HITACHI Web サービスセキュリティ 使用の手引

HITACHI Web サービスセキュリティ 使用の手引

Web サービスセキュリティは、Cosminexus が提供する Cosminexus Web Services - Security の Web サービスセキュリティ機能について説明したものです。Cosminexus Web Services - Security は、Cosminexus を構成する次のプログラムプロダクトで提供されています。 • P-2443-7F74 uCosminexus Developer Professional • P-2443-7T74 uCosminexus Service Architect • P-2443-7K74 uCosminexus Application Server Enterprise • P-2443-7S74 uCosminexus Service Platform • P-1M43-7K71 uCosminexus Application Server Enterprise • P-1M43-7S71 uCosminexus Service Platform • P-1J43-7K71 uCosminexus Application Server Enterprise • P-9S43-7K71 uCosminexus Application Server Enterprise • P-9S43-7S71 uCosminexus Service Platform • P-9V43-7K71 uCosminexus Application Server Enterprise • P-9D43-7K71 uCosminexus Application Server Enterprise • P-9D43-7S71 uCosminexus Service Platform

広告

アシスタントボット

助けが必要ですか? 私たちのチャットボットは既にマニュアルを読んでおり、あなたをサポートする準備ができています。 デバイスに関する質問はお気軽にどうぞ、詳細を提供することで会話がより生産的になります。

マニュアル 質問
HITACHI Web サービスセキュリティ 使用の手引 | Manualzz

Cosminexus

Web サービスセキュリティ

使用の手引

解説・手引・文法書

3020-3-M48-20

マニュアルの購入方法

このマニュアル,および関連するマニュアルをご購入の際は,

巻末の「ソフトウェアマニュアルのサービス ご案内」をご参

照ください。

■対象製品

●適用 OS:Windows Server 2003,Windows Server 2003 R2,Windows Vista,Windows XP

P-2443-7F74 uCosminexus Developer Professional 07-60

P-2443-7T74 uCosminexus Service Architect 07-60 ※

Server 2003 R2(x64)

P-2443-7K74 uCosminexus Application Server Enterprise 07-60

P-2443-7S74 uCosminexus Service Platform 07-60 ※

●適用 OS:AIX 5L V5.2,AIX 5L V5.3

P-1M43-7K71 uCosminexus Application Server Enterprise 07-60 ※

P-1M43-7S71 uCosminexus Service Platform 07-60 ※

P-1J43-7K71 uCosminexus Application Server Enterprise 07-60 ※

Enterprise Linux ES 3(x86),Red Hat Enterprise Linux ES 4(x86),Red Hat Enterprise Linux AS 3

ES 3(AMD64 & Intel EM64T),Red Hat Enterprise Linux ES 4(AMD64 & Intel EM64T)

P-9S43-7K71 uCosminexus Application Server Enterprise 07-60 ※

Enterprise Linux 5 Advanced Platform(x86),Red Hat Enterprise Linux ES 3(x86),Red Hat Enterprise

Linux ES 4(x86),Red Hat Enterprise Linux 5(x86),Red Hat Enterprise Linux AS 3(AMD64 & Intel

EM64T),Red Hat Enterprise Linux AS 4(AMD64 & Intel EM64T),Red Hat Enterprise Linux 5 Advanced

Platform(AMD/Intel 64),Red Hat Enterprise Linux ES 3(AMD64 & Intel EM64T),Red Hat Enterprise

Linux ES 4(AMD64 & Intel EM64T),Red Hat Enterprise Linux 5(AMD/Intel 64)

P-9S43-7S71 uCosminexus Service Platform 07-60 ※

Enterprise Linux 5 Advanced Platform(Intel Itanium)

P-9V43-7K71 uCosminexus Application Server Enterprise 07-60 ※

●適用 OS:Solaris 9,Solaris 10

P-9D43-7K71 uCosminexus Application Server Enterprise 07-60 ※

P-9D43-7S71 uCosminexus Service Platform 07-60 ※

※印の製品については,サポート時期をご確認ください。

上記のプログラムプロダクトのほかにもこのマニュアルをご利用になれる場合があります。詳細は「リリー

スノート」でご確認ください。

本製品では日立トレース共通ライブラリをインストールします。

■輸出時の注意

本製品を輸出される場合には,外国為替および外国貿易法ならびに米国の輸出管理関連法規などの規制をご

確認の上,必要な手続きをお取りください。

なお,ご不明な場合は,弊社担当営業にお問い合わせください。

■商標類

AIX は,米国における米国 International Business Machines Corp. の登録商標です。

AMD, AMD Opteron およびその組み合わせは,Advanced Micro Devices, Inc. の商標です。

HP-UX は,米国 Hewlett-Packard Company のオペレーティングシステムの名称です。

Intel は,Intel Corporation の会社名です。

Itanium は,アメリカ合衆国および他の国におけるインテル コーポレーションまたはその子会社の登録商標

です。

Java 及びすべての Java 関連の商標及びロゴは,米国及びその他の国における米国 Sun Microsystems,Inc.

の商標または登録商標です。

JDK は,米国 Sun Microsystems, Inc. の米国およびその他の国における商標または登録商標です。

Linux は,Linus Torvalds の米国およびその他の国における登録商標あるいは商標です。

Microsoft は,米国およびその他の国における米国 Microsoft Corp. の登録商標です。

Red Hat は,米国およびその他の国で Red Hat, Inc. の登録商標若しくは商標です。

SOAP(Simple Object Access Protocol)は,分散ネットワーク環境において XML ベースの情報を交換する

ための通信プロトコルの名称です。

Solaris は,米国 Sun Microsystems, Inc. の米国およびその他の国における商標または登録商標です。

Sun,Sun Microsystems,Java は,米国 Sun Microsystems, Inc. の米国およびその他の国における商標ま

たは登録商標です。

UNIX は,X/Open Company Limited が独占的にライセンスしている米国ならびに他の国における登録商標

です。

Windows は,米国およびその他の国における米国 Microsoft Corp. の登録商標です。

Windows Server は,米国 Microsoft Corporation の米国及びその他の国における登録商標です。

Windows Vista は,米国 Microsoft Corporation の米国及びその他の国における登録商標です。

This product includes software developed by the Apache Software Foundation (http://www.apache.org/).

