WebSphere Application Server Version 6.1 Feature Pack for Web Services   
             オペレーティング・システム: AIX , HP-UX, i5/OS, Linux, Solaris, Windows, Windows Vista, z/OS

             目次と検索結果のパーソナライズ化
             New or updated topic for this feature pack

トラスト・サービス

WebSphere Application Server により提供されるセキュリティー・トークンはトラスト・サービスと呼ばれます。WebSphere Application Server トラスト・サービスは、セキュリティー・トークンの発行、交換、および検証のための追加の拡張機能を定義するために、Web サービス・トラスト (WS-Trust) のセキュア・メッセージング・メカニズムを使用します。

Web サービス・トラスト (WS-Trust) は、要求/応答プロトコルを定義することにより、セキュリティー・トークンのインターオペラビリティーを使用可能にする、提案された標準です。このプロトコルにより、Web サービス・クライアントのような SOAP アクターは、特定のセキュリティー・トークンが相互に交換される、一部の信頼のおける権限を要求することができます。

WebSphere Application Server は、WS-Trust ドラフト仕様のすべてのコンテンツを実装する完全なセキュリティー・トークン・サービスを提供しているのではありません。 WebSphere Application Server の WS-Trust のサポートは、セキュアな会話のためのセキュリティー・コンテキスト・トークンの設定が中心です。

サード・パーティーの WS-Trust クライアント

WebSphere Application Server は、WS-Trust クライアントの実装を提供しません。サード・パーティーの WS-Trust を使用可能にしたクライアントを使用するように選択することもできますが、そうした場合、WebSphere Application Server はサード・パーティーのトラストを使用可能にしたクライアントをサポートしません。信頼できるクライアントは、これらの SOAP メッセージの生成と応答の処理を容易にできますが、このクライアントは必須ではありません。

WebSphere Application Server は、Web Services Secure Conversation (WS-SecureConversation) のセキュリティー・コンテキスト・トークンの発行、更新、および取り消しに重点を置いています。

トラスト・サービスの要求を作成するためには、WS-Trust 仕様に従う必要があります。 この仕様には、Web サービス・アドレッシング (WS-Addressing) ヘッダーの使用が含まれています。 WS-Addressing ヘッダーは、2004 年 8 月または 2005 年 8 月の両方の仕様で指定されています。仕様ごとに、SOAP 本体は単一の RequestSecurityToken エレメントで構成される必要があります。このエレメントは、WS-Trust および WS-SecureConversation 仕様で定義されているサブエレメントを含むことができます。

ポリシー・セットで定義されているブートストラップ・ポリシーを使用して、WS-Trust SOAP メッセージを保護することができます。 ブートストラップ・セキュリティー・ポリシーは、アプリケーション・サービスとの通信を確立するイニシエーターの処理で呼び出されます。 アプリケーション・サービス以外のサービスへの初期要求は、ブートストラップ・ポリシーを使用して保護されます。 これらの初期要求には通常、WebSphere Application Server トラスト・サービスのようなセキュリティー・トークン・サービス (STS) への 1 つ以上の要求が含まれています。要求の例は、WS-SecureConversation に必要なセキュリティー・コンテキスト・トークンを取得します。イニシエーター は、元の要求を開始する役割であり、たいていはクライアントです。 クライアント・ブートストラップ・ポリシー・セットはトラスト・サービスの発行に対応し、エンドポイント用に接続されたポリシー・セットを更新する必要があります。 トラスト・サービスの取り消しおよび検証に接続された、エンドポイント用ポリシー・セットは、クライアントのアプリケーション・ポリシー・セットに対応する必要があります。

Websphere Application Server は、トラスト・サービスに向けた SOAP メッセージを保護するために、2 つの方法を提供します。 1 番目の方法は、ポリシー・セットで定義されるブートストラップ・ポリシーを使用する方法です。 2 番目の方法は、Web Services Security API (WSS API) を使用する方法です。アプリケーションで WSS API を使用して、プログラムによる API ベースの WS-SecureConversation 用のセキュリティー・コンテキスト・トークンを取得します。

