付録C.2 Webサービスセキュリティ方針定義ファイルの項目

Webサービスセキュリティ方針定義ファイルは,XMLファイルです。ここでは,Webサービスセキュリティ方針定義ファイルの要素,および要素で指定できる属性とコンテンツ(子要素)について説明します。なお,表中のデータ型は,XML Schemaのデータ型を表しています。

<この項の構成>
(1)  PolicyConfig
(2)  GlobalConfig
(3)  Max-Clock-Skew
(4)  Fresh-Time-Limit
(5) RequestReceiverConfig
(6)  ReceiverPortConfig
(7)  SecurityTokenConfig
(8) UsernameTokenConfig
(9) Nonce
(10) Created
(11)  BinarySecurityTokenConfig
(12)  TokenValidation
(13)  X509TokenValidation
(14) AuthorityCertificateLocationList
(15) AuthorityCertificateFile
(16) VerificationConfig
(17) SignatureMethodList
(18) SignatureMethod
(19) CanonicalizationMethodList
(20) CanonicalizationMethod
(21) SignatureTarget
(22) TransformMethodList
(23)  TransformMethod
(24) DecryptionPolicyConfig
(25) DecryptionTarget
(26) DecryptionConfig
(27) ContentsDecryption
(28) DecryptionMethodList
(29) DecryptionMethod
(30) KeyDecryption
(31) TimestampConfig
(32) Created
(33) Expires
(34) ResponseReceiverConfig

(1)  PolicyConfig

方針定義ファイルのルート要素です。

表C-51 PolicyConfig

種別要素説明データ型指定
回数
属性





GlobalConfigWebサービスセキュリティ方針定義で共通的に使用する規則を指定します。省略時は,GlobalConfig要素内の値はすべてデフォルト値が仮定されます。

0
または
1

RequestReceiverConfigリクエストメッセージ受信時の設定を指定します。
省略した場合,リクエストメッセージ受信時の方針に従っているかどうかのチェックは実施されません。

0
または
1

ResponseReceiverConfigレスポンスメッセージ受信時の設定を指定します。
省略した場合,レスポンスメッセージ受信時の方針に従っているかどうかのチェックは実施されません。

0
または
1

(2)  GlobalConfig

Webサービスセキュリティ方針定義で共通的に使用する規則を指定します。

表C-52 GlobalConfig

種別要素説明データ型指定
回数
属性





Max-Clock-Skew有効期限をチェックする際の時間差に関する情報を指定します。省略時はMax-Clock-Skew要素内の値はすべてデフォルト値が仮定されます。

0
または
1

Fresh-Time-LimitUsernameToken要素,Timestamp要素内のCreated要素の有効期間に関するチェック情報を指定します。省略時はFresh-Time-Limit要素内の値はすべてデフォルト値が仮定されます。

0
または
1

(3)  Max-Clock-Skew

有効期限をチェックする際の時間差に関する情報を指定します。コンテンツはありません。

表C-53 Max-Clock-Skew

種別要素説明データ型指定
回数
属性ValueUsernameToken要素およびTimestamp要素の子要素であるCreated要素,またはTimestamp要素の子要素であるExpires要素に指定された値に基づいてSOAPメッセージの有効期限を確認する場合に,送信側と受信側との時間の差をどこまで許容するかを指定します。指定するときの単位はミリ秒です。
指定できる範囲は,1~2,147,483,647の間です。範囲外の値を指定した場合,または指定を省略した場合は,0ミリ秒が仮定されます。

int

1

(4)  Fresh-Time-Limit

UsernameToken要素,およびTimestamp要素内のCreated要素の有効期間に関する情報を指定します。コンテンツはありません。

表C-54 Fresh-Time-Limit

種別要素説明データ型指定
回数
属性ValueUsernameToken要素およびTimestamp要素の子要素であるCreated要素に指定された値を確認する場合に,送信側と受信側との時間の差をどこまで許容するかを指定します。
指定するときの単位はミリ秒です。
指定できる範囲は,1,000~2,147,483,647の間です。範囲外の値を指定した場合,または指定を省略した場合は,300,000ミリ秒が仮定されます。

