![[目次]](FIGURE/CONTENT.GIF)
Cosminexus Webサービスセキュリティ 使用の手引
![[用語]](FIGURE/GLOSS.GIF)
![[索引]](FIGURE/INDEX.GIF)
![[前へ]](FIGURE/FRONT.GIF)
![[次へ]](FIGURE/AFTER.GIF)
Webサービスセキュリティポリシー定義ファイルは,XMLファイルです。ここでは,Webサービスセキュリティポリシー定義ファイルの要素,および要素で指定できる属性とコンテンツ(子要素)について説明します。なお,表中のデータ型は,XML Schemaのデータ型を表しています。
ポリシー定義ファイルのルート要素です。
表C-51 PolicyConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
GlobalConfig | Webサービスセキュリティポリシー定義で共通的に使用するポリシーを指定します。省略時は,GlobalConfig要素内の値はすべてデフォルト値が仮定されます。 | − |
0 または 1 |
| RequestReceiverConfig | リクエストメッセージ受信時の設定を指定します。省略時は,リクエストメッセージ受信時のポリシーチェックが行われません。 | − |
0 または 1 |
|
| ResponseReceiverConfig | レスポンスメッセージ受信時の設定を指定します。省略時は,レスポンスメッセージ受信時のポリシーチェックが行われません。 | − |
0 または 1 |
Webサービスセキュリティポリシー定義で共通的に使用するポリシーを指定します。
表C-52 GlobalConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
Max-Clock-Skew | 有効期限をチェックする際の時間差に関する情報を指定します。省略時はMax-Clock-Skew要素内の値はすべてデフォルト値が仮定されます。 | − |
0 または 1 |
| Fresh-Time-Limit | UsernameToken要素,Timestamp要素内のCreated要素の有効期間に関するポリシーチェックの情報を指定します。省略時はFresh-Time-Limit要素内の値はすべてデフォルト値が仮定されます。 | − |
0 または 1 |
有効期限をチェックする際の時間差に関する情報を指定します。コンテンツはありません。
表C-53 Max-Clock-Skew
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Value | UsernameToken要素およびTimestamp要素の子要素であるCreated要素,またはTimestamp要素の子要素であるExpires要素に指定された値に基づいてSOAPメッセージの有効期限を確認する場合に,送信側と受信側との時間の差をどこまで許容するかを指定します。指定するときの単位はミリ秒です。 指定できる範囲は,1〜2,147,483,647の間です。範囲外の値を指定した場合,または指定を省略した場合は,0ミリ秒が仮定されます。 |
int |
1 |
UsernameToken要素,およびTimestamp要素内のCreated要素の有効期間に関するポリシーチェックの情報を指定します。コンテンツはありません。
表C-54 Fresh-Time-Limit
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Value | UsernameToken要素およびTimestamp要素の子要素であるCreated要素に指定された値を確認する場合に,送信側と受信側との時間の差をどこまで許容するかを指定します。 指定するときの単位はミリ秒です。 指定できる範囲は,1,000〜2,147,483,647の間です。範囲外の値を指定した場合,または指定を省略した場合は,300,000ミリ秒が仮定されます。 |
int |
1 |
リクエストメッセージ受信時の設定を指定します。
表C-55 RequestReceiverConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
ReceiverPortConfig | Webサービスセキュリティポリシー定義を適用するSOAPサービスエンドポイントの情報を指定します。 | − |
1以上 |
Webサービスセキュリティポリシー定義を適用するSOAPサービスエンドポイントの情報を指定します。
表C-56 ReceiverPortConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Name | Webサービスセキュリティポリシー定義を適用するSOAPサービスのURLを指定します。 アスタリスク"*"を指定した場合,すべてのSOAPサービスに対してWebサービスセキュリティ定義が適用されます。 |
anyURI |
1 |
| My_role | Webサービスセキュリティポリシー定義を適用するSOAPサービスのロール名を,URIで指定します。受信したSOAPメッセージのセキュリティヘッダ内で,RoleConfig要素のrole属性に指定されている値がMy_role属性で指定したロール名と一致した場合に,ReceiverPortConfig要素で指定した定義に従ってWebサービスセキュリティポリシー定義が適用されます。 | anyURI |
1 |
|
| コ ン テ ン ツ |
SecurityTokenConfig | セキュリティトークンに関するポリシーチェックの情報を指定します。省略時はセキュリティトークンに関するポリシーチェックが行われません。 | − |
0 または 1 |
| VerificationConfig | 署名に関するポリシーチェックの情報を指定します。省略時は署名に関するポリシーチェックが行われません。 | − |
0 または 1 |
|
| DecryptionPolicyConfig | 復号化に関するポリシーチェックの情報を指定します。省略時は復号化に関するポリシーチェックが行われません。 | − |
0 または 1 |
|
