Web サービス・ポリシー・セット
ポリシー・セットとは、サービスが定義される方法についての表明です。ポリシー・セットは、Web サービスについて、サービスの品質の構成を簡素化するために使用されます。
ポリシー・セットは、WS-Addressing、WS-ReliableMessaging、および WS-Security などのトランスポート・レベルおよびメッセージ・レベルの構成用を含む、複数の構成設定を組み合わせたものです。
ポリシー・セットには、アプリケーション・ポリシー・セットとシステム・ポリシー・セットの 2 つの主なタイプがあります。 アプリケーション・ポリシー・セットは、ビジネス関連のアサーションに使用されます。 これらのアサーションは、Web サービス記述言語 (WSDL) ファイルに定義されるビジネス・オペレーションに関連します。一方、システム・ポリシー・セットは、ビジネスに関連しないシステム・メッセージに使用されます。これらのメッセージは、WSDL で定義されたビジネス・オペレーションには関連しませんが、その代わりに、サービスの品質 (QoS) を適用するその他の仕様で定義されるメッセージを表します。このサービスの品質は、WS-Trust で定義される要求セキュリティー・トークン (RST) メッセージとして、または、WS-MetadataExchange の WS-Reliable メッセージング・メタデータ交換メッセージで定義されるシーケンス・メッセージとして示されます。
ポリシーはサービスの品質に基づいて定義されます。ポリシー定義は一般に WS-Policy 標準言語に基づいています。例えば、WS-Security ポリシーは Organization for the Advancement of Structured Information Standards (OASIS) 標準の現行の WS-SecurityPolicy に基づいています。
ポリシー・セットのインスタンスは、ポリシーの集合で構成されます。例えば、WS-I RSP デフォルト・ポリシー・セットは WS-Security、WS-Addressing、および WS-ReliableMessaging の各ポリシー・タイプのインスタンスで構成されます。ポリシー・セットは、セル内で一意的な、固有の名前により識別されます。 空のポリシー・セットは、定義されているポリシーがないポリシー・セットです。
- 作成
- コピー
- 編集
- delete
- アプリケーションのようなサービス・リソースの付加
- アプリケーションのようなサービス・リソースの切り離し
- export
- インポート
アプリケーション・サーバー上で、ポリシー・セットはセル・レベルで保管されます。ポリシー・セットは中心にあるため、サーバー上のすべてのアプリケーションで使用できます。
デフォルトで、ベースまたは Network Deployment (ND) プロファイルにインストールされるアプリケーション・ポリシー・セットには、WS-I RSP または WS-I RSP (ND)、ユーザー名 WSSecurity デフォルト、および WSHTTPS デフォルトがあります。 WS-I RSP (ND) は Network Deployment 環境にインストールされます。
- LTPA WSSecurity デフォルト
- Kerberos V5 HTTPS デフォルト
- SSL WSTransaction
- ユーザー名 SecureConversation
- ユーザー名 WSSecurity デフォルト
- WS-Addressing デフォルト
- WSHTTPS デフォルト
- WS-I RSP ND
- WS-ReliableMessaging パーシスタント
アプリケーション・サーバーには、ユーザーが使用またはカスタマイズできる上記以外のデフォルト・ポリシー・セットも用意されています。 追加のポリシー・セットを使用する場合は、デフォルト・リポジトリーからインポートする必要があります。 詳しくは、管理コンソールからポリシー・セットをインポートする方法を参照してください。
- WS-I RSP デフォルト
- このポリシー・セットは以下の機能を提供します。
- WS-ReliableMessaging を使用可能にすることによる、意図した受信者への高信頼性メッセージの配信。
- WS-SecureConversation および WS-Security 仕様を使用した、本文、タイム・スタンプ、WS-Addressing ヘッダーおよび WS-ReliableMessaging ヘッダーへの署名を含む、デジタル署名によるメッセージの保全性。
- WS-SecureConversation および WS-Security 仕様を使用した、本文、シグニチャー・エレメントの暗号化を含む、暗号化による機密性。
