![[目次]](FIGURE/CONTENT.GIF)
Cosminexus V9 アプリケーションサーバ Webサービスセキュリティ構築ガイド
![[用語]](FIGURE/GLOSS.GIF)
![[索引]](FIGURE/INDEX.GIF)
![[前へ]](FIGURE/FRONT.GIF)
![[次へ]](FIGURE/AFTER.GIF)
Webサービスセキュリティ方針定義ファイルは,XMLファイルです。ここでは,Webサービスセキュリティ方針定義ファイルの要素,および要素で指定できる属性とコンテンツ(子要素)について説明します。なお,表中のデータ型は,XML Schemaのデータ型を表しています。
方針定義ファイルのルート要素です。
表C-51 PolicyConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
GlobalConfig | Webサービスセキュリティ方針定義で共通的に使用する規則を指定します。省略時は,GlobalConfig要素内の値はすべてデフォルト値が仮定されます。 | − |
0 または 1 |
| RequestReceiverConfig | リクエストメッセージ受信時の設定を指定します。 省略した場合,リクエストメッセージ受信時の方針に従っているかどうかのチェックは実施されません。 |
− |
0 または 1 |
|
| ResponseReceiverConfig | レスポンスメッセージ受信時の設定を指定します。 省略した場合,レスポンスメッセージ受信時の方針に従っているかどうかのチェックは実施されません。 |
− |
0 または 1 |
Webサービスセキュリティ方針定義で共通的に使用する規則を指定します。
表C-52 GlobalConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
Max-Clock-Skew | 有効期限をチェックする際の時間差に関する情報を指定します。省略時はMax-Clock-Skew要素内の値はすべてデフォルト値が仮定されます。 | − |
0 または 1 |
| Fresh-Time-Limit | UsernameToken要素,Timestamp要素内のCreated要素の有効期間に関するチェック情報を指定します。省略時はFresh-Time-Limit要素内の値はすべてデフォルト値が仮定されます。 | − |
0 または 1 |
有効期限をチェックする際の時間差に関する情報を指定します。コンテンツはありません。
表C-53 Max-Clock-Skew
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Value | UsernameToken要素およびTimestamp要素の子要素であるCreated要素,またはTimestamp要素の子要素であるExpires要素に指定された値に基づいてSOAPメッセージの有効期限を確認する場合に,送信側と受信側との時間の差をどこまで許容するかを指定します。指定するときの単位はミリ秒です。 指定できる範囲は,1〜2,147,483,647の間です。範囲外の値を指定した場合,または指定を省略した場合は,0ミリ秒が仮定されます。 |
int |
1 |
UsernameToken要素,およびTimestamp要素内のCreated要素の有効期間に関する情報を指定します。コンテンツはありません。
表C-54 Fresh-Time-Limit
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Value | UsernameToken要素およびTimestamp要素の子要素であるCreated要素に指定された値を確認する場合に,送信側と受信側との時間の差をどこまで許容するかを指定します。 指定するときの単位はミリ秒です。 指定できる範囲は,1,000〜2,147,483,647の間です。範囲外の値を指定した場合,または指定を省略した場合は,300,000ミリ秒が仮定されます。 |
int |
1 |
リクエストメッセージ受信時の設定を指定します。
表C-55 RequestReceiverConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
ReceiverPortConfig | Webサービスセキュリティ方針定義を適用するSOAPサービスまたはWebサービスのエンドポイントの情報を指定します。 | − |
1以上 |
Webサービスセキュリティ方針定義を適用するSOAPサービスまたはWebサービスのエンドポイントの情報を指定します。
表C-56 ReceiverPortConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Name | Webサービスセキュリティ方針定義を適用するSOAPサービスまたはWebサービスのURLを指定します。 アスタリスク"*"を指定した場合,すべてのSOAPサービスまたはWebサービスに対してWebサービスセキュリティ方針定義が適用されます。 |
anyURI |
1 |
| My_role | Webサービスセキュリティ方針定義を適用するSOAPサービスまたはWebサービスのロール名を,URIで指定します。受信したSOAPメッセージのセキュリティヘッダ内で,RoleConfig要素のrole属性に指定されている値がMy_role属性で指定したロール名と一致した場合に,ReceiverPortConfig要素で指定した定義に従ってWebサービスセキュリティ方針定義が適用されます。 | anyURI |
1 |
|
| コ ン テ ン ツ |
SecurityTokenConfig | セキュリティトークンに関するチェック情報を指定します。省略時はセキュリティトークンに関する方針に従っているかどうかのチェックは実施されません。 | − |
0 または 1 |
| VerificationConfig | 署名に関するチェック情報を指定します。省略時は署名に関する方針に従っているかどうかのチェックは実施されません。 | − |
0 または 1 |
|
| DecryptionPolicyConfig | 復号化に関するチェック情報を指定します。省略時は復号化に関する方針に従っているかどうかのチェックは実施されません。 | − |
