セキュリティートークンの生成プロセスの流れ
Liberty Alliance Project のトークンを使用してセキュリティーを有効にしている場合、HTTP クライアント (ブラウザ) は Web サービスクライアントを通じて Web サービスプロバイダにアクセス要求を送信します。Web サービスのセキュリティーエージェントは、OpenSSO STS の認証サービスにその要求をリダイレクトします。Liberty Alliance Project のセキュリティー機構が機能している場合は、HTTP セキュリティーエージェントがリダイレクトを発行します。WS-IBS のセキュリティーを使用している場合は、SOAP セキュリティーエージェントがリダイレクトを発行します。
OpenSSO STS の認証サービスは、Web サービスプロバイダによって登録されたセキュリティー機構を判定し、適切なセキュリティートークンを取得します。認証成功後、Web サービスクライアント側の SOAP セキュリティーエージェントがセキュリティーヘッダーとトークンを挿入している間、Web サービスクライアントは SOAP メッセージ本文を提供します。その後、要求が WSP に送信される前にメッセージは署名されます。
Web サービスプロバイダ側の SOAP セキュリティーエージェントは、要求を Web サービスプロバイダ自身に転送する前に、SOAP 要求の中の署名とセキュリティートークンを検証します。Web サービスプロバイダはこの要求を処理して、SOAP セキュリティーエージェントによって署名された応答を Web サービスクライアントに返します。Web サービスクライアント側の SOAP セキュリティーエージェントは、応答を Web サービスクライアントに転送する前に、その署名を検証します。
Liberty Alliance Project のトランザクションでサポートされているトークンのリストと簡単な説明を次の表に示します。
表 3–1 要求者のトークン - Liberty Alliance Project
トークン
|
これらの要件を満たします
|
X.509
|
-
安全な Web サービスは公開鍵基盤 (PKI) を使用します。PKI では、要求元の特定手段として、および Web サービスプロバイダに対する認証手段として、Web サービスクライアントが公開鍵を提供します。
-
安全な Web サービスは公開鍵基盤 (PKI) を使用します。PKI では、要求元の特定手段として、および Web サービスプロバイダに対する認証手段として、Web サービスクライアントが公開鍵を提供します。
|
BearerToken
|
-
安全な Web サービスは Security Assertion Markup Language (SAML) SAML Bearer トークンによる確認手法を利用します。
-
WSC は、要求元を Web サービスプロバイダに対して認証する手段として SAML 表明を公開鍵情報とともに提供します。
-
2 つ目の署名は表明を SOAP メッセージにバインドします。
-
2 つ目の署名バインディングは、Liberty Alliance Project で定義されたルールを使用します。
|
SAML トークン
|
-
安全な Web サービスは、SAML Holder-of-Key の確認手法を利用します。
-
WSC は、SAML 表明およびデジタル署名を SOAP ヘッダーに追加します。
-
送信側の証明書または公開鍵も署名とともに提供されます。
-
この送信は、Liberty Alliance Project で定義されたルールを使用して処理されます。
|
WS-IBS のトランザクションでサポートされているトークンのリストと簡単な説明を次の表に示します。
表 3–2 要求者のトークン - WS-IBS
トークン
|
これらの要件を満たします
|
ユーザー名
|
-
安全な Web サービスはユーザー名、パスワード、およびオプションで署名された要求を必要とします。
-
Web サービスコンシューマは、要求元を特定する手段としてユーザー名トークンを提供します
-
Web サービスコンシューマは、パスワード、共有シークレット、またはパスワードに相当するものを提供して、Web サービスプロバイダに対して身元を認証します。
|
X.509
|
安全な Web サービスでは PKI (公開鍵基盤) を使用しています。PKI では、要求元を特定する手段、および Web サービスプロバイダに対する認証を実現する手段として、Web サービスコンシューマが公開鍵を提供します。
|
SAML-Holder-Of-Key
|
-
安全な Web サービスは、SAML Holder-of-Key の確認手法を利用します。
-
Web サービスコンシューマは、要求元を Web サービスプロバイダに対して認証する手段として SAML 表明を公開鍵情報とともに提供します。
-
2 つ目の署名は表明を SOAP ペイロードにバインドします。
|
SAML-SenderVouches
|
|