| TimestampConfig | タイムスタンプに関するポリシーチェックの情報を指定します。省略時はタイムスタンプに関するポリシーチェックが行われません。 | − |
0 または 1 |
セキュリティトークンに関するポリシーチェックの情報を指定します。
表C-57 SecurityTokenConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
UsernameTokenConfig | UsernameToken要素に関するポリシーチェックの情報を指定します。省略時はUsernameTokenに関するポリシーチェックが行われません。 | − |
0 または 1 |
| BinarySecurityTokenConfig | バイナリセキュリティトークンに関するポリシーチェックの情報を指定します。省略時はバイナリセキュリティトークンに関するポリシーチェックが行われません。 | − |
0 または 1 |
UsernameToken要素に関するポリシーチェックの情報を指定します。
表C-58 UsernameTokenConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Required | セキュリティヘッダ内のUsernameToken要素の有無をチェックするかどうかを"true","false","1”,"0"のどれかで指定します。"true","1"を指定した場合,セキュリティヘッダ内のUsernameToken要素の有無をチェックし,存在しないときはポリシー違反としてSOAP Faultをスローします。"false","0"を指定した場合,セキュリティヘッダ内のUsernameToken要素の有無をチェックしません。"false",0"を指定した場合,UsernameToken要素が存在しても処理しません。 | boolean |
1 |
| コ ン テ ン ツ |
Nonce | Nonce要素に関するポリシーチェックの情報を指定します。省略時はNonce要素に関するポリシーチェックが行われません。 | − |
0 または 1 |
| Created | UsernameToken要素内のCreated要素に関するポリシーチェックの情報を指定します。省略時はCreated要素に関するポリシーチェックが行われません。 | − |
0 または 1 |
Nonce要素に関するポリシーチェックの情報を指定します。コンテンツはありません。
表C-59 Nonce
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Required | UsernameToken要素内のNonce要素の有無をチェックするかどうかを"true","false","1”,"0"のどれかで指定します。"true","1"を指定した場合UsernameToken要素内のNonce要素の有無をチェックし,存在しない場合はポリシー違反としてSOAP Faultをスローします。"false","0"を指定した場合UsernameToken要素内のNonce要素の有無をチェックしません。"false","0"を指定した場合,Nonce要素が存在しても処理しません。 | boolean |
1 |
UsernameToken要素内のCreated要素に関するポリシーチェックの情報を指定します。
表C-60 Created
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Required | UsernameToken要素内のCreated要素の有無をチェックするかどうかを"true","false","1”,"0"のどれかで指定します。"true","1"を指定した場合UsernameToken要素内のCreated要素の有無をチェックし,存在しない場合はポリシー違反としてSOAP Faultをスローします。"false","0"を指定した場合UsernameToken要素内のCreated要素の有無をチェックしません。"false","0"を指定した場合,Created要素が存在しても処理しません。 | boolean |
1 |
バイナリセキュリティトークンに関するポリシーチェックの情報を指定します。
表C-61 BinarySecurityTokenConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
TokenValidation | BinarySecurityToken要素の検証に関するポリシーチェックの情報を指定します。 | − |
1 |
BinarySecurityToken要素の検証に関するポリシーチェックの情報を指定します。
表C-62 TokenValidation
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
X509TokenValidation | X.509証明書の検証に関するポリシーチェックの情報を指定します。この要素が指定されている場合,受信したSOAPメッセージにX.509証明書のBinarySecurityToken要素(ValueTypeが"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3"であるBinarySecurityToken要素) が存在しない場合,ポリシー違反としてSOAP Faultをスローします。省略時はX.509証明書の検証に関するポリシーチェックが行われません。 |
− |
0 または 1 |
X.509証明書の検証に関するポリシーチェックの情報を指定します。
表C-63 X509TokenValidation
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
AuthorityCertificateLocationList | X.509証明書の検証に関するポリシーチェックの情報を指定します。 | − |
1 |
X.509証明書の検証に関するポリシーチェックの情報を指定します。
表C-64 AuthorityCertificateLocationList
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