0 または 1 |
|
| TimestampConfig | タイムスタンプに関するチェック情報を指定します。省略時はタイムスタンプに関する方針に従っているかどうかのチェックは実施されません。 | − |
0 または 1 |
セキュリティトークンに関する方針チェックの情報を指定します。
表C-57 SecurityTokenConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
UsernameTokenConfig | UsernameToken要素に関するチェック情報を指定します。省略時はUsernameTokenに関する方針チェックは実施されません。 | − |
0 または 1 |
| BinarySecurityTokenConfig | バイナリセキュリティトークンに関するチェック情報を指定します。省略時はバイナリセキュリティトークンに関する方針に従っているかどうかのチェックは実施されません。 | − |
0 または 1 |
UsernameToken要素に関する方針チェックの情報を指定します。
表C-58 UsernameTokenConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Required | セキュリティヘッダ内のUsernameToken要素の有無をチェックするかどうかを"true","false","1","0"のどれかで指定します。 "true"または"1"を指定した場合,セキュリティヘッダ内にUsernameToken要素が存在しないときは方針に違反するものと見なし,SOAP Faultをスローします。 "false"または"0"を指定した場合,セキュリティヘッダ内のUsernameToken要素の有無をチェックせず,UsernameToken要素が存在しても処理しません。 |
boolean |
1 |
| コ ン テ ン ツ |
Nonce | Nonce要素に関するチェック情報を指定します。省略時はNonce要素に関する方針チェックは実施されません。 | − |
0 または 1 |
| Created | UsernameToken要素内のCreated要素に関するチェック情報を指定します。省略時はCreated要素に関する方針に従っているかどうかのチェックは実施されません。 | − |
0 または 1 |
Nonce要素に関する方針チェックの情報を指定します。コンテンツはありません。
表C-59 Nonce
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Required | UsernameToken要素内のNonce要素の有無をチェックするかどうかを"true","false","1","0"のどれかで指定します。 "true"または"1"を指定した場合,UsernameToken要素内にNonce要素が存在しないときは方針に違反するものと見なし,SOAP Faultをスローします。 "false"または"0"を指定した場合,UsernameToken要素内のNonce要素の有無をチェックせず,Nonce要素が存在しても処理しません。 |
boolean |
1 |
UsernameToken要素内のCreated要素に関する方針チェックの情報を指定します。
表C-60 Created
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Required | UsernameToken要素内のCreated要素の有無をチェックするかどうかを"true","false","1","0"のどれかで指定します。 "true"または"1"を指定した場合,UsernameToken要素内にCreated要素が存在しないときは方針に違反するものと見なし,SOAP Faultをスローします。 "false"または"0"を指定した場合,UsernameToken要素内のCreated要素の有無をチェックせず,Created要素が存在しても処理しません。 |
boolean |
1 |
バイナリセキュリティトークンに関する方針チェックの情報を指定します。
表C-61 BinarySecurityTokenConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
TokenValidation | BinarySecurityToken要素の検証に関するチェック情報を指定します。 | − |
1 |
BinarySecurityToken要素の検証に関する方針チェックの情報を指定します。
表C-62 TokenValidation
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
X509TokenValidation | X.509証明書の検証に関するチェック情報を指定します。この要素が指定されている場合,受信したSOAPメッセージにX.509証明書のBinarySecurityToken要素(ValueTypeが"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3"であるBinarySecurityToken要素) が存在しない場合,方針に違反するものと見なしてSOAP Faultをスローします。 省略時はX.509証明書の検証に関する方針に従っているかどうかのチェックは実施されません。 |
− |
0 または 1 |
X.509証明書の検証に関する方針チェックの情報を指定します。
表C-63 X509TokenValidation
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
AuthorityCertificateLocationList | X.509証明書の検証に関するチェック情報を指定します。 | − |
1 |
X.509証明書の検証に関する方針チェックの情報を指定します。
表C-64 AuthorityCertificateLocationList
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
AuthorityCertificateFile | X.509証明書の署名検証に使用する証明書ファイルの情報を指定します。 | − |