- LTPA WS-I RSP デフォルト
- このポリシー・セットは以下の機能を提供します。
- WS-ReliableMessaging を使用可能にすることによる、意図した受信者への高信頼性メッセージの配信。
- WS-SecureConversation および WS-Security 仕様を使用した、本文、タイム・スタンプ、WS-Addressing ヘッダーおよび WS-ReliableMessaging ヘッダーへの署名を含む、デジタル署名によるメッセージの保全性。
- WS-SecureConversation および WS-Security 仕様を使用した、本文、シグニチャー・エレメントの暗号化を含む、暗号化による機密性。
- クライアントをサービスに対して認証するための要求メッセージに含まれる、Lightweight Third Party Authentication (LTPA) トークン。
- ユーザー名 WS-I RSP デフォルト
- このポリシー・セットは以下の機能を提供します。
- WS-ReliableMessaging を使用可能にすることによる、意図した受信者への高信頼性メッセージの配信。
- WS-SecureConversation および WS-Security 仕様を使用した、本文、タイム・スタンプ、WS-Addressing ヘッダーおよび WS-ReliableMessaging ヘッダーへの署名を含む、デジタル署名によるメッセージの保全性。
- WS-SecureConversation および WS-Security 仕様を使用した、本文、シグニチャー・エレメントの暗号化を含む、暗号化による機密性。
- クライアントをサービスに対して認証するための要求メッセージに含まれるユーザー名トークン。 ユーザー名トークンは要求では暗号化されます。
- SecureConversation
- このポリシー・セットは以下の機能を提供します。
- WS-SecureConversation および WS-Security 仕様を使用した本文、タイム・スタンプ、および WS-Addressing ヘッダーへの署名を含む、デジタル署名によるメッセージの保全性。
- WS-SecureConversation および WS-Security 仕様を使用した本文、シグニチャー、およびシグニチャーの確認エレメントの暗号化を含む、暗号化によるメッセージの機密性。
- LTPA SecureConversation
- このポリシー・セットは以下の機能を提供します。
- WS-SecureConversation および WS-Security 仕様を使用した本文、タイム・スタンプ、および WS-Addressing ヘッダーへの署名を含む、デジタル署名によるメッセージの保全性。
- WS-SecureConversation および WS-Security 仕様を使用した本文、シグニチャー、およびシグニチャーの確認エレメントの暗号化を含む、暗号化によるメッセージの機密性。
- クライアントをサービスに対して認証するための要求メッセージに含まれる、Lightweight Third Party Authentication (LTPA) トークン。
- ユーザー名 SecureConversation
- このポリシー・セットは以下の機能を提供します。
- WS-SecureConversation および WS-Security 仕様を使用した本文、タイム・スタンプ、および WS-Addressing ヘッダーへの署名を含む、デジタル署名によるメッセージの保全性。
- WS-SecureConversation および WS-Security 仕様を使用した本文、シグニチャー、およびシグニチャーの確認エレメントの暗号化を含む、暗号化によるメッセージの機密性。
- クライアントをサービスに対して認証するための要求メッセージに含まれるユーザー名トークン。 ユーザー名トークンは要求では暗号化されます。
- WSAddressing デフォルト
- WS-Addressing サポートを使用可能にします。これは、エンドポイント参照とメッセージ・アドレッシング・プロパティーを使用して、標準的および相互運用可能な方法で Web サービスのアドレス指定を容易にします。
- WSHTTPS デフォルト
- Web サービス・アプリケーションに対して、HTTP プロトコル用の SSL トランスポート・セキュリティーを提供します。
- Kerberos V5 HTTPS デフォルト
- このポリシー・セットでは、Kerberos
