HITACHI Web サービスセキュリティ 使用の手引
Web サービスセキュリティは、Cosminexus が提供する Cosminexus Web Services - Security の Web サービスセキュリティ機能について説明したものです。Cosminexus Web Services - Security は、Cosminexus を構成する次のプログラムプロダクトで提供されています。 • P-2443-7F74 uCosminexus Developer Professional • P-2443-7T74 uCosminexus Service Architect • P-2443-7K74 uCosminexus Application Server Enterprise • P-2443-7S74 uCosminexus Service Platform • P-1M43-7K71 uCosminexus Application Server Enterprise • P-1M43-7S71 uCosminexus Service Platform • P-1J43-7K71 uCosminexus Application Server Enterprise • P-9S43-7K71 uCosminexus Application Server Enterprise • P-9S43-7S71 uCosminexus Service Platform • P-9V43-7K71 uCosminexus Application Server Enterprise • P-9D43-7K71 uCosminexus Application Server Enterprise • P-9D43-7S71 uCosminexus Service Platform
広告
アシスタントボット
助けが必要ですか? 私たちのチャットボットは既にマニュアルを読んでおり、あなたをサポートする準備ができています。 デバイスに関する質問はお気軽にどうぞ、詳細を提供することで会話がより生産的になります。
Cosminexus
Web サービスセキュリティ
使用の手引
解説・手引・文法書
3020-3-M48-20
マニュアルの購入方法
このマニュアル,および関連するマニュアルをご購入の際は,
巻末の「ソフトウェアマニュアルのサービス ご案内」をご参
照ください。
■対象製品
●適用 OS:Windows Server 2003,Windows Server 2003 R2,Windows Vista,Windows XP
P-2443-7F74 uCosminexus Developer Professional 07-60
P-2443-7T74 uCosminexus Service Architect 07-60 ※
Server 2003 R2(x64)
P-2443-7K74 uCosminexus Application Server Enterprise 07-60
P-2443-7S74 uCosminexus Service Platform 07-60 ※
●適用 OS:AIX 5L V5.2,AIX 5L V5.3
P-1M43-7K71 uCosminexus Application Server Enterprise 07-60 ※
P-1M43-7S71 uCosminexus Service Platform 07-60 ※
P-1J43-7K71 uCosminexus Application Server Enterprise 07-60 ※
Enterprise Linux ES 3(x86),Red Hat Enterprise Linux ES 4(x86),Red Hat Enterprise Linux AS 3
ES 3(AMD64 & Intel EM64T),Red Hat Enterprise Linux ES 4(AMD64 & Intel EM64T)
P-9S43-7K71 uCosminexus Application Server Enterprise 07-60 ※
Enterprise Linux 5 Advanced Platform(x86),Red Hat Enterprise Linux ES 3(x86),Red Hat Enterprise
Linux ES 4(x86),Red Hat Enterprise Linux 5(x86),Red Hat Enterprise Linux AS 3(AMD64 & Intel
EM64T),Red Hat Enterprise Linux AS 4(AMD64 & Intel EM64T),Red Hat Enterprise Linux 5 Advanced
Platform(AMD/Intel 64),Red Hat Enterprise Linux ES 3(AMD64 & Intel EM64T),Red Hat Enterprise
Linux ES 4(AMD64 & Intel EM64T),Red Hat Enterprise Linux 5(AMD/Intel 64)
P-9S43-7S71 uCosminexus Service Platform 07-60 ※
Enterprise Linux 5 Advanced Platform(Intel Itanium)
P-9V43-7K71 uCosminexus Application Server Enterprise 07-60 ※
●適用 OS:Solaris 9,Solaris 10
P-9D43-7K71 uCosminexus Application Server Enterprise 07-60 ※
P-9D43-7S71 uCosminexus Service Platform 07-60 ※
※印の製品については,サポート時期をご確認ください。
上記のプログラムプロダクトのほかにもこのマニュアルをご利用になれる場合があります。詳細は「リリー
スノート」でご確認ください。
本製品では日立トレース共通ライブラリをインストールします。
■輸出時の注意
本製品を輸出される場合には,外国為替および外国貿易法ならびに米国の輸出管理関連法規などの規制をご
確認の上,必要な手続きをお取りください。
なお,ご不明な場合は,弊社担当営業にお問い合わせください。
■商標類
AIX は,米国における米国 International Business Machines Corp. の登録商標です。
AMD, AMD Opteron およびその組み合わせは,Advanced Micro Devices, Inc. の商標です。
HP-UX は,米国 Hewlett-Packard Company のオペレーティングシステムの名称です。
Intel は,Intel Corporation の会社名です。
Itanium は,アメリカ合衆国および他の国におけるインテル コーポレーションまたはその子会社の登録商標
です。
Java 及びすべての Java 関連の商標及びロゴは,米国及びその他の国における米国 Sun Microsystems,Inc.
の商標または登録商標です。
JDK は,米国 Sun Microsystems, Inc. の米国およびその他の国における商標または登録商標です。
Linux は,Linus Torvalds の米国およびその他の国における登録商標あるいは商標です。
Microsoft は,米国およびその他の国における米国 Microsoft Corp. の登録商標です。
Red Hat は,米国およびその他の国で Red Hat, Inc. の登録商標若しくは商標です。
SOAP(Simple Object Access Protocol)は,分散ネットワーク環境において XML ベースの情報を交換する
ための通信プロトコルの名称です。
Solaris は,米国 Sun Microsystems, Inc. の米国およびその他の国における商標または登録商標です。
Sun,Sun Microsystems,Java は,米国 Sun Microsystems, Inc. の米国およびその他の国における商標ま
たは登録商標です。
UNIX は,X/Open Company Limited が独占的にライセンスしている米国ならびに他の国における登録商標
です。
Windows は,米国およびその他の国における米国 Microsoft Corp. の登録商標です。
Windows Server は,米国 Microsoft Corporation の米国及びその他の国における登録商標です。
Windows Vista は,米国 Microsoft Corporation の米国及びその他の国における登録商標です。
This product includes software developed by the Apache Software Foundation (http://www.apache.org/).
プログラムプロダクト「P-9D43-7K71,P-9D43-7S71」には,米国 Sun Microsystems,Inc. が著作権を有し
ている部分が含まれています。
プログラムプロダクト「P-9D43-7K71,P-9D43-7S71」には,UNIX System Laboratories,Inc. が著作権を
有している部分が含まれています。
■発行
2006 年 4 月 ( 第 1 版 ) 3020-3-M48
2007 年 12 月 ( 第 2 版 ) 3020-3-M48-20
■著作権
All Rights Reserved. Copyright (C) 2006, 2007, Hitachi, Ltd.
変更内容
変更内容(3020-3-M48-20)uCosminexus Developer Professional 07-60,uCosminexus
Application Server Enterprise 07-60,uCosminexus Service Architect 07-60,uCosminexus
Service Platform 07-60
変更個所 追加・変更内容
次の前提 OS を削除した。
•
Windows 2000 Server
•
Windows 2000 Professional
次の前提 OS を追加した。
•
Windows Vista
次の前提 OS を削除した。
•
AIX 5L V5.1
•
Solaris 8
次の前提 OS を追加した。
•
HP-UX 11i V3(IPF)
•
Red Hat Enterprise Linux ES 3(AMD64 & Intel EM64T)
•
Red Hat Enterprise Linux ES 4(AMD64 & Intel EM64T)
•
Red Hat Enterprise Linux 5 Advanced Platform(x86)
•
Red Hat Enterprise Linux 5(x86)
•
Red Hat Enterprise Linux 5 Advanced Platform(AMD/Intel
64)
•
Red Hat Enterprise Linux 5(AMD/Intel 64)
•
Red Hat Enterprise Linux AS 3(IPF)
•
Red Hat Enterprise Linux AS 4(IPF)
•
Red Hat Enterprise Linux 5 Advanced Platform(Intel
Itanium)
WS-Security v1.1 対応に伴い,次の内容を変更した。
•
WSSUsernameToken.PasswordType クラスの列挙値の形式
•
WSSUsernameToken.PasswordType インタフェース
(PasswordType 要素の操作)のクラス定義,およびパスワード
種別の形式
•
Fault コードの接頭辞,および名前空間
•
WS-Security 標準仕様
•
WS-Security 仕様のサポート範囲
•
Web サービスセキュリティ機能定義ファイルの項目
(BinarySecurityTokenConfig,KeyIdentifier,Password)
•
Web サービスセキュリティポリシー定義ファイルの項目
(TokenValidation)
メッセージを変更した。
KDCGF0001-E ∼ KDCGF0008-E,KDCGW0001-E ∼
KDCGW0003-E,KDCGW9000-E
メッセージを追加した。
KDCGF0009-E,KDCGF0010-E
下位バージョンからの移行手順を追加した。
単なる誤字・脱字などはお断りなく訂正しました。
はじめに
このマニュアルは,Cosminexus が提供する Cosminexus Web Services - Security の Web サー
ビスセキュリティ機能について説明したものです。
Cosminexus Web Services - Security は,Cosminexus を構成する次のプログラムプロダクトで
提供されています。
•
P-2443-7F74 uCosminexus Developer Professional
•
P-2443-7T74 uCosminexus Service Architect
•
P-2443-7K74 uCosminexus Application Server Enterprise
•
P-2443-7S74 uCosminexus Service Platform
•
P-1M43-7K71 uCosminexus Application Server Enterprise
•
P-1M43-7S71 uCosminexus Service Platform
•
P-1J43-7K71 uCosminexus Application Server Enterprise
•
P-9S43-7K71 uCosminexus Application Server Enterprise
•
P-9S43-7S71 uCosminexus Service Platform
•
P-9V43-7K71 uCosminexus Application Server Enterprise
•
P-9D43-7K71 uCosminexus Application Server Enterprise
•
P-9D43-7S71 uCosminexus Service Platform
Cosminexus Web Services - Security の XML 署名・暗号処理機能については,マニュアル
「Cosminexus XML Security - Core ユーザーズガイド」を参照してください。
■対象読者
このマニュアルは,Cosminexus が提供する SOAP アプリケーション開発支援機能を利用して
開発した SOAP アプリケーションに対して,Web サービスセキュリティ機能を使用する方を対
象としています。また,このマニュアルをご利用になる方は,XML,SOAP,およびセキュリ
ティに関する基本的な事項を理解されていることを前提としています。
■マニュアルの構成
このマニュアルは,次に示す章と付録から構成されています。
Web サービスセキュリティとは何か,また Cosminexus が提供する Web サービスセキュリティの
機能について説明しています。
Web サービスセキュリティ機能を使用するために必要な OS,およびプログラムプロダクトにつ
いて説明しています。
Web サービスセキュリティ機能を使用する場合に必要な設定,および実装について説明していま
I
はじめに
す。
第 4 章 Web サービスセキュリティ機能が提供するコマンド
Web サービスセキュリティ機能が提供するコマンドの形式やオプションなどを説明しています。
第 5 章 Web サービスセキュリティ機能が提供する API
Web サービスセキュリティ機能が提供する API の構文や引数など,API の仕様について説明して
います。
障害が発生した場合の対処方法を説明しています。
Web サービスセキュリティ機能が出力するメッセージの内容および対処方法などについて説明し
ています。
Web サービスセキュリティ機能がサポートする WS-Security 標準仕様,XML 署名標準仕様,お
よび XML 暗号標準仕様について説明しています。
Web サービスセキュリティ機能の下位バージョンからの移行手順について説明しています。
Web サービスセキュリティ機能を使用する場合に必要な定義ファイルの要素名および指定回数を
説明しています。また,各項目の役割についても説明しています。
このマニュアルで使用している用語の意味を説明しています。
■関連マニュアル
このマニュアルをご利用するに当たって,必要に応じて次に示すマニュアルを参照してくださ
い。
•
Cosminexus 機能解説(3020-3-M03)
•
Cosminexus リファレンス 定義編(3020-3-M11)
•
Cosminexus SOAP アプリケーション開発ガイド(3020-3-M47)
•
Cosminexus XML Security - Core ユーザーズガイド(3020-3-M49)
•
Cosminexus XML Processor ユーザーズガイド(3020-3-M44)
■読書手順
このマニュアルをご利用になるときは,目的に応じて必要な章をお読みください。各章の利用
目的の例を次に示しますので,ご利用の際の目安にしてください。
II
はじめに
章タイトル 利用目的の例
Web サービスセキュリティとは何かを知りたい。
Web サービスセキュリティ機能とは何かを知り
たい。
Web サービスセキュリティ機能を使用するため
に必要な OS とソフトウェアの種類およびバー
ジョンを知りたい。
Web サービスセキュリティ機能を使用するため
の設定方法を知りたい。
Web サービスセキュリティ機能の実装方法を知
りたい。
どのようなコマンドがあるのかを知りたい。
コマンドの使用方法を知りたい。
どのような API があるのかを知りたい。
API の使用方法を知りたい。
障害が発生した場合の対処方法を知りたい。
トレースファイルの収集方法を知りたい。
アプリケーションログの収集方法を知りたい。
メッセージが出力された場合の要因や対処方法
を知りたい。
WS-Security 標準仕様のサポート範囲を知りた
い。
XML 署名標準仕様のサポート範囲を知りたい。
XML 暗号標準仕様のサポート範囲を知りたい。
下位バージョンからバージョンアップする場合
の移行方法を知りたい。
定義ファイルで設定する項目の要素名,説明,
または指定回数を知りたい。
このマニュアルで使用されている用語の意味を
知りたい。
■図中で使用する記号
このマニュアルの図中で使用する記号を,次のように定義します。
III
はじめに
■このマニュアルで使用している記号
このマニュアルで使用している記号を次のように定義します。
< >
記号 意味
< > で囲まれた部分は状況に応じて変化する内容であることを示します。
■このマニュアルでの表記
このマニュアルでは,製品名を次のように表記しています。
IPF
UNIX
Windows
AIX
製品名
HP-UX
Linux
Solaris
HP-UX(IPF)
Linux(x86,
AMD64 & Intel
EM64T)
Linux(IPF)
Windows Server 2003
Windows Server 2003(x64)
略称
Itanium(R) Processor Family
AIX 5L V5.2
AIX 5L V5.3
HP-UX 11i V2.0(IPF)
HP-UX 11i V3.0(IPF)
Red Hat Enterprise Linux AS 3(x86)
Red Hat Enterprise Linux AS 4(x86)
Red Hat Enterprise Linux 5 Advanced Platform(x86)
Red Hat Enterprise Linux ES 3(x86)
Red Hat Enterprise Linux ES 4(x86)
Red Hat Enterprise Linux 5(x86)
Red Hat Enterprise Linux AS 3(AMD64 & Intel
EM64T)
Red Hat Enterprise Linux AS 4(AMD64 & Intel
EM64T)
Red Hat Enterprise Linux 5 Advanced Platform(AMD/
Intel 64)
Red Hat Enterprise Linux ES 3(AMD64 & Intel
EM64T)
Red Hat Enterprise Linux ES 4(AMD64 & Intel
EM64T)
Red Hat Enterprise Linux 5(AMD/Intel 64)
Red Hat Enterprise Linux AS 3(IPF)
Red Hat Enterprise Linux AS 4(IPF)
Red Hat Enterprise Linux 5 Advanced Platform(Intel
Itanium)
Solaris 9
Solaris 10
Microsoft(R) Windows Server(R) 2003,Standard
Edition Operating System
Microsoft(R) Windows Server(R) 2003,Enterprise
Edition Operating System
Microsoft(R) Windows Server(R) 2003,Standard x64
Edition Operating System
Microsoft(R) Windows Server(R) 2003,Enterprise x64
Edition Operating System
IV
はじめに
製品名
Windows Server 2003 R2
Windows Server 2003 R2(x64)
Windows Vista
Windows XP
略称
Microsoft(R) Windows Server(R) 2003 Release 2,
Standard Edition Operating System
Microsoft(R) Windows Server(R) 2003 Release 2,
Enterprise Edition Operating System
Microsoft(R) Windows Server(R) 2003 Release 2,
Standard x64 Edition Operating System
Microsoft(R) Windows Server(R) 2003 Release 2,
Enterprise x64 Edition Operating System
Microsoft(R) Windows Vista(R) Business
Microsoft(R) Windows Vista(R) Enterprise
Microsoft(R) Windows Vista(R) Ultimate
Microsoft(R) Windows(R) XP Professional Operating
System
■このマニュアルで使用する略語
このマニュアルでは,次に示す略語を使用しています。
RPC
URI
URL
W3C
WAR
WS
XML
略語
API
EJB
J2SE
JAAS
JAR
OASIS
OS
正式名称
Application Programming Interface
Enterprise Java Beans
Java 2 Platform, Standard Edition
Java Authentication and Authorization Service
Java Archive
Organization for the Advancement of Structured Information Standards
Operating System
Remote Procedure Call
Uniform Resource Identifier
Uniform Resource Locator
World Wide Web Consortium
Web Archive
Web Service
Extensible Markup Language
■このマニュアルで使用する名前空間
このマニュアルでは,次に示す名前空間を使用しています。
プレフィックス ds http://www.w3.org/2000/09/xmldsig#
名前空間
V
はじめに
プレフィックス soapenv wsse wsu
名前空間 http://www.w3.org/2001/12/soap-envelope http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd
■適用 OS の違いによる機能相違点の表記
OS によって記述を書き分ける場合,次に示す表記を使用しています。
表記
Windows の場合
その他の OS の場合
意味
Windows 系の OS を使用している場合
Windows 系以外の OS(HP-UX,AIX,Linux,または Solaris)を使
用している場合
■ Windows の場合のフォルダとパスの表記
このマニュアルでは,Windows,HP-UX,AIX,Linux および Solaris で共通の内容の場合,
Windows の「フォルダ」を「ディレクトリ」と表記しています。また,「¥」を「/」と表記して
います。
Windows の場合,「ディレクトリ」を「フォルダ」に,「/」を「¥」に置き換えてお読みくださ
い。
■常用漢字以外の漢字の使用について
このマニュアルでは,常用漢字を使用することを基本としていますが,次に示す用語について
は,常用漢字以外の漢字を使用しています。
■ KB(キロバイト)などの単位表記について
1KB(キロバイト),1MB(メガバイト),1GB(ギガバイト),1TB(テラバイト)はそれぞれ
1,024 バイト,1,024
2
バイト,1,024
3
バイト,1,024
4
バイトです。
VI
Web サービスセキュリティの概要
1.1.1 Web サービスセキュリティと SOAP との関係
1.1.2 Web サービスセキュリティと XML セキュリティとの関係
1.2 Cosminexus が提供する Web サービスセキュリティ機能
開発または実行に必要な製品
Web サービスセキュリティ機能を使用する
11
3.1.2 Web サービスセキュリティポリシー定義ファイル
5
1
i
ii
目次
3.9.2 クライアント側が Web アプリケーションの場合の実装手順
3.9.3 クライアント側がコマンドライン Java アプリケーションの場合の実装手順
Web サービスセキュリティ機能が提供するコマンド
37
4.1 共通鍵生成コマンド(CWSSCreateSecretKey) 38
4.2 定義ファイル構文チェックコマンド(CWSSConfCheck) 40
Web サービスセキュリティ機能が提供する API
43
5.2 WSSElementProxyFactory クラス(セキュリティ項目操作クラスの生成) 45
newWSSElementProxy(スタブクラスから生成)
newWSSElementProxy(メッセージクラスから生成)
getWSSElementProxy(スタブクラスから生成)
getWSSElementProxy(メッセージクラスから生成)
5.3 WSSElementProxy クラス(セキュリティ項目の操作) 56
5.4 WSSUsernameToken クラス(UsernameToken 要素の操作) 62
目次
障害対策
79
5.5 WSSUsernameToken.PasswordType インタフェース(PasswordType 要素の
5.6 WSSException クラス(例外情報の取得) 77
メッセージ一覧
83
119
iii
iv
目次
付録 C.1 Web サービスセキュリティ機能定義ファイルの項目
付録 C.2 Web サービスセキュリティポリシー定義ファイルの項目
173
1
Web サービスセキュリティ
の概要
この章では,Web サービスセキュリティとは何か,また,Web
サービスセキュリティと SOAP,および XML セキュリティと
の関係について説明します。また,Cosminexus が提供する
Web サービスセキュリティ機能についても説明します。
1.1 Web サービスセキュリティとは
1.2 Cosminexus が提供する Web サービスセキュリティ機能
1
2
1.
Web サービスセキュリティの概要
1.1 Web サービスセキュリティとは
Web サービスセキュリティとは,広義には Web サービスを安全に実現するためのセキュ
リティ技術全般を指します。現在,代表的な Web サービスセキュリティは,XML 署名
および XML 暗号を利用した XML セキュリティです。また,Web サービスの実現には,
SOAP を使用するのが一般的です。この節では,Web サービスセキュリティと SOAP,
および XML セキュリティとの関係について説明します。
1.1.1 Web サービスセキュリティと SOAP との関係
Web サービスの多くは,SOAP メッセージを送受信することで実現します。SOAP メッ
セージは XML 形式のデータです。そのため,ネットワークを経由して,そのまま
SOAP メッセージを送信した場合,データの内容を改ざんされたり,カード番号などの
重要な情報を第三者に盗聴されたりしてしまうおそれがあります。このような改ざんや
盗聴を防止するための技術が Web サービスセキュリティです。
Cosminexus Web Services - Security は,Cosminexus Component Container の SOAP
通信基盤機能に組み込んで,Web サービスセキュリティに対応した SOAP メッセージを
送受信する場合に使用します。Cosminexus Web Services - Security は,SOAP 通信基
盤機能の互換/標準モードのどちらでも使用できます。
また,Cosminexus Component Container の SOAP アプリケーション開発支援機能で
Web サービスセキュリティ対応の SOAP アプリケーションを開発する場合にも,
Cosminexus Web Services - Security を使用します。SOAP アプリケーションの開発に
ついては,マニュアル「Cosminexus SOAP アプリケーション開発ガイド」を参照して
ください。
1.1.2 Web サービスセキュリティと XML セキュリティとの
関係
W3C が規定している XML 署名および XML 暗号の仕様を XML セキュリティと呼びま
す。XML セキュリティを利用すると,SOAP メッセージに XML 署名を付与したり,
SOAP メッセージを暗号化したりできます。代表的な Web サービスセキュリティは,
OASIS で規定されているもので,XML セキュリティを利用した安全な Web サービスを
実現します。
Cosminexus Web Services - Security は,XML 署名・暗号処理機能を利用した Web
サービスセキュリティ機能を提供します。XML 署名・暗号処理機能については,マニュ
アル「Cosminexus XML Security - Core ユーザーズガイド」を参照してください。
1.
Web サービスセキュリティの概要
1.2 Cosminexus が提供する Web サービスセ
キュリティ機能
Cosminexus では,Cosminexus Web Services - Security を利用して Web サービスセ
キュリティを実現します。Cosminexus Web Services - Security が提供する機能のうち,
SOAP メッセージの完全性や秘匿性などのセキュリティを提供する機能を Web サービス
セキュリティ機能と呼びます。
1.2.1 SOAP メッセージの完全性を保証する
Web サービスセキュリティ機能は,SOAP メッセージの完全性を保証します。SOAP
メッセージが送受信中に改ざんされないよう,SOAP メッセージの完全性を保証するた
めの方法として,署名を利用する方法があります。
Web サービスセキュリティ機能を使用すると,SOAP メッセージに署名を付与できます。
SOAP メッセージに署名が付与されている場合,SOAP メッセージを受信したときに署
名を検証することによって,SOAP メッセージが送受信中に改ざんされていないかどう
かを調べられます。また,SOAP メッセージに証明書が付与されている場合は,Web
サービスセキュリティ機能で証明書も検証できます。
1.2.2 SOAP メッセージの秘匿性を保証する
Web サービスセキュリティ機能は,SOAP メッセージの秘匿性を保証します。SOAP
メッセージが送受信中に第三者によって盗聴されないよう,SOAP メッセージの秘匿性
を保証するための方法として,SOAP メッセージを暗号化する方法があります。
Web サービスセキュリティ機能を使用すると,必要な部分だけを指定して SOAP メッ
セージを暗号化することができます。Web サービスセキュリティ機能では,暗号化に
XML 暗号を使用します。暗号化することによって,SOAP メッセージの送受信中に第三
者にメッセージの内容を盗聴されるおそれがなくなります。
1.2.3 SOAP メッセージの認証をサポート
Web サービスセキュリティ機能は,SOAP メッセージの認証および証明書の検証をサ
ポートしています。SOAP メッセージの送信者を特定する必要がある場合は,ユーザー
名やパスワードを SOAP メッセージに含めるように設定できます。
3
2
開発または実行に必要な製
品
この章では,Web サービスセキュリティ機能の前提 OS および
前提プログラムを,開発時と実行時に分けて説明します。ま
た,開発時と実行時のプログラム構成例をそれぞれ紹介しま
す。
2.1 開発に必要な製品
2.2 実行に必要な製品
5
6
2.
開発または実行に必要な製品
2.1 開発に必要な製品
この節では,Cosminexus Web Services - Security が提供する Web サービスセキュリ
ティ機能を SOAP アプリケーション開発支援機能に組み込んで SOAP アプリケーション
を開発する場合の,前提 OS および前提プログラムについて説明します。また,開発時
のプログラム構成例についても説明します。
2.1.1 開発時の前提 OS
Web サービスセキュリティ機能を SOAP アプリケーション開発支援機能に組み込んで開
発する場合の前提 OS は,次のどれかです。
•
Windows Vista
•
Windows XP
•
Windows Server 2003
•
Windows Server 2003 R2
2.1.2 開発時の前提プログラム
Web サービスセキュリティ機能を SOAP アプリケーション開発支援機能に組み込んで
SOAP アプリケーションを開発する場合に,必要となる前提プログラムを次の表に示し
ます。前提プログラムのバージョンについては「リリースノート」でご確認ください。
表 2-1 前提プログラム一覧(開発時)
分類
J2EE サーバ,SOAP アプリケーショ
ン開発支援機能
Java
TM
2SDK
XML プロセッサ
プログラム名
Cosminexus Component Container
Cosminexus Developer's Kit for Java
TM
Cosminexus XML Processor
2.1.3 開発時のプログラム構成例
Web サービスセキュリティ機能を SOAP アプリケーション開発支援機能に組み込んで
SOAP アプリケーションを開発する場合のプログラム構成例を次に示します。
2.
開発または実行に必要な製品
図 2-1 Web サービスセキュリティ機能を組み込む場合のプログラム構成例
7
8
2.
開発または実行に必要な製品
2.2 実行に必要な製品
この節では,Cosminexus Web Services - Security が提供する Web サービスセキュリ
ティ機能を組み込んだ SOAP アプリケーションを実行する場合の,前提 OS および前提
プログラムについて説明します。また,実行時のプログラム構成例についても説明しま
す。
2.2.1 実行時の前提 OS
Web サービスセキュリティ機能を組み込んだ SOAP アプリケーションを実行する場合の
前提 OS は,次のどれかです。
•
Windows Server 2003
•
Windows Server 2003(x64)
•
Windows Server 2003 R2
•
Windows Server 2003 R2(x64)
•
Red Hat Enterprise Linux AS 3(x86)
•
Red Hat Enterprise Linux AS 4(x86)
•
Red Hat Enterprise Linux 5 Advanced Platform(x86) ※ 1
•
Red Hat Enterprise Linux ES 3(x86)
•
Red Hat Enterprise Linux ES 4(x86)
•
Red Hat Enterprise Linux 5(x86)
※ 1
•
Red Hat Enterprise Linux AS 3(AMD64 & Intel EM64T)
•
Red Hat Enterprise Linux AS 4(AMD64 & Intel EM64T)
•
Red Hat Enterprise Linux 5 Advanced Platform(AMD/Intel 64) ※ 1
•
Red Hat Enterprise Linux ES 3(AMD64 & Intel EM64T)
•
Red Hat Enterprise Linux ES 4(AMD64 & Intel EM64T)
•
Red Hat Enterprise Linux 5(AMD/Intel 64) ※ 1
•
Red Hat Enterprise Linux AS 3(IPF)
•
Red Hat Enterprise Linux AS 4(IPF)
•
Red Hat Enterprise Linux 5 Advanced Platform(Intel Itanium) ※ 2
•
Solaris 9
•
Solaris 10
•
AIX 5L V5.2
•
AIX 5L V5.3
•
HP-UX 11i V2(IPF) ※ 2
•
HP-UX 11i V3(IPF) ※ 2
注※ 1 uCosminexus Service Platform だけに該当します。
2.
開発または実行に必要な製品
注※ 2 uCosminexus Service Platform には該当しません。
2.2.2 実行時の前提プログラム
Web サービスセキュリティ機能を組み込んだ SOAP アプリケーションを実行する場合に
必要となる前提プログラムを次の表に示します。前提プログラムのバージョンについて
は「リリースノート」でご確認ください。
表 2-2 前提プログラム一覧(実行時)
Web サーバ
分類 プログラム名
Windows の場合:
Cosminexus Component Container が動作する Web
サーバ
※
その他の OS の場合:
Hitachi Web Server
Cosminexus Component Container
J2EE サーバ,SOAP 通信基盤(SOAP
クライアントライブラリ,SOAP エン
ジン)
Java
TM
2SDK
XML プロセッサ
Cosminexus Developer's Kit for Java
TM
Cosminexus XML Processor
注※
Cosminexus Component Container が動作する Web サーバについての詳細は,マ
ニュアル「Cosminexus 機能解説」を参照してください。
2.2.3 実行時のプログラム構成例
Web サービスセキュリティ機能を SOAP アプリケーション開発支援機能に組み込んで,
SOAP アプリケーションを実行する場合の,クライアント側とサーバ側のプログラム構
成例を次に示します。
9
2.
