Web サービスを保護するには、アプリケーションとビジネス・トポロジーの範囲に渡る認証、許可、プライバシー、信頼、保全性、機密性、保護通信チャネル、統合、代行、および監査を含めた、一連の広範囲なセキュリティー要件を検討する必要があります。 今日のビジネス環境における セキュリティー・モデルの主な要件の 1 つとして、異種の環境 (Microsoft .NET と Java™ 2 Platform, Enterprise Edition (J2EE) など) において以前は非互換であったセキュリティー・テクノロジー (公開鍵インフラストラクチャーおよび Kerberos など) 間で相互運用を行う機能が必要とされています。
Web Services Security: SOAP Message Security 1.0 specification では、セキュアな Web サービスを構築するために使用できる SOAP 拡張機能の標準セットについて概説しています。 この標準セットにより、一般にデジタル署名と暗号化技術によって提供される 保全性と機密性が確認されます。 さらに、Web サービス・セキュリティーでは、セキュリティー・トークンとメッセージを関連付けるための汎用メカニズムが提供されます。 セキュリティー・トークンの一般的な例は、 ユーザー名トークンであり、この場合、ユーザー名とパスワードはテキストとして組み込まれています。 Web サービス・セキュリティーは、X.509 証明書や Kerberos チケットなどの方式を使用してバイナリーのセキュリティー・トークンをエンコードする方法を定義します。 ただし、必要なセキュリティー・トークンは、 Web サービス・セキュリティー・バージョン 1.0 仕様で定義されません。 その代わりに、トークンは、ユーザー名トークン・プロファイル、 X.509 トークン・プロファイル、SAML プロファイル、Kerberos プロファイル、 XrML プロファイルなどの別個のプロファイルで定義されます。
v 6.1 Feature Pack for Web Services および v7 では、WebSphere Application Server は、Web サービス・セキュリティー・バージョン 1.1 仕様、ユーザー名トークン・バージョン 1.1 プロファイル、および X.509 トークン・バージョン 1.1 プロファイルを実装するためにポリシー・セット・モデルを使用します。ポリシー・セットを使用すると、さまざまな構成設定を組み合わせることができます。それらの設定には、WS-Addressing、WS-ReliableMessaging、WS-SecureConversation、WS-Security など、トランスポートおよびメッセージ・レベルの構成設定も含まれます。
Web サービスのポリシー・セットを使用可能にするには、トピック JAX-WS Web サービスおよびクライアントのポリシー・セットの管理を参照してください。
IBM® Redbooks®: Web Services Feature Pack for WebSphere Application Server V6.1 の資料には、WebSphere Application Server v6.1 Feature Pack for Web Services のポリシー・セットに関する章が記載されています。
Web サービス・セキュリティー・ウィザードを使用して、Web サービス・セキュリティーを使用可能にするには、Web サービス・セキュリティー・ウィザードを使用した JAX-RPC Web サービスの保護
ウィザードを使用して Web サービスにセキュリティー設定を適用する実例などについて詳しくは、IBM Redbooks: Rational® Application Developer V7 Programming Guide を参照してください。
WebSphere ランタイム環境を使用して「Web サービス」ウィザードで Web サービスを作成する場合は、以下の 4 つのセキュリティー・オプションを選択できます。
Web サービス・クライアントと Web サービスは、相互に通信できるように、 同じ設定にする必要があります。例えば、クライアントのセキュリティー設定が非セキュア または XML 暗号化になっている場合は、XML デジタル署名でセキュアなサービスを 呼び出すことはできません。
ウィザードから選択できるセキュリティー・オプションは、 単なる一例なので、実稼働環境では絶対に使用しないでください。 このオプションは、 WebSphere Application Server の 鍵ストアおよび証明書ファイルを指します。WebSphere Application Server が提供するデフォルトのセキュリティー構成について詳しくは、Web サービス・セキュリティーのデフォルト構成を参照してください。
実稼働環境で Web サービス・セキュリティーを使用可能にする場合は、Web サービス・ セキュリティー・ウィザードを使用した Web サービスの保護または WS-Security を 基にした手動での Web サービスの保護を参照してください。
Web サービス・セキュリティー・ウィザードがニーズに合わない場合、ご使用の Web サービスを手動で保護することができます。 このプロセスにより、セキュリティー設定をさらに制御することができますが、 ウィザードを使用してセキュリティーを使用可能にする場合より時間がかかり、 エラーが発生しやすくなります。
手動での Web サービス・セキュリティーの使用可能化について詳しくは、WS-Security を基にした手動での JAX-RPC Web サービスの保護
このインフォメーション・センターで提供されている情報に加えて、WebSphere Application Server を使用して Web サービスを保護 する方法を示す、いくつかの役に立つチュートリアル および記事を developerWorks® で参照できます。