OASIS 仕様からサポートされた機能

WebSphere® Application Server バージョン 6 は、以下の Web サービス・セキュリティー仕様とプロファイルをサポートします。

OASIS: Web Services Security: SOAP Message Security 1.0 (WS-Security 2004)

以下のリストは、 WebSphere Application Server バージョン 6 でサポートされる OASIS: Web Services Security: SOAP Message Security 1.0 (WS-Security 2004) 仕様の特徴を示しています。

サポートされるトピック サポートされる特定の特徴
セキュリティー・ヘッダー
  • @S11 :actor (仲介ホストの場合)
  • @S11:mustUnderstand
セキュリティー・トークン
  • ユーザー名トークン (ユーザー名およびパスワード)
  • バイナリー・セキュリティー・トークン (X.509 および Lightweight Third Party Authentication (LTPA))
  • カスタム・トークン
    • そのほかのバイナリー・セキュリティー・トークン
    • XML トークン
      注: WebSphere Application Server は実装を提供しませんが、 プラグイン・ポイントで XML トークンを使用することができます。
トークン参照
  • 直接参照
  • 鍵 ID
  • 鍵の名前
  • 組み込み参照
シグニチャー・アルゴリズム
  • ダイジェスト
    SHA1
    http://www.w3.org/2000/09/xmldsig#sha1
  • MAC
    HMAC-SHA1
    http://www.w3.org/2000/09/xmldsig#hmac-sha1
  • シグニチャー
    SHA1 を備えた DSA
    http://www.w3.org/2000/09/xmldsig#dsa-sha1
    SHA1 を備えた RSA
    http://www.w3.org/2000/09/xmldsig#rsa-sha1
  • 正規化
    規範的 XML (コメント付き)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
    規範的 XML (コメントなし)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    排他的 XML 正規化 (コメント付き)
    http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    排他的 XML 正規化 (コメントなし)
    http://www.w3.org/2001/10/xml-exc-c14n#
  • 変換
    STR 変換
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soapmessage- security-1.0#STR-Transform
    XPath
    http://www.w3.org/TR/1999/REC-xpath-19991116
    エンベロープされたシグニチャー
    http://www.w3.org/2000/09/xmldsig#enveloped-signature
    XPath Filter2
    http://www.w3.org/2002/06/xmldsig-filter2
    暗号化解除の変換
    http://www.w3.org/2002/07/decrypt#XML
シグニチャーの署名されたパーツ
  • WebSphere Application Server キーワード
    • body。Simple Object Access Protocol (SOAP) メッセージ本体に署名します
    • timestamp。すべてのタイム・スタンプに署名します
    • securitytoken。すべてのセキュリティー・トークンに署名します
    • dsigkey。署名鍵に署名します
    • enckey。暗号鍵に署名します
    • messageid。WS-Addressing の wsa :MessageID 要素に署名します。
    • to。WS-Addressing の wsa:To 要素に署名します
    • action。WS-Addressing の wsa:Action 要素に署名します
    • relatesto。WS-Addressing の wsa:RelatesTo 要素に署名します

      wsa は http://schemas.xmlsoap.org/ws/2004/08/addressing のネーム・スペース・プレフィックスです。

  • Simple Object Access Protocol (SOAP) メッセージで XML 要素を選択する XPath 式。詳しくは、http://www.w3.org/TR/1999/REC-xpath-19991116 を参照してください。
暗号化アルゴリズム
  • ブロック暗号化
    • CBC の Triple-DES: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • CBC の AES128: http://www.w3.org/2001/04/xmlenc#aes128-cbc
    • CBC の AES192: http://www.w3.org/2001/04/xmlenc#aes192-cbc

      このアルゴリズムは、制限のない JCE ポリシー・ファイルを必要とします。 詳しくは、暗号化情報の構成設定Encryption information nameの鍵暗号化アルゴリズムの記述を参照してください。

    • CBC の AES256: http://www.w3.org/2001/04/xmlenc#aes256-cbc

      このアルゴリズムは、制限のない JCE ポリシー・ファイルを必要とします。 詳しくは、暗号化情報の構成設定Encryption information nameの鍵暗号化アルゴリズムの記述を参照してください。

  • 鍵トランスポート
    • RSA バージョン 1.5: http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • 対称鍵ラップ
    • Triple-DES 鍵ラップ: http://www.w3.org/2001/04/xmlenc#kw-tripledes
    • AES 鍵ラップ (aes128): http://www.w3.org/2001/04/xmlenc#kw-aes128
    • AES 鍵ラップ (aes192): http://www.w3.org/2001/04/xmlenc#kw-aes192

