WebSphere Application Server Version 6.1 Feature Pack for Web Services   
             オペレーティング・システム: AIX , HP-UX, i5/OS, Linux, Solaris, Windows, Windows Vista, z/OS

             目次と検索結果のパーソナライズ化
             New or updated topic for this feature pack

secure conversation の使用可能化

secure conversation を使用して、Web サービスのアプリケーション・メッセージをセキュアにします。

始める前に

Web サービスを含むアプリケーションは、デプロイ済みでなければなりません。

このタスクについて

Organization for the Advancement of Structured Information Standards (OASIS) Web Services Secure Conversation (WS-SecureConversation) ドラフト仕様には、SOAP メッセージの起動側および受信側間のセキュア・セッションを確立する方法が記述されています。 WS-SecureConversation ドラフト仕様には、セキュリティー・コンテキスト・トークン (SCT) を確立するための OASIS Web Services Trust (WS-Trust) プロトコルの使用法も定義されています。 詳細については、OASIS Web Services Secure Conversation 仕様書を参照してください。

WebSphere Application Server は、 WS-SecureConversation のセキュリティー・コンテキスト・トークンを発行するためにエンドポイント機能をサポートします。したがって、SOAP メッセージの起動側および受信側間のセキュア・セッションを提供します。

次図は、保護されたコンテキストの確立とセッション・ベース・セキュリティーの使用に必要なフローを表しています。

図 1. クライアント、Web サービス、セキュリティー・トークン・サービス間のフローの表示 クライアント、セキュリティー・トークン・サービス、および Web サービス間のフローを表示します

WS-SecureConversation 仕様では、セキュリティー・コンテキストは <wsc:SecurityContextToken> セキュリティー・トークンによって表されます。以下の例は、 <wsc:SecurityContextToken> エレメントのアサーション構文を表しています。

<wsc:SecurityContextToken wsu:Id="..." ...>
    <wsc:Identifier>...</wsc:Identifier>
    <wsc:Instance>...</wsc:Instance>
    ...
</wsc:SecurityContextToken>

セキュリティー・コンテキスト・トークンは、鍵 ID または鍵の名前を使用することによってそれ自体への参照を行うことをサポートしません。 すべての参照は、ID (wsu:Id 属性に対する)、または <wsc:Identifier> エレメントに対する <wsse:Reference> のいずれかを使用する必要があります。

WebSphere Application Server は、これらの事前定義 secure conversation に関連したポリシーを提供します。

この例では、secure conversation を使用可能にするというタスクを達成するために、デフォルトの SecureConversation ポリシー・セットと、デフォルトの WS-Security バインディングおよび TrustServiceSecurityDefault バインディングが使用されています。デフォルトの SecureConversation ポリシー・セットには、 アプリケーション・ポリシー (symmetricBinding) とブートストラップ・ポリシー (asymmetricBinding) の両方が含まれています。アプリケーション・ポリシーは、アプリケーション・メッセージをセキュアにするために使用され、 ブートストラップ・ポリシーは RequestSecurityToken (RST) メッセージをセキュアにするために使用されます。

セキュリティー・コンテキスト・トークンを発行するトラスト・サービスは、 TrustServiceSecurityDefault システム・ポリシーと TrustServiceSecurityDefault バインディングを使用して構成されます。トラスト・ポリシーは、RequestSecurityTokenResponse (RSTR) メッセージをセキュアにすることを担います。ブートストラップ・ポリシーを変更した場合、トラスト・ポリシーは構成の両方に一致するように変更しなければなりません。

注: 以下のステップは、開発環境とテスト環境でのみ使用します。

ここで使用する Web Services Security (WS-Security) のデフォルト・バインディングには、 サンプルの鍵ファイルが含まれており、実働で使用する前にカスタマイズする必要があります。 実稼働環境では、カスタム・バインディングを使用することをお勧めします。 また、「開発テンプレートを使用するサーバーの作成」選択項目を使用してプロファイルを作成する場合は、ステップ 2 および 3 をスキップできることにも注意してください。

