付録C.2 Webサービスセキュリティポリシー定義ファイルの項目

Webサービスセキュリティポリシー定義ファイルは,XMLファイルです。ここでは,Webサービスセキュリティポリシー定義ファイルの要素,および要素で指定できる属性とコンテンツ(子要素)について説明します。なお,表中のデータ型は,XML Schemaのデータ型を表しています。

<この項の構成>
(1)  PolicyConfig
(2)  GlobalConfig
(3)  Max-Clock-Skew
(4)  Fresh-Time-Limit
(5)  RequestReceiverConfig
(6)  ReceiverPortConfig
(7)  SecurityTokenConfig
(8)  UsernameTokenConfig
(9)  Nonce
(10)  Created
(11)  BinarySecurityTokenConfig
(12)  TokenValidation
(13)  X509TokenValidation
(14)  AuthorityCertificateLocationList
(15)  AuthorityCertificateFile
(16)  VerificationConfig
(17)  SignatureMethodList
(18)  SignatureMethod
(19)  CanonicalizationMethodList
(20)  CanonicalizationMethod
(21)  SignatureTarget
(22)  TransformMethodList
(23)  TransformMethod
(24)  DecryptionPolicyConfig
(25)  DecryptionTarget
(26)  DecryptionConfig
(27)  ContentsDecryption
(28)  DecryptionMethodList
(29)  DecryptionMethod
(30)  KeyDecryption
(31)  TimestampConfig
(32)  Created
(33)  Expires
(34)  ResponseReceiverConfig

(1)  PolicyConfig

ポリシー定義ファイルのルート要素です。

表C-51 PolicyConfig

種別要素説明データ型指定
回数
属性





GlobalConfigWebサービスセキュリティポリシー定義で共通的に使用するポリシーを指定します。省略時は,GlobalConfig要素内の値はすべてデフォルト値が仮定されます。

0
または
1

RequestReceiverConfigリクエストメッセージ受信時の設定を指定します。省略時は,リクエストメッセージ受信時のポリシーチェックが行われません。

0
または
1

ResponseReceiverConfigレスポンスメッセージ受信時の設定を指定します。省略時は,レスポンスメッセージ受信時のポリシーチェックが行われません。

0
または
1

(2)  GlobalConfig

Webサービスセキュリティポリシー定義で共通的に使用するポリシーを指定します。

表C-52 GlobalConfig

種別要素説明データ型指定
回数
属性





Max-Clock-Skew有効期限をチェックする際の時間差に関する情報を指定します。省略時はMax-Clock-Skew要素内の値はすべてデフォルト値が仮定されます。

0
または
1

Fresh-Time-LimitUsernameToken要素,Timestamp要素内のCreated要素の有効期間に関するポリシーチェックの情報を指定します。省略時はFresh-Time-Limit要素内の値はすべてデフォルト値が仮定されます。

0
または
1

(3)  Max-Clock-Skew

有効期限をチェックする際の時間差に関する情報を指定します。コンテンツはありません。

表C-53 Max-Clock-Skew

種別要素説明データ型指定
回数
属性ValueUsernameToken要素およびTimestamp要素の子要素であるCreated要素,またはTimestamp要素の子要素であるExpires要素に指定された値に基づいてSOAPメッセージの有効期限を確認する場合に,送信側と受信側との時間の差をどこまで許容するかを指定します。指定するときの単位はミリ秒です。
指定できる範囲は,1~2,147,483,647の間です。範囲外の値を指定した場合,または指定を省略した場合は,0ミリ秒が仮定されます。

int

1

(4)  Fresh-Time-Limit

UsernameToken要素,およびTimestamp要素内のCreated要素の有効期間に関するポリシーチェックの情報を指定します。コンテンツはありません。

表C-54 Fresh-Time-Limit

種別要素説明データ型指定
回数
属性ValueUsernameToken要素およびTimestamp要素の子要素であるCreated要素に指定された値を確認する場合に,送信側と受信側との時間の差をどこまで許容するかを指定します。
指定するときの単位はミリ秒です。
指定できる範囲は,1,000~2,147,483,647の間です。範囲外の値を指定した場合,または指定を省略した場合は,300,000ミリ秒が仮定されます。

