Web サービスのための Kerberos メッセージ保護
メッセージ・レベルのセキュリティーは、Organization for the Advancement of Structured Information Standards (OASIS) の Web Services Security Kerberos Token Profile バージョン 1.1 仕様に基づいています。このトピックを参照して、Kerberos トークンで Web サービスのためにメッセージ保護がどのように実装されるのかについて、全般的に理解してください。
メッセージ保護
OASIS Web サービス Kerberos トークン・プロファイルが実装されているため、アプリケーション・サーバーは他の Web サービス・テクノロジーと相互作用することができます。この仕様は、Kerberos トークンを使用して SOAP メッセージをセキュアにするための標準を定義しています。ただし、このトークン・プロファイルでは、相互認証は定義されていません。 OASIS Web Services SOAP Message Security 仕様は、Kerberos トークンを使用および参照して署名と暗号化を行うことにより、SOAP メッセージをセキュアにする方法を説明しています。 具体的には、OASIS 仕様は、ラップまたはアンラップされた AP_REQ パケットである Kerberos トークンをエンコードして SOAP メッセージに添付する方法を定義しています。 OASIS Kerberos トークン・プロファイルで説明されているトークンは、AP_REQ パケットに限定されていて、サービス・チケットと認証子からなります。 AP_REQ パケットは、Key Distribution Center (KDC) から得られます。KDC は、第三者認証サービスの役割を果たしています。
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
これにより、GSS-API フレーム (ラップ) または未加工 (アンラップ) のいずれかの AP_REQ トークンが得られます。このトークンは Base-64 でエンコードされている必要があります。