Web サービスのための Kerberos メッセージ保護

メッセージ・レベルのセキュリティーは、Organization for the Advancement of Structured Information Standards (OASIS) の Web Services Security Kerberos Token Profile バージョン 1.1 仕様に基づいています。このトピックを参照して、Kerberos トークンで Web サービスのためにメッセージ保護がどのように実装されるのかについて、全般的に理解してください。

メッセージ保護

OASIS Web サービス Kerberos トークン・プロファイルが実装されているため、アプリケーション・サーバーは他の Web サービス・テクノロジーと相互作用することができます。この仕様は、Kerberos トークンを使用して SOAP メッセージをセキュアにするための標準を定義しています。ただし、このトークン・プロファイルでは、相互認証は定義されていません。 OASIS Web Services SOAP Message Security 仕様は、Kerberos トークンを使用および参照して署名と暗号化を行うことにより、SOAP メッセージをセキュアにする方法を説明しています。 具体的には、OASIS 仕様は、ラップまたはアンラップされた AP_REQ パケットである Kerberos トークンをエンコードして SOAP メッセージに添付する方法を定義しています。 OASIS Kerberos トークン・プロファイルで説明されているトークンは、AP_REQ パケットに限定されていて、サービス・チケットと認証子からなります。 AP_REQ パケットは、Key Distribution Center (KDC) から得られます。KDC は、第三者認証サービスの役割を果たしています。

OASIS Web Services Security Kerberos Token Profile 1.1 で定義されているように、Kerberos トークンには複数の形式があります。トークンのフォーマットを指定するには、@ValueType 属性が使用されます。 エレメントに以下のいずれかの <@ValueType> 属性を指定する必要があります。
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

これにより、GSS-API フレーム (ラップ) または未加工 (アンラップ) のいずれかの AP_REQ トークンが得られます。このトークンは Base-64 でエンコードされている必要があります。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_kerberosmsgprotect
ファイル名:cwbs_kerberosmsgprotect.html