Kerberos トークン
IBM® WebSphere® Application Server は、Web サービス・メッセージ・レベルのセキュリティーのための Kerberos トークン・サポートを提供しています。 このサポートは、Organization for the Advancement of Structured Information Standards (OASIS) の Web Services Security Kerberos Token Profile バージョン 1.1 に基づいています。このトピックを使用して、Web サービスに使用できる Kerberos サポートについて理解してください。
Kerberos Token Profile バージョン 1.1
Kerberos バージョン 5 は、セキュアなサード・パーティー認証メカニズムを提供する成熟したオープン・スタンダードです。OASIS Web Services SOAP Message Security 仕様は、SOAP メッセージ内の Kerberos トークンに言及しています。Web サービス・アプリケーションは、Kerberos トークンを使用して、より安全に ID を送信し、メッセージを保護できます。全体としては、Kerberos サポートには、Java™ Platform, Enterprise Edition (Java EE) セキュリティーにおける Kerberos サポート、および Web Services Security における Kerberos トークンのサポートが含まれます。 このトピックでは、Web Services Security における Kerberos トークンのみを取り上げます。
WebSphere Application Server バージョン 7.0 以降 では、Web Services Security によって Kerberos トークンがサポートされます。Kerberos トークンは、OASIS WS-Security Kerberos Token Profile バージョン 1.1 仕様に 基づいています。 Kerberos トークンは、Web サービス・メッセージ・レベルのセキュリティーのためのバイナリー・セキュリティー・トークンです。Web Services Security は、例えばセキュリティー・トークンの伝搬、メッセージ・シグニチャー、メッセージの暗号化などの SOAP メッセージ・レベルのセキュリティーを提供します。 Kerberos トークンは、特に Web サービス対応の SOAP メッセージ・セキュリティー仕様のメッセージ・セキュリティーに使用されて、ユーザー名トークンやセキュア会話トークンなど、サポートされている別のトークンになります。
詳しくは、Web Services Security Kerberos Token Profile バージョン 1.1 仕様を参照してください。この仕様では、Web Services Security で Kerberos セキュリティーを使用する方法、および署名と暗号化によって SOAP メッセージを保護するために Kerberos トークンを伝搬し、使用する方法について説明しています。
Kerberos トークン・プロファイルの使用可能化
WebSphere Application Server 構成モデルは、認証とメッセージ保護の Kerberos トークン・プロファイル構成に、以下のような既存のツールとフレームワークを利用しています。
- Java API for XML-Based Web Services (JAX-WS) アプリケーションに対して Kerberos トークン・プロファイルを使用可能にするためのポリシー・セットおよびバインディング構成
- JAX-RPC アプリケーション用に Kerberos トークン・プロファイルを使用可能にするためのデプロイメント記述子とバインディング構成
- JAX-WS アプリケーション用の Kerberos トークンを使用したトークン・プロファイルの使用可能化
- JAX-WS プログラミング・モデルを使用して Kerberos トークン・プロファイルを使用可能にするための最小のクライアント構成
JAX-WS クライアント・アプリケーションの場合は、設計によって Web セキュリティー用のアプリケーション・プログラミング・インターフェース (API) が更新され、OASIS トークン・プロファイルに基づく Kerberos トークンを使用した Web Services Security ポリシーが実施されます。ポリシー・セットを使用して Kerberos トークン・プロファイルを使用可能にするには、カスタム・トークンを使用して最初に Web ポリシーとバインディング・ファイルを確立する必要があります。詳しくは、『Web サービスの Kerberos 構成モデル』トピックを参照してください。
Kerberos サポート
- Web Services Security API を使用した、JAX-WS アプリケーション用クライアント・プログラミング・モデル。
- Web Services Enhancements (WSE) バージョン 3.5 と Windows Communication Foundation (WCF) バージョン 3.5 for Microsoft .NET とのインターオペラビリティー
- JAX-WS アプリケーション用の Web サービス・メッセージ・セキュリティー・トークンのリカバリー
- Kerberos トークン・プロファイルの使用可能化
- アプリケーション・サーバー用の基本セキュリティーとの統合
- クライアントおよびサービスのための Kerberos トークンの生成
- サービス時の Kerberos の消費
- JAX-WS アプリケーション用のクラスタリングと高可用性
- JAX-WS アプリケーション用の認証とメッセージ保護の Kerberos トークン・プロファイル構成
- 単一レルム内での、Microsoft または z/OS® OS オペレーティング・システムの鍵配布センター (KDC) のいずれかとの統合
- JAX-RPC アプリケーション用の認証の Kerberos トークン・プロファイル構成
- 鍵名の参照
- JAX-RPC アプリケーション用のセッション鍵を使用したメッセージ保護
- JAX-RPC アプリケーション用に派生された鍵を使用したメッセージ保護
- JAX-RPC アプリケーション用の SHA1 鍵の生成
- Kerberos 認証セキュリティー・メカニズムを使用して構成された JAX-RPC アプリケーションを使用している場合は、Kerberos 委任はサポートされません。
- JAX-WS アプリケーションが Web サービス Reliable Messaging で使用可能になっている場合、Kerberos トークンはリカバリー可能ではありません。