セキュリティー・スタックの追加

より適切な WSDL セキュリティーを提供するために、サービス・テストで多くのセキュリティー・アルゴリズムを使用できます。

  1. 「テスト・ナビゲーター」ビューから、または Generic Service Client の「要求ライブラリー」セクションから、WSDL ファイルを右クリックして、「WSDL セキュリティーの編集」を選択します。
  2. 「アルゴリズム・スタック」タブの「セキュリティー・アルゴリズム」エリアで、「追加」をクリックしてプロファイルを作成します。
  3. 「スタックの内容」エリアで、「追加」をクリックして、以下のいずれかのセキュリティー・アルゴリズムを追加します。
    カスタム・セキュリティー・アルゴリズム
    Java™ クラスをカスタム・セキュリティー・アルゴリズムとして使用する場合には、このスタック・エレメントを使用して、カスタム・アルゴリズムをサービスに適用します。
    Javaプロジェクト
    カスタム Java クラスを実装していない場合は、「Java プロジェクト」を選択し、新しいプロジェクトの名前を入力して、「生成」をクリックすると、カスタム・セキュリティー実装の新しい Java クラスがデフォルト構造で作成されます。
    実装クラス
    カスタム・セキュリティー・アルゴリズムを実装するクラスの名前を指定します。 「クラスの参照」をクリックして、ワークスペースから既存の Java クラスを選択します。
    プロパティ-
    このテーブルを使用して、特定のプロパティーおよび関連付けられた値をカスタム・セキュリティー・アルゴリズムに送信します。
    WS-Addressingアルゴリズム
    サービスで WS-Addressing 2004/08 標準または WS-Addressing 1.0 Core 標準のどちらかを使用している場合は、このブロックを使用します。
    名前空間
    WS-Addressing 2004/08 か WS-Addressing 1.0 Core の名前空間を指定します。
    要求で WS-Addressing が使用されている場合のアクション
    要求内に既に WS-Addressing がある場合は、実行するアクションを選択します。
    ReplyTo 内の匿名アドレスを次に置換:
    匿名アドレスの代わりに、指定のアドレスを ReplyTo ヘッダー内に生成するには、このオプションを選択します。
    応答から WS-Addressing を除去
    応答からすべての WS-Addressing ヘッダーを取り除くには、このオプションを選択します。
    暗号化キー
    このブロックは、XML シグニチャーまたは XML 暗号化ブロックで使用可能な暗号化キーを定義します。 暗号化キー・ブロックは、その暗号化キーを使用するブロックの前にある必要があります。
    アクター/役割名
    必要に応じて、アルゴリズム・ヘッダー・エレメントの受信側の名前を指定します。
    理解する必要がある
    必要に応じて、受信側によるアルゴリズム・ヘッダーの処理が必須であるかどうかを選択します。 受信側は、アクター名またはサーバーのいずれかです。
    キーの名前
    暗号化キーの名前を指定します。
    ID のタイプ
    鍵で使用する鍵 ID のタイプを以下から選択します。 Web Services Security (WSS) 仕様の X509 プロファイルおよび OASIS WSS 1.1 仕様で定義されている、以下の鍵 ID が使用可能です。
    • ISSUER_SERIAL
    • BST_DIRECT_REFERENCE
    • X509_KEY_IDENTIFIER
    • THUMBPRINT_IDENTIFIER
    • SKI_KEY_IDENTIFIER
    鍵のサイズ
    キーのサイズをビット単位で指定します。
    キーのエンコード・アルゴリズム名
    キーのエンコードに使用するアルゴリズムを指定します。
    鍵ストア
    新規の鍵ストアを定義するか、既存の鍵ストアを管理するには、鍵ストアを選択するか、「セキュリティーの編集」をクリックします。
    名前
    指定の鍵ストアに含まれているキーを選択します。
    パスワード
    選択したキー名のパスワードを入力します。
    XML署名
    XML シグニチャー・セキュリティー・アルゴリズム。XML 文書の署名方法を指定します。 セキュリティー・アルゴリズムについて詳しくは、Web サービス・セキュリティー仕様を参照してください。
    アクター/役割名
    必要に応じて、アルゴリズム・ヘッダー・エレメントの受信側の名前を指定します。
    理解する必要がある
    必要に応じて、受信側によるアルゴリズム・ヘッダーの処理が必須であるかどうかを選択します。 受信側は、アクター名またはサーバーのいずれかです。
    セキュリティー・トークン
    シグニチャーに使用する鍵 ID のタイプを選択します。 Web Services Security (WSS) 仕様の X509 プロファイルおよび OASIS WSS 1.1 仕様で定義されている、以下の鍵 ID が使用可能です。
    • ISSUER_SERIAL
    • BST_DIRECT_REFERENCE
    • X509_KEY_IDENTIFIER
    • SKI_KEY_IDENTIFIER
    • KEY_VALUE
    • USER_NAME_TOKEN
    • CUSTOM_SYMM_SIGNATURE
    さらに、シグニチャーが UsernameToken プロファイルに基づく場合は、以下の ID が使用可能です。
    • USER_NAME_TOKEN
    • CUSTOM_SYMM_SIGNATURE
    ユーザー XPath パーツ選択
    XML 文書の一部を記述した XPath 照会を指定します。これはアルゴリズムのサブジェクトにすることができます。 デフォルトでは、本文がサブジェクトです。 Xpath 式をビルドするには、「XPath ヘルパー」ボタンをクリックします。
    キー
    暗号化に使用する鍵を選択します。 各鍵の詳細は、それぞれ異なります。
    • x509 キー: このキーは、x509 キーの名前とパスワード、およびそれを配置する鍵ストアを指定します。
    • ユーザー名トークン・キー: シグニチャーのユーザー名とパスワードを指定します。
    • 暗号化キー: セキュリティー・スタックで以前に定義された暗号化キーへの参照を指定します。 新規の暗号化キー定義ブロックを作成するには、「新規暗号化キーの挿入」をクリックします。
    シグニチャー・アルゴリズム名
    XML Signature Syntax and Processing 仕様に記述されている、シグニチャー方式アルゴリズムを指定します。
    正規化
    XML Signature Syntax and Processing 仕様に記述されている、使用する正規化方式を指定します。
    ダイジェスト・アルゴリズム方式 (Digest algorithm method)
    サーバー・サイドで使用されているアルゴリズム方式に基づいて、使用するダイジェスト方式を指定します。
    名前空間を含める
    Exclusive XML Canonicalization 仕様に記述されている、正規化が排他的であるかどうかを指定します。
    XML暗号化
