェスト
    SHA1
    http://www.w3.org/2000/09/xmldsig#sha1
    SHA256
    http://www.w3.org/2001/04/xmlenc#sha256
    SHA512
    http://www.w3.org/2001/04/xmlenc#sha512
  • MAC
    HMAC-SHA1
    http://www.w3.org/2000/09/xmldsig#hmac-sha1
  • シグニチャー
    DSA および SHA1
    http://www.w3.org/2000/09/xmldsig#dsa-sha1

    ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、 このアルゴリズムを使用しないでください。

    RSA および SHA1
    http://www.w3.org/2000/09/xmldsig#rsa-sha1
  • 正規化
    Canonical XML (コメント付き)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
    Canonical XML (コメントなし)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    Exclusive XML canonicalization (コメント付き)
    http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    Exclusive XML canonicalization (コメントなし)
    http://www.w3.org/2001/10/xml-exc-c14n#
  • 変換
    STR transform (STR 変換)
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soapmessage- security-1.0#STR-Transform
    XPath
    http://www.w3.org/TR/1999/REC-xpath-19991116
    ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、 元の XPATH 変換を使用しないでください。
    注: SIGNATURE エレメントの ds:Reference からのタイプ ID の属性を持っていない SECURE_ENVELOPE のエレメントを参照する場合には、XPATH Filter 2.0 Transform (http://www.w3.org/2002/06/xmldsig-filter2) を使用する必要があります。
    Enveloped signature (エンベロープされたシグニチャー)
    http://www.w3.org/2000/09/xmldsig#enveloped-signature
    XPath Filter2
    http://www.w3.org/2002/06/xmldsig-filter2
    注: SIGNATURE エレメントの ds:Reference からの ID 属性タイプを持っていない SECURE_ENVELOPE のエレメントを参照する場合には、XPATH Filter 2.0 Transform (http://www.w3.org/2002/06/xmldsig-filter2) を使用する必要があります。
    暗号化解除変換
    http://www.w3.org/2002/07/decrypt#XML
シグニチャー署名パーツ (JAX-RPC のみ)
  • WebSphere Application Server キーワード:
    • SOAP メッセージ本文に署名する body
    • すべてのタイム・スタンプに署名する timestamp
    • すべてのセキュリティー・トークンに署名する securitytoken
    • 署名鍵に署名する dsigkey
    • 暗号鍵に署名する enckey
    • WS-Addressing 内の wsa :MessageID エレメントに署名する messageid。
    • WS-Addressing 内の wsa:To エレメントに署名する to。
    • WS-Addressing 内の wsa:Action エレメントに署名する action。
    • WS-Addressing 内の wsa:RelatesTo エレメントに署名する relatesto。

      wsa は、http://schemas.xmlsoap.org/ws/2004/08/addressing の名前空間プレフィックスです。

    • SOAP ヘッダーの WS-Context ヘッダーを指定する wscontext。
    • SOAP ヘッダーの <wsa:From> WS-Addressing From エレメントを指定する wsafrom。
    • SOAP ヘッダーの <wsa:ReplyTo> WS-Addressing ReplyTo エレメントを指定する wsareplyto。
    • SOAP ヘッダーの <wsa:FaultTo> WS-Addressing FaultTo エレメントを指定する wsafaultto。
    • SOAP ヘッダーのすべての WS-Addressing エレメントを指定する wsaall。
  • SOAP メッセージ内の XML エレメントを選択するための XPath 式。詳しくは、http://www.w3.org/TR/1999/REC-xpath-19991116 を参照してください。
署名メッセージ・パート (JAX-WS のみ)
  • Body (メッセージ本文に署名する body)
  • ヘッダー (メイン SOAP ヘッダー内の 1 つ以上の SOAP ヘッダーを署名)
  • SOAP メッセージ内の XML エレメントを選択するための XPath 式。
    • 詳しくは、http://www.w3.org/TR/1999/REC-xpath-19991116 を参照してください。
暗号化 EncryptedHeader エレメント
暗号化アルゴリズム
重要: お客様の国において、暗号ソフトウェアの輸入、所持、使用、または他国への再輸出が規制されている可能性があります。 無制限ポリシー・ファイルをダウンロードまたは使用する前に、お客様の国の法律、規制、暗号ソフトウェアの輸入、所持、使用、または他国への再輸出に関する方針を確認し、許可されているかどうかを判別してください。
  • データの暗号化
    • CBC の Triple-DES: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • CBC の AES128: http://www.w3.org/2001/04/xmlenc#aes128-cbc
    • CBC の AES192: http://www.w3.org/2001/04/xmlenc#aes192-cbc

