WebSphere Application Server バージョン 6 以降では、Organization for the Advancement of Structured
Information (OASIS) Web サービス・セキュリティー (WS-Security) 仕様をサポートしています。
WebSphere Application Server では以下の OASIS Web サービス・セキュリティー、バージョン 1.0 仕様をサポートしています。

IBM WebSphere Application
Server バージョン 6.1 Feature Pack for Web Services では、これらの OASIS 標準が更新されて、Web サービス・セキュリティー (WS-Security) 仕様およびトークンの最新バージョンをサポートするようになりました。Web Service Security バージョン 1.1 は、SOAP ヘッダーを暗号化する標準的な方法である署名に対してより優れたセキュリティー検証を提供し、Web Service Security バージョン 1.1 の機能を使用する一部のインターオペラビリティー・シナリオの要件を満たしています。
OASIS: Web Services Security SOAP
Message Security 1.0
以下のリストは、WebSphere Application Server バージョン 6.0 以降でサポートされている、OASIS: Web Services Security: SOAP Message Security 1.0 仕様の特徴を示しています。
サポートされるトピック |
サポートされる特定の特徴
|
セキュリティー・ヘッダー |
- @S11 :actor (仲介ホストの場合)
- @S11:mustUnderstand
|
セキュリティー・トークン |
- ユーザー名トークン (ユーザー名およびパスワード)
- バイナリー・セキュリティー・トークン (X.509 および Lightweight Third Party Authentication (LTPA))
- カスタム・トークン
|
トークン参照 |
|
シグニチャー・アルゴリズム |
- ダイジェスト
- SHA1
- http://www.w3.org/2000/09/xmldsig#sha1
- SHA256
- http://www.w3.org/2001/04/xmlenc#sha256
- SHA512
- http://www.w3.org/2001/04/xmlenc#sha512
- MAC
- HMAC-SHA1
- http://www.w3.org/2000/09/xmldsig#hmac-sha1
- シグニチャー
- DSA および SHA1
- http://www.w3.org/2000/09/xmldsig#dsa-sha1
ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、
このアルゴリズムを使用しないでください。
- RSA および SHA1
- http://www.w3.org/2000/09/xmldsig#rsa-sha1
- 正規化
- Canonical XML (コメント付き)
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
- Canonical XML (コメントなし)
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315
- Exclusive XML canonicalization (コメント付き)
- http://www.w3.org/2001/10/xml-exc-c14n#WithComments
- Exclusive XML canonicalization (コメントなし)
- http://www.w3.org/2001/10/xml-exc-c14n#
- 変換
- STR transform (STR 変換)
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soapmessage- security-1.0#STR-Transform
- XPath
- http://www.w3.org/TR/1999/REC-xpath-19991116
ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、
元の XPATH 変換を使用しないでください。 注: SIGNATURE エレメントの ds:Reference からのタイプ ID の属性を持っていない SECURE_ENVELOPE のエレメントを参照する場合には、XPATH Filter
2.0 Transform (http://www.w3.org/2002/06/xmldsig-filter2) を使用する必要があります。
- Enveloped signature (エンベロープされたシグニチャー)
- http://www.w3.org/2000/09/xmldsig#enveloped-signature
- XPath Filter2
- http://www.w3.org/2002/06/xmldsig-filter2
注: SIGNATURE エレメントの ds:Reference からの ID 属性タイプを持っていない SECURE_ENVELOPE のエレメントを参照する場合には、XPATH Filter
2.0 Transform (http://www.w3.org/2002/06/xmldsig-filter2) を使用する必要があります。
- Decryption transform (暗号化解除変換)
- http://www.w3.org/2002/07/decrypt#XML
|
シグニチャー署名パーツ |
|
暗号化アルゴリズム |
- データ暗号化