1以上 |
X.509証明書の署名検証に使用する証明書ファイルの情報を指定します。コンテンツはありません。
表C-65 AuthorityCertificateFile
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Name | X.509証明書の署名検証に使用する証明書ファイル名を指定します。 | String |
1 |
署名に関するチェック情報を指定します。VerificationConfig要素の指定があり,署名がされていないメッセージを受信した場合は方針に違反するものと見なして,SOAP Faultをスローします。
表C-66 VerificationConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
SignatureMethodList | 署名アルゴリズムに関するチェック情報を指定します。 | − |
1 |
| CanonicalizationMethodList | 正規化アルゴリズムに関するチェック情報を指定します。 | − |
1 |
|
| SignatureTarget | 署名個所に関するチェック情報を指定します。 | − |
1 |
署名アルゴリズムに関するチェック情報を指定します。受信メッセージ中の署名アルゴリズムが,この要素のSignatureMethodタグで指定した,どのアルゴリズムとも一致しない場合は,方針に違反するものと見なして,SOAP Faultをスローします。
表C-67 SignatureMethodList
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
SignatureMethod | 署名アルゴリズムに関する情報を指定します。省略時は署名アルゴリズムに関する方針に従っているかどうかのチェックは実施されません。 | − |
0以上 |
署名アルゴリズムに関する情報を指定します。コンテンツはありません。
表C-68 SignatureMethod
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Algorithm | 受信側で処理可能な署名アルゴリズムのURIを指定します。 | anyURI |
1 |
正規化アルゴリズムに関するチェック情報を指定します。受信メッセージ中の正規化アルゴリズムが,この要素のCanonicalizationMethodタグで指定した,どのアルゴリズムとも一致しない場合は,方針に違反するものと見なして,SOAP Faultをスローします。
表C-69 CanonicalizationMethodList
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
CanonicalizationMethod | 正規化アルゴリズムに関する情報を指定します。省略時は正規化アルゴリズムに関する方針に従っているかどうかのチェックは実施されません。 | − |
0以上 |
正規化アルゴリズムに関する情報を指定します。コンテンツはありません。
表C-70 CanonicalizationMethod
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Algorithm | 受信側で処理可能な正規化アルゴリズムのURIを指定します。 | anyURI |
1 |
署名個所に関するチェック情報を指定します。
表C-71 SignatureTarget
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Part | 署名個所となるSOAPエンベロープ中のエレメントを指定します。メッセージの署名個所がこの属性に指定した個所と異なる場合,方針に違反するものと見なして,SOAP Faultをスローします。指定できる値は"Body"だけです。 | enum |
1 |
| コ ン テ ン ツ |
TransformMethodList | トランスフォームアルゴリズムに関する情報を指定します。省略時はトランスフォームアルゴリズムに関する方針に従っているかどうかのチェックは実施されません。 | − |
0 または 1 |
トランスフォームアルゴリズムに関する情報を指定します。受信メッセージ中のトランスフォームアルゴリズムが,この要素のTransformMethodタグで指定した,どのアルゴリズムとも一致しない場合は,方針に違反するものと見なして,SOAP Faultをスローします。
表C-72 TransformMethodList
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
TransformMethod | トランスフォームアルゴリズムのアルゴリズム識別子を指定します。省略時はトランスフォームアルゴリズムに関する方針に従っているかどうかのチェックは実施されません。 | anyURI |
0以上 |
トランスフォームアルゴリズムのアルゴリズム識別子を指定します。コンテンツはありません。
表C-73 TransformMethod
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Algorithm | 受信側で処理可能なトランスフォームアルゴリズムのURIを指定します。 | anyURI |
1 |
復号化に関するチェック情報を指定します。DecryptionConfig要素の指定があり,暗号化がされていないメッセージを受信した場合は,方針に違反するものと見なして,SOAP Faultをスローします。
表C-74 DecryptionPolicyConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
DecryptionTarget | 復号化個所に関するチェック情報を指定します。 | − |
1 |
復号化個所に関するチェック情報を指定します。
表C-75 DecryptionTarget
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Part | 復号化する個所となるSOAPエンベロープ中のエレメントを指定します。メッセージの復号化個所がこの属性に指定した個所と異なる場合は,方針に違反するものと見なして,SOAP Faultをスローします。指定できる値は"Body"だけです。 | enum |