int

1

(5) RequestReceiverConfig

リクエストメッセージ受信時の設定を指定します。

表C-55 RequestReceiverConfig

種別要素説明データ型指定
回数
属性





ReceiverPortConfigWebサービスセキュリティ方針定義を適用するSOAPサービスまたはWebサービスのエンドポイントの情報を指定します。

1以上

(6)  ReceiverPortConfig

Webサービスセキュリティ方針定義を適用するSOAPサービスまたはWebサービスのエンドポイントの情報を指定します。

表C-56 ReceiverPortConfig

種別要素説明データ型指定
回数
属性NameWebサービスセキュリティ方針定義を適用するSOAPサービスまたはWebサービスのURLを指定します。
アスタリスク"*"を指定した場合,すべてのSOAPサービスまたはWebサービスに対してWebサービスセキュリティ方針定義が適用されます。

anyURI

1

My_roleWebサービスセキュリティ方針定義を適用するSOAPサービスまたはWebサービスのロール名を,URIで指定します。受信したSOAPメッセージのセキュリティヘッダ内で,RoleConfig要素のrole属性に指定されている値がMy_role属性で指定したロール名と一致した場合に,ReceiverPortConfig要素で指定した定義に従ってWebサービスセキュリティ方針定義が適用されます。

anyURI

1





SecurityTokenConfigセキュリティトークンに関するチェック情報を指定します。省略時はセキュリティトークンに関する方針に従っているかどうかのチェックは実施されません。

0
または
1

VerificationConfig署名に関するチェック情報を指定します。省略時は署名に関する方針に従っているかどうかのチェックは実施されません。

0
または
1

DecryptionPolicyConfig復号化に関するチェック情報を指定します。省略時は復号化に関する方針に従っているかどうかのチェックは実施されません。

0
または
1

TimestampConfigタイムスタンプに関するチェック情報を指定します。省略時はタイムスタンプに関する方針に従っているかどうかのチェックは実施されません。

0
または
1

(7)  SecurityTokenConfig

セキュリティトークンに関する方針チェックの情報を指定します。

表C-57 SecurityTokenConfig

種別要素説明データ型指定
回数
属性





UsernameTokenConfigUsernameToken要素に関するチェック情報を指定します。省略時はUsernameTokenに関する方針チェックは実施されません。

0
または
1

BinarySecurityTokenConfigバイナリセキュリティトークンに関するチェック情報を指定します。省略時はバイナリセキュリティトークンに関する方針に従っているかどうかのチェックは実施されません。

0
または
1

(8) UsernameTokenConfig

UsernameToken要素に関する方針チェックの情報を指定します。

表C-58 UsernameTokenConfig

種別要素説明データ型指定
回数
属性Requiredセキュリティヘッダ内のUsernameToken要素の有無をチェックするかどうかを"true","false","1","0"のどれかで指定します。
"true"または"1"を指定した場合,セキュリティヘッダ内にUsernameToken要素が存在しないときは方針に違反するものと見なし,SOAP Faultをスローします。
"false"または"0"を指定した場合,セキュリティヘッダ内のUsernameToken要素の有無をチェックせず,UsernameToken要素が存在しても処理しません。

boolean

1





NonceNonce要素に関するチェック情報を指定します。省略時はNonce要素に関する方針チェックは実施されません。

0
または
1

CreatedUsernameToken要素内のCreated要素に関するチェック情報を指定します。省略時はCreated要素に関する方針に従っているかどうかのチェックは実施されません。