バージョン 5 トークンを使用したメッセージ認証を提供します。Secure Sockets Layer (SSL) トランスポート・セキュリティーにより、メッセージの保全性と機密性が提供されます。 このポリシー・セットは、OASIS Kerberos Token Profile V1.1 仕様および WS-Security 仕様に準拠しています。
このポリシー・セットを使用する場合は、基本認証データ、および com.ibm.wsspi.wssecurity.krbtoken.targetServiceName や com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost などのカスタム・プロパティーをクライアント・バインディングで構成します。 詳しくは、『認証ジェネレーターまたはコンシューマーのトークン設定』および『保護トークンの設定 (ジェネレーターまたはコンシューマー)』の各トピックを参照してください。
- Kerberos V5 SecureConversation
- このポリシー・セットでは、本文、タイム・スタンプおよび WS-Addressing ヘッダーをデジタル署名することにより、メッセージの保全性を提供します。 メッセージの機密性は、本文と署名を暗号化することで守られます。ブートストラップ・ポリシーは、Kerberos V5 トークンを使用して構成されます。このポリシー・セットは、WS-SecureConversation、OASIS specification for the Kerberos Token
Profile、および WS-Security 仕様に準拠しています。
このポリシー・セットを使用する場合は、アプリケーション用のクライアント・サンプル V2 汎用サンプル・バインディングおよびプロバイダー・サンプル V2 汎用サンプル・バインディングを使用する必要もあります。 詳しくは、『JAX-WS アプリケーションの汎用サンプル・バインディング (General sample bindings for JAX-WS applications)』トピックを参照してください。この新しいポリシー・セットを使用するには、製品をインストールした後に新しいプロファイルを作成します。
この新しいポリシー・セット、および汎用バインディングとしてクライアント・サンプル V2 汎用サンプル・バインディングとプロバイダー・サンプル V2 汎用サンプル・バインディングを使用して既存のプロファイルを更新するには、いくつかの手順を手動で実行する必要があります。その場合、デプロイメント・マネージャー・プロファイルとスタンドアロン・アプリケーション・サーバー・プロファイルの更新のみを行ってください。 既存プロファイルの手順を手動で行う場合は、『Kerberos ポリシー・セットおよび V2 汎用サンプル・バインディング (Configuring Kerberos policy sets and V2 general sample bindings)』トピックを参照してください。
- Kerberos V5 WSSecurity デフォルト
- このポリシー・セットでは、本文、タイム・スタンプおよび WS-Addressing ヘッダーをデジタル署名することにより、メッセージの保全性を提供します。 メッセージの機密性は、Advanced Encryption Standard (AES) 暗号を使用して本文と署名を暗号化することで守られます。Kerberos
V5 トークンからの派生鍵が使用されます。 このポリシー・セットは、OASIS specification
for the Kerberos Token Profile および WS-Security 仕様に準拠しています。
このポリシー・セットを使用する場合は、アプリケーション用のクライアント・サンプル V2 汎用サンプル・バインディングおよびプロバイダー・サンプル V2 汎用サンプル・バインディングを使用する必要もあります。詳しくは、『JAX-WS アプリケーションの汎用サンプル・バインディング (General sample bindings for JAX-WS applications)』トピックを参照してください。この新しいポリシー・セットを使用するには、製品をインストールした後に新しいプロファイルを作成します。
この新しいポリシー・セット、および汎用バインディングとしてクライアント・サンプル V2 汎用サンプル・バインディングとプロバイダー・サンプル V2 汎用サンプル・バインディングを使用して既存のプロファイルを更新するには、いくつかの手順を手動で実行する必要があります。その場合、デプロイメント・マネージャー・プロファイルとスタンドアロン・アプリケーション・サーバー・プロファイルの更新のみを行ってください。 既存プロファイルの手順を手動で行う場合は、『Kerberos ポリシー・セットおよび V2 汎用サンプル・バインディング (Configuring Kerberos policy sets and V2 general sample bindings)』トピックを参照してください。