プログラムプロダクト「P-9D43-7K71,P-9D43-7S71」には,米国 Sun Microsystems,Inc. が著作権を有し

ている部分が含まれています。

プログラムプロダクト「P-9D43-7K71,P-9D43-7S71」には,UNIX System Laboratories,Inc. が著作権を

有している部分が含まれています。

■発行

2006 年 4 月 ( 第 1 版 ) 3020-3-M48

2007 年 12 月 ( 第 2 版 ) 3020-3-M48-20

■著作権

All Rights Reserved. Copyright (C) 2006, 2007, Hitachi, Ltd.

変更内容

変更内容(3020-3-M48-20)uCosminexus Developer Professional 07-60,uCosminexus

Application Server Enterprise 07-60,uCosminexus Service Architect 07-60,uCosminexus

Service Platform 07-60

変更個所 追加・変更内容

次の前提 OS を削除した。

Windows 2000 Server

Windows 2000 Professional

次の前提 OS を追加した。

Windows Vista

次の前提 OS を削除した。

AIX 5L V5.1

Solaris 8

次の前提 OS を追加した。

HP-UX 11i V3(IPF)

Red Hat Enterprise Linux ES 3(AMD64 & Intel EM64T)

Red Hat Enterprise Linux ES 4(AMD64 & Intel EM64T)

Red Hat Enterprise Linux 5 Advanced Platform(x86)

Red Hat Enterprise Linux 5(x86)

Red Hat Enterprise Linux 5 Advanced Platform(AMD/Intel

64)

Red Hat Enterprise Linux 5(AMD/Intel 64)

Red Hat Enterprise Linux AS 3(IPF)

Red Hat Enterprise Linux AS 4(IPF)

Red Hat Enterprise Linux 5 Advanced Platform(Intel

Itanium)

WS-Security v1.1 対応に伴い,次の内容を変更した。

WSSUsernameToken.PasswordType クラスの列挙値の形式

WSSUsernameToken.PasswordType インタフェース

(PasswordType 要素の操作)のクラス定義,およびパスワード

種別の形式

Fault コードの接頭辞,および名前空間

WS-Security 標準仕様

WS-Security 仕様のサポート範囲

Web サービスセキュリティ機能定義ファイルの項目

(BinarySecurityTokenConfig,KeyIdentifier,Password)

Web サービスセキュリティポリシー定義ファイルの項目

(TokenValidation)