0
または
1

(9) Nonce

Nonce要素に関する方針チェックの情報を指定します。コンテンツはありません。

表C-59 Nonce

種別要素説明データ型指定
回数
属性RequiredUsernameToken要素内のNonce要素の有無をチェックするかどうかを"true","false","1","0"のどれかで指定します。
"true"または"1"を指定した場合,UsernameToken要素内にNonce要素が存在しないときは方針に違反するものと見なし,SOAP Faultをスローします。
"false"または"0"を指定した場合,UsernameToken要素内のNonce要素の有無をチェックせず,Nonce要素が存在しても処理しません。

boolean

1

(10) Created

UsernameToken要素内のCreated要素に関する方針チェックの情報を指定します。

表C-60 Created

種別要素説明データ型指定
回数
属性RequiredUsernameToken要素内のCreated要素の有無をチェックするかどうかを"true","false","1","0"のどれかで指定します。
"true"または"1"を指定した場合,UsernameToken要素内にCreated要素が存在しないときは方針に違反するものと見なし,SOAP Faultをスローします。
"false"または"0"を指定した場合,UsernameToken要素内のCreated要素の有無をチェックせず,Created要素が存在しても処理しません。

boolean

1

(11)  BinarySecurityTokenConfig

バイナリセキュリティトークンに関する方針チェックの情報を指定します。

表C-61 BinarySecurityTokenConfig

種別要素説明データ型指定
回数
属性





TokenValidationBinarySecurityToken要素の検証に関するチェック情報を指定します。

1

(12)  TokenValidation

BinarySecurityToken要素の検証に関する方針チェックの情報を指定します。

表C-62 TokenValidation

種別要素説明データ型指定
回数
属性





X509TokenValidationX.509証明書の検証に関するチェック情報を指定します。この要素が指定されている場合,受信したSOAPメッセージにX.509証明書のBinarySecurityToken要素(ValueTypeが"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3"であるBinarySecurityToken要素)
が存在しない場合,方針に違反するものと見なしてSOAP Faultをスローします。
省略時はX.509証明書の検証に関する方針に従っているかどうかのチェックは実施されません。

0
または
1

(13)  X509TokenValidation

X.509証明書の検証に関する方針チェックの情報を指定します。

表C-63 X509TokenValidation

種別要素説明データ型指定
回数
属性





AuthorityCertificateLocationListX.509証明書の検証に関するチェック情報を指定します。

1

(14) AuthorityCertificateLocationList

X.509証明書の検証に関する方針チェックの情報を指定します。

表C-64 AuthorityCertificateLocationList

種別要素説明データ型指定
回数
属性





AuthorityCertificateFileX.509証明書の署名検証に使用する証明書ファイルの情報を指定します。

1以上

(15) AuthorityCertificateFile

X.509証明書の署名検証に使用する証明書ファイルの情報を指定します。コンテンツはありません。

表C-65 AuthorityCertificateFile

種別要素説明データ型指定
回数
属性NameX.509証明書の署名検証に使用する証明書ファイル名を指定します。

String

1

(16) VerificationConfig

署名に関するチェック情報を指定します。VerificationConfig要素の指定があり,署名がされていないメッセージを受信した場合は方針に違反するものと見なして,SOAP Faultをスローします。

表C-66 VerificationConfig

種別要素説明データ型指定
回数
属性





SignatureMethodList署名アルゴリズムに関するチェック情報を指定します。

1

CanonicalizationMethodList正規化アルゴリズムに関するチェック情報を指定します。

1

SignatureTarget署名個所に関するチェック情報を指定します。

1

(17) SignatureMethodList

署名アルゴリズムに関するチェック情報を指定します。受信メッセージ中の署名アルゴリズムが,この要素のSignatureMethodタグで指定した,どのアルゴリズムとも一致しない場合は,方針に違反するものと見なして,SOAP Faultをスローします。