int

1

(5)  RequestReceiverConfig

リクエストメッセージ受信時の設定を指定します。

表C-55 RequestReceiverConfig

種別要素説明データ型指定
回数
属性





ReceiverPortConfigWebサービスセキュリティポリシー定義を適用するSOAPサービスエンドポイントの情報を指定します。

1以上

(6)  ReceiverPortConfig

Webサービスセキュリティポリシー定義を適用するSOAPサービスエンドポイントの情報を指定します。

表C-56 ReceiverPortConfig

種別要素説明データ型指定
回数
属性NameWebサービスセキュリティポリシー定義を適用するSOAPサービスのURLを指定します。
アスタリスク"*"を指定した場合,すべてのSOAPサービスに対してWebサービスセキュリティ定義が適用されます。

anyURI

1

My_roleWebサービスセキュリティポリシー定義を適用するSOAPサービスのロール名を,URIで指定します。受信したSOAPメッセージのセキュリティヘッダ内で,RoleConfig要素のrole属性に指定されている値がMy_role属性で指定したロール名と一致した場合に,ReceiverPortConfig要素で指定した定義に従ってWebサービスセキュリティポリシー定義が適用されます。

anyURI

1





SecurityTokenConfigセキュリティトークンに関するポリシーチェックの情報を指定します。省略時はセキュリティトークンに関するポリシーチェックが行われません。

0
または
1

VerificationConfig署名に関するポリシーチェックの情報を指定します。省略時は署名に関するポリシーチェックが行われません。

0
または
1

DecryptionPolicyConfig復号化に関するポリシーチェックの情報を指定します。省略時は復号化に関するポリシーチェックが行われません。

0
または
1

TimestampConfigタイムスタンプに関するポリシーチェックの情報を指定します。省略時はタイムスタンプに関するポリシーチェックが行われません。

0
または
1

(7)  SecurityTokenConfig

セキュリティトークンに関するポリシーチェックの情報を指定します。

表C-57 SecurityTokenConfig

種別要素説明データ型指定
回数
属性





UsernameTokenConfigUsernameToken要素に関するポリシーチェックの情報を指定します。省略時はUsernameTokenに関するポリシーチェックが行われません。

0
または
1

BinarySecurityTokenConfigバイナリセキュリティトークンに関するポリシーチェックの情報を指定します。省略時はバイナリセキュリティトークンに関するポリシーチェックが行われません。

0
または
1

(8)  UsernameTokenConfig

UsernameToken要素に関するポリシーチェックの情報を指定します。

表C-58 UsernameTokenConfig

種別要素説明データ型指定
回数
属性Requiredセキュリティヘッダ内のUsernameToken要素の有無をチェックするかどうかを"true","false","1”,"0"のどれかで指定します。"true","1"を指定した場合,セキュリティヘッダ内のUsernameToken要素の有無をチェックし,存在しないときはポリシー違反としてSOAP Faultをスローします。"false","0"を指定した場合,セキュリティヘッダ内のUsernameToken要素の有無をチェックしません。"false",0"を指定した場合,UsernameToken要素が存在しても処理しません。

boolean

1





NonceNonce要素に関するポリシーチェックの情報を指定します。省略時はNonce要素に関するポリシーチェックが行われません。

0
または
1

CreatedUsernameToken要素内のCreated要素に関するポリシーチェックの情報を指定します。省略時はCreated要素に関するポリシーチェックが行われません。