開発または実行に必要な製品
図 2-2 Web サービスセキュリティ機能を組み込んだ SOAP アプリケーションを実行す
る場合のプログラム構成例
10
3
Web サービスセキュリティ
機能を使用する
この章では,開発した SOAP アプリケーションに対して,
Web サービスセキュリティ機能を使用する手順について説明
します。
3.1 定義ファイルの設定
3.2 署名付与/検証機能を設定する
3.3 暗号化/復号化機能を設定する
3.4 認証機能を設定する
3.5 メッセージに有効期限を設定する
3.6 定義ファイルの構文をチェックする
3.7 定義ファイルに関する注意事項
3.8 実行環境に合わせて設定を変更する
3.9 Web サービスセキュリティ機能の実装手順
11
3.
Web サービスセキュリティ機能を使用する
3.1 定義ファイルの設定
Web サービスセキュリティ機能を使用するためには,次に示す二つの定義ファイルに必
要な項目を設定する必要があります。
•
Web サービスセキュリティ機能定義ファイル( security-config.xml
)
•
Web サービスセキュリティポリシー定義ファイル( policy-config.xml
)
これらの定義ファイルは,SOAP アプリケーションを利用するクライアント,および
サーバの両方に配置する必要があります。
次に,各定義ファイルの概要を説明します。
3.1.1 Web サービスセキュリティ機能定義ファイル
Web サービスセキュリティ機能定義ファイルは,Web サービスセキュリティ機能の動作
を定義するためのファイルです。例えば,SOAP メッセージに署名を付与する場合,署
名に用いる証明書を指定します。または,SOAP メッセージを暗号化する場合は,どの
暗号化アルゴリズムを用いるのか,などを定義します。
Web サービスセキュリティ機能定義ファイルは,次の要素を持っています。
•
BindingConfig
Web サービスセキュリティの各機能で共通して使用する情報を設定します。
•
RequestSenderConfig
リクエストメッセージ送信時の Web サービスセキュリティ機能を設定します。
•
ResponseSenderConfig
レスポンスメッセージ送信時の Web サービスセキュリティ機能を設定します。
•
RequestReceiverConfig
リクエストメッセージ受信時の Web サービスセキュリティ機能を設定します。
•
ResponseReceiverConfig
レスポンスメッセージ受信時の Web サービスセキュリティ機能を設定します。
クライアントとサーバでは,必要な要素が異なります。
Web サービスセキュリティ機能を使用するために,クライアントおよびサーバで設定す
る必要がある要素を次の表に示します。
表 3-1 設定が必要な要素(Web サービスセキュリティ機能定義ファイル)
要素名
BindingConfig
RequestSenderConfig
ResponseSenderConfig
クライアント
○
○
×
サーバ
○
×
○
12
3.
Web サービスセキュリティ機能を使用する
要素名
RequestReceiverConfig
ResponseReceiverConfig
クライアント
×
○
サーバ
○
×
(凡例)
○:必要
×:不要
Web サービスセキュリティ機能定義ファイルの項目については,「付録 C.1 Web サービ
3.1.2 Web サービスセキュリティポリシー定義ファイル
Web サービスセキュリティポリシー定義ファイルは,受信した SOAP メッセージを検証
するポリシーを定義するためのファイルです。Web サービスセキュリティ機能では,こ
のポリシー定義ファイルを基に,SOAP メッセージが受信側の意図したものかどうかを
検証します。
Web サービスセキュリティポリシー定義ファイルは,次の要素を持っています。
•
GlobalConfig
Web サービスセキュリティ機能のポリシー定義で共通して使用するポリシーを設定し
ます
•
RequestReceiverConfig
リクエストメッセージ受信時のポリシーを設定します。
•
ResponseReceiverConfig
レスポンスメッセージ受信時のポリシーを設定します。
クライアントとサーバでは,必要な要素が異なります。
Web サービスセキュリティ機能を使用するために,クライアントおよびサーバで設定す
る必要がある要素を次の表に示します。
表 3-2 設定が必要な要素(Web サービスセキュリティポリシー定義ファイル)
要素名
GlobalConfig
RequestReceiverConfig
ResponseReceiverConfig
クライアント
○
×
○
サーバ
○
○
×
(凡例)
○:必要
×:不要
13
3.
Web サービスセキュリティ機能を使用する
Web サービスセキュリティポリシー定義ファイルの項目については,「付録 C.2 Web
サービスセキュリティポリシー定義ファイルの項目」を参照してください。
14
3.
Web サービスセキュリティ機能を使用する
3.2 署名付与/検証機能を設定する
名を付与したり,受信する SOAP メッセージに付与されている XML 署名を検証したり
する機能です。署名付与機能は,SOAP メッセージの送信時に,署名検証機能は SOAP
メッセージの受信時に使用します。
次に,署名付与/検証機能を使用した際のプログラムの構成図を示します。矢印および
その番号は,送受信するデータの処理の流れを示しています。
図 3-1 Web サービスセキュリティ機能使用時のプログラム構成(署名付与/検証)
署名付与/検証機能を使用する際の,Web サービスセキュリティ機能定義ファイルの設
定項目を次に示します。
<送信側>
├─
└┬
RequestSenderConfig/ResponseSenderConfig
└┬
└┬
├─
└─
<受信側>
├─
└┬
RequestReceiverConfig/ResponseReceiverConfig
└┬
└─
署名付与/検証機能を使用する際の,Web サービスセキュリティポリシー定義ファイル
の設定項目を次に示します。
15
3.
Web サービスセキュリティ機能を使用する
└┬
RequestReceiverConfig/ResponseReceiverConfig
└┬
├┬
│└─
└─
さい。
Windows の場合,定義ファイルのサンプルは次のディレクトリに格納されていますの
で,これらを参考に定義ファイルを作成してください。なお,作成した定義ファイルの
ださい。
<
Cosminexus
のインストールディレクトリ>
/wss/samples/
の下 signature/message/client/WEB-INF/classes signature/message/service/WEB-INF/classes signature/rpc/client/WEB-INF/classes signature/rpc/service/WEB-INF/classes
また,Windows の場合,コーディングのサンプルは,次のディレクトリに格納されてい
ますので,参考にしてください。
<
Cosminexus
のインストールディレクトリ>
/wss/samples/
の下 signature/KeyStore signature/message/client/WEB-INF/classes/messagesampleclient signature/message/service/WEB-INF/classes/messagesampleservice signature/rpc/client/WEB-INF/classes/localhost signature/rpc/service/WEB-INF/classes/localhost
署名付与の設定情報について
• 署名付与に必要な情報は,Web サービスセキュリティ機能定義ファイルに指定さ
れた設定情報から取得します。
• 署名に用いる秘密鍵は,環境設定ファイルで指定したキーストアファイルを使用
• 署名に関する仕様のサポート範囲については,「付録 A.2 XML 署名標準仕様の
署名検証の設定情報について
• 署名検証に必要な情報は,Web サービスセキュリティ機能定義ファイル,および
Web サービスセキュリティポリシー定義ファイルに指定された設定情報から取得
します。
• 証明書検証に用いる証明書は,環境設定ファイルで指定した証明書ファイルを使
16
3.
Web サービスセキュリティ機能を使用する
注意事項
署名付与/検証で使用するキーストアファイルは,読み取り権限を限定するなど,
第三者に読み取られないようにご注意ください。
3.2.1 署名を付与する個所をパート名で指定する
署名を付与する個所をパート名という名称で指定します。Cosminexus Web Services -
Security で,署名を付与する際に指定できるパート名は,"Body" だけです。"Body" を指
定した場合,SOAP メッセージの Body 要素そのものを意味します。
署名個所をパート名で指定する際の,Web サービスセキュリティ機能定義ファイルの設
定項目を次に示します。
└┬
RequestSenderConfig/ResponseSenderConfig
└┬
└┬
└┬
└─
署名個所をパート名で指定する際の,Web サービスセキュリティポリシー定義ファイル
の設定項目を次に示します。
└┬
RequestReceiverConfig/ResponseReceiverConfig
└┬
└┬
└─
さい。
3.2.2 署名を付与する個所を ID 属性で指定する
署名を付与する個所を,ID 属性で指定し,その ID 値が含まれる要素に対して署名しま
す。なお,受信側で ID 属性のポリシーについては検証できません。
署名個所を ID で指定する際の,Web サービスセキュリティ機能定義ファイルの設定項
目を次に示します。
└┬
RequestSenderConfig/ResponseSenderConfig
└┬
└┬
└┬
└─
さい。
17
3.
Web サービスセキュリティ機能を使用する
3.3 暗号化/復号化機能を設定する
暗号化/復号化機能は,SOAP 通信基盤で送受信する SOAP メッセージを,暗号化/復
号化する機能です。暗号化機能は SOAP メッセージの送信時に,復号化機能は SOAP
メッセージの受信時に使用します。
次に,暗号化/復号化機能を使用した際のプログラムの構成図を示します。矢印および
その番号は,送受信するデータの処理の流れを示しています。
図 3-2 Web サービスセキュリティ機能使用時のプログラム構成(暗号化/復号化)
18
暗号化/復号化機能を使用する際の,Web サービスセキュリティ機能定義ファイルの設
定項目を次に示します。
<送信側>
├─
└┬
RequestSenderConfig/ResponseSenderConfig
└┬
└┬
└─
<受信側>
├─
└┬
RequestReceiverConfig/ResponseReceiverConfig
└┬
└─
暗号化/復号化機能を使用する際の,Web サービスセキュリティポリシー定義ファイル
の設定項目を次に示します。
└┬
RequestReceiverConfig/ResponseReceiverConfig
└┬
└─
3.
Web サービスセキュリティ機能を使用する
さい。
Windows の場合,定義ファイルのサンプルは,次のディレクトリに格納されていますの
で,これらを参考に定義ファイルを作成してください。なお,作成した定義ファイルの
ださい。
<
Cosminexus
のインストールディレクトリ>
/wss/samples/
の下 encryption/message/client/WEB-INF/classes encryption/message/service/WEB-INF/classes encryption/rpc/client/WEB-INF/classes encryption/rpc/service/WEB-INF/classes
また,Windows の場合,コーディングのサンプルは,次のディレクトリに格納されてい
ますので,参考にしてください。
<
Cosminexus
のインストールディレクトリ>
/wss/samples/
の下 encryption/SecretKey encryption/message/client/WEB-INF/classes/messagesampleclient encryption/message/service/WEB-INF/classes/messagesampleservice encryption/rpc/client/WEB-INF/classes/localhost encryption/rpc/service/WEB-INF/classes/localhost
暗号化の設定情報について
• 暗号化に必要な情報は,Web サービスセキュリティ機能定義ファイルに指定され
た設定情報から取得します。
• 暗号化に関する仕様のサポート範囲については,「付録 A.3 XML 暗号標準仕様
復号化の設定情報について
復号化に必要な情報は,Web サービスセキュリティ機能定義ファイル,および Web
サービスセキュリティポリシー定義ファイル指定された設定情報から取得します。
暗号化/復号化に用いる共通鍵は,環境設定ファイルで指定した共通鍵ファイルを使用
参照してください。
注意事項
暗号化/復号化で使用する鍵ファイルは,読み取り権限を限定するなど,第三者に
読み取られないようにご注意ください。
3.3.1 暗号化する個所をパート名で指定する
暗号化する個所をパート名という名称で指定します。Cosminexus Web Services -
Security で,暗号化する際に指定できるパート名は,"BodyContent" だけです。
"BodyContent" を指定した場合,SOAP メッセージの Body 要素に含まれる子要素,テ
キストなどをすべて指定することを意味します。
19
3.
Web サービスセキュリティ機能を使用する
暗号個所をパート名で指定する際の,Web サービスセキュリティ機能定義ファイルの設
定項目を次に示します。
└┬
RequestSenderConfig/ResponseSenderConfig
└┬
└┬
└┬
└┬
└─
暗号個所をパート名で指定する際の,Web サービスセキュリティポリシー定義ファイル
の設定項目を次に示します。
└┬
RequestReceiverConfig/ResponseReceiverConfig
└┬
└┬
└─
さい。
3.3.2 暗号化する個所を ID 属性で指定する
暗号化する個所を,ID 属性で指定し,その ID 値が含まれる要素に対して暗号化します。
なお,受信側で ID 属性のポリシーについては検証できません。
暗号個所を ID で指定する際の,Web サービスセキュリティ機能定義ファイルの設定項
目を次に示します。
└┬
RequestSenderConfig/ResponseSenderConfig
└┬
└┬
└┬
└┬
└─
さい。
20
3.
Web サービスセキュリティ機能を使用する
3.4 認証機能を設定する
セキュリティトークンを通信先に受け渡すことで,認証を実現します。
Cosminexus Web Services - Security では,JAAS を使用した認証方式をサポートしま
す。
認証機能を使用する際の,Web サービスセキュリティ機能定義ファイルの設定項目を次
に示します。
<送信側>
├─
└┬
RequestSenderConfig/ResponseSenderConfig
└┬
└┬
└─
<受信側>
├─
└┬
RequestReceiverConfig/ResponseReceiverConfig
└┬
└─
認証機能を使用する際の,Web サービスセキュリティポリシー定義ファイルの設定項目
を次に示します。
├─
└┬
RequestReceiverConfig/ResponseReceiverConfig
└┬
└┬
└─
さい。
Windows の場合,定義ファイルのサンプルは,次のディレクトリに格納されていますの
で,これらを参考に定義ファイルを作成してください。なお,作成した定義ファイルの
ださい。
<
Cosminexus
のインストールディレクトリ>
/wss/samples/
の下 usernameToken/rpc/client/WEB-INF/classes usernameToken/rpc/service/WEB-INF/classes
また,Windows の場合,コーディングのサンプルは,次のディレクトリに格納されてい
ますので,参考にしてください。
21
3.
Web サービスセキュリティ機能を使用する
<
Cosminexus
のインストールディレクトリ>
/wss/samples/
の下 usernameToken/rpc/Auth usernameToken/rpc/client/WEB-INF/classes/localhost usernameToken/rpc/service/WEB-INF/classes/localhost
認証の設定情報について
認証に必要な情報は,Web サービスセキュリティ機能定義ファイルに指定された設
定情報から取得します。ただし,一部の情報は Web サービスセキュリティ機能が提
認証の SOAP メッセージ形式について
Web サービスセキュリティ機能が生成する SOAP メッセージ内の UsernameToken
要素の Nonce 要素と Created 要素は,パスワードのタイプがダイジェスト形式の場
合に付与されます。パスワードタイプがテキスト形式の場合はこれらの要素は付与
されません。
パスワードのタイプがダイジェスト形式の SOAP メッセージでダイジェストを求め
たい場合は,コーディングのサンプルのソースコード
(UsernameLoginModule.java)の login メソッドの実装を参考にしてください。
認証に関するポリシーチェックについて
Web サービスセキュリティポリシー定義ファイルに指定された設定情報を基に,受
信した SOAP メッセージがポリシーに従っているかどうかをチェックします。
注意事項
認証で,パスワードの記述されたファイルなどを使用する場合は,読み取り権限を
限定するなど,第三者に読み取られないようにご注意ください。
22
3.
Web サービスセキュリティ機能を使用する
3.5 メッセージに有効期限を設定する
Cosminexus Web Services - Security では,SOAP メッセージの送信時にタイムスタン
プや有効期限を設定したり,受信側で古いメッセージや有効期限を経過したメッセージ
の受信を拒否したりする機能を提供します。
メッセージに有効期限を設定する際の,Web サービスセキュリティ機能定義ファイルの
設定項目を次に示します。
└┬
RequestSenderConfig/ResponseSenderConfig
└┬
└┬
└┬
└─
メッセージに付与されているタイムスタンプや有効期限を検証する際の,Web サービス
セキュリティポリシー定義ファイルの設定項目を次に示します。
├─
└┬
RequestReceiverConfig/ResponseReceiverConfig
└┬
└┬
└┬
└
さい。
Windows の場合,定義ファイルのサンプルは,次のディレクトリに格納されていますの
で,これらを参考に定義ファイルを作成してください。なお,作成した定義ファイルの
ださい。
<
Cosminexus
のインストールディレクトリ>
/wss/samples/
の下 timeStamp/rpc/client/WEB-INF/classes timeStamp/rpc/service/WEB-INF/classes
また,Windows の場合,コーディングのサンプルは,次のディレクトリに格納されてい
ますので,参考にしてください。
<
Cosminexus
のインストールディレクトリ>
/wss/samples/
の下 timeStamp/rpc/client/WEB-INF/classes/localhost timeStamp/rpc/service/WEB-INF/classes/localhost
23
3.
Web サービスセキュリティ機能を使用する
3.6 定義ファイルの構文をチェックする
Web サービスセキュリティ機能定義ファイル,および Web サービスセキュリティポリ
シー定義ファイルを設定したあと,定義ファイルの記述内容が正しいかどうかをチェッ
クするために,構文チェック用のコマンドを使用します。
注意事項
定義ファイル構文チェックコマンドは,Windows で使用してください。その他の
OS では使用できません。
24
3.
Web サービスセキュリティ機能を使用する
3.7 定義ファイルに関する注意事項
Web サービスセキュリティ機能定義ファイル,および Web サービスセキュリティポリ
シー定義ファイルを設定する上での注意事項について説明します。
•
Web サービスセキュリティ機能定義ファイルの Created 要素,Expires 要素を共に省
略した場合は,Timestamp 要素自体が作成されません。
•
SOAP メッセージを送信するマシンと受信するマシンに設定されている時刻は,一致
していないおそれがあります。Created 要素に設定されている値を基にそのメッセー
ジを古いとみなしたり,Expires 要素に設定されている値を基にそのメッセージを有
効期限切れとみなしたりする際,許容範囲を設定できます。
マシン間の設定時刻の差に関する許容範囲を設定する際の,Web サービスセキュリ
ティポリシー定義ファイルの設定項目を次に示します。
└┬
├─
└─
を参照してください。
•
Web サービスセキュリティ機能定義ファイルは,第三者によって改ざんされないよう
にアクセス権の設定をしてください。
•
Web サービスセキュリティポリシー定義ファイルは,第三者によって改ざんされない
ようにアクセス権の設定をしてください。
•
Web サービスセキュリティポリシー定義ファイルを SOAP サービスの利用者に配布す
る場合,ファイルが改ざんされないよう対策してください。
•
Web サービスセキュリティポリシー定義ファイルは,安全な方法で SOAP サービスの
利用者に配布してください。
•
SOAP サービスの利用者は,Web サービスセキュリティポリシー定義ファイルの内容
に従って,Web サービスセキュリティ機能定義ファイルを作成する必要があります。
署名付与/検証機能,暗号化/復号化機能,認証機能,およびメッセージに有効期限を
設定する機能は,組み合わせて使用できます。複数の機能を組み合わせて使用する場合
は,Web サービスセキュリティ機能定義ファイルの RoleConfig 要素内に,それぞれの設
定項目を併記してください。
次に,設定の順番についての注意事項を示します。
25
3.
Web サービスセキュリティ機能を使用する
• 送信側の Web サービスセキュリティ機能定義ファイルに設定した機能は,設定した順
番で処理されます。各機能に対応するセキュリティ要素が SOAP メッセージのセキュ
リティヘッダに出現しますが,その順番は,Web サービスセキュリティ機能定義ファ
イルで設定した順番とは逆順になります。
•
Web サービスセキュリティ機能が提供する API を使用して UsernameToken を付与し
た場合,対応するセキュリティ要素は SOAP メッセージのセキュリティヘッダのいち
ばん下に出現します。
なお,受信側の Web サービスセキュリティ機能定義ファイルと,Web サービスセキュリ
ティポリシー定義ファイルに設定する順番は,特に意識する必要はありません。
26
3.
Web サービスセキュリティ機能を使用する
3.8 実行環境に合わせて設定を変更する
Web サービスセキュリティ機能定義ファイルおよび Web サービスセキュリティポリシー
定義ファイルに記述する内容で,実行環境に依存する部分は,環境設定ファイルで設定
します。
環境設定ファイルは,次のディレクトリに格納されています。ファイル名は,
「 cwsscfg.properties
」で固定です。
<
Cosminexus
のインストールディレクトリ>
/wss/conf
の下
次に,環境設定ファイルの記述規則と設定項目について説明します。
3.8.1 環境設定ファイルの記述規則
環境設定ファイルは,Java
TM
2 Platform Standard Edition のプロパティ形式に従い,
「キー名称 = 値」の形式で記述します。次に,環境設定ファイルの記述規則について示し
ます。
• 1行の終わりは必ず改行されていなければなりません。
•「#」で始まる行はコメントとみなされます。
• 値が存在しない行を設定した場合,空文字として処理されます。
• キー名称と = の間,および = と値の間にスペースを入れてはいけません。
• 値に 2 バイト文字を使用する場合は,Cosminexus で提供されている Java
TM
2SDK
の native2ascii コマンドで環境設定ファイルを変換してから使用しなければなりませ
ん。
• 設定できるキー名称以外のキー名称を設定した場合,その行は無視されます。
• キー名称の大文字と小文字は区別されます。
• 値には半角スペースも設定できます。
例 cwss.binding.KeyLocator.KeyStoreDir=d:/Program Files/HITACHI/
Cosminexus/wss/KeyStore
3.8.2 環境設定ファイルの設定項目
環境設定ファイルで設定できるキーおよび値を,次の表に示します。
27
3.
Web サービスセキュリティ機能を使用する
表 3-3 環境設定ファイルの設定項目
キー名称 cwss.binding.KeyLocator.KeyStoreDir
cwss.binding.KeyLocator.CertificateDir
cwss.policy.usernameToken.maxNonceCount
cwss.policy.usernameToken.maxNonceAge
cwss.binding.KeyLocator.SecretKeyDir
cwss.engine.receive.unsecured.message
任意のディレク
トリ名
任意のディレク
トリ名
1 ∼ 100,000
1,000 ∼
86,400,000(最
大 24 時間)
任意のディレク
トリ名 true
指定値
または false
説明
署名付与/検証
で使用するキー
ストアファイル
を格納するディ
レクトリ名を指
定します。
証明書検証で使
用する証明書
ファイルを格納
するディレクト
リ名を指定しま
す。
受信済み
Nonce 値を保
存する最大個数
を指定します。
受信済み
Nonce 値の最
大保存時間を現
在時刻からの相
対ミリ秒で指定
します。
暗号化/復号化
で使用する共通
鍵ファイルを格
納するディレク
トリ名を指定し
ます。
受信側で Web
サービスセキュ
リティポリシー
定義ファイルの
設定をしている
場合,受信メッ
セージに
SOAP メッ
セージの
Security 要素
を含まなかった
ときの動作を指
定します。
※
デフォルト値
(値省略時また
は範囲外)
< Cosminexus
のインストール
ディレクトリ>
/wss/KeyStore
< Cosminexus
のインストール
ディレクトリ>
/wss/Cert
100,000
300,000(5 分)
< Cosminexus
のインストール
ディレクトリ>
/wss/SecretKey false
注※
受信側で Web サービスセキュリティポリシー定義ファイルの設定をしている場合
で,false を設定した場合,エラーメッセージ KDCGF0003-E が出力されます。 true を設定した場合,Web サービスセキュリティ機能定義ファイルおよび Web
28
3.
Web サービスセキュリティ機能を使用する
サービスセキュリティポリシー定義ファイルの設定内容に関係なく,エラーにはな
りません。
29
3.
Web サービスセキュリティ機能を使用する
3.9 Web サービスセキュリティ機能の実装手
順
ここでは,実行環境に必要な定義ファイルやユーザー作成のプログラムを実装し,開発
した SOAP アプリケーションで Web サービスセキュリティ機能を使用する手順について
説明します。
次に,SOAP アプリケーション開発支援機能を利用した SOAP アプリケーションの開発
の流れを示します。
(a)サービスの設計
(b)WSDL の作成
(c)サーバスケルトンの作成
(d)サーバ実装
(e)WAR ファイルの作成
(f)サービスの開始
(g)クライアントスタブの生成
(h)クライアントの実装
SOAP アプリケーション開発の詳細については,マニュアル「Cosminexus SOAP アプ
リケーション開発ガイド」を参照してください。
また,07-60 以降のバージョンを使用して Web サービスセキュリティ機能を使用する場
基本とし,Web サービスセキュリティ機能を使用する上で必要なステップを説明します。
3.9.1 サーバ側の実装手順
Web サービスセキュリティ機能をサーバ側に実装する手順について説明します。
SOAP アプリケーションの形態が,RPC または EJB の場合
に関する情報
※
を,サーバ側 WAR ファイルの WEB-INF の下のデプロイ定義ファイ
ルに手動で追加します。
30
3.
Web サービスセキュリティ機能を使用する
SOAP アプリケーションの形態が,既存 Java クラスを利用,またはメッセージングの場
合
関する情報
※
をサーバ側 WAR ファイルの WEB-INF の下のデプロイ定義ファイルに
手動で追加します。
注※
「Web サービスセキュリティ機能に関する情報」を次に示します。
<handler name="WSSResponseSenderHandler" type="java:com.cosminexus.wss.handlers.WSSResponseSenderHandler
"/>
<handler name="WSSRequestReceiverHandler" type="java:com.cosminexus.wss.handlers.WSSRequestReceiverHandle
r"/>
<requestFlow>
<handler type="WSSRequestReceiverHandler"/>
</requestFlow>
<responseFlow>
<handler type="WSSResponseSenderHandler"/>
</responseFlow>
Windows の場合,サーバ側のデプロイ定義ファイル(server-config.xml)のサンプ
ルは,サンプルディレクトリの下の,機能ごとのサービスに格納されていますので,
参考にしてください。次に,格納先の一例を示します。
<
Cosminexus
のインストールディレクトリ>
/wss/samples/
の下 usernameToken/rpc/service/WEB-INF
Web サービスセキュリティ機能が提供する API を利用する場合は,開発ステップ「(d)
サーバ実装」で,ユーザー作成のプログラムを実装します。詳細については,マニュア
ル「Cosminexus SOAP アプリケーション開発ガイド」を参照してください。
る Web サービスセキュリティ機能定義ファイル,および Web サービスセキュリティポ
リシー定義ファイルをサーバ側 WAR ファイルの WEB-INF/classes の下に組み込みま
す。Web サービスセキュリティ機能定義ファイルと Web サービスセキュリティポリシー
定義ファイルについては,構文チェック用のコマンドを使用して,構文に誤りがないこ
WAR ファイルへの組み込み方法については,マニュアル「Cosminexus SOAP アプリ
ケーション開発ガイド」を参照してください。
サーバ側の実装に関するファイルの配置は,各アプリケーションごと(WAR ファイルご
31
3.
Web サービスセキュリティ機能を使用する
と)に次のようになります。
WEB-INF
├ server-config.xml
デプロイ定義ファイル
└ classes
├ security-config.xml Web
サービスセキュリティ機能定義ファイル
└ policy-config.xml Web
サービスセキュリティポリシー定義ファイル
3.9.2 クライアント側が Web アプリケーションの場合の実
装手順
Web サービスセキュリティ機能をクライアント側の Web アプリケーションに実装する手
順について説明します。
提供するクライアント用のデプロイ定義ファイル(client-config.xml)を,クライアント
側 WAR ファイルの WEB-INF/classes の下に組み込みます。Windows の場合,Web
サービスセキュリティ機能が提供するクライアント用のデプロイ定義ファイルは,サン
プルディレクトリの下の,機能ごとのクライアントに格納されています。どのクライア
ント用のデプロイ定義ファイルも内容は同じです。次に,格納先の一例を示します。
<
Cosminexus
のインストールディレクトリ>
/wss/samples/
の下 usernameToken/rpc/client/WEB-INF/classes
Web サービスセキュリティ機能が提供する API を利用する場合は,開発ステップ「(h)
クライアントの実装」で,ユーザー作成のプログラムを実装します。詳細については,
マニュアル「Cosminexus SOAP アプリケーション開発ガイド」を参照してください。
サンプルファイルを基に作成した Web サービスセキュリティ機能定義ファイル,および
Web サービスセキュリティポリシー定義ファイルをクライアント側 WAR ファイルの
WEB-INF/classes の下に組み込みます。Web サービスセキュリティ機能定義ファイルと
Web サービスセキュリティポリシー定義ファイルについては,構文チェック用のコマン
ドを使用して,構文に誤りがないことを事前に確認してください。構文チェック用のコ
WAR ファイルへの組み込み方法については,マニュアル「Cosminexus SOAP アプリ
ケーション開発ガイド」を参照してください。
クライアント側の実装に関するファイルの配置は,各アプリケーションごと(WAR ファ
イルごと)に次のようになります。
32
3.
