WebLogic Web サービス プログラマーズ ガイド
![]() |
![]() |
![]() |
![]() |
以下の節では、WS-Policy ファイルでコンフィグレーション可能なセキュリティ アサーションに関するリファレンス情報を示します。
WS-Policy ファイルを使用すると、WebLogic Web サービスのメッセージングレベルのセキュリティをコンフィグレーションできます。WebLogic Web サービスに関連付けられている WS-Policy ファイルの名前を指定するには、その Web サービスを実装している JWS ファイルで @Policy
および @Policies
JWS アノテーションを使用します。
WS-Policy ファイルは、WS-Policy 仕様に準拠する XML ファイルです。WS-Policy ファイルのルート要素は、常に <wsp:Policy>
です。メッセージレベルのセキュリティをコンフィグレーションするには、認証用にサポートされているトークンの種類、および SOAP メッセージを暗号化してデジタル署名する方法を指定するポリシー アサーションを追加します。
注意 : これらのセキュリティ ポリシー アサーションは、2002 年 12 月 18 日に公開された Web Services Security Policy Language (WS-SecurityPolicy) 仕様に基づいています。つまり、WebLogic Server のアサーションの正確な構文と使用方法は、この仕様で説明されているアサーションとは異なっていますが、意味上の違いはありません。このリリースの WebLogic Server のアサーションは、最新の仕様 (2005 年 7 月 13 日付) には基づいていません。
WebLogic Server には、標準的なセキュリティ アサーションを含む 3 つの WS-Policy ファイル (Auth.xml
、Sign.xml
、および Encrypt.xml
) があります。独自の WS-Policy ファイルを作成しない場合は、このファイルのいずれかを使用できます。この 3 つのファイルの詳細については、「メッセージレベルのセキュリティ コンフィグレーションに対する WS-Policy ファイルの使い方の概要」を参照してください。
メッセージレベルでセキュリティ保護された WebLogic Web サービスをタスク中心に説明している内容については、「メッセージレベルのセキュリティ (デジタル署名と暗号化) のコンフィグレーション」を参照してください
以下の図では、WS-Policy ファイルのセキュリティ アサーションの要素の階層を示します。
図 12-2 セキュリティ WS-Policy アサーションの要素階層
<?xml version="1.0"?>
<wsp:Policy
xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
xmlns:wssp="http://www.bea.com/wls90/security/policy"
xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"
xmlns:wls="http://www.bea.com/wls90/security/policy/wsee#part"
>
<wssp:Identity>
<wssp:SupportedTokens>
<wssp:SecurityToken TokenType="http://docs.oasis-open.org/wss/2004/01/oasis-2004-01-saml-token-profile-1.0#SAMLAssertionID">
<wssp:Claims>
<wssp:ConfirmationMethod>sender-vouches</wssp:ConfirmationMethod>
</wssp:Claims>
</wssp:SecurityToken>
</wssp:SupportedTokens>
</wssp:Identity>
<wssp:Confidentiality>
<wssp:KeyWrappingAlgorithm
URI="http://www.w3.org/2001/04/xmlenc#rsa-1_5"/>
<wssp:Target>
<wssp:EncryptionAlgorithm
URI="http://www.w3.org/2001/04/xmlenc#tripledes-cbc"/>
<wssp:MessageParts
Dialect="http://www.bea.com/wls90/security/policy/wsee#part">
wls:SecurityHeader(Assertion)
</wssp:MessageParts>
</wssp:Target>
<wssp:Target>
<wssp:EncryptionAlgorithm
URI="http://www.w3.org/2001/04/xmlenc#tripledes-cbc"/>
<wssp:MessageParts
Dialect="http://schemas.xmlsoap.org/2002/12/wsse#part">
wsp:Body()</wssp:MessageParts>
</wssp:Target>
<wssp:KeyInfo />
</wssp:Confidentiality>
</wsp:Policy>
デジタル署名する SOAP メッセージの要素を標準化するのに使用するアルゴリズムを指定します。
特定の種類のセキュリティ トークンに関連付けられる追加メタデータ情報を指定します。セキュリティ トークンの種類によって、以下の子要素を指定できます。
<
UsePassword
>
子要素を定義すると、SOAP メッセージでパスワード ダイジェストを使用するかどうかを指定できる。<
ConfirmationMethod
>
子要素を定義すると、SAML 確認の種類 (sender-vouches
または holder-of-key
) を指定できる。SOAP メッセージの暗号化に使用するアルゴリズムやキーに加え、SOAP メッセージの一部または全部を暗号化するように指定します。
たとえば、Web サービスで、SOAP メッセージの本文全体を triple-DES で暗号化する必要がある場合などです。
認証用に SAML トークンを使用する場合に使う確認メソッドの種類を指定します。この要素では、sender-vouches
または holder-of-key
の値を指定できます。
SOAP メッセージの指定部分にデジタル署名する際に使用するダイジェスト アルゴリズムを指定します。デジタル署名する SOAP メッセージの一部を指定するには、<MessageParts> 兄弟要素を使用します。
SOAP メッセージの指定部分を暗号化する際に使用する暗号化アルゴリズムを指定します。暗号化する SOAP メッセージの一部を指定するには、<MessageParts> 兄弟要素を使用します。
|
認証用にサポートされているセキュリティ トークンの種類 (ユーザ名、X.509、または SAML) を指定します。
SOAP メッセージのデジタル署名に使用するアルゴリズムやキーに加え、SOAP メッセージの一部または全部にデジタル署名するように指定します。
たとえば、Web サービスで、SOAP メッセージの本文全体にデジタル署名する必要があり、SHA1 と RSA キーを使用したアルゴリズムのみを受け付ける場合などです。
暗号化用のセキュリティ トークンを指定するために使用します。
メッセージの暗号化キーを暗号化するために使用するアルゴリズムを指定します。
SOAP メッセージが有効期限切れになり、破棄されるまでの期間を指定します。
デジタル署名または暗号化の対象となるメッセージのノードを指定します。
|
親要素によって、認証、暗号化、またはデジタル署名のいずれかで使用できるセキュリティ トークンを指定します。
たとえば、この要素が <Identity>
親要素で定義されている場合、Web サービスを呼び出したクライアント アプリケーションは、SOAP 要求にセキュリティ トークンをアタッチする必要があります。Web サービスによっては、機密データにアクセスできるようにするために、クライアント アプリケーションが、信頼されている認証局によって発行された SAML 認証トークンを提示しなければならない場合もあります。この要素が <Confidentiality>
の一部の場合、暗号用のトークンが指定されます。
特定の種類のセキュリティ トークンは、親要素に加え、TokenType
属性の値によって決まります。
|
親要素によって、認証、暗号化、またはデジタル署名のいずれかで使用できるセキュリティ トークンのリストを指定します。
親要素によって、暗号化またはデジタル署名する SOAP メッセージの対象に関する情報をカプセル化します。子要素も、親要素によって異なります。たとえば、<Integrity>
で使用する場合は、<DigestAlgorithm>
、<Transform>
、および <MessageParts>
子要素を指定できます。
親要素によって、電子署名または暗号化される SOAP メッセージの一部に適用されるトランスフォーメーション アルゴリズムの URI を指定します。
0 個以上の任意の数のトランスフォーメーションを指定できます。指定したトランスフォーメーションは、<Target>
親要素で指定されている順序で実行されます。
プレーンテキストかパスワードのダイジェストかを SOAP メッセージに表示するように指定します。この要素は、ユーザ名トークンでのみ使用されます。
![]() ![]() |
![]() |
![]() |