WebSphere Application Server の Web サービス・セキュリティーは、Web サービス・セキュリティー (WS-Security) 仕様に 含まれている標準に基づいています。このような標準は、Web サービス環境で交換されるメッセージの保護方法を 規定します。
この仕様は、メッセージの保全性と機密性を保護するための中核機構を定義し、セキュリティー関連の要求と メッセージを関連付けるためのメカニズムを提供します。Web サービス・セキュリティーは、メッセージ・レベルの標準です。 この標準は、XML デジタル・シグニチャーによる SOAP メッセージの保護、XML 暗号化による機密性、 およびセキュリティー・トークンを使用したクレデンシャルの伝搬を基にしています。
Apache SOAP バージョン 2.3 をまだ使用している場合は、WebSphere Application Server バージョン 5 資料の 『Apache SOAP Web サービスの保護』のトピック (推奨されません) を使用します。
Web サービスを保護するには、アプリケーションとビジネス・トポロジーの範囲に渡る認証、許可、プライバシー、信頼、保全性、機密性、保護通信チャネル、統合、代行、および監査を含めた、一連の広範囲なセキュリティー要件を検討する必要があります。 今日のビジネス環境における セキュリティー・モデルの主な要件の 1 つとして、Microsoft .NET と Java 2 Platform, Enterprise Edition (J2EE) などの異種の環境に、公開鍵インフラストラクチャーおよび Kerberos など、以前は非互換であったセキュリティー・テクノロジー間で相互運用を行う機能が必要とされています。 完全な Web サービス・セキュリティー・プロトコル・スタックおよびテクノロジー・ロードマップについては、 Security in a Web Services World: A Proposed Architecture and Roadmap を参照してください。
Specification: Web Services Security (WS-Security) では、 セキュアな Web サービスを構築するために使用できる SOAP 拡張機能の標準セットが提案されています。 この標準セットにより、一般にデジタル・シグニチャーと暗号化技術によって提供される 保全性と機密性が確保されます。 さらに、Web サービス・セキュリティーでは、セキュリティー・トークンとメッセージを関連付けるための汎用メカニズムが提供されます。セキュリティー・トークンの一般的な例は、ユーザー名とパスワード・トークンであり、この場合、ユーザー名とパスワードはテキストとして組み込まれます。Web サービス・セキュリティーは、X.509 証明書や Kerberos チケットなどの方式を使用してバイナリーのセキュリティー・トークンを エンコードする方法を定義します。
保護された環境を確立し、Web サービス・セキュリティーの制約を実行するには、クライアントに対して Java Naming and Directory Interface (JNDI) ルックアップを実行し、サービス参照を解決する必要があります。
管理者は、以下の方法を使用して、メッセージ・レベルの セキュリティーを WebSphere Application Server 環境に統合できます。