Web サービスセキュリティ機能を使用する
WEB-INF
└ classes
├ client-config.xml
デプロイ定義ファイル
├ security-config.xml Web
サービスセキュリティ機能定義ファイル
└ policy-config.xml Web
サービスセキュリティポリシー定義ファイル
3.9.3 クライアント側がコマンドライン Java アプリケー
ションの場合の実装手順
サンプルファイルを基に作成した Web サービスセキュリティ機能定義ファイル,Web
サービスセキュリティポリシー定義ファイル,およびデプロイ定義ファイルを,クライ
アント実行環境の CLASSPATH に設定したディレクトリの下に格納します。なお,Web
サービスセキュリティ機能定義ファイルと Web サービスセキュリティポリシー定義ファ
イルについては,構文チェック用のコマンドを使用して,構文に誤りがないことを事前
3.9.4 JAAS ログインモジュールの実装時の注意
ここでは,JAAS ログインモジュールを実装する際の注意事項について説明します。な
お,JAAS ログインモジュールはユーザー側で開発します。一般的な JAAS ログインモ
ジュールの開発方法については,Sun Microsystems,Inc. が公開している JAAS 認証に関
するリファレンスガイドを参照してください。
JAAS ログインモジュールで認証情報を取得するためには,Web サービスセキュリティ
機能が提供するコールバックハンドラを使用します。次に,JAAS ログインモジュール
内で必要な処理を示します。
LoginModule.initialize
コールバックハンドラ(javax.security.auth.callback.CallbackHandler の実装クラ
ス)をクラスメンバ変数に保持します。
LoginModule.login
コールバックハンドラ内で使用する Callback オブジェクト
(javax.security.auth.callback.Callback)の配列を生成して,コールバックハンドラ
の handle メソッドを呼び出します。handle メソッドを呼び出したあと,Callback
オブジェクトから認証情報を取り出して認証処理を行います。Callback オブジェク
トの配列は,次の表に示す構成で生成してください。
33
3.
Web サービスセキュリティ機能を使用する
2
3
0
1
配列
番号
4
表 3-4 生成する Callback オブジェクトの配列
Callback オブジェクト javax.security.auth.callback.NameCallback
javax.security.auth.callback.PasswordCallback
javax.security.auth.callback.TextInputCallback
javax.security.auth.callback.TextInputCallback
javax.security.auth.callback.TextInputCallback
用途
ユーザー名の取得
パスワードの取得
パスワード形式の取得
Nonce 値の取得
Created 値の取得
配列要素の取得方法を次に示します。
0:ユーザー名の取得
ユーザー名は javax.security.auth.callback.NameCallback.getName() メソッド
で取得します。
1:パスワードの取得
パスワードは javax.security.auth.callback.PasswordCallback.getPassword()
メソッドで取得します。パスワード形式がテキスト形式の場合,パスワードテ
キスト文字配列を返します。パスワード形式がダイジェスト形式の場合,ダイ
ジェスト形式の文字配列を返します。パスワード省略時は null を返します。
2:パスワード形式の取得
パスワード形式は javax.security.auth.callback.TextInputCallback.getText() メ
ソッドで取得します。パスワードの形式は次の文字列で返します。
"PasswordText":テキスト形式
"PasswordDigest":ダイジェスト形式
3:Nonce 値の取得
Nonce 値は javax.security.auth.callback.TextInputCallback.getText() メソッド
で取得します。
4:Created 値の取得
Created 値は javax.security.auth.callback.TextInputCallback.getText() メソッ
ドで取得します。
Windows の場合,JAAS ログインモジュールのコーディング例については,次の
ディレクトリに格納されているサンプルを参照してください。
<
Cosminexus
のインストールディレクトリ>
/wss/samples/
の下 usernameToken/rpc/Auth usernameToken/rpc/client/WEB-INF/classes/localhost usernameToken/rpc/service/WEB-INF/classes/localhost
Cosminexus Component Container のユーザー定義ファイル(usrconf.properties)に,
次のエントリーを追加してください。
34
3.
Web サービスセキュリティ機能を使用する java.security.auth.login.config==
<ログイン構成ファイルのフルパス名>
ユーザー定義ファイルについては,マニュアル「Cosminexus リファレンス 定義編」
を参照してください。
35
4
Web サービスセキュリティ
機能が提供するコマンド
この章では,Web サービスセキュリティ機能が提供するコマ
ンドの使い方について説明します。
4.1 共通鍵生成コマンド(CWSSCreateSecretKey)
4.2 定義ファイル構文チェックコマンド(CWSSConfCheck)
37
4.
Web サービスセキュリティ機能が提供するコマンド
4.1 共通鍵生成コマンド
(CWSSCreateSecretKey)
共通鍵生成コマンドを使用して,暗号化機能を利用するときに必要な共通鍵を生成しま
す。共通鍵生成コマンドを実行すると,共通鍵生成コマンドのオプションで指定した
ファイルに共通鍵が出力されます。共通鍵のファイルはバイナリー形式です。共通鍵生
成コマンドの所在は次のとおりです。
<
Cosminexus
のインストールディレクトリ>
/wss/bin/
の下
ファイルの項目」の SecretKeyFile 要素を参照してください。
共通鍵生成コマンドの形式を次に示します。
CWSSCreateSecretKey.bat -h | -a <
アルゴリズム識別子
> -o <
出力ファイル名
>
コマンド名(CWSSCreateSecretKey.bat)のあとに,一つ以上の空白を挿入し,オプ
ションを指定します。オプションと指定する値の間も一つ以上の空白を挿入します。
共通鍵生成コマンドで指定するオプションを次に示します。
-h
-a
-o
表 4-1 共通鍵生成コマンドのオプション
オプション 説明
コマンドのオプション説明を表示します。
生成する共通鍵のアルゴリズム識別子を指定します。
指定可能な値を次に示します。
"TRIPLEDES": Triple DES ブロック暗号の共通鍵を生成します。
"AES128": AES-128 ブロック暗号の共通鍵を生成します。
生成した共通鍵を出力するファイル名を指定します。
38
してください。
•
OS が Windows(x86 および x64)の場合だけ実行できます。ほかの OS では実行で
きません。
• 出力ファイル名に空白が含まれる場合は出力ファイル名を「"」で囲みます。
4.
Web サービスセキュリティ機能が提供するコマンド
• 出力ファイル名にディレクトリを含まない場合は,カレントディレクトリに出力され
ます。
• 出力ファイル名にディレクトリを含めた場合は,既存のディレクトリを指定する必要
があります。
• 出力ファイル名には既存のファイルを指定してはいけません。
• 同じオプションを 2 回以上指定すると,最後に指定したオプションの値が有効になり
ます。次の例では,共通鍵は file2 に出力されます。
例
CWSSCreateSecretKey.bat -a AES128 -o file1 -o file2
39
4.
Web サービスセキュリティ機能が提供するコマンド
4.2 定義ファイル構文チェックコマンド
(CWSSConfCheck)
Web サービスセキュリティ機能定義ファイル,および Web サービスセキュリティポリ
シー定義ファイルを作成したあと,設定した XML の構文が正しいかどうかをチェックす
るために,定義ファイル構文チェックコマンドを使用します。定義ファイル構文チェッ
クコマンドの所在は次のとおりです。
<
Cosminexus
のインストールディレクトリ>
/wss/bin/
の下
定義ファイル構文チェックコマンドの形式を次に示します。
CWSSConfCheck.bat -h | [-s | -p] -f <
チェックする定義ファイル名
>
コマンド名(CWSSConfCheck.bat)のあとに,一つ以上の空白を挿入し,オプションを
指定します。オプションと指定する値の間も一つ以上の空白を挿入します。
構文チェックコマンドで指定するオプションを次に示します。
-h
-s
-p
-f
表 4-2 定義ファイル構文チェックコマンドのオプション
オプション 説明
コマンドのオプション説明を表示します。
-f オプションで指定するファイルが,Web サービスセキュリティ機能定義ファイル
の場合に指定します。
-f オプションで指定するファイルが,Web サービスセキュリティポリシー定義ファ
イルの場合に指定します。
チェック対象の定義ファイル名を指定します。
構文チェックコマンドの終了コードを次に示します。
• 0:正常終了
• 1:エラー終了
してください。
40
4.
Web サービスセキュリティ機能が提供するコマンド
•
OS が Windows(x86 および x64)の場合だけ実行できます。ほかの OS では実行で
きません。
• 入力ファイル名に空白が含まれる場合は入力ファイル名を「"」で囲みます。
• 構文チェックで不正な構文があった場合,または内部エラーが発生した場合,エラー
メッセージが標準出力に表示されます。
• 同じオプションを 2 回以上指定すると,最後に指定したオプションの値が有効になり
ます。次の例では,file2 に対してだけ構文をチェックします。
例
CWSSConfCheck -s -f file1.xml -f file2.xml
41
5
Web サービスセキュリティ
機能が提供する API
この章では,Web サービスセキュリティ機能が提供する API
について説明します。
5.1 インタフェースおよびクラスの一覧
5.2 WSSElementProxyFactory クラス(セキュリティ項目操作クラスの生
成)
5.3 WSSElementProxy クラス(セキュリティ項目の操作)
5.4 WSSUsernameToken クラス(UsernameToken 要素の操作)
5.5 WSSUsernameToken.PasswordType インタフェース(PasswordType
要素の操作)
5.6 WSSException クラス(例外情報の取得)
43
5.
Web サービスセキュリティ機能が提供する API
5.1 インタフェースおよびクラスの一覧
Web サービスセキュリティ機能が提供するインタフェースおよびクラスの一覧を次に示
します。
表 5-1 提供するインタフェースおよびクラスの一覧
インタフェース名および
クラス名
WSSElementProxyFactory
WSSElementProxy
WSSUsernameToken
WSSUsernameToken.PasswordType
WSSException
説明
セキュリティ項目操作クラスのファクトリクラス
セキュリティ項目操作クラス
UsernameToken 要素の操作クラス
UsernameToken 要素のパスワード種別を示す列挙定数
例外情報を保持するクラス
44
5.
Web サービスセキュリティ機能が提供する API
5.2 WSSElementProxyFactory クラス(セ
キュリティ項目操作クラスの生成)
セキュリティ項目操作クラスのファクトリクラスです。
クラス定義 public final class WSSElementProxyFactory
パッケージ名 com.cosminexus.wss.element
WSSElementProxyFactory クラスのメソッドを次の表に示します。
表 5-2 WSSElementProxyFactory クラスのメソッド一覧
機能概要 メソッド newWSSElementProxy
(スタブクラスから生成) newWSSElementProxy
(メッセージクラスから生成) newWSSElementProxy
(実装クラスから生成) getWSSElementProxy
(スタブクラスから生成) getWSSElementProxy
(メッセージクラスから生成) getWSSElementProxy
(実装クラスから生成)
スタブクラスから空のセキュリティ項目操作クラスのインスタ
ンスを生成します。
メッセージ送信クラスから空のセキュリティ項目操作クラスの
インスタンスを生成します。
空のセキュリティ項目操作クラスのインスタンスを生成しま
す。
スタブクラスから,受信したメッセージのセキュリティ項目操
作クラスのインスタンスを生成します。
メッセージ送信クラスから,受信したメッセージのセキュリ
ティ項目操作クラスのインスタンスを生成します。
受信したメッセージのセキュリティ項目操作クラスのインスタ
ンスを生成します。
次に,各メソッドの詳細について説明します。
45
5.
Web サービスセキュリティ機能が提供する API
newWSSElementProxy(スタブクラスから生成)
クラス名:WSSElementProxyFactory
機能
スタブクラスから空のセキュリティ項目操作クラスのインスタンスを生成します。この
メソッドの引数で指定したクライアントのインタフェースクラスのサービスメソッドを
呼び出すと,セキュリティ項目操作クラスに設定した内容でセキュリティ要素を生成し
ます。このメソッドは,呼び出すサービスメソッドの形態が RPC または EJB の場合に
使用します。
構文 public static WSSElementProxy newWSSElementProxy (
javax.xml.rpc.Stub a_Stub
) throws WSSException;
引数
表 5-3 newWSSElementProxy(スタブクラスから生成)メソッドの引数 a_Stub
仮引数名 名称
スタブクラス in/out in
説明
クライアントのインタフェースクラス(スタブ
クラス)を指定します。
戻り値
セキュリティ項目操作クラスのインスタンスです。
例外
WSSException
処理中に予測しない例外が発生した場合にスローされます。
注意事項
• メソッドの引数の指定とは異なるクライアントのインタフェースクラスのサービスメ
ソッドを呼び出した場合,セキュリティ項目操作クラスに設定した内容は反映しませ
ん。Web サービスセキュリティ機能定義ファイルに設定した内容に従って,セキュリ
ティ項目を設定します。
• メソッドで取得したセキュリティ項目操作クラスが提供するメソッドを利用しないで
サービスメソッドを呼び出した場合,Web サービスセキュリティ機能定義ファイルに
設定した内容に従って,セキュリティ項目を設定します。
• 送信時に Web サービスセキュリティ機能を利用しない場合は,このメソッドで取得し
たセキュリティ項目操作クラスが提供するメソッドを設定しても,セキュリティ項目
は SOAP メッセージに設定しません。Web サービスセキュリティ機能を利用しない場
合を次に示します。
46
5.
Web サービスセキュリティ機能が提供する API
•
Web サービスセキュリティ機能定義ファイルが送信時にデプロイされていない場合
•
Web サービスセキュリティ機能定義ファイル中のリクエストメッセージ送信時の設
定が省略されている場合
47
5.
Web サービスセキュリティ機能が提供する API
newWSSElementProxy(メッセージクラスから生成)
クラス名:WSSElementProxyFactory
機能
メッセージ送信クラスから空のセキュリティ項目操作クラスのインスタンスを生成しま
す。このメソッドの引数で指定した SOAPMessageSender クラスの sendMessage メ
ソッドを呼び出すと,セキュリティ項目操作クラスに設定した内容でセキュリティ要素
を生成します。このメソッドは,呼び出すサービスメソッドの形態がメッセージングの
場合に使用します。
構文 public static WSSElementProxy newWSSElementProxy (
com.cosminexus.c4web.service.message.SOAPMessageSender a_Sender
) throws WSSException;
引数
表 5-4 newWSSElementProxy(メッセージクラスから生成)メソッドの引数
仮引数名 a_Sender
名称
メッセージ
送信クラス in/out in
説明
SOAP 通信基盤が提供する
SOAPMessageSender クラスを指定します。
戻り値
セキュリティ項目操作クラスのインスタンスです。
例外
WSSException
処理中に予測しない例外が発生した場合にスローされます。
注意事項
•
SOAP 通信基盤の標準モードではこのメソッドは使用できません。呼び出すサービス
メソッドの形態がメッセージングのときにユーザプログラムからセキュリティヘッダ
にアクセスしたい場合は,SOAP 通信基盤の互換モードでこのメソッドを使用します。
SOAP 通信基盤のモードについては,マニュアル「Cosminexus SOAP アプリケー
ション開発ガイド」を参照してください。
• メソッドの引数の指定とは異なるインスタンスの SOAPMessageSender クラスの sendMessage メソッドを呼び出した場合,セキュリティ項目操作クラスに設定した内
容は反映しません。Web サービスセキュリティ機能定義ファイルに設定した内容に
従って,セキュリティ項目を設定します。
• メソッドで取得したセキュリティ項目操作クラスが提供するメソッドを利用しないで
48
5.
Web サービスセキュリティ機能が提供する API sendMessage メソッドを呼び出した場合,Web サービスセキュリティ機能定義ファイ
ルに設定した内容に従って,セキュリティ項目を設定します。
• 送信時に Web サービスセキュリティ機能を利用しない場合は,このメソッドで取得し
たセキュリティ項目操作クラスが提供するメソッドを利用しても,セキュリティ項目
は SOAP メッセージに設定しません。Web サービスセキュリティ機能を利用しない場
合を次に示します。
•
Web サービスセキュリティ機能定義ファイルが送信時にデプロイされていない場合
•
Web サービスセキュリティ機能定義ファイル中のリクエストメッセージ送信時の設
定が省略されている場合
49
5.
Web サービスセキュリティ機能が提供する API
newWSSElementProxy(実装クラスから生成)
クラス名:WSSElementProxyFactory
機能
空のセキュリティ項目操作クラスのインスタンスを生成します。このメソッドは,スタ
ブまたはメッセージクラスから生成するメソッドとは異なり,SOAP サービスの実装ク
ラスでサービスの応答を送信する際に使用します。このメソッドで取得したセキュリ
ティ項目操作クラスが提供するメソッドを利用すると,サービスの応答をクライアント
に送信する際に,セキュリティ項目操作クラスに設定した内容でセキュリティ要素を生
成します。
構文 public static WSSElementProxy newWSSElementProxy (
) throws WSSException;
引数
ありません。
戻り値
セキュリティ項目操作クラスのインスタンスです。
例外
WSSException
処理中に予測しない例外が発生した場合にスローされます。
注意事項
• メソッドで取得したセキュリティ項目操作クラスが提供するメソッドを利用しない場
合,Web サービスセキュリティ機能定義ファイルに設定した内容に従って,レスポン
スメッセージ内のセキュリティ項目を設定します。
• メソッドをリクエスト受信処理以外の場所で呼び出した場合は null を返します。
• 送信時に Web サービスセキュリティ機能を利用しない場合は,このメソッドで取得し
たセキュリティ項目操作クラスが提供するメソッドを利用しても,セキュリティ項目
は設定しません。Web サービスセキュリティ機能を利用しない場合を次に示します。
•
Web サービスセキュリティ機能定義ファイルが送信時にデプロイされていない場合
•
Web サービスセキュリティ機能定義ファイル中のリクエストメッセージ送信時の設
定が省略されていた場合
50
5.
Web サービスセキュリティ機能が提供する API
getWSSElementProxy(スタブクラスから生成)
クラス名:WSSElementProxyFactory
機能
スタブクラスから,受信したメッセージのセキュリティ項目操作クラスのインスタンス
を生成します。このメソッドの引数で指定したクライアントのインタフェースクラスの
サービスメソッドの呼び出し後にこのメソッドを呼び出すと,サービスメソッドのレス
ポンスメッセージに含まれるセキュリティ項目を取得し,セキュリティ項目操作クラス
を生成します。その後,このメソッドで取得したセキュリティ項目操作クラスのメソッ
ドを呼び出すことで,セキュリティ項目を取得できます。
構文 public static WSSElementProxy[] getWSSElementProxy (
javax.xml.rpc.Stub a_Stub
) throws WSSException;
引数
表 5-5 getWSSElementProxy(スタブクラスから生成)メソッドの引数
仮引数名 名称 in/out a_Stub
スタブクラス in
説明
RPC または EJB を利用した SOAP アプリケー
ションの場合で,SOAP アプリケーション開発
支援機能によって作成されるクライアントのイ
ンタフェースクラス(スタブクラス)を指定し
ます。
戻り値
セキュリティ項目操作クラスのインスタンス配列です。セキュリティ項目操作クラスが
生成できない場合は null を返します。
例外
WSSException
処理中に予測しない例外が発生した場合にスローされます。
注意事項
• このメソッドは,引数に指定したスタブクラスのサービスメソッドの呼び出し直後に
必ず呼び出すようにしてください。引数に指定したものと異なるスタブクラスのサー
ビスメソッド呼び出し直後にこのメソッドを呼び出した場合,引数に指定したスタブ
クラスのサービスメソッドの応答メッセージに含まれるセキュリティ項目は取得され
ません。
• メソッドで取得するセキュリティ項目は,このメソッドを呼び出す直前に呼び出した
サービスメソッドのレスポンスメッセージに含まれるセキュリティ項目です。サービ
51
5.
Web サービスセキュリティ機能が提供する API
スメソッドを複数回呼び出した場合,最後のサービスメソッド呼び出しのレスポンス
メッセージに含まれるセキュリティ項目を取得します。サービスメソッドを一度も呼
び出さないで,このメソッドを呼び出した場合は null を返します。
• 戻り値であるセキュリティ項目クラスの配列の順序と,レスポンスメッセージに含ま
れるセキュリティ項目の順序は必ずしも一致しません。
52
5.
Web サービスセキュリティ機能が提供する API
getWSSElementProxy(メッセージクラスから生成)
クラス名:WSSElementProxyFactory
機能
メッセージ送信クラスから,受信したメッセージのセキュリティ項目操作クラスのイン
スタンスを生成します。このメソッドの引数で指定した SOAPMessageSender クラスの sendMessage メソッドの呼び出し後にこのメソッドを呼び出すと,sendMessage メソッ
ドのレスポンスメッセージに含まれるセキュリティ項目を取得し,セキュリティ項目操
作クラスを生成します。その後,このメソッドで取得したセキュリティ項目操作クラス
のメソッドを呼び出すことで,セキュリティ項目を取得できます。
構文 public static WSSElementProxy[] getWSSElementProxy (
com.cosminexus.c4web.service.message.SOAPMessageSender a_Sender
) throws WSSException;
引数
表 5-6 getWSSElementProxy(メッセージクラスから生成)メソッドの引数
仮引数名 a_Sender
名称
メッセージ
送信クラス in/out in
説明
メッセージングを利用した SOAP アプリケー
ションの場合で,SOAP アプリケーション開発
支援機能が提供する SOAPMessageSender クラ
スを指定します。
戻り値
セキュリティ項目操作クラスのインスタンス配列です。セキュリティ項目操作クラスが
生成できない場合は null を返します。
例外
WSSException
処理中に予測しない例外が発生した場合にスローされます。
注意事項
•
SOAP 通信基盤の標準モードではこのメソッドは使用できません。呼び出すサービス
メソッドの形態がメッセージングのときにユーザプログラムからセキュリティヘッダ
にアクセスしたい場合は,SOAP 通信基盤の互換モードでこのメソッドを使用します。
SOAP 通信基盤のモードについては,マニュアル「Cosminexus SOAP アプリケー
ション開発ガイド」を参照してください。
• メソッドで取得するセキュリティ項目は,このメソッドを呼び出す直前に呼び出した
サービスメソッドのレスポンスメッセージに含まれるセキュリティ項目です。サービ
53
5.
Web サービスセキュリティ機能が提供する API
スメソッドを複数回呼び出した場合,最後のサービスメソッド呼び出しのレスポンス
メッセージに含まれるセキュリティ項目を取得します。サービスメソッドを一度も呼
び出さないで,このメソッドを呼び出した場合は null を返します。
• 戻り値であるセキュリティ項目クラスの配列の順序と,レスポンスメッセージに含ま
れるセキュリティ項目の順序は必ずしも一致しません。
54
5.
Web サービスセキュリティ機能が提供する API
getWSSElementProxy(実装クラスから生成)
クラス名:WSSElementProxyFactory
機能
受信したメッセージのセキュリティ項目操作クラスのインスタンスを生成します。この
メソッドは,スタブまたはメッセージクラスから生成するメソッドとは異なり,SOAP
サービスの実装クラスでサービスのリクエストメッセージに含まれるセキュリティ項目
を取得する際に使用します。SOAP サービスの実装クラスでこのメソッドを呼び出すと,
リクエストメッセージに含まれるセキュリティ項目を取得し,セキュリティ項目操作ク
ラスを生成します。その後,このメソッドで取得したセキュリティ項目操作クラスのメ
ソッドを呼び出すことで,セキュリティ項目を取得できます。
構文 public static WSSElementProxy[] getWSSElementProxy (
) throws WSSException;
引数
ありません。
戻り値
セキュリティ項目操作クラスのインスタンス配列です。セキュリティ項目操作クラスが
生成できない場合は null を返します。
例外
WSSException
処理中に予測しない例外が発生した場合にスローされます。
注意事項
• このメソッドで取得するセキュリティ項目は,Web サービスセキュリティ機能が処理
するセキュリティ項目です。
• 戻り値であるセキュリティ項目クラスの配列の順序と,リクエストメッセージに含ま
れるセキュリティ項目の順序は必ずしも一致しません。
55
5.
Web サービスセキュリティ機能が提供する API
5.3 WSSElementProxy クラス(セキュリティ
項目の操作)
セキュリティ項目の操作クラスです。
クラス定義 public final class WSSElementProxy
パッケージ名 com.cosminexus.wss.element
WSSElementProxy クラスのメソッドを次の表に示します。
表 5-7 WSSElementProxy クラスのメソッド一覧
メソッド名称 getWSSUsernameToken setWSSUsernameToken removeWSSUsernameToken getRole setRole
説明
UsernameToken 要素クラスのインスタンスを取得します。
UsernameToken 要素クラスのインスタンスをセキュリティ項目操
作クラスのインスタンスに設定します。
UsernameToken 要素クラスのインスタンスをセキュリティ項目操
作クラスのインスタンスから削除します。
セキュリティ項目の role 属性を取得します。
セキュリティ項目の role 属性を設定します。
56
5.
Web サービスセキュリティ機能が提供する API
getWSSUsernameToken
クラス名:WSSElementProxy
機能
UsernameToken 要素クラスのインスタンスを取得します。
構文 public WSSUsernameToken[] getWSSUsernameToken (
) throws WSSException;
引数
ありません。
戻り値
UsernameToken 要素クラスのインスタンス配列です。
例外
WSSException
処理中に予測しない例外が発生した場合にスローされます。
注意事項
• セキュリティ項目操作クラスのファクトリクラスの,newWSSElementProxy メソッ
ドによって取得した WSSElementProxy クラスのインスタンスの場合,このメソッド
の戻り値は null です。ただし,setWSSUsernameToken を呼んだ後,このメソッド
を呼び出すと setWSSUsernameToken で指定した値を返します。
• 戻り値の UsernameToken 要素クラスのインスタンス配列の順序と,メッセージ中の
UsernameToken 要素の順序とは必ずしも一致しません。
57
5.
Web サービスセキュリティ機能が提供する API
setWSSUsernameToken
クラス名:WSSElementProxy
機能
UsernameToken 要素クラスのインスタンスをセキュリティ項目操作クラスに設定しま
す。
構文 public void setWSSUsernameToken (
WSSUsernameToken a_UsernameToken
) throws WSSException;
引数
表 5-8 setWSSUsernameToken メソッドの引数
仮引数名 a_UsernameToken
名称
UsernameToke n 要素クラス in/out in
説明
セキュリティ項目操作クラスに設定する
UsernameToken 要素操作クラスのインスタン
スを指定します。
戻り値
ありません。
例外
WSSException
処理中に予測しない例外が発生した場合にスローされます。
注意事項
引数に null を指定した場合,セキュリティ項目操作クラスに UsernameToken 要素クラ
スを設定しないで正常終了します。すでに UsernameToken 要素クラスを設定している
場合は,元の UsernameToken 要素クラスも更新しません。
58
5.
Web サービスセキュリティ機能が提供する API
removeWSSUsernameToken
クラス名:WSSElementProxy
機能
UsernameToken 要素クラスのインスタンスをセキュリティ項目操作クラスから削除しま
す。
構文 public void removeWSSUsernameToken (
) throws WSSException;
引数
ありません。
戻り値
ありません。
例外
WSSException
処理中に予測しない例外が発生した場合にスローされます。
注意事項
UsernameToken 要素クラスのインスタンスがセキュリティ項目操作クラスに存在しない
場合,何も処理をしないで正常終了します。
59
5.
Web サービスセキュリティ機能が提供する API
getRole
クラス名:WSSElementProxy
機能
セキュリティ項目の role 属性値を取得します。
構文 public java.net.URI getRole (
) throws WSSException;
引数
ありません。
戻り値
セキュリティ項目に含まれる role 属性値です。セキュリティ項目に role 属性がない場合
は null を返します。
例外
ありません。
60
5.
Web サービスセキュリティ機能が提供する API
setRole
クラス名:WSSElementProxy
機能
セキュリティ項目の role 属性値を設定します。
構文 public void setRole (
java.net.URI a_Role
) throws WSSException;
引数
表 5-9 setRole メソッドの引数 a_Role
仮引数名 名称 role 属性値 in/out in
説明
セキュリティ項目操作クラスに設定する role 属
性値を指定します。
戻り値
ありません。
例外
ありません。
61
5.
Web サービスセキュリティ機能が提供する API
5.4 WSSUsernameToken クラス
(UsernameToken 要素の操作)
UsernameToken 要素の操作クラスです。
クラス定義 public final class WSSUsernameToken extends
com.cosminexus.wss.element.WSSElementBase
パッケージ名 com.cosminexus.wss.element
WSSUsernameToken クラスのメソッドを次の表に示します。
表 5-10 WSSUsernameToken クラスのメソッド一覧
メソッド名称
コンストラクタ getUsername setUsername getPassword setPassword getId setId getPasswordType setPasswordType getNonce getCreated
説明
UsernameToken 要素クラスのコンストラクタです。
ユーザー名を取得します。
ユーザー名を設定します。
パスワードを取得します。
パスワードを設定します。
UsernameToken 要素の Id 属性を取得します。
UsernameToken 要素の Id 属性を設定します。
パスワード種別を取得します。
パスワード種別を設定します。
Nonce 属性を取得します。
Created 属性を取得します。
注意事項
• セキュリティ項目操作クラスのインスタンスを,セキュリティ項目操作クラスのファ
クトリクラスの newWSSElementProxy メソッドによって生成した場合,このクラス
のメソッドで指定した内容で UsernameToken 要素を生成します。ただし,Web サー
ビスセキュリティ機能定義ファイルに,呼び出すサービスメソッドに対応する
SenderPortConfig 要素,RoleConfig 要素の指定がない場合は UsernameToken 要素
を生成しません。
• セキュリティ項目操作クラスのインスタンスを,セキュリティ項目操作クラスのファ
クトリクラスの getWSSElementProxy メソッドによって生成した場合,このクラス
の名称が set で始まるメソッドで値を設定しても,UsernameToken 要素は生成しま
せん。
•
Web サービスセキュリティ機能定義ファイルに UsernameToken 要素を定義している
62
5.