0
または
1

(9)  Nonce

Nonce要素に関するポリシーチェックの情報を指定します。コンテンツはありません。

表C-59 Nonce

種別要素説明データ型指定
回数
属性RequiredUsernameToken要素内のNonce要素の有無をチェックするかどうかを"true","false","1”,"0"のどれかで指定します。"true","1"を指定した場合UsernameToken要素内のNonce要素の有無をチェックし,存在しない場合はポリシー違反としてSOAP Faultをスローします。"false","0"を指定した場合UsernameToken要素内のNonce要素の有無をチェックしません。"false","0"を指定した場合,Nonce要素が存在しても処理しません。

boolean

1

(10)  Created

UsernameToken要素内のCreated要素に関するポリシーチェックの情報を指定します。

表C-60 Created

種別要素説明データ型指定
回数
属性RequiredUsernameToken要素内のCreated要素の有無をチェックするかどうかを"true","false","1”,"0"のどれかで指定します。"true","1"を指定した場合UsernameToken要素内のCreated要素の有無をチェックし,存在しない場合はポリシー違反としてSOAP Faultをスローします。"false","0"を指定した場合UsernameToken要素内のCreated要素の有無をチェックしません。"false","0"を指定した場合,Created要素が存在しても処理しません。

boolean

1

(11)  BinarySecurityTokenConfig

バイナリセキュリティトークンに関するポリシーチェックの情報を指定します。

表C-61 BinarySecurityTokenConfig

種別要素説明データ型指定
回数
属性





TokenValidationBinarySecurityToken要素の検証に関するポリシーチェックの情報を指定します。

1

(12)  TokenValidation

BinarySecurityToken要素の検証に関するポリシーチェックの情報を指定します。

表C-62 TokenValidation

種別要素説明データ型指定
回数
属性





X509TokenValidationX.509証明書の検証に関するポリシーチェックの情報を指定します。この要素が指定されている場合,受信したSOAPメッセージにX.509証明書のBinarySecurityToken要素(ValueTypeが"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3"であるBinarySecurityToken要素)
が存在しない場合,ポリシー違反としてSOAP Faultをスローします。省略時はX.509証明書の検証に関するポリシーチェックが行われません。

0
または
1

(13)  X509TokenValidation

X.509証明書の検証に関するポリシーチェックの情報を指定します。

表C-63 X509TokenValidation

種別要素説明データ型指定
回数
属性





AuthorityCertificateLocationListX.509証明書の検証に関するポリシーチェックの情報を指定します。

1

(14)  AuthorityCertificateLocationList

X.509証明書の検証に関するポリシーチェックの情報を指定します。

表C-64 AuthorityCertificateLocationList

種別要素説明データ型指定
回数
属性





AuthorityCertificateFileX.509証明書の署名検証に使用する証明書ファイルの情報を指定します。

1以上

(15)  AuthorityCertificateFile

X.509証明書の署名検証に使用する証明書ファイルの情報を指定します。コンテンツはありません。

表C-65 AuthorityCertificateFile

種別要素説明データ型指定
回数
属性NameX.509証明書の署名検証に使用する証明書ファイル名を指定します。

String

1

(16)  VerificationConfig

署名に関するポリシーチェックの情報を指定します。VerificationConfig要素の指定があり,署名がされていないメッセージを受信した場合はポリシーチェック違反としてSOAP Faultをスローします。

表C-66 VerificationConfig

種別要素説明データ型指定
回数
属性





SignatureMethodList署名アルゴリズムに関するポリシーチェックの情報を指定します。

1

CanonicalizationMethodList正規化アルゴリズムに関するポリシーチェックの情報を指定します。

1

SignatureTarget署名個所に関するポリシーチェックの情報を指定します。

1

(17)  SignatureMethodList

署名アルゴリズムに関するポリシーチェックの情報を指定します。受信メッセージ中の署名アルゴリズムが,この要素のSignatureMethodタグで指定した,どのアルゴリズムとも一致しない場合は,ポリシーチェック違反としてSOAP Faultをスローします。