      このアルゴリズムは、制限なしの JCE ポリシー・ファイルを要求します。 詳しくは、暗号化情報構成の設定: メッセージ・パーツにある鍵暗号化アルゴリズムの説明を参照してください。

      ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、 192 ビットのデータ暗号化アルゴリズムを使用しないでください。

    • CBC の AES256: http://www.w3.org/2001/04/xmlenc#aes256-cbc

      このアルゴリズムは、制限なしの JCE ポリシー・ファイルを要求します。 詳しくは、暗号化情報構成の設定: メッセージ・パーツにある鍵暗号化アルゴリズムの説明を参照してください。

  • 鍵の暗号化
    • 鍵のトランスポート (公開鍵暗号方式)
      • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p
        注:
        • Software Development Kit (SDK) バージョン 1.4 で実行する場合は、 サポートされる鍵トランスポート・アルゴリズムのリストに、このアルゴリズムは含まれていません。 SDK バージョン 1.5 で実行する場合、このアルゴリズムはサポートされる鍵トランスポート・アルゴリズムのリストに表示されます。
        • 連邦情報処理標準 (FIPS) 準拠の Java™ 暗号化エンジンを使用すると、このトランスポート・アルゴリズムはサポートされません。
      • RSA バージョン 1.5: http://www.w3.org/2001/04/xmlenc#rsa-1_5
    • 対称鍵ラップ (秘密鍵暗号方式)
      • Triple-DES 鍵ラップ: http://www.w3.org/2001/04/xmlenc#kw-tripledes
      • AES 鍵ラップ (aes128): http://www.w3.org/2001/04/xmlenc#kw-aes128
      • AES 鍵ラップ (aes192): http://www.w3.org/2001/04/xmlenc#kw-aes192

        このアルゴリズムは、制限なしの JCE ポリシー・ファイルを要求します。 詳しくは、暗号化情報構成の設定: メッセージ・パーツにある鍵暗号化アルゴリズムの説明を参照してください。

        ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、 192 ビットのデータ暗号化アルゴリズムを使用しないでください。

      • AES 鍵ラップ (aes256): http://www.w3.org/2001/04/xmlenc#kw-aes256

        このアルゴリズムは、制限なしの JCE ポリシー・ファイルを要求します。 詳しくは、暗号化情報構成の設定: メッセージ・パーツにある鍵暗号化アルゴリズムの説明を参照してください。

  • Manifests-xenc は、http://www.w3.org/TR/xmlenc-core の名前空間プレフィックスです。
    • xenc:ReferenceList
    • xenc:EncryptedKey

Advanced Encryption Standard (AES) は、Triple-DES (データ暗号化規格) を介した対称鍵暗号化のために、より強力でより優れたパフォーマンスを提供するように設計されています。 したがって、可能な場合は、対称鍵暗号化に AES を使用することをお勧めします。

