Web Services Security のサポート
IBM® は Web Services Security をサポートします。これは IBM Web サービス・エンジンの拡張機能であり、これによって高品質のサービスが提供されます。WebSphere® Application Server セキュリティー・インフラストラクチャーは、Web Services Security と Java™ Platform, Enterprise Edition (Java EE) セキュリティー仕様を完全に統合します。
WebSphere Application Server バージョン 4.x、5、および 5.0.1 では、Apache SOAP バージョン 2.x 用のデジタル署名がサポートされていますが、IBM は、WebSphere Application Server バージョン 5.0.2 以降で、Web Services Security をサポートしています。IBM 実装は、Web Services Security 仕様、Web Services Security (WS-Security) に基づいています。これは、IBM、Microsoft、および VeriSign により 2002 年 4 月に初めて提案されました。提案されたドラフト仕様の初期バージョンは Web Services Security (WS-Security) Version 1.0 05 April 2002 および Web Services Security Addendum 18 August 2002 内で検索できます。 WebSphere Application Server 実装は Organization for the Advancement of Structured Information Standards (OASIS) working Draft 13 仕様に基づいています。(最新の作業仕様については OASIS Web Services Security TC Web サイトを参照してください。)ただし、OASIS working Draft 13 仕様のすべてが実装されている わけではありません。
Web Services Security は、Pure Java クライアント、すなわち管理対象外クライアントではサポートされていません。ユーザー ID およびパスワードが要求メッセージに組み込まれると、 ユーザー ID およびパスワードを使用して認証が実行されます。認証が正常な場合、 ユーザー ID が設定され、この ID に基づいてさらにリソース・アクセスが許可されます。ユーザー ID およびパスワードが Web Services Security ランタイムにより認証されると、Java EE コンテナーは許可を実行します。
エレメント | Notes® |
---|---|
UsernameToken | BasicAuth 認証メソッド用のユーザー名とパスワードと、 ID アサーション認証メソッド用のユーザー名の両方がサポートされています。WebSphere Application Server は、無作為に生成される値 nonce をサポートします。 |
BinarySecurityToken | X.509 証明書および Lightweight Third Party Authentication (LTPA) を組み込むことができますが、Kerberos チケットを組み込む実装は ありません。ただし、バイナリー・トークンの生成および検証はプラグ可能であ り、JAAS (Java Authentication and Authorization Service) アプリケーション・プログラミング・インターフェース (API) に基づいています。この実装を拡張してその他のタイプのバイナリー・セキュリティー・トークンを 生成および検証できます。 |
シグニチャー | X.509 証明書はバイナリー・セキュリティー・トークンとして組み込まれ、 SecurityTokenReference により参照することができます。 WebSphere Application Server は共有された、鍵ベースのシグニチャーをサポートしません。 |
暗号化 | EncryptedKey XML タグと ReferenceList XML タグの両方が サポートされます。KeyIdentifier は公開鍵を指定し、KeyName は秘密鍵を 確認します。WebSphere Application Server には、認証済み ID を暗号化用鍵にマップする機能、または、署名者証明書を使用して応答メッセージを暗号化する機能があります。 |
タイム・スタンプ | WebSphere Application Server は、Created および Expires 属性をサポートします。メッセージが事前定義の時刻制約に従うかどうかを示すメッセージの鮮度は、 メッセージ内に Expires 属性が存在している場合に限り検査されます。WebSphere Application Server は、補足で定義されている Received 属性をサポートしません。その代わりに、WebSphere Application Server は、 OASIS 仕様で定義されている TimestampTraceReceived 属性を使用します。 |
XML ベースのトークン | XML トークンの任意のフォーマットをメッセージに挿入して検証できます。このフォーマット・メカニズムは、JAAS API に基づいています。 |
メソッド | エレメント |
---|---|
XML デジタル署名 |
|
XML 暗号化 |
|
AuthMethod |
|
メソッド | エレメント |
---|---|
XML デジタル署名 |
|
XML 暗号化 |
|
- メッセージの保全性
- メッセージの認証性
- メッセージの機密性
- メッセージのプライバシー
- トランスポート・レベル・セキュリティー: Secure Sockets Layer (SSL) により提供されます。
- セキュリティー・トークンの伝搬 (プラグ可能)
- ID アサーション
- OASIS Web Services Security: SOAP Message Security Working Draft 13, May 2003
- http://schemas.xmlsoap.org/ws/2003/06/secext
- OASIS Web Services Security: SOAP Message Security 1.0 (WS-Security 2004)
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd
- OASIS Web Services Security: SOAP Message Security 1.1 (WS-Security 2004)
- http://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd
http://docs.oasis-open.org/wss/2004/01/oasis- 200401-wss-wssecurity-utility-1.0.xsd
ランタイム | 送信 | 受信 |
---|---|---|
JAX-RPC ドラフト 13 | OASIS ドラフト 13 | OASIS ドラフト 13 |
JAX-RPC | OASIS wssec 1.0 | OASIS wssec 1.0 OASIS ドラフト 13 |
JAX-WS | OASIS wssec 1.1 OASIS wssec 1.0 |
OASIS wssec 1.1 OASIS wssec 1.0 OASIS draft13 |
- April 2002 specification
- http://schemas.xmlsoap.org/ws/2002/04/secext
- August 2002 addendum
- http://schemas.xmlsoap.org/ws/2002/07/secext
サポートされていない機能の説明については、『Web Services Security の要素』の表を参照してください。