Web Services Security のハイレベル・アーキテクチャー

Web Services Security ポリシーは、JAX-RPC プログラミング・モデルを使用している場合は Web サービス・デプロイメント記述子の IBM® 拡張で指定され、JAX-WS プログラミング・モデルを使用している場合はポリシー・セットで指定されます。スタンドアロンの JAX-WS クライアント・アプリケーションでは、Web サービスのセキュリティー・ポリシーをプログラムで指定できます。 Web Services Security ポリシーをサポートするバインディング・データは、JAX-RPC およびJAX-WS の両プログラミング・モデルとも Web サービス・デプロイメント記述子の IBM 拡張に保管されます。Web Services Security ランタイムは、ポリシー文書またはアプリケーション・プログラムに指定されたセキュリティー・アサーションを強制します (この順序で)。

ベスト・プラクティス ベスト・プラクティス: IBM WebSphere® Application Server は、 Java™ API for XML-Based Web Services (JAX-WS) プログラミング・モデルおよび Java API for XML-based RPC (JAX-RPC) プログラミング・モデルをサポートします。 JAX-WS は、JAX-RPC プログラミング・モデルが提供する基盤を拡張する、次世代の Web サービス・プログラミング・モデルです。戦略的 JAX-WS プログラミング・モデルを使用すると、標準ベースの注釈モデルのサポートによって、Web サービスおよび Web クライアントの開発が容易になります。JAX-RPC プログラミング・モデルとアプリケーションは引き続きサポートされますが、Web サービス・アプリケーションおよびクライアントを新規に開発する場合は、実装が容易な JAX-WS プログラミング・モデルをご利用ください。best-practices

WebSphere Application Server は、Java Platform, Enterprise Edition (Java EE) バージョン 1.4 以降の Web サービス・デプロイメント・モデルを使用して、Web Services Security を実装します。デプロイメント・モデルの利点の 1 つは、アプリケーション・ビジネス・ロジックの外側で Web Services Security 要件を定義できることです。 ロールの分離により、アプリケーション開発者はビジネス・ロジックに焦点を合わせ、セキュリティー・エキスパートはセキュリティー要件を指定することができます。

以下の図は、WebSphere Application Server で Web サービスを保護するために使用される、ハイレベル・アーキテクチャー・モデルを示しています。

ハイレベル・アーキテクチャー・モデル

WSS API は、このセクション内で後に示すように、メッセージを保護するためにも使用することができます。

WSS API を使用してメッセージを保護するクライアント

クライアント・サイドとサーバー・サイドの両方に、2 つの構成セットがあります。
要求ジェネレーター
このクライアント・サイドの構成は、発信 SOAP メッセージ要求のための Web Services Security 要件を定義します。 これらの要件には、デジタル署名を使用して、暗号化を取り込み、セキュリティー・トークンを付加する SOAP メッセージ要求の生成が含まれています。 WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 において、要求ジェネレーターは要求送信側 として知られています。
要求コンシューマー
このサーバー・サイドの構成は、着信 SOAP メッセージ要求のための Web Services Security 要件を定義します。 これらの要件には、要求された保全パーツがデジタル署名されていることを検証すること、 そのデジタル署名を検証すること、要求された機密パーツが要求ジェネレーターで暗号化されていることを検証すること、 要求された機密パーツを暗号化解除すること、セキュリティー・トークンの妥当性検査を行うこと、 およびセキュリティー・コンテキストが適切な ID でセットアップされていることを検証することが含まれています。 WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 において、要求コンシューマーは要求受信側 として知られています。
応答ジェネレーター
このサーバー・サイドの構成は、発信 SOAP メッセージ応答のための Web Services Security 要件を定義します。 これらの要件には、Web Services Security で SOAP メッセージ応答を生成すること、 デジタル署名を組み込むこと、および、必要ならばセキュリティー・トークンを暗号化し付加することが含まれています。 WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 において、応答ジェネレーターは応答送信側 として知られています。
応答コンシューマー
このクライアント・サイドの構成は、着信 SOAP メッセージ応答のための Web Services Security 要件を定義します。 これらの要件には、保全パーツが署名されていてその署名が検証済みであることを検証すること、 要求された機密パーツが暗号化されていてそのパーツが暗号化解除されていることを検証すること、 およびセキュリティー・トークンを検証することが含まれています。 WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 において、応答コンシューマーは応答受信側 として知られています。

WebSphere Application Server には、セキュリティー・ポリシー・ネゴシエーションまたはクライアントとサーバー間の交換は組み込まれていません。このセキュリティー・ポリシー・ネゴシエーションは、WS-Policy、WS-PolicyAssertion、および WS-SecurityPolicy 仕様で定義されていますが、WebSphere Application Server ではサポートされていません。

注: 要求ジェネレーター内で定義された Web Services Security 要件は、定義済みコンシューマーと一致していなければなりません。 応答ジェネレーター内で定義された要件は、応答コンシューマーと一致していなければなりません。 一致しないと、要求コンシューマーおよび応答コンシューマーで Web Services Security 制約が満たされないために、 要求または応答が拒否されます。
Web Services Security デプロイメント記述子およびバインディングのフォーマットは、IBM の所有です。 ただし、デプロイメント記述子およびバインディングの編集に、以下のツールが使用可能です。
IBM アセンブリー・ツール
IBM assembly ツールを使用して、Web Services Security デプロイメント記述子とバインディングを編集します。 このツールは、Web モジュールと Enterprise JavaBeans (EJB) モジュールをアセンブルする場合に使用します。詳しくは、アセンブリー・ツールに関する情報を参照してください。
WebSphere Application Server 管理コンソール
このツールを使用して、デプロイされたアプリケーションの Web Services Security バインディングを編集します。

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_highlvlarchwss
ファイル名:cwbs_highlvlarchwss.html