secure conversation を構成し、ポリシー・セットを構成し、さらにポリシー・アサーションをポリシーに追加するには、以下のステップを実行します。

プロシージャー

  1. デフォルトの secure conversation ポリシーのコピーを作成して、 ポリシー・セットを独自の環境に合わせてカスタマイズします。
    1. 管理コンソールを起動して、「サービス」>「ポリシー・セット」>「アプリケーション・ポリシー・セット」をクリックします。
    2. WS-SecureConversation 仕様に準拠する既存ポリシー・セットの隣にあるチェック・ボックスを選択します。 例えば、SecureConversation の隣にあるチェック・ボックスをクリックできます。このポリシー・セットは、事前構成された secure conversation に関連したアプリケーション・ポリシー・セットの 1 つで、表にリストされています。 SecureConversation ポリシー・セットには、トークンを発行および更新するトラスト・サービスのデフォルト・ポリシー・セットに対応するために、ブートストラップ・ポリシーが含まれています。
    3. コピー」をクリックします。
    4. SecureConversation アプリケーション・ポリシー・セットの新規コピーの固有の名前を入力します。以下に例を示します。 CopyOfSCPolicySet
    5. オプション: 必要に応じて、このポリシー・セットのカスタマイズ版の記述を変更します。
  2. WS-Security のデフォルト・バインディングを変更します。 このステップは、デフォルト・バインディングを変更していないことを前提としています。 以下のステップは、サービス・クライアントとサービス・プロバイダーの両方に同一セットのバインディングを使用できるように、鍵ストア属性を変更する方法を示しています。
    1. 「サービス」 > 「ポリシー・セット (Policy sets)」 > 「デフォルト・ポリシー・セットのバインディング (Default policy set bindings)」とクリックします。
    2. ポリシー・セットの「WS-Security」をクリックします。
    3. 認証と保護」をクリックします。
    4. 「保護トークン」セクションから、「gen_encx509token」を選択してクリックします。
    5. 「追加バインディング」セクションの「コールバック・ハンドラー」をクリックします。
    6. 「鍵ストア」セクションの「カスタム鍵ストア構成」をクリックします。 以下のステップを実行します。
      • 鍵ストアの絶対パスを、${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks から ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks に変更します。
      • 「パスワード」フィールドと「確認パスワード」フィールドを storepass に変更します。
      • 鍵の名前を CN=Bob, O=IBM, C=US に変更します
      • 別名を bob に変更します
      • OK」をクリックします。
    7. 「認証と保護」パネルに戻ります。「保護トークン」セクションから、 「gen_signx509token」をクリックします。
    8. コールバック・ハンドラー」をクリックし、次に「カスタム鍵ストア構成 」をクリックします。 以下のステップを実行します。
      • 鍵ストアの絶対パスを、${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks から ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks に変更します。
      • 「パスワード」フィールドと「確認パスワード」フィールドを client に変更します。
      • 鍵の名前を CN=SOAPRequester, OU=TRL, O=IBM, ST=Kanagawa, C=JP に変更します
      • 別名を soaprequester に変更します
      • OK」をクリックします。
    9. 直接、マスター構成に保管します。
  3. TrustDefaultBindings を変更します。 このステップは、 デフォルトのトラスト・セットアップが変更されていないことを前提としています。 これらのステップは、保護トークン構成の名前が異なる点を除き、上述のステップに類似しています。
    1. 「サービス」>「トラスト・サービス」>「トラスト・サービス添付」をクリックします。
    2. 「バインディング」セクションの「TrustServiceSecurityDefault」をクリックし、 さらに「WS-Security」をクリックします。
    3. 認証と保護」をクリックします。
    4. gen_enctgen」をクリックします。
    5. 「追加バインディング」セクションの「コールバック・ハンドラー」をクリックします。
    6. 「鍵ストア」セクションの「カスタム鍵ストア構成」をクリックします。 以下のステップを実行します。
      • 鍵ストアの絶対パスを、${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks から ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks に変更します。
      • 「パスワード」フィールドと「確認パスワード」フィールドを storepass に変更します。
      • 鍵の名前を CN=Bob, O=IBM, C=US に変更します
      • 別名を bob に変更します
      • OK」をクリックします。
    7. 「認証と保護」パネルに戻ります。「保護トークン」セクションから、 「gen_signtgen」をクリックします。
    8. コールバック・ハンドラー」をクリックし、次に「カスタム鍵ストア構成 」をクリックします。 以下のステップを実行します。
      • 鍵ストアの絶対パスを、${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks から ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks に変更します。
      • 「パスワード」フィールドと「確認パスワード」フィールドを client に変更します。
      • 鍵の名前を CN=SOAPRequester, OU=TRL, O=IBM, ST=Kanagawa, C=JP に変更します
      • 別名を soaprequester に変更します
      • OK」をクリックします。
    9. 必要に応じて、ステップ g からステップ i までを繰り返します。
    10. 直接、マスター構成に保管します。
  4. ポリシー・セットおよびバインディングをアプリケーションに添付し、 「アプリケーション」>「エンタープライズ・アプリケーション」> application nameをクリックします。次に、「サービス・プロバイダーのポリシー・セットおよびバインディング」または「サーバー・クライアントのポリシー・セットおよびバインディング (Server client policy sets and bindings)」のいずれかをクリックして、リソースを CopyOfSCPolicySet ポリシー・セットに添付します。 デフォルト・バインディングは自動的に割り当てられます。

結果

これらのステップが完了すると、secure conversation が構成されています。

次の作業

次に、セキュリティー・コンテキスト・トークンを確立して secure conversation を保護する方法についてのサンプル・シナリオを検討します。




サブトピック
例: Secure Conversation を保護するためのセキュリティー・コンテキスト・トークンの設定
例: 高信頼性メッセージングを保護するためのセキュリティー・コンテキスト・トークンの設定
セキュアな会話クライアントのキャッシュ
cwbs_wssecureconv.html
cwbs_wsscscoping.html
派生鍵トークン
Web Services Secure Conversation 標準
関連概念
セキュリティー・コンテキスト・トークン
SecureConversation デフォルト・ポリシー・セット
他の WS-ReliableMessaging プロバイダーとの相互協調処理: 使用パターン
関連タスク
システム・ポリシー・セットを使用したトラスト・サービスへの要求の保護
コンソールを使用した Web サービス・サンプルのインストール
wsadmin ツールを使用した secure conversation の使用可能化
タスクの概説: Web サービス・アプリケーションのインプリメント
関連情報
Web Services Secure Conversation Language specification
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 4:10:06 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.wsfep.multiplatform.doc/info/ae/ae/twbs_enablesecureconv.html