表C-67 SignatureMethodList

種別要素説明データ型指定
回数
属性





SignatureMethod署名アルゴリズムに関する情報を指定します。省略時は署名アルゴリズムに関するポリシーチェックが行われません。

0以上

(18)  SignatureMethod

署名アルゴリズムに関する情報を指定します。コンテンツはありません。

表C-68 SignatureMethod

種別要素説明データ型指定
回数
属性Algorithm受信側で処理可能な署名アルゴリズムのURIを指定します。

anyURI

1

(19)  CanonicalizationMethodList

正規化アルゴリズムに関するポリシーチェックの情報を指定します。受信メッセージ中の正規化アルゴリズムが,この要素のCanonicalizationMethodタグで指定した,どのアルゴリズムとも一致しない場合は,ポリシーチェック違反としてSOAP Faultをスローします。

表C-69 CanonicalizationMethodList

種別要素説明データ型指定
回数
属性





CanonicalizationMethod正規化アルゴリズムに関する情報を指定します。省略時は正規化アルゴリズムに関するポリシーチェックが行われません。

0以上

(20)  CanonicalizationMethod

正規化アルゴリズムに関する情報を指定します。コンテンツはありません。

表C-70 CanonicalizationMethod

種別要素説明データ型指定
回数
属性Algorithm受信側で処理可能な正規化アルゴリズムのURIを指定します。

anyURI

1

(21)  SignatureTarget

署名個所に関するポリシーチェックの情報を指定します。

表C-71 SignatureTarget

種別要素説明データ型指定
回数
属性Part署名個所となるSOAPエンベロープ中のエレメントを指定します。メッセージの署名個所がこの属性に指定した個所と異なる場合,ポリシー違反としてSOAP Faultをスローします。指定できる値は"Body"だけです。

enum

1





TransformMethodListトランスフォームアルゴリズムに関する情報を指定します。省略時はトランスフォームアルゴリズムに関するポリシーチェックが行われません。

0
または
1

(22)  TransformMethodList

トランスフォームアルゴリズムに関する情報を指定します。受信メッセージ中のトランスフォームアルゴリズムが,この要素のTransformMethodタグで指定した,どのアルゴリズムとも一致しない場合は,ポリシーチェック違反としてSOAP Faultをスローします。

表C-72 TransformMethodList

種別要素説明データ型指定
回数
属性





TransformMethodトランスフォームアルゴリズムのアルゴリズム識別子を指定します。省略時はトランスフォームアルゴリズムに関するポリシーチェックが行われません。

anyURI

0以上

(23)  TransformMethod

トランスフォームアルゴリズムのアルゴリズム識別子を指定します。コンテンツはありません。

表C-73 TransformMethod

種別要素説明データ型指定
回数
属性Algorithm受信側で処理可能なトランスフォームアルゴリズムのURIを指定します。

anyURI

1

(24)  DecryptionPolicyConfig

復号化に関するポリシーチェックの情報を指定します。DecryptionConfig要素の指定があり,暗号化がされていないメッセージを受信した場合は,ポリシーチェック違反としてSOAP Faultをスローします。

表C-74 DecryptionPolicyConfig

種別要素説明データ型指定
回数
属性





DecryptionTarget復号化個所に関するポリシーチェックの情報を指定します。

1

(25)  DecryptionTarget

復号化個所に関するポリシーチェックの情報を指定します。

表C-75 DecryptionTarget

種別要素説明データ型指定
回数
属性Part復号化する個所となるSOAPエンベロープ中のエレメントを指定します。メッセージの復号化個所がこの属性に指定した個所と異なる場合ポリシー違反としてSOAP Faultをスローします。指定できる値は"Body"だけです。

enum

1

Type復号化する個所の暗号化タイプを指定します。指定可能な値は"Content"だけです。

enum

1





DecryptionConfig復号化に関するポリシーチェックの情報を指定します。

1

(26)  DecryptionConfig

復号化に関するポリシーチェックの情報を指定します。DecryptionConfig要素の指定があり,暗号化がされていないメッセージを受信した場合は,ポリシーチェック違反としてSOAP Faultをスローします。