Web サービスセキュリティ機能が提供する API
場合,このメソッドが生成した UsernameToken 要素とは別に,複数の
UsernameToken 要素を生成します。
63
5.
Web サービスセキュリティ機能が提供する API
コンストラクタ
機能
UsernameToken 要素クラスのコンストラクタです。
構文 public WSSUsernameToken (
java.lang.String a_Username
) throws WSSException;
引数
表 5-11 コンストラクタの引数
仮引数名 a_Username
名称
ユーザー名 in/out in
説明
ユーザー名を示す文字列を指定します。
戻り値
UsernameToken 要素クラスのインスタンスです。
例外
WSSException
引数に空文字または null が指定されました。
注意事項
このクラスが生成される際の UsernameToken 要素の初期値を次に示します。
表 5-12 UsernameToken 要素の初期値
クラスの要素
Username
初期値 1
※ 1
Password
PasswordType
コンストラクタの引数で指定したユー
ザー名 null
WSSUsernameToken.PasswordType.
TEXT
Id
Nonce
Created null null null
初期値2
※ 2
UsernameToken 要素のユーザー名
UsernameToken 要素のパスワード
WSSUsernameToken.PasswordType.T
EXT
または
WSSUsernameToken.PasswordType.D
IGEST
UsernameToken 要素の Id 属性
UsernameToken 要素の Nonce 属性
UsernameToken 要素の Created 属性
64
5.
Web サービスセキュリティ機能が提供する API
注※ 1
コンストラクタを使用した場合
注※ 2
このクラスをセキュリティ項目操作クラスの getWSSUsernameToken メソッドで生
成した場合
• 引数に null を設定した場合,WSSException 例外が発生します。
• 引数に空文字 "" を設定した場合,WSSException 例外が発生します。
• 引数に一つ以上の空白文字を設定した場合,ユーザー名の情報は一つ以上の空白文字
に置き換えられます。
65
5.
Web サービスセキュリティ機能が提供する API
getUsername
クラス名:WSSUsernameToken
機能
UsernameToken 要素のユーザー名を取得します。
構文 public java.lang.String getUsername (
);
引数
ありません。
戻り値
UsernameToken 要素のユーザー名です。
例外
ありません。
66
5.
Web サービスセキュリティ機能が提供する API
setUsername
クラス名:WSSUsernameToken
機能
UsernameToken 要素のユーザー名を設定します。
構文 public void setUsername (
java.lang.String a_Username
) throws WSSException;
引数
表 5-13 setUsername メソッドの引数
仮引数名 a_Username
名称
ユーザー名 in/out in
説明
ユーザー名を示す文字列を指定します。
戻り値
ありません。
例外
WSSException
引数に空文字 "" が指定されました。
注意事項
• 引数に null を設定した場合,このクラスが保持するユーザー名の情報は更新しませ
ん。
• 引数に一つ以上の空白文字を設定した場合,このクラスが保持するユーザー名の情報
は一つ以上の空白文字に置き換えられます。
67
5.
Web サービスセキュリティ機能が提供する API
getPassword
クラス名:WSSUsernameToken
機能
UsernameToken 要素のパスワードを取得します。
構文 public char[] getPassword (
);
引数
ありません。
戻り値
UsernameToken 要素のパスワードです。UsernameToken 要素にパスワードがない場合
は null を返します。
例外
ありません。
注意事項
• セキュリティ項目操作クラスのインスタンスを,セキュリティ項目操作クラスのファ
クトリクラスの newWSSElementProxy メソッドによって生成した際,
UsernameToken 要素内に Password 要素が存在しない場合は null を返します。ただ
し,すでに setPassword メソッドでパスワードを設定している場合はその値を返しま
す。
• 受信メッセージのセキュリティ項目の,UsernameToken 要素内の Password 要素が
空要素の場合は null を返します。
• セキュリティ項目操作クラスのインスタンスを,セキュリティ項目操作クラスのファ
クトリクラスの getWSSElementProxy メソッドによって生成した際,受信メッセー
ジ内の Password 要素の種別が平文(SOAP メッセージの PasswordText 要素)の場
合は平文のパスワードを返します。Password 要素の種別がダイジェスト(SOAP
メッセージの PasswordDigest 要素)の場合はダイジェスト値をそのまま返します。
68
5.
Web サービスセキュリティ機能が提供する API
setPassword
クラス名:WSSUsernameToken
機能
UsernameToken 要素のパスワードを設定します。
構文 public void setPassword (
char[] a_Password
);
引数
表 5-14 setPassword メソッドの引数
仮引数名 a_Password
名称
パスワード in/out in
説明
パスワードを指定します。
戻り値
ありません。
例外
ありません。
注意事項
• 引数に null または空文字 "" を設定した場合,このクラスに設定したパスワードの情
報は更新されません。
• 引数に空白文字を設定した場合,このクラスに設定したパスワードの情報は空白文字
に置き換えられます。
69
5.
Web サービスセキュリティ機能が提供する API
getId
クラス名:WSSUsernameToken
機能
UsernameToken 要素の Id 属性を取得します。
構文 public java.lang.String getId (
);
引数
ありません。
戻り値
UsernameToken 要素の Id 属性値を示す文字列です。UsernameToken 要素に Id 属性が
ない場合は null を返します。
例外
ありません。
注意事項
• このメソッドで取得するのは,UsernameToken 要素の Id 属性です。
• セキュリティ項目操作クラスのインスタンスを,セキュリティ項目操作クラスのファ
クトリクラスの newWSSElementProxy メソッドによって生成した場合は null を返し
ます。ただし,すでに setId メソッドで Id を設定している場合はその値を返します。
70
5.
Web サービスセキュリティ機能が提供する API
setId
クラス名:WSSUsernameToken
機能
UsernameToken 要素の Id 属性を設定します。
構文 public void setId (
java.lang.String a_Id
);
引数 a_Id
表 5-15 setId メソッドの引数
仮引数名 名称
Id in/out in
説明
Id 属性を示す文字列を指定します。
戻り値
ありません。
例外
ありません。
注意事項
このメソッドで設定した Id 属性値は UsernameToken 要素の Id 属性に設定されます。
ただし,ほかの要素の Id 属性値と重複しているかどうかはチェックしません。
71
5.
Web サービスセキュリティ機能が提供する API
getPasswordType
クラス名:WSSUsernameToken
機能
UsernameToken 要素のパスワード種別を取得します。
構文 public WSSUsernameToken.PasswordType getPasswordType (
);
引数
ありません。
戻り値
UsernameToken 要素のパスワード種別です。UsernameToken 要素にパスワードがない
場合は,WSSUsernameToken.PasswordType.TEXT を返します。
表 5-16 WSSUsernameToken.PasswordType クラスの列挙値
列挙値
WSSUsernameToken.
PasswordType.TEXT
意味
平文形式のパスワードです。
(http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-username-token-profile-1.0#PasswordText 形
式)
WSSUsernameToken.
PasswordType.DIGES
T
ダイジェスト形式のパスワードです。
(http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-username-token-profile-1.0#PasswordDigest
形式)
例外
ありません。
注意事項
セキュリティ項目操作クラスのインスタンスを,セキュリティ項目操作クラスのファク
トリクラスの newWSSElementProxy メソッドによって生成した場合,
WSSUsernameToken.PasswordType.TEXT を返します。ただし,すでに setPasswordType メソッドでパスワード種別を設定している場合は,その値を返します。
72
5.
Web サービスセキュリティ機能が提供する API
setPasswordType
クラス名:WSSUsernameToken
機能
UsernameToken 要素のパスワード種別を設定します。
構文 public void setPasswordType (
WSSUsernameToken.PasswordType a_PasswordType
);
引数
表 5-17 setPasswordType メソッドの引数
仮引数名 a_PasswordType
名称
パスワード
種別 in/out in
説明
パスワード種別を示す,
WSSUsernameToken.PasswordType の列挙値
を指定します。
戻り値
ありません。
例外
ありません。
73
5.
Web サービスセキュリティ機能が提供する API
getNonce
クラス名:WSSUsernameToken
機能
UsernameToken 要素の Nonce 属性の内容を取得します。
構文 public java.lang.String getNonce (
);
引数
ありません。
戻り値
UsernameToken 要素の Nonce 属性値です。UsernameToken 要素に Nonce 属性がない
場合は null を返します。
例外
ありません。
注意事項
セキュリティ項目操作クラスのインスタンスを,セキュリティ項目操作クラスのファク
トリクラスの newWSSElementProxy メソッドによって生成した際,UsernameToken
要素内に Nonce 属性がない場合は null を返します。
74
5.
Web サービスセキュリティ機能が提供する API
getCreated
クラス名:WSSUsernameToken
機能
UsernameToken 要素の Created 属性の内容を取得します。
構文 public java.lang.String getCreated (
);
引数
ありません。
戻り値
UsernameToken 要素の Created 属性文字列です。UsernameToken 要素に Created 属
性がない場合は null を返します。
例外
ありません。
注意事項
セキュリティ項目操作クラスのインスタンスを,セキュリティ項目操作クラスのファク
トリクラスの newWSSElementProxy メソッドによって生成した際,UsernameToken
要素内に Created 属性がない場合は null を返します。
75
5.
Web サービスセキュリティ機能が提供する API
5.5 WSSUsernameToken.PasswordType イン
タフェース(PasswordType 要素の操作)
PasswordType 要素の操作クラスです。
クラス定義 public static final class WSSUsernameToken.PassswordType
パッケージ名 com.cosminexus.wss.element
機能
WSSUsernameToken クラスの getPasswordType(),setPasswordType() メソッド
の戻り値および引数で指定する,PasswordType 要素を示す列挙定数です。次にパ
スワード種別を示します。
TEXT
パスワード種別が平文形式(http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-secext-1.0#PasswordText)であることを示しま
す。
DIGEST
パスワード種別がダイジェスト形式(http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-username-token-profile-1.0#PasswordDigest)
であることを示します。
76
5.
Web サービスセキュリティ機能が提供する API
5.6 WSSException クラス(例外情報の取得)
Web サービスセキュリティ機能が提供する API で発生する例外クラスです。
クラス定義 public final class WSSException extends
java.lang.Exception
パッケージ名 com.cosminexus.wss.faults
WSSException クラスのメソッドを次の表に示します。
表 5-18 WSSException クラスのメソッド一覧
メソッド名称 getMessage
詳細メッセージを取得します。
説明
77
5.
Web サービスセキュリティ機能が提供する API
getMessage
クラス名:WSSException
機能
例外の詳細メッセージを取得します。
構文 public java.lang.String getMessage (
);
引数
ありません。
戻り値
詳細メッセージを示す文字列です。
78
6
障害対策
この章では,Web サービスセキュリティ機能の実行,および
運用中の障害対策のために出力される情報について説明しま
す。
6.1 トレースを収集する
79
6.
障害対策
6.1 トレースを収集する
Web サービスセキュリティ機能では,障害対策に必要な情報をトレースとして出力しま
す。トレースは障害の発生個所の割り出しや原因の調査などに利用します。Web サービ
スセキュリティ機能で出力するトレースの種類を次に示します。
表 6-1 Web サービスセキュリティ機能が出力するトレースの種類
トレースの種類
サーバトレース
クライアントトレース
コマンドトレース
説明
Web サービスセキュリティ機能のサーバ処理部分が出力します。
Web サービスセキュリティ機能のクライアント処理部分が出力します。
Web サービスセキュリティ機能のコマンドラインインタフェースが出力し
ます。
6.1.1 トレースの内容
サーバトレース,クライアントトレース,およびコマンドトレースが出力するトレース
の内容と出力例を次に示します。
日付
表 6-2 トレースの出力内容
項目 内容
出力時の日付(yyyy/mm/dd 形式)が出力されます。
時刻
アプリケーション名
プロセス識別子
スレッド識別子
メッセージ ID
メッセージ種別
メッセージテキスト
出力時の時刻(hh:mm:ss.sss 形式)が出力されます。
「wss」が出力されます。
プロセス識別子(16 進数)が出力されます。
スレッド識別子(16 進数)が出力されます。
メッセージ ID が出力されます。メッセージ ID を持たないものは出力され
ません。
OC:メソッドの入口を表します。
OD:メソッドの出口を表します。
EC:例外をキャッチしたことを表します。
ER:エラーメッセージを表示したことを表します。
FB:ほかのプログラムの処理の呼び出しを表します。
FE:呼び出したほかのプログラムの処理の終了を表します。
PB:Web サービスセキュリティ機能が提供する API の開始を表します。
PE:Web サービスセキュリティ機能が提供する API の終了を表します。
実行時の情報を示すメッセージが出力されます。
80
6.
障害対策
図 6-1 トレースの出力例
6.1.2 トレースの出力先
トレースの出力先を次に示します。
表 6-3 トレースの出力先
トレースの種類
サーバトレース
クライアントトレース
コマンドトレース
出力先
SOAP 通信基盤のサーバ側で出力するトレース ※
と同じファイル上に出力
されます。
SOAP 通信基盤のクライアント側で出力するトレース ※
と同じファイル上
に出力されます。
SOAP 通信基盤のモード ※
により出力先ディレクトリが異なります。
• 標準モードの場合
< Cosminexus のインストールディレクトリ> /CC/client/logs/system/ ejbcl/WS
• 互換モードの場合
< Cosminexus のインストールディレクトリ> /wss/logs
このディレクトリの下に次のファイル名で出力されます。
• 共通鍵生成コマンドの場合
CWSSCreateSecretKey-n.log (n:1 ∼ 2)
• 定義ファイル構文チェックコマンドの場合
CWSSConfCheck-n.log (n:1 ∼ 2)
注※
SOAP 通信基盤のトレース出力先とモードについては,マニュアル「Cosminexus
SOAP アプリケーション開発ガイド」を参照してください。
6.1.3 トレースの重要度
トレースの重要度を変更することで,出力するトレースの情報量を変更できます。出力
する情報量を多くすることで,障害発生の要因を特定しやすくなります。ただし,出力
する情報量を多くすると,プログラムの処理性能への影響が大きくなります。
トレースの重要度には次のレベルがあります。
•
ERROR
81
6.
障害対策
•
WARN
•
INFO
•
DEBUG
Web サービスセキュリティ機能で出力するトレースの重要度は,SOAP 通信基盤の設定
に従います。詳細については,マニュアル「Cosminexus SOAP アプリケーション開発
ガイド」を参照してください。
82
7
メッセージ一覧
この章では,SOAP メッセージの送受信やコマンドの実行中な
どにエラーが発生した場合に出力されるメッセージの形式,お
よび内容について説明します。定義ファイルの読み込み時,コ
マンド実行時,または API 使用時に出力されるメッセージに
ついても説明します。なお,メッセージの説明では,メッセー
ジはメッセージ ID 順に並んでいます。
7.1 メッセージの形式
7.2 メッセージの内容
83
7.
メッセージ一覧
7.1 メッセージの形式
メッセージはそれぞれ,プレフィックス,メッセージ番号,およびメッセージ種別から
構成されるメッセージ ID を持っています。例えば,KDCGW0001-E というメッセージ
ID の場合,「KDCGW」の部分がプレフィックス,「0001」の部分がメッセージ番号,
「-E」の部分がメッセージ種別を表しています。この節では,メッセージのプレフィック
スと種別について説明します。
メッセージのプレフィックスは,そのメッセージが出力されるタイミングによって異な
ります。Web サービスセキュリティ機能を利用する場合に出力されるメッセージのプレ
フィックス,各プレフィックスのメッセージが出力されるタイミング,および出力先を
次の表に示します。
項番
1
2
表 7-1 メッセージのプレフィックス一覧
プレフィックス
KDCGA
KDCGC
出力のタイミング
Web サービスセキュリティ機能が提供
する API で,エラーが発生した場合に
出力されます。
Web サービスセキュリティ機能定義
ファイルおよび Web サービスセキュリ
ティポリシー定義ファイルを読み込む
場合に,両定義ファイルに共通のエ
ラーが発生したときに出力されます。
3
4
5
6
KDCGF
KDCGJ
KDCGK
KDCGO
SOAP メッセージを受信中にエラーが
発生した場合に出力されます。
SOAP メッセージの認証でエラーが発
生した場合に出力されます。
共通鍵生成コマンドの処理が正常に終
了した場合,または実行中にエラーが
発生した場合に出力されます。
定義ファイル構文チェックコマンドの
処理が正常に終了した場合,または実
行中にエラーが発生した場合に出力さ
れます。
出力先
KDCGF および KDCGW で始ま
るメッセージの詳細部分に出力さ
れます。
KDCGF,KDCGO,または
KDCGW で始まるメッセージの
詳細部分に出力されます。定義
ファイル構文チェックコマンドの
実行中は,標準出力および Web
サービスセキュリティ機能のト
レースファイルに出力されます。
SOAP 通信基盤が提供する
C4Fault クラスの faultString 要
素として,ユーザー作成プログラ
ムのメッセージに出力されます。
メッセージの本文は,SOAP 通信
基盤のトレースファイルにも出力
されます。
SOAP 通信基盤のトレースファイ
ルに出力されます。
標準出力および Web サービスセ
キュリティ機能のトレースファイ
ルに出力されます。
84
7.
メッセージ一覧
項番
7
8
9
プレフィックス
KDCGP
KDCGS
KDCGW
出力のタイミング
Web サービスセキュリティポリシー定
義ファイルの読み込み中にエラーが発
生した場合に出力されます。
Web サービスセキュリティ機能定義
ファイルの読み込み中にエラーが発生
した場合に出力されます。
SOAP メッセージを送信中にエラーが
発生した場合に出力されます。
出力先
KDCGF,KDCGO,または
KDCGW で始まるメッセージの
詳細部分に出力されます。定義
ファイル構文チェックコマンドの
実行中は,標準出力および Web
サービスセキュリティ機能のト
レースファイルに出力されます。
SOAP 通信基盤が提供する
C4Fault クラスの faultString 要
素として,ユーザー作成プログラ
ムのメッセージに出力されます。
メッセージの本文は,SOAP 通信
基盤のトレースファイルにも出力
されます。
注
い。
SOAP アプリケーション開発支援機能のクラスやトレースファイルについては,マニュアル
「Cosminexus SOAP アプリケーション開発ガイド」を参照してください。
メッセージ種別には次の種類があります。
-E
エラーが発生した場合に出力されるメッセージであることを示します。このメッ
-I
処理が終了したことを通知するメッセージであることを示します。このメッセージ
種別を持つメッセージが出力された場合,処理は正常に終了しているので,対処は
必要ありません。
-W
警告を通知するメッセージであることを示します。このメッセージ種別を持つメッ
してください。
85
7.
メッセージ一覧
7.2 メッセージの内容
Web サービスセキュリティ機能のメッセージは,英文で出力されます。この節では,出
力されたメッセージの意味,メッセージが出力された要因,およびメッセージが出力さ
れた場合の対処方法を,次に示す形式で説明します。
メッセージ本文
意味
英文のメッセージの意味を説明します。
要因
メッセージが出力された要因を説明します。
対処
メッセージが出力された場合の対処方法を説明します。
なお,メッセージは,メッセージ ID 順に並んでいます。
7.2.1 KDCGA で始まるメッセージ
KDCGA で始まるメッセージの意味,要因,および対処について説明します。
A user name is required.
意味
ユーザー名が必要です。
要因
WSSUsernameToken クラスのユーザー名が指定されていません。
対処
SOAP アプリケーションの設計を見直して,WSSUsernameToken クラスの setUsername メソッドでユーザー名を指定するようにしてください。
An unexpected error occurred during processing. (details = < 詳細 >)
意味
処理中に予期しないエラーが発生しました。< 詳細 > には,エラー内容の詳細が出
力されます。
要因
Web サービスセキュリティ機能が提供する API を実行中に原因不明のエラーが発生
86
7.
メッセージ一覧
しました。
対処
システム管理者に連絡してください。
7.2.2 KDCGC で始まるメッセージ
KDCGC で始まるメッセージの意味,要因,および対処について説明します。
A file was not found. (file = <ファイル名> )
意味
< ファイル名 > のファイルが見つかりません。
要因
指定されたファイルが見つからないか,指定されたファイルに対するアクセス権限
がありません。
対処
指定したファイルが存在するかどうか確認してください。指定したファイルが存在
するにもかかわらず,このメッセージが出力される場合は,指定したファイルに対
してアクセス権限があるかどうか確認してください。ファイルに対するアクセス権
限がない場合は,アクセス権限を設定してください。
A configuration file contains an error. (file = <ファイル名> , line = <行番号> , details = <詳細
> )
意味
定義ファイルの内容が不正です。
< ファイル名 >,< 行番号 >,および < 詳細 > には,それぞれ次の内容が出力されま
す。
< ファイル名 >
Web サービスセキュリティ機能定義ファイルまたは Web サービスセキュリティ
ポリシー定義ファイルのフルパスが出力されます。
< 行番号 >
Web サービスセキュリティ機能定義ファイルまたは Web サービスセキュリティ
ポリシー定義ファイルの中で,定義ファイル構文チェックコマンドによってエ
ラーと判定された行の行番号が出力されます。
< 詳細 >
エラーの詳細が出力されます。< 詳細 > に出力される内容については,マニュ
アル「Cosminexus XML Processor ユーザーズガイド」を参照してください。
87
7.
メッセージ一覧
要因
Web サービスセキュリティ機能定義ファイルまたは Web サービスセキュリティポリ
シー定義ファイルに対して,定義ファイル構文チェックコマンドを実行した結果,
エラーが発生しました。
対処
< 詳細 > に出力された内容に従って,Web サービスセキュリティ機能定義ファイル
または Web サービスセキュリティポリシー定義ファイルを修正してから,定義ファ
イル構文チェックコマンドを実行してください。
注意事項
SOAP アプリケーションの実行時に,このメッセージが出力された場合は,< ファ
イル名 >,< 行番号 >,および < 詳細 > は出力されません。ただし,トレースファイ
ルには < ファイル名 >,< 行番号 >,および < 詳細 > が出力されます。トレース
The specified attribute contains an invalid value. The default value was assumed. tag name = < 要
素名 >, attribute name = < 属性名 > , specified value = < 指定値 > , value to be used = < 仮定する
値 >
意味
属性値の内容が正しくないため,デフォルト値を仮定して処理を続行します。< 要
素名 >,< 属性名 >,< 指定値 >,< 仮定する値 > にはそれぞれ次の内容が出力されます。
•
< 要素名 >
正しくない値を指定した属性を持つ要素の名称が出力されます。
•
< 属性名 >
正しくない値を指定した属性名が出力されます。
•
< 指定値 >
< 属性名 > に指定した属性値が出力されます。
•
< 仮定する値 >
< 属性名 > で指定した属性のデフォルト値が出力されます。
要因
Web サービスセキュリティ機能定義ファイルまたは Web サービスセキュリティポリ
シー定義ファイルで指定した属性値が正しくないため,デフォルト値を仮定して処
理を続行します。
対処
< 属性値 > に出力される値を正しい値にしてください。
The property contains an invalid value. The default value was assumed. key = < キー名称 >, specified value = < 指定値 > , value to be used = < 仮定する値 >
88
7.
メッセージ一覧
意味
指定値の内容が正しくないため,デフォルト値を仮定して処理を続行します。
< キー名称 >,< 指定値 >,< 仮定する値 > にはそれぞれ次の内容が出力されます。
•
< キー名称 >
正しくない値を指定したキー名称が出力されます。
•
< 指定値 >
< キー名称 > に指定した値が出力されます。
•
< 仮定する値 >
< キー名称 > で指定したキーのデフォルト値が出力されます。
要因
環境設定ファイルで指定した指定値が正しくないため,デフォルト値を仮定して処
理を続行します。
対処
< キー名称 > に出力されるキーの指定値を正しい値にしてください。
注意事項
このメッセージはトレースファイルだけに出力されます。
7.2.3 KDCGF で始まるメッセージ
KDCGF で始まるメッセージの意味,要因,および対処について説明します。KDCGF
で始まるメッセージは,SOAPFault 形式で出力されます。SOAPFault 形式のメッセー
ジには,次に示す四つの項目があります。
FaultCode
Fault コードが出力されます。Fault コードは,接頭辞とローカル部で構成されま docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd}」が
出力されます。ローカル部には,エラーの要因を示す文字列が出力されます。
Fault コードの値は,SOAP 通信基盤の API を使用して取得できます。SOAP 通信
基盤が提供する API の仕様については,マニュアル「Cosminexus SOAP アプリ
ケーション開発ガイド」を参照してください。
FaultString
メッセージ ID およびメッセージの本文が出力されます。メッセージ ID の見方につ
FaultActor
Fault の生成者が出力されます。
FaultDetails
Fault の詳細が出力されます。
89
7.
メッセージ一覧
FaultCode:{http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-secext-1.0.xsd}UnsupportedSecurityToken
FaultString:KDCGF0001-E An unsupported security token was specified. (location = <発生場所
> )
FaultActor:なし
FaultDetails:なし
意味
< 発生場所 > でサポートされていないセキュリティトークン要素が使用されていま
す。< 発生場所 > には次の内容が出力されます。
•
Server:サーバ側で受信したメッセージでエラーが発生した場合
•
Client:クライアント側で受信したメッセージでエラーが発生した場合
要因
次のうちのどれかがエラーの要因と考えられます。
•
BinarySecurityToken 要素の EncodingType 属性が指定されているにもかかわら
ず,属性値が「http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-soap-message-security-1.0#Base64Binary」ではない。
•
BinarySecurityToken 要素の ValueType 属性が指定されているにもかかわらず,
属性値が「http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-x509-token-profile-1.0#X509v3」ではない。
•
KeyIdentifier 要素に EncodingType 属性が指定されているにもかかわらず,属性
値が「http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-soap-message-security-1.0#Base64Binary」ではない。
•
KeyIdentifier 要素に ValueType 属性が指定されているにもかかわらず,属性値が
「http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-x509-token-profile-1.0#X509SubjectKeyIdentifier」ではない。
•
WS-Security の Reference 要素に ValueType 属性が指定されているにもかかわら
ず,属性値が「http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-x509-token-profile-1.0#X509v3」ではない。
•
WS-Security の SecurityTokenReference 要素の子要素に,Reference 要素または
KeyIdentifier 要素以外の要素が指定されている。
•
WS-Security の Security 要素の子要素に,XML 暗号の Reference 要素が指定さ
れている。
対処
「要因」に示した内容に該当する SOAP メッセージを送信していないかどうか,メッ
セージの送信者に確認してください。
90
7.
メッセージ一覧
FaultCode:{http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-secext-1.0.xsd}UnsupportedAlgorithm
FaultString:KDCGF0002-E An unsupported signature or encryption algorithm was specified.
(location = <発生場所> )
FaultActor:なし
FaultDetails:なし
意味
< 発生場所 > でサポートされていない署名アルゴリズム,または暗号アルゴリズム
が使用されています。< 発生場所 > には次の内容が出力されます。
•
Server:サーバ側で受信したメッセージでエラーが発生した場合
•
Client:クライアント側で受信したメッセージでエラーが発生した場合
要因
次のうちのどれかがエラーの要因と考えられます。
•
Canonicalization 要素の Algorithm 属性にサポートされていないアルゴリズムが
指定されている。
•
SignatureMethod 要素の Algorithm 属性にサポートされていないアルゴリズムが
指定されている。
•
Transform 要素の Algorithm 属性にサポートされていないアルゴリズムが指定さ
れている。
•
Canonicalization 要素の Algorithm 属性に Web サービスセキュリティポリシー定
義ファイルで設定されていないアルゴリズムが指定されている。
•
SignatureMethod 要素の Algorithm 属性に Web サービスセキュリティポリシー
定義ファイルに設定されていないアルゴリズムが指定されている。
•
Transform 要素の Algorithm 属性に Web サービスセキュリティポリシー定義ファ
イルで設定されていないアルゴリズムが指定されている。
•
XML 暗号の EncryptionMethod 要素の Algorithm 属性にサポートされていない
アルゴリズムが指定されている。
•
XML 暗号の EncryptionMethod 要素の Algorithm 属性に Web サービスセキュリ
ティポリシー定義ファイルで設定されていないアルゴリズムが指定されている。
対処
「要因」に示した内容に該当する SOAP メッセージを送信していないかどうか,メッ
セージの送信者に確認してください。または,Web サービスセキュリティポリシー
定義ファイルの設定を見直してください。
Web サービスセキュリティ機能がサポートしているアルゴリズムについては,「付録
A 標準仕様への対応」を参照してください。Web サービスセキュリティポリシー
91
7.
