|
|
このリリースの WebLogic Server では、JAX-RPC と JAX-WS の両方のスタックでメッセージレベルのセキュリティ機能がサポートされます。
この章では、Web サービス セキュリティをコンフィグレーションする方法について説明します。
メッセージレベルのセキュリティでは、クライアント アプリケーションと、そのクライアントによって呼び出される Web サービスとの間の SOAP メッセージに、デジタル署名または暗号化 (あるいはその両方) を施すかどうかを指定します。複数の SOAP メッセージを交換するイベントにおいて、Web サービスとクライアント間の共有セキュリティ コンテキストを指定することもできます。メッセージレベルのセキュリティは以下を実現します。
簡単なメッセージレベルのセキュリティをコンフィグレーションする場合に実行する基本的な手順については、「簡単なメッセージレベルのセキュリティのコンフィグレーション : 主な手順」を参照してください。この節では、Web サービス実行時環境に対するメッセージレベルのセキュリティのコンフィグレーション、特定の Web サービスに対するメッセージレベルのセキュリティのコンフィグレーション、およびそのサービスを呼び出すクライアント アプリケーションのコーディング方法について説明します。
また、Web サービスをデプロイした後、実行時に Web サービスのメッセージレベルのセキュリティをコンフィグレーションすることもできます。詳細については、「Administration Console を使用した実行時のポリシー ファイルの関連付け」を参照してください。
| 注意 : | SOAP 添付ファイルに対しては、デジタル署名も暗号化も行えません。 |
| 注意 : | 「WebLogic Web サービスでサポートされる標準」には、このリリースでサポートされる Web サービス標準が明確に記載されています。 |
WebLogic Web サービスには、2006 年 2 月 1 日付の以下の OASIS 標準 Web Services Security (WS-Security) 1.1 仕様が実装されています。
これらの仕様は、セキュリティ トークンの伝播、メッセージの整合性、およびメッセージの機密性を提供します。これらのメカニズムは、別々に使用 (たとえば、ユーザ認証でのユーザ名トークンの受け渡し) したり、組み合わせて使用 (たとえば、SOAP メッセージのデジタル署名と暗号化、認証でのユーザによる X.509 証明書の使用の指定) したりできます。
| 注意 : | WS-Trust と WS-SecureConversation は JAX-RPC でのみサポートされます。 |
WebLogic Web サービスは Web Services Trust (WS-Trust 1.3) 仕様と Web Services Secure Conversation (WS-SecureConversation 1.3) 仕様を実装しています。これらが連携して Web サービスとそのクライアント (別の Web サービスやスタンドアロンの Java クライアント アプリケーション) との間のセキュアな通信を提供します。
WS-Trust 仕様には、セキュリティ トークンの要求と発行や信頼関係の仲介を行うためのフレームワークとなる拡張機能が定義されています。
WS-SecureConversation 仕様には、複数のメッセージを交換できるように、セキュリティ コンテキストの確立と共有のメカニズムや、セキュリティ コンテキストからキーを派生するためのメカニズムが定義されています。セキュリティ コンテキストと派生キーを併用すると、交換の全体的なパフォーマンスやセキュリティの向上につながります。
WS-Policy 仕様では、Web サービスの制約や要件を表現するためのフレームワークが定義されています。これらの制約や要件は、ポリシー アサーションとして表現します。
WS-SecurityPolicy では、WS-Policy で使用するセキュリティ ポリシー アサーションのセットが定義され、WSS: SOAP Message Security、WS-Trust、および WS-SecureConversation のコンテキストにおいてメッセージをどのように保護するかについて記述されています。
Web サービスにメッセージレベルのセキュリティをコンフィグレーションするには、WS-SecurityPolicy 仕様に従って、セキュリティ ポリシー文を格納した 1 つまたは複数のポリシー ファイルを Web サービスにアタッチします。Web サービス実行時環境でのセキュリティ ポリシー ファイルの使用方法については、「メッセージレベルのセキュリティ コンフィグレーションでのポリシー ファイルの使用」を参照してください。
このリリースの WebLogic Server ではサポートされていませんが、Web Services SecurityPolicy 1.2 の各要素の詳細については、「サポートされない WS-SecurityPolicy 1.2 アサーション」を参照してください。
Web Services Security: SOAP Message Security 仕様の実装では、以下の使い方がサポートされます。
1 つまたは複数のセキュリティ ポリシー ファイルを使用して、WebLogic Web サービスのメッセージレベルのセキュリティの詳細を指定します。WS-SecurityPolicy 仕様では、Web サービスのセキュリティ ポリシーを記述して通信するための、汎用的なモデルと XML 構文が提供されています。
| 注意 : | WS-SecurityPolicy 仕様が規定される前にリリースされた旧バージョンの WebLogic Server では、WS-Policy 仕様に基づき、独自のセキュリティ ポリシー スキーマを使用して記述されたセキュリティ ポリシー ファイルを使用していました。 |
| 注意 : | このリリースの WebLogic Server では、WS-SecurityPolicy 1.2 仕様に準拠するセキュリティ ポリシー ファイル、または、Web サービス セキュリティ ポリシー スキーマ (WebLogic Server 9 で導入) に準拠するセキュリティ ポリシー ファイルのいずれかがサポートされますが、同じ Web サービスで両方を使用することはできません。これらのフォーマットは互いに互換性がありません。 |
| 注意 : | パッケージ化されている WS-SecurityPolicy 1.2 セキュリティ ポリシー ファイルの詳細については、「WS-SecurityPolicy 1.2 ポリシー ファイルの使用」を参照してください。 |
メッセージレベルのセキュリティに使用されるセキュリティ ポリシー ファイルは、オペレーションを呼び出した結果として発生する SOAP メッセージに対してデジタル署名または暗号化を行うかどうかの明記とその方法が記述された XML ファイルです。また、クライアント アプリケーションがユーザ名、SAML、または X.509 の各トークンを使用して自身を認証することの指定もできます。
ポリシー ファイルを Web サービスと関連付けるには、JWS ファイル内で @Policy および @Policies JWS アノテーションを使用します。Web サービスに関連付けることのできるポリシー ファイルの数に制限はありません。ただし、アサーションが互いに矛盾しないように管理者が確認する必要があります。ポリシー ファイルは、JWS ファイルのクラスレベルでも、メソッド レベルでも指定できます。
移植性を最大限に高めるため、JAX-WS では WS-Policy 1.2 および OASIS WS-SecurityPolicy 1.2 を使用することをお勧めします。
WebLogic Server は以下のネームスペースを使用して WS-Policy 1.2 をサポートします。
http://schemas.xmlsoap.org/ws/2004/09/policy
| 注意 : | WebLogic Server は以下のネームスペースを使用して WS-Policy 1.5 (現在は W3C 標準) もサポートします。 |
| 注意 : | http://www.w3.org/ns/ws-policy |
このリリースでは、以下の OASIS WS-SX TC Web サービス SecurityPolicy ネームスペースがサポートされます。
http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702
新しいバージョンのネームスペースに加えて、以下の Web サービス SecurityPolicy ネームスペースも引き続きサポートします。
http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512
ほとんどの場合、ポリシー アサーションはどのネームスペースでも同一ですが、以下の例外があります。
このバージョンの WebLogic Server では、バージョンに依存しないポリシーがサポートされます。異なるバージョンの WS-Policy 仕様に基づいた WS-SecurityPolicy や WS-ReliableMessaging ポリシーなどのプロトコル固有のポリシーを組み合わせることができます。実行時に、結合されたポリシー ファイルには複数の異なるネームスペースが含まれます。
このリリースの WebLogic Server では以下の 3 つのバージョンがあります。
(1)、(2)、または (1) と (2) の組み合わせと任意のバージョンの WS-Policy を組み合わせることができます。しかし、(1) または (2) や異なるバージョンの WS-Policy と (3) を組み合わせることはできません。
表 2-1 に可能なバージョンの組み合わせを示します。
使用されているポリシーやセキュリティ ポリシーのバージョンをクライアント プログラムで知る必要がある場合は、ネームスペースとバージョニングの情報を返すバージョニング API を使用してください。
以下では、Web サービス セキュリティ ランタイム、特定の WebLogic Web サービス、および Web サービスのオペレーションを呼び出すクライアント アプリケーションに、簡単なメッセージレベルのセキュリティをコンフィグレーションする手順について説明します。このマニュアルでは、簡単なメッセージレベルのセキュリティを次のように定義します。
| 警告 : | それぞれの WebLogic Server インスタンスが別のコンピュータ上で動作しているクラスタに Web サービスをデプロイする場合は、テスト目的であっても、用意されているもの以外のキーストアおよびキー ペアを使用する必要があります。これは、デフォルトの WebLogic Server キーストア DemoIdentity.jks 内のキー ペアが、異なるマシン上で動作している WebLogic Server 間で同じになるという保証がないためです。デフォルトのキーストアを使用する場合は、デプロイされている Web サービスの WSDL で、これらのキーストアの 1 つから公開鍵が指定されますが、実際にはサービスの呼び出しは、別のコンピュータ上で実行されているサーバによって処理される可能性があり、この場合、サーバのプライベート キーは、公開されている公開鍵に一致せず、呼び出しが失敗してしまいます。この問題は、クラスタ内でデフォルトのキーストアとキー ペアを使用した場合に発生するものであり、独自のキーストアとキー ペアを使用することで簡単に解決されます。 |
上記のシナリオの一部に関する詳細と、簡単なメッセージレベルのセキュリティの使用例に基づいて Web サービス セキュリティを追加する使用例については、後半の節で説明します。
次の手順では、WebLogic Web サービスを実装する JWS ファイルがすでに作成済みであることを前提として、SOAP メッセージにデジタル署名と暗号化を行うようにそのファイルを更新します。また、Ant ビルド スクリプトを使用して Web サービスを反復的に開発することと、新しい情報で更新できる作業用の build.xml ファイルがあることも前提となっています。さらに、保護されていない Web サービスを呼び出すクライアント アプリケーションも用意されているものとします。これらの前提条件が満たされていない場合は、以下を参照してください。
WebLogic Web サービスに対して簡単なメッセージレベルのセキュリティをコンフィグレーションするには、次の手順に従います。
@Policy および @Policies JWS アノテーションを追加して、Web サービス全体または特定のオペレーションにアタッチされるあらかじめパッケージ化されたポリシー ファイルを指定します。
ポリシー ファイルの指定方法については、「@Policy および @Policies アノテーションによる JWS ファイルの更新」を参照してください。
『JAX-WS を使用した WebLogic Web サービスの開始』の「WebLogic Web サービスの開発」および『JAX-RPC を使用した WebLogic Web サービスの開始』の「WebLogic Web サービスの開発」を参照してください。
この手順には、Cert Gen ユーティリティまたは Sun Microsystems の keytool ユーティリティを使用できます。開発が目的の場合は、keytool ユーティリティを使用すると簡単に開始できます。
『WebLogic Server のセキュリティ』の「プライベート キー、デジタル証明書、信頼性のある認証局の取得」を参照してください。
証明書のキーを使用することで、暗号化とデジタル署名の双方ができるようになっていることを確認してください。WebLogic Server でクライアントの証明書が有効であることを確認する方法については、「WebLogic Server でクライアントの証明書を検証できることの確認」も参照してください。
| 警告 : | キーの長さは 1024 ビット以上にする必要があります。 |
この手順には、Sun Microsystems の keytool ユーティリティを使用できます。
『WebLogic Server のセキュリティ』の「プライベート キー、デジタル証明書、信頼性のある認証局の取得」を参照してください。
詳細については、『ロールおよびポリシーによる WebLogic リソースの保護』の「ユーザ、グループ、セキュリティ ロール」を参照してください。
「クライアントサイドのセキュリティ ポリシー ファイルの使用」を参照してください。
『JAX-WS を使用した WebLogic Web サービスの開始』の「Web サービスの呼び出し」および『JAX-RPC を使用した WebLogic Web サービスの開始』の「Web サービスの呼び出し」を参照してください。
簡単なメッセージレベルのセキュリティの使用例に基づいて Web サービス セキュリティを追加する使用例については、以下の節を参照してください。
メッセージ保護された Web サービスの問題をデバッグする方法については、「システム プロパティを使用したメッセージレベルのセキュリティのデバッグ」を参照してください。
クライアントが SOAP リクエストのデジタル署名に使用し、WebLogic Server がクライアントへの SOAP 応答の暗号化に使用する X.509 証明書を WebLogic Server で検証できることを確認しておく必要があります。以下のいずれか 1 つを実行します。
詳細については、『WebLogic Server のセキュリティ』の「SSL 証明書の検証」を参照してください。
JWS ファイルで @Policy アノテーションおよび @Policies アノテーションを使用して、Web サービスに 1 つまたは複数のポリシー ファイルがアタッチされていることを指定できます。これらのアノテーションは、クラス レベルまたはメソッド レベルのいずれかで使用できます。
追加のポリシー オプションについては、「CLASSPATH からのポリシーのロード」を参照してください。
@Policies アノテーションは、複数の @Policy アノテーションをグループ化するものです。複数のポリシー ファイルをクラスまたはメソッドにアタッチする場合は、@Policies アノテーションを使用してください。ポリシー ファイルを 1 つだけアタッチする場合は、そのファイル自体に対して @Policy を使用します。
@Policy アノテーションでは、1 つのポリシー ファイル、その場所、ポリシーが SOAP のリクエスト メッセージ、応答メッセージ、またはその両方のいずれに適用されるか、およびそのポリシー ファイルをサービスの公開 WSDL にアタッチするかどうかを指定します。
| 警告 : | すべての JWS のアノテーションにあてはまることですが、@Policy アノテーションは実行時にはオーバーライドできません。つまり、開発時にアノテーションを使用して指定したポリシー ファイルが、常に Web サービスに関連付けられることになります。したがって、たとえば、関連付けられているポリシー ファイルは実行時に Administration Console で確認できますが、削除 (関連付けを解除) することはできません。ただし、「Administration Console を使用した実行時のポリシー ファイルの関連付け」で説明されているように、追加のポリシー ファイルを関連付けることは可能です。 |
uri 属性を使用して、ポリシー ファイルの場所を以下のように指定します。
policy: プレフィックスとポリシー ファイルの名前を使用する。@Policy(uri="policy:Wssp1.2-2007-Https-BasicAuth.xml")
あらかじめパッケージ化されているポリシー ファイルを使用する場合は、独自のファイルを作成したり、アクセス可能な場所にファイルをパッケージ化したりする必要はありません。このため、できる限り、あらかじめパッケージ化されているポリシー ファイルを使用することをお勧めします。
あらかじめパッケージ化されているポリシー ファイルで提供される、各種のメッセージレベルのセキュリティについては、「メッセージレベルのセキュリティ コンフィグレーションでのポリシー ファイルの使用」を参照してください。
@Policy(uri="../policies/MyPolicy.xml")
この例では、MyPolicy.xml ファイルは、JWS ファイルを格納するディレクトリの policies 兄弟ディレクトリにあります。
| 注意 : | この場合では、ポリシー ファイルは共有 J2EE ライブラリの META-INF/policies または WEB-INF/policies ディレクトリ内にあることが前提となっています。ライブラリをパッケージ化する際には、このディレクトリにポリシー ファイルを入れるようにしてください。 |
共有 J2EE ライブラリにあるポリシー ファイルを指定するには、次の例に示すように、policy: プレフィックスとポリシー ファイルの名前を使用します。
@Policy(uri=”policy:MySharedPolicy.xml”)
共有ライブラリの作成、および Web サービスが共有のポリシー ファイルを見つけられるようにするための環境設定については、『WebLogic Server アプリケーションの開発』の「共有 J2EE ライブラリおよびオプション パッケージの作成」を参照してください。
@Policy アノテーションで以下の属性を設定することもできます。
次の例では、@Policy および @Policies JWS アノテーションの使い方を示します。該当する個所は太字で表示しています。
package wssp12.wss10;
import weblogic.jws.WLHttpTransport;import weblogic.jws.Policy;
import weblogic.jws.Policies;
import javax.jws.WebService;
import javax.jws.WebMethod;
import javax.jws.Oneway;
/**
* この Web サービスでは、WS-SecurityPolicy 1.2 を使用して、WS-Security 1.0 で
* 指定されているメッセージレベルのセキュリティを有効にする方法を示す。
*
* サービスでは、ユーザ名トークンを使用してクライアントを認証する。
* リクエスト メッセージと応答メッセージの両方を、X509 証明書を使用して署名および
* 暗号化する。
*
*/@WebService(name="Simple", targetNamespace="http://example.org")public class UsernameTokenPlainX509SignAndEncrypt {
@WLHttpTransport(contextPath="/wssp12/wss10",
serviceUri="UsernameTokenPlainX509SignAndEncrypt")
@Policy(uri="policy:Wssp1.2-2007-Wss1.0-UsernameToken-Plain-X509-Basic256.xml")
@WebMethod
@Policies({public String echo(String s) {
@Policy(uri="policy:Wssp1.2-2007-SignBody.xml"),
@Policy(uri="policy:Wssp1.2-2007-EncryptBody.xml")})
return s;
}
@WebMethod@Policies({public String echoWithWsa(String s) {
@Policy(uri="policy:Wssp1.2-2007-SignBody.xml"),
@Policy(uri="policy:Wssp1.2-2007-Sign-Wsa-Headers.xml")})
return s;
}
@WebMethod
@Policy(uri="policy:Wssp1.2-2007-SignBody.xml",public void echoOneway(String s) {
direction=Policy.Direction.inbound)
@Oneway
System.out.println("s = " + s);
}
@WebMethod
@Policies({
@Policy(uri="policy:Wssp1.2-2007-Wss1.0-X509-Basic256.xml",})
direction=Policy.Direction.inbound),
@Policy(uri="policy:Wssp1.2-2007-SignBody.xml",
direction=Policy.Direction.inbound)
@Oneway
public void echoOnewayX509(String s) {
System.out.println("X509SignEncrypt.echoOneway: " + s);
}
}
サンプルの次の部分は、Web サービスのバインディング ポリシーで、以下のポリシーを指定しています。
@WebService(name="Simple", targetNamespace="http://example.org")
@WLHttpTransport(contextPath="/wssp12/wss10",
serviceUri="UsernameTokenPlainX509SignAndEncrypt")
@Policy(uri="policy:Wssp1.2-2007-Wss1.0-UsernameToken-Plain-X509-Basic256.xml")
サンプルでは、メソッド レベルで Web サービスにセキュリティ ポリシー ファイルがアタッチされています。指定されたポリシー ファイルは、WebLogic Server であらかじめパッケージ化されているファイルです。つまり、開発者が独自のファイルを作成したり、対応するアーカイブにファイルをパッケージ化したりする必要はありません。
Wssp1.2-2007-SignBody.xml ポリシー ファイルは、SOAP のリクエスト メッセージおよび応答メッセージの両方の本文と WebLogic システム ヘッダにデジタル署名が行われることを指定しています。Wssp1.2-2007-EncryptBody.xml ポリシー ファイルは、SOAP のリクエスト メッセージおよび応答メッセージの両方の本文が暗号化されることを指定しています。
このリリースの WebLogic Server には、「ポリシーを CLASSPATH からリソースとしてロードする」機能があります。この機能を使用すると、ポリシー ファイルを Web アプリケーションのルート ディレクトリにコピーし、JWS ファイルの @POLICY アノテーションから名前 (mypolicy.xml など) により直接参照することができます。
この機能を有効にするには、以下を指定して WebLogic Server を起動します。
-Dweblogic.wsee.policy.LoadFromClassPathEnabled=true.
