Web Services Security のサポート

IBM® は Web Services Security をサポートします。これは IBM Web サービス・エンジンの拡張機能であり、これによって高品質のサービスが提供されます。WebSphere® Application Server セキュリティー・インフラストラクチャーは、Web Services Security と Java™ Platform, Enterprise Edition (Java EE) セキュリティー仕様を完全に統合します。

重要: バージョン 5.x とバージョン 6.0.x 以降のアプリケーションには重要な相違点があります。この情報は、WebSphere Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。 この情報はバージョン 6.0.x 以降のアプリケーションには適用されません。

WebSphere Application Server バージョン 4.x、5、および 5.0.1 では、Apache SOAP バージョン 2.x 用のデジタル署名がサポートされていますが、IBM は、WebSphere Application Server バージョン 5.0.2 以降で、Web Services Security をサポートしています。IBM 実装は、Web Services Security 仕様、Web Services Security (WS-Security) に基づいています。これは、IBM、Microsoft、および VeriSign により 2002 年 4 月に初めて提案されました。提案されたドラフト仕様の初期バージョンは Web Services Security (WS-Security) Version 1.0 05 April 2002 および Web Services Security Addendum 18 August 2002 内で検索できます。 WebSphere Application Server 実装は Organization for the Advancement of Structured Information Standards (OASIS) working Draft 13 仕様に基づいています。(最新の作業仕様については OASIS Web Services Security TC Web サイトを参照してください。)ただし、OASIS working Draft 13 仕様のすべてが実装されている わけではありません。

Web Services Security は、Pure Java クライアント、すなわち管理対象外クライアントではサポートされていません。ユーザー ID およびパスワードが要求メッセージに組み込まれると、 ユーザー ID およびパスワードを使用して認証が実行されます。認証が正常な場合、 ユーザー ID が設定され、この ID に基づいてさらにリソース・アクセスが許可されます。ユーザー ID およびパスワードが Web Services Security ランタイムにより認証されると、Java EE コンテナーは許可を実行します。

WebSphere Application Server は、以下の仕様に基づいて Web Services Security の主な機能を実装します。
以下の表に、WebSphere Application Server がサポートする Web Services Security の要素の要約を示します。
表 1. サポートされる Web Services Security のエレメント. この表を使用して、どのセキュリティー・エレメントがサポートされているかを判別してください。
エレメント Notes®
UsernameToken BasicAuth 認証メソッド用のユーザー名とパスワードと、 ID アサーション認証メソッド用のユーザー名の両方がサポートされています。WebSphere Application Server は、無作為に生成される値 nonce をサポートします。
BinarySecurityToken X.509 証明書および Lightweight Third Party Authentication (LTPA) を組み込むことができますが、Kerberos チケットを組み込む実装は ありません。ただし、バイナリー・トークンの生成および検証はプラグ可能であ り、JAAS (Java Authentication and Authorization Service) アプリケーション・プログラミング・インターフェース (API) に基づいています。この実装を拡張してその他のタイプのバイナリー・セキュリティー・トークンを 生成および検証できます。
シグニチャー X.509 証明書はバイナリー・セキュリティー・トークンとして組み込まれ、 SecurityTokenReference により参照することができます。 WebSphere Application Server は共有された、鍵ベースのシグニチャーをサポートしません。
暗号化 EncryptedKey XML タグと ReferenceList XML タグの両方が サポートされます。KeyIdentifier は公開鍵を指定し、KeyName は秘密鍵を 確認します。WebSphere Application Server には、認証済み ID を暗号化用鍵にマップする機能、または、署名者証明書を使用して応答メッセージを暗号化する機能があります。
タイム・スタンプ WebSphere Application Server は、Created および Expires 属性をサポートします。メッセージが事前定義の時刻制約に従うかどうかを示すメッセージの鮮度は、 メッセージ内に Expires 属性が存在している場合に限り検査されます。WebSphere Application Server は、補足で定義されている Received 属性をサポートしません。その代わりに、WebSphere Application Server は、 OASIS 仕様で定義されている TimestampTraceReceived 属性を使用します。
XML ベースのトークン XML トークンの任意のフォーマットをメッセージに挿入して検証できます。このフォーマット・メカニズムは、JAAS API に基づいています。
署名および暗号化接続は、WebSphere Application Server ではサポートされていません。ただし 、WebSphere Application Server は、要求メッセージの以下の要素については署名と暗号化を行います。
表 2. 要求メッセージの署名および暗号化される要素. これらの要素は、認証の実行に使用されます。
メソッド エレメント
XML デジタル署名
  • 本文
  • セキュリティー・トークン
  • タイム・スタンプ
XML 暗号化
  • Bodycontent
  • Usernametoken
AuthMethod
  • BasicAuth
  • IDAssertion (WebSphere Application Server から別の WebSphere Application Server へ)
  • シグニチャー
  • サーバー・サイドでの Lightweight Third Party Authentication (LTPA)
  • その他のカスタマー・トークン
WebSphere Application Server は、応答メッセージの以下の要素については署名と暗号化を行います。
表 3. 応答メッセージの署名および暗号化される要素. これらの要素は、認証の実行に使用されます。
メソッド エレメント
XML デジタル署名
  • 本文
  • タイム・スタンプ
XML 暗号化
  • Bodycontent
WebSphere Application Server は Web Services Security に以下の機能を提供します。
  • メッセージの保全性
  • メッセージの認証性
  • メッセージの機密性
  • メッセージのプライバシー
  • トランスポート・レベル・セキュリティー: Secure Sockets Layer (SSL) により提供されます。
  • セキュリティー・トークンの伝搬 (プラグ可能)
  • ID アサーション
以下の名前空間が、メッセージの送信に使用されます。
OASIS Web Services Security: SOAP Message Security Working Draft 13, May 2003
http://schemas.xmlsoap.org/ws/2003/06/secext

http://schemas.xmlsoap.org/ws/2003/06/utility

OASIS Web Services Security: SOAP Message Security 1.0 (WS-Security 2004)
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd

http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd

OASIS Web Services Security: SOAP Message Security 1.1 (WS-Security 2004)
http://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd

http://docs.oasis-open.org/wss/2004/01/oasis- 200401-wss-wssecurity-utility-1.0.xsd

表 4. 名前空間の要約. 以下の表に、メッセージの送受信に使用される名前空間を要約します。
ランタイム 送信 受信
JAX-RPC ドラフト 13 OASIS ドラフト 13 OASIS ドラフト 13
JAX-RPC OASIS wssec 1.0 OASIS wssec 1.0

OASIS ドラフト 13

JAX-WS OASIS wssec 1.1

OASIS wssec 1.0

OASIS wssec 1.1

OASIS wssec 1.0

OASIS draft13

WebSphere Application Server の Web サービス・セキュリティー・ランタイムは以下のどの名前空間も受け入れることができません。
April 2002 specification
http://schemas.xmlsoap.org/ws/2002/04/secext
August 2002 addendum
http://schemas.xmlsoap.org/ws/2002/07/secext

http://schemas.xmlsoap.org/ws/2002/07/utility

サポートされていない機能の説明については、『Web Services Security の要素』の表を参照してください。


トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_wssecurityws
ファイル名:rwbs_wssecurityws.html