メッセージ一覧
FaultCode:{http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-secext-1.0.xsd}InvalidSecurity
FaultString:KDCGF0003-E An error occurred during security header processing. (location = <発
生場所> )
FaultActor:なし
FaultDetails:なし
意味
< 発生場所 > のセキュリティヘッダ内でエラーが発生しました。< 発生場所 > には
次の内容が出力されます。
•
Server:サーバ側で受信したメッセージでエラーが発生した場合
•
Client:クライアント側で受信したメッセージでエラーが発生した場合
要因
次のうちのどれかがエラーの要因と考えられます。
•
Web サービスセキュリティポリシー定義ファイルの Timestamp 要素で Created
要素を要求する指定がされているにもかかわらず,受信した SOAP メッセージに
Created 要素がない。
•
Web サービスセキュリティポリシー定義ファイルの Timestamp 要素で Expires
要素を要求する指定がされているにもかかわらず,受信した SOAP メッセージに
Expires 要素がない。
• 受信した SOAP メッセージの Created 要素および Expires 要素の ValueType 属
性が xsd:dateTime と異なる。
• 値が必要な要素(Created 要素,Expires 要素,BinarySecurityToken 要素,
KeyIdentifier 要素)に値がない。
•
Web サービスセキュリティポリシー定義ファイルで BinarySecurityToken 要素を
要求する指定がされているにもかかわらず,受信した SOAP メッセージに
BinarySecurityToken 要素がない。
•
Reference 要素に URI 属性が付与されていない。
•
Reference 要素の URI 属性に値が設定されていない。
•
Web サービスセキュリティポリシー定義ファイルで SOAP ボディに署名を要求す
る指定がされているにもかかわらず,受信した SOAP メッセージの SOAP ボディ
に署名がない。
• 暗号化された SOAP メッセージに KeyInfo 要素がない。
• 暗号化された SOAP メッセージの KeyName 要素で示された鍵が Web サービスセ
キュリティ機能定義ファイルに記述されていない。
•
Web サービスセキュリティポリシー定義ファイルで SOAP ボディの要素の暗号化
を要求する指定がされているにもかかわらず,受信した SOAP メッセージの
SOAP ボディの要素が暗号化されていない。
92
7.
メッセージ一覧
• 受信した SOAP メッセージに同じ属性値を持つ Id 属性がある。
•
Web サービスセキュリティポリシー定義ファイルの ReceiverPortConfig 要素の
Name 属性と My_role 属性に対応した Web サービスセキュリティ機能定義ファイ
ルの設定がありません。
対処
「要因」に示した内容に該当する SOAP メッセージを送信していないかどうか,メッ
セージの送信者に確認してください。または,Web サービスセキュリティポリシー
定義ファイルの設定を見直してください。
Web サービスセキュリティ機能がサポートしているアルゴリズムについては,「付録
A 標準仕様への対応」を参照してください。Web サービスセキュリティポリシー
FaultCode:{http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-secext-1.0.xsd}InvalidSecurityToken
FaultString:KDCGF0004-E An invalid security token was specified (location = <発生場所> )
FaultActor:なし
FaultDetails:なし
意味
< 発生場所 > で不正なセキュリティトークンが使用されています。< 発生場所 > に
は次の内容が出力されます。
•
Server:サーバ側で受信したメッセージでエラーが発生した場合
•
Client:クライアント側で受信したメッセージでエラーが発生した場合
要因
次のうちのどちらかがエラーの要因と考えられます。
•
BinarySecurityToken 要素の ValueType 属性が付与されていない。
• 受信した SOAP メッセージの BinarySecurityToken 要素を,Web サービスセキュ
リティポリシー定義ファイルに記述された証明書ファイルで検証した場合に,常
に検証が失敗する。
対処
「要因」に示した内容に該当する SOAP メッセージを送信していないかどうか,メッ
セージの送信者に確認してください。または,Web サービスセキュリティポリシー
定義ファイルの設定を見直してください。
Web サービスセキュリティ機能がサポートしているアルゴリズムについては,「付録
A 標準仕様への対応」を参照してください。Web サービスセキュリティポリシー
93
7.
メッセージ一覧
FaultCode:{http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-secext-1.0.xsd}FailedAuthentication
FaultString:KDCGF0005-E A security token could not be authenticated or authorized. (location =
<発生場所> )
FaultActor:なし
FaultDetails:なし
意味
< 発生場所 > のセキュリティトークンは,認証または認可できません。< 発生場所 >
には次の内容が出力されます。
•
Server:サーバ側で受信したメッセージでエラーが発生した場合
•
Client:クライアント側で受信したメッセージでエラーが発生した場合
要因
対処
FaultCode:{http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-secext-1.0.xsd}FailedCheck
FaultString:KDCGF0006-E A signature or decryption was invalid. (location = <発生場所> )
FaultActor:なし
FaultDetails:なし
意味
< 発生場所 > の署名または復号化が不正です。< 発生場所 > には次の内容が出力さ
れます。
•
Server:サーバ側で受信したメッセージでエラーが発生した場合
•
Client:クライアント側で受信したメッセージでエラーが発生した場合
要因
次のうちのどちらかがエラーの要因と考えられます。
• 受信した SOAP メッセージに不正な署名が付与されている。
• 受信した SOAP メッセージが不正に暗号化されている。
対処
「要因」に示した内容に該当する SOAP メッセージを送信していないかどうか,メッ
セージの送信者に確認してください。
94
7.
メッセージ一覧
FaultCode:{http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-secext-1.0.xsd}SecurityTokenUnavailable
FaultString:KDCGF0007-E A referenced security token cannot be found. (location = <発生場所
> )
FaultActor:なし
FaultDetails:なし
意味
< 発生場所 > で受信した SOAP メッセージの中で,参照先で示されるセキュリティ
トークン要素が見つかりませんでした。< 発生場所 > には次の内容が出力されます。
•
Server:サーバ側で受信したメッセージでエラーが発生した場合
•
Client:クライアント側で受信したメッセージでエラーが発生した場合
要因
•
WS-Security の Reference 要素で指定されている BinarySecurityToken 要素が見
つかりません。
•
WS-Security の KeyIdentifier 要素で指定されているサブジェクトキー識別子を持
つ X.509 証明書が Web サービスセキュリティ機能定義ファイルの
VerificationKeyStore 要素で指定しているキーストアファイルの中から見つかり
ません。
対処
「要因」に示した内容に該当する SOAP メッセージを送信していないかどうか,メッ
セージの送信者に確認してください。
FaultCode:{http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-secext-1.0.xsd}MessageExpired
FaultString:KDCGF0008-E An old message or message with an expired date was received.
(location = <発生場所> )
FaultActor:なし
FaultDetails:なし
意味
<発生場所>で受信した SOAP メッセージが古いか,メッセージの有効期限が切れ
ています。< 発生場所 > には次の内容が出力されます。
•
Server:サーバ側で受信したメッセージでエラーが発生した場合
•
Client:クライアント側で受信したメッセージでエラーが発生した場合
95
7.
メッセージ一覧
要因
次のうちのどちらかがエラーの要因と考えられます。
• 受信した SOAP メッセージの Created 要素の値が古い。
• 受信した SOAP メッセージの Expires 要素で指定されている有効期限が過ぎてい
る。
対処
「要因」に示した内容に該当する SOAP メッセージを送信していないかどうか,メッ
セージの送信者に確認してください。または,Web サービスセキュリティポリシー
定義ファイルの設定を見直してください。
Web サービスセキュリティポリシー定義ファイルの設定については,「付録 C.2
Web サービスセキュリティポリシー定義ファイルの項目」を参照してください。
FaultCode : {http://schemas.xmlsoap.org/soap/envelope/}MustUnderstand
FaultString : KDCGF0009-E Can not understand "MustUnderstand" header.(Header name = < ヘッ
ダ名 >, reason= < 理由 >)
FaultActor : なし
FaultDetail : なし
意味 mustUnderstand 属性が付加されたヘッダ要素を解釈できません。
<ヘッダ名>および<理由>には,それぞれ次の内容が出力されます。
• <ヘッダ名> mustUnderstand 属性が付加されたヘッダの名称が出力されます。
• <理由>
解釈できない理由が出力されます。
要因
次の要因が考えられます。
• アプリケーションが Cosminexus Web Services - Security - バージョン 0760 を実
装している場合
次の Security 要素を受信しました。
・mustUnderstand 属性が「true」である。
・名前空間の値が Web Services Security: SOAP Message Security Working Draft
17 である。
• アプリケーションが Cosminexus Web Services - Security - 旧バージョンを実装し
ている場合
次の Security 要素を受信しました。
・mustUnderstand 属性が「true」である。
・名前空間の値が Web Services Security: SOAP Message Security1.1 である。
96
7.
メッセージ一覧
対処
• アプリケーションが Cosminexus Web Services - Security - バージョン 0760 を実
装している場合
受信する Security 要素の名前空間が Web Services Security: SOAP Message
Security1.1 の名前空間になるように,メッセージ送信者に変更を依頼してくださ
い。
• アプリケーションが Cosminexus Web Services - Security - 旧バージョンを実装し
ている場合
受信する Security 要素の名前空間が Web Services Security: SOAP Message
Security Working Draft17 の名前空間になるように,メッセージ送信者に変更を
依頼してください。
FaultCode:{http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-secext-1.0.xsd} InvalidSecurity
FaultString : KDCGF0010-E The namespace < 名前空間 > of the Security header is illegal.
FaultActor : なし
FaultDetail : なし
意味
セキュリティヘッダの名前空間が不正です。<名前空間>には,次の内容が出力さ
れます。
• <名前空間>
不正な名前空間の名称が出力されます。
要因
次の要因が考えられます。
• アプリケーションが Cosminexus Web Services - Security - バージョン 0760 を実
装している場合
次の Security 要素を受信しました。
・mustUnderstand 属性が「false」である。
・名前空間の値が Web Services Security: SOAP Message Security Working Draft
17 である。
• アプリケーションが Cosminexus Web Services - Security - 旧バージョンを実装し
ている場合
次の Security 要素を受信しました。
・mustUnderstand 属性が「false」である。
・名前空間の値が Web Services Security: SOAP Message Security1.1 である。
対処
• アプリケーションが Cosminexus Web Services - Security - バージョン 0760 を実
装している場合
97
7.
メッセージ一覧
受信する Security 要素の名前空間が Web Services Security: SOAP Message
Security1.1 の名前空間になるように,メッセージ送信者に変更を依頼してくださ
い。
• アプリケーションが Cosminexus Web Services - Security - 旧バージョンを実装し
ている場合
受信する Security 要素の名前空間が Web Services Security: SOAP Message
Security Working Draft17 の名前空間になるように,メッセージ送信者に変更を
依頼してください。
7.2.4 KDCGJ で始まるメッセージ
KDCGJ で始まるメッセージの意味,要因,および対処について説明します。
An error occurred during JAAS authentication. (details = <詳細> )
意味
JAAS 認証でエラーが発生しました。
要因
次のうちのどれかがエラーの要因と考えられます。
•
Web サービスセキュリティ機能定義ファイルの Username 要素および Password
要素の指定内容が間違っている。
•
Web サービスセキュリティ機能定義ファイルの Password 要素の Type 属性の指
定値が間違っている。
•
LoginModule.login() メソッドの中の実装が間違っている。
•
LoginModule.login() メソッドで LoginException をスローしている。
•
LoginModule.login() メソッドの戻り値を「false」にしている。 ※
•
JAAS ログインモジュールに必要なログイン構成ファイルがない。
•
Cosminexus Component Container のユーザー定義ファイル
(usrconf.properties)で指定した場所に JAAS ログインモジュールに必要なログ
イン構成ファイルがない。
•
Cosminexus Component Container のユーザー定義ファイル
(usrconf.properties)に JAAS ログインモジュールに必要なログイン構成ファイ
ルが指定されていない。
• ログイン構成ファイルの構文が間違っている。
• ログイン構成ファイルのインデックス値と Web サービスセキュリティ機能定義
ファイルで指定したインデックス値が異なる。
•
WSSUsernameToken クラスのコンストラクタや setUsername メソッドなどで指
定したユーザー名が間違っている。
•
WSSUsernameToken クラスの setPassword メソッドで指定したパスワード値が
間違っている。
98
7.
メッセージ一覧
•
WSSUsernameToken クラスの setPasswordType メソッドで指定したパスワード
形式が間違っている。
注※
LoginModule.login() メソッドで LoginException をスローしている場合,
LoginException 生成時に詳細メッセージを指定いるときは,< 詳細 > に詳細な
エラー要因が出力されます。
対処
•
Web サービスセキュリティ機能定義ファイルを見直して,「要因」に示した間違い
がないかどうかを確認してください。
•
JAAS ログインモジュールの処理が正しいかどうか,JAAS ログインモジュールの
設計を見直してください。
•
JAAS ログインモジュールに必要なログイン構成ファイルの設定や格納場所など
を見直してください。
•
WSSUsernameToken クラスのメソッドの使用方法が正しいかどうか,SOAP ア
プリケーションの設計を見直してください。
Web サービスセキュリティ機能定義ファイルの要素や属性については,「付録 C.1
Web サービスセキュリティ機能定義ファイルの項目」を参照してください。
WSSUsernameToken クラスのメソッドの使用方法については,「5.4
WSSUsernameToken クラス(UsernameToken 要素の操作)」を参照してくださ
なお,SOAP アプリケーションの設計の詳細については,マニュアル「Cosminexus
SOAP アプリケーション開発ガイド」を参照してください。
7.2.5 KDCGK で始まるメッセージ
KDCGK で始まるメッセージの意味,要因,および対処について説明します。
Generation of a secret key has finished. (file = <ファイル名> )
意味
共通鍵の生成が完了しました。
< ファイル名 > には,生成した共通鍵のファイル名が出力されます。
An argument is not specified. (argument = <引数> )
意味
引数が指定されていません。
99
7.
メッセージ一覧
< 引数 > には,指定する必要がある引数の名称が出力されます。
要因
共通鍵生成コマンドで指定する必要がある引数が指定されていません。
対処
引数を指定してから,再度,共通鍵生成コマンドを実行してください。
An invalid argument is specified. (argument = <引数> )
意味
不正な引数が指定されています。
< 引数 > には,不正と判定された引数の名称が出力されます。
要因
共通鍵生成コマンドで使用できない,不正な引数が指定されています。
対処
不正と判定された引数を削除してから,再度,共通鍵生成コマンドを実行してくだ
さい。
An invalid argument value is specified. (argument = <引数> , value = <引数値> )
意味
引数に不正な値が指定されています。
< 引数 > と < 引数値 > には,それぞれ次の内容が出力されます。
< 引数 >
引数の名称が出力されます。
< 引数値 >
引数に指定されている値が出力されます。
要因
共通鍵生成コマンドの引数に不正な値が指定されています。
対処
共通鍵生成コマンドの引数,および引数に指定されている値が正しいかどうかを確
認してから,再度,共通鍵生成コマンドを実行してください。
100
7.
メッセージ一覧
A specified file already exists. (file = <ファイル名> )
意味
指定した共通鍵のファイルはすでに存在します。
要因
共通鍵生成コマンドの -o オプションで指定したファイル名のファイルがすでに存在
しています。
対処
すでに存在しているファイルとは異なるファイル名を指定して,再度,共通鍵生成
コマンドを実行してください。
An error occurred during output of the key to a file. (details = <詳細> )
意味
ファイルを出力するときにエラーが発生しました。
< 詳細 > には,エラー内容の詳細が出力されます。
要因
共通鍵生成コマンドで生成した共通鍵をファイルに出力するときにエラーが発生し
ました。
対処
< 詳細 > に表示されるエラーの要因を解決してから,再度,共通鍵生成コマンドを
実行してください。< 詳細 > に表示されたエラーの要因がわからない場合は,シス
テム管理者に連絡してください。
An error occurred during key creation. (details = <詳細> )
意味
鍵を生成するときにエラーが発生しました。
< 詳細 > には,エラー内容の詳細が出力されます。
要因
共通鍵生成コマンドで共通鍵を生成するときにエラーが発生しました。
対処
< 詳細 > に表示されるエラーの要因を解決してから,再度,共通鍵生成コマンドを
実行してください。< 詳細 > に表示されたエラーの要因がわからない場合は,シス
テム管理者に連絡してください。
101
7.
メッセージ一覧
An unexpected error occurred during processing. (details = <詳細> )
意味
処理中に予期しないエラーが発生しました。
< 詳細 > には,エラー内容の詳細が出力されます。
要因
共通鍵生成コマンドを実行中に原因不明のエラーが発生しました。
対処
システム管理者に連絡してください。
7.2.6 KDCGO で始まるメッセージ
KDCGO で始まるメッセージの意味,要因,および対処について説明します。
Validation has finished.
意味
定義ファイルの構文チェックが正常に終了しました。
Validation has failed.
意味
定義ファイルの構文に誤りがあります。
要因
Web サービスセキュリティ機能定義ファイルまたは Web サービスセキュリティポリ
シー定義ファイルの内容に誤りがあります。
対処
このメッセージの直前に出力されるメッセージの内容に従って,Web サービスセ
キュリティ機能定義ファイルまたは Web サービスセキュリティポリシー定義ファイ
ルを修正してから,再度,定義ファイル構文チェックコマンドを実行してください。
An argument is not specified. (argument = <引数> )
意味
引数が指定されていません。
< 引数 > には,指定する必要がある引数の名称が出力されます。
要因
定義ファイル構文チェックコマンドで指定する必要がある引数が指定されていませ
102
7.
メッセージ一覧
ん。
対処
引数を指定してから,再度,定義ファイル構文チェックコマンドを実行してくださ
い。
An invalid argument was specified. (argument = <引数> )
意味
不正な引数が指定されています。
< 引数 > には,不正と判定された引数の名称が出力されます。
要因
定義ファイル構文チェックコマンドで使用できない,不正な引数が指定されていま
す。
対処
不正と判定された引数を削除してから,再度,定義ファイル構文チェックコマンド
を実行してください。
An invalid argument value was specified. (argument = <引数> , value = <引数値> )
意味
引数に不正な値が指定されています。
< 引数 > と < 引数値 > には,それぞれ次の内容が出力されます。
< 引数 >
引数の名称が出力されます。
< 引数値 >
引数に指定されている値が出力されます。
要因
定義ファイル構文チェックコマンドの引数に不正な値が指定されています。
対処
定義ファイル構文チェックコマンドの引数,および引数に指定されている値が正し
いかどうかを確認してから,再度,定義ファイル構文チェックコマンドを実行して
ください。
103
7.
メッセージ一覧
An unexpected error occurred during processing. (details = <詳細> )
意味
処理中に予期しないエラーが発生しました。
< 詳細 > には,エラー内容の詳細が出力されます。
要因
定義ファイル構文チェックコマンドを実行中に原因不明のエラーが発生しました。
対処
システム管理者に連絡してください。
7.2.7 KDCGP で始まるメッセージ
KDCGP で始まるメッセージの意味,要因,および対処について説明します。
A definition is duplicated. (Name = < Name 属性値> , My_role = < My_role 属性値> )
意味
Name 属性および My_role 属性の値が重複して定義されています。
要因
Web サービスセキュリティポリシー定義ファイル内で,Name 属性および My_role
属性に同じ値を指定した ReceiverPortConfig 要素が複数定義されています。
対処
複数ある ReceiverPortConfig 要素の Name 属性値および My_role 属性値が重複し
ないように,Web サービスセキュリティポリシー定義ファイルを修正してください。
An error occurred during reading of an X509 certificate. (details = <詳細> )
意味
X.509 証明書を読み込むときにエラーが発生しました。
< 詳細 > には,エラー内容の詳細が出力されます。
要因
Web サービスセキュリティポリシー定義ファイルの AuthorityCertificateFile 要素
の Name 属性値に指定した X.509 証明書ファイルの読み込むときに,エラーが発生
しました。次のうちのどれかがエラーの要因と考えられます。
•
AuthorityCertificateFile 要素の Name 属性で指定した X.509 証明書ファイルが
見つからない。
•
AuthorityCertificateFile 要素の Name 属性で指定した X.509 証明書ファイルに
対するアクセス権限がない。
104
7.
メッセージ一覧
•
AuthorityCertificateFile 要素の Name 属性で指定した X.509 証明書ファイルの
形式が間違っている。
対処
「要因」に示した問題点がないかどうか,Web サービスセキュリティポリシー定義
ファイルの設定を見直してください。
Web サービスセキュリティポリシー定義ファイルの設定については,「付録 C.2
Web サービスセキュリティポリシー定義ファイルの項目」を参照してください。
The root tag name is invalid. (tag name = <要素名> )
意味
不正なルート要素名が指定されています。
< 要素名 > には,ルート要素の名称が出力されます。
要因
Web サービスセキュリティポリシー定義ファイルに不正なルート要素名が指定され
ています。
対処
Web サービスセキュリティポリシー定義ファイルのルート要素の名称を
「PolicyConfig」に修正してください。
A tag name is invalid. (parent tag name = <親要素名> , tag name = <要素名> )
意味
不正な名称の要素が指定されています。
< 親要素名 > と < 要素名 > には,それぞれ次の内容が出力されます。
< 親要素名 >
不正な名称が指定されている要素の親要素の名称が出力されます。
< 要素名 >
不正な名称が指定されている要素の名称が出力されます。
要因
Web サービスセキュリティポリシー定義ファイルの要素のうち,名称が不正な要素
があります。
対処
Web サービスセキュリティポリシー定義ファイルを修正してください。
Web サービスセキュリティポリシー定義ファイルで指定できる要素の名称について
てください。
105
7.
メッセージ一覧
An attribute value is invalid. (tag name = <要素名> , attribute name = < 属性名 >, attribute value
= <属性値> )
意味
不正な属性が指定されています。
< 要素名 >,< 属性名 >,および < 属性値 > には,それぞれ次の内容が出力されま
す。
< 要素名 >
不正な属性が指定されている要素の名称が出力されます。
< 属性名 >
不正な値が指定されている属性の名称が出力されます。
< 属性値 >
< 属性名 > で示された属性に指定されている値が出力されます。
要因
Web サービスセキュリティポリシー定義ファイルの要素のうち,属性値の値が不正
な要素があります。
対処
Web サービスセキュリティポリシー定義ファイルを修正してください。
Web サービスセキュリティポリシー定義ファイルの属性に指定できる値については,
「付録 C.2 Web サービスセキュリティポリシー定義ファイルの項目」を参照してく
ださい。
<要素名> is undefined.
意味
定義されていない要素があります。
< 要素名 > には,定義されていない要素の名称が出力されます。
要因
Web サービスセキュリティポリシー定義ファイルの必須要素のうち,定義されてい
ない要素があります。
対処
Web サービスセキュリティポリシー定義ファイルを修正してください。
Web サービスセキュリティポリシー定義ファイルの属性に指定できる値については,
「付録 C.2 Web サービスセキュリティポリシー定義ファイルの項目」を参照してく
ださい。
An unexpected exception occurred. (details = <詳細> )
106
7.
メッセージ一覧
意味
予期しない例外が発生しました。
< 詳細 > には,例外の内容の詳細が出力されます。
要因
Web サービスセキュリティポリシー定義ファイルを解析するときにエラーが発生し
ました。
対処
< 詳細 > に表示される例外の要因を解決してから,再度,処理を実行してください。
< 詳細 > に表示された例外の要因がわからない場合は,システム管理者に連絡して
ください。
7.2.8 KDCGS で始まるメッセージ
KDCGS で始まるメッセージの意味,要因,および対処について説明します。
.
For <要素名> , specify either <子要素名 1 または属性名 1 > or <子要素名 2 または属性名 2 >
意味
< 要素名 > には,<子要素名 1 または属性名 1 >または<子要素名 2 または属性名
2 >を指定してください。
< 要素名 >,< 子要素名 >,および < 属性名 > には,それぞれ次の内容が出力されま
す。
< 要素名 >
どちらか一方だけを指定する必要がある子要素または属性が,両方指定されて
いる要素の名称が出力されます。
< 子要素名 >
子要素の名称が出力されます。
< 属性名 >
属性の名称が出力されます。
要因
Web サービスセキュリティ機能定義ファイルの要素のうち,子要素または属性の指
定が間違っているものがあります。次のうちのどちらかがエラーの要因と考えられ
ます。
•
< 子要素名 1> または < 子要素名 2> のどちらか一方だけを指定する必要があるに
もかかわらず,両方の子要素が指定されている。
•
< 属性名 1> または < 属性名 2> のどちらか一方だけを指定する必要があるにもか
かわらず,両方の属性が指定されている。
107
7.
メッセージ一覧
対処
Web サービスセキュリティ機能定義ファイルを修正して,< 要素名 > の < 子要素名
1> または < 子要素 2> のどちらか一方を指定するか,< 属性名 1> または < 属性名
2> のどちらか一方を指定するようにしてください。
Web サービスセキュリティ機能定義ファイルの要素や属性の指定回数については,
「付録 C.1 Web サービスセキュリティ機能定義ファイルの項目」を参照してくださ
い。
An attribute value reference is invalid. (tag name = <要素名> , attribute name = <属性名> )
意味
属性で指定された参照先が不正です。
< 要素名 > および < 属性名 > には,それぞれ次の内容が出力されます。
< 要素名 >
参照先が不正な属性を持つ要素の名称が出力されます。
< 属性名 >
参照先が不正な属性の名称が出力されます。
要因
Web サービスセキュリティ機能定義ファイルの属性のうち,参照先が間違っている
ものがあります。次のうちのどちらかがエラーの要因と考えられます。
•
IdRef 属性の値が対応する Id 属性の値と一致していない。
•
IdRef 属性に異なる要素の Id 属性の値が指定されている。
対処
Web サービスセキュリティ機能定義ファイルを修正して,< 要素名 > の IdRef 属性
に正しい値を指定してください。
Web サービスセキュリティ機能定義ファイルの IdRef 属性に指定する値については,
「付録 C.1 Web サービスセキュリティ機能定義ファイルの項目」を参照してくださ
い。
A URI or TargetId attribute value must start with #. (tag name = <要素名> , attribute name = <属
性名> )
意味
URI 属性または TargetId 属性の先頭は「#」でなければなりません。
< 要素名 > および < 属性名 > には,それぞれ次の内容が出力されます。
< 要素名 >
指定されている値の先頭が「#」ではない属性を持つ要素の名称が出力されま
す。
108
7.
メッセージ一覧
< 属性名 >
指定されている値の先頭が「#」ではない属性の名称が出力されます。
要因
Web サービスセキュリティ機能定義ファイルの属性のうち,指定されている値の先
頭が「#」ではない属性があります。
対処
Web サービスセキュリティ機能定義ファイルを修正して,< 属性名 > の属性に指定
する値の先頭に「#」を付けてください。
Web サービスセキュリティ機能定義ファイルの属性に指定する値については,「付録
C.1 Web サービスセキュリティ機能定義ファイルの項目」を参照してください。
The specified secret key file does not match the KeyType attribute. (secret key file = <共通鍵ファ
イル名> , KeyType = <アルゴリズム識別子> )
意味
共通鍵のファイルと keytype 属性での指定が一致しません。
< 共通鍵ファイル名 > および < アルゴリズム識別子 > には,それぞれ次の内容が出
力されます。
< 共通鍵ファイル名 >
共通鍵のファイル名が出力されます。
< アルゴリズム識別子 > keytype 属性で指定されたアルゴリズム識別子が出力されます。
要因
Web サービスセキュリティ機能定義ファイルの SecretKeyFile 要素の keytype 属性
に指定したアルゴリズム識別子と,共通鍵ファイルの内容が異なっています。
対処
Web サービスセキュリティ機能定義ファイルを修正して,SecretKeyFile 要素の keytype 属性と共通鍵ファイルの内容が同じになるようにしてください。keytype 属
性には,共通鍵生成コマンドの引数で指定したアルゴリズム識別子と同じものを指
定する必要があります。
Web サービスセキュリティ機能定義ファイルの SecretKeyFile 要素の keytype 属性
An error occurred during creation of a secret key. (details = <詳細> )
109
7.
メッセージ一覧
意味
共通鍵を生成するときにエラーが発生しました。
< 詳細 > には,エラー内容の詳細が出力されます。
要因
Web サービスセキュリティ機能定義ファイルの SecretKeyFile 要素に指定した共通
鍵ファイルから共通鍵を生成するときにエラーが発生しました。次のうちのどちら
かがエラーの要因と考えられます。
•
SecretKeyFile 要素の指定が間違っている。
• 実行環境の設定が間違っている。
対処
< 詳細 > の内容に従って,Web サービスセキュリティ機能定義ファイルの設定また
は実行環境を見直してください。
The EmbedId attribute value is duplicated.
意味
EmbedId 属性の値が重複しています。
要因
Web サービスセキュリティ機能定義ファイルの EmbedId 属性に指定した値が重複
しています。
対処
Web サービスセキュリティ機能定義ファイルを修正して,EmbedId 属性の値が重複
しないようにしてください。
Web サービスセキュリティ機能定義ファイルの EmbedId 属性に指定する値につい
ください。
< 要素名 > does not exist.
意味
要素が存在しません。
< 要素名 > には,見つからなかった要素の名称が出力されます。
要因
SOAP サービスの URL と Web サービスセキュリティ機能定義ファイルの
ReceiverPortConfig 要素の Name 属性に指定した値が一致していません。
対処
Web サービスセキュリティ機能定義ファイルの ReceiverPortConfig 要素の Name
属性に指定した値が SOAP サービスの URL と一致しているかどうか確認してくだ
さい。
110
7.
メッセージ一覧
Web サービスセキュリティ機能定義ファイルの ReceiverPortConfig 要素の Name
Content for <要素名> is required.