表C-67 SignatureMethodList

種別要素説明データ型指定
回数
属性





SignatureMethod署名アルゴリズムに関する情報を指定します。省略時は署名アルゴリズムに関する方針に従っているかどうかのチェックは実施されません。

0以上

(18) SignatureMethod

署名アルゴリズムに関する情報を指定します。コンテンツはありません。

表C-68 SignatureMethod

種別要素説明データ型指定
回数
属性Algorithm受信側で処理可能な署名アルゴリズムのURIを指定します。

anyURI

1

(19) CanonicalizationMethodList

正規化アルゴリズムに関するチェック情報を指定します。受信メッセージ中の正規化アルゴリズムが,この要素のCanonicalizationMethodタグで指定した,どのアルゴリズムとも一致しない場合は,方針に違反するものと見なして,SOAP Faultをスローします。

表C-69 CanonicalizationMethodList

種別要素説明データ型指定
回数
属性





CanonicalizationMethod正規化アルゴリズムに関する情報を指定します。省略時は正規化アルゴリズムに関する方針に従っているかどうかのチェックは実施されません。

0以上

(20) CanonicalizationMethod

正規化アルゴリズムに関する情報を指定します。コンテンツはありません。

表C-70 CanonicalizationMethod

種別要素説明データ型指定
回数
属性Algorithm受信側で処理可能な正規化アルゴリズムのURIを指定します。

anyURI

1

(21) SignatureTarget

署名個所に関するチェック情報を指定します。

表C-71 SignatureTarget

種別要素説明データ型指定
回数
属性Part署名個所となるSOAPエンベロープ中のエレメントを指定します。メッセージの署名個所がこの属性に指定した個所と異なる場合,方針に違反するものと見なして,SOAP Faultをスローします。指定できる値は"Body"だけです。

enum

1





TransformMethodListトランスフォームアルゴリズムに関する情報を指定します。省略時はトランスフォームアルゴリズムに関する方針に従っているかどうかのチェックは実施されません。

0
または
1

(22) TransformMethodList

トランスフォームアルゴリズムに関する情報を指定します。受信メッセージ中のトランスフォームアルゴリズムが,この要素のTransformMethodタグで指定した,どのアルゴリズムとも一致しない場合は,方針に違反するものと見なして,SOAP Faultをスローします。

表C-72 TransformMethodList

種別要素説明データ型指定
回数
属性





TransformMethodトランスフォームアルゴリズムのアルゴリズム識別子を指定します。省略時はトランスフォームアルゴリズムに関する方針に従っているかどうかのチェックは実施されません。

anyURI

0以上

(23)  TransformMethod

トランスフォームアルゴリズムのアルゴリズム識別子を指定します。コンテンツはありません。

表C-73 TransformMethod

種別要素説明データ型指定
回数
属性Algorithm受信側で処理可能なトランスフォームアルゴリズムのURIを指定します。

anyURI

1

(24) DecryptionPolicyConfig

復号化に関するチェック情報を指定します。DecryptionConfig要素の指定があり,暗号化がされていないメッセージを受信した場合は,方針に違反するものと見なして,SOAP Faultをスローします。

表C-74 DecryptionPolicyConfig

種別要素説明データ型指定
回数
属性





DecryptionTarget復号化個所に関するチェック情報を指定します。

1

(25) DecryptionTarget

復号化個所に関するチェック情報を指定します。

表C-75 DecryptionTarget

種別要素説明データ型指定
回数
属性Part復号化する個所となるSOAPエンベロープ中のエレメントを指定します。メッセージの復号化個所がこの属性に指定した個所と異なる場合は,方針に違反するものと見なして,SOAP Faultをスローします。指定できる値は"Body"だけです。

enum

1

Type復号化する個所の暗号化タイプを指定します。指定できる値は"Content"だけです。

enum

1





DecryptionConfig復号化に関するチェック情報を指定します。

1

(26) DecryptionConfig

復号化に関するチェック情報を指定します。DecryptionConfig要素の指定があり,暗号化がされていないメッセージを受信した場合は,方針に違反するものと見なして,SOAP Faultをスローします。

