Web サービス・セキュリティーの高水準アーキテクチャー

WebSphere® Application Server バージョン 6 は Java™ 2 Platform, Enterprise Edition (J2EE) バージョン 1.4 Web サービス・デプロイメント・モデルを使用して Web サービス・セキュリティーを実装します。 Web サービス・セキュリティーの制約は、Web サービス・デプロイメント記述子とバインディングの IBM® 拡張で指定されています。 Web サービス・セキュリティー・ランタイムは、デプロイメント記述子で指定したセキュリティー制約を実行します。 デプロイメント・モデルの利点の 1 つは、アプリケーション・ビジネス・ロジック外で Web サービス・セキュリティー要件を定義できることです。 役割を分離することで、アプリケーション開発者はビジネス・ロジックに集中して、セキュリティーの専門家はセキュリティー要件を指定することができます。

以下の図は、WebSphere Application Server バージョン 6 で Web サービスを保護するために使用される概要のアーキテクチャーを示しています。

高水準アーキテクチャー・モデル

Web サービス・セキュリティーのデプロイメント記述子とバインディングは、Web サービス・ポートに基づいています。 各 Web サービス・ポートでは、定義されている固有の Web サービス・セキュリティー制約を持つことができます。 例えば、Web サービス・ポート A を構成することによって、Simple Object Access Protocol (SOAP) 本体とユーザー名トークンに署名することができます。 また、Web サービス・ポート B を構成して、SOAP 本体コンテンツなどを暗号化することもできます。

前の図に示すように、クライアント・サイドとサーバー・サイドに 2 セットの構成があります。
要求ジェネレーター
このクライアント・サイド構成は、発信 SOAP メッセージ要求の Web サービス・セキュリティー要件を定義します。 これらの要件には、デジタル・シグニチャーの使用、暗号化の取り込み、セキュリティー・トークンを添付する SOAP メッセージ要求の生成などがあります。 WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 では、要求生成プログラムは 要求の送信側として知られていました。
要求コンシューマー
このサーバー・サイド構成は、着信 SOAP メッセージ要求の Web サービス・セキュリティー要件を定義します。 これらの要件には、必要な保全性パーツがデジタル署名されているかの検証、デジタル・シグニチャーの検証、 必要な機密パーツが要求ジェネレーターによって暗号化されたかの検証、必要な機密パーツの暗号化解除、セキュリティー・トークンの検証、セキュリティー・コンテキストが適切な ID でセットアップされているかの検証などがあります。 WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 では、 要求コンシューマーは要求の受信側として知られていました。
応答ジェネレーター
このサーバー・サイド構成は、発信 SOAP メッセージ応答の Web サービス・セキュリティー要件を定義します。 これらの要件には、Web サービス・セキュリティーによる SOAP メッセージ応答の生成、デジタル・シグニチャーの組み込み、セキュリティー・トークンの暗号化と添付 (必要に応じて) などがあります。 WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 では、 応答生成プログラムは応答の送信側として知られていました。
応答コンシューマー
このクライアント・サイド構成は、着信 SOAP 応答の Web サービス・セキュリティー要件を定義します。 この要件には、保全性パーツが署名されているかの検証、署名の検証、必要な機密パーツが暗号化されているかの検証、パーツが暗号化解除されているかの検証、セキュリティー・トークンの検証などがあります。 WebSphere Application Server バージョン 5.0.2、5.1、および 5.1.1 では、 応答コンシューマーは応答の受信側として知られていました。
WebSphere Application Server バージョン 6 には、セキュリティー・ポリシー・ネゴシエーションまたはクライアントとサーバー間の交換は含まれていません。 このセキュリティー・ポリシー・ネゴシエーションは WS-Policy、WS-PolicyAssertion、および WS-SecurityPolicy 仕様によって定義され、WebSphere Application Server バージョン 6 ではサポートされていません。
注: 要求ジェネレーターで定義される Web サービス・セキュリティー要件は、要求コンシューマーと一致する必要があります。 応答ジェネレーターで定義されている要件は、応答コンシューマーと一致しなければなりません。 一致しない場合は、Web サービス・セキュリティー制約が要求コンシューマーおよび応答コンシューマーによって一致しないため、要求または応答が拒否されます。
Web サービス・セキュリティー・デプロイメント記述子とバインディングの フォーマットは、IBM 専有のものです。 ただし、デプロイメント記述子とバインディングを編集するために、以下のツールを使用することができます。
Rational® Application Developer バージョン 6
このツールを使用して、Web サービス・セキュリティー・デプロイメント記述子およびバインディングを編集します。 このツールを使用すると、Web と EJB の両方のモジュールをアセンブルすることができます。
Application Server Toolkit
このツールを使用して、Web サービス・セキュリティー・デプロイメント記述子およびバインディングを編集します。
WebSphere Application Server バージョン 6 管理コンソール
このツールを使用して、デプロイされたアプリケーションの Web サービス・セキュリティー・バインディングを編集します。
関連資料
要求ジェネレーター (送信側) バインディングの構成設定デフォルトの使用
要求コンシューマー (受信側) バインディングの構成設定デフォルトの使用
応答ジェネレーター (送信側) バインディングの構成設定デフォルトの使用
応答コンシューマー (受信側) バインディングの構成設定デフォルトの使用

フィードバック