WebSphere Application Server - Express, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

Web サービスの保護のための新機能

WebSphere Application Server バージョン 6 以降では、Web サービスのセキュリティー機能が多くの点で強化されています。これらの機能強化には、Web サービス・セキュリティー (WS-Security) 仕様の各セクションのサポート、およびセキュリティー・トークン機能のプラグインと拡張に対するアーキテクチャー面でのサポートが含まれます。

サポートされている Web サービス・セキュリティー仕様の機能強化

2002 年 9 月以来、Organization for the Advancement of Structured Information Standards (OASIS) は、SOAP メッセージ標準用の Web Services Security (WS-Security) を開発してきました。

2004 年 4 月、OASIS は、 Web サービスの保護における主要なマイルストーンとなる Web Services Security Version 1.0 仕様をリリースしました。 この仕様は、他の Web サービス・セキュリティー仕様の土台となり、 Basic Security Profile (WS-I BSP) バージョン 1.0 (作業ドラフト) の作業の基礎ともなるものです。

Web Services Security バージョン 1.0 は、 Web サービス・セキュリティーのインターオペラビリティーに向けての布石であり Web サービス・セキュリティーのロードマップにおける最初の一歩です。 Web サービス・セキュリティーのロードマップの詳細については、 「Security in a Web Services World: A Proposed Architecture and Roadmap」を参照してください。

WebSphere Application Server バージョン 6.0.x 以降は、次の OASIS 仕様と WS-I プロファイルをサポートしています。

以前の仕様のうち、WebSphere Application Server バージョン 6.0.x 以降でサポートされている部分について詳しくは、OASIS 仕様からサポートされた機能性 を参照してください。

WebSphere Application Server バージョン 6.0.x 以降における高水準フィーチャーの概要

WebSphere Application Server バージョン 6.0.x 以降では、 Web Services Security for SOAP Message バージョン 1.0 仕様は、Web サービスの要件に柔軟に対応するように設計されています。 例えば、この仕様には、 Web Services Security Version 1.0 仕様にある必須のセキュリティー・トークン定義がありません。 その代わり、この仕様には、 セキュリティー・トークンを SOAP メッセージと関連付けるための汎用メカニズムが定義されています。 セキュリティー・トークンの使用法は、以下の各種のバージョン 1.0 セキュリティー・トークン・プロファイルの中に定義されています。

OASIS におけるセキュリティー・トークン・プロファイル開発の詳細については、「Organization for the Advancement of Structured Information Standards」を参照してください。

今回のリリースでは、WebSphere Application Server はユーザー名・トークン・プロファイル 1.1 および X.509 トークン・プロファイル 1.1 (指紋型のセキュリティー・トークン参照のサポートを含む) を実装しています。 さらに、Web サービス・セキュリティー・バージョン 1.1 標準の署名確認および暗号化ヘッダー部分をサポートしています。

重要: Web Services Security Version 1.0 仕様にあるワイヤー・フォーマットは変更されて、 Web サービス・セキュリティー仕様の旧ドラフトとは互換性がありません。 Web サービス・セキュリティー仕様の旧ドラフトを使用して、 ワイヤー・フォーマットのインプリメンテーションを行い、 Web Services Security Version 1.0 仕様と相互運用することはできません。
プラグ可能セキュリティー・トークンに対するサポートは、 WebSphere Application Server バージョン 5.0.2 以降、使用可能になっています。 ただし、WebSphere Application Server バージョン 6.0.x 以降では、プラグ可能アーキテクチャーは強化されて、Web サービス・セキュリティー仕様、他のプロファイル、およびその他の Web サービス・セキュリティー仕様をサポートするようになりました。 WebSphere Application Server バージョン 6 以降には、以下の主要な機能強化が含まれています。
  • SOAP メッセージにおいて複数のセキュリティー・トークンを送信するクライアント (送信側またはジェネレーター) のサポート。
  • デジタル・シグニチャー (検証) および暗号化 (暗号化解除) のセキュリティー・トークンから鍵を派生させる機能。
  • SOAP メッセージにおける任意のエレメントの署名または暗号化のサポート。 ただし、制約事項がいくつかあります。 例えば、メッセージの一部のパーツを暗号化すると、 SOAP メッセージ・フォーマットが壊れることがあります。 SOAP 本体エレメントを暗号化すると、SOAP メッセージ・フォーマットが壊れます。
  • SOAP エンベロープ、SOAP ヘッダー、および Web サービス・セキュリティー・ヘッダーの署名のサポート。
  • デジタル・シグニチャーおよび暗号化の順序を構成する機能。
  • 直接参照、鍵 ID、鍵名、および組み込み参照など、 セキュリティー・トークンを参照する各種のメカニズムに対するサポート。
  • X.509 セキュリティー・トークンに対する、 PKCS#7 フォーマットの証明書失効リスト (CRL) エンコードのサポート。
  • CRL 検証のサポート。
  • Web サービス・セキュリティー・ヘッダー内のエレメント、 署名されたエレメント、または暗号化されたエレメントに、 nonce (ランダム・ストリング) またはタイム・スタンプを挿入する機能。
  • WebSphere Application Server の現行セキュリティー・コンテキスト内の Run As (呼び出し) ID を使用した ID アサーションのサポート。
  • アプリケーションに対するデフォルトの Web サービス・セキュリティー・バインディングのセットであるデフォルト・バインディングのサポート。
  • プラグ可能デジタル署名 (検証) および暗号化 (暗号化解除) アルゴリズムを使用する機能。
  • 初期 JSR-183 ドラフトに基づく、新しい Web サービス・セキュリティー API プログラミング・モデルのサポート。