この機能を有効にした場合は次の点に注意してください。ポリシー ファイルを WEB-INF/policies ディレクトリに移動すると、@POLICY アノテーションの同じ「mypolicy.xml」参照が機能しなくなります。@POLICY アノテーションにポリシー プレフィックス (policy:mypolicy.xml など) を追加する必要があります。
「簡単なメッセージレベルのセキュリティのコンフィグレーション : 主な手順」で説明した、簡単なメッセージレベルのコンフィグレーション手順では、Web サービス ランタイムが WebLogic Server に用意されているプライベート キーと X.509 証明書のペアを使用することが前提となっています。SSL 用のコア セキュリティ サブシステムでも同じキー ペアが使用されます。このキー ペアは主にデモまたはテスト目的用に用意されています。プロダクション環境では、Web サービス ランタイムは通常、独自のプライベート キーとデジタル証明書のペアを 2 つ使用します。1 つは SOAP メッセージの署名用、もう 1 つは SOAP メッセージの暗号化用です。
以下では、これらを使用できるようにするための追加の手順について説明します。
必須ではありませんが、WebLogic Web サービスのみが使用するペアを 2 つ取得することをお勧めします。両方の証明書のキーの用途がコンフィグレーションの目的と一致していることを確認してください。たとえば、証明書を暗号化に使用するように指定する場合は、証明書のキーの用途が暗号用として指定されているか、または用途が定義されていないことを確認します。そうでない場合、Web サービス セキュリティ ランタイムによって証明書が拒否されます。
| 警告 : | キーの長さは 1024 ビット以上にする必要があります。 |
この手順には、Cert Gen ユーティリティまたは Sun Microsystems の keytool ユーティリティを使用できます。開発が目的の場合は、keytool ユーティリティを使用すると簡単に開始できます。
『WebLogic Server のセキュリティ』の「プライベート キー、デジタル証明書、信頼性のある認証局の取得」を参照してください。
SSL 用に WebLogic Server をすでにコンフィグレーションしてある場合は、この手順で使用できる ID キーストアがすでに作成されています。
この手順には、WebLogic の ImportPrivateKey ユーティリティと、Sun Microsystems の keytool ユーティリティを使用できます。開発が目的の場合は、keytool ユーティリティを使用すると簡単に開始できます。
『WebLogic Server のセキュリティ』の「キーストアの作成およびプライベート キーと信頼性のある認証局のキーストアへのロード」を参照してください。
『WebLogic Server のセキュリティ』の「プロダクション用のキーストアのコンフィグレーション」を参照してください。
default_wss にする必要があります。デフォルトの Web サービス セキュリティ コンフィグレーションは、別のコンフィグレーションを使用するように明示的にプログラミングされていない限り、ドメイン内のすべての Web サービスで使用されます。
Administration Console オンライン ヘルプの「Web サービス セキュリティ コンフィグレーションの作成」を参照してください。
Administration Console オンライン ヘルプの「SOAP メッセージに署名する際に使用されるキー ペアの指定」を参照してください。この手順では、キーストアとキー ペアの識別に使用されるプロパティを作成するときに各プロパティの正確な値 (IntegrityKeyStore、IntegrityKeyStorePassword など) を [名前] フィールドに入力します。ただし、独自に作成したキーストアとキー ペアを識別する値は [値] フィールドに入力します。
Administration Console オンライン ヘルプの「SOAP メッセージの暗号化に使用されるキー ペアの指定」を参照してください。この手順では、キーストアとキー ペアの識別に使用されるプロパティを作成するときに、各プロパティの正確な値 (ConfidentialityKeyStore、ConfidentialityKeyStorePassword など) を [名前] フィールドに入力します。ただし、独自に作成したキーストアとキー ペアを識別する値は [値] フィールドに入力します。
メッセージ保護された Web サービスを呼び出すように Java コードを更新する場合には、クライアントのキーストアからプライベート キーとデジタル証明書のペアをロードし、その情報を、セキュリティ ポリシーで必要とされている場合はユーザ認証用のユーザ名およびパスワードとともに、呼び出されるセキュアな WebLogic Web サービスに渡す必要があります。
Web サービスのセキュリティ ポリシー ファイルで SOAP リクエストを暗号化するように指定されている場合、Web サービス クライアント ランタイムはサービスの WSDL にアタッチされているセキュリティ ポリシー ファイルからサーバの証明書を自動的に取得し、それを暗号化に使用します。ただし、ポリシー ファイルが WSDL にアタッチされていない場合や、WSDL 自体を使用できない場合には、クライアント アプリケーションはポリシー ファイルのクライアントサイドのコピーを使用する必要があります。詳細については、「クライアントサイドのセキュリティ ポリシー ファイルの使用」を参照してください。
コード リスト 2-2 では、「セキュリティ関連アノテーションでの JWS ファイルの更新」の JWS ファイルで記述されているメッセージ保護された WebLogic Web サービスを呼び出す Java クライアント アプリケーションを示します。クライアント アプリケーションは、以下の 5 つの引数を取ります。
サンプル クライアント アプリケーションのセキュリティ固有のコードは太字で表示し、サンプルの後で説明します。
package examples.webservices.security_jws.client;
import weblogic.security.SSL.TrustManager;import weblogic.xml.crypto.wss.provider.CredentialProvider;
import weblogic.xml.crypto.wss.WSSecurityContext;
import weblogic.wsee.security.bst.ClientBSTCredentialProvider;
import weblogic.wsee.security.unt.ClientUNTCredentialProvider;import javax.xml.rpc.Stub;
import java.util.List;
import java.util.ArrayList;
import java.security.cert.X509Certificate;
/**
*Copyright © 1996, 2008, Oracle and/or its affiliates.*/
* All rights reserved.
public class SecureHelloWorldClient {
public static void main(String[] args) throws Throwable {
//ユーザ名トークンのユーザ名またはパスワード
String username = args[0];
String password = args[1];
//クライアントのプライベート キー ファイル
String keyFile = args[2];
//クライアントの証明書
String clientCertFile = args[3];
String wsdl = args[4];
SecureHelloWorldService service = new SecureHelloWorldService_Impl(wsdl + "?WSDL" );
SecureHelloWorldPortType port = service.getSecureHelloWorldServicePort();
//資格プロバイダを作成し、それをスタブに設定する
List credProviders = new ArrayList();
//クライアントサイドの BinarySecurityToken 資格プロバイダ -- x509
CredentialProvider cp = new ClientBSTCredentialProvider(clientCertFile, keyFile);
credProviders.add(cp);
//クライアントサイドの UsernameToken 資格プロバイダ
cp = new ClientUNTCredentialProvider(username, password);
credProviders.add(cp);
Stub stub = (Stub)port;
stub._setProperty(WSSecurityContext.CREDENTIAL_PROVIDER_LIST, credProviders);
stub._setProperty(WSSecurityContext.TRUST_MANAGER,
new TrustManager(){
public boolean certificateCallback(X509Certificate[] chain, int validateErr){
return true;
}
} );
String response = port.sayHello("World");
System.out.println("response = " + response);
}
}TrustManager API をインポートする。import weblogic.security.SSL.TrustManager;
import weblogic.xml.crypto.wss.provider.CredentialProvider;
import weblogic.xml.crypto.wss.WSSecurityContext;
import weblogic.wsee.security.bst.ClientBSTCredentialProvider;
import weblogic.wsee.security.unt.ClientUNTCredentialProvider;
ClientBSTCredentialProvider WebLogic API を使用して、クライアントの証明書とプライベート キーからバイナリ セキュリティ トークン資格プロバイダを作成する。CredentialProvider cp =
new ClientBSTCredentialProvider(clientCertFile, keyFile);
ClientUNTCredentialProvider WebLogic API を使用して、クライアントのユーザ名とパスワードからユーザ名トークンを作成する。ユーザ名とパスワードは WebLogic Server によっても認識されます。cp = new ClientUNTCredentialProvider(username, password);
WSSecurityContext.CREDENTIAL_PROVIDER_LIST プロパティを使用して、バイナリ セキュリティ トークンおよびユーザ名トークンを含む List オブジェクトを JAX-RPC スタブに渡す。stub._setProperty(WSSecurityContext.CREDENTIAL_PROVIDER_LIST, credProviders)
JAX-WS の場合は、これを次のようにコーディングできます。
import javax.xml.ws.BindingProvider;
:Map<String, Object> rc = ((BindingProvider) port).getRequestContext();rc.put(WSSecurityContext.CREDENTIAL_PROVIDER_LIST, credProviders);weblogic.security.SSL.TrustManager WebLogic セキュリティ API を使用して、SOAP リクエストの暗号化に使用される証明書が有効かどうかを確認する。Web サービス クライアント ランタイムは Web サービスのデプロイされた WSDL からこの証明書を取得します。プロダクションの際には、この証明書は自動的には信頼されないので、クライアント アプリケーションでは、その証明書を使用して SOAP リクエストを暗号化する前に、証明書が有効であることを確認する必要があります。stub._setProperty(WSSecurityContext.TRUST_MANAGER,
new TrustManager(){
public boolean certificateCallback(X509Certificate[] chain, int validateErr){
return true;
}
} );
このサンプルでは、クライアントサイドの TrustManager API が示されています。Web サービス アプリケーションには、セキュリティを確保するため、適切な検証コードを実装する必要があります。
「簡単なメッセージレベルのセキュリティのコンフィグレーション : 主な手順」で説明した、簡単な Web サービスのコンフィグレーション手順では、スタンドアロンのクライアント アプリケーションがメッセージ保護された Web サービスを呼び出すことが前提となっています。ただし、クライアント自体が EJB、サーブレット、または別の Web サービスの一部として、WebLogic Server インスタンスで実行されている場合もあります。この場合には、WebLogic Server コア セキュリティ フレームワークを使用して資格プロバイダとトラスト マネージャをコンフィグレーションして、EJB、サーブレット、または JWS コードには保護されたオペレーションの簡単な呼び出しのみが含まれ、他のセキュリティ関連の API の使用は含まれないようにできます。
以下では、この場合に WebLogic Server コア セキュリティ フレームワークを使用するための高度な手順について説明します。
CredentialProvider オブジェクトを作成せず、セキュアな Web サービスのホストである WebLogic Server からの証明書を検証するための TrustManager コア セキュリティ API も使用しないようにします。クライアント コードでこれらの API を使用しない理由は、Web サービス ランタイムによってこの作業が実行されるためです。| 注意 : | WebLogic Server には、ユーザ名/パスワードおよび X.509 用の資格マッピング プロバイダがあります。ただし、デフォルトでコンフィグレーションされているのはユーザ名/パスワードのみです。 |
用意されている資格プロバイダとトラスト マネージャをクライアント アプリケーションで使用しない場合は、この手順で説明したように WebLogic Server コア セキュリティ フレームワークをコンフィグレーションする必要はありません。「クライアントサイドのセキュリティ ポリシー ファイルの使用」で説明されているスタンドアロンの Java コードと同じ API を EJB、サーブレット、および JWS コードで使用することで、そのコンフィグレーションをすべてオーバーライドできます。ただし、コア セキュリティ フレームワークを使用することで、WebLogic Server のコンフィグレーションが標準化され、Web サービスを呼び出すクライアント アプリケーションの Java コードが簡略化されます。
WebLogic Server には、ほとんどのプログラマの通常のセキュリティ ニーズを満たすため、あらかじめパッケージ化された Web サービス セキュリティ ポリシー ファイルがいくつか用意されています。ただし、追加のコンフィグレーションが必要な場合は、独自の WS-SecurityPolicy ファイルを作成して使用することもできます。セキュリティ ポリシー ファイルについての全般的な情報、およびメッセージレベルのセキュリティ コンフィグレーションでセキュリティ ポリシー ファイルを使用する方法については、「メッセージレベルのセキュリティ コンフィグレーションでのポリシー ファイルの使用」を参照してください。
| 注意 : | 要素レベルのセキュリティを使用する場合は常に、1 つまたは複数のカスタム ポリシー ファイルで、保護する特定の要素のパスと名前を指定する必要があります。 |
カスタム ポリシー ファイルを作成する場合には、あらかじめパッケージ化されているファイルと同じように 3 つの主なセキュリティ カテゴリ (認証、暗号化、および署名) を 3 つの別々のポリシー ファイルに分けることもできますし、3 つのカテゴリすべてを含む 1 つのポリシー ファイルを作成することもできます。また、認証など 1 つのカテゴリだけを変更するカスタム ポリシー ファイルを作成し、その他のカテゴリについてはあらかじめパッケージ化されているファイル (Wssp1.2-2007-SignBody.xml, Wssp1.2-SignBody.xml および Wssp1.2-2007-EncryptBody, Wssp1.2-EncryptBody) を使用することもできます。つまり、Web サービスに関連付けるポリシー ファイルの数および内容は、適宜組み合わせることができます。ただしこの場合は、それらの複数のファイルが互いに矛盾していないことを常に確認する必要があります。
カスタム ポリシー ファイルは、WS-SecurityPolicy 1.2 に定義されている標準の形式およびアサーションに準拠している必要があります。ただし、このリリースの WebLogic Server は、WS-SecurityPolicy 1.2 を完全に実装しているわけではない点に注意してください。詳細については、「サポートされない WS-SecurityPolicy 1.2 アサーション」を参照してください。WS-SecurityPolicy ファイルのルート要素は <Policy> でなければなりません。また、この要素には次のネームスペース宣言が含まれている必要があります。
xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
http://www.w3.org/ns/ws-policyxmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512"
http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702
あらかじめパッケージ化されている WS-SecurityPolicy ファイルをテンプレートとして使用して、独自のカスタム ファイルを作成することもできます。「WS-SecurityPolicy 1.2 ポリシー ファイルの使用」を参照してください。
| 注意 : | このリリースでは、JAX-RPC の場合にのみ WS-Trust がサポートされます。 |
WebLogic Server では、Web サービス セキュリティで使用するためにセキュリティ トークン サービス (STS) からセキュリティ トークンを取得する WS-Trust クライアントを実装しています。WS-Trust クライアントはクライアント サイドの WebLogic Server Web サービス ランタイムによって内部的に使用されます。
WS-Trust クライアントは以下の方法でコンフィグレーションできます。
以前のリリースの WebLogic Server では、WS-Trust クライアントが使用できるのは、Web サービスと同じ場所にあって WebLogic Server でホストされている STS のセキュリティ トークンのみでした。しかし、このリリースでは、STS は WS-Trust クライアントにアクセス可能であれば、WS-Trust と同じ場所になくてもかまいません。
以前のリリースの WS-Trust クライアントでは WS-SecureConversation トークンのみをサポートしていました。現在は SAML トークンもサポートしています。
Web Service Secure Conversation Language (WS-SecureConversation) と SAML のトークンがサポートされます。トークンには以下のネームスペースと URI があります。
http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/scthttp://schemas.xmlsoap.org/ws/2005/02/sc
http://schemas.xmlsoap.org/ws/2005/02/sc/scturn:oasis:names:tc:SAML:1.0:assertion
サポートされる確認メソッドは sender-vouches です。
urn:oasis:names:tc:SAML:2.0:assertion
サポートされる確認メソッドは sender-vouches と bearer です。
WS-Trust クライアントに固有の一部のコンフィグレーション プロパティを設定します。それ以外のプロパティについては、Web サービス クライアントに通常存在するコンフィグレーション情報によって決定されます。たとえば、取得するトークンのタイプは、Web サービス クライアントが呼び出している Web サービスのセキュリティ ポリシーによって決定されます。
明示的に設定できるプロパティと適用されるトークン タイプは以下のとおりです。以降の節では、これらのプロパティの設定方法を示します。
WS-Trust クライアントがセキュア トークン サービス (STS) の URI を取得できるソースは 3 つあります。優先順位は次のとおりです。
以下のサンプル コードは、クライアント スタブでの STS URI の設定を示しています。この例では、STS URI の場所をクライアントがすでに知っていることを前提としています。
String wsdl = "http://myserver/wsscsecuredservice?wsdl";
WsscSecuredService service = new WsscSecuredService_Impl(wsdl);
WsscSecured port = service.getWsscSecuredSoapPort();
Stub stub = (Stub) port;
String sts = "https://stsserver/standaloneSTS/wssc13/STS";
stub._setProperty("weblogic.wsee.wst.sts_endpoint_uri", sts);
コード リスト 2-3 では、WebLogic Scripting Tool (WLST) を使用して WS-Trust クライアント用の資格プロバイダを作成し、STS URI をコンフィグレーションする方法を太字で示しています。
weblogic.wsee.security.wssc.v200502.sct.ClientSCCredentialProviderweblogic.wsee.security.wssc.v13.sct.ClientSCCredentialProviderweblogic.wsee.security.saml.SAMLTrustCredentialProvideruserName = sys.argv[1]
passWord = sys.argv[2]
host = sys.argv[3]+":"+sys.argv[4]
sslhost = sys.argv[3]+":"+sys.argv[5]
url="t3://"+ host connect(userName, passWord, url)
edit()
startEdit()
defaultWss = cmo.lookupWebserviceSecurity('default_wss')