暗号化メッセージ・パート (JAX-RPC のみ)
  • WebSphere Application Server キーワード
    • SOAP 本体の内容を暗号化するために使用される bodycontent
    • ユーザー名トークンを暗号化するために使用される usernametoken
    • デジタル署名のダイジェスト値を暗号化するために使用される digestvalue
    • デジタル署名全体を暗号化するために使用される signature
    • SOAP ヘッダーの WS-Context ヘッダー内のコンテンツを暗号化する wscontextcontent。
  • SOAP メッセージ内の XML エレメントを選択するための XPath 式
    • XML エレメント
    • XML エレメント・コンテント
暗号化メッセージ・パート (JAX-WS のみ)
  • 本文 (SOAP メッセージ本文の内容を暗号化)
  • ヘッダー (メイン SOAP ヘッダー内の 1 つ以上の SOAP ヘッダーを暗号化し、EncryptedHeader エレメントにする)
  • SOAP メッセージ内の XML エレメントを選択するための XPath 式
    • 詳しくは、http://www.w3.org/TR/1999/REC-xpath-19991116 を参照してください。
タイム・スタンプ
  • Web Services Security ヘッダー内
  • WebSphere Application Server が拡張されて、他のエレメントにタイム・スタンプを挿入することが可能になりました。 そのため、これらのエレメントの経過時間が判別できるようになりました。
エラー処理 SOAP 障害
  • 障害コードを持つ、新しい failure SOAP 障害
  • メッセージの有効期限が切れました」のテキストが追加されました

OASIS: Web Services Security UsernameToken Profile 1.0

次の表は、WebSphere Application Server でサポートされている、OASIS: Web Services Security Username Token Profile 1.0 仕様の特徴を示しています。

表 2. WebSphere Application Server でサポートされている OASIS Username Token Profile V1.0 標準の特徴. この表を使用して、どの OASIS 標準の特徴がサポートされているかを判別してください。
サポートされるトピック サポートされる特定の特徴
パスワード・タイプ テキスト
トークン参照 直接参照

OASIS: Web Services Security UsernameToken Profile 1.1

次の表は、WebSphere Application Server でサポートされている OASIS: Web Services Security Username Token Profile 1.1 仕様の特徴を示しています。Web Services Security UsernameToken Profile 1.0 で以前にサポートされていた項目はリストされていませんが、特に注意書きされていない限り、まだサポートされています。

表 3. WebSphere Application Server でサポートされている OASIS Username Token Profile V1.1 標準の特徴. この表を使用して、どの OASIS 標準の特徴がサポートされているかを判別してください。
サポートされるトピック サポートされる特定の特徴
パスワード・タイプ テキスト
トークン参照 直接参照

OASIS: Web Services Security X.509 Certificate Token Profile 1.0

次の表は、WebSphere Application Server バージョン 6 以降でサポートされている OASIS: Web Services Security X.509 Certificate Token Profile 仕様の特徴を示しています。

表 4. WebSphere Application Server でサポートされている OASIS X.509 Certificate Token V1.0 標準の特徴. この表を使用して、どの OASIS 標準の特徴がサポートされているかを判別してください。
サポートされるトピック サポートされる特定の特徴
トークン・タイプ
  • X.509 バージョン 3: 単一証明書

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509v3

  • X.509 バージョン 3: 証明書失効リスト (CRL) なしの X509PKIPathv1

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509PKIPathv1

  • X.509 バージョン 3: CRL 付きまたは CRL なしの PKCS7。
トークン参照
  • 鍵 ID – サブジェクト鍵 ID
  • 直接参照
  • カスタム参照 – 発行者名およびシリアル番号

OASIS: Web Services Security X.509 Certificate Token Profile 1.1

次の表は、WebSphere Application Server でサポートされている OASIS: Web Services Security X.509 Certificate Token Profile 1.1 仕様の特徴を示しています。Web Services Security X.509 Certificate Token Profile 1.0 で以前にサポートされていた項目はリストされていませんが、特に注意書きされていない限り、まだサポートされています。

表 5. WebSphere Application Server でサポートされている OASIS X.509 Certificate Token V1.1 標準の特徴. この表を使用して、どの OASIS 標準の特徴がサポートされているかを判別してください。
サポートされるトピック サポートされる特定の特徴
トークン・タイプ X.509 バージョン 1: 単一証明書
トークン参照 鍵 ID – サブジェクト鍵 ID
  • X.509v3 証明書のみを参照できます
  • <wsse:KeyIdentifier> エレメントの http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#ThumbprintSHA1 属性を使用して、特定の証明書の指紋を指定できます。