- TrustServiceKerberosDefault
- このポリシー・セットは、メッセージのセキュリティーを提供する対称アルゴリズムと派生鍵を指定します。
HMAC-SHA1 アルゴリズムを使用して、本文、タイム・スタンプ、WS-Addressing ヘッダーをデジタル署名することにより、メッセージの保全性を保ちます。
メッセージの機密性は、Advanced Encryption Standard (AES) を使用して本文と署名を暗号化することで守られます。このポリシー・セットは、トラスト操作要求の実行と更新について、WS-Security
および Secure Conversation の仕様に準じます。
このポリシー・セットを使用する場合は、アプリケーション用のクライアント・サンプル V2 汎用サンプル・バインディングおよびプロバイダー・サンプル V2 汎用サンプル・バインディングを使用する必要もあります。詳しくは、『JAX-WS アプリケーションの汎用サンプル・バインディング (General sample bindings for JAX-WS applications)』トピックを参照してください。この新しいポリシー・セットを使用するには、製品をインストールした後に新しいプロファイルを作成します。
この新しいポリシー・セット、および汎用バインディングとしてクライアント・サンプル V2 汎用サンプル・バインディングとプロバイダー・サンプル V2 汎用サンプル・バインディングを使用して既存のプロファイルを更新するには、いくつかの手順を手動で実行する必要があります。 その場合、デプロイメント・マネージャー・プロファイルとスタンドアロン・アプリケーション・サーバー・プロファイルの更新のみを行ってください。既存プロファイルの手順を手動で行う場合は、『Kerberos ポリシー・セットおよび V2 汎用サンプル・バインディング (Configuring Kerberos policy sets and V2 general sample bindings)』トピックを参照してください。
- WSReliableMessaging デフォルト
- このポリシー・セットは WS-ReliableMessaging バージョン 1.1 および WS-Addressing の両方を使用可能にし、最低限のサービスの品質である「管理対象外の非パーシスタント」を使用します。 このサービス品質は、最低限の構成で実現できます。ただし、これは非トランザクションであり、ネットワークで失われたメッセージの再送信を可能にしていても、 サーバーが使用不可になるとメッセージが失われることになります。 このサービス品質は単一サーバー専用であり、クラスターでは機能しません。 In-order 配信が「false」に設定されていると、 メッセージは必ずしも送信された順序で配信されるとは限りません。
- WSReliableMessaging パーシスタント
- このポリシー・セットは WS-ReliableMessaging および WS-Addressing の両方を使用可能にし、最大のサービスの品質である「管理対象パーシスタント」を使用します。このサービスの品質は非同期 Web サービス呼び出しをサポートし、サービス統合メッセージング・エンジンとメッセージ・ストアを使用してシーケンスの状態の管理を行います。 トランザクション内で処理されるメッセージは、Web サービス要求元サーバーおよび Web サービス・プロバイダー・ サーバーで保持され、サーバー障害が起こった際にリカバリーが可能です。 In-order 配信が「false」に設定されていると、 メッセージは必ずしも送信された順序で配信されるとは限りません。
- このポリシー・セットは管理対象のパーシスタントのサービス品質を指定するため、WS-ReliableMessaging 状態の管理に使用するサービス統合バスとメッセージング・エンジンへのバインディングを定義する必要があります。管理コンソールまたは wsadmin ツールを使用して、WS-ReliableMessaging ポリシー・セットを Web サービス・アプリケーションに関連付けおよびバインドすることができます。
- WSReliableMessaging 1_0
- このポリシー・セットは WS-ReliableMessaging バージョン 1.0 および WS-Addressing の両方を使用可能にし、最低限のサービスの品質である「管理対象外の非パーシスタント」を使用します。このサービス品質は、最低限の構成で実現できます。ただし、これは非トランザクションであり、ネットワークで失われたメッセージの再送信を可能にしていても、 サーバーが使用不可になるとメッセージが失われることになります。 このサービス品質は単一サーバー専用であり、クラスターでは機能しません。 In-order 配信が「false」に設定されていると、 メッセージは必ずしも送信された順序で配信されるとは限りません。
