セキュリティートークンとセキュリティーメカニズム

WS-Security は、Web サービスにセキュリティーを適用するための通信プロトコルを提供する仕様です。セキュリティーメカニズムはこの仕様を実装します。WSIT (Web Services Interoperability Technologies) は、WS-Security を実装して、メッセージが送信先のエンドポイントに達するまでに中間ノードを通過する場合でも、相互運用可能なメッセージコンテンツの完全性と機密性を提供します。WSIT によって提供される WS-Security は、既存のトランスポートレベルのセキュリティーに付加され、トランスポートレベルのセキュリティーもそのまま使用できます。Enterprise Server とともにインストールされる SOAP (Simple Object Access Protocol) レイヤーメッセージセキュリティープロバイダを使用すると、ユーザー名とパスワードのセキュリティートークンおよび X.509 証明書セキュリティートークンを利用して、SOAP Web サービスメッセージを認証および暗号化することができます。

• 「ユーザー名トークン」。Enterprise Server は、SOAP メッセージでユーザー名トークンを使用して、メッセージの送信者を認証します。パスワードが埋め込まれたユーザー名トークンを含むメッセージの受信者は、送信者がユーザーのパスワードを知っているかどうかを確認して、メッセージの送信者がトークンで識別されるユーザーとして振る舞うことを承認されているかどうかを検証します。

  ユーザー名トークンを使用する場合は、Enterprise Server 上に有効なユーザーデータベースを設定する必要があります。

• 「デジタル署名」。Enterprise Server は、XML デジタル署名を使ってメッセージのコンテンツに認証 ID をバインドします。クライアントはデジタル署名を使用して、呼び出し側の ID を確立します。デジタル署名は、メッセージコンテンツのソースを認証するために、メッセージ受信者によって検証されます。このソースは、メッセージ送信者と異なる可能性があります。

  デジタル署名を使用する場合は、Enterprise Server 上に有効なキーストアおよびトラストストアファイルを設定する必要があります。

• 「暗号化」。暗号化の目的は、意図した相手だけが理解できるようにデータを変更することです。これは、元のコンテンツを暗号化された要素に置き換えることにより行われます。公開鍵暗号方式に基づく場合、暗号化はメッセージの読み取りを承認する関係者の ID を確立するために使用されます。

  暗号化を使用する場合は、暗号化をサポートする Java 暗号化拡張機能 (JCE) プロバイダをインストールする必要があります。