OASIS: Web Services Security Kerberos Token Profile 1.1

次の表は、WebSphere Application Server でサポートされている OASIS: Web Services Security Kerberos Token Profile 1.1 仕様の特徴を示しています。

表 6. WebSphere Application Server でサポートされている OASIS Kerberos Token Profile 標準の特徴. この表を使用して、どの OASIS 標準の特徴がサポートされているかを判別してください。
サポートされるトピック サポートされる特定の特徴
トークン・タイプ
  • GSS_API Kerberos v5 トークン

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ

  • RFC1510 による GSS_API Kerberos v5 トークン

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510

  • RFC4120 による GSS_API Kerberos v5 トークン

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

  • Kerberos v5 トークン

    http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerberosv5_AP_REQ

  • RFC1510 による Kerberos v5 トークン

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510

  • RFC4120 による Kerberos v5 トークン

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ412

トークン参照
  • セキュリティー・トークン参照
  • 初期の Kerberos v5 トークンがコンシュームされた後に使用される鍵 ID。
  • Kerberos キーに基づく派生鍵トークン

OASIS: Web Services Security WS-Secure Conversation ドラフトおよびバージョン 1.3

次の表は、WebSphere Application Server バージョン 6.1 以降の Feature Pack for Web Services でサポートされている OASIS: WS-SecureConversation 仕様の特徴を示しています。バージョン 1.3 の仕様は、 WebSphere Application Server バージョン 7.0 以降でサポートされています。

表 7. WebSphere Application Server で提供されている OASIS SecureConversation 標準の特徴. この表を使用して、どの OASIS 標準の特徴がサポートされているかを判別してください。
サポートされるトピック サポートされる特定の特徴
トークン・タイプ
  • Security Context Token ドラフト・バージョン: http://schemas.xmlsoap.org/ws/2005/02/sc/sct
  • Security Context Token バージョン 1.3: http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
トークン参照 直接参照
セキュリティー・コンテキストの確立 WebSphere Application Server に組み込まれているセキュリティー・トークン・サービスによって作成されたセキュリティー・コンテキスト・トークン。
コンテキストの更新 期限が切れそうなトークンの自動更新
コンテキストの取り消し 明示的な取り消し要求のサポート
派生鍵 以下の情報は、セキュリティー・コンテキストからの共有秘密鍵を使用して鍵を派生させる場合に使用します。
  • /wsc:DerivedKeyToken/wsse:SecurityTokenReference
  • /wsc:DerivedKeyToken/wsc:Label
  • /wsc:DerivedKeyToken/wsc:Nonce
  • /wsc:DerivedKeyToken/wsc:Length
エラー処理 SOAP 障害。以下のものが含まれます。
  • wsc:BadContextToken
  • wsc:UnsupportedContextToken
  • wsc:RenewNeeded
  • wsc:UnableToRenew

OASIS: Web Services Security WS-Trust バージョン 1.0 ドラフトおよびバージョン 1.3

次の表は、WebSphere Application Server バージョン 6.1 以降の Feature Pack for Web Services でサポートされている OASIS: Web Services Security: WS-Trust バージョン 1.0 ドラフトおよびバージョン 1.3 仕様の特徴を示しています。

表 8. WebSphere Application Server でサポートされている OASIS Trust V1.0 および V1.3 標準の特徴. この表を使用して、どの OASIS 標準の特徴がサポートされているかを判別してください。
サポートされるトピック サポートされる特定の特徴
名前空間 http://schemas.xmlsoap.org/ws/2005/02/trust
要求ヘッダー /wsa:Action
有効なオプションは以下のとおりです。
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Renew
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Validate
要求エレメントと属性