Secure Conversation の場合、クライアントからのエンドポイント・サービスへの要求は、新しい (2 番目の) 要求がトラスト・サービスにより生成され、処理されている間、中断されます。 2 番目の要求により戻されるセキュリティー・コンテキスト・トークンは、サービスとの通信を保護する鍵の派生に使用されます。

高水準トラスト・サービス機能

次のリストには、現在 WebSphere Application Server でサポートされている WS-Trust 関連機能が含まれています。このリストは完全なものではなく、高水準機能にのみ焦点を当てています。

サポートされていないトラスト・サービス機能

以下の高水準 WS-Trust 機能は、WebSphere Application Server ではサポートされていません。このリストは完全なものではなく、主要な機能にのみ焦点を当てています。
  • ネゴシエーション・プロトコルおよび交換プロトコルはサポートされていません。
  • 他のトークン・タイプは現在、そのままではサポートされていません。セキュリティー・コンテキスト・トークンのみサポートされています。
  • WS-SecurityPolicySet の Trust10 仕様はサポートされていません。
  • 請求されない RequestSecurityTokenResponse (RSTR) はサポートされていません。
  • 要求セキュリティー・トークン (RST) の要求を外部セキュリティー・トークン・サービス (STS) に対して発行し、セキュアな会話を確立することはできません。現在は組み込みトラスト・サービスのみサポートされています。
  • RST に含まれているポリシー要求は受け付けられません。
  • RSTC および RSTRC などの要求コレクションはサポートされていません。
  • トークンを修正する機能 (修正操作) はサポートされていません。
  • トークン・サービスへのアクセス用の専用外部エンドポイントはサポートされていません。現在は組み込みトラスト・サービスのみサポートされています。
  • トラスト・サービスは EncryptedKey を含むエントロピー・エレメントをサポートしません。
  • 代行および転送はサポートされていません。
  • OnBehalfOf はサポートされていません。
  • 鍵交換トークン (KET) バインディングはサポートされていません。

トラスト・サービスの操作

WebSphere Application Server は特に、エンドポイントの代わりに、WS-SecureConversation のセキュリティー・コンテキスト・トークンを発行する、トラスト・サービスの機能をサポートしています。 このトークン発行サポートは現在セキュリティー・コンテキスト・トークンのみに限定されています。 また、トークンを発行、取り消し、検証、または更新するためのトラスト・サービスのポリシーを定義する、トラスト・ポリシー管理もあります。

トークン・サービスは WS-Trust スキーマ・ネーム・スペース をサポートしています。このネーム・スペース内では、次の操作がサポートされます。
  • http://schemas.xmlsoap.org/ws/2005/02/trust/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/Validate
  • http://schemas.xmlsoap.org/ws/2005/02/trust/Renew
また、トークン・サービスは WS-SecureConversation スキーマ・ネーム・スペースもサポートしています。 このネーム・スペース内では、次の操作がサポートされます。
  • http://schemas.xmlsoap.org/ws/2005/02/trust/SCT
  • http://schemas.xmlsoap.org/ws/2005/02/trust/SCT/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/SCT/Renew

セキュリティー・コンテキスト・トークン発行操作のインバウンド RST にはエントロピー・エレメントが含まれている必要があります。 エントロピー・エレメントには BinarySecret が含まれている必要があります。 トラスト・サービスは EncryptedKey を含むエントロピー・エレメントをサポートしません。

トラスト・サービスは請求されない RSTR アクションをサポートしませんので気をつけてください。また、トークンを修正する機能は WebSphere Application Server ではサポートされていません。「サポートされていない WS-Trust 機能」というタイトルのセクションも参照してください。

トラスト・ポリシー・セット関連ファイル

発行および更新のためのデフォルトのトラスト・サービス・ポリシー・セットは TrustServiceSecurityDefault です。各サービス・エンドポイント URL 用に、対応するポリシー・セットおよびバインディングをセットアップできます。




サブトピック
セキュリティー・コンテキスト・トークン
システム・ポリシー・セット
Web サービス・トラスト標準
関連概念
セキュアな会話クライアントのキャッシュ
cwbs_wssecureconv.html
Web Services Addressing サポート
関連タスク
システム・ポリシー・セットを使用したトラスト・サービスへの要求の保護
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 4:10:06 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.wsfep.multiplatform.doc/info/ae/ae/cwbs_wstrust.html