1 |
| Type | 復号化する個所の暗号化タイプを指定します。指定できる値は"Content"だけです。 | enum |
1 |
|
| コ ン テ ン ツ |
DecryptionConfig | 復号化に関するチェック情報を指定します。 | − |
1 |
復号化に関するチェック情報を指定します。DecryptionConfig要素の指定があり,暗号化がされていないメッセージを受信した場合は,方針に違反するものと見なして,SOAP Faultをスローします。
表C-76 DecryptionConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
ContentsDecryption | メッセージ内容の復号化に関するチェック情報を指定します。 | − |
1 |
| KeyDecryption | 復号に使用する鍵の復号化に関するチェック情報を指定します。EncryptionTypeが"ContentsEncryption"の場合は不要です。 | − |
1 |
メッセージ内容の復号化に関するチェック情報を指定します。
表C-77 ContentsDecryption
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
DecryptionMethodList | 復号化個所の暗号アルゴリズムに関するチェック情報を指定します。省略時は復号化個所の暗号アルゴリズムに関する方針に従っているかどうかのチェックは実施されません。 | − |
0 または 1 |
復号化個所の暗号アルゴリズムに関するチェック情報を指定します。受信メッセージ中の暗号アルゴリズムが,この要素のDecryptionMethodタグで指定した,どのアルゴリズムとも一致しない場合は,方針に違反するものと見なして,SOAP Faultをスローします。
表C-78 DecryptionMethodList
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
DecryptionMethod | 復号化に用いる暗号アルゴリズムに関する情報を指定します。省略時は復号化に用いる暗号アルゴリズムに関する方針に従っているかどうかのチェックは実施されません。 | − |
0以上 |
復号化に用いる暗号アルゴリズムに関する情報を指定します。コンテンツはありません。
表C-79 DecryptionMethod
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Algorithm | 受信側で処理できる暗号アルゴリズムのURIを指定します。 | anyURI |
1 |
復号に使用する鍵の復号化に関するチェック情報を指定します。
表C-80 KeyDecryption
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
DecryptionMethodList | 復号化個所に関するチェック情報を指定します。省略時は復号化個所に関する方針に従っているかどうかのチェックは実施されません。 | − |
0 または 1 |
タイムスタンプに関するチェック情報を指定します。
表C-81 TimestampConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
Created | タイムスタンプ要素のCreated要素に関するチェック情報を指定します。省略時はCreated要素に関する方針に従っているかどうかのチェックは実施されません。 | − |
0 または 1 |
| Expires | タイムスタンプ要素のExpires要素に関するチェック情報を指定します。省略時はExpires要素に関する方針に従っているかどうかのチェックは実施されません。 | − |
0 または 1 |
タイムスタンプ要素のCreated要素に関するチェック情報を指定します。コンテンツはありません。
表C-82 Created
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Required | タイムスタンプ要素内のCreated要素の有無をチェックするかどうかを"true","false","1","0"のどれかで指定します。 "true"または"1"を指定した場合タイムスタンプ要素内にCreated要素が存在しない場合は方針に違反するものと見なして,SOAP Faultをスローします。 "false"または"0"を指定した場合,タイムスタンプ要素内のCreated要素の有無をチェックしません。 |
boolean |
1 |
タイムスタンプ要素のExpires要素に関するチェック情報を指定します。コンテンツはありません。
表C-83 Expires
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | Required | タイムスタンプ要素内のExpires要素の有無をチェックするかどうかを"true","false","1","0"のどれかで指定します。 "true"または"1"を指定した場合,タイムスタンプ要素内にExpires要素が存在しない場合は方針に違反するものと見なして,SOAP Faultをスローします。 "false"または"0"を指定した場合,タイムスタンプ要素内のExpires要素の有無をチェックしません。 |
boolean |
1 |
レスポンスメッセージ受信時の設定を指定します。
表C-84 ResponseReceiverConfig
| 種別 | 要素 | 説明 | データ型 | 指定 回数 |
|---|---|---|---|---|
| 属性 | − | − | − |
− |
| コ ン テ ン ツ |
ReceiverPortConfig | Webサービスセキュリティ方針定義を適用するSOAPサービスエンドポイントの情報を指定します。 | − |
1以上 |
All Rights Reserved. Copyright (C) 2012, 2015, Hitachi, Ltd.