表C-76 DecryptionConfig

種別要素説明データ型指定
回数
属性





ContentsDecryptionメッセージ内容の復号化に関するポリシーチェックの情報を指定します。

1

KeyDecryption復号に使用する鍵の復号化に関するポリシーチェックの情報を指定します。EncryptionTypeが"ContentsEncryption"の場合は不要です。

1

(27)  ContentsDecryption

メッセージ内容の復号化に関するポリシーチェックの情報を指定します。

表C-77 ContentsDecryption

種別要素説明データ型指定
回数
属性





DecryptionMethodList復号化個所の暗号アルゴリズムに関するポリシーチェックの情報を指定します。省略時は復号化個所の暗号アルゴリズムに関するポリシーチェックが行われません。

0
または
1

(28)  DecryptionMethodList

復号化個所の暗号アルゴリズムに関するポリシーチェックの情報を指定します。受信メッセージ中の暗号アルゴリズムが,この要素のDecryptionMethodタグで指定した,どのアルゴリズムとも一致しない場合は,ポリシーチェック違反としてSOAP Faultをスローします。

表C-78 DecryptionMethodList

種別要素説明データ型指定
回数
属性





DecryptionMethod復号化に用いる暗号アルゴリズムに関する情報を指定します。省略時は復号化に用いる暗号アルゴリズムに関するポリシーチェックが行われません。

0以上

(29)  DecryptionMethod

復号化に用いる暗号アルゴリズムに関する情報を指定します。コンテンツはありません。

表C-79 DecryptionMethod

種別要素説明データ型指定
回数
属性Algorithm受信側で処理可能な暗号アルゴリズムのURIを指定します。

anyURI

1

(30)  KeyDecryption

復号に使用する鍵の復号化に関するポリシーチェックの情報を指定します。

表C-80 KeyDecryption

種別要素説明データ型指定
回数
属性





DecryptionMethodList復号化個所に関するポリシーチェックの情報を指定します。省略時は復号化個所に関するポリシーチェックが行われません。

0
または
1

(31)  TimestampConfig

タイムスタンプに関するポリシーチェックの情報を指定します。

表C-81 TimestampConfig

種別要素説明データ型指定
回数
属性





Createdタイムスタンプ要素のCreated要素に関するポリシーチェックの情報を指定します。省略時はCreated要素に関するポリシーチェックが行われません。

0
または
1

Expiresタイムスタンプ要素のExpires要素に関するポリシーチェックの情報を指定します。省略時はExpires要素に関するポリシーチェックが行われません。

0
または
1

(32)  Created

タイムスタンプ要素のCreated要素に関するポリシーチェックの情報を指定します。コンテンツはありません。

表C-82 Created

種別要素説明データ型指定
回数
属性Requiredタイムスタンプ要素内のCreated要素の有無をチェックするかどうかを"true","false","1”,"0"のどれかで指定します。"true","1"を指定した場合タイムスタンプ要素内のCreated要素の有無をチェックし,存在しない場合はポリシー違反としてSOAP Faultをスローします。"false","0"を指定した場合タイムスタンプ要素内のCreated要素の有無をチェックしません。

boolean

1

(33)  Expires

タイムスタンプ要素のExpires要素に関するポリシーチェックの情報を指定します。コンテンツはありません。

表C-83 Expires

種別要素説明データ型指定
回数
属性Requiredタイムスタンプ要素内のExpires要素の有無をチェックするかどうかを"true","false","1”,"0"のどれかで指定します。"true","1"を指定した場合タイムスタンプ要素内のExpires要素の有無をチェックし,存在しない場合はポリシー違反としてSOAP Faultをスローします。"false","0"を指定した場合タイムスタンプ要素内のExpires要素の有無をチェックしません。

boolean

1

(34)  ResponseReceiverConfig

レスポンスメッセージ受信時の設定を指定します。

表C-84 ResponseReceiverConfig

種別要素説明データ型指定
回数
属性





ReceiverPortConfigWebサービスセキュリティポリシー定義を適用するSOAPサービスエンドポイントの情報を指定します。

1以上