WS-Security を基にした手動での Web サービスの保護

Web サービス・セキュリティー・ウィザードがニーズに合わない場合、ご使用の Web サービスを手動で保護することができます。

Web サービス・セキュリティーは、 管理対象の Web サービス・コンテナーでサポートされます。 管理対象の環境を確立し、Web サービス・セキュリティーの制約を実行するには、 クライアントに対して Java™ Naming and Directory Interface (JNDI) ルックアップを実行し、サービス参照を解決する必要があります。 推奨されるクライアント・プログラミング・モデルについて詳しくは、ftp://www-126.ibm.com/pub/jsr109/spec/1.0/websvcs-1_0-fr.pdf で、 『Java Specification Request (JSR) 109』仕様の 『Service lookup』を参照してください。

WebSphere® Application Server バージョン 6 とバージョン 5.x の互換性

WebSphere Application Server バージョン 6 で、バージョン 6 アプリケーション・サーバー上でバージョン 5.x Web サービスで 保護されたアプリケーションを実行することができます。 ただし、Web サービスで保護されたアプリケーションを使用する場合、 クライアントおよびサーバーは、同じバージョンのアプリケーション・サーバーを使用する必要があります。 例えば、クライアントが WebSphere Application Server バージョン 6 を使用し、サーバーがバージョン 5.x を使用する場合、Web サービスで保護されたアプリケーションは、 正常に動作しません。逆に、クライアントが WebSphere Application Server バージョン 5.x を使用し、 サーバーがバージョン 6 を使用する場合、Web サービスで保護されたアプリケーションは正常に動作しません。 この問題は、SOAP メッセージ・フォーマットが、 バージョン 5.x アプリケーションとバージョン 6 アプリケーションの間で異なるために発生します。

構成

WebSphere Application Server で Web サービスを保護するには、 幾つかの異なる構成を指定する必要があります。 これらの異なる構成を指定する特定の順序はありませんが、 一部の構成は他の構成を参照します。 以下の表は、それぞれの構成の関係の例を示しています。 ただし、バインディングの要件は、デプロイメント記述子に依存します。 一部のバインディング情報は、バインディング内の他の情報またはサーバーおよびセル・レベルの構成に依存します。 例えば、署名情報は鍵情報を参照します。
表 1. 構成間の関係。
構成レベル 構成名 参照対象の構成
アプリケーション・レベルの要求ジェネレーター トークン生成プログラム
  • コレクション証明書ストア
  • Nonce
  • タイム・スタンプ
  • コールバック・ハンドラー
アプリケーション・レベルの要求ジェネレーター 鍵情報
  • 鍵ロケーター
  • 鍵の名前
  • トークン
アプリケーション・レベルの要求ジェネレーター 署名情報
  • 鍵情報
アプリケーション・レベルの要求ジェネレーター 暗号化情報
  • 鍵情報
アプリケーション・レベルの要求コンシューマー トークン・コンシューマー
  • トラスト・アンカー
  • コレクション証明書ストア
  • トラステッド ID エバリュエーター
  • Java 認証・承認サービス (JAAS) 構成
アプリケーション・レベルの要求コンシューマー 鍵情報
  • 鍵ロケーター
  • トークン
アプリケーション・レベルの要求コンシューマー 署名情報
  • 鍵情報
アプリケーション・レベルの要求コンシューマー 暗号化情報
  • 鍵情報
アプリケーション・レベルの応答ジェネレーター トークン生成プログラム
  • コレクション証明書ストア
  • コールバック・ハンドラー
アプリケーション・レベルの応答ジェネレーター 鍵情報
  • 鍵ロケーター
  • トークン
アプリケーション・レベルの応答ジェネレーター 署名情報
  • 鍵情報
アプリケーション・レベルの応答ジェネレーター 暗号化情報
  • 鍵情報
アプリケーション・レベルの応答コンシューマー トークン・コンシューマー
  • トラスト・アンカー
  • コレクション証明書ストア
  • JAAS 構成
アプリケーション・レベルの応答コンシューマー 鍵情報
  • 鍵ロケーター
  • 鍵の名前
  • トークン
アプリケーション・レベルの応答コンシューマー 署名情報
  • 鍵情報
アプリケーション・レベルの応答コンシューマー 暗号化情報
  • 鍵情報
サーバー・レベルのデフォルト生成プログラム・バインディング トークン生成プログラム
  • コレクション証明書ストア
  • コールバック・ハンドラー
サーバー・レベルのデフォルト生成プログラム・バインディング 鍵情報
  • 鍵ロケーター
  • トークン
サーバー・レベルのデフォルト生成プログラム・バインディング 署名情報
  • 鍵情報
サーバー・レベルのデフォルト生成プログラム・バインディング 暗号化情報
  • 鍵情報
サーバー・レベルのデフォルト・コンシューマー・バインディング トークン・コンシューマー
  • トラスト・アンカー
  • コレクション証明書ストア
  • トラステッド ID エバリュエーター
  • JAAS 構成
サーバー・レベルのデフォルト・コンシューマー・バインディング 鍵情報
  • 鍵ロケーター
  • トークン
サーバー・レベルのデフォルト・コンシューマー・バインディング 署名情報
  • 鍵情報
サーバー・レベルのデフォルト・コンシューマー・バインディング 暗号化情報
  • 鍵情報
セル・レベルのデフォルト生成プログラム・バインディング トークン生成プログラム
  • コレクション証明書ストア
  • コールバック・ハンドラー
セル・レベルのデフォルト生成プログラム・バインディング 鍵情報
  • 鍵ロケーター
  • トークン

複数のアプリケーションが同じバインディング情報を使用する場合、 サーバー・レベルでのバインディング情報の構成を考慮します。 例えば、複数のアプリケーションによって使用されるグローバル鍵ロケーター構成を持つ場合があります。

異なる Web サービス・セキュリティー構成間の関係のため、 以下の順序で構成を指定することをお勧めします。

WebSphere Application Server の適切なレベルでこれらのステップを完了すると、Web サービスが保護されます。
注: アプリケーション・レベルの構成情報は、サーバー・レベル上の類似した構成情報より先行します。
関連タスク
Web サービス・セキュリティーのアプリケーション構成

フィードバック