/wst:RequestSecurityToken

/wst:RequestSecurityToken/@Context

/wst:RequestSecurityToken/wst:RequestType
  • 有効なオプションは以下のとおりです。
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Issue
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Renew
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Cancel
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Validate
/wst:RequestSecurityToken/wst:TokenType
  • 有効なオプションは以下のとおりです。
    • http://schemas.xmlsoap.org/ws/2005/02/sc/sct の場合
      • /wst:RequestSecurityToken/wsp:AppliesTo
      • /wst:RequestSecurityToken/wst:Entropy
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Nonce の場合
      • /wst:RequestSecurityToken/wst:Lifetime
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
      • /wst:RequestSecurityToken/wst:KeySize
      • /wst:RequestSecurityToken/wst:KeyType
    • http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey の場合
      • /wst:RequestSecurityToken/wst:RenewTarget
      • /wst:RequestSecurityToken/wst:Renewing
      • /wst:RequestSecurityToken/wst:Renewing/@Allow
      • /wst:RequestSecurityToken/wst:Renewing/@OK
      • /wst:RequestSecurityToken/wst:CancelTarget
      • /wst:RequestSecurityToken/wst:ValidateTarget
      • /wst:RequestSecurityToken/wst:Issuer
応答ヘッダー /wsa:Action
有効なオプションは以下のとおりです。
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Renew
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Validate
応答エレメントと属性

/wst:RequestSecurityTokenResponse

/wst:RequestSecurityTokenResponse/@Context

/wst:RequestSecurityTokenResponse/wst:TokenType

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wsp:AppliesTo

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken

/wst:RequestSecurityTokenResponse/wst:Entropy

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type

/wst:RequestSecurityTokenResponse/wst:Lifetime

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey

/wst:RequestSecurityTokenResponse/wst:KeySize

/wst:RequestSecurityTokenResponse/wst:Renewing

/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow

/wst:RequestSecurityTokenResponse/wst:Renewing/@OK

/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled

/wst:RequestSecurityTokenResponse/wst:Status

/wst:RequestSecurityTokenResponse/wst:Status /wst:RequestSecurityTokenResponse/wst:Status/wst:Code
  • 有効な応答は以下のとおりです。
    • http://schemas.xmlsoap.org/ws/2005/02/trust/status/valid
    • http://schemas.xmlsoap.org/ws/2005/02/trust/status/invalid

/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason

エラー処理

wst:InvalidRequest

wst:FailedAuthentication

wst:RequestFailed

wst:InvalidSecurityToken

wst:AuthenticationBadElements

wst:BadRequest

wst:ExpiredData

wst:InvalidTimeRange

wst:InvalidScope

wst:RenewNeeded

wst:UnableToRenew

表 9. WebSphere Application Server でサポートされている OASIS Trust V1.3 標準の特徴. この表を使用して、どの OASIS 標準の特徴がサポートされているかを判別してください。
サポートされるトピック サポートされる特定の特徴
名前空間 http://docs.oasis-open.org/ws-sx/ws-trust/200512
要求ヘッダー /wsa:Action
有効なオプションは以下のとおりです。
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Renew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Validate
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
要求エレメントと属性

/wst:RequestSecurityToken

/wst:RequestSecurityToken/@Context

/wst:RequestSecurityToken/wst:RequestType
  • 有効なオプションは以下のとおりです。
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Renew
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Cancel
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Validate
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
/wst:RequestSecurityToken/wst:TokenType
  • 有効なオプションは以下のとおりです。
    • http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct の場合
      • /wst:RequestSecurityToken/wsp:AppliesTo
      • /wst:RequestSecurityToken/wst:Entropy
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Nonce の場合
      • /wst:RequestSecurityToken/wst:Lifetime
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
      • /wst:RequestSecurityToken/wst:KeySize
      • /wst:RequestSecurityToken/wst:KeyType
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey の場合
      • /wst:RequestSecurityToken/wst:RenewTarget
      • /wst:RequestSecurityToken/wst:Renewing
      • /wst:RequestSecurityToken/wst:Renewing/@Allow
      • /wst:RequestSecurityToken/wst:Renewing/@OK
      • /wst:RequestSecurityToken/wst:CancelTarget
      • /wst:RequestSecurityToken/wst:ValidateTarget
      • /wst:RequestSecurityToken/wst:Issuer
応答ヘッダー /wsa:Action
有効なオプションは以下のとおりです。
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/RenewFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/CancelFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/ValidateFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/IssueFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/CancelFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/RenewFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/ValidateFinal
応答エレメントと属性