- CBC の Triple-DES: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- CBC の AES128: http://www.w3.org/2001/04/xmlenc#aes128-cbc
- CBC の AES192: http://www.w3.org/2001/04/xmlenc#aes192-cbc
このアルゴリズムは、制限なしの JCE ポリシー・ファイルを要求します。
詳しくは、暗号化情報構成の設定: メッセージ・パーツ
にある鍵暗号化アルゴリズムの説明を参照してください。
ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、
192 ビットのデータ暗号化アルゴリズムを使用しないでください。
- CBC の AES256: http://www.w3.org/2001/04/xmlenc#aes256-cbc
このアルゴリズムは、制限なしの JCE ポリシー・ファイルを要求します。
詳しくは、暗号化情報構成の設定: メッセージ・パーツ
にある鍵暗号化アルゴリズムの説明を参照してください。
- 鍵の暗号化
- 鍵のトランスポート (公開鍵暗号方式)
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p。
注:
-
Software Development Kit (SDK) バージョン 1.4 で実行する場合は、
サポートされる鍵トランスポート・アルゴリズムのリストに、このアルゴリズムは含まれていません。
SDK バージョン
1.5 で実行する場合、このアルゴリズムはサポートされる鍵トランスポート・アルゴリズムのリストに表示されます。
- 連邦情報処理標準 (FIPS) 準拠の Java 暗号化エンジンを使用すると、このトランスポート・アルゴリズムはサポートされません。
- RSA バージョン 1.5: http://www.w3.org/2001/04/xmlenc#rsa-1_5
- 対称鍵ラップ (秘密鍵暗号方式)
- Triple-DES 鍵ラップ: http://www.w3.org/2001/04/xmlenc#kw-tripledes
- AES 鍵ラップ (aes128): http://www.w3.org/2001/04/xmlenc#kw-aes128
- AES 鍵ラップ (aes192): http://www.w3.org/2001/04/xmlenc#kw-aes192
このアルゴリズムは、制限なしの JCE ポリシー・ファイルを要求します。
詳しくは、暗号化情報構成の設定: メッセージ・パーツ
にある鍵暗号化アルゴリズムの説明を参照してください。
ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、
192 ビットのデータ暗号化アルゴリズムを使用しないでください。
- AES 鍵ラップ (aes256): http://www.w3.org/2001/04/xmlenc#kw-aes256
このアルゴリズムは、制限なしの JCE ポリシー・ファイルを要求します。
詳しくは、暗号化情報構成の設定: メッセージ・パーツ
にある鍵暗号化アルゴリズムの説明を参照してください。
- Manifests-xenc は、http://www.w3.org/TR/xmlenc-core のネーム・スペース・プレフィックスです。
- xenc:ReferenceList
- xenc:EncryptedKey
Advanced Encryption Standard (AES) は、Triple-DES (データ暗号化規格) を介した対称鍵暗号化のために、より強力でより優れたパフォーマンスを提供するように設計されています。
したがって、可能な場合は、対称鍵暗号化に AES を使用することをお勧めします。
|
暗号化メッセージ・パーツ |
- WebSphere Application Server キーワード
- SOAP 本体の内容を暗号化するために使用される bodycontent
- ユーザー名トークンを暗号化するために使用される usernametoken
- デジタル・シグニチャーのダイジェスト値を暗号化するために使用される digestvalue
- デジタル・シグニチャー全体を暗号化するために使用される signature
- SOAP ヘッダーの WS-Context ヘッダー内のコンテンツを暗号化する wscontextcontent。
詳しくは、作業区画コンテキストの Web サービスへの伝搬を参照してください。
- SOAP メッセージ内の XML エレメントを選択するための XPath 式
- XML エレメント
- XML エレメント・コンテント
|
タイム・スタンプ |
- Web サービス・セキュリティー・ヘッダー内
- WebSphere Application Server が拡張されて、他のエレメントにタイム・スタンプを挿入することが可能になりました。
そのため、これらのエレメントの経過時間が判別できるようになりました。
|
エラー処理 |
SOAP 障害 |
OASIS: Web Services Security SOAP Message
Security 1.1
IBM WebSphere Application Server
バージョン 6.1 Feature Pack for Web Services。以下のリストは、WebSphere Application Server でサポートされている OASIS: Web Services Security SOAP Message Security 1.1 仕様の特徴を示しています。
Web Services Security: SOAP Message Security 1.0 で以前にサポートされていた項目はリストされていませんが、特に注意書きされていない限り、まだサポートされています。
サポートされるトピック |
サポートされる特定の特徴
|
セキュリティー・ヘッダー |
- @S12:role
- @S12:mustUnderstand
|
シグニチャー |
シグニチャーの確認 |
署名済みパーツ |