メッセージを変更した。

KDCGF0001-E ∼ KDCGF0008-E,KDCGW0001-E ∼ 

KDCGW0003-E,KDCGW9000-E

メッセージを追加した。

KDCGF0009-E,KDCGF0010-E

下位バージョンからの移行手順を追加した。

2.1.1

2.1.1

2.2.1

2.2.1

表 5-16,5.5,7.2.3,7.2.9,付録

A,表 A-1,表 C-12,表 C-24,

表 C-35,表 C-62

7.2.3,7.2.9

7.2.3

付録 B

単なる誤字・脱字などはお断りなく訂正しました。

はじめに

このマニュアルは,Cosminexus が提供する Cosminexus Web Services - Security の Web サー

ビスセキュリティ機能について説明したものです。

Cosminexus Web Services - Security は,Cosminexus を構成する次のプログラムプロダクトで

提供されています。

P-2443-7F74 uCosminexus Developer Professional

P-2443-7T74 uCosminexus Service Architect

P-2443-7K74 uCosminexus Application Server Enterprise

P-2443-7S74 uCosminexus Service Platform

P-1M43-7K71 uCosminexus Application Server Enterprise

P-1M43-7S71 uCosminexus Service Platform

P-1J43-7K71 uCosminexus Application Server Enterprise

P-9S43-7K71 uCosminexus Application Server Enterprise

P-9S43-7S71 uCosminexus Service Platform

P-9V43-7K71 uCosminexus Application Server Enterprise

P-9D43-7K71 uCosminexus Application Server Enterprise

P-9D43-7S71 uCosminexus Service Platform

Cosminexus Web Services - Security の XML 署名・暗号処理機能については,マニュアル

「Cosminexus XML Security - Core ユーザーズガイド」を参照してください。

■対象読者

このマニュアルは,Cosminexus が提供する SOAP アプリケーション開発支援機能を利用して

開発した SOAP アプリケーションに対して,Web サービスセキュリティ機能を使用する方を対

象としています。また,このマニュアルをご利用になる方は,XML,SOAP,およびセキュリ

ティに関する基本的な事項を理解されていることを前提としています。

■マニュアルの構成

このマニュアルは,次に示す章と付録から構成されています。

第 1 章 Web サービスセキュリティの概要

Web サービスセキュリティとは何か,また Cosminexus が提供する Web サービスセキュリティの

機能について説明しています。

第 2 章 開発または実行に必要な製品

Web サービスセキュリティ機能を使用するために必要な OS,およびプログラムプロダクトにつ

いて説明しています。

第 3 章 Web サービスセキュリティ機能を使用する

Web サービスセキュリティ機能を使用する場合に必要な設定,および実装について説明していま

I

はじめに

す。

第 4 章 Web サービスセキュリティ機能が提供するコマンド

Web サービスセキュリティ機能が提供するコマンドの形式やオプションなどを説明しています。

第 5 章 Web サービスセキュリティ機能が提供する API

Web サービスセキュリティ機能が提供する API の構文や引数など,API の仕様について説明して

います。

第 6 章 障害対策

障害が発生した場合の対処方法を説明しています。

第 7 章 メッセージ一覧

Web サービスセキュリティ機能が出力するメッセージの内容および対処方法などについて説明し

ています。

付録 A 標準仕様への対応

Web サービスセキュリティ機能がサポートする WS-Security 標準仕様,XML 署名標準仕様,お

よび XML 暗号標準仕様について説明しています。

付録 B 下位バージョンからの移行手順

Web サービスセキュリティ機能の下位バージョンからの移行手順について説明しています。

付録 C 定義ファイルの項目の詳細

Web サービスセキュリティ機能を使用する場合に必要な定義ファイルの要素名および指定回数を

説明しています。また,各項目の役割についても説明しています。

付録 D 用語解説

このマニュアルで使用している用語の意味を説明しています。

■関連マニュアル

このマニュアルをご利用するに当たって,必要に応じて次に示すマニュアルを参照してくださ

い。

Cosminexus 機能解説(3020-3-M03)

Cosminexus リファレンス 定義編(3020-3-M11)

Cosminexus SOAP アプリケーション開発ガイド(3020-3-M47)

Cosminexus XML Security - Core ユーザーズガイド(3020-3-M49)

Cosminexus XML Processor ユーザーズガイド(3020-3-M44)

■読書手順

このマニュアルをご利用になるときは,目的に応じて必要な章をお読みください。各章の利用

目的の例を次に示しますので,ご利用の際の目安にしてください。

II

はじめに

章タイトル 利用目的の例

第 1 章 Web サービスセキュリティの概要

第 2 章 開発または実行に必要な製品

Web サービスセキュリティとは何かを知りたい。

Web サービスセキュリティ機能とは何かを知り

たい。

Web サービスセキュリティ機能を使用するため

に必要な OS とソフトウェアの種類およびバー

ジョンを知りたい。

第 3 章 Web サービスセキュリティ機能を使用する

Web サービスセキュリティ機能を使用するため

の設定方法を知りたい。

Web サービスセキュリティ機能の実装方法を知

りたい。

第 4 章 Web サービスセキュリティ機能が提供する

コマンド

第 5 章 Web サービスセキュリティ機能が提供する

API

どのようなコマンドがあるのかを知りたい。

コマンドの使用方法を知りたい。

どのような API があるのかを知りたい。

API の使用方法を知りたい。

第 6 章 障害対策

第 7 章 メッセージ一覧

付録 A 標準仕様への対応

付録 B 下位バージョンからの移行手順

付録 C 定義ファイルの項目の詳細

付録 D 用語解説

障害が発生した場合の対処方法を知りたい。

トレースファイルの収集方法を知りたい。

アプリケーションログの収集方法を知りたい。

メッセージが出力された場合の要因や対処方法

を知りたい。

WS-Security 標準仕様のサポート範囲を知りた

い。

XML 署名標準仕様のサポート範囲を知りたい。

XML 暗号標準仕様のサポート範囲を知りたい。

下位バージョンからバージョンアップする場合

の移行方法を知りたい。

定義ファイルで設定する項目の要素名,説明,

または指定回数を知りたい。

このマニュアルで使用されている用語の意味を

知りたい。

■図中で使用する記号

このマニュアルの図中で使用する記号を,次のように定義します。

III

はじめに

■このマニュアルで使用している記号

このマニュアルで使用している記号を次のように定義します。

< >

記号 意味

< > で囲まれた部分は状況に応じて変化する内容であることを示します。

■このマニュアルでの表記

このマニュアルでは,製品名を次のように表記しています。

IPF

UNIX

Windows

AIX

製品名

HP-UX

Linux

Solaris

HP-UX(IPF)

Linux(x86,

AMD64 & Intel

EM64T)

Linux(IPF)

Windows Server 2003

Windows Server 2003(x64)

略称

Itanium(R) Processor Family

AIX 5L V5.2

AIX 5L V5.3

HP-UX 11i V2.0(IPF)

HP-UX 11i V3.0(IPF)

Red Hat Enterprise Linux AS 3(x86)

Red Hat Enterprise Linux AS 4(x86)

Red Hat Enterprise Linux 5 Advanced Platform(x86)

Red Hat Enterprise Linux ES 3(x86)

Red Hat Enterprise Linux ES 4(x86)

Red Hat Enterprise Linux 5(x86)

Red Hat Enterprise Linux AS 3(AMD64 & Intel

EM64T)

Red Hat Enterprise Linux AS 4(AMD64 & Intel

EM64T)

Red Hat Enterprise Linux 5 Advanced Platform(AMD/

Intel 64)

Red Hat Enterprise Linux ES 3(AMD64 & Intel

EM64T)

Red Hat Enterprise Linux ES 4(AMD64 & Intel

EM64T)

Red Hat Enterprise Linux 5(AMD/Intel 64)

Red Hat Enterprise Linux AS 3(IPF)

Red Hat Enterprise Linux AS 4(IPF)

Red Hat Enterprise Linux 5 Advanced Platform(Intel

Itanium)

Solaris 9

Solaris 10

Microsoft(R) Windows Server(R) 2003,Standard

Edition Operating System

Microsoft(R) Windows Server(R) 2003,Enterprise

Edition Operating System

Microsoft(R) Windows Server(R) 2003,Standard x64

Edition Operating System

Microsoft(R) Windows Server(R) 2003,Enterprise x64

Edition Operating System

IV

はじめに

製品名

Windows Server 2003 R2

Windows Server 2003 R2(x64)