# SCT 信頼クライアントの資格プロバイダを作成
wtm = defaultWss.createWebserviceCredentialProvider('trust_client_sct_cp') wtm.setClassName('weblogic.wsee.security.wssc.v13.sct.ClientSCCredentialProvider')
wtm.setTokenType('sct_trust')
cpm = wtm.createConfigurationProperty('StsUri')
cpm.setValue("https://" + sslhost + "/standaloneSTS/wssc13/STS") save()
activate(block="true")
disconnect()
exit()
WebLogic Server Administration Console から STS URI をコンフィグレーションすると、使用する URI を WebLogic Server の開発段階ではなく実行時に決定できます。
Administration Console から STS URI をコンフィグレーションするには、次の手順に従います。
[デフォルト資格プロバイダ STS URI] は、この Web サービス セキュリティ コンフィグレーションのすべての WS-Trust 対応資格プロバイダにおける、デフォルトの STS エンドポイント URL です。
以下のサンプル コードでは、クライアント スタブでの STS セキュリティ ポリシーの設定方法を太字で示しています。
String wsdl = "http://myserver/samlsecuredservice?wsdl";
SamlSecuredService service = new SamlSecuredService_Impl(wsdl);
SamlSecured port = service.getSamlSecuredSoapPort();
Stub stub = (Stub)port;
InputStream policy = loadPolicy();
stub._setProperty("weblogic.wsee.security.wst_bootstrap_policy", policy);
コード リスト 2-4 では、WLST を使用して、デフォルトの Web サービス セキュリティ コンフィグレーションの資格プロバイダを作成し、STS セキュリティ ポリシーをコンフィグレーションする方法を太字で示しています。StsPolicy プロパティの値は、WebLogic Server に含まれるポリシー (「WS-SecurityPolicy 1.2 ポリシー ファイルの使用」)、または J2EE ライブラリ内のカスタム ポリシー ファイル (カスタム ポリシー ファイルの作成と使用) にする必要があります。
userName = sys.argv[1]
passWord = sys.argv[2]
host = sys.argv[3]+":"+sys.argv[4]
sslhost = sys.argv[3]+":"+sys.argv[5]
samlstsurl = sys.argv[6]
url="t3://"+ host
print "Connect to the running adminSever"
connect(userName, passWord, url)
edit()
startEdit()
defaultWss = cmo.lookupWebserviceSecurity('default_wss')
# SAML 信頼クライアントの資格プロバイダを作成
wtm = defaultWss.createWebserviceCredentialProvider('trust_client_saml_cp')
wtm.setClassName('weblogic.wsee.security.saml.SAMLTrustCredentialProvider')
wtm.setTokenType('saml_trust')
cpm = wtm.createConfigurationProperty('StsUri')
cpm.setValue(samlstsurl) cpm = wtm.createConfigurationProperty('StsPolicy')
cpm.setValue("Wssp1.2-2007-Https-UsernameToken-Plain")save()
activate(block="true")
disconnect()
exit()
Console を使用して STS セキュリティ ポリシーをコンフィグレーションするには、次の手順に従います。
SAML STS では、デフォルト (WS-Trust 1.3) でない場合にのみ、WS-Trust のバージョンをコンフィグレーションする必要があります。WSEESecurityConstants.TRUST_VERSION でサポートされる値は次のとおりです。
また、スタンドアロン クライアントを生成した対象の Web サービスの SOAP バージョンと異なる場合は、SOAP バージョンをコンフィグレーションする必要があります (定数の定義については、「Interface SOAPConstants」を参照してください)。WSEESecurityConstants.TRUST_SOAP_VERSION でサポートされる値は次のとおりです。
コード リスト 2-5 では、WS-Trust と SOAP のバージョンの設定の例を示しています。
// WS-Trust のバージョンを設定
stub._setProperty(WSEESecurityConstants.TRUST_VERSION, "http://docs.oasis-open.org/ws-sx/ws-trust/200512");
// SOAP のバージョンを設定
stub._setProperty(WSEESecurityConstants.TRUST_SOAP_VERSION, SOAPConstants.URI_NS_SOAP_1_1_ENVELOPE);
| 注意 : | このリリースでは、JAX-RPC の場合にのみ SecureConversation がサポートされます。 |
セキュリティ コンテキストと派生キーをコンフィグレーションするために、以下のあらかじめパッケージ化されている WS-SecurityPolicy ファイルが提供されています。
必要な機能と一般的なデフォルト値のほとんどが、これらのセキュリティ ポリシー ファイルで提供されるので、セキュリティ コンテキストをコンフィグレーションする場合には、これらのあらかじめパッケージ化されたファイルを使用することをお勧めします。これらのファイルの詳細については、「WS-SecureConversation ポリシー」を参照してください。
| 警告 : | クラスタに対して共有のセキュリティ コンテキストを使用する Web サービスをデプロイしている場合、クラスタ間のセッション ステート レプリケーションもコンフィグレーションする必要があります。詳細については、『Using Clusters』の「クラスタのフェイルオーバとレプリケーション」を参照してください。 |
ポリシー アノテーション、アプリケーションの WSDL に添付されたポリシー、または実行時のポリシーコンフィグレーションを通じてポリシーを使用するように、アプリケーションをコーディングまたはコンフィグレーションします。
WebLogic Web サービスでは、Web Services Trust (WS-Trust 1.3) および Web Services Secure Conversation (WS-SecureConversation 1.3) 仕様を実装しています。02/2005 バージョンの WS-SecureConversation との以下の相違点に注意してください。
これは、トークン サービスが wst:RequestSecurityTokenResponse を返していた以前のバージョンの仕様とは異なります。
以下のようにサービス ポリシーで SC10SecurityContextToken が指定されている場合、トークン サービスは wst:RequestSecurityTokenResponse を返すことができます。
<sp:SC10SecurityContextToken />
<sp:SC13SecurityContextToken />
sp:SC10SecurityContextToken は、02/2005 バージョンの WS-SecureConversation で使用する場合にのみ、引き続きサポートされます。
WS-SecureConversation は、クラスタ内の特定の WebLogic Server インスタンスに固定されています。SecureConversation リクエストが間違ったサーバに届くと、自動的に正しいサーバに転送されます。WS-SecureConversation をホストするサーバ インスタンスに障害が発生した場合は、そのサーバ インスタンスが回復するまで SecureConversation を使用できなくなります。
Web サービスの呼び出し時にセキュリティ コンテキストのネゴシエーションを行うクライアント アプリケーションは、メッセージ保護された Web サービスを呼び出す標準的なクライアント アプリケーションに似ています。詳細については、「クライアントサイドのセキュリティ ポリシー ファイルの使用」を参照してください。本質的には、セキュアなコンテキスト トークンを明示的にキャンセルするために、weblogic.wsee.security.wssc.utils.WSSCClientUtil API を使用できるという点だけが異なっています。
| 注意 : | WebLogic Server には、ユーザの利便性だけを目的として WSSCCLientUtil API が用意されています。この Web サービス ランタイムでは、コンフィグレーションされたタイムアウトに到達するとセキュアなコンテキスト トークンが自動的にキャンセルされます。この API は、トークンをキャンセルする時期をより厳密に制御する必要がある場合にのみ使用します。 |
コード リスト 2-6 に、セキュアな会話を実現するため、あらかじめパッケージ化されているセキュリティ ポリシー ファイルに関連付けられた Web サービスを呼び出す単純なクライアント アプリケーションのサンプルを示します。セキュリティ コンテキストに関連する太字で表された部分については、このサンプルの後で説明します。
package examples.webservices.wssc.client;
import weblogic.security.SSL.TrustManager;
import weblogic.xml.crypto.wss.provider.CredentialProvider;
import weblogic.xml.crypto.wss.WSSecurityContext;
import weblogic.wsee.security.bst.ClientBSTCredentialProvider;
import weblogic.wsee.security.bst.StubPropertyBSTCredProv;import weblogic.wsee.security.wssc.utils.WSSCClientUtil;import weblogic.wsee.security.util.CertUtils;
import javax.xml.rpc.Stub;
import java.util.List;
import java.util.ArrayList;
import java.security.cert.X509Certificate;
/**
*Copyright © 1996, 2008, Oracle and/or its affiliates.*/
* All rights reserved.
public class WSSecureConvClient {
public static void main(String[] args) throws Throwable {
String clientKeyStore = args[0];
String clientKeyStorePass = args[1];
String clientKeyAlias = args[2];
String clientKeyPass = args[3];
String serverCert = args[4];
String wsdl = args[5];
WSSecureConvService service = new WSSecureConvService_Impl(wsdl);
WSSecureConvPortType port = service.getWSSecureConvServicePort();
// 資格プロバイダを作成し、それをスタブに設定する
List credProviders = new ArrayList();
// x509 を使用して wssc ハンドシェークを保護する
credProviders.add(new ClientBSTCredentialProvider(clientKeyStore, clientKeyStorePass, clientKeyAlias, clientKeyPass));
Stub stub = (Stub)port;
stub._setProperty(WSSecurityContext.CREDENTIAL_PROVIDER_LIST, credProviders);stub._setProperty(StubPropertyBSTCredProv.SERVER_ENCRYPT_CERT, CertUtils.getCertificate(serverCert));stub._setProperty(WSSecurityContext.TRUST_MANAGER,
new TrustManager(){
public boolean certificateCallback(X509Certificate[] chain, int validateErr){
// サーバの証明書を信頼できるかどうかの検証に必要
return true;
}
}
);
System.out.println (port.sayHelloWithWSSC("Hello World, once"));
System.out.println (port.sayHelloWithWSSC("Hello World, twice"));
System.out.println (port.sayHelloWithWSSC("Hello World, thrice"));
//呼び出しの終了後に SecureContextToken をキャンセルするWSSCClientUtil.terminateWssc(stub);}
System.out.println("WSSC terminated!");
}
import weblogic.wsee.security.wssc.utils.WSSCClientUtil;
stub._setProperty(StubPropertyBSTCredProv.SERVER_ENCRYPT_CERT, CertUtils.getCertificate(serverCert));
WSSClientUtil クラスの terminateWssc() メソッドを使用して、セキュアなコンテキスト トークンを終了する。WSSCClientUtil.terminateWssc(stub);
「簡単なメッセージレベルのセキュリティのコンフィグレーション : 主な手順」で説明した、簡単なメッセージレベルのコンフィグレーション手順では、Web サービスを実装する JWS ファイルで @Policy および @Policies JWS アノテーションを使用して、サービスに関連付けられている 1 つまたは複数のポリシー ファイルを指定する方法について説明しています。つまり、これは Web サービスのプログラミング時には Web サービスとそのオペレーションに関連付けるポリシー ファイルをあらかじめ認識しておく必要があることを示します。しかし、常にあらかじめポリシー ファイルを認識できるとは限りません。そのため、Web サービスをデプロイした後で Administration Console を使用して実行時にポリシー ファイルを関連付けることもできます。
JWS ファイルで @Policy JWS アノテーションも @Policies JWS アノテーションも使用せずに、Administration Console を使用して実行時にポリシー ファイルを関連付けることもでき、これらのアノテーションを使用して一部のポリシー ファイルを指定し、追加の WS-Policy ファイルを実行時に関連付けることもできます。ただし、いったん JWS アノテーションを使用してポリシー ファイルを関連付けると、その関連付けは実行時に Administration Console を使用して変更することはできません。
Administration Console では、ファイル内のポリシー アサーションが互いに矛盾していても、JWS アノテーションに関連付けられているポリシー ファイル内のアサーションと矛盾していても、実行時にポリシー ファイルを Web サービスやそのオペレーションにいくつでも関連付けることができます。ただし、関連付けられた複数のポリシー ファイルが連携できるように、管理者が確認する必要があります。何らかの矛盾がある場合は、クライアント アプリケーションが Web サービスのオペレーションを呼び出すときに、WebLogic Server から実行時エラーが返されます。
Administration Console を使用して 1 つまたは複数の WS-Policy ファイルを Web サービスに関連付けるには、EJB JAR ファイルの META-INF/policies ディレクトリ (EJB 実装の Web サービスの場合) または WAR ファイルの WEB-INF/policies ディレクトリ (Java 実装の Web サービスの場合) に WS-Policy XML ファイルを格納する必要があります。
Administration Console を使用して実行時にポリシー ファイルを関連付ける詳細な手順については、Administration Console オンライン ヘルプの「WS-Policy ファイルと Web サービスとの関連付け」を参照してください。
SAML Token Profile 1.1 は WS-Security 標準のコア セットの一部であり、SAML アサーションを Web サービス セキュリティに使用する方法が規定されています。WebLogic Server 10.3 では、SAML 2.0 および SAML 1.1 アサーションのサポートを含めて、SAML Token Profile 1.1 をサポートしています。SAML Token Profile 1.1 は SAML Token Profile 1.0 と下位互換性があります。
| 注意 : | SAML Token Profile 1.1 は WS-SecurityPolicy を通じてのみサポートされます。 |
| 注意 : | WS-SecurityPolicy 仕様が規定される前にリリースされた旧バージョンの WebLogic Server では、WS-Policy 仕様に基づき、独自のセキュリティ ポリシー スキーマを使用して記述されたセキュリティ ポリシー ファイルを使用していました。これらの以前のセキュリティ ポリシー ファイルでは SAML Token Profile 1.0 と SAML 1.1 のみをサポートします。 |
「簡単なメッセージレベルのセキュリティのコンフィグレーション : 主な手順」で説明した、簡単な Web サービスのコンフィグレーション手順では、ユーザがユーザ名トークンを使用して自身を認証することが前提となっています。WebLogic Server は Web Services Security 仕様の SAML Token Profile 1.1 を実装しているため、この節で説明するように、ユーザは Web サービスのオペレーションの呼び出し時に SOAP メッセージで SAML トークンを使用して自身を認証することもできます。
SAML トークンの使用はサーバ間で機能します。つまり、ある WebLogic Server インスタンスで実行されているクライアント アプリケーションが、ID として SAML を使用して別の WebLogic Server インスタンスで実行されている Web サービスを呼び出します。クライアント アプリケーション自体が Web サービスであるため、Web サービス セキュリティ ランタイムによってすべての SAML プロセスが処理されます。
このサーバ間での使用に加えて、「WS-Trust クライアントのコンフィグレーション」で説明するように、WS-Trust を通じてスタンドアロン クライアントから SAML トークンを使用することもできます。
| 注意 : | この節では、読者が SAML の基礎と、SAML を WebLogic Server のコア セキュリティに関連付ける方法を理解していることを前提としています。全般的な情報については、『WebLogic Security について』の「SAML (Security Assertion Markup Language)」を参照してください。 |
| 注意 : | 次の手順では、「簡単なメッセージレベルのセキュリティのコンフィグレーション : 主な手順」での手順がすでに実行されていることを前提として、ユーザ名トークンではなく、SAML トークンを ID として使用できるようにします。 |
| 注意 : | SAML トークン プロファイルで両方のバージョンの SAML を使用する場合は、SAML 1.1 と SAML 2.0 の両方のセキュリティ プロバイダをコンフィグレーションする必要があります。 |
| 注意 : | SAML 2.0 パートナ エントリをコンフィグレーションする場合は、WSSIdPPartner と WSSSPPartner の両方のエントリで、パートナの名前として対象の Web サービスのエンドポイント URL を使用する必要があります。SSL を使用する場合は、URL を HTTPS として指定します。 |
| 注意 : | これらのキーと証明書は、アサーション自体の署名を作成または検証するためには使用されません。アサーションに対する署名の作成と検証には、SAML セキュリティ プロバイダでコンフィグレーションされているキーと証明書が使用されます。 |
| 注意 : | SAML Bearer ポリシーを使用する場合は、保護は SSL によって提供され、PKI 資格マッピング プロバイダは必要ありません。 |
| 注意 : | WS-TRUST を介してスタンドアロン クライアントからの SAML トークンを使用する場合、トークンは PKI 資格マッピング プロバイダではなく Web サービス クライアント スタブを通じて渡されます。 |
setKeypairCredential は principalName、resourceid、資格アクション、キーストア エリアス、対応するパスワードの間のキーペア マッピングを作成します。 pkiCM.setKeypairCredential(
type=<remote>, protocol=http,
remoteHost=hostname, remotePort=portnumber, path=/ContextPath/ServicePath,
username, Boolean('true'), None,
alias, passphrase)
最初の (String) パラメータを使用して、対象の Web サービスのエンドポイントを表すリソース オブジェクトが作成されます。userName パラメータは、署名済み Web サービス メッセージを生成する際のユーザです。alias および passphrase パラメータは、PKI 資格マッピング プロバイダでコンフィグレーションされているキーストアからキーと証明書を取得するときに使用されるエリアスとパスフレーズです。KeypairCredential を作成する前に、実際のキーと証明書をキーストアにロードしておく必要があります。
reg.registerCertificate(certalias, certfile)
WS-SecurityPolicy では SAML アサーションに対する確認メソッドが明示的ではなく暗黙的に指定されています。以下の全般的なガイドラインを検討してください。