ヘッダー - 整合性が保護される SOAP メッセージの SOAP ヘッダーにあるヘッダー・エレメントを選択するには、QName を指定します
|
暗号化 |
EncryptedHeader エレメント |
暗号化パーツ |
ヘッダー - 機密性が保護される SOAP メッセージの SOAP ヘッダーにあるヘッダー・エレメントを選択するには、QName を指定します
これにより、EncryptedData エレメントを含む EncryptedHeader エレメントが選択されます。
Web サービス・セキュリティーのバージョン 1.0 の振る舞いでは、バインディングの EncryptionInfo 内にある com.ibm.ws.wssecurity.encryptedHeader.generate.WSS1.0
プロパティーに true の値を指定します。このプロパティーを指定すると EncryptedData エレメントになります。
|
エラー処理 |
SOAP 障害
- 障害コードを持つ、新しい failure SOAP 障害
- 「メッセージの有効期限が切れました」のテキストが追加されました
|
OASIS: Web Services Security UsernameToken
Profile 1.0
以下のリストは、WebSphere Application Server でサポートされている、OASIS: Web
Services Security Username Token Profile 1.0 仕様の特徴を示しています。
サポートされるトピック |
サポートされる特定の特徴
|
パスワード・タイプ |
テキスト |
トークン参照 |
直接参照 |
OASIS: Web Services Security UsernameToken
Profile 1.1
以下のリストは、WebSphere Application Server でサポートされている OASIS: Web Services Security Username Token Profile 1.1 仕様の特徴を示しています。
Web Services Security UsernameToken Profile 1.0 で以前にサポートされていた項目はリストされていませんが、特に注意書きされていない限り、まだサポートされています。
サポートされるトピック |
サポートされる特定の特徴
|
パスワード・タイプ |
テキスト |
トークン参照 |
直接参照 |
OASIS: Web Services Security X.509
Certificate Token Profile 1.0
以下のリストは、
WebSphere Application Server バージョン 6 以降でサポートされている OASIS: Web Services Security X.509 Certificate Token Profile 仕様の特徴を示しています。
サポートされるトピック |
サポートされる特定の特徴
|
トークン・タイプ |
|
トークン参照 |
- 鍵 ID - サブジェクト鍵 ID
- 直接参照
- カスタム参照 - 発行者名およびシリアル番号
|
OASIS: Web Services Security X.509 Certificate
Token Profile 1.1
以下のリストは、WebSphere Application Server でサポートされている OASIS: Web Services Security X.509 Certificate Token
Profile 1.1 仕様の特徴を示しています。
Web Services Security X.509 Certificate
Token Profile 1.0 で以前にサポートされていた項目はリストされていませんが、特に注意書きされていない限り、まだサポートされています。
サポートされるトピック |
サポートされる特定の特徴
|
トークン・タイプ |
X.509 バージョン 1: 単一証明書 |
トークン参照 |
鍵 ID - サブジェクト鍵 ID
- X.509v3 証明書のみを参照できます
- wsse:KeyIdentifier> エレメントの http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#ThumbprintSHA1
属性を使用して、特定の証明書の指紋を指定できます。
|
WebSphere Application Server でサポートされていない機能
以下のリストは、OASIS 仕様、OASIS ドラフト、およびその他の推奨でサポートされているが、WebSphere Application Server
バージョン 6 以降ではサポートされていない機能を示しています。
- SOAP 接続のための Web サービス・セキュリティー。
- Security Assertion Markup Language (SAML) トークン・プロファイル、WS-SecurityKerberos トークン・プロファイル、および XrML トークン・プロファイル。
- XML エンベロープ・デジタル・シグニチャー。
- XML エンベロープ・デジタル暗号化。
- 以下のデジタル署名のための変換アルゴリズムはサポートされていません。
- 暗号化のための以下の鍵合意アルゴリズムは、サポートされていません。
- XML 暗号化仕様のオプションである、暗号化のための以下の正規化アルゴリズムは、サポートされていません。
- コメント付きの規範的 XML またはコメントなしの規範的 XML
- コメント付きまたはコメントなしの排他的 XML 正規化
- DSA デジタル署名はサポートされていません。
- 事前に合意された対称鍵データの暗号化はサポートされていません。
- デジタル署名の否認防止の監査はサポートされていません。
- Username Token Profile 仕様の両方のバージョンで、ダイジェスト・パスワード・タイプはサポートされていません。
Username Token Version
1.1 Profile 仕様で、パスワードに基づく鍵の派生はサポートされていません。