意味
< 要素名 > の内容を指定する必要があります。
< 要素名 > には,内容が指定されていない要素の名称が出力されます。
要因
Web サービスセキュリティ機能定義ファイルのうち,要素の内容を指定する必要が
あるにもかかわらず,内容が指定されていない要素があります。
対処
Web サービスセキュリティ機能定義ファイルを修正して,< 要素名 > の内容を指定
してください。
Web サービスセキュリティ機能定義ファイルで指定する要素については,「付録 C.1
Web サービスセキュリティ機能定義ファイルの項目」を参照してください。
A definition is duplicated. (Name = < Name 属性値> )
意味
Name 属性の指定が重複しています。
<Name 属性値 > には,Web サービスセキュリティ機能定義ファイルの
SenderPortConfig 要素の Name 属性に指定されている内容が出力されます。
要因
Web サービスセキュリティ機能定義ファイルの SenderPortConfig 要素のうち,
Name 属性に同じ値を指定したものが複数あります。
対処
Web サービスセキュリティ機能定義ファイルを修正して,SenderPortConfig 要素の
Name 属性の値が重複しないようにください。
Web サービスセキュリティ機能定義ファイルで指定する要素および属性については,
「付録 C.1 Web サービスセキュリティ機能定義ファイルの項目」を参照してくださ
い。
A definition is duplicated. (Name = < Name 属性値> , My_role = < My_role 属性値> )
意味
Name 属性と My_role 属性の値が重複しています。< Name 属性値>および<
111
7.
メッセージ一覧
My_role 属性値>には,Web サービスセキュリティ機能定義ファイルの
ReceiverPortConfig 要素の各属性に指定されている内容が出力されます。
要因
Web サービスセキュリティ機能定義ファイルの ReceiverPortConfig 要素のうち,
Name 属性と My_role 属性に同じ値を指定したものが複数あります。
対処
Web サービスセキュリティ機能定義ファイルを修正して,ReceiverPortConfig 要素
の Name 属性と My_role 属性の値が重複しないようにください。
Web サービスセキュリティ機能定義ファイルで指定する要素および属性については,
「付録 C.1 Web サービスセキュリティ機能定義ファイルの項目」を参照してくださ
い。
An error occurred during reading of a KeyStore. (details = <詳細> )
意味
キーストアの読み込み中にエラーが発生しました。<詳細>には,エラーの詳細な
内容が出力されます。
要因
Web サービスセキュリティ機能定義ファイルの KeyStore 要素の File 属性に指定し
たキーストアファイルの読み込みでエラーが発生しました。指定したキーストア
ファイルが存在しなかったり,ファイルに対するアクセス権がなかったり,ファイ
ルの形式が間違っているおそれがあります。
対処
<詳細>の内容に従って,Web サービスセキュリティ機能定義ファイルの KeyStore
要素の File 属性の指定を見直してください。
Web サービスセキュリティ機能定義ファイルで指定する要素および属性については,
「付録 C.1 Web サービスセキュリティ機能定義ファイルの項目」を参照してくださ
い。
A definition is duplicated. (tag name = < 要素名 >)
意味
要素が重複しています。<要素名>には,重複している要素の名称が出力されます。
要因
Web サービスセキュリティ機能定義ファイルの中で,1 回しか指定できない<要素
名>を複数回指定しています。
対処
Web サービスセキュリティ機能定義ファイルを修正して,<要素名>を 1 回だけ指
112
7.
メッセージ一覧
定するようにしてください。
Web サービスセキュリティ機能定義ファイルで指定する要素の指定回数については,
「付録 C.1 Web サービスセキュリティ機能定義ファイルの項目」を参照してくださ
い。
A tag name is invalid. (parent tag name = <親要素名> , tag name = <要素名> )
意味
不正な名称の要素があります。
< 親要素名 > および < 要素名 > には,それぞれ次の内容が出力されます。
< 親要素名 >
名称が不正な要素の親要素の名称が出力されます。
< 要素名 >
名称が不正な要素の名称が出力されます。
要因
Web サービスセキュリティ機能定義ファイルの要素のうち,名称が不正なものがあ
ります。
対処
Web サービスセキュリティ機能定義ファイルの < 要素名 > を修正してください。
Web サービスセキュリティ機能定義ファイルで指定する要素については,「付録 C.1
Web サービスセキュリティ機能定義ファイルの項目」を参照してください。
An attribute value is invalid. (tag name = <要素名> , attribute name = <属性名> , attribute value
= <属性値> )
意味
属性に指定されている値が不正です。
< 要素名 >,< 属性名 >,および < 属性値 > には,それぞれ次の内容が出力されま
す。
< 要素名 >
不正な値が指定されている属性を持つ要素の名称が出力されます。
< 属性名 >
不正な値が指定されている属性の名称が出力されます。
< 属性値 >
< 属性名 > に指定されている値が出力されます。
要因
Web サービスセキュリティ機能定義ファイルの属性のうち,指定された値が不正な
ものがあります。
113
7.
メッセージ一覧
対処
Web サービスセキュリティ機能定義ファイルの < 属性値 > に指定する値を修正して
ください。
Web サービスセキュリティ機能定義ファイルの属性に指定する値については,「付録
C.1 Web サービスセキュリティ機能定義ファイルの項目」を参照してください。
An unexpected exception occurred. (details = <詳細> )
意味
予期しない例外が発生しました。
< 詳細 > には,例外の内容の詳細が出力されます。
要因
Web サービスセキュリティ機能定義ファイルを解析するときにエラーが発生しまし
た。
対処
< 詳細 > に表示される例外の要因を解決してから,再度,処理を実行してください。
< 詳細 > に表示された例外の要因がわからない場合は,システム管理者に連絡して
ください。
7.2.9 KDCGW で始まるメッセージ
KDCGW で始まるメッセージの意味,要因,および対処について説明します。KDCGW
で始まるメッセージは,SOAPFault 形式で出力されます。SOAPFault 形式のメッセー
ジには,次に示す四つの項目があります。
FaultCode
Fault コードが出力されます。Fault コードは,接頭辞とローカル部で構成されま www.hitachi.co.jp/soft/xml/cosminexus/ws/security/0760/faultcode}」が出力されま
す。ローカル部には,エラーの要因を示す文字列が出力されます。
Fault コードの値は,SOAP 通信基盤の API を使用して取得できます。SOAP 通信
基盤が提供する API の仕様については,マニュアル「Cosminexus SOAP アプリ
ケーション開発ガイド」を参照してください。
FaultString
メッセージ ID およびメッセージの本文が出力されます。メッセージ ID の見方につ
FaultActor
Fault の生成者が出力されます。
114
7.
メッセージ一覧
FaultDetails
Fault の詳細が出力されます。
FaultCode:{http://www.hitachi.co.jp/soft/xml/cosminexus/ws/security/0760/faultcode}
<Server.ConfigError または Client.ConfigError>
FaultString:KDCGW0001-E An error occurred during configuration file initialization. (file = <ファ
イル名> , details = <詳細> )
FaultActor:なし
FaultDetails:なし
意味
Web サービスセキュリティ機能定義ファイルまたは Web サービスセキュリティポリ
シー定義ファイルを初期化するときにエラーが発生しました。
<Server.ConfigError または Client.ConfigError>,< ファイル名 >,および < 詳細
> には,それぞれ次の内容が出力されます。
<Server.ConfigError または Client.ConfigError>
エラーがサーバ側で発生したのか,クライアント側で発生したのかを示す文字
列が出力されます。サーバ側でエラーが発生している場合は
「Server.ConfigError」が,クライアント側でエラーが発生している場合は
「Client.ConfigError」が出力されます。
< ファイル名 >
Web サービスセキュリティ機能定義ファイルまたは Web サービスセキュリティ
ポリシー定義ファイルのファイル名が出力されます。ファイル名については,
< 詳細 >
KDCGC,KDCGP,または KDCGS で始まるメッセージの本文が出力されま
KDCGP で始まるメッセージ」を参照してください。KDCGS で始まるメッ
い。
要因
Web サービスセキュリティ機能定義ファイルまたは Web サービスセキュリティポリ
シー定義ファイルが初期化できませんでした。
対処
<詳細>の内容に従って,Web サービスセキュリティ機能定義ファイルまたは Web
サービスセキュリティポリシー定義ファイルを修正し,再度,処理を実行してくだ
さい。処理を再度実行する場合は,SOAP アプリケーションも再度デプロイする必
115
7.
メッセージ一覧
要があります。
FaultCode:{http://www.hitachi.co.jp/soft/xml/cosminexus/ws/security/0760/faultcode} <
Server.SigningError または Client.SigningError >
FaultString:KDCGW0002-E An error occurred during message signature processing. (details = <
詳細> )
FaultActor:なし
FaultDetails:なし
意味
メッセージの署名を処理するときにエラーが発生しました。
< Server.SigningError または Client.SigningError >および < 詳細 > には,それぞ
れ次の内容が出力されます。
< Server.SigningError または Client.SigningError >
エラーがサーバ側で発生したのか,クライアント側で発生したのかを示す文字
列が出力されます。サーバ側でエラーが発生している場合は
「Server.SigningError」が,クライアント側でエラーが発生している場合は
「Client.SigningError」が出力されます。
< 詳細 >
エラーの詳細が出力されます。
要因
次のうちのどちらかが要因と考えられます。
•
Web サービスセキュリティ機能定義ファイルの CanonicalizationMethod 要素,
SignatureMethod 要素,または Transform 要素で指定したアルゴリズムが間違っ
ている。
•
Web サービスセキュリティ機能定義ファイルの SignatureTarget 要素で指定した
署名対象が間違っている。
対処
< 詳細 > に表示されるエラーの要因を解決してから,再度,処理を実行してくださ
い。< 詳細 > に表示されたエラーの要因がわからない場合は,システム管理者に連
絡してください。
Web サービスセキュリティ機能定義ファイルの要素で指定する内容については,「付
録 C.1 Web サービスセキュリティ機能定義ファイルの項目」を参照してください。
FaultCode:{http://www.hitachi.co.jp/soft/xml/cosminexus/ws/security/0760/faultcode} <
Server.EncryptingError または Client.EncryptingError >
FaultString:KDCGW0003-E An error occurred during message encryption. (details = <詳細> )
116
7.
メッセージ一覧
FaultActor:なし
FaultDetails:なし
意味
メッセージの暗号化を処理するときにエラーが発生しました。
< Server.EncryptingError または Client.EncryptingError >および < 詳細 > には,
それぞれ次の内容が出力されます。
< Server.EncryptingError または Client.EncryptingError >
エラーがサーバ側で発生したのか,クライアント側で発生したのかを示す文字
列が出力されます。サーバ側でエラーが発生している場合は
「Server.EncryptingError」が,クライアント側でエラーが発生している場合は
「Client.EncryptingError」が出力されます。
< 詳細 >
エラーの詳細が出力されます。
要因
次のうちのどちらかが要因と考えられます。
•
Web サービスセキュリティ機能定義ファイルの ContentsEncryption 要素または
KeyEncryption 要素の子要素である EncryptionMethod 要素で指定したアルゴリ
ズムが間違っている。
•
Web サービスセキュリティ機能定義ファイルの EncryptionTarget 要素で指定し
た暗号化対象が間違っている。
対処
< 詳細 > に表示されるエラーの要因を解決してから,再度,処理を実行してくださ
い。< 詳細 > に表示されたエラーの要因がわからない場合は,システム管理者に連
絡してください。
Web サービスセキュリティ機能定義ファイルの要素で指定する内容については,「付
録 C.1 Web サービスセキュリティ機能定義ファイルの項目」を参照してください。
FaultCode:{http://www.hitachi.co.jp/soft/xml/cosminexus/ws/security/0760/faultcode} <
Server.ConfigError または Client.ConfigError >
FaultString:KDCGW9000-E An unexpected error occurred during message transmission processing. (details = <詳細> )
FaultActor:なし
FaultDetails:なし
意味
メッセージ送信中に予期しないエラーが発生しました。
< Server.ConfigError または Client.ConfigError >および < 詳細 > には,それぞれ
次の内容が出力されます。
117
7.
メッセージ一覧
< Server.ConfigError または Client.ConfigError >
エラーがサーバ側で発生したのか,クライアント側で発生したのかを示す文字
列が出力されます。サーバ側でエラーが発生している場合は
「Server.ConfigError」が,クライアント側でエラーが発生している場合は
「Client.ConfigError」が出力されます。
< 詳細 >
エラーの詳細が出力されます。
要因
メッセージ送信中に原因不明のエラーが発生しました。
対処
<詳細>の内容に従って,エラーの要因を解決してから,再度メッセージを送信し
てください。< 詳細 > に表示されたエラーの要因がわからない場合は,システム管
理者に連絡してください。再度メッセージを送信する場合は,SOAP アプリケー
ションも再度デプロイする必要があります。
118
付録 A 標準仕様への対応
付録 B 下位バージョンからの移行手順
付録 C 定義ファイルの項目の詳細
付録 D 用語解説
付録
119
付録 A 標準仕様への対応
付録 A 標準仕様への対応
Web サービスセキュリティ機能は,次の仕様に従っています。
•
WS-Security 仕様
•
07-60 以降のバージョン
Web Services Security: SOAP Message Security 1.1
•
07-60 より前のバージョン
Web Services Security: SOAP Message Security Working Draft 17
•
XML 署名標準仕様(2002/2/12 W3C 勧告)
•
XML 暗号標準仕様(2002/12/10 W3C 勧告)
WS-Security 仕様の詳細については,OASIS のホームページを参照してください。ま
た,XML 署名および XML 暗号の標準仕様の詳細については,W3C のホームページを
参照してください。ここでは,各仕様のうち,Web サービスセキュリティ機能がサポー
トしている範囲を説明します。
注意事項
•
07-60 以降のバージョンでは,Web Services Security: SOAP Message Security
1.1 以外の仕様を実装した他社製品とは接続できない可能性があります。
•
07-60 より前のバージョンでは,Web Services Security: SOAP Message Security
Working Draft 17 以外の仕様を実装した他社製品とは接続できない可能性があり
ます。
付録 A.1 WS-Security 仕様のサポート範囲
Web サービスセキュリティ機能がサポートする WS-Security 仕様の範囲を次の表に示し
ます。
120
付録 A 標準仕様への対応
25
26
27
28
29
20
21
22
23
24
13
14
15
16
9
10
11
12
17
18
19
7
8
5
6
3
4
1
2
項
番
表 A-1 WS-Security 仕様のサポート範囲
WS-Security 仕様
大分類
SecurityToken
中分類
UsernameToken
TokenReference
BinarySecurityToken
Signature
Encryption
SAML Assertion
XrML
XCBF
EncryptedData Token
Direct Reference
KeyIdentifiers
Embedded Reference
KeyNames ds:KeyInfo
Encrypted Key
Reference
Algorithms
Signing Messages
Signing Tokens
Signature Validation
Signature
Confirmation xenc:ReferenceList xenc:EncryptedKey
Encrypted Header
Processing Rules
−
30
Security
TimeStamp
Error Handling
−
−
−
−
−
−
−
−
−
−
−
小分類
PasswordText
PasswordDigest
Nonce
Created
X.509v3
X509PKIPathv1
PKCS7
Kerberos5TGT
Kerberos5ST
−
−
−
−
−
−
−
−
−
−
−
サポートの
有無
×
○
×
○
○
○
×
×
×
×
×
×
○
○
×
○
○
○
×
×
○
×
○
○
×
○
○
△
※
○
×
推奨
レベル
推奨
推奨
任意
必須
推奨
推奨
推奨
必須
任意
必須
任意
任意
任意
任意
任意
任意
任意
推奨
推奨
推奨
任意
任意
任意
任意
推奨
推奨
任意
任意
推奨
任意
121
付録 A 標準仕様への対応
(凡例)
○:サポートあり
×:サポートなし
−:該当しない
注※
SecurityToken 要素を直接署名できますが,STR Transform を非サポートのため,
SecurityTokenReference 要素を署名できません。
5
6
3
4
1
2
付録 A.2 XML 署名標準仕様のサポート範囲
Web サービスセキュリティ機能がサポートする XML 署名標準仕様の範囲を次の表に示
します。
項番
表 A-2 XML 署名標準仕様のサポート範囲
役割 項目 推奨レベル
7
8
9
10
11
12
13
14
15
16
17
ダイジェスト値計算
符号化
署名値計算
正規化処理
変換処理
SHA1 base64(エンコード)
HMAC-SHA1
DSAwithSHA1
RSAwithSHA1
Canonical XML(コメン
ト付き)
Canonical XML(コメン
トなし)
Exclusive Canonical
XML(コメント付き)
Exclusive Canonical
XML(コメントなし)
Canonical XML(コメン
ト付き)
Canonical XML(コメン
トなし)
Exclusive Canonical
XML(コメント付き)
Exclusive Canonical
XML(コメントなし) base64(変換アルゴリズ
ム)
XSLT
XPath
XPath Filter 2.0
必須
必須
必須
必須
推奨
推奨
必須
任意
任意
※ 1
推奨
必須
任意
任意
※ 1
必須
任意
推奨
任意
サポートの
有無
○
○
×
○
○
○
○
○
○
○
○
○
○
×
×
×
×
122
付録 A 標準仕様への対応
項番
18
19
役割 項目
Enveloped Signature
STR Dereference ※ 2
推奨レベル
必須
推奨
サポートの
有無
×
×
(凡例)
○:サポートあり
×:サポートなし
注※ 1
WS-Security 仕様では,サポートを推奨しています。
注※ 2
XML 署名標準仕様で規定されている変換処理ではなく,WS-Security 仕様で規定されているも
のです。
付録 A.3 XML 暗号標準仕様のサポート範囲
Web サービスセキュリティ機能がサポートする XML 暗号標準仕様の範囲を次の表に示
します。
6
7
4
5
項番
1
2
3
8
9
10
11
12
13
表 A-3 XML 暗号標準仕様のサポート範囲
項目
Triple DES
AES-128
AES-192
AES-256
RSA-v1.5
RSA-OAEP
Diffie-Hellman Key Values
Diffie-Hellman Key Agreement
TRIPLEDES 鍵ラッピング
AES-128 鍵ラッピング(128bit 鍵)
AES-192 鍵ラッピング
AES-256 鍵ラッピング(256bit 鍵)
XML Decryption Transformation
推奨レベル
必須
必須
任意
任意
必須
必須
必須
任意
必須
必須
任意
必須
推奨
※
サポートの有無
×
×
×
×
○
○
○
×
×
○
×
×
×
(凡例)
○:サポートあり
×:サポートなし
123
付録 A 標準仕様への対応
注※
WS-Security 仕様で規定されている推奨レベルです。
124
付録 B 下位バージョンからの移行手順
付録 B 下位バージョンからの移行手順
旧バージョンからバージョン 07-60 以降に移行する手順について説明します。旧バー
ジョンで作成したユーザプログラムと 07-60 以降で作成したユーザプログラムは,相互
に接続できません。接続した場合は,例外が発生します。なお,旧バージョンで作成し
たユーザプログラムは,再コンパイルしないで,07-60 以降で実行できます。
旧バージョンから 07-60 に移行するには,通常の実装手順に加えて,定義ファイルを編
集する必要があります。
Web サービスセキュリティ機能をサーバ側で移行する手順を次の図に示します。
図 B-1 サーバ側の移行手順
ここでは,定義ファイルの編集方法について説明します。定義ファイルの編集以外の手
(a) 定義ファイルを編集する
旧バージョンから 07-60 に移行するには,次の 2 種類の定義ファイルを編集します。
• 機能定義ファイル(security-config.xml)
• ポリシー定義ファイル(policy-config.xml)
定義ファイルの編集手順を次に示します。
125
付録 B 下位バージョンからの移行手順
1. 各定義ファイルのデフォルト名前空間を次のように変更します。
• 機能定義ファイル http://www.hitachi.co.jp/soft/xml/cosminexus/ws/security/0760/securityconfig
• ポリシー定義ファイル http://www.hitachi.co.jp/soft/xml/cosminexus/ws/security/0760/policyconfig
2. 機能定義ファイルおよびポリシー定義ファイルのプレフィックス wsse,wsu に対応
する名前空間を次のように変更します。
• wsse http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd
• wsu http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd
3. 各定義ファイルについて,次に示す XML 要素を変更します。
機能定義ファイル
•
BinarySecurityTokenConfig 要素
BinarySecurityTokenConfig 要素の詳細については,「表 C-12
BinarySecurityTokenConfig」を参照してください。
•
KeyIdentifier 要素
KeyIdentifier 要素の詳細については,「表 C-24 KeyIdentifier」を参照してくだ
さい。
•
Password 要素
Password 要素の詳細については,「表 C-35 Password」を参照してください。
ポリシー定義ファイル
•
TokenValidation 要素
TokenValidation 要素の詳細については,「表 C-62 TokenValidation」を参照して
ください。
•
X509TokenValidation 要素
X509TokenValidation の詳細については,「表 C-63 X509TokenValidation」を参
照してください。
126
付録 B 下位バージョンからの移行手順
旧バージョンから 07-60 に移行するには,通常の実装手順に加えて,定義ファイルを編
集する必要があります。
クライアント側が Web アプリケーションの場合に,Web サービスセキュリティ機能を移
行する手順を次の図に示します。
図 B-2 クライアント側が Web アプリケーションの場合の移行手順
Web アプリケーションの場合の実装手順」を参照してください。
移行手順
旧バージョンから 07-60 に移行するには,通常の実装手順に加えて,定義ファイルを編
集する必要があります。
クライアント側がコマンドライン Java アプリケーションの場合に,Web サービスセ
キュリティ機能を移行する手順を次の図に示します。
127
付録 B 下位バージョンからの移行手順
図 B-3 クライアント側がコマンドライン Java アプリケーションの場合の移行手順
マンドライン Java アプリケーションの場合の実装手順」を参照してください。
128
付録 C 定義ファイルの項目の詳細
付録 C 定義ファイルの項目の詳細
Web サービスセキュリティ機能を使用するには,次の二つの定義ファイルを設定します。
•
Web サービスセキュリティ機能定義ファイル
•
Web サービスセキュリティポリシー定義ファイル
Web サービスセキュリティの各機能で必要な定義ファイルの項目については,「3.1 定
ここでは,各定義ファイルで設定する要素の指定回数や,注意事項などの詳細を説明し
ます。なお,各定義ファイルの要素の構成は次の図のようになっています。
129
付録 C 定義ファイルの項目の詳細
図 C-1 Web サービスセキュリティ機能定義ファイルの要素の構成
130
付録 C 定義ファイルの項目の詳細
図 C-2 Web サービスセキュリティポリシー定義ファイルの要素の構成
付録 C.1 Web サービスセキュリティ機能定義ファイルの項
目
Web サービスセキュリティ機能定義ファイルは,XML ファイルです。ここでは,Web
サービスセキュリティ機能定義ファイルの要素,および要素で指定できる属性とコンテ
ンツ(子要素)について説明します。なお,表中のデータ型は,XML Schema のデータ
型を表しています。
Web サービスセキュリティ定義ファイルのルート要素です。コンテンツ(子要素)は,
次の表の順番で指定する必要があります。
131
付録 C 定義ファイルの項目の詳細
種別
表 C-1 SecurityConfig
要素
属性 −
コ
ン
テ
ン
ツ
説明
−
Web サービスセキュリティの署
名,暗号化機能で使用するトーク
ンの情報を指定します。このコン
テンツは署名,暗号化機能使用時
は必須です。
リクエストメッセージ送信時の設
定を指定します。省略時はリクエ
ストメッセージ送信時に Web サー
ビスセキュリティ機能が実行され
ません。
レスポンスメッセージ送信時の設
定を指定します。省略時はレスポ
ンスメッセージ送信時に Web サー
ビスセキュリティ機能が実行され
ません。
リクエストメッセージ受信時の設
定を指定します。省略時はリクエ
ストメッセージ受信時に Web サー
ビスセキュリティ機能が実行され
ません。
レスポンスメッセージ受信時の設
定を指定します。省略時はレスポ
ンスメッセージ受信時に Web サー
ビスセキュリティ機能が実行され
ません。
−
−
−
−
−
−
データ型 指定
回数
−
0
または
1
0
または
1
0
または
1
0
または
1
0
または
1
Web サービスセキュリティの各機能で共通的に使用する情報を指定します。
種別
表 C-2 BindingConfig
要素 説明 データ型
属性 −
コ
ン
テ
ン
ツ
−
鍵の格納場所の情報を指定します。
このコンテンツは署名,暗号化機
能使用時は必須です。
−
−
指定
回数
−
0
または
1
鍵の格納場所の情報を指定します。コンテンツ(子要素)は,次の表の順番で指定する
132
付録 C 定義ファイルの項目の詳細
必要があります。
種別
表 C-3 KeyLocator
要素
属性 −
コ
ン
テ
ン
ツ
説明
−
Java のキーストア形式の鍵の格納
場所情報を指定します。このコン
テンツは署名,暗号化機能使用時
は必須です。
−
−
データ型 指定
回数
−
0
以上
共通鍵の格納場所の情報を指定し
ます。このコンテンツは暗号化機
能使用時は必須です。
−
0
または
1
Java のキーストア形式の鍵の格納場所情報を指定します。
種別
表 C-4 KeyStore
要素 説明
属性
Id
コ
ン
テ
ン
ツ
File
Type
Password
データ型
1
指定
回数
セキュリティ定義ファイル中で一
意に識別するための ID 値を指定し
ます。
キーストアファイルの名称を " ラ
ベル名 + 拡張子 " の形式で指定し
ます。
キーストアのタイプを示す文字列
を指定します。
キーストアのパスワードを指定し
ます。
キーストア内の X.509 証明書の情
報を指定します。このコンテンツ
は,キーストア内の証明書を利用
する場合は必須です。
ID
String
String
String
−
1
1
1
0
以上
−
0
以上 キーストア内の非公開鍵の情報を
指定します。このコンテンツは,
キーストア内の非公開鍵を利用す
る場合は必須です。
キーストア内の証明書の情報を指定します。コンテンツはありません。
133
付録 C 定義ファイルの項目の詳細
種別
表 C-5 Certificate
要素
属性
Id
Alias
説明 データ型
1
指定
回数
セキュリティ機能定義ファイル中
で一意に識別するための ID 値を指
定します。
キーストアファイル中の X.509 証
明書のエイリアス名を指定します。
ID
String 1
キーストア内の非公開鍵の情報を指定します。コンテンツはありません。
種別
表 C-6 PrivateKey
要素 説明 データ型
属性
Id
Alias
Password
セキュリティ機能定義ファイル中
で一意に識別するための ID 値を指
定します。
キーストアファイル中の秘密鍵の
エイリアス名を指定します。
キーストアファイル中の秘密鍵の
パスワードを指定します。
ID
String
String
1
指定
回数
1
1
共通鍵の格納場所の情報を指定します。
種別
表 C-7 SecretKeyLocationList
要素
属性 −
コ
ン
テ
ン
ツ
説明
−
共通鍵ファイルの情報を指定しま
す。このコンテンツは暗号化機能
使用時は必須です。
−
−
データ型 指定
回数
−
0
以上
共通鍵ファイルの情報を指定します。コンテンツはありません。
134
付録 C 定義ファイルの項目の詳細
種別
表 C-8 SecretKeyFile
要素
属性
Id
Name
KeyType
KeyName
説明 データ型
1
指定
回数
セキュリティ定義ファイル中で一
意に識別するための ID 値を指定し
ます。
共通鍵作成コマンドで作成した共
通鍵ファイル名称を " ラベル名 +
拡張子 " の形式で指定します。
ID
String
共通鍵ファイル作成時に指定した
アルゴリズム識別子を指定します。
String
送信する鍵の識別子を指定します。
String
1
1
1
リクエストメッセージ送信時の設定を指定します。
種別
表 C-9 RequestSenderConfig
要素 説明
属性 −
コ
ン
テ
ン
ツ
−
送信時に,Web サービスセキュリ
ティ機能を適用する SOAP サービ
スエンドポイントの情報を指定し
ます。
−
−
データ型 指定
回数
−
1
以上
送信時に,Web サービスセキュリティ機能を適用する,SOAP サービスエンドポイント
の情報を指定します。ResponseSenderConfig の下に SenderPortConfig を指定する場合
は,Name 属性に "*" を指定してください。
135
付録 C 定義ファイルの項目の詳細
種別
表 C-10 SenderPortConfig
要素
属性
Name
コ
ン
テ
ン
ツ
説明 データ型
1
指定
回数
Web サービスセキュリティ機能を
適用する SOAP サービスの URL
を指定します。ここで指定したエ
ンドポイントへメッセージを送信
する際に,このコンテンツ以下で
指定する Web サービスセキュリ