/wst:RequestSecurityTokenResponse

/wst:RequestSecurityTokenResponse/@Context

/wst:RequestSecurityTokenResponse/wst:TokenType

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wsp:AppliesTo

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken

/wst:RequestSecurityTokenResponse/wst:Entropy

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type

/wst:RequestSecurityTokenResponse/wst:Lifetime

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey

/wst:RequestSecurityTokenResponse/wst:KeySize

/wst:RequestSecurityTokenResponse/wst:Renewing

/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow

/wst:RequestSecurityTokenResponse/wst:Renewing/@OK

/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled

/wst:RequestSecurityTokenResponse/wst:Status

/wst:RequestSecurityTokenResponse/wst:Status/wst:Code
  • 有効な応答は以下のとおりです。
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/valid
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/invalid

/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason

エラー処理

wst:InvalidRequest

wst:FailedAuthentication

wst:RequestFailed

wst:InvalidSecurityToken

wst:AuthenticationBadElements

wst:BadRequest

wst:ExpiredData

wst:InvalidTimeRange

wst:InvalidScope

wst:RenewNeeded

wst:UnableToRenew

WebSphere Application Server でサポートされていない機能

次のリストは、OASIS 仕様、OASIS ドラフト、およびその他の推奨でサポートされているが、WebSphere Application Server バージョン 6 以降ではサポートされていない機能を示しています。
  • Web Services Security SOAP Messages with Attachments (SwA) Profile 1.0
    注: JAX-WS プログラミング・モデルを使用する場合は、SOAP Message Transmission Optimization Mechanism (MTOM) 添付がサポートされています。 詳しくは、JAX-WS Web サービス用の MTOM の使用可能化のトピックを参照してください。
  • XrML トークン・プロファイル
  • XML エンベロープ・デジタル署名。
  • XML エンベロープ・デジタル暗号化。
  • 以下の WS-SecureConversation 機能は WebSphere Application Server ではサポートされていません。
    • セキュリティー・コンテキストを確立するための以下の 2 つの方法はサポートされていません。 1) 通信している通話者の一方により作成され、メッセージとともに伝搬されるセキュリティー・コンテキスト・トークン、および 2) ネゴシエーションまたは交換により作成されるセキュリティー・コンテキスト・トークン
    • SCT 伝搬
    • セキュリティー・コンテキストの変更
  • 以下のデジタル署名のための変換アルゴリズムはサポートされていません。
    • XSLT: http://www.w3.org/TR/1999/REC-xslt-19991116
    • SOAP メッセージ正規化

      空のヘッダーや mustUnderstand=false が除去されたヘッダー・エントリーなどについての情報は、SOAP Version 1.2 Message Normalization を参照してください。

    • 暗号化解除変換
  • 暗号化のための以下の鍵合意アルゴリズムは、サポートされていません。
  • XML 暗号化仕様のオプションである、暗号化のための以下の正規化アルゴリズムは、サポートされていません。
    • コメント付きの規範的 XML またはコメントなしの規範的 XML
    • コメント付きまたはコメントなしの排他的 XML 正規化
  • DSA デジタル署名はサポートされていません。
  • 事前に合意された対称鍵データの暗号化はサポートされていません。
  • デジタル署名の否認防止の監査はサポートされていません。
  • Username Token Profile 仕様の両方のバージョンで、ダイジェスト・パスワード・タイプはサポートされていません。
  • Username Token Version 1.1 Profile 仕様で、パスワードに基づく鍵の派生はサポートされていません。