Windows Vista

Windows XP

略称

Microsoft(R) Windows Server(R) 2003 Release 2,

Standard Edition Operating System

Microsoft(R) Windows Server(R) 2003 Release 2,

Enterprise Edition Operating System

Microsoft(R) Windows Server(R) 2003 Release 2,

Standard x64 Edition Operating System

Microsoft(R) Windows Server(R) 2003 Release 2,

Enterprise x64 Edition Operating System

Microsoft(R) Windows Vista(R) Business

Microsoft(R) Windows Vista(R) Enterprise

Microsoft(R) Windows Vista(R) Ultimate

Microsoft(R) Windows(R) XP Professional Operating

System

■このマニュアルで使用する略語

このマニュアルでは,次に示す略語を使用しています。

RPC

URI

URL

W3C

WAR

WS

XML

略語

API

EJB

J2SE

JAAS

JAR

OASIS

OS

正式名称

Application Programming Interface

Enterprise Java Beans

Java 2 Platform, Standard Edition

Java Authentication and Authorization Service

Java Archive

Organization for the Advancement of Structured Information Standards

Operating System

Remote Procedure Call

Uniform Resource Identifier

Uniform Resource Locator

World Wide Web Consortium

Web Archive

Web Service

Extensible Markup Language

■このマニュアルで使用する名前空間

このマニュアルでは,次に示す名前空間を使用しています。

プレフィックス ds http://www.w3.org/2000/09/xmldsig#

名前空間

V

はじめに

プレフィックス soapenv wsse wsu

名前空間 http://www.w3.org/2001/12/soap-envelope http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd

http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd

■適用 OS の違いによる機能相違点の表記

OS によって記述を書き分ける場合,次に示す表記を使用しています。

表記

Windows の場合

その他の OS の場合

意味

Windows 系の OS を使用している場合

Windows 系以外の OS(HP-UX,AIX,Linux,または Solaris)を使

用している場合

■ Windows の場合のフォルダとパスの表記

このマニュアルでは,Windows,HP-UX,AIX,Linux および Solaris で共通の内容の場合,

Windows の「フォルダ」を「ディレクトリ」と表記しています。また,「¥」を「/」と表記して

います。

Windows の場合,「ディレクトリ」を「フォルダ」に,「/」を「¥」に置き換えてお読みくださ

い。

■常用漢字以外の漢字の使用について

このマニュアルでは,常用漢字を使用することを基本としていますが,次に示す用語について

は,常用漢字以外の漢字を使用しています。

■ KB(キロバイト)などの単位表記について

1KB(キロバイト),1MB(メガバイト),1GB(ギガバイト),1TB(テラバイト)はそれぞれ

1,024 バイト,1,024

2

バイト,1,024

3

バイト,1,024

4

バイトです。

VI

1

Web サービスセキュリティの概要

1.1 Web サービスセキュリティとは

1.1.1 Web サービスセキュリティと SOAP との関係

1.1.2 Web サービスセキュリティと XML セキュリティとの関係

1.2 Cosminexus が提供する Web サービスセキュリティ機能

1.2.1 SOAP メッセージの完全性を保証する

1.2.2 SOAP メッセージの秘匿性を保証する

1.2.3 SOAP メッセージの認証をサポート

2

開発または実行に必要な製品

2.1 開発に必要な製品

2.1.1 開発時の前提 OS

2.1.2 開発時の前提プログラム

2.1.3 開発時のプログラム構成例

2.2 実行に必要な製品

2.2.1 実行時の前提 OS

2.2.2 実行時の前提プログラム

2.2.3 実行時のプログラム構成例

3

Web サービスセキュリティ機能を使用する

11

3.1 定義ファイルの設定 12

3.1.1 Web サービスセキュリティ機能定義ファイル

3.1.2 Web サービスセキュリティポリシー定義ファイル

12

13

3.2 署名付与/検証機能を設定する 15

3.2.1 署名を付与する個所をパート名で指定する

17

3.2.2 署名を付与する個所を ID 属性で指定する

17

3.3 暗号化/復号化機能を設定する 18

3.3.1 暗号化する個所をパート名で指定する

19

3.3.2 暗号化する個所を ID 属性で指定する

20

3.4 認証機能を設定する 21

3.5 メッセージに有効期限を設定する 23

3.6 定義ファイルの構文をチェックする 24

5

8

8

9

9

6

6

6

6

1

3

3

3

3

2

2

2

i

ii

目次

3.7 定義ファイルに関する注意事項 25

3.8 実行環境に合わせて設定を変更する 27

3.8.1 環境設定ファイルの記述規則

27

3.8.2 環境設定ファイルの設定項目

27

3.9 Web サービスセキュリティ機能の実装手順 30

3.9.1 サーバ側の実装手順

3.9.2 クライアント側が Web アプリケーションの場合の実装手順

3.9.3 クライアント側がコマンドライン Java アプリケーションの場合の実装手順

3.9.4 JAAS ログインモジュールの実装時の注意

30

32

33

33

4

Web サービスセキュリティ機能が提供するコマンド

37

4.1 共通鍵生成コマンド(CWSSCreateSecretKey) 38

4.2 定義ファイル構文チェックコマンド(CWSSConfCheck) 40

5

Web サービスセキュリティ機能が提供する API

5.1 インタフェースおよびクラスの一覧 44

43

5.2  WSSElementProxyFactory クラス(セキュリティ項目操作クラスの生成) 45

newWSSElementProxy(スタブクラスから生成)

newWSSElementProxy(メッセージクラスから生成)

46

48

newWSSElementProxy(実装クラスから生成)

getWSSElementProxy(スタブクラスから生成)

getWSSElementProxy(メッセージクラスから生成)

getWSSElementProxy(実装クラスから生成)

50

51

53

55

5.3  WSSElementProxy クラス(セキュリティ項目の操作) 56

getWSSUsernameToken

setWSSUsernameToken

57

58

removeWSSUsernameToken

getRole

setRole

59

60

61

5.4  WSSUsernameToken クラス(UsernameToken 要素の操作) 62

コンストラクタ

64

getUsername

66

setUsername

getPassword

setPassword

67

68

69

目次

6

障害対策

79

6.1 トレースを収集する 80

6.1.1 トレースの内容

80

6.1.2 トレースの出力先

6.1.3 トレースの重要度

81

81

7

getId

setId

getPasswordType

setPasswordType

getNonce

getCreated

5.5  WSSUsernameToken.PasswordType インタフェース(PasswordType 要素の

操作)