    XML 暗号化セキュリティー・アルゴリズム。XML 文書の暗号化の方法を指定します。 セキュリティー・アルゴリズムについて詳しくは、Web サービス・セキュリティー仕様を参照してください。
    アクター/役割名
    必要に応じて、アルゴリズム・ヘッダー・エレメントの受信側の名前を指定します。
    理解する必要がある
    必要に応じて、受信側によるアルゴリズム・ヘッダーの処理が必須であるかどうかを選択します。 受信側は、アクター名またはサーバーのいずれかです。
    ID のタイプ
    暗号化に使用する鍵 ID のタイプを選択します。 Web Services Security (WSS) 仕様の X509 プロファイルおよび OASIS WSS 1.1 仕様で定義されている、以下の鍵 ID が使用可能です。
    • ISSUER_SERIAL
    • BST_DIRECT_REFERENCE
    • X509_KEY_IDENTIFIER
    • SKI_KEY_IDENTIFIER
    • EMBEDDED_KEYNAME
    • THUMBPRINT_IDENTIFIER
    • ENCRYPTED_KEY_SHA1_IDENTIFIER
    ユーザー XPath パーツ選択
    これにより、XML 文書の一部を記述した XPath 照会を指定し、それをアルゴリズムのサブジェクトにすることができます。 デフォルトでは、本文がサブジェクトです。
    キー
    暗号化に使用する鍵を選択します。 各鍵の詳細は、それぞれ異なります。
    • x509 キー: x509 キーの名前とパスワード、およびそれを配置する鍵ストアを指定します。
    • 未処理のキー: SecretKey の名前とバイト値を 16 進数で指定します。
    • 暗号化キー: セキュリティー・スタックで以前に定義された暗号化キーへの参照を指定します。 新規の暗号化キー定義ブロックを作成するには、「新規暗号化キーの挿入」をクリックします。
    エンコード・アルゴリズム名
    XML Encryption Syntax and Processing 仕様で定義されている、使用する暗号化方式を指定します。
    キーのエンコード・アルゴリズム
    XML Encryption Syntax and Processing 仕様で定義されている、キーのエンコードに使用する標準アルゴリズムを指定します。
    ユーザー名トークン
    ユーザー名トークン・セキュリティー・アルゴリズムは、メッセージ内の XML 文書にユーザー名トークンを追加します。 セキュリティー・アルゴリズムについて詳しくは、Web サービス・セキュリティー仕様を参照してください。
    アクター/役割名
    必要に応じて、アルゴリズム・ヘッダー・エレメントの受信側の名前を指定します。
    理解する必要がある
    必要に応じて、受信側によるアルゴリズム・ヘッダーの処理が必須であるかどうかを選択します。 受信側は、アクター名またはサーバーのいずれかです。
    名前
    ユーザーの名前を入力します。
    パスワード
    ユーザーのパスワードを入力します。
    パスワード・タイプ
    Web Services Security の UsernameToken プロファイルで定義されている、セキュリティー・アルゴリズムのパスワード・タイプを指定します。
    nonceの使用
    Nonce エレメントを「ユーザー名トークン」XML コードに追加するには、このチェック・ボックスを選択します。 ほとんどの場合、Nonce ID が必要です。
    作成日の使用
    現在のタイム・スタンプを「ユーザー名トークン」XML 内の「作成日」XML エレメントに追加するには、このチェック・ボックスを選択します。
    タイム・スタンプ
    タイム・スタンプ・セキュリティー・アルゴリズムは、応答内の XML 文書にタイム・スタンプ情報を追加します。 セキュリティー・アルゴリズムについて詳しくは、Web サービス・セキュリティー仕様を参照してください。
    アクター/役割名
    必要に応じて、アルゴリズム・ヘッダー・エレメントの受信側の名前を指定します。
    理解する必要がある
    必要に応じて、受信側によるアルゴリズム・ヘッダーの処理が必須であるかどうかを選択します。 受信側は、アクター名またはサーバーのいずれかです。
    有効期限の猶予
    タイム・スタンプの有効期限が切れるまでの猶予を指定します。
    ミリ秒の精度
    デフォルト (1/100 秒) の代わりにミリ秒の精度を使用するタイム・スタンプを生成する場合は、このオプションを選択します。
    SAML アサーション・ブロック
    自己署名 SAML アサーション・セキュリティー・アルゴリズムを使用するには、SAML アサーション・スタックを要求または WSDL ファイルに追加します。
    ユーザー XPath パーツ選択
    XML 文書の一部を記述した XPath 照会を指定します。これはアルゴリズムのサブジェクトにすることができます。 デフォルトでは、本文がサブジェクトです。 Xpath 式をビルドするには、「XPath ヘルパー」ボタンをクリックします。
    キー
    暗号化に使用する鍵を選択します。 各鍵の詳細は、それぞれ異なります。
    • x509 キー: このキーは、x509 キーの名前とパスワード、およびそれを配置する鍵ストアを指定します。
    • ユーザー名トークン・キー: シグニチャーのユーザー名とパスワードを指定します。
    • 暗号化キー: セキュリティー・スタックで以前に定義された暗号化キーへの参照を指定します。 新規の暗号化キー定義ブロックを作成するには、「新規暗号化キーの挿入」をクリックします。
    シグニチャー・アルゴリズム名
    XML Signature Syntax and Processing 仕様に記述されている、シグニチャー方式アルゴリズムを指定します。
    正規化
    XML Signature Syntax and Processing 仕様に記述されている、使用する正規化方式を指定します。
    ダイジェスト・アルゴリズム方式 (Digest algorithm method)
    サーバー・サイドで使用されているアルゴリズム方式に基づいて、使用するダイジェスト方式を指定します。
    名前空間を含める
    Exclusive XML Canonicalization 仕様に記述されている、正規化が排他的であるかどうかを指定します。
    署名付きアサーション
    SAML アサーションに自己署名するには、このチェック・ボックスを選択します。
    発行者
    SAML アサーションまたはプロトコル・メッセージの発行者の説明を指定します。
    件名
    アサーション内のすべてのステートメントのサブジェクトとなるプリンシパルを指定します。 これには、ID や、1 つ以上のサブジェクト確認のシリーズを含めることができます。
    サブジェクト修飾子
    サブジェクトの名前修飾子を指定します。
    サブジェクト形式
    サブジェクトに使用する形式を指定します。
    サブジェクト局所性 DNS (Subject Locality DNS)
    アサーション・サブジェクトの認証元のシステムの DNS ドメイン・ネームを指定します。
    サブジェクト局所性 IP (Subject Locality IP)
    アサーション・サブジェクトの認証元のシステムの IP アドレスを指定します。
    ステートメント・タイプ
    アサーションに使用する認証方式を指定します。

