WSDL のポリシーおよびバインディング表明の変換

Web Services Security は、OASIS WS-SecurityPolicy バージョン 1.2 の標準を完全にはサポートしません。ただし、WebSphere® Application Server でサポートされるポリシーおよびバインディング表明のいくつかを変換して WS-SecurityPolicy バージョン 1.2 表明として表すことができます。サポートされる表明は、Web Services Description Language (WSDL) または Web Services Metadata Exhange (WS-MEX) 要求がメッセージに入れて受け取られたとき、およびクライアントが WS-SecurityPolicy 1.2 表明を含むポリシーを受け取ったときに変換されます。

WebSphere Application Server が WSDL または WS-MEX 要求を受け取ると、いくつかのポリシーおよびバインディング表明が標準表明に変換され、WSDL に組み込まれるポリシーに含められます。また、クライアントがこれらの WS-SecurityPolicy 表明を含むポリシーを受け取ると、表明が製品固有の表明に戻され、Application Server のランタイムによって処理できるようになります。この変換により、Application Server と、WS-SecurityPolicy バージョン 1.2 標準をサポートするその他のシステムとの相互運用が可能になります。

WSDL または WS-MEX 要求で戻されるポリシーでは、以下の WS-SecurityPolicy 1.2 表明を表現することができます。

EncryptSignature
暗号化エレメントで XPath 式を使用して、製品内で表現されます。
EncryptBeforeSigning
バインディングのアウトバウンド・セクションにある encryptionInfo エレメントおよび signingInfo エレメントの順序属性により、変換が行われる順序、およびこの表明が設定されるかどうかが決まります。 デフォルトでは、暗号化の前に署名が行われます。
ContentEncryptedElements
暗号化されたエレメント内で、/node() で終わる XPath 式を使用して表現されます。 Application Server はこのポリシー表明を利用することができますが、/node() で終わる既存の XPath 式は変換されません。
KerberosToken
ポリシーおよびバインディング内でカスタム・トークンを使用して表現されます。Kerberos カスタム・トークン表明は、望ましい Kerberos トークン・タイプに応じて http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ または http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ というローカル名を指定します。 また、バインディング内には、Kerberos 用の派生鍵の使用を指定する、com.ibm.wsspi.wssecurity.krbtoken.requireDerivedKey というカスタム・プロパティーもあります。 カスタム・トークンのローカル名を、製品表現から得られる派生鍵カスタム・プロパティーとともに使用すると、等価なバージョン 1.2 表現を作成できます。
Require<variable>Reference (<variable> は KeyIdentifier、IssuerSerial、EmbeddedToken、または Thumbprint のいずれかです)
バインディング内で、keyInfo の型属性を使用して表現されます。
MustSupportRef<variable> (<variable> は KeyIdentifier、IssuerSerial、EmbeddedToken、または Thumbprint のいずれかです)
この表明は WebSphere Application Server ポリシーでは表現されませんが、この製品は 4 つのすべてのタイプの参照をサポートします。
SignatureConfirmation エレメントの保護
SignatureConfirmation エレメントは暗黙で署名され、暗号化されます。 ただし、応答で何も暗号化されていない場合、SignatureConfirmation エレメントは暗号化されず、応答で何も署名されない場合、SignatureConfirmation エレメントには署名が行われません。SignatureConfirmation エレメントの署名または暗号化を表すすべての XPath 式は、変換時にポリシーから除去されます。 Web Services Security バインディング内の explicitlyProtectSignatureConfirmation 属性は、応答メッセージでの SignatureConfirmation エレメントの暗黙的な署名および暗号化を使用不可にするために用意されています。 これにより、WebSphere Application Server バージョン 6.1.x との相互運用が可能になります。この属性を追加するには、デフォルト・ポリシー・セット・バインディングに関して「認証および保護 (Authentication and protection)」パネルで「署名確認のための暗黙的な保護を使用不可にする (Disable implicit protection for Signature Confirmation)」オプションにチェック・マークを付けてください。explicitlyProtectSignatureConfirmation 属性がバインディングに存在する場合には、SignatureConfirmation エレメントの署名または暗号化を表すすべての XPath 式は、変換中に変更されません。
SC13SecurityContextToken
Security Context Token のバージョン 1.3 は、セキュリティー・コンテキスト・トークンに関するバインディングでローカル名 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512 を指定することによってサポートされます。
RequireImpliedDerivedKeys
これは、トークン生成プログラム・バインディングにカスタム・プロパティー com.ibm.ws.wssecurity.token.generateImpliedDerivedKey を追加することによってサポートされます。
ExactlyOne
この表明は、呼び出し元が使用されるときに変換されます。呼び出し元は、どのトークンを認証に使用するのかを指定します。 ExactlyOne 表明は、サービスが予期する呼び出し元トークンと連絡を取ります。 すべての呼び出し元オプションは <ExactlyOne> 表明に組み込まれ、各オプションは <wsp:All> 表明に組み込まれています。この名前から予想されるように、クライアントは複数のトークン・タイプのうちの 1 つのみを送信します。 例えば、サーバー・サイド・バインディングでは、製品表現を使用して以下の呼び出し元オプションが指定されます。
 <caller order="1">
        <jAASConfig configName="system.wss.caller"/>
        <callerIdentity uri="" localName="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken"/>
 </caller>
 <caller order="2">
        <jAASConfig configName="system.wss.caller"/>
        <callerIdentity localName="LTPA" uri="http://www.ibm.com/websphere/appserver/tokentype/5.0.2" />
</caller>
この表明は、呼び出し元として UsernameToken トークンまたは LTPA トークンが使用されることを示しています。これら 2 つのタイプのトークンのいずれかを使用するための要件は、次の例で示すように、変換されたポリシーに組み込んでクライアントに伝えられます。
<sp:ExactlyOne>
<wsp:All> 
<sp:SupportingTokens>
   <wsp:Policy wsu:Id="request:token_auth">
     <sp:UsernameToken sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512/IncludeToken/AlwaysToRecipient">
       <wsp:Policy>
         <sp:WssUsernameToken10 />
       </wsp:Policy>
     </sp:UsernameToken>
 </wsp:Policy>
</sp:SupportingTokens>
</wsp:All>
<wsp:All> 
<sp:SupportingTokens>
<wsp:Policy wsu:Id="request:token_auth">
     <spe:LTPAToken sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512/IncludeToken/AlwaysToRecipient" />
</wsp:Policy>
 </sp:SupportingTokens>
<wsp:All>
</sp:ExactlyOne>

製品固有のポリシー表明 LTPAToken および LTPAPropagationToken は、変換時に変更されません。 これらの表明は、変換対象のポリシーに含まれる場合、WSDL 内の組み込みポリシーに含められます。 これにより、WebSphere Application Server クライアントおよび WebSphere Application Server サービス・プロバイダーが相互運用できるようになります。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_transformassertions
ファイル名:cwbs_transformassertions.html