76

5.6  WSSException クラス(例外情報の取得) 77

getMessage

78

70

71

72

73

74

75

メッセージ一覧

83

7.1 メッセージの形式 84

7.2 メッセージの内容 86

7.2.1 KDCGA で始まるメッセージ

86

7.2.2 KDCGC で始まるメッセージ

7.2.3 KDCGF で始まるメッセージ

87

89

7.2.4 KDCGJ で始まるメッセージ

7.2.5 KDCGK で始まるメッセージ

7.2.6 KDCGO で始まるメッセージ

7.2.7 KDCGP で始まるメッセージ

7.2.8 KDCGS で始まるメッセージ

7.2.9 KDCGW で始まるメッセージ

98

99

102

104

107

114

付録

119

付録 A 標準仕様への対応 120

付録 A.1 WS-Security 仕様のサポート範囲

付録 A.2 XML 署名標準仕様のサポート範囲

付録 A.3 XML 暗号標準仕様のサポート範囲

120

122

123

iii

iv

目次

付録 B 下位バージョンからの移行手順 125

付録 C 定義ファイルの項目の詳細 129

付録 C.1 Web サービスセキュリティ機能定義ファイルの項目

131

付録 C.2 Web サービスセキュリティポリシー定義ファイルの項目

154

付録 D 用語解説 170

索引

173

1

Web サービスセキュリティ

の概要

この章では,Web サービスセキュリティとは何か,また,Web

サービスセキュリティと SOAP,および XML セキュリティと

の関係について説明します。また,Cosminexus が提供する

Web サービスセキュリティ機能についても説明します。

1.1 Web サービスセキュリティとは

1.2 Cosminexus が提供する Web サービスセキュリティ機能

1

2

1. 

Web サービスセキュリティの概要

1.1 Web サービスセキュリティとは

Web サービスセキュリティとは,広義には Web サービスを安全に実現するためのセキュ

リティ技術全般を指します。現在,代表的な Web サービスセキュリティは,XML 署名

および XML 暗号を利用した XML セキュリティです。また,Web サービスの実現には,

SOAP を使用するのが一般的です。この節では,Web サービスセキュリティと SOAP,

および XML セキュリティとの関係について説明します。

1.1.1 Web サービスセキュリティと SOAP との関係

Web サービスの多くは,SOAP メッセージを送受信することで実現します。SOAP メッ

セージは XML 形式のデータです。そのため,ネットワークを経由して,そのまま

SOAP メッセージを送信した場合,データの内容を改ざんされたり,カード番号などの

重要な情報を第三者に盗聴されたりしてしまうおそれがあります。このような改ざんや

盗聴を防止するための技術が Web サービスセキュリティです。

Cosminexus Web Services - Security は,Cosminexus Component Container の SOAP

通信基盤機能に組み込んで,Web サービスセキュリティに対応した SOAP メッセージを

送受信する場合に使用します。Cosminexus Web Services - Security は,SOAP 通信基

盤機能の互換/標準モードのどちらでも使用できます。

また,Cosminexus Component Container の SOAP アプリケーション開発支援機能で

Web サービスセキュリティ対応の SOAP アプリケーションを開発する場合にも,

Cosminexus Web Services - Security を使用します。SOAP アプリケーションの開発に

ついては,マニュアル「Cosminexus SOAP アプリケーション開発ガイド」を参照して

ください。

1.1.2 Web サービスセキュリティと XML セキュリティとの

関係

W3C が規定している XML 署名および XML 暗号の仕様を XML セキュリティと呼びま

す。XML セキュリティを利用すると,SOAP メッセージに XML 署名を付与したり,

SOAP メッセージを暗号化したりできます。代表的な Web サービスセキュリティは,

OASIS で規定されているもので,XML セキュリティを利用した安全な Web サービスを

実現します。

Cosminexus Web Services - Security は,XML 署名・暗号処理機能を利用した Web

サービスセキュリティ機能を提供します。XML 署名・暗号処理機能については,マニュ

アル「Cosminexus XML Security - Core ユーザーズガイド」を参照してください。

1. 

