WebSphere® Application
Server バージョン 6.0.x では、Web サービスの多くのセキュリティーの機能拡張があります。その機能拡張には、Web サービス・セキュリティー仕様のセクション・サポートやプラグインのアーキテクチャー面でのサポートの提供、セキュリティー・トークンの機能拡張などが含まれます。
サポートされている Web サービス・セキュリティー仕様の機能拡張
2002 年 9 月から、Organization for the Advancement of Structured Information Standards (OASIS) が SOAP メッセージ規格の Web Services Security (WSS) を開発してきました。
2004 年 4 月、OASIS は、Web サービスの保護における主要なマイルストーンとなる Web Services Security バージョン 1.0 仕様をリリースしました。
この仕様は他の Web サービス・セキュリティー仕様の基礎となり、作業中の
ドラフトである Basic Security Profile (WS-I BSP) バージョン 1.0 作業の
基本でもあります。詳しくは、Basic Security Profile を
参照してください。
Web Services Security バージョン 1.0 は Web サービス・セキュリティー・インターオペラビリティーに向けての戦略的な動きであり、Web サービス・セキュリティー・ロードマップでの最初のステップです。
WebSphere Application Server バージョン 6
は、以下の仕様とプロファイルをサポートしています。
以前の仕様のどの部分が WebSphere Application Server バージョン 6 でサポートされているかについて詳しくは、OASIS 仕様からサポートされた機能を参照してください。
WebSphere Application Server バージョン 6.0.x 以降での高水準機能の概要
Web Services Security for SOAP メッセージ・バージョン 1.0 仕様は、フレキシブルに、Web サービスの要件に対応できるよう設計されています。例えば、この仕様には Web Service Security バージョン 1.0 仕様の必須セキュリティー・トークン定義がありません。その代わり、この仕様は汎用メカニズムを定義し、セキュリティー・トークンと Simple
Object Access Protocol (SOAP) メッセージを関連付けます。セキュリティー・トークンの仕様は、以下のようなさまざまなセキュリティー・トークン・プロファイルで定義されています。
OASIS でのセキュリティー・トークン・プロファイル開発について詳しくは、「Organization for the Advancement of Structured Information
Standards」を参照してください。
重要: Web Services Security バージョン 1.0 仕様のワイヤー・フォーマットは変更され、Web サービス・セキュリティー仕様の以前のドラフトと互換性がありません。Web サービス・セキュリティー仕様の以前のドラフトを使用して、ワイヤー・フォーマットの実装を行い、Web サービス・セキュリティー・バージョン 1.0 仕様と相互運用することはできません。
プラグ可能なセキュリティー・トークンのサポートは、WebSphere Application Server バージョン 5.0.2 以降で使用可能です。ただし、WebSphere
Application Server バージョン 6 では、プラグ可能なアーキテクチャーが、Web サービス・
セキュリティー・バージョン 1.0 仕様、他のプロファイル、およびその他の
Web サービス・セキュリティー仕様をサポートするよう拡張されています。
WebSphere Application Server Version 6
以降は以下の主な機能拡張が含まれます。
- SOAP メッセージで複数のセキュリティー・トークンを送信するクライアント (送信側または生成プログラム) に対するサポート。
- デジタル・シグニチャー (検証) および暗号化 (暗号化解除) のためにセキュリティー・トークンから鍵を派生させる機能。
- SOAP メッセージでの要素の署名または暗号化のサポート。ただし、一部制限があります。
例えば、メッセージのあるパーツを暗号化すると、SOAP メッセージ・フォーマットが壊れる場合があります。
SOAP 本体要素を暗号化すると、SOAP メッセージ・フォーマットが壊れます。
- SOAP エンベロープ、SOAP ヘッダー、および Web サービス・セキュリティー・ヘッダーの署名に関するサポート。
- デジタル・シグニチャーと暗号化の順序を構成する機能。
- 直接参照、鍵 ID、鍵の名前、および組み込み参照などのセキュリティー・トークンを参照するさまざまなメカニズムのサポート。
- X.509 セキュリティー・トークンに対する、PKCS#7 フォーマット証明書失効リスト (CRL) エンコードのサポート。
- CRL 検査のサポート。
- nonce およびタイム・スタンプを Web サービス・セキュリティー・ヘッダー内の要素、署名済み要素、または暗号化済み要素に挿入する機能。
- WebSphere Application Server の現在のセキュリティー・コンテキストで Run As (呼び出し) ID を使用した ID 表明のサポート。
- アプリケーション用デフォルトの Web サービス・セキュリティー・バインディングのセットである、デフォルトのバインディングのサポート。
- プラグ可能なデジタル・シグニチャー (検証) と暗号化 (暗号化解除) アルゴリズムを使用する機能。
- ハードウェア暗号化デバイスの加速のサポート。
- セキュアな鍵のサポート。
- Basic Security Profile (WS-I BSP) のサポート。
これらの拡張機能の一部について詳しくは、Web サービス・セキュリティーの機能拡張を参照してください。
構成
WebSphere Application Server バージョン 6
は、Web Services Security バージョン
1.0 仕様、Username Token バージョン 1.0 プロファイル、X.509 Token バージョン
