WebSphere® Application Server バージョン 6 プログラミング環境には、 マルチプロトコルとチャネルがある場合があります。例えば、HTTP トランスポートを介して Web ベース・アプリケーションにアクセスできます。 例えば、サーブレット、JavaServer Page (JSP) ファイル、HTML などがあります。 Remote Method Invocation over the Internet Inter-ORB (RMI/IIOP) プロトコルを介してエンタープライズ・アプリケーションに、Simple Object Access Protocol (SOAP) over HTTP、SOAP over the Java™ Message Service (JMS) または SOAP over RMI/IIOP プロトコルを介して Web サービス・アプリケーションにアクセスすることができます。 これらのアプリケーションはそれぞれ、異なるビジネスでのニーズに応えます。 さらに重要なことに、Web サービスはよく、JavaBean または EJB ファイルを用いてサーブレットとして実装されます。 このため、Web サービス・セキュリティー・モデルと Web および EJB コンポーネントの Java 2 Platform, Enterprise Edition (J2EE) セキュリティー・モデルとをミックス・アンド・マッチすることができます。 Web サービス・セキュリティーが、WebSphere Application Server バージョン 6 の J2EE 役割ベースのセキュリティーとセキュリティー・ランタイムを無料提供することを意図しています。
以下の図は、異なるセキュリティー・プロトコルを使用して、認証情報をアプリケーション・サーバーに送信するのを示しています。 Web サービスの場合、Secure Sockets Layer (SSL) による HTTP 基本認証または暗号化による Web サービス・セキュリティー・ユーザー名トークンを使用することができます。 以下の図では、Web サービス・セキュリティーからの ID「bob」が認証され、SOAP メッセージ要求の呼び出し元 ID として設定されている場合、呼び出しがサービス実装 (この場合、エンタープライズ Bean) にディスパッチされる前に、 J2EE Enterprise JavaBean (EJB) コンテナーが「bob」を使用して許可を実行します。
トランスポート・レイヤー・セキュリティーを使用して、Web サービスを保護することができます。例えば、SOAP over HTTP を使用している場合、HTTPS を使用して、Web サービスを保護することができます。ただし、トランスポート・レイヤー・セキュリティーは、point-to-point のセキュリティーのみを提供します。 このセキュリティーのレイヤーは、特定のシナリオに適切である場合があります。 ただし、SOAP メッセージがターゲット・エンドポイントによって受信される前に、仲介サーバー (マルチホップ) を介して伝搬される必要がある場合、SOAP over the Java Message Service (JMS) を使用することができます。使用シナリオとセキュリティー要件は Web サービスを保護する方法を指示します。 その要件は稼働環境とビジネスのニーズによって異なります。 ただし、Web サービス・セキュリティーを使用する主な利点の 1 つは、トランスポート・レイヤーに依存していないことで、 同じ Web サービス・セキュリティー制約を SOAP over HTTP、SOAP over JMS、または SOAP over RMI/IIOP に使用することができます。