AuthorityCertificateFile | X.509証明書の署名検証に使用する証明書ファイルの情報を指定します。 | − |
1以上 |
X.509証明書の署名検証に使用する証明書ファイルの情報を指定します。コンテンツはありません。
表C-65 AuthorityCertificateFile
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Name | X.509証明書の署名検証に使用する証明書ファイル名を指定します。 | String |
1 |
署名に関するポリシーチェックの情報を指定します。VerificationConfig要素の指定があり,署名がされていないメッセージを受信した場合はポリシーチェック違反としてSOAP Faultをスローします。
表C-66 VerificationConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
SignatureMethodList | 署名アルゴリズムに関するポリシーチェックの情報を指定します。 | − |
1 |
| CanonicalizationMethodList | 正規化アルゴリズムに関するポリシーチェックの情報を指定します。 | − |
1 |
|
| SignatureTarget | 署名個所に関するポリシーチェックの情報を指定します。 | − |
1 |
署名アルゴリズムに関するポリシーチェックの情報を指定します。受信メッセージ中の署名アルゴリズムが,この要素のSignatureMethodタグで指定した,どのアルゴリズムとも一致しない場合は,ポリシーチェック違反としてSOAP Faultをスローします。
表C-67 SignatureMethodList
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
SignatureMethod | 署名アルゴリズムに関する情報を指定します。省略時は署名アルゴリズムに関するポリシーチェックが行われません。 | − |
0以上 |
署名アルゴリズムに関する情報を指定します。コンテンツはありません。
表C-68 SignatureMethod
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Algorithm | 受信側で処理可能な署名アルゴリズムのURIを指定します。 | anyURI |
1 |
正規化アルゴリズムに関するポリシーチェックの情報を指定します。受信メッセージ中の正規化アルゴリズムが,この要素のCanonicalizationMethodタグで指定した,どのアルゴリズムとも一致しない場合は,ポリシーチェック違反としてSOAP Faultをスローします。
表C-69 CanonicalizationMethodList
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
CanonicalizationMethod | 正規化アルゴリズムに関する情報を指定します。省略時は正規化アルゴリズムに関するポリシーチェックが行われません。 | − |
0以上 |
正規化アルゴリズムに関する情報を指定します。コンテンツはありません。
表C-70 CanonicalizationMethod
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Algorithm | 受信側で処理可能な正規化アルゴリズムのURIを指定します。 | anyURI |
1 |
署名個所に関するポリシーチェックの情報を指定します。
表C-71 SignatureTarget
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Part | 署名個所となるSOAPエンベロープ中のエレメントを指定します。メッセージの署名個所がこの属性に指定した個所と異なる場合,ポリシー違反としてSOAP Faultをスローします。指定できる値は"Body"だけです。 | enum |
1 |
| コ ン テ ン ツ |
TransformMethodList | トランスフォームアルゴリズムに関する情報を指定します。省略時はトランスフォームアルゴリズムに関するポリシーチェックが行われません。 | − |
0 または 1 |
トランスフォームアルゴリズムに関する情報を指定します。受信メッセージ中のトランスフォームアルゴリズムが,この要素のTransformMethodタグで指定した,どのアルゴリズムとも一致しない場合は,ポリシーチェック違反としてSOAP Faultをスローします。
表C-72 TransformMethodList
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
TransformMethod | トランスフォームアルゴリズムのアルゴリズム識別子を指定します。省略時はトランスフォームアルゴリズムに関するポリシーチェックが行われません。 | anyURI |
0以上 |
トランスフォームアルゴリズムのアルゴリズム識別子を指定します。コンテンツはありません。
表C-73 TransformMethod
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Algorithm | 受信側で処理可能なトランスフォームアルゴリズムのURIを指定します。 | anyURI |
1 |
復号化に関するポリシーチェックの情報を指定します。DecryptionConfig要素の指定があり,暗号化がされていないメッセージを受信した場合は,ポリシーチェック違反としてSOAP Faultをスローします。
表C-74 DecryptionPolicyConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
DecryptionTarget | 復号化個所に関するポリシーチェックの情報を指定します。 | − |
1 |
復号化個所に関するポリシーチェックの情報を指定します。
表C-75 DecryptionTarget