Web サービスセキュリティの概要

1.2 Cosminexus が提供する Web サービスセ

キュリティ機能

Cosminexus では,Cosminexus Web Services - Security を利用して Web サービスセ

キュリティを実現します。Cosminexus Web Services - Security が提供する機能のうち,

SOAP メッセージの完全性や秘匿性などのセキュリティを提供する機能を Web サービス

セキュリティ機能と呼びます。

1.2.1 SOAP メッセージの完全性を保証する

Web サービスセキュリティ機能は,SOAP メッセージの完全性を保証します。SOAP

メッセージが送受信中に改ざんされないよう,SOAP メッセージの完全性を保証するた

めの方法として,署名を利用する方法があります。

Web サービスセキュリティ機能を使用すると,SOAP メッセージに署名を付与できます。

SOAP メッセージに署名が付与されている場合,SOAP メッセージを受信したときに署

名を検証することによって,SOAP メッセージが送受信中に改ざんされていないかどう

かを調べられます。また,SOAP メッセージに証明書が付与されている場合は,Web

サービスセキュリティ機能で証明書も検証できます。

1.2.2 SOAP メッセージの秘匿性を保証する

Web サービスセキュリティ機能は,SOAP メッセージの秘匿性を保証します。SOAP

メッセージが送受信中に第三者によって盗聴されないよう,SOAP メッセージの秘匿性

を保証するための方法として,SOAP メッセージを暗号化する方法があります。

Web サービスセキュリティ機能を使用すると,必要な部分だけを指定して SOAP メッ

セージを暗号化することができます。Web サービスセキュリティ機能では,暗号化に

XML 暗号を使用します。暗号化することによって,SOAP メッセージの送受信中に第三

者にメッセージの内容を盗聴されるおそれがなくなります。

1.2.3 SOAP メッセージの認証をサポート

Web サービスセキュリティ機能は,SOAP メッセージの認証および証明書の検証をサ

ポートしています。SOAP メッセージの送信者を特定する必要がある場合は,ユーザー

名やパスワードを SOAP メッセージに含めるように設定できます。

3

2

開発または実行に必要な製

この章では,Web サービスセキュリティ機能の前提 OS および

前提プログラムを,開発時と実行時に分けて説明します。ま

た,開発時と実行時のプログラム構成例をそれぞれ紹介しま

す。

2.1 開発に必要な製品

2.2 実行に必要な製品

5

6

2. 

開発または実行に必要な製品

2.1 開発に必要な製品

この節では,Cosminexus Web Services - Security が提供する Web サービスセキュリ

ティ機能を SOAP アプリケーション開発支援機能に組み込んで SOAP アプリケーション

を開発する場合の,前提 OS および前提プログラムについて説明します。また,開発時

のプログラム構成例についても説明します。

2.1.1 開発時の前提 OS

Web サービスセキュリティ機能を SOAP アプリケーション開発支援機能に組み込んで開

発する場合の前提 OS は,次のどれかです。

Windows Vista

Windows XP

Windows Server 2003

Windows Server 2003 R2

2.1.2 開発時の前提プログラム

Web サービスセキュリティ機能を SOAP アプリケーション開発支援機能に組み込んで

SOAP アプリケーションを開発する場合に,必要となる前提プログラムを次の表に示し

ます。前提プログラムのバージョンについては「リリースノート」でご確認ください。

表 2-1 前提プログラム一覧(開発時)

分類

J2EE サーバ,SOAP アプリケーショ

ン開発支援機能

Java

TM

2SDK

XML プロセッサ

プログラム名

Cosminexus Component Container

Cosminexus Developer's Kit for Java

TM

Cosminexus XML Processor

2.1.3 開発時のプログラム構成例

Web サービスセキュリティ機能を SOAP アプリケーション開発支援機能に組み込んで

SOAP アプリケーションを開発する場合のプログラム構成例を次に示します。

2. 

開発または実行に必要な製品

図 2-1 Web サービスセキュリティ機能を組み込む場合のプログラム構成例

7

8

2. 

開発または実行に必要な製品

2.2 実行に必要な製品

この節では,Cosminexus Web Services - Security が提供する Web サービスセキュリ

ティ機能を組み込んだ SOAP アプリケーションを実行する場合の,前提 OS および前提

プログラムについて説明します。また,実行時のプログラム構成例についても説明しま

す。

2.2.1 実行時の前提 OS

Web サービスセキュリティ機能を組み込んだ SOAP アプリケーションを実行する場合の

前提 OS は,次のどれかです。

Windows Server 2003

Windows Server 2003(x64)

Windows Server 2003 R2

Windows Server 2003 R2(x64)

Red Hat Enterprise Linux AS 3(x86)

Red Hat Enterprise Linux AS 4(x86)

Red Hat Enterprise Linux 5 Advanced Platform(x86) ※ 1

Red Hat Enterprise Linux ES 3(x86)

Red Hat Enterprise Linux ES 4(x86)

Red Hat Enterprise Linux 5(x86)

※ 1

Red Hat Enterprise Linux AS 3(AMD64 & Intel EM64T)

Red Hat Enterprise Linux AS 4(AMD64 & Intel EM64T)

Red Hat Enterprise Linux 5 Advanced Platform(AMD/Intel 64) ※ 1

Red Hat Enterprise Linux ES 3(AMD64 & Intel EM64T)

Red Hat Enterprise Linux ES 4(AMD64 & Intel EM64T)

Red Hat Enterprise Linux 5(AMD/Intel 64) ※ 1

Red Hat Enterprise Linux AS 3(IPF)

Red Hat Enterprise Linux AS 4(IPF)

Red Hat Enterprise Linux 5 Advanced Platform(Intel Itanium) ※ 2

Solaris 9

Solaris 10

AIX 5L V5.2

AIX 5L V5.3

HP-UX 11i V2(IPF) ※ 2

HP-UX 11i V3(IPF) ※ 2

注※ 1 uCosminexus Service Platform だけに該当します。

2. 

開発または実行に必要な製品

注※ 2 uCosminexus Service Platform には該当しません。

2.2.2 実行時の前提プログラム

Web サービスセキュリティ機能を組み込んだ SOAP アプリケーションを実行する場合に

必要となる前提プログラムを次の表に示します。前提プログラムのバージョンについて

は「リリースノート」でご確認ください。

表 2-2 前提プログラム一覧(実行時)

Web サーバ

分類 プログラム名

Windows の場合:

Cosminexus Component Container が動作する Web

サーバ

その他の OS の場合:

Hitachi Web Server

Cosminexus Component Container

J2EE サーバ,SOAP 通信基盤(SOAP

クライアントライブラリ,SOAP エン

ジン)

Java

TM

2SDK

XML プロセッサ

Cosminexus Developer's Kit for Java

TM

Cosminexus XML Processor

注※

Cosminexus Component Container が動作する Web サーバについての詳細は,マ

ニュアル「Cosminexus 機能解説」を参照してください。

2.2.3 実行時のプログラム構成例

Web サービスセキュリティ機能を SOAP アプリケーション開発支援機能に組み込んで,

SOAP アプリケーションを実行する場合の,クライアント側とサーバ側のプログラム構

成例を次に示します。

9

2. 