<sp:AsymerticBinding> または <sp:SymerticBinding> の内部にある場合は、Holder of Key 確認メソッドを使用する。
Holder of Key 確認メソッドを使用するポリシーの例については、表 2-8 を参照してください。
<sp:SignedSupportingTokens> の内部にある場合は、Sender Vouches 確認メソッドを使用する。
Sender Vouches 確認メソッドを使用するポリシーの例については、表 2-8 を参照してください。
<sp:SupportingTokens> の内部にある場合は、Bearer 確認メソッドを使用する。この場合は、「転送レベルのセキュリティのコンフィグレーション」で説明するように、転送レベルのセキュリティを使用します。
Bearer 確認メソッドを使用するポリシーの例については、表 2-8 を参照してください。
この節では、セキュリティ ポリシーとして独自のスキーマを使用するポリシー ファイル内に SAML 確認メソッドを指定する方法について説明します。
| 注意 : | SAML V1.1 および V2.0 アサーションではそれぞれ <saml:SubjectConfirmation> および <saml2:SubjectConfimation> 要素を使用して確認メソッドを指定します。確認メソッドはポリシー ファイル内で直接指定されません。 |
ID として SAML トークンを要求するように Web サービスをコンフィグレーションする場合には、以下のいずれかの確認メソッドを指定できます。
これらの確認メソッドの詳細については、「WebLogic Web サービスでの SAML トークン プロファイルのサポート」および Web Services Security: SAML Token Profile 仕様そのものを参照してください。
sender-vouches または holder-of-key) によって変わります。
sender-vouches 確認メソッドを指定するには、次の作業を行います。
<Identity><SupportedTokens> 要素の <SecurityToken> 子要素を作成し、TokenType 属性を SAML トークンの使用を示す値に設定する。<SecurityToken> 要素の <Claims><Confirmationmethod> 子要素を追加し、sender-vouches を指定する。<?xml version="1.0"?>
<wsp:Policy
xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
xmlns:wssp="http://www.bea.com/wls90/security/policy"
xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"
xmlns:wls="http://www.bea.com/wls90/security/policy/wsee#part"
>
<wssp:Identity>
<wssp:SupportedTokens>
<wssp:SecurityToken</wssp:SupportedTokens>
TokenType="http://docs.oasis-open.org/wss/2004/01/oasis-2004-01-saml-token-profile-1.0#SAMLAssertionID">
<wssp:Claims>
<wssp:ConfirmationMethod>sender-vouches</wssp:ConfirmationMethod>
</wssp:Claims>
</wssp:SecurityToken>
</wssp:Identity>
</wsp:Policy>
holder-of-key 確認メソッドを指定するには、次の作業を行います。
<Integrity><SupportedTokens> 要素の <SecurityToken> 子要素を作成し、TokenType 属性を SAML トークンの使用を示す値に設定する。
holder-of-key 確認メソッドのための <Integrity> アサーションに SAML トークンを含めるのは、Web サービス ランタイムで sender-vouches では必要でないメッセージの整合性の証明が必要なためです。
<SecurityToken> 要素の <Claims><Confirmationmethod> 子要素を追加し、holder-of-key を指定する。<?xml version="1.0"?>
<wsp:Policy
xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
xmlns:wssp="http://www.bea.com/wls90/security/policy"
xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"
xmlns:wls="http://www.bea.com/wls90/security/policy/wsee#part">
<wssp:Integrity>
<wssp:SignatureAlgorithm
URI="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<wssp:CanonicalizationAlgorithm
URI="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<wssp:Target>
<wssp:DigestAlgorithm
URI="http://www.w3.org/2000/09/xmldsig#sha1" />
<wssp:MessageParts
Dialect="http://schemas.xmlsoap.org/2002/12/wsse#part">
wsp:Body()
</wssp:MessageParts>
</wssp:Target>
<wssp:SupportedTokens>
<wssp:SecurityToken</wssp:SupportedTokens>
IncludeInMessage="true"
TokenType="http://docs.oasis-open.org/wss/2004/01/oasis-2004-01-saml-token-profile-1.0#SAMLAssertionID">
<wssp:Claims>
<wssp:ConfirmationMethod>holder-of-key</wssp:ConfirmationMethod>
</wssp:Claims>
</wssp:SecurityToken>
</wssp:Integrity>
</wsp:Policy>
<KeyInfo> アサーションで指定されている X.509 証明書を検証する。SAML holder-of-key アサーション使用時にこの検証を無効化するには、SAML トークン ハンドラ上にプロパティを設定することで、Web サービスと関連付けられた Web サービス セキュリティ コンフィグレーションを指定する必要があります。Administration Console でこれを行う方法については、Administration Console オンライン ヘルプの「SAML holder_of_key アサーション使用時の X.509 証明書の検証の無効化」を参照してください。
独自のセキュリティ ポリシー ファイルの作成の詳細については、「カスタム ポリシー ファイルの作成と使用」を参照してください。アサーションのリファレンス情報については、『WebLogic Web サービス リファレンス』の「Oracle Web サービス セキュリティ ポリシー アサーションのリファレンス」を参照してください。
@Policy アノテーションを更新して、前の手順で作成したセキュリティ ポリシー ファイルを指定します。たとえば、Web サービスのすべてのオペレーションの呼び出しで SAML を ID として使用する場合は、@Policy アノテーションをクラスレベルで指定します。
Web サービスに関連付けるポリシー ファイルは、互いに矛盾しない限り、適宜組み合わせることができます。ただし、OASIS WS-SecurityPolicy 1.2 ファイルと、Oracle のセキュリティ ポリシー スキーマに従って記述されたセキュリティ ポリシー ファイルを組み合わせることはできません。
たとえば、SAML の ID としての使用を指定する <Identity> セキュリティ アサーションのみを含む、簡単な MyAuth.xml ファイルを作成し、あらかじめパッケージ化されている Wssp1.2-2007-EncryptBody.xml ファイルおよび Wssp1.2-2007-SignBody.xml ファイルとともにそのファイルを Web サービスに関連付けることができます。ただし、関連付けられた複数のポリシー ファイルが互いに矛盾しないように、管理者が確認する必要があります。何らかの矛盾がある場合は、実行時エラーが発生するか、または Web サービスが想定どおりに動作しなくなるおそれがあります。
『JAX-RPC を使用した WebLogic Web サービスの開始』の「WebLogic Web サービスの開発」を参照してください。
前述の使用例の多くでは、Administration Console を使用した、デフォルトの Web サービス セキュリティ コンフィグレーションの作成 (名前は default_wss) が必要になります。このコンフィグレーションの作成後は、@weblogic.jws.security.WssConfiguration JWS アノテーションを使用しなくても、属性のない状態でこのアノテーションを指定しても、すべての Web サービスにこのコンフィグレーションが適用されます。
ただし、指定するタイムスタンプ値をサービス間で変える場合など、Web サービスをデフォルト以外のセキュリティ コンフィグレーションに関連付ける必要が生じる場合もあります。
Web サービスをデフォルト以外のセキュリティ コンフィグレーションに関連付けるには、次の手順に従います。
default_wss 以外の名前が指定された Web サービス セキュリティ コンフィグレーションを作成します (Administration Console オンライン ヘルプ)。@WssConfiguration アノテーションを追加して、このセキュリティ コンフィグレーションの名前を指定します。詳細と例については、『WebLogic Web サービス リファレンス ガイド』の「weblogic.jws.security.WssConfiguration」を参照してください。| 警告 : | 同じ Web アプリケーションに追加の Web サービスをパッケージ化する予定があり、それらの Web サービスでも @WssConfiguration アノテーションを使用する場合は、各 Web サービスに同じセキュリティ コンフィグレーションを指定する必要があります。詳細については、『WebLogic Web サービス リファレンス ガイド』の「weblogic.jws.security.WssConfiguration」を参照してください。 |
『JAX-WS を使用した WebLogic Web サービスの開始』の「Web サービスの呼び出し」および『JAX-RPC を使用した WebLogic Web サービスの開始』の「WebLogic Web サービスの開発」を参照してください。
| 警告 : | すべての Web サービス セキュリティ コンフィグレーションで同じパスワード ダイジェストの使用を指定する必要があります。使用するパスワード ダイジェストが Web サービス セキュリティ コンフィグレーション間で異なると、実行時エラーが発生します。 |
セキュリティ コンフィグレーションを作成するときに、そのコンフィグレーションの資格プロバイダのクラス名を指定する必要があります。使用できる有効なクラス名とトークン タイプは以下のとおりです。
weblogic.wsee.security.bst.ClientBSTCredentialProvider。トークン タイプは x509。weblogic.wsee.security.unt.ClientUNTCredentialProvider。トークン タイプは ut。weblogic.wsee.security.wssc.v13.sct.ClientSCCredentialProvider。トークン タイプは sct。weblogic.wsee.security.wssc.v200502.sct.ClientSCCredentialProvider。トークン タイプは sct。weblogic.wsee.security.saml.SAMLTrustCredentialProvider。トークン タイプは saml。
次の表に、メッセージ保護された Web サービスの問題をデバッグするために設定できるシステム プロパティをまとめます。
「メッセージレベルのセキュリティ コンフィグレーションでのポリシー ファイルの使用」では、Web サービスのメッセージレベルのセキュリティを記述する 1 つまたは複数のセキュリティ ポリシー ファイルに、WebLogic Web サービスを関連付ける方法について説明しています。これらのポリシー ファイルは、SOAP メッセージのデジタル署名やデジタル暗号化の方法と、Web サービスを呼び出すクライアントで必要になるユーザ認証の種類を記述する XML ファイルです。通常、Web サービスに関連付けられたポリシー ファイルはその WSDL にアタッチされます。Web サービス クライアント ランタイムはこれを読み取り、クライアント アプリケーションから呼び出されたオペレーションからの SOAP メッセージ リクエストのデジタル署名やデジタル暗号化を行うかどうかを判別したり、行う場合はその方法を判別したりします。
しかし、Web サービスがデプロイ済みの WSDL にポリシー ファイルをアタッチしない場合や、Web サービスが WSDL をまったくエクスポーズしないようにコンフィグレーションされている場合もあります。これらの場合、Web サービス クライアント ランタイムは、SOAP メッセージ リクエストのために有効にしなければならないセキュリティをサービス自体から判別することはできません。代わりに、ポリシー ファイルのクライアントサイドのコピーをロードする必要があります。この節では、クライアント アプリケーションを更新して、ポリシー ファイルのローカル コピーがロードされるようにする方法について説明します。
通常、クライアントサイドのポリシー ファイルは、デプロイ済みの Web サービスに関連付けられているポリシー ファイルとまったく同じものです。これら 2 つのファイルが異なり、ファイルに含まれるセキュリティ アサーションに矛盾がある場合は、Web サービス オペレーションを呼び出すとエラーが返されます。
クライアントサイドのポリシー ファイルは、SOAP メッセージのリクエスト、応答、またはその両方に関連付けることができます。また、ポリシー ファイルを Web サービス全体と関連付けるのか、Web サービスのオペレーションのうちの 1 つだけと関連付けるのかを指定できます。
次の手順では、Web サービス オペレーションを呼び出すクライアント アプリケーションにセキュリティ ポリシー ファイルを関連付ける高度な手順を説明します。
デプロイされた Web サービスを呼び出すクライアント アプリケーションを作成済みであり、クライアントサイドのポリシー ファイルを関連付けることでクライアント アプリケーションを更新することを想定しています。また、Ant ベースの開発環境を設定済みであり、かつ clientgen Ant タスクを実行するためのターゲットを含む、作業用の build.xml ファイルがあることが前提となっています。
『JAX-WS を使用した WebLogic Web サービスの開始』の「Web サービスの呼び出し」および『JAX-RPC を使用した WebLogic Web サービスの開始』の「スタンドアロン クライアントからの Web サービスの呼び出し : 主な手順」を参照してください。
セキュリティ ポリシー ファイルの作成の詳細については、「カスタム ポリシー ファイルの作成と使用」を参照してください。
clientgen Ant タスクが JAX-RPC スタブ内に追加の getXXXPort() メソッドを生成するように指定し、クライアント アプリケーションをビルドする build.xml ファイルを更新します。XXX は Web サービスの名前です。これらのメソッドは、後ほどクライアント アプリケーションがクライアントサイドのポリシー ファイルをロードする際に使用します。
「ポリシー ファイルをロードするメソッドを生成するための clientgen の更新」を参照してください。
clientgen Ant タスクによって生成された追加の getXXXPort() メソッドでクライアントサイドのポリシー ファイルがロードされるようにします。
「ポリシー ファイルをロードするためのクライアント アプリケーションの更新 (JAX-RPC のみ)」を参照してください。
prompt> ant build-client
次回クライアント アプリケーションを実行したときには、ポリシー ファイルのローカル コピーがロードされ、Web サービス クライアント ランタイムはこれを使用して SOAP リクエスト メッセージのセキュリティを有効にします。
| 注意 : | すでにセキュリティ ポリシーが設定されている Web サービス オペレーション (たとえば、サーバ ポリシーからクライアントを生成する際に格納された WSDL ファイル内で設定された Web サービス オペレーション) が存在する場合、この手順に従ってクライアントサイドのセキュリティ ポリシーをプログラム的に設定すると、それ以前に存在していたポリシーはすべて削除されます。 |
JAX-RPC の場合は、clientgen Ant タスクの generatePolicyMethods 属性を true に設定して、Ant タスクが追加の getXXX() メソッドを JAX-RPC Service インタフェースの実装内に生成するように指定し、ポートの取得時にポリシー ファイルのクライアントサイド コピーがロードされるようにします。次に例を示します。
<clientgen
wsdl="http://ariel:7001/policy/ClientPolicyService?WSDL"
destDir="${clientclass-dir}"
generatePolicyMethods="true"
packageName="examples.webservices.client_policy.client"/>
生成される追加のメソッドの詳細、およびクライアント アプリケーションでのそれらのメソッドの使用方法については、「ポリシー ファイルをロードするためのクライアント アプリケーションの更新 (JAX-RPC のみ)」を参照してください。
JAX-WS の場合は、weblogic.jws.jaxws.ClientPolicyFeature クラスを使用して、サービスで定義されている有効なポリシーをオーバーライドします。weblogic.jws.jaxws.ClientPolicyFeature は javax.xml.ws.WebServiceFeature を拡張しています。
clientgen で generatePolicyMethods="true" に設定すると、Ant タスクはポリシー ファイルのロードに使用できる JAX-RPC Service インタフェースの実装内に追加メソッドを生成します。XXX は Web サービスの名前です。
ポリシー ファイルの配列または集合を、Web サービスへの複数ファイルの関連付けに使用できます。単一のポリシー ファイルのみを関連付ける場合は、単一メンバーの配列または集合を作成します。
getXXXPort(String operationName, java.util.Set<java.io.InputStream> inbound, java.util.Set<java.io.InputStream> outbound)
クライアントサイドのポリシー ファイルの別個の 2 つの集合を、InputStreams からロードし、1 つ目の集合を SOAP リクエストに関連付け、2 つ目を SOAP 応答に関連付けます。最初のパラメータで指定されているように、特定のオペレーションに適用されます。
getXXXPort(String operationName, java.io.InputStream[] inbound, java.io.InputStream[] outbound)
クライアントサイドのポリシー ファイルの別個の 2 つの配列を、InputStreams からロードし、1 つ目の配列を SOAP リクエストに関連付け、2 つ目を SOAP 応答に関連付けます。最初のパラメータで指定されているように、特定のオペレーションに適用されます。
getXXXPort(java.util.Set<java.io.InputStream> inbound, java.util.Set<java.io.InputStream> outbound)
クライアントサイドのポリシー ファイルの別個の 2 つの集合を、InputStreams からロードし、1 つ目の集合を SOAP リクエストに関連付け、2 つ目を SOAP 応答に関連付けます。Web サービスのすべてのオペレーションに適用されます。
getXXXPort(java.io.InputStream[] inbound, java.io.InputStream[] outbound)
クライアントサイドのポリシー ファイルの別個の 2 つの配列を、InputStreams からロードし、1 つ目の配列を SOAP リクエストに関連付け、2 つ目を SOAP 応答に関連付けます。Web サービスのすべてのオペレーションに適用されます。
Web サービスのポートを取得すると同時に、そのポートを使用するすべてのオペレーションまたは指定されたオペレーションの呼び出しに対してポリシー ファイル (群) が関連付けられるようにするには、パラメータのない通常の getXXXPort() メソッドではなく、これらのメソッドを使用します。
| 注意 : | 前のリリースの WebLogic Server からの以下のメソッドは、非推奨となっています。単一のクライアントサイドポリシー ファイルの関連付けを行う場合は、単一メンバーの配列または集合を指定し、上述の対応するメソッドを使用します。 |
getXXXPort(java.io.InputStream policyInputStream);
単一のクライアントサイドポリシー ファイルを InputStream からロードし、SOAP リクエスト (着信) メッセージおよび SOAP 応答 (発信) メッセージの両方に追加します。
getXXXPort(java.io.InputStream policyInputStream, boolean inbound, boolean outbound);
単一のクライアントサイド ポリシー ファイルを InputStream からロードし、2 番目および 3 番目のパラメータのブール値に応じて、SOAP リクエスト メッセージまたは SOAP 応答メッセージのどちらかに適用します。
コード リスト 2-7 では、単純なクライアント アプリケーションでこれらのポリシー メソッドの使用例を示します。コードの太字部分については、後ほど説明を加えます。
package examples.webservices.client_policy.client;
import java.rmi.RemoteException;
import javax.xml.rpc.ServiceException;
import javax.xml.rpc.Stub;
import java.io.FileInputStream;
import java.io.IOException;
/**
* ClientPolicyService Web サービスの <code>sayHello</code> オペレーションを呼び出す
* 簡単なスタンドアロンのクライアント アプリケーション
*
* @authorCopyright © 1996, 2008, Oracle and/or its affiliates.*/
* All rights reserved.
