Web サービス・セキュリティー制約は、Web サービス・デプロイメント記述子およびバインディングの IBM 拡張で指定されています。
Web サービス・セキュリティー・ランタイムは、デプロイメント記述子に指定されたセキュリティー制約を実行します。
WebSphere Application Server バージョン 6 以降では、Java 2 Platform, Enterprise Edition (J2EE) バージョン 1.4 Web サービス・デプロイメント・モデルを使用して、
Web サービス・セキュリティーをインプリメントします。
デプロイメント・モデルの利点の 1 つは、アプリケーション・ビジネス・ロジックの外側で Web サービス・セキュリティー要件を定義できることです。
役割の分離により、アプリケーション開発者はビジネス・ロジックに焦点を合わせ、セキュリティー・エキスパートはセキュリティー要件を指定することができます。
以下の図は、WebSphere Application Server バージョン 6 の Web サービスを保護するために使用されている、
ハイレベル・アーキテクチャー・モデルを示しています。

Web サービス・セキュリティーのデプロイメント記述子およびバインディングは、Web サービス・ポートを基にしています。
それぞれの Web サービス・ポートは、それ固有の定義された Web サービス・セキュリティー制約を持つことができます。
例えば、Web サービス・ポート A を、SOAP 本体およびユーザー名トークンに署名するように構成できます。
Web サービス・ポート B を、SOAP 本体のコンテンツを暗号化するように構成することなどもできます。
前の図で示したように、クライアント・サイドおよびサーバー・サイドの両方に、2 つの構成セットがあります。
- 要求ジェネレーター
- このクライアント・サイドの構成は、発信 SOAP メッセージ要求のための Web サービス・セキュリティー要件を定義します。
これらの要件には、デジタル・シグニチャーを使用して、暗号化を取り込み、セキュリティー・トークンを付加する SOAP メッセージ要求の生成が含まれています。
WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 において、要求ジェネレーターは要求送信側 として知られています。
- 要求コンシューマー
- このサーバー・サイドの構成は、着信 SOAP メッセージ要求のための Web サービス・セキュリティー要件を定義します。
これらの要件には、要求された保全パーツがデジタル署名されていることを検証すること、
そのデジタル・シグニチャーを検証すること、要求された機密パーツが要求ジェネレーターで暗号化されていることを検証すること、
要求された機密パーツを暗号化解除すること、セキュリティー・トークンの妥当性検査を行うこと、
およびセキュリティー・コンテキストが適切な ID でセットアップされていることを検証することが含まれています。
WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 において、要求コンシューマーは要求受信側 として知られています。
- 応答ジェネレーター
- このサーバー・サイドの構成は、発信 SOAP メッセージ応答のための Web サービス・セキュリティー要件を定義します。
これらの要件には、Web サービス・セキュリティーで SOAP メッセージ応答を生成すること、
デジタル・シグニチャーを組み込むこと、および、必要ならばセキュリティー・トークンを暗号化し付加することが含まれています。
WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 において、応答ジェネレーターは応答送信側 として知られています。
- 応答コンシューマー
- このクライアント・サイドの構成は、着信 SOAP メッセージ応答のための Web サービス・セキュリティー要件を定義します。
これらの要件には、保全パーツが署名されていてその署名が検証済みであることを検証すること、
要求された機密パーツが暗号化されていてそのパーツが暗号化解除されていることを検証すること、
およびセキュリティー・トークンを検証することが含まれています。
WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 において、応答コンシューマーは応答受信側 として知られています。
WebSphere Application Server バージョン 6 以降には、
セキュリティー・ポリシー・ネゴシエーションまたはクライアントとサーバー間の交換は組み込まれていません。
このセキュリティー・ポリシー・ネゴシエーションは、WS-Policy、WS-PolicyAssertion、
および WS-SecurityPolicy 仕様で定義され、WebSphere Application Server バージョン 6 以降ではサポートされていません。
注: 要求ジェネレーター内で定義された Web サービス・セキュリティー要件は、定義済みコンシューマーと一致していなければなりません。
応答ジェネレーター内で定義された要件は、応答コンシューマーと一致していなければなりません。
一致しないと、要求コンシューマーおよび応答コンシューマーで Web サービス・セキュリティー制約が満たされないために、
要求または応答が拒否されます。
Web サービス・セキュリティー・デプロイメント記述子およびバインディングのフォーマットは、IBM の所有です。
ただし、デプロイメント記述子およびバインディングの編集に、以下のツールが使用可能です。
- Rational Application Developer
- このツールを使用して、Web サービス・セキュリティー・デプロイメント記述子およびバインディングの編集をします。
このツールを使用して、Web モジュールと Enterprise JavaBeans
(EJB) モジュールの両方をアセンブルすることができます。
- Application Server Toolkit
- このツールを使用して、Web サービス・セキュリティー・デプロイメント記述子およびバインディングの編集をします。
- WebSphere Application Server 管理コンソール
- このツールを使用して、デプロイされたアプリケーションの Web サービス・セキュリティー・バインディングを編集します。