      このアルゴリズムは、制限のない JCE ポリシー・ファイルを必要とします。 詳しくは、暗号化情報の構成設定Encryption information nameの鍵暗号化アルゴリズムの記述を参照してください。

    • AES 鍵ラップ (aes256): http://www.w3.org/2001/04/xmlenc#kw-aes256

      このアルゴリズムは、制限のない JCE ポリシー・ファイルを必要とします。 詳しくは、暗号化情報の構成設定Encryption information nameの鍵暗号化アルゴリズムの記述を参照してください。

  • Manifests-xenc は、http://www.w3.org/TR/xmlenc-core のネーム・スペース・プレフィックスです
    • xenc:ReferenceList
    • xenc:EncryptedKey

Advanced Encryption Standard (AES) は、Triple-DES 経由で対称鍵暗号化の強力で良好なパフォーマンスを提供するように設計されています。 そのため、可能であれば、対称鍵暗号化に AES を使用することを推奨します。

暗号化メッセージ・パーツ
  • WebSphere Application Server キーワード
    • bodycontent。SOAP 本体コンテンツを暗号化するために使用されます
    • usernametoken。ユーザー名トークンを暗号化するために使用されます
    • digestvalue。デジタル・シグニチャーのダイジェスト値を暗号化するために使用されます
  • SOAP メッセージで XML 要素を選択する XPath 式
    • XML 要素
    • XML 要素コンテント
タイム・スタンプ
  • Web サービス・セキュリティー・ヘッダー内
  • WebSphere Application Server は、他の要素の経過日数を判別できるように、それらの要素タイム・スタンプを挿入できるよう拡張されています。
エラー処理 SOAP 障害

OASIS: Web Services Security: UsernameToken Profile 1.0

以下のリストは、WebSphere Application Server バージョン 6 でサポートされる OASIS: Web Services Security: UsernameToken Profile 1.0 仕様の特徴を示しています。

サポートされるトピック サポートされる特定の特徴
パスワード・タイプ テキスト
トークン参照 直接参照

OASIS: Web Services Security X.509 Certificate Token Profile

以下のリストは、WebSphere Application Server バージョン 6 でサポートされる OASIS: Web Services Security X.509 Certificate Token Profile 仕様の特徴を示しています。

サポートされるトピック サポートされる特定の特徴
トークン・タイプ
  • X.509 バージョン 3: 単一証明書

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509v3

  • X.509 バージョン 3: 証明書失効リスト (CRL) のない X509PKIPathv1

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509PKIPathv1

  • X.509 バージョン 3: CRL 付きまたは CRL のない PKCS7IBM® Software Development Kit (SDK) は両方をサポートします。 Sun Java™ Development Kit (JDK) は CRL のない PKCS7 のみをサポートします。
トークン参照
  • 鍵 ID - サブジェクト鍵 ID
  • 直接参照
  • カスタム参照 - 発行者の名前とシリアル番号

サポートされていない機能

以下のリストは、OASIS 仕様、OASIS ドラフト、およびその他の推奨でサポートされているが、WebSphere Application Server バージョン 6 ではサポートされていない機能を示しています。
  • Web サービス・セキュリティー付き管理対象外のクライアント。例えば、Java 2 Platform, Standard Edition (J2SE) クライアントまたは Dynamic Invocation Interface (DII) クライアント
  • Web サービス・セキュリティー・バインディングは、アプリケーション・インストール・プロセス中に収集されません。 アプリケーションがデプロイされた後に構成することができます。
  • SOAP 接続用 Web サービス・セキュリティー
  • SAML トークン・プロファイル、WS-SecurityKerberos トークン・プロファイル、および XrML トークン・プロファイル
  • Web Services Interoperability Organization (WS-I) 基本セキュリティー・プロファイル
  • XML エンベロープ・デジタル・シグニチャー
  • XML エンベロープ・デジタル暗号化
  • セキュリティー・ヘッダー
    • @S12:role

      S12 は、http://www.w3.org/2003/05/soap-envelope のネーム・スペース・プレフィックスです。

  • 以下のデジタル・シグニチャー用トランスポート・アルゴリズムは、サポートされていません。
  • 以下の暗号化用鍵トランスポート・アルゴリズムは、サポートされていません。
  • 以下の暗号化用鍵合意アルゴリズムはサポートされていません。
  • 以下の暗号化用正規化アルゴリズム (XML 暗号化仕様のオプション) はサポートされていません。
    • コメント付きまたはコメントなしの規範的 XML
    • コメント付きまたはコメントなしの排他的 XML 正規化
  • Username Token バージョン 1.0 Profile 仕様では、ダイジェスト・パスワード・タイプはサポートされていません。
関連資料
暗号化情報の構成設定Encryption information name

フィードバック