ティ機能の設定が適用されます。
"*" を指定すると,エンドポイント
の指定に関係なく Web サービスセ
キュリティ機能の設定が適用され
ます。
メッセージ送信時に適用するユー
ザ名,パスワード,署名,暗号化
に関する情報を指定します。省略
時はメッセージ送信時に Web サー
ビスセキュリティ機能が実行され
ません。 anyURI
−
0
以上
メッセージ送信時に適用するユーザ名,パスワード,署名,暗号化に関する情報を指定
します。
種別
表 C-11 RoleConfig
要素 説明 データ型
属性 mustUnderstand role
送信する SOAP メッセージヘッダ
の mustUnderstand 属性を "true",
"false","1","0" のどれかで指定
します。この属性省略時は,"true"
が仮定されます。"true","1" を指
定した場合は,SOAP メッセージ
ヘッダに mustUnderstand 属性が
付加されます。"false","0" を指定
した場合は,SOAP メッセージ
ヘッダに mustUnderstand 属性は
付加されません。
SOAP メッセージヘッダの role 属
性(SOAP1.1 での actor 属性)を
指定します。 boolean anyURI
指定
回数
0
または
1
1
136
付録 C 定義ファイルの項目の詳細
種別
Operation
要素
コ
ン
テ
ン
ツ
説明 データ型
0
または
1
指定
回数
SOAP サービスのサービスメソッ
ド名を指定します。メソッドが複
数ある場合は,半角スペースで区
切って指定します。この要素を省
略した場合は,SOAP サービスの
すべてのメソッドに対して,この
コンテンツ以下で指定する Web
サービスセキュリティ機能の設定
が適用されます。この指定は,
RequestSenderConfig 以下の
RoleConfig に指定した場合だけ有
効となります。また,呼び出す
SOAP サービスがメッセージング
形態の場合は,この指定は無視さ
れます。
SOAP メッセージに付与するバイ
ナリセキュリティトークンの情報
を指定します。省略時は,SOAP
メッセージにバイナリセキュリ
ティトークンは付与されません。
署名に関する情報を指定します。
省略時は,SOAP メッセージに署
名は付与されません。
暗号化に関する情報を指定します。
省略時は,SOAP メッセージが暗
号化されません。
Timestamp 要素に関する情報を指
定します。省略時は,SOAP メッ
セージに Timestamp 要素は付与さ
れません。
UsernameToken 要素に関する情
報を指定します。省略時は,
SOAP メッセージに
UsernameToken 要素は付与され
ません。
NMTOKENS
−
−
−
−
−
0
以上
0
以上
0
以上
0
または
1
0
以上
SOAP メッセージに付与するバイナリセキュリティトークンの情報を指定します。コン
テンツはありません。
137
付録 C 定義ファイルの項目の詳細
種別
表 C-12 BinarySecurityTokenConfig
要素
属性
Id
IdRef
EmbedId
EncodingType
ValueType
説明 データ型
セキュリティ機能定義ファイル中
で一意に識別するための ID 値を
指定します。
バイナリセキュリティトークンと
して使用するリソースの位置
(Id)を指定します。Certificate
要素の Id 値を指定します。
ID
IDREF
バイナリセキュリティトークン要
素をセキュリティヘッダに埋め込
む時に付加する Id 値を指定しま
す。
String
セキュリティトークンを送信する
際のエンコード種別を指定しま
す。指定できる値は,"http:// docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-soap-messagesecurity-1.0#Base64Binary" だけ
です。省略時は,"http:// docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-soap-messagesecurity-1.0#Base64Binary" が仮
定されます。 anyURI
バイナリセキュリティトークンの
種別を指定します。指定できる値
は,"http://docs.oasis-open.org/ wss/2004/01/ oasis-200401-wss-x509-token-pro file-1.0#X509v3" だけです。省略
時は,"http://docs.oasis-open.org/ wss/2004/01/ oasis-200401-wss-x509-token-pro file-1.0#X509v3" が仮定されます。 anyURI
1
指定
回数
1
1
0
または
1
0
または
1
署名に関する情報を指定します。コンテンツ(子要素)は,次の表の順番で指定する必
要があります。
種別
表 C-13 SignatureConfig
要素 説明 データ型
属性 − − − −
指定
回数
138
付録 C 定義ファイルの項目の詳細
種別 要素
コ
ン
テ
ン
ツ
説明
正規化アルゴリズムを指定します。
データ型
− 1
指定
回数
署名アルゴリズムを指定します。
署名対象を指定します。
署名に使用する鍵の情報を指定し
ます。
署名に使用する鍵の参照情報を指
定します。
−
−
−
−
1
1
以上
1
1
正規化アルゴリズムを指定します。
種別
表 C-14 CanonicalizationMethod
要素
属性
Algorithm
コ
ン
テ
ン
ツ
説明
正規化アルゴリズムのアルゴリズ
ム識別子を指定します。
正規化処理で使用するパラメタを
指定します。省略時は正規化処理
時にパラメタは付与されません。
−
データ型 anyURI 1
指定
回数
0
または
1
正規化処理で使用するパラメタを指定します。コンテンツはありません。
139
付録 C 定義ファイルの項目の詳細
種別
表 C-15 CanonicalizeParam
要素
属性
InclusiveNamespaces
説明 データ型
CanonicalizationMethod の
Algorithm 属性が Exclusive
Canonical XML の場合に,
Exclusive XML Canonicalization
Version 1.0 で規定されている名前
空間プレフィクスを指定します。
指定方法は,対象となる名前空間
プレフィクス名をスペースで区
切って指定します(例 "ns1 ns2 ns3")。CanonicalizationMethod
の Algorithm 属性が Exclusive
Canonical XML(Exclusive
Canonical XML with Comments
または Exclusive Canonical XML omits comments)でない場合はこ
の指定は無視されます。
NMTOKENS 1
指定
回数
署名アルゴリズムを指定します。コンテンツはありません。
種別
表 C-16 SignatureMethod
要素 説明
属性
Algorithm
署名アルゴリズムのアルゴリズム
識別子を指定します。
データ型 anyURI 1
指定
回数
署名対象を指定します。属性の指定は,Part または TargetId のどちらかが必須になりま
す。
種別
表 C-17 SignatureTarget
要素 説明 データ型
属性
Part
指定
回数
0
または
1
TargetId
署名対象となる SOAP エンベロー
プ中のエレメントを指定します。
指定可能な値は "Body" だけです。
署名対象の Id 値(SOAP メッセー
ジ内の要素にあらかじめ設定済み
の wsu:Id の値)を指定します。こ
の指定はメッセージング形態の場
合だけ有効です。 enum
String 0
または
1
140
種別
コ
ン
テ
ン
ツ
要素
付録 C 定義ファイルの項目の詳細
説明
トランスフォームアルゴリズムを
データ型
−
指定
回数
1
以上
トランスフォームアルゴリズムを指定します。
種別
表 C-18 Transform
要素 説明
属性
Algorithm
コ
ン
テ
ン
ツ
データ型
1
指定
回数
トランスフォームアルゴリズムの
アルゴリズム識別子を指定します。
トランスフォームアルゴリズムで
使用するパラメタを指定します。
省略時はトランスフォーム処理時
にパラメタは付与されません。 anyURI
−
0
または
1
トランスフォームアルゴリズムで使用するパラメタを指定します。コンテンツはありま
せん。
種別
表 C-19 TransformParam
要素 説明 データ型
属性
InclusiveNamespaces
Transform の Algorithm 属性が
Exclusive Canonical XML の場合
に,Exclusive XML
Canonicalization Version 1.0 で規
定されている名前空間プレフィク
スを指定します。指定方法は,対
象となる名前空間プレフィクス名
をスペースで区切って指定します
Transform の Algorithm 属性が
Exclusive Canonical XML
(Exclusive Canonical XML with
Comments または Exclusive
Canonical XML omits comments)
でない場合はこの指定は無視され
ます。
NMTOKENS 1
指定
回数
141
付録 C 定義ファイルの項目の詳細
署名に使用する鍵の情報を指定します。コンテンツはありません。
種別
表 C-20 SignatureKey
要素 説明 データ型
属性
IdRef
IDREF 1
指定
回数
鍵の位置(Binding 要素の
PrivateKey 要素で指定する Id 属
性)を指定します。
署名に使用する鍵の参照情報を指定します。
種別
表 C-21 SignatureKeyInfo
要素 説明
属性 −
コ
ン
テ
ン
ツ
−
署名に使用する鍵のリファレンス
情報(KeyInfo 要素内の
SecurityTokenReference 要素とし
て設定される情報)を指定します。
−
−
データ型
−
1
指定
回数
署名に使用する鍵のリファレンス情報を指定します。コンテンツは,DirectReference ま
たは KeyIdentifier のどちらかを指定します。
種別
表 C-22 KeyReferenceConfig
要素 説明 データ型
属性 −
コ
ン
テ
ン
ツ
−
鍵の参照メカニズムを
DirectReference にする場合の情報
を指定します。
−
−
鍵の参照メカニズムを
KeyIdentifier にする場合の情報を
指定します。
−
指定
回数
−
0
または
1
0
または
1
142
付録 C 定義ファイルの項目の詳細
鍵の参照メカニズムを DirectReference にする場合の情報を指定します。コンテンツは
ありません。URI 属性は,先頭に "#" を必ず付加してください。
種別
表 C-23 DirectReference
要素 説明 データ型
属性
URI
セキュリティヘッダに埋め込む鍵
(バイナリセキュリティトークン)
の位置(URI)を指定します。こ
こで指定した値がセキュリティ
ヘッダ内の wsse:Reference 要素の
URI 属性に設定されます。ここで
指定する値は,
BinarySecurityTokenConfig 要素
の EmbedId の値を参照する値であ
る必要があります。 anyURI 1
指定
回数
鍵の参照メカニズムを KeyIdentifier にする場合の情報を指定します。コンテンツはあり
ません。
種別
表 C-24 KeyIdentifier
要素 説明 データ型
属性
IdRef
1
指定
回数
EncodingType
鍵として使用するキーストアの非
公開鍵の位置(Certificate 要素の
Id 値)を指定します。
KeyIdentifier 要素のエンコード
種別を指定します。
指定できる値は,"http:// docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-soap-messagesecurity-1.0#Base64Binary" だけ
です。省略時は,"http:// docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-soap-messagesecurity-1.0#Base64Binary" が仮
定されます。
IDREF anyURI 0
または
1
143
付録 C 定義ファイルの項目の詳細
種別
ValueType
要素 説明
KeyIdentifier 要素の種別を指定
します。指定できる値は,"http:// docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-x509-token-pro file-1.0#X509SubjectKeyIdentifie r" だけです。省略時は,"http:// docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-x509-token-pro file-1.0#X509SubjectKeyIdentifie r" が仮定されます。
データ型 anyURI
指定
回数
0
または
1
暗号化に関する情報を指定します。
種別
表 C-25 EncryptionConfig
要素
属性 −
コ
ン
テ
ン
ツ
説明
−
メッセージ内容の暗号化に関する
情報を指定します。
−
−
データ型
−
1
指定
回数
1 鍵の暗号化に関する情報を指定し
ます。EncryptionType が
"ContentsEncryption" の場合は不
要です。
−
メッセージ内容の暗号化に関する情報を指定します。
種別
表 C-26 ContentsEncryption
要素 説明
属性 −
コ
ン
テ
ン
ツ
−
暗号化対象を指定します。
−
−
データ型
−
1
指定
回数
144
付録 C 定義ファイルの項目の詳細
コ
ン
テ
ン
ツ
暗号化対象を指定します。Part または TargetId のどちらかを指定してください。Part
および TargetId の両方を指定した場合は,Part の指定だけが有効になります。また,
TargetId を指定する場合は,対象となる SOAP メッセージのエレメントに同じ値の wsu:Id 属性が指定されている必要があります。
種別
表 C-27 EncryptionTarget
要素 説明 データ型
属性
Part
TargetId
EmbedId
暗号化対象となる SOAP エンベ
ロープ中のエレメントを指定しま
す。指定可能な値は
"BodyContent" だけです。 enum
暗号化対象の Id 値(SOAP メッ
セージ内の要素にあらかじめ設定
済みの wsu:Id の値)を指定しま
す。この指定はメッセージング
SOAP サービスの場合だけ有効で
す。
String
暗号化適用後のエレメントに付加
する Id 値(wsu:Id 属性として設
定される)を指定します。この属
性を省略した場合は Id 値は Web
サービスセキュリティ機能独自の
値を自動的に付加します。
String
暗号化アルゴリズムを指定します。 −
指定
回数
0
または
1
0
または
1
0
または
1
1
暗号化アルゴリズムを指定します。コンテンツはありません。
種別
表 C-28 EncryptionMethod
要素 説明
属性
Algorithm
暗号化アルゴリズムのアルゴリズ
ム識別子を指定します。
データ型 anyURI 1
指定
回数
鍵の暗号化に関する情報を指定します。
145
付録 C 定義ファイルの項目の詳細
種別
表 C-29 KeyEncryption
要素
属性 −
コ
ン
テ
ン
ツ
説明
− −
暗号化アルゴリズムを指定します。 −
データ型
−
1
指定
回数
鍵の暗号化に使用する鍵の情報を
指定します。
−
1
鍵の暗号化に使用する鍵の情報を指定します。コンテンツはありません。
種別
表 C-30 KeyEncryptionKey
要素 説明 データ型
属性
IdRef
1
指定
回数
使用する鍵の位置(SecretKeyFile
要素で指定する Id 属性)を指定し
ます。
IDREF
Timestamp 要素に関する情報を指定します。
種別
表 C-31 TimestampConfig
要素 説明
属性
EmbedId
Created
Timestamp 要素をセキュリティ
ヘッダに埋め込む時の Id 値を指定
します。省略時は Timestamp 要素
をセキュリティヘッダに埋め込む
時に Id は付与されません。
Timestamp 要素に Created 要素を
付加するかどうかを "true",
"false","1","0" のどれかで指定
します。"true","1" を指定した場
合 Created 要素が付加されます。
"false","0" を指定した場合
Created 要素は付加されません。
省略時は "false" が仮定されます。
データ型
String boolean
指定
回数
0
または
1
0
または
1
146
付録 C 定義ファイルの項目の詳細
種別
Expires
要素 説明
Timestamp 要素に Expires 要素を
付加するかどうかを "true",
"false","1","0" のどれかで指定
します。"true","1" を指定した場
合 Expires 要素が付加されます。
"false","0" を指定した場合
Expires 要素は付加されません。
省略時は "false" が仮定されます。
Expires 要素に関する情報を指定
します。
データ型 boolean
−
指定
回数
0
または
1
0
または
1
コ
ン
テ
ン
ツ
Expires 要素に関する情報を指定します。コンテンツはありません。
種別
表 C-32 Expires
要素 説明 データ型
属性
Value
有効期限を設定します。現在時刻
からの相対時間をミリ秒単位で指
定します。指定可能な範囲は
1,000 ∼ 2,147,483,647 です。範囲
外の値を指定した場合,または省
略時は 300,000(5 分)が仮定され
ます。 int
指定
回数
0
または
1
UsernameToken 要素に関する情報を指定します。
種別
表 C-33 UsernameTokenConfig
要素 説明
属性
Id
Web サービスセキュリティ機能定
義ファイル中で,
UsernameTokenConfig 要素を一
意に識別するための ID 値を指定し
ます。
ID
データ型
1
指定
回数
147
付録 C 定義ファイルの項目の詳細
種別
EmbedId
要素
コ
ン
テ
ン
ツ
説明
UsernameToken 要素をセキュリ
ティヘッダに埋め込む時の Id 値を
指定します。省略時は
UsernameToken 要素をセキュリ
ティヘッダに埋め込む時に Id が付
与されません。
ユーザ名に関する情報を指定しま
す。
データ型
String
−
指定
回数
0
または
1
1
パスワードに関する情報を指定し
ます。省略時は UsernameToken
要素にパスワードが付与されませ
ん。
−
0
または
1
ユーザ名に関する情報を指定します。
種別
表 C-34 Username
要素
属性 −
コ
ン
テ
ン
ツ
ユーザ名
説明
−
認証に使用するユーザ ID 値を指定
します。
データ型
−
String
−
1
指定
回数
パスワードに関する情報を指定します。
148
付録 C 定義ファイルの項目の詳細
種別
表 C-35 Password
要素
属性
Type
説明
パスワードの形式を指定します。
指定できる値は,"http:// docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-username-toke n-profile-1.0#PasswordText"(テ docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-username-toke n-profile-1.0#PasswordDigest"
(ダイジェスト)の 2 種類だけで
す。省略時は,"http:// docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-username-toke n-profile-1.0#PasswordText" が仮
定されます。
認証に使用するパスワード値を指
定します。
データ型 anyURI
String
指定
回数
0
または
1
1
コ
ン
テ
ン
ツ
パスワード値
レスポンスメッセージ送信時の設定を指定します。
種別
表 C-36 ResponseSenderConfig
要素 説明
属性 −
コ
ン
テ
ン
ツ
−
送信時に Web サービスセキュリ
ティ機能を適用する SOAP サービ
スエンドポイントの情報を指定し
ます。
−
−
データ型 指定
回数
−
1
以上
リクエストメッセージ受信時の設定を指定します。
種別
表 C-37 RequestReceiverConfig
要素 説明
属性 − −
データ型
− −
指定
回数
149
付録 C 定義ファイルの項目の詳細
種別 要素
コ
ン
テ
ン
ツ
説明
Web サービスセキュリティ機能を
適用する SOAP サービスエンドポ
イントの情報を指定します。
−
データ型 指定
回数
1
以上
コ
ン
テ
ン
ツ
受信時に Web サービスセキュリティ機能を適用する SOAP サービスエンドポイントの情
報を指定します。
種別
表 C-38 ReceiverPortConfig
要素 説明 データ型
属性
Name
My_role
メッセージを受信する SOAP サー
ビスの URL を指定します。
Web サービスセキュリティ機能を
適用する SOAP サービスのロール
名を URI 形式で指定します。受信
した SOAP メッセージのセキュリ
ティヘッダ中の role 属性値が,こ
こで指定したロール名と一致した
場合に,PortTypeConfig 以下に指
定した動作定義に従って Web サー
ビスセキュリティ機能を実行しま
す。この属性を省略した場合は,
受信した SOAP メッセージのセ
キュリティヘッダ中の role 属性の
内容(role 属性がない場合も含む)
にかかわらず,PortTypeConfig 以
下に指定した動作定義に従って
Web サービスセキュリティ機能を
実行します。
セキュリティトークンの認証に関
する情報を指定します。省略時は
セキュリティトークンの認証を行
いません。 anyURI anyURI
−
1
指定
回数
1
0
または
1
署名検証に関する情報を指定しま
す。省略時は署名検証を行いませ
ん。
復号化に関する情報を指定します。
省略時は復号化を行いません。
−
−
0
または
1
0
または
1
150
付録 C 定義ファイルの項目の詳細
セキュリティトークンの認証に関する情報を指定します。
種別
表 C-39 AuthenticationConfig
要素 説明
属性 −
コ
ン
テ
ン
ツ
−
UsernameToken の認証に関する
情報を指定します。省略時は
UsernameToken の認証を行いま
せん。
−
−
データ型 指定
回数
−
0
または
1
UsernameToken の認証に関する情報を指定します。LoginContext タグを省略した場合
は,UsernameToken の認証をしないで処理を続行します。
種別
表 C-40 UsernameTokenAuthnConfig
要素 説明 データ型
属性 −
コ
ン
テ
ン
ツ
−
認証方式に関する情報を指定しま
す。
−
−
JAAS 認証に関する情報を指定し
ます。AuthnMethod に
"JAASAuthn" を指定した場合,こ
の要素は必須です。
−
−
1
指定
回数
0
または
1
認証方式に関する情報を指定します。コンテンツはありません。
種別
表 C-41 AuthnMethod
要素 説明 データ型
属性
Type
認証方式を指定します。指定でき
る値は "JAASAuthn" だけです。 enum 1
指定
回数
151
付録 C 定義ファイルの項目の詳細
JAAS 認証に関する情報を指定します。
種別
表 C-42 LoginContext
要素
属性 −
コ
ン
テ
ン
ツ
説明
−
ログイン構成のインデックスを指
定します。
−
−
データ型
−
1
指定
回数
ログイン構成のインデックスを指定します。
種別
表 C-43 ConfigurationIndex
要素 説明
属性 −
コ
ン
テ
ン
ツ
インデックス値
−
LoginContext クラスをインスタン
ス化する際に使用するログイン構
成のインデックス(jaas.conf 内の
インデックス名)を指定します。
−
−
データ型
−
1
指定
回数
署名検証に関する情報を指定します。
種別
表 C-44 VerificationConfig
要素
属性 −
コ
ン
テ
ン
ツ
説明
−
署名検証に用いる鍵に関する情報
を指定します。
−
−
データ型
−
1
指定
回数
152
署名検証に用いる鍵に関する情報を指定します。受信したセキュリティヘッダ内の署名
鍵の参照形式(SecurityTokenReference 要素で示されます)が "wsse:Reference" の場
付録 C 定義ファイルの項目の詳細
合,この要素の VerificationKeyStore タグで指定された内容は無視されます。
種別
表 C-45 VerificationKeyLocationList
要素 説明 データ型
属性 −
コ
ン
テ
ン
ツ
−
署名検証に用いる鍵の所在に関す
る情報を指定します。
−
−
指定
回数
−
1
以上
署名検証に用いる鍵の所在に関する情報を指定します。コンテンツはありません。
種別
表 C-46 VerificationKeyStore
要素 説明 データ型
属性
IdRef
使用する鍵を含む KeyStore 要素
の Id 属性を指定します。
IDREF 1
指定
回数
復号化に関する情報を指定します。
種別
表 C-47 DecryptionConfig
要素
属性 −
コ
ン
テ
ン
ツ
説明
−
復号に用いる鍵の所在に関する情
報を指定します。
−
−
データ型
−
1
指定
回数
復号に用いる鍵の所在に関する情報を指定します。
種別
表 C-48 DecryptionKeyLocationList
要素 説明
属性 − −
データ型
−
指定
回数
−
153
付録 C 定義ファイルの項目の詳細
種別 要素
コ
ン
テ
ン
ツ
DecryptionSecretKeyLocationList
説明
復号に用いる鍵の所在に関す
る情報を指定します。
データ型
−
指定
回数
1
以上
復号に用いる鍵の所在に関する情報を指定します。コンテンツはありません。
種別
表 C-49 DecryptionSecretKeyLocationList
要素 説明 データ型
属性
IdRef
使用する鍵を含む SecretKeyFile
要素の Id 属性の値を指定します。
IDREF 1
指定
回数
リクエストメッセージ受信時の設定を指定します。
種別
表 C-50 ResponseReceiverConfig
要素 説明
属性 −
コ
ン
テ
ン
ツ
−
Web サービスセキュリティ機能を
適用する SOAP サービスエンドポ
イントの情報を指定します。
−
−
データ型
−
1
指定
回数
付録 C.2 Web サービスセキュリティポリシー定義ファイル
の項目
Web サービスセキュリティポリシー定義ファイルは,XML ファイルです。ここでは,
Web サービスセキュリティポリシー定義ファイルの要素,および要素で指定できる属性
とコンテンツ(子要素)について説明します。なお,表中のデータ型は,XML Schema
のデータ型を表しています。
ポリシー定義ファイルのルート要素です。
154
付録 C 定義ファイルの項目の詳細
種別
表 C-51 PolicyConfig
要素
属性 −
コ
ン
テ
ン
ツ
説明
−
Web サービスセキュリティポリ
シー定義で共通的に使用するポリ
シーを指定します。省略時は,
GlobalConfig 要素内の値はすべて
デフォルト値が仮定されます。
リクエストメッセージ受信時の設
定を指定します。省略時は,リク
エストメッセージ受信時のポリ
シーチェックが行われません。
レスポンスメッセージ受信時の設
定を指定します。省略時は,レス
ポンスメッセージ受信時のポリ
シーチェックが行われません。
−
−
−
−
データ型 指定
回数
−
0
または
1
0
または
1
0
または
1
Web サービスセキュリティポリシー定義で共通的に使用するポリシーを指定します。
種別
表 C-52 GlobalConfig
要素 説明 データ型
属性 −
コ
ン
テ
ン
ツ
−
有効期限をチェックする際の時間
差に関する情報を指定します。省
略時は Max-Clock-Skew 要素内の
値はすべてデフォルト値が仮定さ
れます。
UsernameToken 要素,
Timestamp 要素内の Created 要素
の有効期間に関するポリシー
チェックの情報を指定します。省
略時は Fresh-Time-Limit 要素内
の値はすべてデフォルト値が仮定
されます。
−
−
−
指定
回数
−
0
または
1
0
または
1
有効期限をチェックする際の時間差に関する情報を指定します。コンテンツはありませ
ん。
155
付録 C 定義ファイルの項目の詳細
種別
表 C-53 Max-Clock-Skew
要素
属性
Value
説明 データ型
1
指定
回数
UsernameToken 要素および
Timestamp 要素の子要素である
Created 要素,または Timestamp
要素の子要素である Expires 要素
に指定された値に基づいて SOAP
メッセージの有効期限を確認する
場合に,送信側と受信側との時間
の差をどこまで許容するかを指定
します。指定するときの単位はミ
リ秒です。
指定できる範囲は,1 ∼
2,147,483,647 の間です。範囲外
の値を指定した場合,または指定
を省略した場合は,0 ミリ秒が仮
定されます。 int
UsernameToken 要素,および Timestamp 要素内の Created 要素の有効期間に関するポ
リシーチェックの情報を指定します。コンテンツはありません。
種別
表 C-54 Fresh-Time-Limit
要素 説明 データ型
属性
Value
UsernameToken 要素および
Timestamp 要素の子要素である
Created 要素に指定された値を確
認する場合に,送信側と受信側と
の時間の差をどこまで許容するか
を指定します。
指定するときの単位はミリ秒です。
指定できる範囲は,1,000 ∼
2,147,483,647 の間です。範囲外
の値を指定した場合,または指定
を省略した場合は,300,000 ミリ
秒が仮定されます。 int 1
指定
回数
リクエストメッセージ受信時の設定を指定します。
種別
表 C-55 RequestReceiverConfig
要素 説明
属性 − −
156
データ型
− −
指定
回数
付録 C 定義ファイルの項目の詳細
種別 要素
コ
ン
テ
ン
ツ
説明
Web サービスセキュリティポリ
シー定義を適用する SOAP サービ
スエンドポイントの情報を指定し
ます。
−
データ型 指定
回数
1
以上
コ
ン
テ
ン
ツ
Web サービスセキュリティポリシー定義を適用する SOAP サービスエンドポイントの情
報を指定します。
種別
表 C-56 ReceiverPortConfig
要素 説明 データ型
属性
Name
My_role
Web サービスセキュリティポリ
シー定義を適用する SOAP サービ
スの URL を指定します。
アスタリスク "*" を指定した場合,
すべての SOAP サービスに対して
Web サービスセキュリティ定義が
適用されます。
Web サービスセキュリティポリ
シー定義を適用する SOAP サービ
スのロール名を,URI で指定しま
す。受信した SOAP メッセージの
セキュリティヘッダ内で,
RoleConfig 要素の role 属性に指定
されている値が My_role 属性で指
定したロール名と一致した場合に,
ReceiverPortConfig 要素で指定し
た定義に従って Web サービスセ
キュリティポリシー定義が適用さ
れます。
セキュリティトークンに関するポ
リシーチェックの情報を指定しま
す。省略時はセキュリティトーク
ンに関するポリシーチェックが行
われません。
署名に関するポリシーチェックの
情報を指定します。省略時は署名
に関するポリシーチェックが行わ
れません。
復号化に関するポリシーチェック
の情報を指定します。省略時は復
号化に関するポリシーチェックが
行われません。 anyURI anyURI
−
−
−
1
指定
回数
1
0
または
1
0
または
1
0
または
1
157
付録 C 定義ファイルの項目の詳細
種別 要素
説明
タイムスタンプに関するポリシー
チェックの情報を指定します。省
略時はタイムスタンプに関するポ
リシーチェックが行われません。
データ型
−
指定
回数
0
または
1
セキュリティトークンに関するポリシーチェックの情報を指定します。
種別
表 C-57 SecurityTokenConfig
要素 説明 データ型
属性 −
コ
ン
テ
ン
ツ
−
UsernameToken 要素に関するポ
リシーチェックの情報を指定しま
す。省略時は UsernameToken に
関するポリシーチェックが行われ
ません。
バイナリセキュリティトークンに
関するポリシーチェックの情報を
指定します。省略時はバイナリセ
キュリティトークンに関するポリ
シーチェックが行われません。
−
−
−
指定
回数
−
0
または
1
0
または
1
UsernameToken 要素に関するポリシーチェックの情報を指定します。
種別
表 C-58 UsernameTokenConfig
要素 説明 データ型
属性
Required
1
指定
回数
セキュリティヘッダ内の
UsernameToken 要素の有無を
チェックするかどうかを "true",
"false","1”,"0" のどれかで指定
します。"true","1" を指定した場
合,セキュリティヘッダ内の
UsernameToken 要素の有無を
チェックし,存在しないときはポ
リシー違反として SOAP Fault を
スローします。"false","0" を指定
した場合,セキュリティヘッダ内
の UsernameToken 要素の有無を
チェックしません。"false",0" を
指定した場合,UsernameToken
要素が存在しても処理しません。 boolean
158
付録 C 定義ファイルの項目の詳細
種別
