Web Services Security のハイレベル・アーキテクチャー
Web Services Security ポリシーは、JAX-RPC プログラミング・モデルを使用している場合は Web サービス・デプロイメント記述子の IBM® 拡張で指定され、JAX-WS プログラミング・モデルを使用している場合はポリシー・セットで指定されます。スタンドアロンの JAX-WS クライアント・アプリケーションでは、Web サービスのセキュリティー・ポリシーをプログラムで指定できます。 Web Services Security ポリシーをサポートするバインディング・データは、JAX-RPC およびJAX-WS の両プログラミング・モデルとも Web サービス・デプロイメント記述子の IBM 拡張に保管されます。Web Services Security ランタイムは、ポリシー文書またはアプリケーション・プログラムに指定されたセキュリティー・アサーションを強制します (この順序で)。

WebSphere Application Server は、Java Platform, Enterprise Edition (Java EE) バージョン 1.4 以降の Web サービス・デプロイメント・モデルを使用して、Web Services Security を実装します。デプロイメント・モデルの利点の 1 つは、アプリケーション・ビジネス・ロジックの外側で Web Services Security 要件を定義できることです。 ロールの分離により、アプリケーション開発者はビジネス・ロジックに焦点を合わせ、セキュリティー・エキスパートはセキュリティー要件を指定することができます。
以下の図は、WebSphere Application Server で Web サービスを保護するために使用される、ハイレベル・アーキテクチャー・モデルを示しています。

WSS API は、このセクション内で後に示すように、メッセージを保護するためにも使用することができます。

- 要求ジェネレーター
- このクライアント・サイドの構成は、発信 SOAP メッセージ要求のための Web Services Security 要件を定義します。 これらの要件には、デジタル署名を使用して、暗号化を取り込み、セキュリティー・トークンを付加する SOAP メッセージ要求の生成が含まれています。 WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 において、要求ジェネレーターは要求送信側 として知られています。
- 要求コンシューマー
- このサーバー・サイドの構成は、着信 SOAP メッセージ要求のための Web Services Security 要件を定義します。 これらの要件には、要求された保全パーツがデジタル署名されていることを検証すること、 そのデジタル署名を検証すること、要求された機密パーツが要求ジェネレーターで暗号化されていることを検証すること、 要求された機密パーツを暗号化解除すること、セキュリティー・トークンの妥当性検査を行うこと、 およびセキュリティー・コンテキストが適切な ID でセットアップされていることを検証することが含まれています。 WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 において、要求コンシューマーは要求受信側 として知られています。
- 応答ジェネレーター
- このサーバー・サイドの構成は、発信 SOAP メッセージ応答のための Web Services Security 要件を定義します。 これらの要件には、Web Services Security で SOAP メッセージ応答を生成すること、 デジタル署名を組み込むこと、および、必要ならばセキュリティー・トークンを暗号化し付加することが含まれています。 WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 において、応答ジェネレーターは応答送信側 として知られています。
- 応答コンシューマー
- このクライアント・サイドの構成は、着信 SOAP メッセージ応答のための Web Services Security 要件を定義します。 これらの要件には、保全パーツが署名されていてその署名が検証済みであることを検証すること、 要求された機密パーツが暗号化されていてそのパーツが暗号化解除されていることを検証すること、 およびセキュリティー・トークンを検証することが含まれています。 WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 において、応答コンシューマーは応答受信側 として知られています。
WebSphere Application Server には、セキュリティー・ポリシー・ネゴシエーションまたはクライアントとサーバー間の交換は組み込まれていません。このセキュリティー・ポリシー・ネゴシエーションは、WS-Policy、WS-PolicyAssertion、および WS-SecurityPolicy 仕様で定義されていますが、WebSphere Application Server ではサポートされていません。
- IBM アセンブリー・ツール
- IBM assembly ツールを使用して、Web Services Security デプロイメント記述子とバインディングを編集します。 このツールは、Web モジュールと Enterprise JavaBeans (EJB) モジュールをアセンブルする場合に使用します。詳しくは、アセンブリー・ツールに関する情報を参照してください。
- WebSphere Application Server 管理コンソール
- このツールを使用して、デプロイされたアプリケーションの Web Services Security バインディングを編集します。