WebSphere Application Server により提供されるセキュリティー・トークンはトラスト・サービスと呼ばれます。WebSphere Application Server トラスト・サービスは、セキュリティー・トークンの発行、交換、および検証のための追加の拡張機能を定義するために、Web サービス・トラスト (WS-Trust) のセキュア・メッセージング・メカニズムを使用します。
Web サービス・トラスト (WS-Trust) は、要求/応答プロトコルを定義することにより、セキュリティー・トークンのインターオペラビリティーを使用可能にする、提案された標準です。このプロトコルにより、Web サービス・クライアントのような SOAP アクターは、特定のセキュリティー・トークンが相互に交換される、一部の信頼のおける権限を要求することができます。
WebSphere Application Server は、WS-Trust ドラフト仕様のすべてのコンテンツを実装する完全なセキュリティー・トークン・サービスを提供しているのではありません。 WebSphere Application Server の WS-Trust のサポートは、セキュアな会話のためのセキュリティー・コンテキスト・トークンの設定が中心です。
WebSphere Application Server は、WS-Trust クライアントの実装を提供しません。サード・パーティーの WS-Trust を使用可能にしたクライアントを使用するように選択することもできますが、そうした場合、WebSphere Application Server はサード・パーティーのトラストを使用可能にしたクライアントをサポートしません。信頼できるクライアントは、これらの SOAP メッセージの生成と応答の処理を容易にできますが、このクライアントは必須ではありません。
WebSphere Application Server は、Web Services Secure Conversation (WS-SecureConversation) のセキュリティー・コンテキスト・トークンの発行、更新、および取り消しに重点を置いています。
トラスト・サービスの要求を作成するためには、WS-Trust 仕様に従う必要があります。 この仕様には、Web サービス・アドレッシング (WS-Addressing) ヘッダーの使用が含まれています。 WS-Addressing ヘッダーは、2004 年 8 月または 2005 年 8 月の両方の仕様で指定されています。仕様ごとに、SOAP 本体は単一の RequestSecurityToken エレメントで構成される必要があります。このエレメントは、WS-Trust および WS-SecureConversation 仕様で定義されているサブエレメントを含むことができます。
ポリシー・セットで定義されているブートストラップ・ポリシーを使用して、WS-Trust SOAP メッセージを保護することができます。 ブートストラップ・セキュリティー・ポリシーは、アプリケーション・サービスとの通信を確立するイニシエーターの処理で呼び出されます。 アプリケーション・サービス以外のサービスへの初期要求は、ブートストラップ・ポリシーを使用して保護されます。 これらの初期要求には通常、WebSphere Application Server トラスト・サービスのようなセキュリティー・トークン・サービス (STS) への 1 つ以上の要求が含まれています。要求の例は、WS-SecureConversation に必要なセキュリティー・コンテキスト・トークンを取得します。イニシエーター は、元の要求を開始する役割であり、たいていはクライアントです。 クライアント・ブートストラップ・ポリシー・セットはトラスト・サービスの発行に対応し、エンドポイント用に接続されたポリシー・セットを更新する必要があります。 トラスト・サービスの取り消しおよび検証に接続された、エンドポイント用ポリシー・セットは、クライアントのアプリケーション・ポリシー・セットに対応する必要があります。
Websphere Application Server は、トラスト・サービスに向けた SOAP メッセージを保護するために、2 つの方法を提供します。 1 番目の方法は、ポリシー・セットで定義されるブートストラップ・ポリシーを使用する方法です。 2 番目の方法は、Web Services Security API (WSS API) を使用する方法です。アプリケーションで WSS API を使用して、プログラムによる API ベースの WS-SecureConversation 用のセキュリティー・コンテキスト・トークンを取得します。
Secure Conversation の場合、クライアントからのエンドポイント・サービスへの要求は、新しい (2 番目の) 要求がトラスト・サービスにより生成され、処理されている間、中断されます。 2 番目の要求により戻されるセキュリティー・コンテキスト・トークンは、サービスとの通信を保護する鍵の派生に使用されます。
次のリストには、現在 WebSphere Application Server でサポートされている WS-Trust 関連機能が含まれています。このリストは完全なものではなく、高水準機能にのみ焦点を当てています。
WebSphere Application Server は特に、エンドポイントの代わりに、WS-SecureConversation のセキュリティー・コンテキスト・トークンを発行する、トラスト・サービスの機能をサポートしています。 このトークン発行サポートは現在セキュリティー・コンテキスト・トークンのみに限定されています。 また、トークンを発行、取り消し、検証、または更新するためのトラスト・サービスのポリシーを定義する、トラスト・ポリシー管理もあります。
セキュリティー・コンテキスト・トークン発行操作のインバウンド RST にはエントロピー・エレメントが含まれている必要があります。 エントロピー・エレメントには BinarySecret が含まれている必要があります。 トラスト・サービスは EncryptedKey を含むエントロピー・エレメントをサポートしません。
トラスト・サービスは請求されない RSTR アクションをサポートしませんので気をつけてください。また、トークンを修正する機能は WebSphere Application Server ではサポートされていません。「サポートされていない WS-Trust 機能」というタイトルのセクションも参照してください。
発行および更新のためのデフォルトのトラスト・サービス・ポリシー・セットは TrustServiceSecurityDefault です。各サービス・エンドポイント URL 用に、対応するポリシー・セットおよびバインディングをセットアップできます。