WebSphere Application Server - Express for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

Web サービス・セキュリティーによるメッセージ保全性、機密性および認証の提供

Web サービス・セキュリティー (WS-Security) は、メッセージ・レベルの標準です。 この標準は、XML デジタル・シグニチャーによる SOAP メッセージの保護、XML 暗号化による機密性、 およびセキュリティー・トークンを使用したクレデンシャルの伝搬を基にしています。 Web サービス・セキュリティー仕様は、メッセージの保全性と機密性を保護するための中核機能を定義し、セキュリティー関連の要求と メッセージを関連付けるためのメカニズムを提供します。

メッセージ・レベル・セキュリティー、すなわち、Web サービスをメッセージ・レベルで保護することは、従来の Web セキュリティーと同じセキュリティー条件に対応することです。 これらのセキュリティー条件には、ID、認証、許可、保全性全、機密性、否認防止、基本メッセージ交換などがあります。従来の Web セキュリティーもメッセージ・レベル・セキュリティーも、セキュリティーの処理に多くの同じメカニズム (デジタル証明書、暗号化、デジタル署名など) を共有しています。

HTTPS などの従来の Web セキュリティー・メカニズムは、すべての Web サービスのシナリオのセキュリティー要件を管理するには十分でない場合があります。 例えば、アプリケーションが HTTPS を使用して JAX-RPC による文書を送信する場合、そのメッセージは HTTPS 接続でのみ、つまり、サービス・リクエスター (クライアント) とサービス間の文書の転送中のみ、保護されます。しかし、アプリケーションがその文書データを HTTPS 接続の先まで、さらにトランスポート層の先まで保護されることを要求する場合もあります。メッセージ・レベルで Web サービスを保護することで、メッセージ・レベル・セキュリティーはこのような拡大された要求にも対応できるようになります。

メッセージ・レベル・セキュリティーは、SOAP メッセージとして送信される XML 文書に適用されます。 メッセージ・レベル・セキュリティーでは、必要なすべてのセキュリティー情報をメッセージの SOAP ヘッダーに埋め込むことにより、メッセージ自体のセキュリティー部分を作成します。さらに、メッセージ・レベル・セキュリティーは、暗号化やデジタル署名などのセキュリティー・メカニズムを、メッセージ自体のデータに適用できます。

メッセージ・レベル・セキュリティーを使用することにより、SOAP メッセージ自体がメッセージを保護するために必要な情報を含むか、またはセキュリティー要件を処理するための情報の取得先の情報を含みます。また、SOAP メッセージには、特定のメッセージ・レベルのセキュリティーを処理するためのプロトコルおよびプロシージャーに関連する情報も含まれています。ただし、メッセージ・レベルのセキュリティーは、特定のトランスポート・メカニズムとは結びついていません。 セキュリティー情報がメッセージの一部であるため、これは HTTPS などのトランスポート・プロトコルとは独立しています。

クライアントは、その特定のメッセージに適用される SOAP メッセージ・ヘッダー・セキュリティー情報を増やします。メッセージが受信されると、Web サービス・エンドポイントはヘッダー内のセキュリティー情報を使用して保護されたメッセージを検証し、ポリシーに対してその妥当性検査を行います。 例えば、サービス・エンドポイントはメッセージの署名を検証し、そのメッセージが改ざんされていないことを確認します。 SOAP メッセージ・コンテキストにバインドされた ID のセキュリティー・トークン (例えば、X.509 証明書) などの他の情報だけではなく、署名および暗号化情報を SOAP メッセージ・ヘッダーに追加することもできます。

WebSphere Application Server バージョン 6 以降では、Web サービス・セキュリティーはトランスポート・レベルのセキュリティーならびにメッセージ・レベルのセキュリティーとして適用できます。 これらのセキュリティー・メカニズムを使用することで、非常にセキュアなクライアントおよびサーバー設計を作成することができます。

Web サービス・セキュリティーはメッセージ・レベルのセキュリティー仕様です。つまり、各 Web サービスの用途の特徴に合わせて Web サービス・セキュリティーのさまざまなシナリオに適用できます。 Web サービス・セキュリティーの使用時に、情報を保護する方法を選択することができます。 認証メカニズム、保全性および機密性は、メッセージ・レベルで適用することができます。 メッセージ・レベルのセキュリティーが適用されると、セキュリティー・トークン、デジタル・シグニチャーおよび暗号化で SOAP メッセージを保護することができます。

メッセージ・レベルのセキュリティーがなければ、SOAP メッセージは平文で送信され、ユーザー ID やアカウント番号といった個人情報は保護されません。メッセージ・レベルのセキュリティーを適用しない場合は、SOAP メッセージの SOAP エンベロープの下に SOAP 本体があるだけです。WS-Security 仕様のフィーチャーを適用することで、SOAP 本体が署名され、暗号化されると、SOAP セキュリティー・ヘッダーが SOAP メッセージの SOAP エンベロープの下に挿入されます。

メッセージの保全性や機密性を保持するためには、通常はデジタル・シグニチャーおよび暗号化が適用されます。

ユーザー名トークン (<UsernameToken> エレメント) などのさまざまなタイプのセキュリティー・トークンを挿入することにより、認証メカニズムを追加できます。ユーザー名トークンが Web サービス・サーバーにより受信されると、ユーザー名およびパスワードが抽出され、検証されます。 ユーザー名およびパスワードの組み合わせが有効な場合のみ、メッセージはサーバーで受信され処理されます。 ユーザー名トークンを使用することは、認証の実装方法の 1 つにすぎません。 このメカニズムは、基本認証としても知られています。

デジタル・シグニチャー、暗号化および基本認証の他に、ID アサーション、LTPA トークンおよびカスタム・トークンといった認証形式があります。 これらの他の認証形式も、WebSphere Application Server の拡張機能です。認証を実施するアセンブリー・ツールを使用することで、これらの認証メカニズムを構成することができます。




サブトピック
XML デジタル・シグニチャー
コレクション証明書ストア
証明書失効リスト
XML 暗号化
セキュリティー・トークン
ユーザー名トークン
XML トークン (XML token)
カスタム・セキュリティー・トークンの伝搬
バイナリー・セキュリティー・トークン
Web サービスのセキュリティーに関する考慮事項
関連タスク
JAX-RPC を使用したメッセージ・レベルでの Web サービス・アプリケーションの保護
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 7:05:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.express.iseries.doc/info/iseriesexp/ae/cwbs_wssmessage.html