コ
ン
テ
ン
ツ
要素 説明
Nonce 要素に関するポリシー
チェックの情報を指定します。省
略時は Nonce 要素に関するポリ
シーチェックが行われません。
UsernameToken 要素内の
Created 要素に関するポリシー
チェックの情報を指定します。省
略時は Created 要素に関するポリ
シーチェックが行われません。
−
−
データ型 指定
回数
0
または
1
0
または
1
Nonce 要素に関するポリシーチェックの情報を指定します。コンテンツはありません。
種別
表 C-59 Nonce
要素 説明 データ型
属性
Required
1
指定
回数
UsernameToken 要素内の Nonce
要素の有無をチェックするかどう
どれかで指定します。"true","1"
を指定した場合 UsernameToken
要素内の Nonce 要素の有無を
チェックし,存在しない場合はポ
リシー違反として SOAP Fault を
スローします。"false","0" を指定
した場合 UsernameToken 要素内
の Nonce 要素の有無をチェックし
ません。"false","0" を指定した場
合,Nonce 要素が存在しても処理
しません。 boolean
UsernameToken 要素内の Created 要素に関するポリシーチェックの情報を指定します。
159
付録 C 定義ファイルの項目の詳細
種別
表 C-60 Created
要素
属性
Required
説明 データ型
1
指定
回数
UsernameToken 要素内の
Created 要素の有無をチェックす
るかどうかを "true","false",
"1”,"0" のどれかで指定します。
"true","1" を指定した場合
UsernameToken 要素内の
Created 要素の有無をチェックし,
存在しない場合はポリシー違反と
して SOAP Fault をスローしま
す。"false","0" を指定した場合
UsernameToken 要素内の
Created 要素の有無をチェックし
ません。"false","0" を指定した場
合,Created 要素が存在しても処
理しません。 boolean
バイナリセキュリティトークンに関するポリシーチェックの情報を指定します。
種別
表 C-61 BinarySecurityTokenConfig
要素 説明 データ型
属性 −
コ
ン
テ
ン
ツ
−
BinarySecurityToken 要素の検証
に関するポリシーチェックの情報
を指定します。
−
−
−
1
指定
回数
BinarySecurityToken 要素の検証に関するポリシーチェックの情報を指定します。
種別
表 C-62 TokenValidation
要素 説明 データ型
属性 − − − −
指定
回数
160
付録 C 定義ファイルの項目の詳細
種別 要素
コ
ン
テ
ン
ツ
説明
X.509 証明書の検証に関するポリ
シーチェックの情報を指定しま
す。この要素が指定されている場
合,受信した SOAP メッセージに
X.509 証明書の
BinarySecurityToken 要素
(ValueType が "http:// docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-x509-token-pro file-1.0#X509v3" である
BinarySecurityToken 要素)
が存在しない場合,ポリシー違反
として SOAP Fault をスローしま
す。省略時は X.509 証明書の検証
に関するポリシーチェックが行わ
れません。
−
データ型 指定
回数
0
または
1
X.509 証明書の検証に関するポリシーチェックの情報を指定します。
種別
表 C-63 X509TokenValidation
要素 説明 データ型
属性
コ
ン
テ
ン
ツ
−
AuthorityCertificateLocatio nList
−
X.509 証明書の検証に関する
ポリシーチェックの情報を指
定します。
−
−
−
1
指定
回数
X.509 証明書の検証に関するポリシーチェックの情報を指定します。
種別
表 C-64 AuthorityCertificateLocationList
要素 説明
属性 −
コ
ン
テ
ン
ツ
−
X.509 証明書の署名検証に使用
する証明書ファイルの情報を指
定します。
−
−
データ型 指定
回数
−
1
以上
161
付録 C 定義ファイルの項目の詳細
X.509 証明書の署名検証に使用する証明書ファイルの情報を指定します。コンテンツは
ありません。
種別
表 C-65 AuthorityCertificateFile
要素 説明 データ型
属性
Name
X.509 証明書の署名検証に使用す
る証明書ファイル名を指定します。
String 1
指定
回数
署名に関するポリシーチェックの情報を指定します。VerificationConfig 要素の指定があ
り,署名がされていないメッセージを受信した場合はポリシーチェック違反として
SOAP Fault をスローします。
種別
表 C-66 VerificationConfig
要素 説明 データ型
属性 −
コ
ン
テ
ン
ツ
−
署名アルゴリズムに関するポリ
シーチェックの情報を指定します。
−
−
−
1
指定
回数
1
正規化アルゴリズムに関するポリ
シーチェックの情報を指定します。
署名個所に関するポリシーチェッ
クの情報を指定します。
−
−
1
署名アルゴリズムに関するポリシーチェックの情報を指定します。受信メッセージ中の
署名アルゴリズムが,この要素の SignatureMethod タグで指定した,どのアルゴリズム
とも一致しない場合は,ポリシーチェック違反として SOAP Fault をスローします。
種別
表 C-67 SignatureMethodList
要素 説明
属性 − −
データ型
−
指定
回数
−
162
種別 要素
コ
ン
テ
ン
ツ
付録 C 定義ファイルの項目の詳細
説明
署名アルゴリズムに関する情報
を指定します。省略時は署名ア
ルゴリズムに関するポリシー
チェックが行われません。
データ型
−
指定
回数
0
以上
署名アルゴリズムに関する情報を指定します。コンテンツはありません。
種別
表 C-68 SignatureMethod
要素 説明 データ型
属性
Algorithm
受信側で処理可能な署名アルゴリ
ズムの URI を指定します。 anyURI 1
指定
回数
正規化アルゴリズムに関するポリシーチェックの情報を指定します。受信メッセージ中
の正規化アルゴリズムが,この要素の CanonicalizationMethod タグで指定した,どのア
ルゴリズムとも一致しない場合は,ポリシーチェック違反として SOAP Fault をスロー
します。
種別
表 C-69 CanonicalizationMethodList
要素 説明 データ型
属性 −
コ
ン
テ
ン
ツ
−
正規化アルゴリズムに関する情
報を指定します。省略時は正規
化アルゴリズムに関するポリ
シーチェックが行われません。
−
−
指定
回数
−
0
以上
正規化アルゴリズムに関する情報を指定します。コンテンツはありません。
種別
表 C-70 CanonicalizationMethod
要素 説明 データ型
属性
Algorithm
受信側で処理可能な正規化アルゴ
リズムの URI を指定します。 anyURI 1
指定
回数
163
付録 C 定義ファイルの項目の詳細
属性
Part
コ
ン
テ
ン
ツ
署名個所に関するポリシーチェックの情報を指定します。
種別
表 C-71 SignatureTarget
要素 説明
データ型
1
指定
回数
署名個所となる SOAP エンベ
ロープ中のエレメントを指定し
ます。メッセージの署名個所が
この属性に指定した個所と異な
る場合,ポリシー違反として
SOAP Fault をスローします。指
定できる値は "Body" だけです。
トランスフォームアルゴリズム
に関する情報を指定します。省
略時はトランスフォームアルゴ
リズムに関するポリシーチェッ
クが行われません。 enum
−
0
または
1
トランスフォームアルゴリズムに関する情報を指定します。受信メッセージ中のトラン
スフォームアルゴリズムが,この要素の TransformMethod タグで指定した,どのアル
ゴリズムとも一致しない場合は,ポリシーチェック違反として SOAP Fault をスローし
ます。
種別
表 C-72 TransformMethodList
要素 説明
属性 −
コ
ン
テ
ン
ツ
−
トランスフォームアルゴリズム
のアルゴリズム識別子を指定し
ます。省略時はトランスフォー
ムアルゴリズムに関するポリ
シーチェックが行われません。
データ型
− anyURI
指定
回数
−
0
以上
トランスフォームアルゴリズムのアルゴリズム識別子を指定します。コンテンツはあり
ません。
164
付録 C 定義ファイルの項目の詳細
種別
表 C-73 TransformMethod
要素
属性
Algorithm
説明
受信側で処理可能なトランス
フォームアルゴリズムの URI を
指定します。
データ型 anyURI 1
指定
回数
復号化に関するポリシーチェックの情報を指定します。DecryptionConfig 要素の指定が
あり,暗号化がされていないメッセージを受信した場合は,ポリシーチェック違反とし
て SOAP Fault をスローします。
種別
表 C-74 DecryptionPolicyConfig
要素 説明
属性 −
コ
ン
テ
ン
ツ
−
復号化個所に関するポリシー
チェックの情報を指定します。
−
−
データ型
−
1
指定
回数
属性
Part
コ
ン
テ
ン
ツ
復号化個所に関するポリシーチェックの情報を指定します。
種別
表 C-75 DecryptionTarget
要素 説明
Type
データ型
1
指定
回数
復号化する個所となる SOAP エン
ベロープ中のエレメントを指定し
ます。メッセージの復号化個所が
この属性に指定した個所と異なる
場合ポリシー違反として SOAP
Fault をスローします。指定でき
る値は "Body" だけです。
復号化する個所の暗号化タイプを
指定します。指定可能な値は
"Content" だけです。
復号化に関するポリシーチェック
の情報を指定します。 enum enum
−
1
1
165
付録 C 定義ファイルの項目の詳細
復号化に関するポリシーチェックの情報を指定します。DecryptionConfig 要素の指定が
あり,暗号化がされていないメッセージを受信した場合は,ポリシーチェック違反とし
て SOAP Fault をスローします。
種別
表 C-76 DecryptionConfig
要素 説明 データ型
属性 −
コ
ン
テ
ン
ツ
−
メッセージ内容の復号化に関する
ポリシーチェックの情報を指定し
ます。
−
−
−
−
1
指定
回数
1
復号に使用する鍵の復号化に関す
るポリシーチェックの情報を指定
します。EncryptionType が
"ContentsEncryption" の場合は不
要です。
メッセージ内容の復号化に関するポリシーチェックの情報を指定します。
種別
表 C-77 ContentsDecryption
要素 説明
属性 −
コ
ン
テ
ン
ツ
−
復号化個所の暗号アルゴリズム
に関するポリシーチェックの情
報を指定します。省略時は復号
化個所の暗号アルゴリズムに関
するポリシーチェックが行われ
ません。
−
−
データ型 指定
回数
−
0
または
1
復号化個所の暗号アルゴリズムに関するポリシーチェックの情報を指定します。受信
メッセージ中の暗号アルゴリズムが,この要素の DecryptionMethod タグで指定した,
どのアルゴリズムとも一致しない場合は,ポリシーチェック違反として SOAP Fault を
スローします。
166
付録 C 定義ファイルの項目の詳細
種別
表 C-78 DecryptionMethodList
要素
属性 −
コ
ン
テ
ン
ツ
説明
−
復号化に用いる暗号アルゴリズ
ムに関する情報を指定します。
省略時は復号化に用いる暗号ア
ルゴリズムに関するポリシー
チェックが行われません。
−
−
データ型 指定
回数
−
0
以上
復号化に用いる暗号アルゴリズムに関する情報を指定します。コンテンツはありません。
種別
表 C-79 DecryptionMethod
要素 説明 データ型
属性
Algorithm
受信側で処理可能な暗号アルゴ
リズムの URI を指定します。 anyURI 1
指定
回数
復号に使用する鍵の復号化に関するポリシーチェックの情報を指定します。
種別
表 C-80 KeyDecryption
要素
属性 −
コ
ン
テ
ン
ツ
説明
−
復号化個所に関するポリシー
チェックの情報を指定します。
省略時は復号化個所に関するポ
リシーチェックが行われません。
−
−
データ型 指定
回数
−
0
または
1
タイムスタンプに関するポリシーチェックの情報を指定します。
種別
表 C-81 TimestampConfig
要素 説明 データ型
属性 − − − −
指定
回数
167
付録 C 定義ファイルの項目の詳細
種別
コ
ン
テ
ン
ツ
要素 説明
タイムスタンプ要素の Created 要
素に関するポリシーチェックの情
報を指定します。省略時は
Created 要素に関するポリシー
チェックが行われません。
タイムスタンプ要素の Expires 要
素に関するポリシーチェックの情
報を指定します。省略時は
Expires 要素に関するポリシー
チェックが行われません。
−
−
データ型 指定
回数
0
または
1
0
または
1
タイムスタンプ要素の Created 要素に関するポリシーチェックの情報を指定します。コ
ンテンツはありません。
種別
表 C-82 Created
要素 説明 データ型
属性
Required
1
指定
回数
タイムスタンプ要素内の Created
要素の有無をチェックするかどう
どれかで指定します。"true","1"
を指定した場合タイムスタンプ要
素内の Created 要素の有無を
チェックし,存在しない場合はポ
リシー違反として SOAP Fault を
スローします。"false","0" を指定
した場合タイムスタンプ要素内の
Created 要素の有無をチェックし
ません。 boolean
タイムスタンプ要素の Expires 要素に関するポリシーチェックの情報を指定します。コ
ンテンツはありません。
168
付録 C 定義ファイルの項目の詳細
種別
表 C-83 Expires
要素
属性
Required
説明 データ型
1
指定
回数
タイムスタンプ要素内の Expires
要素の有無をチェックするかどう
どれかで指定します。"true","1"
を指定した場合タイムスタンプ要
素内の Expires 要素の有無を
チェックし,存在しない場合はポ
リシー違反として SOAP Fault を
スローします。"false","0" を指定
した場合タイムスタンプ要素内の
Expires 要素の有無をチェックし
ません。 boolean
レスポンスメッセージ受信時の設定を指定します。
種別
表 C-84 ResponseReceiverConfig
要素 説明
属性 −
コ
ン
テ
ン
ツ
−
Web サービスセキュリティポリ
シー定義を適用する SOAP サービ
スエンドポイントの情報を指定し
ます。
−
−
データ型 指定
回数
−
1
以上
169
付録 D 用語解説
付録 D 用語解説
このマニュアルで使用している用語の意味を説明します。
(英数字)
JAAS
J2SE が提供する標準的なユーザー認証用の API です。JAAS の API によるユーザー認証を JAAS
認証といいます。
SOAP
分散ネットワーク環境の中で XML ベースの情報を交換するために使用する通信プロトコルの名称で
す。
SOAP アプリケーション
SOAP および WSDL の技術を利用して開発し,ネットワークを利用して公開,実行できるアプリ
ケーションのことをいいます。SOAP アプリケーションでは,クライアント側に実装された処理に
よって,SOAP サービスを呼び出し,提供されるサービスを利用します。
SOAP アプリケーション開発支援機能
Cosminexus が提供する,SOAP アプリケーションを開発するための機能です。SOAP アプリケー
ション開発支援機能では,ウィザードを使用しながら SOAP アプリケーションを開発できます。
SOAP サービス
SOAP アプリケーションを形成するプログラムのうち,サーバ側に配置して,クライアントから要
求された処理を実行するプログラム(サービス)のことをいいます。
SOAP 通信基盤
Cosminexus が提供する,SOAP アプリケーションを実行し,SOAP による通信を実現するための
環境です。
SOAP ヘッダ
SOAP メッセージの要素です。SOAP ヘッダでは,メッセージ処理のあて先,およびメッセージ処
理が必要かどうかを指定します。
SOAP ボディ
SOAP メッセージの要素です。SOAP ボディに送信するメッセージの内容を記述します。
SOAP メッセージ
SOAP プロトコルでオブジェクト間の送受信に使用するメッセージです。SOAP メッセージは,
SOAP エンベロープ,SOAP ヘッダ,および SOAP ボディという要素で構成されます。
Web サービス
Web 関連の技術を利用して,ネットワークを介して提供されるサービスです。Web サービスの基礎
170
付録 D 用語解説
となる技術には,SOAP,WSDL,および UDDI などがあります。
Web サービスセキュリティ
このマニュアルでは,WS-Security 仕様に基づいた,SOAP メッセージに対するセキュリティ技術
を Web サービスセキュリティと呼びます。
Web サービスセキュリティ機能
Cosminexus が提供する,Web サービスセキュリティを実現するための機能です。Web サービスセ
キュリティ機能は,Cosminexus Web Services - Security が提供する定義ファイルを設定することに
よって,使用できます。
Web サービスセキュリティ機能定義ファイル
Cosminexus が提供する Web サービスセキュリティ機能の詳細を定義するための XML ファイルで
す。Web サービスセキュリティ機能定義ファイルは,サーバとクライアントの両方に配置します。
Web サービスセキュリティポリシー定義ファイル
Web サービスセキュリティ機能を使用する場合に従うポリシーを定義するための XML ファイルで
す。Web サービスセキュリティポリシー定義ファイルは,サーバとクライアントの両方に配置しま
す。
WS-Security
OASIS が規定している,Web サービスのセキュリティに関する仕様書です。WS-Security は,
XML セキュリティの技術を利用しています。
XML セキュリティ
このマニュアルでは,W3C が規定している XML 署名および XML 暗号を総称して XML セキュリ
ティと呼びます。
(カ行)
環境設定ファイル
サーバやクライアントの実行環境に合わせて,必要な設定を変更するためのプロパティファイルで
す。環境設定ファイルには,キーストアファイルや証明書ファイルの格納場所などを記述します。
共通鍵
共通鍵暗号で使用する,決められた 2 者間だけで共有する鍵(secret key)です。共通鍵暗号では,
共通鍵でデータを復号化します。共通鍵は,決められた 2 者が安全に管理します。
公開鍵
公開鍵暗号で使用する,データの暗号化または電子署名を検証するのための鍵です。公開鍵は,通
常ネットワーク上などで公開されています。データを暗号化して送信する場合,送信者は受信者の
公開鍵を使用してデータを暗号化します。また,受信した電子署名を検証する場合は,受信者は送
信者の公開鍵を使用して電子署名を検証します。
コマンドライン Java アプリケーション
コマンドラインから起動して使用する Java アプリケーションです。
171
付録 D 用語解説
(サ行)
証明書
オープンな企業情報システム上で情報をやり取りするときに,通信相手が本人であることを証明す
るための電子的な情報です。暗号技術を用いることで,他人が成り済ますことができないように
なっています。Web サービスセキュリティ機能では,X.509 証明書を扱えます。
セキュリティトークン要素
WS-Security で規定されている,セキュリティトークンに関する要素です。Web サービスセキュリ
ティ機能で扱うセキュリティトークン要素は,UsernameToken 要素と BinarySecurityToken 要素
です。
セキュリティヘッダ
SOAP ヘッダに含まれる wsse:Security という名称の要素です。セキュリティヘッダはセキュリ
ティ要素で構成されます。
セキュリティ要素
SOAP メッセージに含まれる,セキュリティに関する要素です。このマニュアルでは,セキュリ
ティトークン要素,署名要素,暗号化要素などを総称してセキュリティ要素と呼びます。
(タ行)
デプロイ定義ファイル
Web サービスセキュリティ機能を利用するために必要な情報を読み込む処理を定義する XML ファ
イルです。デプロイ定義ファイルには,サーバ用のファイルとクライアント用のファイルの 2 種類
があります。
(ハ行)
秘密鍵
公開鍵暗号で使用する,データの復号化または電子署名を作成するのための鍵(private key)です。
非公開鍵ともいいます。秘密鍵は,その所有者が安全に管理します。
暗号化されたデータを受信した場合,受信者は自分の秘密鍵を使用してデータを復号化します。ま
た,送信するデータに電子署名を付加する場合は,送信者は自分の秘密鍵を使用し電子署名を作成
します。
172
索引
A
AES-128
AES-128 鍵ラッピング(128bit 鍵)
AES-192
AES-192 鍵ラッピング
AES-256
AES-256 鍵ラッピング(256bit 鍵)
AuthenticationConfig
AuthnMethod
AuthorityCertificateFile
AuthorityCertificateLocationList
B base64(エンコード)
base64(変換アルゴリズム)
BinarySecurityTokenConfig
BindingConfig
C
Callback オブジェクトの生成について
CanonicalizationMethod
CanonicalizationMethodList
CanonicalizeParam
Canonical XML(コメント付き)
Canonical XML(コメントなし)
Certificate
ConfigurationIndex
ContentsDecryption
ContentsEncryption
Created
D
DecryptionConfig
DecryptionKeyLocationList
DecryptionMethod
DecryptionMethodList
DecryptionPolicyConfig
DecryptionSecretKeyLocationList
DecryptionTarget
Diffie-Hellman Key Agreement
Diffie-Hellman Key Values
DirectReference
DSAwithSHA1
E
EncryptionConfig
EncryptionMethod
EncryptionTarget
Enveloped Signature
Exclusive Canonical XML(コメント付き)
Exclusive Canonical XML(コメントなし)
Expires
F
FaultActor
FaultCode
FaultDetails
FaultString
Fresh-Time-Limit
G getCreated
getId
getMessage
getNonce
getPassword
getPasswordType
getRole
getUsername
getWSSElementProxy(実装クラスから生
成)
getWSSElementProxy(スタブクラスから
生成)
getWSSElementProxy(メッセージクラス
から生成)
173
索引 getWSSUsernameToken
GlobalConfig
H
HMAC-SHA1
J
JAAS〔用語解説〕
JAAS 認証
JAAS ログインモジュールの実装時の注意
K
KDCGA0001-E
KDCGA9000-E
KDCGA で始まるメッセージ
KDCGC0001-E
KDCGC0002-E
KDCGC0003-W
KDCGC0004-W
KDCGC で始まるメッセージ
KDCGF0001-E
KDCGF0002-E
KDCGF0003-E
KDCGF0004-E
KDCGF0005-E
KDCGF0006-E
KDCGF0007-E
KDCGF0008-E
KDCGF0009-E
KDCGF で始まるメッセージ
KDCGJ0001-E
KDCGK0001-I
KDCGK0010-E
KDCGK0011-E
KDCGK0012-E
KDCGK0013-E
KDCGK0100-E
KDCGK0101-E
KDCGK9000-E
KDCGK で始まるメッセージ
KDCGO0001-I
KDCGO0002-E
KDCGO0010-E
KDCGO0011-E
KDCGO0012-E
KDCGO9000-E
KDCGO で始まるメッセージ
KDCGP0001-E
KDCGP0002-E
KDCGP1001-E
KDCGP1002-E
KDCGP1003-E
KDCGP1004-E
KDCGP9000-E
KDCGP で始まるメッセージ
KDCGS0001-E
KDCGS0004-E
KDCGS0005-E
KDCGS0007-E
KDCGS0008-E
KDCGS0009-E
KDCGS0010-E
KDCGS0011-E
KDCGS0012-E
KDCGS0013-E
KDCGS0014-E
KDCGS0015-E
KDCGS1002-E
KDCGS1003-E
KDCGS9000-E
KDCGS で始まるメッセージ
KDCGW0001-E
KDCGW0002-E
KDCGW0003-E
KDCGW9000-E
KDCGW で始まるメッセージ
KeyDecryption
KeyEncryption
KeyEncryptionKey
KeyIdentifier
KeyLocator
KeyReferenceConfig
KeyStore
174
索引
L
LoginContext
M
Max-Clock-Skew
N newWSSElementProxy(実装クラスから生
成)
newWSSElementProxy(スタブクラスから
生成)
newWSSElementProxy(メッセージクラス
から生成)
Nonce
P
Password
PolicyConfig
PrivateKey
R
ReceiverPortConfig
removeWSSUsernameToken
RequestReceiverConfig
RequestSenderConfig
ResponseReceiverConfig
ResponseSenderConfig
RoleConfig
RSA-OAEP
RSA-v1.5
RSAwithSHA1
S
SecretKeyFile
SecretKeyLocationList
SecurityConfig
SecurityTokenConfig
SenderPortConfig
setId
setPassword
setPasswordType
setRole
setUsername
setWSSUsernameToken
SHA1
SignatureConfig
SignatureKey
SignatureKeyInfo
SignatureMethod
SignatureMethodList
SignatureTarget
SOAP〔用語解説〕
SOAPFault 形式
SOAP アプリケーション〔用語解説〕
SOAP アプリケーション開発支援機能〔用語
解説〕
SOAP サービス〔用語解説〕
SOAP 通信基盤〔用語解説〕
SOAP ヘッダ〔用語解説〕
SOAP ボディ〔用語解説〕
SOAP メッセージ〔用語解説〕
STR Dereference
T
TimestampConfig
Timestamp 要素を使用する場合
TokenValidation
Transform
TransformMethod
TransformMethodList
TransformParam
Triple DES
TRIPLEDES 鍵ラッピング
U
Username
UsernameTokenAuthnConfig
UsernameTokenConfig
V
VerificationConfig
VerificationKeyLocationList
175
索引
VerificationKeyStore
W
Web サービス〔用語解説〕
Web サービスセキュリティ〔用語解説〕
Web サービスセキュリティ機能〔用語解説〕
Webサービスセキュリティ機能定義ファイル
Web サービスセキュリティ機能定義ファイル
〔用語解説〕
Web サービスセキュリティ機能定義ファイル
の運用について
Web サービスセキュリティ機能の実装手順
Web サービスセキュリティと SOAP との関
係
Web サービスセキュリティと XML セキュリ
ティとの関係
Web サービスセキュリティとは
Web サービスセキュリティポリシー定義ファ
イル
Web サービスセキュリティポリシー定義ファ
イル〔用語解説〕
Web サービスセキュリティポリシー定義ファ
イルの運用について
WS-Security〔用語解説〕
WSSElementProxyFactory クラス(セキュ
リティ項目操作クラスの生成)
WSSElementProxy クラス(セキュリティ項
目の操作)
WSSException クラス(例外情報の取得)
WSSUsernameToken.PasswordType インタ
フェース(PasswordType 要素の操作)
WSSUsernameToken クラス
(UsernameToken 要素の操作)
X
X509TokenValidation
XML Decryption Transformation
XML セキュリティ〔用語解説〕
XPath
XPath Filter 2.0
XSLT
あ
暗号化 / 復号化機能を設定する
暗号化する個所を ID 属性で指定する
暗号化する個所をパート名で指定する
い
移行手順〔クライアント側が Web アプリ
ケーションの場合〕
移行手順〔クライアント側がコマンドライン
Java アプリケーションの場合〕
移行手順〔サーバ側の場合〕
インタフェースおよびクラスの一覧
か
開発に必要な製品
環境設定ファイル〔用語解説〕
環境設定ファイルの記述規則
環境設定ファイルの設定項目
完全性
き
共通鍵〔用語解説〕
共通鍵生成コマンド
(CWSSCreateSecretKey)
く
クライアント側が Web アプリケーションの
場合の実装手順
クライアント側がコマンドライン Java アプ
リケーションの場合の実装手順
こ
公開鍵〔用語解説〕
コマンドライン Java アプリケーション〔用
語解説〕
コンストラクタ
176
さ
サーバ側の実装手順
サポート範囲
WS-Security 仕様
XML 暗号標準仕様
XML 署名標準仕様
し
実行環境に合わせて設定を変更する
実行に必要な製品
出力先
出力のタイミング
証明書〔用語解説〕
署名付与 / 検証機能を設定する
署名を付与する個所を ID 属性で指定する
署名を付与する個所をパート名で指定する
せ
セキュリティ機能を組み合わせて使用する場
合
セキュリティトークン要素〔用語解説〕
セキュリティヘッダ
セキュリティ要素〔用語解説〕
前提 OS
開発時
実行時
前提プログラム
開発時
実行時
て
定義ファイル構文チェックコマンド
(CWSSConfCheck)
定義ファイルに関する注意事項
定義ファイルの構文をチェックする
定義ファイルの設定
定義ファイルを編集する
デプロイ定義ファイル〔用語解説〕
と
トレースの重要度
トレースの出力先
トレースの内容
トレースを収集する
に
認証
認証機能を設定する
ひ
秘匿性
秘密鍵〔用語解説〕
ふ
プレフィックス
プログラム構成例
開発時
実行時
め
メッセージ
形式
内容
メッセージ ID
メッセージ種別
メッセージに有効期限を設定する
ろ
ログイン構成ファイルの配置について
索引
177
ソフトウェアマニュアルのサービス ご案内
1.マニュアル情報ホームページ
ソフトウェアマニュアルの情報をインターネットで公開しています。
URL http://www.hitachi.co.jp/soft/manual/
ホームページのメニューは次のとおりです。
■マニュアル一覧
■CD-ROMマニュアル
日立コンピュータ製品マニュアルを製品カテゴリ,マニュアル名称,資料番号の
いずれかから検索できます。
日立ソフトウェアマニュアルと製品群別CD-ROMマニュアルの仕様について記載
■マニュアルのご購入
しています。
マニュアルご購入時のお申し込み方法を記載しています。
■オンラインマニュアル 一部製品のマニュアルをインターネットで公開しています。
■サポートサービス ソフトウェアサポートサービスお客様向けページでのマニュアル公開サービス
を記載しています。
■ご意見・お問い合わせ マニュアルに関するご意見,ご要望をお寄せください。
2.インターネットでのマニュアル公開
2 種類のマニュアル公開サービスを実施しています。
(1) マニュアル情報ホームページ「オンラインマニュアル」での公開
製品をよりご理解いただくためのご参考として,一部製品のマニュアルを公開しています。
(2) ソフトウェアサポートサービスお客様向けページでのマニュアル公開
ソフトウェアサポートサービスご契約のお客様向けにマニュアルを公開しています。公開しているマニ
ュアルの一覧,本サービスの対象となる契約の種別などはマニュアル情報ホームページの「サポートサ
ービス」をご参照ください。
3.マニュアルのご注文
WEB
①ご注文はWEBで
請求書
② 請求書をご送付
B A N K
③ 銀行振込でご入金
お客様
日立インターメディックス(株)
④ マニュアルをお届け
マニュアル
① マニュアル情報ホームページの「マニュアルのご購入」にアクセスし,お申し込み方法をご確認の
うえ WEB からご注文ください。ご注文先は日立インターメディックス(株)となります。
② ご注文いただいたマニュアルについて請求書をお送りします。
③ 請求書の金額を指定銀行へ振り込んでください。
④ 入金確認後 7 日以内にお届けします。在庫切れの場合は,納期を別途ご案内いたします。
広告
主な特徴
- SOAP メッセージの完全性を保証する
- SOAP メッセージの秘匿性を保証する
- SOAP メッセージの認証をサポート
- XML 署名・暗号処理機能を提供する
- JAAS を使用した認証方式をサポートする
- SOAP メッセージに有効期限を設定する