これらの機能強化の詳細については、 Web サービス・セキュリティーの機能強化 を参照してください。

構成

WebSphere Application Server では、 Web Services Security バージョン 1.0 仕様、Username Token バージョン 1.0 プロファイル、 および X.509 Token バージョン 1.0 プロファイルをインプリメントするためのデプロイメント・モデルを使用します。 このデプロイメント・モデルは、 Java 2 Platform, Enterprise Edition (J2EE) 用の Web サービス・デプロイメント・モデルの拡張機能です。 Web サービス・セキュリティー制約は、IBM 拡張デプロイメント記述子および Web サービス・ポートを基にしたバインディング・ファイルで定義されています。

デプロイメント記述子およびバインディング・ファイルのフォーマットは、 IBM 所有の資材であり、使用できません。 しかし、WebSphere Application Server は、 デプロイメント記述子およびバインディング・ファイルを編集するために使用できる以下のツールを提供します。
Rational Web Developer
Rational Web Developer を使用して Web サービスを開発し、Web サービス・セキュリティー用のデプロイメント記述子およびバインディング・ファイルを構成することができます。 ただし、このツールを使用して、Enterprise JavaBeans モジュールをアセンブルすることはできません。 代わりに アセンブリー・ツールを使用します。
WebSphere Application Server 管理 コンソール
管理コンソールを使用すると、 デプロイメント記述子で定義されている Web サービス・セキュリティー制約を用いて、 デプロイ済みアプリケーションの Web サービス・セキュリティー・バインディングを構成することができます。
重要: WebSphere Application Server バージョン 6.0.x における Web サービス・セキュリティー用のデプロイメント記述子およびバインディング・ファイルのフォーマットは、 WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 とは異なります。 WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 における Web サービス・セキュリティーのサポートは、 Web サービス・セキュリティーのドラフト 13 仕様、および Username トークンのドラフト 2 プロファイルを基にしています。 そのため、このサポートは非推奨です。 ただし、Web Service Security Versions 5.0.2、5.1、 および 5.1.1 のデプロイメント記述子およびバインディング・ファイルを使用して構成したアプリケーションは、 WebSphere Application Server バージョン 6 以降で使用することができます。 これらのアプリケーションは、ドラフト 13 仕様のフォーマットを使用して SOAP メッセージ・セキュリティーを発行するデプロイメント記述子およびバインディング・ファイルを使用します。 WebSphere Application Server バージョン 6.0.x 以降の Web サービス・セキュリティー・デプロイメント記述子およびバインディング・ファイルは、 J2EE Version 1.4 アプリケーションのみで使用可能です。 したがって、Web Services Security Version 1.0 仕様は、 J2EE Version 1.4 アプリケーションに対してのみサポートされています。
Web Services Security Version 1.0 仕様に関連付けられているインプリメンテーションを活用するには、 以下を行う必要があります。
  • 既存のアプリケーションを J2EE Version 1.4 にマイグレーションします。
  • 新規デプロイメント記述子およびバインディング・フォーマットで Web サービス・セキュリティー制約を再構成します。
重要: Rational Web Developer を使用して、 Web サービス・セキュリティー用のデプロイメント記述子およびバインディング・ファイルをバージョン 5.0.2、 5.1、および 5.1.1 フォーマットから、 新しいバージョン 6.0.x 以降のフォーマットにマイグレーションする自動プロセスは存在しません。 構成は手動でマイグレーションする必要があります。
重要: Rational Application Developer を使用して、 Web サービス・セキュリティー用のデプロイメント記述子およびバインディング・ファイルをバージョン 5.0.2、 5.1、および 5.1.1 フォーマットから、 新しいバージョン 6.0.x 以降のフォーマットにマイグレーションする自動プロセスは存在しません。 構成は手動でマイグレーションする必要があります。

