Web サービス・シナリオ

関連:API テスト のみ

標準の Web サービス・シナリオは,WS-Security 仕様に基づいています。このシナリオにより,セキュリティ資格情報を実際の SOAP メッセージに挿入できます。

SOAP メッセージ送信者が要求を送信すると,トークンと呼ばれるセキュリティ資格情報が SOAP メッセージに挿入されます。Web サーバで SOAP 要求を受信したときに,送信者の信頼性を確認するために Web サーバから追加要求を送信する必要はありません。Web サーバでは,Web サービスによるアプリケーションの実行前にその資格情報が信頼できることを確認します。その資格情報のソースに戻る必要がないため,アプリケーションのパフォーマンスが飛躍的に向上します。

Web サービスのセキュリティをさら確保するには,一般的に SOAP メッセージにデジタル署名または暗号化を使用します。SOAP メッセージのデジタル署名により,メッセージが送信中に変更されていないことが確認されます。SOAP メッセージの暗号化は,対象の送信者以外の他のユーザによるメッセージ内容の解読を困難にすることで Web サービスのセキュリティ確保に役立ちます。

トランスポート・レベルのセキュリティ

トランスポート・レベルのセキュリティには,認証情報およびプロキシ・サーバ情報が含まれています。また,キープ・アライブの詳細設定と接続タイムアウトを指定することもできます。

先頭に戻る

メッセージ・レベルのセキュリティ

WS-Security]タブでは,トークン,署名,および暗号化を使用してメッセージ・レベルのセキュリティを設定できます。

WS-Security をサポートするために,UFT One を使用してスクリプトにセキュリティ・トークンを作成できます。複数のトークンを作成し,それらのプロパティを設定できます。トークンの作成後,それを使用して SOAP メッセージの署名または暗号化を行います。

Web サービス・セキュリティのメカニズムにより,セキュリティ・トークンがメッセージに関連付けられます。このメカニズムは,複数のセキュリティ・トークン形式をサポートし,さまざまな認証要件に対応します。たとえば,クライアントは身分証明書またはセキュリティ証明書を提供する必要がある場合があります。

次のトークンを使用できます。

トークン 説明
ユーザ名

ユーザ名]トークンには,認証する目的で[ユーザ名]と[パスワード]のユーザ識別情報が含まれています。

また,認証のためにパスワードをサーバに送信する方法を示すパスワード・オプション[テキスト],[なし],または[ハッシュ]を指定し,タイムスタンプを含めるかどうかを指定することもできます。
X509 証明書

このトークンは,X.509 証明書に基づいています。

証明書を取得するには,ベリサインなどの証明機関から証明書を購入するか,独自の証明書サービスを設定して証明書を発行します。

ほとんどの Windows サーバでは,証明書を作成できる公開鍵基盤(PKI)をサポートしています。したがって,証明機関によって証明書に署名してもらうか,無署名の証明書を使用することができます。
Kerberos/Kerberos 2

Kerberos プロトコルは,安全でないオープンなネットワークでユーザとサービスを相互に認証するために使用されます。

共有秘密鍵を使用して,ユーザ資格情報が暗号化および署名されます。KDC(Kerberos Key Distribution Center)として知られているサード・パーティによって,ユーザ資格情報が認証されます。

認証後,ユーザはネットワーク上で 1 つ以上のサービスにアクセスするためにサービス・チケットを要求することができます。サービス・チケットには,暗号化および認証されたユーザ ID が含まれます。サービス・チケットは,現在のユーザ資格情報を使用して取得されます。

Kerberos トークンと Kerberos2 トークン間の主な違いは,Kerberos2 では Security Support Provider Interface(SSPI)を使用するため,クライアント ID の偽装に権限昇格が不要であることです。

さらに,Kerberos2 セキュリティ・トークンを使用して, Web ファームで実行している Web サービスに送信される SOAP メッセージのセキュリティを確保することができます。
SAML トークン

SAML トークンは,インターネット上のビジネス・パートナ間でアサーションと呼ばれるセキュリティ関連情報を交換するための XML 標準です。アサーションには,属性ステートメント,認証,決定ステートメント,および認可決定ステートメントを含めることができます。

SAML では,仲介された認証と STS(Security Token Service)によって発行されるセキュリティ・トークンが使用されます。STS は,クライアントと Web サービスによって信頼され,共同利用できるセキュリティ・トークンを提供します。

SAML トークンは,プラットフォーム間の相互運用性を実現し,1 つのセキュリティ・ドメイン内に存在しないクライアントとサービス間で情報を交換する手段を提供するため,Web サービス・セキュリティにとって重要です。
JKS 証明書

JKS(Java キーストア)証明書を使用すると,ファイルに保存された Java キーストア Web サービス証明書にアクセスして使用できます。このファイルから,Web サービスのエイリアスとパスワードを指定します。

セキュリティ・トークンを SOAP メッセージに追加すると,そのトークンは WS-Security SOAP ヘッダに XML 要素の形式で SOAP メッセージに追加されます。ただし,メッセージは公開されるため,セキュリティを追加する必要があります。これは,特にパスワードなどの資格情報がロールベースのセキュリティを使用してプレーン・テキストで送信される場合に当てはまります。

データのセキュリティの確保に使用される 2 つの方法は,メッセージ署名とメッセージ暗号化です。

  • メッセージ署名:メッセージ署名は, 署名してからメッセージが変更されていないことを確認するために受信者によって使用されます。署名は,SOAP メッセージ内に XML 形式で記述します。受信者は,署名が有効であることを確認します。

  • メッセージ暗号化:XML メッセージ署名により,署名されてからメッセージが変更されていないことを確認するためのメカニズムが提供されますが,SOAP メッセージは暗号化されないため,XML 形式のプレーン・テキストのままです。メッセージを公開されないようにするためにセキュリティを確保するには,メッセージを暗号化して侵入者によるユーザのパスワードの表示と取得を困難にします。

先頭に戻る