public class Main {public static void main(String[] args)
throws ServiceException, RemoteException, IOException {
FileInputStream [] inbound_policy_array = new FileInputStream[2];
inbound_policy_array[0] = new FileInputStream(args[1]);
inbound_policy_array[1] = new FileInputStream(args[2]); FileInputStream [] outbound_policy_array = new FileInputStream[2];
outbound_policy_array[0] = new FileInputStream(args[1]);
outbound_policy_array[1] = new FileInputStream(args[2]);ClientPolicyService service = new ClientPolicyService_Impl(args[0] + "?WSDL");
// Web サービスのポートを取得する標準的な方法ClientPolicyPortType normal_port = service.getClientPolicyPort();
// 特定のオペレーションのリクエストと応答のためのポリシー ファイル
// の配列を指定するClientPolicyPortType array_of_policy_port = service.getClientPolicyPort("sayHello", inbound_policy_array, outbound_policy_array);
try {
String result = null;
result = normal_port.sayHello("Hi there!");
result = array_of_policy_port.sayHello("Hi there!");
System.out.println( "Got result: " + result );
} catch (RemoteException e) {
throw e;
}
}
}
クライアント アプリケーションに対する 2 つ目と 3 つ目の引数は、アプリケーションが FileInputStreams の配列 (inbound_policy_array および outbound_policy_array) を作成する元となる 2 つのポリシー ファイルです。normal_port はポートの取得にパラメータのない標準的なメソッドを使用します。一方、array_of_policy_port はポリシー メソッドの 1 つを使用します。このポリシーメソッドで、ポートを使用する sayHello オペレーションの呼び出しでは複数のポリシー ファイル (FileInputStream の配列で指定) が、着信および発信の SOAP リクエストおよび応答と関連付けられていることを指定します。
ClientPolicyPortType array_of_policy_port = service.getClientPolicyPort("sayHello", inbound_policy_array, outbound_policy_array);
WebLogic Server には、ほとんどの Web サービス アプリケーションで使用できる WS-SecurityPolicy ファイルがいくつか用意されています。格納されている場所は、BEA_HOME/WL_HOME/server/lib/weblogic.jar 内の /weblogic/wsee/policy/runtime です。
これらのポリシーには 2 つのセットがあります。両者はほとんどの場合に同じ機能を実行しますが、異なるネームスペースを使用しています。
最初のセットはこのリリースで導入されたポリシーで、「Wssp1.2-2007-」というプレフィックスが付いています。これらのセキュリティ ポリシー ファイルは、OASIS WS-SecurityPolicy 1.2 仕様に準拠しており、次のネームスペースを備えています。
xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702"
2 番目のセットは WebLogic Server バージョン 10.0 から引き継がれたもので、「Wssp1.2-」というプレフィックスが付いています。
<wsp:Policy
xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512"
>
OASIS 標準の公式のネームスペースであり、他のベンダと相互運用するときに適しているため、新しいポリシー ネームスペースを使用することをお勧めします。「Wssp1.2-」プレフィックスの付いた古いポリシーは主に、このバージョンのポリシーをすでに使用している既存のアプリケーションと相互運用するユーザを対象としています。
以下の節では、使用可能な WS-SecurityPolicy 1.2 ポリシー ファイルについて説明します。
それぞれの Web サービス実装に最も適したセキュリティ ポリシーを選択する方法については「ポリシーの選択」および「適切なポリシーの選択のコンフィグレーション」を参照してください。また、このリリースの WebLogic Server でサポートされない WS-SecurityPolicy 1.2 要素については、「サポートされない WS-SecurityPolicy 1.2 アサーション」を参照してください。
転送レベルのポリシーでは、WSDL へのアクセスおよび Web サービス オペレーションの呼び出しに、https プロトコルを使用する必要があります。
保護アサーションは、保護の対象とレベルを特定するために使用します。保護アサーション ポリシーは単独では使用できず、X.509 トークン ポリシーと組み合わせることによってのみ使用できます。たとえば、Wssp1.2-2007-Wss1.1-X509-Basic256.xml と Wssp1.2-2007-SignBody.xml を組み合わせて使用します。以下のポリシー ファイルは、署名および暗号化によって、メッセージ部分の保護を提供します。
以下のポリシーでは、WS-Security 1.0 のユーザ名トークン仕様および X509 トークン仕様がサポートされます。
以下のポリシーでは、WS-Security 1.1 のユーザ名トークン仕様および X509 トークン仕様がサポートされます。
以下のポリシーでは、WS-SecureConversation 1.3 および WS-SecureConversation 2005/2 を実装しています。
表 2-8 に示すポリシーは WS-Security SAML Token Profile 1.0 および 1.1 を実装しています。
WebLogic Server は、WS-SecurityPolicy 1.2 を実装したことで、セキュリティ ポリシーの幅広い選択肢を提供できるようになりました。Web サービスのセキュリティ ポリシーを選択する際は、以下の面での要件を考慮する必要があります。
Oracle では、可能な限り以下の指針に従うことを推奨します。
Wssp1.2-2007-Https-*.xml) は、メッセージレベルのセキュリティが必要ない場所にのみ使用する。
表 2-9 の WS-SecurityPolicy 1.2 アサーションはこのリリースの WebLogic Server ではサポートされていません。
WebLogic Server 10.3 では Optional WS-Policy アサーションをサポートしています。以下の例で Optional の使用について説明します。
<sp:SignedEncryptedSupportingTokens>
<wsp:Policy>
<sp:UsernameToken
sp:IncludeToken="…/IncludeToken/AlwaysToRecipient" wsp:Optional="true" >
<wsp:Policy>
<sp:WssUsernameToken10/>
</wsp:Policy>
</sp:UsernameToken>
</wsp:Policy>
</sp:SignedEncryptedSupportingTokens>
この例では、認可に対するユーザ名トークンの指定は省略可能 (Optional) です。ユーザが匿名かセキュリティ コンテキストがないためにユーザ名トークンを生成できない場合でも、クライアントは続行することができます。
セキュリティ ポリシーの適用プロセス中、欠落した要素に wsp:Optional="true" 属性を持つポリシー アサーションがあれば、メッセージは拒否されません。
現在は以下のセキュリティ ポリシーが Optional ポリシー アサーションでサポートされます。
WebLogic Server では、WS-SecurityPolicy 1.2 で定義されている要素レベルのアサーションをサポートします。このアサーションを使用すると、SOAP リクエストまたは応答メッセージ内の選択された要素に署名や暗号化を適用できます。メッセージ内でセキュリティが必要な特定のデータのみを対象にできるので、計算の要件が緩和されます。
また、RequiredElements アサーションを使用すると、メッセージに特定のヘッダ要素が必ず含まれるようになります。
要素レベルのアサーションを指定するには、適用するリクエスト要素または応答要素を特定する必要があります。
ポリシー ファイルで XPath 式を使用して、これらの要素を特定します。XPath バージョン 1.0 (http://www.w3.org/TR/xpath) または XPath Filter バージョン 2.0 (http://www.w3.org/TR/xmldsig-filter2/) の構文に従います。この節のサンプルではデフォルト構文の XPath バージョン 1.0 を使用しています。
これらの各アサーションでは Web サービス メッセージ内の 1 つまたは複数の要素を特定するため、すべての要素レベルのセキュリティ アサーションに対するカスタム セキュリティ ポリシー ファイルを使用する必要があります。通常、これらのカスタム ポリシー ファイルは、あらかじめパッケージ化されたセキュリティ ポリシー ファイルと併用されます。あらかじめパッケージ化されたファイルでは署名や暗号化の実行方法が定義され、カスタム ポリシー ファイルでは署名や暗号化の対象となる特定の要素が指定されます。
最初の手順は、対象の要素を特定する XPath 式を決定することです。それには、直接調べるかサービスの WSDL と XML スキーマを分析して、Web サービスで使用されている SOAP メッセージのフォーマットを理解する必要があります。
SOAP メッセージのフォーマットを確認し、必要な XPath 式を決定する方法は、使用しているツールによって大きく異なるため、このドキュメントでは扱いません。たとえば、次のような手順が考えられます。
または、特定の WSDL に対するサンプル SOAP リクエストを生成できるソフトウェア ツールがある場合は、そのツールを使用して XPath 式を生成します。
「submitOrderRequest」オペレーションを含む Web サービスの例について説明します。このオペレーションはコード リスト 2-8 に示す形式の SOAP リクエストを受信します。
太字の部分は後で要素レベルのカスタム ポリシーを作成するときに使用されます。
<env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/">
<env:Header/>
<env:Body> <ns1:submitOrderRequest xmlns:ns1="http://www.bea.com/OrderService"> <ns1:OrderRequest><ns1:orderNumber>4815162342</ns1:orderNumber>
<ns1:creditCard> <ns1:cctype>MasterCard</ns1:cctype> <ns1:expires>12-01-2020</ns1:expires> <ns1:ccn>1234-567890-4444</ns1:ccn> </ns1:creditCard></ns1:OrderRequest>
</ns1:submitOrderRequest>
</env:Body>
</env:Envelope>
<ns1:creditCard> 要素とその子要素を暗号化する必要があると仮定します。これを実現するには、コード リスト 2-8 の太字の部分から得られる情報を使用して、EncryptCreditCard.xml というカスタム セキュリティ ポリシー ファイルを作成します。
コード リスト 2-9 のサンプルを参照してください。
<?xml version="1.0"?>
<wsp:Policy
xmlns:wsp=”http://schemas.xmlsoap.org/ws/2004/09/policy”
xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512”>
<sp:EncryptedElements xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/”>
<sp:XPath xmlns:myns="http://www.bea.com/OrderService”>
/soapenv:Envelope/soapenv:Body/myns:submitOrderRequest/myns:OrderRequest/myns:creditCard
</sp:XPath></sp:EncryptedElements>
</wsp:Policy>
WS-SecurityPolicy 1.2 仕様に従って、/sp:EncryptedElements/sp:XPath 要素には、機密保護されるノードを特定する XPath 式を指定した文字列が含まています。XPath 式はメッセージの S:Envelope 要素に対して評価されます。このアサーションにはこの要素の複数のインスタンスが出現する可能性もありますが、別々の参照として扱う必要があります。
wsp) の付いた <wsp:Policy> にし、WS-Policy の完全なネームスペースにマッピングする必要がある。EncryptedElements) も、WS-SecurityPolicy 1.2 の完全なネームスペースで修飾する必要がある (「sp」 プレフィックスで示される)。creditCard 要素はネームスペースで修飾され (ns1 プレフィックスを使用)、親要素 OrderRequest、submitOrderRequest、Body、および Envelope がある。これらの各要素もネームスペースで修飾されている。
(/soapenv:Envelope… で始まる) XPath クエリは creditCard 要素の場所を一致させます。
/soapenv:Envelope/soapenv:Body/myns:submitOrderRequest/myns:OrderRequest/myns:creditCard
カスタム ポリシーを作成したら、ElementEncryption ポリシーが submitOrder Web サービス リクエストで使用されるように、JWS ファイルに Policy アノテーションを追加します。コード リスト 2-10 を参照してください。
@WebMethod@Policies({@Policy(uri=”policy:Wssp1.2-2007-Wss1.1-UsernameToken-Plan-X509-Basic256.xml”),@Policy(uri=”../policies/EncryptCreditCard.xml”,
direction=Policy.Direction.inbound)})
public String submitOrderRequest (OrderRequest orderRequest) { return orderService.processOrder(orderRequest);
}
creditCard 要素は SOAP リクエスト内にはあるが応答にはないため、このコードでは EncryptedElements カスタム ポリシーを「inbound」方向のみでコンフィグレーションしています。
要素レベルのセキュリティを実装するときは以下の点に注意してください。
EncryptedElements アサーションでは、特定された要素とその子要素がすべて暗号化される。 ContentEncryptedElements アサーションでは、特定された要素は暗号化されないが、その子要素はすべて暗号化される。RequiredElements アサーションを使用すると、SOAP ヘッダの最上位要素の存在をテストできる。その要素が見つからない場合は SOAP Fault が生成される。
特定の Web サービスに対して複数のポリシー選択肢を用意することができます。これにより、サービスの柔軟性が大幅に向上します。
Web サービスで以下のいずれかをサポートするかどうか検討してください。
Web サービス クライアントでも複数のポリシー選択肢に対応できます。同じクライアントが多様なポリシーやポリシー選択肢を持つ複数のサービスとやり取りできます。
たとえば、同じクライアントが、認証に SAML 1.1 Token Profile 1.0 を要求するサービスとやり取りする一方で、SAML 2.0 Token Profile 1.1 を要求する別のサービスともやり取りできます。
コード リスト 2-11 では、WS-Security 1.0 と WS-Security 1.1 の両方をサポートするセキュリティ ポリシーのサンプルを示します。
| 注意 : | <wsp:ExactlyOne> 要素の中で、各ポリシー選択肢が <wsp:All> 要素内にカプセル化されています。 |
<?xml version="1.0"?>
<wsp:Policy xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512"><wsp:ExactlyOne><wsp:All>
<sp:AsymmetricBinding>
<wsp:Policy>
<sp:InitiatorToken>
<wsp:Policy>
<sp:X509Token
sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512/IncludeToken/AlwaysToRecipient">
<wsp:Policy>
<sp:WssX509V3Token10/>
</wsp:Policy>
</sp:X509Token>
</wsp:Policy>
</sp:InitiatorToken>
<sp:RecipientToken>
<wsp:Policy>
<sp:X509Token
sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512/IncludeToken/Never">
<wsp:Policy>
<sp:WssX509V3Token10/>
</wsp:Policy>
</sp:X509Token>
</wsp:Policy>
</sp:RecipientToken>
<sp:AlgorithmSuite>
<wsp:Policy>
<sp:Basic256/>
</wsp:Policy>
</sp:AlgorithmSuite>
<sp:Layout>
<wsp:Policy>
<sp:Lax/>
</wsp:Policy>
</sp:Layout>
<sp:IncludeTimestamp/>
<sp:ProtectTokens/>
<sp:OnlySignEntireHeadersAndBody/>
</wsp:Policy>
</sp:AsymmetricBinding>
<sp:SignedParts>
<sp:Body/>
</sp:SignedParts>
<sp:Wss10>
<wsp:Policy>
<sp:MustSupportRefKeyIdentifier/>
<sp:MustSupportRefIssuerSerial/>
</wsp:Policy>
</sp:Wss10>
</wsp:All>
<wsp:All>
<sp:AsymmetricBinding>
<wsp:Policy>
<sp:InitiatorToken>
<wsp:Policy>
<sp:X509Token
sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512/IncludeToken/AlwaysToRecipient">
<wsp:Policy>
<sp:RequireThumbprintReference/>
<sp:WssX509V3Token11/>
</wsp:Policy>
</sp:X509Token>
</wsp:Policy>
</sp:InitiatorToken>
<sp:RecipientToken>
<wsp:Policy>
<sp:X509Token
sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512/IncludeToken/Never">
<wsp:Policy>
<sp:RequireThumbprintReference/>
<sp:WssX509V3Token11/>
</wsp:Policy>
</sp:X509Token>
</wsp:Policy>
</sp:RecipientToken>
<sp:AlgorithmSuite>
<wsp:Policy>
<sp:Basic256/>
</wsp:Policy>
</sp:AlgorithmSuite>
<sp:Layout>
<wsp:Policy>
<sp:Lax/>
</wsp:Policy>
</sp:Layout>
<sp:IncludeTimestamp/>
<sp:ProtectTokens/>
<sp:OnlySignEntireHeadersAndBody/>
</wsp:Policy>
</sp:AsymmetricBinding>
<sp:SignedParts>
<sp:Body/>
</sp:SignedParts>
<sp:Wss11>
<wsp:Policy>
<sp:MustSupportRefKeyIdentifier/>
<sp:MustSupportRefIssuerSerial/>
<sp:MustSupportRefThumbprint/>
<sp:MustSupportRefEncryptedKey/>
<sp:RequireSignatureConfirmation/>
</wsp:Policy>
</sp:Wss11>
</wsp:All>
</wsp:ExactlyOne></wsp:Policy>
コード リスト 2-11 で示したように、カスタム ポリシーを作成することで、1 つの Web サービスに対し複数のポリシー選択肢をコンフィグレーションできます。また、ポリシー選択の優先順位を決定するように、Web サービス クライアントをコンフィグレーションします。
このリリースの WebLogic Server では、WebLogic Server Administration Console を使用するか、スタブのプロパティを通じて、Web サービス クライアントにポリシー選択の優先順位をコンフィグレーションできます。
Web サービス ランタイムではポリシー選択の優先順位を使用してポリシー選択肢を調べ、最適なものを選択します。
複数のポリシー選択肢がある場合は、コンフィグレーション済みの優先順位リスト、使用可能な資格、オプション機能の設定を活用して最適なポリシーが選択されます。
1 つのクライアントについて複数のポリシー選択肢が存在する場合は、以下の選択ルールが使用されます。
オプションのポリシー アサーションでは、以下の選択ルールが使用されます。
Administration Console で適切なポリシー選択をコンフィグレーションするには、次の手順に従います。
適切なポリシー選択のシナリオにおいて、本文 (Body) が暗号化されるかどうかは (<sp:EncryptedParts> <sp:Body /></sp:EncryptedParts> など)、ポリシー選択の優先順位ルールによって以下のように異なります。
以下の 2 つのサンプルを検討します。コード リスト 2-12 では、最初のポリシー選択肢に本文暗号化のアサーションがあります。したがって、デフォルトの優先順位の場合、本文は暗号化されます。デフォルト以外のポリシー選択の優先順位の場合は、他の優先順位ルールが適用されます。
<?xml version="1.0"?>
<wsp:Policy
xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702"
>
<wsp:ExactlyOne>
<sp:EncryptedParts>
<sp:Body/>
</sp:EncryptedParts>
<sp:EncryptedParts/>
</wsp:ExactlyOne>
</wsp:Policy>
これに対し、コード リスト 2-13 では、最初のポリシー選択肢に本文暗号化のアサーションがありません。したがって、デフォルトの優先順位の場合、本文は暗号化されません。デフォルト以外のポリシー選択の優先順位の場合は、他の優先順位ルールが適用されます。
<?xml version="1.0"?>
<wsp:Policy
xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702"
>
<wsp:ExactlyOne>
<sp:EncryptedParts/>
<sp:EncryptedParts>
<sp:Body/>
</sp:EncryptedParts>
</wsp:ExactlyOne>
</wsp:Policy>
スタブ プロパティを通じてポリシー選択の優先順位を設定できます。
以下のサンプルでは、スタブ プロパティに「セキュリティ、互換性、パフォーマンスの順」の優先順位を設定しています。
stub._setProperty(WLStub.POLICY_SELECTION_PREFERENCE,
WLStub.PREFERENCE_SECURITY_COMPATIBILITY_PERFORMANCE);
ポリシー選択の優先順位が設定されていない場合は、デフォルトの優先順位 (「なし」) が使用されます。
WebLogic Server では、セキュリティ ポリシー内に使用できる転送レベルのアサーションが複数ある場合は、https を必要とするポリシーが使用されます。2 つ以上のポリシー選択肢が https を必要とする場合は、そのいずれかがランダムに選択されます。したがって、転送レベルのポリシー アサーションが混在する複数のポリシー選択肢を使用しないようにする必要があります。
「MTOM/XOP を使用したバイナリ データ転送の最適化」で説明されているように、SOAP Message Transmission Optimization Mechanism/XML-binary Optimized Packaging (MTOM/XOP) では、SOAP メッセージ内の xs:base64Binary 型または xs:hexBinary 型の XML データの転送を最適化する方法が定義されています。
この節では、WebLogic Server にすでに含まれている 2 つのサンプルの組み合わせについて説明します。
これらの既存のサンプルには、機能的なコードと、使用方法や機能、ビルド方法などを説明した多数の instructions.html ファイルが含まれています。この節ではその説明を繰り返すのではなく、これらのサンプルに加える変更やその理由に焦点を当てています。
サンプルでは表 2-10 に示すファイルを使用します。以降の節でソース ファイルの内容を示します。
SecurityMtomService.java JWS ファイルは WL_HOME\samples\server\examples\src\examples\webservices\mtom\MtomService.java と同じ内容に、太字で示した Policy アノテーションを追加したものです。
package examples.webservices.security_mtom;
import weblogic.jws.Binding;
import weblogic.jws.Policy;
import weblogic.jws.Policies;
import weblogic.jws.Context;
import weblogic.jws.WLDeployment;
import weblogic.wsee.jws.JwsContext;
import weblogic.wsee.mtom.api.MtomPolicyInfo;
import weblogic.wsee.mtom.api.MtomPolicyInfoFactory;
import weblogic.wsee.policy.framework.PolicyException;
import javax.jws.WebService;
import javax.jws.WebMethod;
import java.rmi.RemoteException;
/**
* JAX-RPC での MTOM のサンプル
*
* @author Copyright © 1996, 2008, Oracle and/or its affiliates.