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Part | 復号化する個所となるSOAPエンベロープ中のエレメントを指定します。メッセージの復号化個所がこの属性に指定した個所と異なる場合ポリシー違反としてSOAP Faultをスローします。指定できる値は"Body"だけです。 | enum |
1 |
| Type | 復号化する個所の暗号化タイプを指定します。指定可能な値は"Content"だけです。 | enum |
1 |
|
| コ ン テ ン ツ |
DecryptionConfig | 復号化に関するポリシーチェックの情報を指定します。 | − |
1 |
復号化に関するポリシーチェックの情報を指定します。DecryptionConfig要素の指定があり,暗号化がされていないメッセージを受信した場合は,ポリシーチェック違反としてSOAP Faultをスローします。
表C-76 DecryptionConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
ContentsDecryption | メッセージ内容の復号化に関するポリシーチェックの情報を指定します。 | − |
1 |
| KeyDecryption | 復号に使用する鍵の復号化に関するポリシーチェックの情報を指定します。EncryptionTypeが"ContentsEncryption"の場合は不要です。 | − |
1 |
メッセージ内容の復号化に関するポリシーチェックの情報を指定します。
表C-77 ContentsDecryption
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
DecryptionMethodList | 復号化個所の暗号アルゴリズムに関するポリシーチェックの情報を指定します。省略時は復号化個所の暗号アルゴリズムに関するポリシーチェックが行われません。 | − |
0 または 1 |
復号化個所の暗号アルゴリズムに関するポリシーチェックの情報を指定します。受信メッセージ中の暗号アルゴリズムが,この要素のDecryptionMethodタグで指定した,どのアルゴリズムとも一致しない場合は,ポリシーチェック違反としてSOAP Faultをスローします。
表C-78 DecryptionMethodList
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
DecryptionMethod | 復号化に用いる暗号アルゴリズムに関する情報を指定します。省略時は復号化に用いる暗号アルゴリズムに関するポリシーチェックが行われません。 | − |
0以上 |
復号化に用いる暗号アルゴリズムに関する情報を指定します。コンテンツはありません。
表C-79 DecryptionMethod
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Algorithm | 受信側で処理可能な暗号アルゴリズムのURIを指定します。 | anyURI |
1 |
復号に使用する鍵の復号化に関するポリシーチェックの情報を指定します。
表C-80 KeyDecryption
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
DecryptionMethodList | 復号化個所に関するポリシーチェックの情報を指定します。省略時は復号化個所に関するポリシーチェックが行われません。 | − |
0 または 1 |
タイムスタンプに関するポリシーチェックの情報を指定します。
表C-81 TimestampConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
Created | タイムスタンプ要素のCreated要素に関するポリシーチェックの情報を指定します。省略時はCreated要素に関するポリシーチェックが行われません。 | − |
0 または 1 |
| Expires | タイムスタンプ要素のExpires要素に関するポリシーチェックの情報を指定します。省略時はExpires要素に関するポリシーチェックが行われません。 | − |
0 または 1 |
タイムスタンプ要素のCreated要素に関するポリシーチェックの情報を指定します。コンテンツはありません。
表C-82 Created
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Required | タイムスタンプ要素内のCreated要素の有無をチェックするかどうかを"true","false","1”,"0"のどれかで指定します。"true","1"を指定した場合タイムスタンプ要素内のCreated要素の有無をチェックし,存在しない場合はポリシー違反としてSOAP Faultをスローします。"false","0"を指定した場合タイムスタンプ要素内のCreated要素の有無をチェックしません。 | boolean |
1 |
タイムスタンプ要素のExpires要素に関するポリシーチェックの情報を指定します。コンテンツはありません。
表C-83 Expires
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Required | タイムスタンプ要素内のExpires要素の有無をチェックするかどうかを"true","false","1”,"0"のどれかで指定します。"true","1"を指定した場合タイムスタンプ要素内のExpires要素の有無をチェックし,存在しない場合はポリシー違反としてSOAP Faultをスローします。"false","0"を指定した場合タイムスタンプ要素内のExpires要素の有無をチェックしません。 | boolean |
1 |
レスポンスメッセージ受信時の設定を指定します。
表C-84 ResponseReceiverConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
ReceiverPortConfig | Webサービスセキュリティポリシー定義を適用するSOAPサービスエンドポイントの情報を指定します。 | − |
1以上 |
All Rights Reserved. Copyright (C) 2006, 2007, Hitachi, Ltd.