1.0 プロファイルを実装するためにデプロイメント・モデルを使用します。デプロイメント・モデルは、Java™ 2 Platform, Enterprise Edition (J2EE) の Web サービス・デプロイメント・モデルの拡張です。Web サービス・セキュリティー制約は、Web サービス・ポートに基づいて、IBM® 拡張デプロイメント記述子とバインディング・ファイルで定義されています。
デプロイメント記述子とバインディング・ファイルのフォーマットは、IBM 専有の資料で、入手することはできません。
ただし、WebSphere Application Server は、デプロイメント記述子およびバインディング・ファイルを編集するために使用することができる以下のツールを提供しています。
- Application Server Toolkit
- WebSphere Application Server バージョン 6 のアセンブリー・ツール設計機能である、Application Server Toolkit (AST) を使用して、Web サービス・セキュリティーのデプロイメント記述子とバインディング・ファイルを指定することができます。
- WebSphere Application
Server 管理コンソール
- 管理コンソールを使用して、デプロイメント記述子で定義される Web サービス・セキュリティー制約でデプロイされるアプリケーションの Web サービス・セキュリティー・バインディングを構成することができます。
重要: WebSphere Application Server バージョン 6.0.x 以降の Web サービス・セキュリティーに対するデプロイメント記述子とバインディング・ファイルのフォーマットは、WebSphere Application Server バージョン 5.0.2、5.1 および 5.1.1 とは異なります。
WebSphere Application Server バージョン
5.0.2、5.1、および 5.1.1 の Web サービス・セキュリティー・サポートは、Web サービス・セキュリティー・ドラフト 13 仕様
およびユーザー名トークン・ドラフト 2 プロファイルに基づいています。
このため、このサポートは推奨されません。
ただし、Web サービス・セキュリティー・バージョン 5.0.2、5.1、および
5.1.1 デプロイメント記述子とバインディング・ファイルを使用して構成された
アプリケーションは、WebSphere
Application Server 6 以降と作動することが可能です。
これらのアプリケーションは、ドラフト 13 仕様フォーマットを使用して
SOAP メッセージ・セキュリティーを発行するデプロイメント記述子と
バインディング・ファイルを使用します。
WebSphere Application
Server バージョン 6.0.x 以降の Web サービス・セキュリティーのデプロイメント記述子とバインディング・ファイルは、J2EE バージョン 1.4 アプリケーションにのみ使用可能です。そのため、Web サービス・セキュリティー・バージョン 1.0 仕様は、J2EE バージョン 1.4 アプリケーションでのみサポートされます。
Web Services Security バージョン 1.0 仕様に関連する実装を利用するには、以下のことを行う必要があります。
- 既存のアプリケーションを J2EE バージョン 1.4 にマイグレーションします
- 新規デプロイメント記述子およびバインディング・フォーマットの Web サービス・セキュリティー制約を再構成します
重要: Rational® Web
Developer および Application Server Toolkit を使用して、Web サービス・セキュリティーのデプロイメント記述子とバインディング・ファイルをバージョン 5.0.2、5.1、および 5.1.1 フォーマットから新規バージョン 6.0.x 以降のフォーマットにマイグレーションするための自動プロセスは存在しません。手動で構成をマイグレーションする必要があります。
重要: WebSphere Application Server バージョン 6.1 での Web サービス・セキュリティーのサポートは、「Web Services Security: X.509 Token Profile 1.0 plus the first errata (Errata 1.0)」というタイトルの OASIS 仕様の一部を基にしています。
サポートされていないもの
Web サービス・セキュリティーはまだ新しい機能で、
一部の規格はまだ定義または標準化されている段階です。
以下の機能は、WebSphere Application Server バージョン 6.0.
x 以降ではサポートされていません。
- WebSphere
Application Server バージョン 6.0.x 以降の Web サービス・セキュリティー用の
アプリケーション・プログラミング・インターフェース (API) は存在しません。
以下の規格は、XML セキュリティーと Web サービス・セキュリティーの
Java アプリケーション・
プログラミング・インターフェース用に存在します。
- SAML トークン・プロファイルはすぐに使用できるようにはサポートされていません。
- WS-SecuredConversation はすぐに使用できるようにはサポートされていません。
- WS-Trust はすぐに使用できるようにはサポートされていません。
- WS-SecurityKerberos トークン・プロファイルはすぐに使用できるようにはサポートされていません。
- REL トークン・プロファイルはサポートされていません。
- Web サービス・セキュリティーの SOAP Messages with Attachments (SwA) プロファイルはサポートされていません。
- WS-I Basic Security Profile 1.0 はサポートされていません。
- 非 Web サービス・コンテナー管理クライアントはすぐに使用できるようにはサポートされていません。
WebSphere Application
Server バージョン 6.0.x 以降で Web サービス・セキュリティー用にサポートされているものについて詳しくは、OASIS 仕様からサポートされた機能を参照してください。