表C-76 DecryptionConfig

種別要素説明データ型指定
回数
属性





ContentsDecryptionメッセージ内容の復号化に関するチェック情報を指定します。

1

KeyDecryption復号に使用する鍵の復号化に関するチェック情報を指定します。EncryptionTypeが"ContentsEncryption"の場合は不要です。

1

(27) ContentsDecryption

メッセージ内容の復号化に関するチェック情報を指定します。

表C-77 ContentsDecryption

種別要素説明データ型指定
回数
属性





DecryptionMethodList復号化個所の暗号アルゴリズムに関するチェック情報を指定します。省略時は復号化個所の暗号アルゴリズムに関する方針に従っているかどうかのチェックは実施されません。

0
または
1

(28) DecryptionMethodList

復号化個所の暗号アルゴリズムに関するチェック情報を指定します。受信メッセージ中の暗号アルゴリズムが,この要素のDecryptionMethodタグで指定した,どのアルゴリズムとも一致しない場合は,方針に違反するものと見なして,SOAP Faultをスローします。

表C-78 DecryptionMethodList

種別要素説明データ型指定
回数
属性





DecryptionMethod復号化に用いる暗号アルゴリズムに関する情報を指定します。省略時は復号化に用いる暗号アルゴリズムに関する方針に従っているかどうかのチェックは実施されません。

0以上

(29) DecryptionMethod

復号化に用いる暗号アルゴリズムに関する情報を指定します。コンテンツはありません。

表C-79 DecryptionMethod

種別要素説明データ型指定
回数
属性Algorithm受信側で処理できる暗号アルゴリズムのURIを指定します。

anyURI

1

(30) KeyDecryption

復号に使用する鍵の復号化に関するチェック情報を指定します。

表C-80 KeyDecryption

種別要素説明データ型指定
回数
属性





DecryptionMethodList復号化個所に関するチェック情報を指定します。省略時は復号化個所に関する方針に従っているかどうかのチェックは実施されません。

0
または
1

(31) TimestampConfig

タイムスタンプに関するチェック情報を指定します。

表C-81 TimestampConfig

種別要素説明データ型指定
回数
属性





Createdタイムスタンプ要素のCreated要素に関するチェック情報を指定します。省略時はCreated要素に関する方針に従っているかどうかのチェックは実施されません。

0
または
1

Expiresタイムスタンプ要素のExpires要素に関するチェック情報を指定します。省略時はExpires要素に関する方針に従っているかどうかのチェックは実施されません。

0
または
1

(32) Created

タイムスタンプ要素のCreated要素に関するチェック情報を指定します。コンテンツはありません。

表C-82 Created

種別要素説明データ型指定
回数
属性Requiredタイムスタンプ要素内のCreated要素の有無をチェックするかどうかを"true","false","1","0"のどれかで指定します。
"true"または"1"を指定した場合タイムスタンプ要素内にCreated要素が存在しない場合は方針に違反するものと見なして,SOAP Faultをスローします。
"false"または"0"を指定した場合,タイムスタンプ要素内のCreated要素の有無をチェックしません。

boolean

1

(33) Expires

タイムスタンプ要素のExpires要素に関するチェック情報を指定します。コンテンツはありません。

表C-83 Expires

種別要素説明データ型指定
回数
属性Requiredタイムスタンプ要素内のExpires要素の有無をチェックするかどうかを"true","false","1","0"のどれかで指定します。
"true"または"1"を指定した場合,タイムスタンプ要素内にExpires要素が存在しない場合は方針に違反するものと見なして,SOAP Faultをスローします。
"false"または"0"を指定した場合,タイムスタンプ要素内のExpires要素の有無をチェックしません。

boolean

1

(34) ResponseReceiverConfig

レスポンスメッセージ受信時の設定を指定します。

表C-84 ResponseReceiverConfig

種別要素説明データ型指定
回数
属性





ReceiverPortConfigWebサービスセキュリティ方針定義を適用するSOAPサービスエンドポイントの情報を指定します。

1以上