開発または実行に必要な製品

図 2-2 Web サービスセキュリティ機能を組み込んだ SOAP アプリケーションを実行す

る場合のプログラム構成例

10

3

Web サービスセキュリティ

機能を使用する

この章では,開発した SOAP アプリケーションに対して,

Web サービスセキュリティ機能を使用する手順について説明

します。

3.1 定義ファイルの設定

3.2 署名付与/検証機能を設定する

3.3 暗号化/復号化機能を設定する

3.4 認証機能を設定する

3.5 メッセージに有効期限を設定する

3.6 定義ファイルの構文をチェックする

3.7 定義ファイルに関する注意事項

3.8 実行環境に合わせて設定を変更する

3.9 Web サービスセキュリティ機能の実装手順

11

3. 

Web サービスセキュリティ機能を使用する

3.1 定義ファイルの設定

Web サービスセキュリティ機能を使用するためには,次に示す二つの定義ファイルに必

要な項目を設定する必要があります。

Web サービスセキュリティ機能定義ファイル( security-config.xml

Web サービスセキュリティポリシー定義ファイル( policy-config.xml

これらの定義ファイルは,SOAP アプリケーションを利用するクライアント,および

サーバの両方に配置する必要があります。

次に,各定義ファイルの概要を説明します。

3.1.1 Web サービスセキュリティ機能定義ファイル

Web サービスセキュリティ機能定義ファイルは,Web サービスセキュリティ機能の動作

を定義するためのファイルです。例えば,SOAP メッセージに署名を付与する場合,署

名に用いる証明書を指定します。または,SOAP メッセージを暗号化する場合は,どの

暗号化アルゴリズムを用いるのか,などを定義します。

Web サービスセキュリティ機能定義ファイルは,次の要素を持っています。

BindingConfig

Web サービスセキュリティの各機能で共通して使用する情報を設定します。

RequestSenderConfig

リクエストメッセージ送信時の Web サービスセキュリティ機能を設定します。

ResponseSenderConfig

レスポンスメッセージ送信時の Web サービスセキュリティ機能を設定します。

RequestReceiverConfig

リクエストメッセージ受信時の Web サービスセキュリティ機能を設定します。

ResponseReceiverConfig

レスポンスメッセージ受信時の Web サービスセキュリティ機能を設定します。

クライアントとサーバでは,必要な要素が異なります。

Web サービスセキュリティ機能を使用するために,クライアントおよびサーバで設定す

る必要がある要素を次の表に示します。

表 3-1 設定が必要な要素(Web サービスセキュリティ機能定義ファイル)

要素名

BindingConfig

RequestSenderConfig

ResponseSenderConfig

クライアント

×

サーバ

×

12

3. 

Web サービスセキュリティ機能を使用する

要素名

RequestReceiverConfig

ResponseReceiverConfig

クライアント

×

サーバ

×

(凡例)

○:必要

×:不要

Web サービスセキュリティ機能定義ファイルの項目については,「付録 C.1 Web サービ

スセキュリティ機能定義ファイルの項目」を参照してください。

3.1.2 Web サービスセキュリティポリシー定義ファイル

Web サービスセキュリティポリシー定義ファイルは,受信した SOAP メッセージを検証

するポリシーを定義するためのファイルです。Web サービスセキュリティ機能では,こ

のポリシー定義ファイルを基に,SOAP メッセージが受信側の意図したものかどうかを

検証します。

Web サービスセキュリティポリシー定義ファイルは,次の要素を持っています。

GlobalConfig

Web サービスセキュリティ機能のポリシー定義で共通して使用するポリシーを設定し

ます

RequestReceiverConfig

リクエストメッセージ受信時のポリシーを設定します。

ResponseReceiverConfig

レスポンスメッセージ受信時のポリシーを設定します。

クライアントとサーバでは,必要な要素が異なります。

Web サービスセキュリティ機能を使用するために,クライアントおよびサーバで設定す

る必要がある要素を次の表に示します。

表 3-2 設定が必要な要素(Web サービスセキュリティポリシー定義ファイル)

要素名

GlobalConfig

RequestReceiverConfig

ResponseReceiverConfig

クライアント

×

サーバ

×

(凡例)

○:必要

×:不要

13

3. 

Web サービスセキュリティ機能を使用する

Web サービスセキュリティポリシー定義ファイルの項目については,「付録 C.2 Web

サービスセキュリティポリシー定義ファイルの項目」を参照してください。

14

3. 

Web サービスセキュリティ機能を使用する

3.2 署名付与/検証機能を設定する

名を付与したり,受信する SOAP メッセージに付与されている XML 署名を検証したり

する機能です。署名付与機能は,SOAP メッセージの送信時に,署名検証機能は SOAP

メッセージの受信時に使用します。

次に,署名付与/検証機能を使用した際のプログラムの構成図を示します。矢印および

その番号は,送受信するデータの処理の流れを示しています。

図 3-1 Web サービスセキュリティ機能使用時のプログラム構成(署名付与/検証)

署名付与/検証機能を使用する際の,Web サービスセキュリティ機能定義ファイルの設

定項目を次に示します。

<送信側>

SecurityConfig

├─

BindingConfig

└┬

RequestSenderConfig/ResponseSenderConfig

 └┬

SenderPortConfig

  └┬

RoleConfig

   ├─

BinarySecurityTokenConfig

   └─

SignatureConfig

<受信側>

SecurityConfig

├─

BindingConfig

└┬

RequestReceiverConfig/ResponseReceiverConfig

 └┬

ReceiverPortConfig

  └─

VerificationConfig

署名付与/検証機能を使用する際の,Web サービスセキュリティポリシー定義ファイル

の設定項目を次に示します。

15

3. 