* All rights reserved.*/
@WebService
@Binding(Binding.Type.SOAP12)
// 提供されている以下のポリシー ファイルを追加して、この Web サービスで WSS + MTOM を有効にする
@Policies({@Policy(uri = "policy:Mtom.xml"),
@Policy(uri = "policy:Wssp1.2-2007-SignBody.xml"), @Policy(uri = "policy:Wssp1.2-2007-EncryptBody.xml"), @Policy(uri = "policy:Wssp1.2-Wss1.1-EncryptedKey.xml")})
public class SecurityMtomService { public SecurityMtomService() {}
/**
* 入力は XOP 処理されたバイナリ オクテット ストリームとして送信される
*
* @param bytes 入力バイト
* @return 単純な String
*/
@WebMethod
public String echoBinaryAsString(byte[] bytes) {return new String(bytes);
}
/**
* 出力は XOP 処理されたバイナリ オクテット ストリームとして送信される
*
* @param s 単純な String
* @return byte[]
*/
@WebMethod
public byte[] echoStringAsBinary(String s) {return s.getBytes();
}
/**
* 入力 byte[] は XOP 処理されたバイナリ オクテット ストリームとして送信される
*
* @param array 入力 byte[] 配列
* @return String[]
*/
@WebMethod
public String[] echoBinaryArrayAsStringArray(byte[] array) {String[] strings = new String[1];
strings[0] = new String(array);
return strings;
}
}
@Policy アノテーションはクラスレベルでもメソッドレベルでも指定できます。このサンプルでは、アノテーションをクラスレベルで使用して、あらかじめパッケージ化された WS-Policy ファイルを指定しています。つまり、Web サービスのすべてのパブリック オペレーションは指定された WS-Policy ファイルに関連付けられます。
複数の @Policy アノテーションをグループ化するには、@Policies アノテーションを使用します。このアノテーションはクラスレベルでもメソッドレベルでも指定できます。このサンプルでは、アノテーションをクラスレベルで使用して、あらかじめパッケージ化された WS-Policy ファイルを指定する 4 つの @Policy アノテーションをグループ化しています。
Mtom.xml では、MTOM エンコーディングを有効にする。Wssp1.2-2007-SignBody.xml ポリシー ファイルでは、SOAP のリクエスト メッセージおよび応答メッセージの両方の本文と WebLogic システム ヘッダがデジタル署名されることを指定している。 Wssp1.2-2007-EncryptBody.xml ポリシー ファイルは、SOAP のリクエスト メッセージおよび応答メッセージの両方の本文が暗号化されることを指定している。 Wssp1.2-Wss1.1-EncryptedKey.xml 対称バインディング ポリシーでは、WS-Security 1.1 暗号化キー機能を使用する。Web サービスを呼び出すクライアント アプリケーションは暗号化キーを使用して暗号化と署名を行い、サーバは署名確認を送信する必要があります。
MtomClient.java は SecurityMtomService Web サ ビスを呼び出すスタンドアロンのクライアント アプリケーションです。Web サービスの WSDL に基づいて clientgen によって生成された JAX-RPC スタブを使用します。MtomClient のコードをコード リスト 2-15 に示します。
package examples.webservices.security_mtom.client;
import java.rmi.RemoteException;
import java.security.cert.X509Certificate;import java.util.ArrayList;import java.util.List;import javax.xml.rpc.Stub;import weblogic.security.SSL.TrustManager;// バイナリおよびユーザ名トークンを作成するクラスをインポートimport weblogic.wsee.security.bst.ClientBSTCredentialProvider;import weblogic.wsee.security.unt.ClientUNTCredentialProvider;// クライアントサイドの資格プロバイダを作成するクラスをインポートimport weblogic.xml.crypto.wss.WSSecurityContext;import weblogic.xml.crypto.wss.provider.CredentialProvider;import weblogic.wsee.security.util.CertUtils;/**
* @author Copyright © 1996, 2008, Oracle and/or its affiliates.
* All rights reserved. */
public class MtomClient {private static final String FOO = "FOO";
private static SecurityMtomService port;
public MtomClient(String args[]) throws Exception { // クライアント キーストア ファイル String clientKeyStore = args[0]; String clientKeyStorePass = args[1]; String clientKeyAlias = args[2]; String clientKeyPass = args[3]; // サーバ証明書 String serverCertFile = args[4]; String wsdl = args[5]; SecurityMtomServiceService service = new SecurityMtomServiceService_Impl(wsdl); port = service.getSecurityMtomServiceSoapPort(); X509Certificate serverCert = (X509Certificate) CertUtils.getCertificate(serverCertFile);// 資格プロバイダの空のリストを作成
List credProviders = new ArrayList();
// 証明書とキーのパラメータに基づいて、ID として X.509 を使用する
// クライアントサイドの BinarySecurityToken 資格プロバイダを作成
CredentialProvider cp = new ClientBSTCredentialProvider(clientKeyStore, clientKeyStorePass, clientKeyAlias, clientKeyPass, "JKS", serverCert);
credProviders.add(cp);
Stub stub = (Stub)port;
// 資格プロバイダのリストを指すスタブ プロパティを設定
stub._setProperty(WSSecurityContext.CREDENTIAL_PROVIDER_LIST, credProviders);
// TrustManager を設定
stub._setProperty(WSSecurityContext.TRUST_MANAGER,
new TrustManager() { public boolean certificateCallback(X509Certificate[] chain, int validateErr) {// 実際のアプリケーションでは通常、証明書を実際に検証する
// Java コードがここに入る。簡素化するため、このサンプルでは
// 証明書が有効であると仮定し、単に true を返す
return true;
}
});
}
public static void main(String[] args) throws Exception {MtomClient client = new MtomClient(args);
client.invokeEchoBinaryAsString();
client.invokeEchoStringAsBinary();
client.invokeEchoBinaryArrayAsStringArray();
}
public void invokeEchoBinaryArrayAsStringArray() throws RemoteException { System.out.println("sending a String '" + FOO + "' as a byte array.");String result = port.echoBinaryArrayAsStringArray(FOO.getBytes()).getJavaLangstring()[0];
System.out.println("echoing '" + result + "' as a String array.");}
public void invokeEchoStringAsBinary() throws RemoteException { System.out.println("sending a String '" + FOO + "'");String result = new String(port.echoStringAsBinary(FOO));
System.out.println("echoing '" + result + "' as a byte array.");}
public void invokeEchoBinaryAsString() throws RemoteException { System.out.println("sending a String '" + FOO + "' as a byte array.");String result = port.echoBinaryAsString(FOO.getBytes());
System.out.println("echoing '" + result + "' as a String.");}
}
クライアント アプリケーションは、以下の 6 つの引数を取ります。
クライアント アプリケーションは以下の WebLogic Web サービス セキュリティ API を使用して、Web サービスに関連付けられている WS-Policy ファイルで指定されている必要なクライアントサイドの資格プロバイダを作成します。
このクライアント アプリケーションを記述するときは、Web サービスに関連付けられている WS-Policy ファイルを調べて、JAX-RPC スタブに設定する必要のある資格のタイプと数を決定する必要があります。通常、WS-Policy ファイルで ID に X.509 を使用して SOAP メッセージを署名または暗号化することが指定されている場合は、ClientBSTCredentialProvider を作成する必要があります (ユーザが ID としてユーザ名トークンを提示することが指定されている場合は、アプリケーションは ClientUNTCredentialProvider を作成する必要があります)。
このサンプルでは、指定されたキーストア、証明書エリアス、およびサーバ証明書用にクライアント BST 資格プロバイダを作成します。パラメータ serverCert で渡された証明書を使用して、メッセージ本文の内容が暗号化され、受信した署名が検証されます。着信する署名の一部として受信した KeyInfo (証明書の指紋など) では、同じサーバ証明書を正しく識別する必要があります。
また、Web サービス クライアント ラインタイムは、オペレーションが呼び出されると、SOAP リクエストのセキュリティ ヘッダを正しく作成するために、この WSDL を確認します。
最後に、クライアント アプリケーションは weblogic.security.SSL.TrustManager WebLogic セキュリティ API を使用して、SOAP リクエストの暗号化に使用される証明書が有効かどうかを確認する必要があります。クライアント ランタイムは Web サービスのデプロイされた WSDL からこの証明書 (サンプルでは serverCert) を取得します。実際の状況ではこの証明書は自動的には信頼されないので、クライアント アプリケーションでは、その証明書を使用して SOAP リクエストを暗号化する前に、証明書が有効であることを確認する必要があります。
| 注意 : | このサンプルで使用されるクライアントサイドの証明書とプライベート キーは簡単なテスト目的で作成されているため、WebLogic Server から常に信頼されます。このため、このサンプルを実行するためにサーバサイドのセキュリティ コンフィグレーションを追加する必要ありません。しかし実際には、クライアント アプリケーションは Verisign などの実在の認証局が発行した証明書を使用します。その場合、管理者は WebLogic Administration Console を使用して、WebLogic Server から信頼されるリストにこの証明書を追加する必要があります。 |
SecurityMtomService Web サービスは関連付けられたポリシー ファイルで課せられている要件に対応するために WebLogic Server API を明示的に呼び出すことはありません。また、どのセキュリティ プロバイダ、トークン、または他のメカニズムが呼び出されるかを Web サービスが認識する必要もありません。
スクリプト ファイル configWss.py では WLST を使用して、アクティブなセキュリティ レルムのデフォルトの Web サービス セキュリティ コンフィグレーション default_wss を作成およびコンフィグレーションします (デフォルトの Web サービス セキュリティ コンフィグレーションは、別のコンフィグレーションを使用するように明示的にプログラミングされていない限り、ドメイン内のすべての Web サービスで使用されます)。さらに、このスクリプトでは x509 トークンがサポートされるようにし、必要なセキュリティ プロバイダなどを作成します。
コード リスト 2-16 に configWss.py ファイルを示します。build.xml ファイルがコマンド入力を提供します。注目すべき部分は太字で示されています。
userName = sys.argv[1]
passWord = sys.argv[2]
url="t3://"+sys.argv[3]+":"+sys.argv[4]
print "Connect to the running adminSever"
connect(userName, passWord, url)
edit()
startEdit()
# SecurityConfiguration で x509 のアサーションを有効にする
rlm = cmo.getSecurityConfiguration().getDefaultRealm()ia = rlm.lookupAuthenticationProvider("DefaultIdentityAsserter")activeTypesValue = list(ia.getActiveTypes())existed = "X.509" in activeTypesValueif existed == 1: print 'assert x509 is aleady enabled'else: activeTypesValue.append("X.509")ia.setActiveTypes(array(activeTypesValue,java.lang.String))ia.setDefaultUserNameMapperAttributeType('CN');ia.setUseDefaultUserNameMapper(Boolean('true'));# デフォルト WebServcieSecurity を作成
securityName='default_wss'defaultWss=cmo.lookupWebserviceSecurity(securityName)
if defaultWss == None:
print 'creating new webservice security bean for: ' + securityName
defaultWss = cmo.createWebserviceSecurity(securityName)else:
print 'found exsiting bean for: ' + securityName
# DK の資格プロバイダを作成
cpName='default_dk_cp'
wtm=defaultWss.lookupWebserviceCredentialProvider(cpName)
if wtm == None:
wtm = defaultWss.createWebserviceCredentialProvider(cpName)
wtm.setClassName('weblogic.wsee.security.wssc.v200502.dk.DKCredentialProvider') wtm.setTokenType('dk') cpm = wtm.createConfigurationProperty('Label') cpm.setValue('WS-SecureConversationWS-SecureConversation') cpm = wtm.createConfigurationProperty('Length') cpm.setValue('16')else:
print 'found exsiting bean for: DK ' + cpName
# x.509 の資格プロバイダを作成cpName='default_x509_cp'wtm=defaultWss.lookupWebserviceCredentialProvider(cpName)if wtm == None: wtm = defaultWss.createWebserviceCredentialProvider(cpName) wtm.setClassName('weblogic.wsee.security.bst.ServerBSTCredentialProvider') wtm.setTokenType('x509')else:
print 'found exsiting bean for: x.509 ' + cpName
# XML 暗号化のカスタム キーストア
cpName='ConfidentialityKeyStore'cpm=wtm.lookupConfigurationProperty(cpName)
if cpm == None:
cpm = wtm.createConfigurationProperty(cpName)
keyStoreName=sys.argv[5]cpm.setValue(keyStoreName)cpName='ConfidentialityKeyStorePassword'cpm=wtm.lookupConfigurationProperty(cpName)
if cpm == None:
cpm = wtm.createConfigurationProperty(cpName)
cpm.setEncryptValueRequired(Boolean('true'))KeyStorePasswd=sys.argv[6]cpm.setEncryptedValue(KeyStorePasswd)cpName='ConfidentialityKeyAlias'cpm=wtm.lookupConfigurationProperty(cpName)
if cpm == None:
cpm = wtm.createConfigurationProperty(cpName)
keyAlias=sys.argv[7]cpm.setValue(keyAlias)cpName='ConfidentialityKeyPassword'cpm=wtm.lookupConfigurationProperty(cpName)
if cpm == None:
cpm = wtm.createConfigurationProperty('ConfidentialityKeyPassword')cpm.setEncryptValueRequired(Boolean('true'))keyPass=sys.argv[8]cpm.setEncryptedValue(keyPass)# XML デジタル署名のカスタム キーストア
cpName='IntegrityKeyStore'cpm=wtm.lookupConfigurationProperty(cpName)
if cpm == None:
cpm = wtm.createConfigurationProperty(cpName)
keyStoreName=sys.argv[5]cpm.setValue(keyStoreName)cpName='IntegrityKeyStorePassword'cpm=wtm.lookupConfigurationProperty(cpName)
if cpm == None:
cpm = wtm.createConfigurationProperty(cpName)
cpm.setEncryptValueRequired(Boolean('true'))KeyStorePasswd=sys.argv[6]cpm.setEncryptedValue(KeyStorePasswd)cpName='IntegrityKeyAlias'cpm=wtm.lookupConfigurationProperty(cpName)
if cpm == None:
cpm = wtm.createConfigurationProperty(cpName)
keyAlias=sys.argv[7]cpm.setValue(keyAlias)cpName='IntegrityKeyPassword'cpm=wtm.lookupConfigurationProperty(cpName)
if cpm == None:
cpm = wtm.createConfigurationProperty(cpName)
cpm.setEncryptValueRequired(Boolean('true'))keyPass=sys.argv[8]cpm.setEncryptedValue(keyPass)#x509 トークンのトークン ハンドラを作成#cpName='default_x509_handler'th=defaultWss.lookupWebserviceTokenHandler(cpName)if th == None: th = defaultWss.createWebserviceTokenHandler(cpName) th.setClassName('weblogic.xml.crypto.wss.BinarySecurityTokenHandler') th.setTokenType('x509') cpm = th.createConfigurationProperty('UseX509ForIdentity') cpm.setValue('true')save()
activate(block="true")
disconnect()
exit()
build.xml ファイルには、表 2-11 に示すターゲットがあります。
完全な build.xml ファイルをコード リスト 2-17 に示します。
<?xml version="1.0" encoding="ISO-8859-1"?>
<project name="webservices.security_mtom" default="all" basedir=".">
<!-- このビルドのグローバルなプロパティを設定 -->
<property file="../../../examples.properties"/>
<property name="client.dir" value="${client.classes.dir}/webservicesSecurityMtom_Client" /><property name="package.dir" value="examples/webservices/security_mtom"/>
<property name="package" value="examples.webservices.security_mtom"/>
<property name="ws.file" value="SecurityMtomService" />
<property name="ear.dir" value="${examples.build.dir}/webservicesSecurityMtomEar" /> <property name="cert.dir" value="${basedir}/certs" /> <property name="certs.dir" value="${basedir}/certs" /><!-- クライアント キーストア -->
<property name="client-keystore-name" value="clientKeyStore.jks"/>
<property name="client-keystore-pass" value="keystorepw"/>
<property name="client-cert" value="ClientCert"/>
<property name="client-key" value="ClientKey"/>
<property name="client-key-pass" value="ClientKeyPass"/>
<property name="client-cert-alias" value="testClientCert"/>
<!--サーバ キーストア -->
<property name="server-keystore-name" value="serverKeyStore.jks"/>
<property name="server-keystore-pass" value="keystorepw"/>
<property name="server-cert" value="ServerCert"/>
<property name="server-key" value="ServerKey"/>
<property name="server-key-pass" value="ServerKeyPass"/>
<property name="server-cert-alias" value="testServerCert"/>
<path id="client.class.path">
<pathelement path="${client.dir}"/> <pathelement path="${java.class.path}"/></path>
<!-- Web サービス WLS Ant タスク定義 -->
<taskdef name="jwsc"
classname="weblogic.wsee.tools.anttasks.JwscTask" />
<taskdef name="clientgen"
classname="weblogic.wsee.tools.anttasks.ClientGenTask" />
<target name="all" depends="build, deploy"/>
<target name="build" depends="clean,server,client"/>
<target name="clean">
<delete dir="${ear.dir}"/> <delete dir="${client.dir}"/></target>
<!-- MTOM Web サービスをビルドするターゲット -->
<target name="server" description="Target that builds the MTOM Web Service">
<jwsc
srcdir="${examples.src.dir}/${package.dir}" sourcepath="${examples.src.dir}" destdir="${ear.dir}" classpath="${java.class.path}"fork="true"
keepGenerated="true"
deprecation="${deprecation}" debug="${debug}"><jws file="SecurityMtomService.java" explode="true"/>
</jwsc>
</target>
<!-- MTOM Web サービス クライアントをビルドするターゲット -->
