構成の概要

Web サービス・セキュリティー制約は、Java™ 2 Platform, Enterprise Edition (J2EE) 向け Web サービス・ デプロイメント記述子の IBM® 拡張で定義されます。 IBM 拡張の Web サービス・セキュリティー用デプロイメント記述子とバインディングは、IBM の専有物です。 デプロイメント記述子とバインディング・ファイルは複雑なので、 これをテキスト・エディターを使用して手動で編集することは、エラーを引き起こす可能性があるため お勧めしません。しかし、IBM が 提供するツールを使用して、Web サービス・セキュリティー制約をアプリケーション用に構成することは、 推奨されています。そのツールは、Rational® Application Developer、Application Server Toolkit、および WebSphere® Application Server 管理コンソールです。

次の表に記載されているのは、クライアントおよびサーバー用のデプロイメント記述子と バインディング・ファイルの名前です。
ファイル・タイプ クライアント・サイド サーバー・サイド
デプロイメント記述子 ibm-webservicesclient-ext.xmi ibm-webservices-ext.xmi
バインディング・ファイル ibm-webservicesclient-bnd.xmi ibm-webservices-bnd.xmi

デプロイメント記述子では、「何を」が指定されます (例えば、署名するメッセージ・パーツ、 暗号化するトークンなど)。バインディング・ファイルでは、「どのように」が指定されます (例えば、 メッセージに署名する方法、セキュリティー・トークンの生成および消費方法など)。

アプリケーション・デプロイメント記述子とバインディング・ファイルに加えて、WebSphere Application Server バージョン 6 にはサーバー・レベルの WSS 構成があります。これらの構成は、 すべてのアプリケーションで使用できます。WebSphere Application Server バージョン 6 は 5.x の アプリケーションをサポートしているので、バージョン 5.x のアプリケーションでのみ有効な構成と、 バージョン 6 のアプリケーションでのみ有効な構成があります。

次の図は、アプリケーション・デプロイメント記述子およびバインディング・ファイルと、 セルまたはサーバー・レベルの構成との関係を表しています。

アプリケーション・デプロイメント記述子および
バインディング・ファイルとアプリケーション・サーバーとの関係

プラットフォーム構成の概要

次のオプションは、WebSphere Application Server の管理コンソールで選択できます。
Nonce cache timeout
このオプションはセル・レベル (Network Deployment のみ) とサーバー・レベルで使用でき、nonce (ランダム・ストリング) のキャッシュ・タイムアウト値を秒単位で指定します。
Nonce maximum age
このオプションはセル・レベル (Network Deployment のみ) とサーバー・レベルで使用でき、nonce のデフォルトの存続期間を秒単位で指定します。
Nonce clock skew
このオプションはセル・レベル (Network Deployment のみ) とサーバー・レベルで使用でき、 ネットワークの遅延、遅延の処理などを考慮したデフォルトの クロック・スキューを指定します。nonce の有効期限が切れる時期を計算するのに 使用します。計測単位は秒です。
Distribute nonce caching
このフィーチャーを選択すると、nonce のキャッシュをクラスター内の 複数の異なるサーバーに分散することができます。これは、WebSphere Application Server バージョン 6 の 新機能です。
次のフィーチャーは、アプリケーション・バインディングで参照できます。
鍵ロケーター
このフィーチャーは、署名、暗号化、および暗号化解除のための鍵を取得する方法を 指定します。鍵ロケーターの実装クラスは、WebSphere Application Server のバージョン 6 とバージョン 5.x では異なります。
コレクション証明書ストア
このフィーチャーは、証明書パス検証のための証明書ストアを指定します。 通常は、シグニチャー検証時の X.509 トークンの確認、 または PKCS#7 フォーマットでエンコードされている証明書失効リストによる X.509 トークンの構成に 使用されます。証明書失効リストは、WebSphere Application Server バージョン 6 のアプリケーションでのみサポートされています。
トラスト・アンカー
このフィーチャーは、署名者証明書のトラスト・レベルを指定します。 通常は、シグニチャーの検証時に X.509 トークンの妥当性検査で使用されます。
トラステッド ID エバリュエーター
このフィーチャーは、ID のトラスト・レベルを検証する方法を指定します。 このフィーチャーは、ID 表明と一緒に使用します。
ログイン・マッピング
このフィーチャーは、認証メソッドに対するログイン構成バインディングを 指定します。このフィーチャーは、WebSphere Application Server バージョン 5.x アプリケーションでのみ 使用されるものなので、推奨されていません。

デフォルト・バインディング

このフィーチャーで デフォルト・バインディングを指定すると、アプリケーションが、Web サービス・セキュリティーの アプリケーション・バインディング・ファイルでバインディングを定義する必要がありません。デフォルト・バインディングの セットは 1 つだけで、複数のアプリケーションで共用することができます。このフィーチャーは、WebSphere Application Server バージョン 6 のアプリケーションでのみ使用できます。

次の図は、アプリケーションのエンタープライズ・アーカイブ (EAR) ファイルと、 ws-security.xml ファイルの関係を表しています。

エンタープライズ・アーカイブ (EAR) ファイルと
ws-security.xml ファイルの関係

アプリケーションの EAR 1 と EAR 2 は、 アプリケーション・バインディング・ファイル内に固有のバインディングを持っています。しかし、 アプリケーションの EAR 3 と EAR 4 は、アプリケーション・バインディング・ファイル内に バインディングを持たないので、ws-security.xml ファイルで定義されたデフォルトのバインディングを使用します。 構成は、階層内の最も近い構成で決まります。例えば、「mykeylocator」という名前の鍵ロケーターは、 アプリケーション・バインディング・ファイルで定義したもの、サーバー・レベルで定義したもの、セル・レベルで 定義したものの 3 つが存在する場合があります。アプリケーション・バインディングで mykeylocator を 参照すると、アプリケーション・バインディングで定義した鍵ロケーターが 使用されます。データの可視性の有効範囲は、そのデータが定義された場所によって 決まります。データがアプリケーション・バインディングで定義された場合は、 可視性の有効範囲はその特定のアプリケーションです。データがサーバー・レベルで 定義された場合は、可視性の有効範囲はそのサーバー上にデプロイされているすべての アプリケーションです。データがセル・レベルで 定義された場合は、可視性の有効範囲は、そのセル内のサーバー上にデプロイされているすべての アプリケーションです。一般に、データを他のアプリケーションと共用する予定がない場合は、 構成の定義はアプリケーション・バインディング・レベルで行います。

次の図は、 アプリケーション・レベル、サーバー・レベル、セル・レベルでのバインディングの関係を表しています。

アプリケーション・レベル、
サーバー・レベル、セル・レベルでのバインディングの関係

関連概念
Nonce、ランダムに生成されるトークン
nonce キャッシングの分散
鍵ロケーター
コレクション証明書ストア
トラスト・アンカー
トラステッド ID エバリュエーター

フィードバック