    認証: アサーション・サブジェクトは認証済みです。

    属性: 指定されたサブジェクトが提供された属性に関連付けられます。

    許可決定: 指定されたリソースにサブジェクトがアクセスできるよう許可します。

    要求されたリソース
    「許可決定 (Authorization decision)」オプションを使用する場合に、アクセス権が必要なリソースを指定します。
    アクション
    リソースにアクセスするために実行するアクションを指定します。
    確認番号
    確認メソッドは、SAML アサーションのサブジェクトとクレームとの関係のエビデンス (証明) をエンティティーが提供するメカニズムを定義します。

    送信者の証明書: クライアントのためにサーバーがクライアント ID を SOAP メッセージと共有する必要がある場合に、このオプションを選択します。 このメソッドは ID アサーションと似ていますが、クライアント ID だけでなく、クライアント属性も共有するために SAML アサーションを使用するという柔軟性が追加されています。

    鍵の所有者: サブジェクトとクレームとの関係の証明が、SAML アサーションで指定された鍵のある SOAP メッセージの署名部分により確立される場合に、このオプションを選択します。 鍵の所有者トークンに関連付けられた鍵素材があるため、このトークンは SOAP メッセージのメッセージ・レベルの保護 (署名および暗号化) の提供に使用できます。

    ベアラー: サブジェクトとクレームの間の関係の証明が暗黙である場合に、このオプションを選択します。 関係の確立に、特定のステップは行われません。 ベアラー・トークンに関連付けられた鍵素材はないため、SOAP メッセージの保護が必要な場合には、トランスポート・レベルのメカニズム、またはメッセージ・レベルの保護用の他のセキュリティー・トークン (X.509 または Kerberos トークンなど) を使用して行う必要があります。

    バージョン
    使用される SAML バージョンを指定します。
  4. オプション: シンプル SAML コードを検証するには、「貼り付けられたコンテンツのセキュリティーの分析」オプションを使用します。
    このオプションについて詳しくは、『WSDL プロファイルのセキュリティーの作成』を参照してください。