WSS API を使用した Web Services Security の構成
Web Services Security アプリケーション・プログラミング・インターフェース (WSS API) は、SOAP メッセージの保護をサポートしています。
始める前に
Web Services Security は、 以下のプログラミング・モデルをサポートしています。
- Web Services Security で SOAP メッセージを保護するためのプログラミング API (WSS API)。
この API プログラミング・モデルは設計変更されています。新しい設計は インターフェース・ベースのプログラミング・モデルであり、Web Services Security バージョン 1.1 標準を 基にしていますが、SOAP メッセージ保護のための Web Services Security バージョン 1.0 も サポートしています。WSS API プログラミング・モデルの実装は簡素化されたバージョンで、これは Web Services Security 用の Java™ API バインディングを定義するための JSR である JSR-183 の初期ドラフト提案に基づいています。設計上、アプリケーション・コードはインターフェースに従ってプログラムされているため、オープン・ソース実装によりプログラムされたすべてのアプリケーション・コードは、最小の変更または全く変更なしで WebSphere® Application Server 上で実行できます。
- サービス・プロバイダーのサービス・プログラミング・インターフェース (SPI)。
同様に、Web Services Security ランタイム・トークンの生成とトークンを消費する SPI が再設計され、WSS API と SPI の両方で同じセキュリティー・トークン・インターフェースおよび JAAS ログイン・モジュール実装が使用できるようになりました。 サービス・プロバイダー用の WSS SPI はセキュリティー・トークン・タイプを拡張し、 署名用、シグニチャー検査用、暗号化および暗号化解除用の鍵と派生鍵を提供します。
このタスクについて
- セキュリティー・トークン・タイプと署名用の派生鍵
- シグニチャーおよび検証
- 暗号化と暗号化解除
次の図は、簡易 WSS API で XML デジタル署名や XML 暗号化を 使用して SOAP メッセージを保護する方法を示したものです。
Web サービスの構成モデルも、デプロイメント記述子モデルからポリシー・セット・モデルに再設計されています。構成プログラミング・モデルは、セキュリティー制約を指定するためにセキュリティー・ポリシーを使用して行う、ポリシー・セットの構成に基づいています。
ポリシー・セット構成により提供される機能は、Web Services Security ランタイムの WSS API によりサポートされている機能と同じです。ただし、 ポリシー・セットを使用して定義されるセキュリティー・ポリシーの方が WSS API よりも優先されます。アプリケーションで WSS API とポリシー・セットの両方が使用されている場合、 デフォルトの動作では、ポリシー・セットのセキュリティー・ポリシーが有効になり、 WSS API は無視されます。アプリケーションで WSS API を使用するには、 そのアプリケーションまたはアプリケーション・リソースにポリシー・セットが関連付けられていないこと、 あるいは関連付けられたポリシー・セットにセキュリティー・ポリシーが含まれていないことを 確認する必要があります。
Web Services Security を使用可能にするには、 管理コンソールから構成されるポリシー・セットを使用するか、 構成のために WSS API を使用します。
WSS API を使用する場合は、 以下のハイレベル手順に従って SOAP メッセージを保護します。
手順
タスクの結果
次のタスク
Web Services Security ランタイム・トークンの生成と、トークンを消費するサービス・プログラミング・インターフェース (SPI) が再設計され、WSS API と SPI の両方で同じセキュリティー・トークン・インターフェースおよび JAAS ログイン・モジュール実装が使用できるようになりました。詳しくは、SPI の情報を参照してください。