Java Webサービスの WS-Security を実装する

セキュアー SOA ベースの Web サービス

  1. WS-Security の基礎とトレードオフを理解する
    WS-Security は、Webサービスが使用するトランスポート層プロトコルから独立しており、メッセージが複数のサービスを経由する場合でも、メッセージ・セキュリティーを維持します。しかしながら、WS-Security は、かなりのパフォーマンス・コストを招きます。WS-Security がどのように動作するのかを調べ、サービス要求に対してユーザー名とパスワードを送信する基本機能のための Axis2 でそれを設定する方法を学びます。その後、WS-Security が、単純なトランスポート層セキュリティーよりもアプリケーションにより適切であるかどうかを判断するのに役立ついくつかのガイドラインを得ます。
    読む: Webサービスのベスト・プラクティス、第11回: Webサービスのセキュリティー 第1回 (英語)
    読む: Java Web サービス: Axis2 WS-Security の基本
    読む: Java Web サービス: (WS-)Security に伴う高コスト
     
  2. デジタル署名と暗号化を実装する
    XML 暗号化と XMLデジタル署名は、WS-Security標準の基礎です。デジタル署名を要求することで、許可されたユーザーのメッセージへのアクセスを制限し、情報が転送中に改ざんされていないことを確かめることができます。暗号化は、意図しない受信者が情報を理解することを防ぐことができます。公開鍵暗号の原理の基礎を得て、Axis2 を使用して SOAP メッセージの署名および暗号化にそれらを適用する例を示します。そして、Axis2 と Apache Geronimo Java EE アプリケーション・サーバーを使用して、Web サービス・アプリケーション用の WS-Security の署名と暗号化を実装するハンズオン演習をします。
    読む: Java Web サービス: Axis2 WS-Security による署名および暗号化
    演習: Axis2 と Geronimo で署名と暗号化をする (英語)
     
  3. クライアント証明書を使用しないで WS-Security を使用する
    WS-Security の対称暗号化は、クライアント証明書を必要とせずにクライアントとサーバー間のセキュアーなメッセージ交換をすることができ、パフォーマンス上の利点を提供しながら、Web サービスの設定を簡素化できます。Axis2(およびオープン・ソースの Metro と Apache CXF フレームワーク)を使用して対称暗号化を構成し使用する方法を学びましょう。
    読む: Java Web サービス: クライアント証明書を使用しない WS-Security
     
  4. WS-Security で保護された Web サービスの相互運用性を確保する
    Web サービスは、プラットフォーム、ベンダー、およびプログラミング言語に関係なくアプリケーションを統合するのに有効です — しかし、それらは相互運用性の問題と無縁ではありません。WS-Security 仕様の異なるバージョン間の非互換性が原因で発生するいくつかの一般的な問題を理解し、Web サービス・ゲートウェイ(IBM WebSphere Application Server Network Deployment の1つのソフトウェア・コンポーネント)と WebSphere DataPower SOA Appliances (専用の容易にデプロイできるネットワーク・デバイス)を含むお客様の環境における問題に対処する方法を探ります。
    読む: 「WS-Security 仕様の相互運用性の課題に取り組む」シリーズ (英語)
     
  5. Web サービス・セキュリティー・タスクをオフロードする
    WebSphere Application Server を WebSphere DataPower SOA アプライアンスで統合することは、セキュアーで高性能な Web サービスを生成します。これらの製品を使用して Web サービスの導入を改善し、セキュアーにするための詳細な手順を学びましょう。
    読む: WebSphere Web サービス・セキュリティー・タスクを IBM WebSphere DataPower SOA アプライアンスにオフロードする」シリーズ (英語)
    ダウンロード: IBM WebSphere Application Server 評価版ダウンロード
    ダウンロード: WebSphere Application Server Community Edition - 無償版 (英語)
     
  6. 次のステップ
    議論する: developerWorks の Java technology フォーラム (英語)
    読む: その他の developerWorks Knowledge path
     

この Knowledge Path について

Web サービスの分散、かつ処理状態を把握しない性質は、それらをセキュアーにするという一つの関心事をもたらします。この Knowledge path は、XML ベースの Web サービス・アプリケーションでメッセージ・レベルのセキュリティーを実装する必要がある Java 開発者を対象としています。読者に OASIS Web サービス・セキュリティー(WS-Security)標準を紹介し、オープン・ソースの Apache Axis のWebサービス・フレームワークと IBM 製品の両方を使用して、Java Web サービス・アプリケーションをセキュアーにするためにそれを使用する方法を示します。資料は、IBM から入手可能なツールと無償版の Community Edition を含んだWebSphere Application Server 上でセキュアーな Web サービスをしたい(それだけに限定されませんが)方々に特に適しています。

このコンテンツでのアクティビティー

関連リンク