WebSphere Application Server バージョン 6.0 の Web サービス・セキュリティー・サポートは、 その一部は、「Web Services Security: X.509 Token Profile 1.0」という OASIS 仕様と 最初の正誤表 (「Errata 1.0」) に基づいています。

最初の正誤表では、 X.509 トークン・タイプと、X.509 サブジェクトの鍵 ID 値タイプの URI が変更されました。 WebSphere Application Server バージョン 6.0 は、 この変更された URI に基づいていました。 WebSphere Application Server バージョン 6.0 の出荷後、 OASIS 技術委員会によってこれらの変更が取り消され、 元の 1.0 プロファイル URI に戻されました。

WebSphere Application Server バージョン 6.0 と、 現行バージョンのプロファイルに基づく他のベンダーの Web サービス製品との間で、 インターオペラビリティーの問題が生じる可能性があります。WebSphere Application Server は、 バージョン 6.0.2 と 6.0.1.2 で、最新バージョンのプロファイルに準拠するように修正されました。 WebSphere Application Server バージョン 6.0 を、 他のベンダーの Web サービス製品との混合環境で使用する場合は、 バージョン 6.0.1.2、または 6.0.2 以降にアップグレードするか、 APAR PK03507 を含むサービス・フィックスをインストールすることをお勧めします。

WebSphere Application Server での FIPS サポート

WebSphere Application Server では、鍵の暗号化、データの暗号化、 シグニチャー、およびダイジェストに関して、連邦情報処理標準 (FIPS) 準拠の アルゴリズムがサポートされています。このモードを使用可能にするには、 WebSphere 管理コンソールの「グローバル・セキュリティー」パネルで、 「連邦情報処理標準 (FIPS) を使用」を選択します。

このオプションを選択してから WebSphere Application Server を再始動すると、 管理コンソールの Web サービス・セキュリティー・バインディング構成パネルに表示される 使用可能なアルゴリズムのリストが、FIPS 準拠のアルゴリズムになります。

以前にデプロイされたアプリケーションが、 非準拠のアルゴリズムを使用するように構成されている場合、そのアプリケーションは、 WebSphere Application Server で FIPS モードを使用可能にした後は始動しなくなります。 非準拠のデータ暗号化アルゴリズムの場合は、「Unauthorized data encryption method」というエラー・メッセージが表示されます。 認証されていない鍵の暗号化、ダイジェスト、およびシグニチャー方式の場合も、 同様のエラーが表示されます。

何がサポートされないか

Web サービス・セキュリティーは、まだかなり新しく、 一部の標準は現在も定義または標準化が行われています。 以下の機能は WebSphere Application Server ではサポートされていません。
  • アプリケーション・プログラミング・インターフェース (API) は、 WebSphere Application Server バージョン 6.0.x 以降の Web サービス・セキュリティー用には存在していません。
  • XML セキュリティーおよび Web サービス・セキュリティー用の Java アプリケーション・プログラミング・インターフェースとしては、 以下の標準が存在しています。
  • WS-SecureConversation は、そのまま使用できるようにはサポートされていません。
  • WS-Trust は、そのまま使用できるようにはサポートされていません。
  • Web サービス・セキュリティーの SOAP Messages with Attachments (SwA) プロファイルはサポートされていません。
  • WS-I Basic Security Profile バージョン 1.0 はサポートされていません。
  • SAML トークン・プロファイルは、そのまま使用できるようにはサポートされていません。
  • WS-SecurityKerberos トークン・プロファイルは、そのまま使用できるようにはサポートされていません。
  • REL トークン・プロファイルはサポートされていません。
  • 非 Web サービスのコンテナー管理クライアントは、 すぐに使用できるようにはなっていません。

WebSphere Application Server バージョン 6.0.x 以降の Web サービス・セキュリティーでサポートされる内容について詳しくは、OASIS 仕様からサポートされた機能性 を参照してください。




サブトピック
バージョン 6 以降用の Web サービス・セキュリティー仕様 - 年表
OASIS 仕様からサポートされた機能性
Web サービス・セキュリティーの機能強化
関連概念
XML トークン (XML token)
関連タスク
JAX-RPC を使用したメッセージ・レベルでの Web サービス・アプリケーションの保護
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 11:31:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.express.doc/info/exp/ae/cwbs_welcwebsvcsec.html