<target name="client" description="Target that builds the source Web Service">
<mkdir dir="${client.dir}/${package.dir}/client/"/><clientgen
wsdl="${ear.dir}/${ws.file}/WEB-INF/${ws.file}Service.wsdl" destDir="${client.dir}" classpath="${java.class.path}" packageName="${package}.client"/> <copy file="MtomClient.java" todir="${client.dir}/${package.dir}/client/"/><javac
srcdir="${client.dir}" destdir="${client.dir}" classpath="${java.class.path}" includes="${package.dir}/client/**/*.java"/></target>
<!-- MTOM Web サービスをデプロイするターゲット -->
<target name="deploy" description="Target that deploys the reliable destination Web Service">
<wldeploy
action="deploy"
source="${ear.dir}" user="${wls.username}" password="${wls.password}"verbose="true"
adminurl="t3://${wls.hostname}:${wls.port}" targets="${wls.server.name}" failonerror="${failondeploy}"/></target>
<!-- MTOM Web サービス クライアントを実行するターゲット -->
<target name="run" >
<java fork="true"
classname="examples.webservices.security_mtom.client.MtomClient"
failonerror="true" >
<jvmarg line="-Dweblogic.wsee.verbose=*"/>
<classpath refid="client.class.path"/>
<arg line= "
${basedir}/certs/${client-keystore-name} ${client-keystore-pass} ${client-cert-alias} ${client-key-pass} ${basedir}/certs/testServerCertTempCert.der http://${wls.hostname}:${wls.port}/SecurityMtomService/SecurityMtomService?WSDL" /></java>
</target>
<!-- Web サービス セキュリティをコンフィグレーションするターゲット -->
<target name="config.server.security" description="Target the configure the web service security">
<copy todir="${examples.domain.dir}" overwrite="true"> <fileset dir="${certs.dir}" includes="${server-keystore-name}"/></copy>
<java classname="weblogic.WLST" fork="true" failonerror="true">
<arg line="configWss.py ${wls.username} ${wls.password} ${wls.hostname} ${wls.port} ${server-keystore-name} ${server-keystore-pass} ${server-cert-alias} ${server-key-pass}" /></java>
</target>
</project>
BEA_HOME\WL_HOME\samples\server\examples\src\examples\examples.html 指示ファイルの説明に従って、環境を設定します。BEA_HOME\WL_HOME\samples\domains\wl_server>setExamplesEnv.cmdBEA_HOME\WL_HOME\samples\server\examples\src\examples\webservices ディレクトリに移動して、security_mtom という新しいサブディレクトリを作成します。build.xml、configWss.py、MtomClient.java、および SecurityMtomService.java の各節の内容を切り取り、BEA_HOME\WL_HOME\samples\server\examples\src\examples\webservices\security_mtom ディレクトリ内の同じ名前のファイルに貼り付けます。clientKeyStore.jks、serverKeyStore.jks、および testServerCertTempCert.der) を、BEA_HOME\WL_HOME\samples\server\examples\src\examples\webservices\wss1.1\certs
certs サブディレクトリにコピーします。
BEA_HOME\WL_HOMEsamples\server\examples\src\examples\webservices\security_mtom\certsBEA_HOME\WL_HOME\samples\server\examples\src\examples\webservices\security_mtom ディレクトリに移動します。
prompt> ant config.server.security
SecurityMtomService Web サービスのデプロイ済み WSDL は以下の URL に用意されています。http://host:port/SecurityMtomService/SecurityMtomService?WSDL
完全な WSDL をコード リスト 2-18 に示します。
<?xml version="1.0" encoding="UTF-8"?>
- <s1:definitions name="SecurityMtomServiceServiceDefinitions" targetNamespace="http://examples/webservices/security_mtom" xmlns="" xmlns:s0="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" xmlns:s1="http://schemas.xmlsoap.org/wsdl/" xmlns:s2="http://examples/webservices/security_mtom" xmlns:s3="http://schemas.xmlsoap.org/wsdl/soap12/" xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy">
<wsp:UsingPolicy s1:Required="true" />
- <wsp:Policy s0:Id="Mtom.xml">
<wsoma:OptimizedMimeSerialization xmlns:wsoma="http://schemas.xmlsoap.org/ws/2004/09/policy/optimizedmimeserialization" />
</wsp:Policy>
- <wsp:Policy s0:Id="Wssp1.2-Wss1.1-EncryptedKey.xml">
- <sp:SymmetricBinding xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512">
- <wsp:Policy>
- <sp:ProtectionToken>
- <wsp:Policy>
- <sp:X509Token sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512/IncludeToken/Never">
- <wsp:Policy>
<sp:RequireThumbprintReference />
<sp:WssX509V3Token11 />
</wsp:Policy>
</sp:X509Token>
</wsp:Policy>
</sp:ProtectionToken>
- <sp:AlgorithmSuite>
- <wsp:Policy>
<sp:Basic256 />
</wsp:Policy>
</sp:AlgorithmSuite>
- <sp:Layout>
- <wsp:Policy>
<sp:Lax />
</wsp:Policy>
</sp:Layout>
<sp:IncludeTimestamp />
<sp:OnlySignEntireHeadersAndBody />
</wsp:Policy>
</sp:SymmetricBinding>
- <sp:Wss11 xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512">
- <wsp:Policy>
<sp:MustSupportRefKeyIdentifier />
<sp:MustSupportRefIssuerSerial />
<sp:MustSupportRefThumbprint />
<sp:MustSupportRefEncryptedKey />
<sp:RequireSignatureConfirmation />
</wsp:Policy>
</sp:Wss11>
</wsp:Policy>
- <wsp:Policy s0:Id="Wssp1.2-2007-EncryptBody.xml">
- <sp:EncryptedParts xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702">
<sp:Body />
</sp:EncryptedParts>
</wsp:Policy>
- <wsp:Policy s0:Id="Wssp1.2-2007-SignBody.xml">
- <sp:SignedParts xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702">
<sp:Body />
</sp:SignedParts>
</wsp:Policy>
- <s1:types>
- <xs:schema attributeFormDefault="unqualified" elementFormDefault="qualified" targetNamespace="java:examples.webservices.security_mtom" xmlns:s0="http://schemas.xmlsoap.org/wsdl/" xmlns:s1="http://examples/webservices/security_mtom" xmlns:s2="http://schemas.xmlsoap.org/wsdl/soap12/" xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy" xmlns:xs="http://www.w3.org/2001/XMLSchema">
- <xs:complexType name="ArrayOfJavaLangstring_literal">
- <xs:sequence>
<xs:element maxOccurs="unbounded" minOccurs="0" name="JavaLangstring" nillable="true" type="xs:string" />
</xs:sequence>
</xs:complexType>
<xs:element name="ArrayOfJavaLangstring_literal" type="java:ArrayOfJavaLangstring_literal" xmlns:java="java:examples.webservices.security_mtom" />
<xs:element name="base64Binary_literal" type="xs:base64Binary" />
</xs:schema>
- <xs:schema attributeFormDefault="unqualified" elementFormDefault="qualified" targetNamespace="http://examples/webservices/security_mtom" xmlns:s0="http://schemas.xmlsoap.org/wsdl/" xmlns:s1="http://examples/webservices/security_mtom" xmlns:s2="http://schemas.xmlsoap.org/wsdl/soap12/" xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy" xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:import namespace="java:examples.webservices.security_mtom" />
- <xs:element name="echoBinaryAsString">
- <xs:complexType>
- <xs:sequence>
<xs:element name="bytes" type="xs:base64Binary" />
</xs:sequence>
</xs:complexType>
</xs:element>
- <xs:element name="echoBinaryAsStringResponse">
- <xs:complexType>
- <xs:sequence>
<xs:element name="return" type="xs:string" />
</xs:sequence>
</xs:complexType>
</xs:element>
- <xs:element name="echoBinaryArrayAsStringArray">
- <xs:complexType>
- <xs:sequence>
<xs:element name="array" type="xs:base64Binary" />
</xs:sequence>
</xs:complexType>
</xs:element>
- <xs:element name="echoBinaryArrayAsStringArrayResponse">
- <xs:complexType>
- <xs:sequence>
<xs:element name="return" type="java:ArrayOfJavaLangstring_literal" xmlns:java="java:examples.webservices.security_mtom" />
</xs:sequence>
</xs:complexType>
</xs:element>
- <xs:element name="echoStringAsBinary">
- <xs:complexType>
- <xs:sequence>
<xs:element name="s" type="xs:string" />
</xs:sequence>
</xs:complexType>
</xs:element>
- <xs:element name="echoStringAsBinaryResponse">
- <xs:complexType>
- <xs:sequence>
<xs:element name="return" type="xs:base64Binary" />
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>
</s1:types>
- <s1:message name="echoBinaryAsString">
<s1:part element="s2:echoBinaryAsString" name="parameters" />
</s1:message>
- <s1:message name="echoBinaryAsStringResponse">
<s1:part element="s2:echoBinaryAsStringResponse" name="parameters" />
</s1:message>
- <s1:message name="echoBinaryArrayAsStringArray">
<s1:part element="s2:echoBinaryArrayAsStringArray" name="parameters" />
</s1:message>
- <s1:message name="echoBinaryArrayAsStringArrayResponse">
<s1:part element="s2:echoBinaryArrayAsStringArrayResponse" name="parameters" />
</s1:message>
- <s1:message name="echoStringAsBinary">
<s1:part element="s2:echoStringAsBinary" name="parameters" />
</s1:message>
- <s1:message name="echoStringAsBinaryResponse">
<s1:part element="s2:echoStringAsBinaryResponse" name="parameters" />
</s1:message>
- <s1:portType name="SecurityMtomService" wsp:PolicyURIs="#Wssp1.2-2007-SignBody.xml #Wssp1.2-2007-EncryptBody.xml #Wssp1.2-Wss1.1-EncryptedKey.xml">
- <s1:operation name="echoBinaryAsString" parameterOrder="parameters">
<s1:input message="s2:echoBinaryAsString" />
<s1:output message="s2:echoBinaryAsStringResponse" />
</s1:operation>
- <s1:operation name="echoBinaryArrayAsStringArray" parameterOrder="parameters">
<s1:input message="s2:echoBinaryArrayAsStringArray" />
<s1:output message="s2:echoBinaryArrayAsStringArrayResponse" />
</s1:operation>
- <s1:operation name="echoStringAsBinary" parameterOrder="parameters">
<s1:input message="s2:echoStringAsBinary" />
<s1:output message="s2:echoStringAsBinaryResponse" />
</s1:operation>
</s1:portType>
- <s1:binding name="SecurityMtomServiceServiceSoapBinding" type="s2:SecurityMtomService">
<s3:binding style="document" transport="http://schemas.xmlsoap.org/soap/http" />
- <wsp:Policy>
<wsp:PolicyReference URI="#Mtom.xml" />
</wsp:Policy>
- <s1:operation name="echoBinaryAsString">
<s3:operation style="document" />
- <s1:input>
<s3:body parts="parameters" use="literal" />
</s1:input>
- <s1:output>
<s3:body parts="parameters" use="literal" />
</s1:output>
</s1:operation>
- <s1:operation name="echoBinaryArrayAsStringArray">
<s3:operation style="document" />
- <s1:input>
<s3:body parts="parameters" use="literal" />
</s1:input>
- <s1:output>
<s3:body parts="parameters" use="literal" />
</s1:output>
</s1:operation>
- <s1:operation name="echoStringAsBinary">
<s3:operation style="document" />
- <s1:input>
<s3:body parts="parameters" use="literal" />
</s1:input>
- <s1:output>
<s3:body parts="parameters" use="literal" />
</s1:output>
</s1:operation>
</s1:binding>
- <s1:service name="SecurityMtomServiceService">
- <s1:port binding="s2:SecurityMtomServiceServiceSoapBinding" name="SecurityMtomServiceSoapPort">
<s3:address location="http://localhost:7001/SecurityMtomService/SecurityMtomService" />
</s1:port>
</s1:service>
</s1:definitions>
この節では、WebLogic Server にすでに含まれているサンプルの更新方法について説明します。
この節では、最新バージョンのポリシー ファイルを使用するようにサンプルを更新する方法を示します。変更されたサンプルに示すように、新しいポリシー ネームスペースを使用することをお勧めします。OASIS 標準の公式のネームスペースであり、他のベンダと相互運用するときに適しているためです。
信頼性のある SOAP メッセージングとは、ある WebLogic Server インスタンスで実行されているアプリケーションが別の WebLogic Server インスタンスで実行されている Web サービスを確実に呼び出せるようにするフレームワークです。信頼性は、2 つの Web サービス間のメッセージ配信を保証する能力として定義されます。
WebLogic Web サービスは WS-ReliableMessaging 1.1 仕様に準拠しています。この仕様には、別々の WebLogic Server アプリケーション サーバで実行されている 2 つの Web サービスが、ソフトウェア コンポーネント、システム、またはネットワークに障害が発生しても、確実に通信できる方法が記述されています。具体的には、ソース エンドポイント (クライアント Web サービス) から送り先エンドポイント (オペレーションを確実に呼び出せる Web サービス) へ送信されるメッセージが、1 つまたは複数の配信保証に基づいて確実に配信されるか、そうでなければ必ずエラーが送出される、相互運用性を備えたプロトコルについて記述されています。WS-ReliableMessaging 仕様では、WS-ReliableMessaging に WS-SecureConversation を組み合わせて、信頼性のあるシーケンスとセキュアなセッションを関連付けることにより、相互運用可能なセキュリティの提供方法を定義しています。シーケンスの作成時に、送信側は、シーケンスの所有者の識別に使用されるセキュリティ コンテキスト トークンを指すセキュリティ トークン参照を提示する必要があります。以降の両方向のすべてのシーケンス メッセージとプロトコル メッセージは、参照されたキーの所有証明を提示する必要があります。
WebLogic の信頼性のある SOAP メッセージングは 2 つの Web サービス間でのみ機能します。つまり、WebLogic Web サービスは別の Web サービスからのみ確実に呼び出すことが可能で、スタンドアロン クライアント アプリケーションからは機能しません。このサンプルでは、両方のタイプ (ソースと送り先) の Web サービスの作成方法を示します。WsrmSecurityClient.java クラスはソース Web サービスを呼び出すスタンドアロンの Java アプリケーションです。
既存のサンプルでは、次の 2 つの Web サービスを作成することで、Web サービス メッセージングの信頼性に加えてセキュリティ機能を提供する方法を示しています。
ReliableEchoService Web サービスには、信頼性のあるセキュアな方法で呼び出せる 2 つのオペレーション echo と echoOneway があります。ReliableEchoClientService Web サービスには、ReliableEchoService Web サービスの echo および echoOneway オペレーションを、1 つの会話において信頼性のあるセキュアな方法で呼び出すための 1 つのオペレーション echo があります。
既存のサンプルには、機能的なコードと、使用方法や機能、ビルド方法などを説明した多数の instructions.html ファイルが含まれています。この節ではその説明を繰り返すのではなく、サンプルに加える変更やその理由に焦点を当てています。
configWSS.py WLST スクリプトはソースおよび送り先 Web サービスをホストする WebLogic Server インスタンスのセキュリティを設定します。セキュリティ要件は送り先 Web サービスに関連付けられた WS-SecurityPolicy ファイルによって規定されます。
Wssp1.2-2007-Wssc1.3-Bootstrap-Wss1.0.xml ポリシーは以下の要件を課しています。
これに応じて、configWSS.py WLST スクリプトでは以下の機能を実行します。
加えて、configWSSRuntime.py WLST スクリプトでも以下の機能を実行します。
サンプルでは表 2-12 に示すファイルを使用します。以降の節で変更されたソース ファイルの内容を示します。
ReliableEchoServiceImpl.java JWS ファイルは WL_HOME\samples\server\examples\src\examples\webservices\wsrm_security\ReliableEchoServiceImpl.java と同じ内容ですが、太字で示した Policy アノテーションが変更されています。
@WebService(name = "ReliableEchoPort",
serviceName = "ReliableEchoService")
@WLHttpTransport(contextPath = "WsrmSecurity", serviceUri = "ReliableEchoService")
@Policies({ @Policy(uri="policy:Wssp1.2-2007-Wssc1.3-Bootstrap-Wss1.0.xml"),@Policy(uri="policy:Reliability1.1_SequenceSTR")}
)
@Policy アノテーションはクラスレベルでもメソッドレベルでも指定できます。このサンプルでは、アノテーションをクラスレベルで使用して、あらかじめパッケージ化された WS-Policy ファイルを指定しています。つまり、Web サービスのすべてのパブリック オペレーションは指定された WS-Policy ファイルに関連付けられます。
ReliableEchoServiceImpl Web サービスは関連付けられたポリシー ファイルで課せられている要件に対応するために WebLogic Server API を明示的に呼び出すことはありません。また、どのセキュリティ プロバイダ、トークン、または他のメカニズムが呼び出されるかを Web サービスが認識する必要もありません。
スクリプト ファイル configWss.py では WLST を使用して、アクティブなセキュリティ レルムのデフォルトの Web サービス セキュリティ コンフィグレーション default_wss を作成およびコンフィグレーションします (デフォルトの Web サービス セキュリティ コンフィグレーションは、別のコンフィグレーションを使用するように明示的にプログラミングされていない限り、ドメイン内のすべての Web サービスで使用されます)。さらに、このスクリプトでは x509 トークンがサポートされるようにし、必要なセキュリティ プロバイダなどを作成します。