WS-Trust バージョン 1.0 ドラフトおよびバージョン 1.3 のサポートされていない機能

次の表は、WebSphere Application Server バージョン 6.1 以降の Feature Pack for Web Services でサポートされていない OASIS: Web Services Security: WS-Trust バージョン 1.0 ドラフトおよび 1.3 仕様の特徴を示しています。

表 10. WebSphere Application Server でサポートされていない OASIS Trust V1.0 および V1.3 標準の特徴. 以下の表を使用して、どの OASIS 標準の特徴がサポートされていないかを判別してください。
サポートされていないトピック サポートされていない特定の特徴
エレメントと属性

/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type

サポートされていない要求オプション
  • http://schemas.xmlsoap.org/ws/2005/02/trust/AsymmetricKey および http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey の場合
    • /wst:RequestSecurityToken/wst:Claims
    • /wst:RequestSecurityToken/wst:AllowPostdating
    • /wst:RequestSecurityToken/wst:OnBehalfOf
    • /wst:RequestSecurityToken/wst:AuthenticationType
    • /wst:RequestSecurityToken/wst:KeyType
  • http://schemas.xmlsoap.org/ws/2005/02/trust/PublicKey の場合
    • /wst:RequestSecurityToken/wst:SignatureAlgorithm
    • /wst:RequestSecurityToken/wst:EncryptionAlgorithm
    • /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
    • /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
    • /wst:RequestSecurityToken/wst:Encryption
    • /wst:RequestSecurityToken/wst:ProofEncryption
    • /wst:RequestSecurityToken/wst:UseKey
    • /wst:RequestSecurityToken/wst:UseKey/@Sig
    • /wst:RequestSecurityToken/wst:SignWith
    • /wst:RequestSecurityToken/wst:EncryptWith
    • /wst:RequestSecurityToken/wst:DelegateTo
    • /wst:RequestSecurityToken/wst:Forwardable
    • /wst:RequestSecurityToken/wst:Delegatable
    • /wst:RequestSecurityToken/wsp:Policy
    • /wst:RequestSecurityToken/wsp:PolicyReference
応答エレメントと属性

/wst:RequestSecurityTokenResponseCollection

/wst:RequestSecurityTokenResponseCollection/wst:RequestSecurityTokenResponse

表 11. WebSphere Application Server でサポートされていない OASIS Trust V1.3 標準の特徴. 以下の表を使用して、どの OASIS 標準の特徴がサポートされていないかを判別してください。
サポートされていないトピック サポートされていない特定の特徴
エレメントと属性

/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type

サポートされていない要求オプション
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/AsymmetricKey および http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey の場合
    • /wst:RequestSecurityToken/wst:Claims
    • /wst:RequestSecurityToken/wst:AllowPostdating
    • /wst:RequestSecurityToken/wst:OnBehalfOf
    • /wst:RequestSecurityToken/wst:AuthenticationType
    • /wst:RequestSecurityToken/wst:KeyType
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/PublicKey および http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer の場合
    • /wst:RequestSecurityToken/wst:SignatureAlgorithm
    • /wst:RequestSecurityToken/wst:EncryptionAlgorithm
    • /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
    • /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
    • /wst:RequestSecurityToken/wst:Encryption
    • /wst:RequestSecurityToken/wst:ProofEncryption
    • /wst:RequestSecurityToken/wst:UseKey
    • /wst:RequestSecurityToken/wst:UseKey/@Sig
    • /wst:RequestSecurityToken/wst:SignWith
    • /wst:RequestSecurityToken/wst:EncryptWith
    • /wst:RequestSecurityToken/wst:DelegateTo
    • /wst:RequestSecurityToken/wst:Forwardable
    • /wst:RequestSecurityToken/wst:Delegatable
    • /wst:RequestSecurityToken/wsp:Policy
    • /wst:RequestSecurityToken/wsp:PolicyReference
応答ヘッダー

/wsa:Action

サポートされていない応答:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Renew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Validate

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_supportfunction
ファイル名:cwbs_supportfunction.html