- このポリシー・セットは .NET-based Web サービスで使用できます。
- WSSecurity デフォルト
- このポリシー・セットは以下の機能を提供します。
- WS-Security 仕様を使用して、本文、タイム・スタンプ、および WS-Addressing ヘッダーへ署名するための、デジタル署名 (RSA 公開鍵暗号化方式を使用) によるメッセージの保全性。
- WS-Security 仕様を使用して、本文、シグニチャー、およびシグニチャー・エレメントを暗号化するための、暗号化 (RSA 公開鍵暗号方式を使用) によるメッセージの機密性。
- LTPA WSSecurity デフォルト
- このポリシー・セットは以下の機能を提供します。
- WS-Security 仕様を使用して、本文、タイム・スタンプ、および WS-Addressing ヘッダーへ署名するための、デジタル署名 (RSA 公開鍵暗号化方式を使用) によるメッセージの保全性。
- WS-Security 仕様を使用して、本文、シグニチャー、およびシグニチャー・エレメントを暗号化するための、暗号化 (RSA 公開鍵暗号方式を使用) によるメッセージの機密性。
- クライアントをサービスに対して認証するための要求メッセージに含まれる Lightweight Third Party Authentication (LTPA) トークン。
- ユーザー名 WSSecurity デフォルト
- このポリシー・セットは以下の機能を提供します。
- WS-Security 仕様を使用して、本文、タイム・スタンプ、および WS-Addressing ヘッダーへ署名するための、デジタル署名 (RSA 公開鍵暗号化方式を使用) によるメッセージの保全性。
- WS-Security 仕様を使用して、本文、シグニチャー、およびシグニチャー・エレメントを暗号化するための、暗号化 (RSA 公開鍵暗号方式を使用) によるメッセージの機密性。
- クライアントをサービスに対して認証するための要求メッセージに含まれるユーザー名トークン。 ユーザー名トークンは要求では暗号化されます。
- WSTransaction
- このポリシー・セットは、以下の機能を提供する WS-Transaction を使用可能にします。
- WS-AtomicTransaction 仕様を使用して、分散トランザクション作業をアトミックに相互操作で調整する機能。
- 異機種の Web サービス環境全体に分散する疎結合ビジネス・プロセスを調整する機能。 ビジネス・アクティビティーで障害が発生した場合に、WS-BusinessActivity 仕様を使用して、アクションを補正する機能を備えています。
- SSL WSTransaction
- このポリシー・セットは、以下の機能を提供する WS-Transaction を使用可能にします。
- WS-AtomicTransaction 仕様と SSL トランスポート・セキュリティーを使用して、分散トランザクション作業をアトミックに相互操作で安全に調整する機能。
- 疎結合ビジネス・プロセスを調整する機能。ビジネス・アクティビティーで障害が発生した場合に、WS-BusinessActivity 仕様と SSL トランスポート・セキュリティーを使用して、安全にアクションを補正する機能を備えています。
ポリシー・セットには、署名用の鍵、鍵ストア情報、またはパーシスタント・ストア情報などの環境またはプラットフォーム固有の情報は含まれません。 このタイプの情報はバインディングで定義されます。ポリシー・セット関連付けは、ポリシー・セットがサービス・リソースおよびバインディングに接続される方法を定義します。 接続の定義はポリシー・セットの定義の外部にあり、アプリケーション・データと関連付けられたメタデータとして定義されます。
バインディングは環境およびプラットフォーム固有の情報で構成されます。 グローバル・セキュリティー・ドメインに対するサービス・クライアント・バインディングまたはサービス・プロバイダー・バインディングなどの汎用バインディングは、アプリケーション全体で共有できます。
ポリシー・セットでアプリケーションを操作できるようにするには、バインディングが必要です。管理コンソールを使用して、汎用バインディングおよびアプリケーション固有のバインディングを構成します。 ポリシー・セット関連付けとバインディングの操作について詳しくは、ポリシー・セットのバインディング情報の定義を参照してください。