configWss.py ファイルは WL_HOME\samples\server\examples\src\examples\webservices\wsrm_security\configWss.py と同じ内容に、太字で示した変更を加えたものです。build.xml ファイルがコマンド入力を提供します。
:
# SCT の資格プロバイダを作成
cpName='default_sct_cp'
wtm=defaultWss.lookupWebserviceCredentialProvider(cpName)
if wtm == None:
print 'creating new webservice credential provider : ' + cpName
wtm = defaultWss.createWebserviceCredentialProvider(cpName)
wtm.setClassName('weblogic.wsee.security.wssc.v13.sct.ServerSCCredentialProvider') wtm.setTokenType('sct') cpm = wtm.createConfigurationProperty('TokenLifeTime') cpm.setValue('43200000')else:
print 'found exsiting bean for: ' + cpName
# DK の資格プロバイダを作成
cpName='default_dk_cp'
wtm=defaultWss.lookupWebserviceCredentialProvider(cpName)
if wtm == None:
wtm = defaultWss.createWebserviceCredentialProvider(cpName)
wtm.setClassName('weblogic.wsee.security.wssc.v13.dk.DKCredentialProvider') wtm.setTokenType('dk') cpm = wtm.createConfigurationProperty('Label') cpm.setValue('WS-SecureConversationWS-SecureConversation') cpm = wtm.createConfigurationProperty('Length') cpm.setValue('16')else:
print 'found exsiting bean for: DK ' + cpName
:
configWss_Service.py スクリプトは configWss.py と似ていますが、ソースと送り先の Web サービスが 2 つのサーバにホストされている場合にのみ使用されます。
configWss_Service.py ファイルは WL_HOME\samples\server\examples\src\examples\webservices\wsrm_security\configWss_Service.py と同じ内容に、太字で示した変更を加えたものです。build.xml ファイルがコマンド入力を提供します。
:
# SCT の資格プロバイダを作成
cpName='default_sct_cp'
wtm=defaultWss.lookupWebserviceCredentialProvider(cpName)
if wtm == None:
print 'creating new webservice credential provider : ' + cpName
wtm = defaultWss.createWebserviceCredentialProvider(cpName)
wtm.setClassName('weblogic.wsee.security.wssc.v13.sct.ServerSCCredentialProvider') wtm.setTokenType('sct') cpm = wtm.createConfigurationProperty('TokenLifeTime') cpm.setValue('43200000')else:
print 'found exsiting bean for: ' + cpName
# DK の資格プロバイダを作成
cpName='default_dk_cp'
wtm=defaultWss.lookupWebserviceCredentialProvider(cpName)
if wtm == None:
wtm = defaultWss.createWebserviceCredentialProvider(cpName)
wtm.setClassName('weblogic.wsee.security.wssc.v13.dk.DKCredentialProvider') wtm.setTokenType('dk') cpm = wtm.createConfigurationProperty('Label') cpm.setValue('WS-SecureConversationWS-SecureConversation') cpm = wtm.createConfigurationProperty('Length') cpm.setValue('16')else:
print 'found existing bean for: DK ' + cpName
:
新しいポリシー ネームスペースを使用するようにサンプルを変更したら、WL_HOME\samples\server\examples\src\examples\webservices\wsrm_security\instructions.html ファイルの手順に従って、サンプルをビルドおよび実行します。
WS-SecurityPolicy 仕様が規定される前にリリースされた旧バージョンの WebLogic Server では、WS-Policy 仕様に基づき、独自のセキュリティ ポリシー スキーマを使用して記述されたセキュリティ ポリシー ファイルを使用していました。
| 注意 : | Web サービス セキュリティ ポリシー スキーマに基づいて記述されるセキュリティ ポリシー ファイルはこのリリースで非推奨になりました。 |
| 注意 : | WS-SecurityPolicy 1.2 ポリシー ファイルと独自の Web サービス セキュリティ ポリシー スキーマ ファイルには、相互の互換性はありません。したがって、1 つの Web サービスに、両方のタイプのポリシー ファイルを定義することはできません。WS-Security 1.1 機能を使用する場合は、WS-SecurityPolicy 1.2 ポリシー ファイル形式を使用する必要があります。 |
この節では、WebLogic Server にあらかじめパッケージ化されている Web サービス セキュリティ ポリシー スキーマ ファイルについて説明します。これらは、すべて抽象ポリシー ファイルです。詳細については、「抽象および具象ポリシー ファイル」を参照してください。
WebLogic Web サービスのメッセージレベルのセキュリティをコンフィグレーションするためにこれらのセキュリティ ポリシー ファイルで使用されるポリシー アサーションは、Web Services Security Policy Language (WS-SecurityPolicy) 仕様 (2002 年 12 月 18 日付) に記述されているアサーションに基づいています。つまり、WebLogic Server のアサーションの正確な構文と使用方法は、この仕様で説明されているアサーションとは異なっていますが、意味上の違いはありません。これらのアサーションには、これ以降の仕様の更新は反映されていません。
あらかじめパッケージ化されている Web サービス セキュリティ ポリシー ファイルは以下のとおりです。
Sign.xml や Encrypt.xml と併用することもできます。Auth.xml や Encrypt.xml と併用することもできます。Auth.xml や Sign.xml と併用することもできます。| 注意 : | このあらかじめパッケージ化されたポリシー ファイルは単体での使用を目的としています。Auth.xml、Sign.xml、Encrypt.xml、または Wssc-sct.xml との併用は意図されていません。また、クライアントとサービスでセキュリティ コンテキストを共有する場合、セキュリティ レベルを高めるためには Wssc-sct.xml ではなくこのポリシー ファイルを使用することをお勧めします。 |
| 注意 : | このあらかじめパッケージ化されたポリシー ファイルは単体での使用を目的としています。Auth.xml、Sign.xml、Encrypt.xml、または Wssc-dk.xml との併用は意図されていません。また、このポリシー ファイルでは WS-SecureConversation 仕様のさまざまな使用例がサポートされますが、クライアントとサービスでセキュリティ コンテキストを共有する場合、セキュリティ レベルを高めるためには Wssc-sct.xml ではなく Wssc-dk.xml ポリシー ファイルを使用することをお勧めします。 |
WebLogic Web サービス実行時環境では、抽象および具象という若干異なる 2 種類のセキュリティ ポリシー ファイルが認識されます。
抽象ポリシー ファイルでは、認証、暗号化、およびデジタル署名に使用されるセキュリティ トークンが明示的に指定されません。Web サービス実行時環境が Web サービスがデプロイされるときにセキュリティ トークンを決定します。つまり具体的には、ポリシー ファイルの <Identity> および <Integrity> 要素 (またはアサーション) には <SupportedTokens><SecurityToken> 子要素が含まれず、ポリシー ファイルの <Confidentiality> 要素には <KeyInfo><SecurityToken> 子要素が含まれません。
Web サービスがあらかじめパッケージ化されているポリシー ファイルのみに関連付けられている場合は、クライアント認証でユーザ名トークンが必要になります。Web サービスでは、暗号化とデジタル署名用のトークン タイプは 1 つしかサポートされていません (X.509)。つまり、<Integrity> 要素および <Confidentiality> 要素が使用される場合でも、抽象ポリシー ファイルと具象ポリシー ファイルは結果として本質的には同じになります。
Web サービスが抽象ポリシー ファイルに関連付けられ、そのファイルが WSDL の添付ファイルとして公開される場合 (デフォルトの動作)、Web サービスのアーカイブ ファイル (JAR または WAR) にパッケージ化される静的 WSDL ファイルは、デプロイされた Web サービスの動的 WSDL ファイルとは若干異なります。つまり、抽象的な静的 WSDL には特定の <SecurityToken> 要素が含まれていないのに対し、動的 WSDL にはこうした要素が含まれています。これは、サービスがデプロイされるときに Web サービス ランタイムによってこれらの要素が自動的に設定されるためです。このため、クライアント アプリケーション内に JAX-RPC スタブを作成するコードにおいては、必ず動的 WSDL を指定してください。そうしないとオペレーションを呼び出そうとしたときに実行時エラーが発生します。
HelloService service = new HelloService(Dynamic_WSDL);
この場合、clientgen Ant タスクには静的 WSDL と動的 WSDL のどちらでも指定できます。デプロイ済み Web サービスの動的な WSDL の表示については、『JAX-RPC を使用した WebLogic Web サービスの開始』の「Web サービスの WSDL の参照」を参照してください。
具象ポリシー ファイルでは、Web サービスのプログラミング時にセキュリティ トークンの詳細が明示的に指定されます。サービスのプログラミング時に、認証のタイプの詳細 (x509 トークンまたは SAML トークンの使用など) や、キーストアの複数のプライベート キーと証明書のペアが暗号化とデジタル署名に使用されるかどうかなどが分かっている場合に、具象セキュリティ ポリシー ファイルを作成します。
下記の WebLogic Server Auth.xml ファイルでは、Web サービスを呼び出すクライアント アプリケーションが、認証をサポートしているトークン (ユーザ名または X.509) のいずれかを使用して自身を認証する必要があることを指定します。
あらかじめパッケージ化されている Web サービス セキュリティ ポリシー スキーマ ファイルは抽象ファイルです。そのため、開発時には Auth.xml ファイルに特定のユーザ名や X.509 トークンのアサーションはありません。ユーザが WebLogic Server に対してどのようにセキュリティをコンフィグレーションしたかによって、ユーザ名トークン、X.509 トークン、またはその両方が、Web サービスに関連付けられた実際の実行時バージョンの Auth.xml ポリシー ファイルに示されます。さらに、実行時バージョンのポリシー ファイルにある X.509 トークンがクライアントの呼び出しに適用される場合は、SOAP メッセージの本文全体が署名されます。
ID として X.509 のみを使用し、ユーザ名トークンは使用しないように指定する場合、また ID として X.509 を使用していて SOAP メッセージの特定の部分だけを署名するように指定する場合は、カスタム セキュリティ ポリシー ファイルを作成する必要があります。
<?xml version="1.0"?>
<wsp:Policy
xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
xmlns:wssp="http://www.bea.com/wls90/security/policy"
>
<wssp:Identity/>
</wsp:Policy>
WebLogic Server の Sign.xml ファイルでは、SOAP メッセージの本文および WebLogic 固有のシステム ヘッダをデジタル署名することを指定します。また、デジタル署名されるタイムスタンプを SOAP メッセージに含めることを指定し、署名に使用するトークンにもデジタル署名を行うことを指定します。署名に使用するトークンは SOAP メッセージに含まれます。
以下のヘッダは、Sign.xml セキュリティ ポリシー ファイルの使用時に署名されます。
以下に WebLogic Server の Sign.xml ファイルを示します。
<?xml version="1.0"?>
<wsp:Policy
xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
xmlns:wssp="http://www.bea.com/wls90/security/policy"
xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"
xmlns:wls="http://www.bea.com/wls90/security/policy/wsee#part"
>
<wssp:Integrity>
<wssp:SignatureAlgorithm URI="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<wssp:CanonicalizationAlgorithm
URI="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<wssp:Target>
<wssp:DigestAlgorithm URI="http://www.w3.org/2000/09/xmldsig#sha1" />
<wssp:MessageParts
Dialect="http://www.bea.com/wls90/security/policy/wsee#part">
wls:SystemHeaders()
</wssp:MessageParts>
</wssp:Target>
<wssp:Target>
<wssp:DigestAlgorithm URI="http://www.w3.org/2000/09/xmldsig#sha1" />
<wssp:MessageParts
Dialect="http://www.bea.com/wls90/security/policy/wsee#part">
wls:SecurityHeader(wsu:Timestamp)
</wssp:MessageParts>
</wssp:Target>
<wssp:Target>
<wssp:DigestAlgorithm URI="http://www.w3.org/2000/09/xmldsig#sha1" />
<wssp:MessageParts
Dialect="http://schemas.xmlsoap.org/2002/12/wsse#part">
wsp:Body()
</wssp:MessageParts>
</wssp:Target>
</wssp:Integrity>
<wssp:MessageAge/>
</wsp:Policy>
WebLogic Server の Encrypt.xml ファイルでは、SOAP メッセージの本文全体を暗号化することを指定します。デフォルトでは、暗号化トークンは SOAP メッセージに含まれません。
<?xml version="1.0"?>
<wsp:Policy
xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
xmlns:wssp="http://www.bea.com/wls90/security/policy"
>
<wssp:Confidentiality>
<wssp:KeyWrappingAlgorithm URI="http://www.w3.org/2001/04/xmlenc#rsa-1_5"/>
<wssp:Target>
<wssp:EncryptionAlgorithm
URI="http://www.w3.org/2001/04/xmlenc#tripledes-cbc"/>
<wssp:MessageParts
Dialect="http://schemas.xmlsoap.org/2002/12/wsse#part">
wsp:Body()
</wssp:MessageParts>
</wssp:Target>
<wssp:KeyInfo/>
</wssp:Confidentiality>
</wsp:Policy>
WS-SecureConversation 仕様のとおりにクライアントと Web サービスでセキュリティ コンテキストを共有すること、および派生キー トークンを使用することを指定します。このファイルは、もっとも高度なセキュリティを確保できます。
このポリシー ファイルでは以下のコンフィグレーションが提供されます。
デフォルトのセキュリティ コンテキストと派生キーの動作を変更する場合は、以降の節で説明するカスタム セキュリティ ポリシー ファイルを作成する必要があります。
| 警告 : | このあらかじめパッケージ化されたセキュリティ ポリシー ファイルを指定する場合、他のあらかじめパッケージ化されたセキュリティ ポリシー ファイルは指定しないでください。 |
<?xml version="1.0"?>
<wsp:Policy
xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
xmlns:wssp="http://www.bea.com/wls90/security/policy"
xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"
xmlns:wls="http://www.bea.com/wls90/security/policy/wsee#part"
>
<wssp:Integrity SupportTrust10="true">
<wssp:SignatureAlgorithm URI="http://www.w3.org/2000/09/xmldsig#hmac-sha1"/>
<wssp:CanonicalizationAlgorithm URI="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<wssp:Target>
<wssp:DigestAlgorithm URI="http://www.w3.org/2000/09/xmldsig#sha1"/>
<wssp:MessageParts Dialect="http://www.bea.com/wls90/security/policy/wsee#part">
wls:SystemHeaders()
</wssp:MessageParts>
</wssp:Target>
<wssp:Target>
<wssp:DigestAlgorithm URI="http://www.w3.org/2000/09/xmldsig#sha1"/>
<wssp:MessageParts Dialect="http://www.bea.com/wls90/security/policy/wsee#part">
wls:SecurityHeader(wsu:Timestamp)
</wssp:MessageParts>
</wssp:Target>
<wssp:Target>
<wssp:DigestAlgorithm URI="http://www.w3.org/2000/09/xmldsig#sha1"/>
<wssp:MessageParts Dialect="http://schemas.xmlsoap.org/2002/12/wsse#part">
wsp:Body()
</wssp:MessageParts>
</wssp:Target>
<wssp:SupportedTokens>
<wssp:SecurityToken IncludeInMessage="true"
TokenType="http://schemas.xmlsoap.org/ws/2005/02/sc/dk"
DerivedFromTokenType="http://schemas.xmlsoap.org/ws/2005/02/sc/sct">
<wssp:Claims>
<wssp:Label>WS-SecureConversationWS-SecureConversation</wssp:Label>
<wssp:Length>16</wssp:Length>
</wssp:Claims>
</wssp:SecurityToken>
</wssp:SupportedTokens>
</wssp:Integrity>
<wssp:Confidentiality SupportTrust10="true">
<wssp:Target>
<wssp:EncryptionAlgorithm URI="http://www.w3.org/2001/04/xmlenc#aes128-cbc"/>
<wssp:MessageParts Dialect="http://schemas.xmlsoap.org/2002/12/wsse#part">
wsp:Body()</wssp:MessageParts>
</wssp:Target>
<wssp:KeyInfo>
<wssp:SecurityToken IncludeInMessage="true"
TokenType="http://schemas.xmlsoap.org/ws/2005/02/sc/dk"
DerivedFromTokenType="http://schemas.xmlsoap.org/ws/2005/02/sc/sct">
<wssp:Claims>
<wssp:Label>WS-SecureConversationWS-SecureConversation</wssp:Label>
<wssp:Length>16</wssp:Length>
</wssp:Claims>
</wssp:SecurityToken>
</wssp:KeyInfo>
</wssp:Confidentiality>
<wssp:MessageAge/>
</wsp:Policy>
WS-SecureConversation 仕様のとおりに、クライアントと Web サービスでセキュリティ コンテキストを共有することを指定します。この場合、SOAP メッセージの暗号化と署名にはセキュリティ コンテキスト トークンが使用されます。これは Wssc-dk.xml の場合とは異なり、Wssc-dk.xml では派生キー トークンが使用されます。Wssc-sct.xml ポリシー ファイルは、仕様のすべての使用例をサポートするために提供されています。ただし、セキュリティ コンテキストの共有を指定する場合、最高のセキュリティを実現するためには、セキュリティ レベルの高い Wssc-dk.xml を常に使用することをお勧めします。
このセキュリティ ポリシー ファイルでは以下のコンフィグレーションが提供されます。
デフォルトのセキュリティ コンテキストと派生キーの動作を変更する場合は、以降の節で説明するカスタム セキュリティ ポリシー ファイルを作成する必要があります。
| 警告 : | このあらかじめパッケージ化されたセキュリティ ポリシー ファイルを指定する場合、他のあらかじめパッケージ化されたセキュリティ ポリシー ファイルは指定しないでください。 |
<?xml version="1.0"?>
<wsp:Policy
xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
xmlns:wssp="http://www.bea.com/wls90/security/policy"
xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"
xmlns:wls="http://www.bea.com/wls90/security/policy/wsee#part"
>
<wssp:Integrity SupportTrust10="true">
<wssp:SignatureAlgorithm URI="http://www.w3.org/2000/09/xmldsig#hmac-sha1"/>
<wssp:CanonicalizationAlgorithm URI="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<wssp:Target>
<wssp:DigestAlgorithm URI="http://www.w3.org/2000/09/xmldsig#sha1"/> <wssp:MessageParts Dialect="http://www.bea.com/wls90/security/policy/wsee#part">
wls:SystemHeaders()
</wssp:MessageParts>
</wssp:Target>
<wssp:Target>
<wssp:DigestAlgorithm URI="http://www.w3.org/2000/09/xmldsig#sha1"/>
<wssp:MessageParts Dialect="http://www.bea.com/wls90/security/policy/wsee#part">
wls:SecurityHeader(wsu:Timestamp)
</wssp:MessageParts>
</wssp:Target>
<wssp:Target>
<wssp:DigestAlgorithm URI="http://www.w3.org/2000/09/xmldsig#sha1"/>
<wssp:MessageParts Dialect="http://schemas.xmlsoap.org/2002/12/wsse#part">
wsp:Body()
</wssp:MessageParts>
</wssp:Target>
<wssp:SupportedTokens>
<wssp:SecurityToken IncludeInMessage="true"
TokenType="http://schemas.xmlsoap.org/ws/2005/02/sc/sct">
</wssp:SecurityToken>
</wssp:SupportedTokens>
</wssp:Integrity>
<wssp:Confidentiality SupportTrust10="true">
<wssp:Target>
<wssp:EncryptionAlgorithm URI="http://www.w3.org/2001/04/xmlenc#aes128-cbc"/>
<wssp:MessageParts Dialect="http://schemas.xmlsoap.org/2002/12/wsse#part">
wsp:Body()</wssp:MessageParts>
</wssp:Target>
<wssp:KeyInfo>
<wssp:SecurityToken IncludeInMessage="true"
TokenType="http://schemas.xmlsoap.org/ws/2005/02/sc/sct">
</wssp:SecurityToken>
</wssp:KeyInfo>
</wssp:Confidentiality>
<wssp:MessageAge/>
</wsp:Policy>
  
|