Web サービスセキュリティ機能を使用する

PolicyConfig

└┬

RequestReceiverConfig/ResponseReceiverConfig

 └┬

ReceiverPortConfig

  ├┬

SecurityTokenConfig

  │└─

BinarySecurityTokenConfig

  └─

VerificationConfig

さい。

Windows の場合,定義ファイルのサンプルは次のディレクトリに格納されていますの

で,これらを参考に定義ファイルを作成してください。なお,作成した定義ファイルの

ださい。

Cosminexus

のインストールディレクトリ>

/wss/samples/

の下 signature/message/client/WEB-INF/classes signature/message/service/WEB-INF/classes signature/rpc/client/WEB-INF/classes signature/rpc/service/WEB-INF/classes

また,Windows の場合,コーディングのサンプルは,次のディレクトリに格納されてい

ますので,参考にしてください。

Cosminexus

のインストールディレクトリ>

/wss/samples/

の下 signature/KeyStore signature/message/client/WEB-INF/classes/messagesampleclient signature/message/service/WEB-INF/classes/messagesampleservice signature/rpc/client/WEB-INF/classes/localhost signature/rpc/service/WEB-INF/classes/localhost

署名付与の設定情報について

署名付与に必要な情報は,Web サービスセキュリティ機能定義ファイルに指定さ

れた設定情報から取得します。

署名に用いる秘密鍵は,環境設定ファイルで指定したキーストアファイルを使用

目」を参照してください。

署名に関する仕様のサポート範囲については,「付録 A.2 XML 署名標準仕様の

サポート範囲」を参照してください。

署名検証の設定情報について

署名検証に必要な情報は,Web サービスセキュリティ機能定義ファイル,および

Web サービスセキュリティポリシー定義ファイルに指定された設定情報から取得

します。

証明書検証に用いる証明書は,環境設定ファイルで指定した証明書ファイルを使

項目」を参照してください。

16

3. 

Web サービスセキュリティ機能を使用する

注意事項

署名付与/検証で使用するキーストアファイルは,読み取り権限を限定するなど,

第三者に読み取られないようにご注意ください。

3.2.1 署名を付与する個所をパート名で指定する

署名を付与する個所をパート名という名称で指定します。Cosminexus Web Services -

Security で,署名を付与する際に指定できるパート名は,"Body" だけです。"Body" を指

定した場合,SOAP メッセージの Body 要素そのものを意味します。

署名個所をパート名で指定する際の,Web サービスセキュリティ機能定義ファイルの設

定項目を次に示します。

SecurityConfig

└┬

RequestSenderConfig/ResponseSenderConfig

 └┬

SenderPortConfig

  └┬

RoleConfig

   └┬

SignatureConfig

    └─

SignatureTarget

署名個所をパート名で指定する際の,Web サービスセキュリティポリシー定義ファイル

の設定項目を次に示します。

PolicyConfig

└┬

RequestReceiverConfig/ResponseReceiverConfig

 └┬

ReceiverPortConfig

  └┬

VerificationConfig

   └─

SignatureTarget

さい。

3.2.2 署名を付与する個所を ID 属性で指定する

署名を付与する個所を,ID 属性で指定し,その ID 値が含まれる要素に対して署名しま

す。なお,受信側で ID 属性のポリシーについては検証できません。

署名個所を ID で指定する際の,Web サービスセキュリティ機能定義ファイルの設定項

目を次に示します。

SecurityConfig

└┬

RequestSenderConfig/ResponseSenderConfig

 └┬

SenderPortConfig

  └┬

RoleConfig

   └┬

SignatureConfig

    └─

SignatureTarget

さい。

17

3. 

Web サービスセキュリティ機能を使用する

3.3 暗号化/復号化機能を設定する

暗号化/復号化機能は,SOAP 通信基盤で送受信する SOAP メッセージを,暗号化/復

号化する機能です。暗号化機能は SOAP メッセージの送信時に,復号化機能は SOAP

メッセージの受信時に使用します。

次に,暗号化/復号化機能を使用した際のプログラムの構成図を示します。矢印および

その番号は,送受信するデータの処理の流れを示しています。

図 3-2 Web サービスセキュリティ機能使用時のプログラム構成(暗号化/復号化)

18

暗号化/復号化機能を使用する際の,Web サービスセキュリティ機能定義ファイルの設

定項目を次に示します。

<送信側>

SecurityConfig

├─

BindingConfig

└┬

RequestSenderConfig/ResponseSenderConfig

 └┬

SenderPortConfig

  └┬

RoleConfig

   └─

EncryptionConfig

<受信側>

SecurityConfig

├─

BindingConfig

└┬

RequestReceiverConfig/ResponseReceiverConfig

 └┬

ReceiverPortConfig

  └─

DecryptionConfig

暗号化/復号化機能を使用する際の,Web サービスセキュリティポリシー定義ファイル

の設定項目を次に示します。

PolicyConfig

└┬

RequestReceiverConfig/ResponseReceiverConfig

 └┬

ReceiverPortConfig

  └─

DecryptionPolicyConfig

3. 

Web サービスセキュリティ機能を使用する

さい。

Windows の場合,定義ファイルのサンプルは,次のディレクトリに格納されていますの

で,これらを参考に定義ファイルを作成してください。なお,作成した定義ファイルの

ださい。

Cosminexus

のインストールディレクトリ>

/wss/samples/

の下 encryption/message/client/WEB-INF/classes encryption/message/service/WEB-INF/classes encryption/rpc/client/WEB-INF/classes encryption/rpc/service/WEB-INF/classes

また,Windows の場合,コーディングのサンプルは,次のディレクトリに格納されてい

ますので,参考にしてください。

Cosminexus

のインストールディレクトリ>

/wss/samples/

の下 encryption/SecretKey encryption/message/client/WEB-INF/classes/messagesampleclient encryption/message/service/WEB-INF/classes/messagesampleservice encryption/rpc/client/WEB-INF/classes/localhost encryption/rpc/service/WEB-INF/classes/localhost

暗号化の設定情報について

暗号化に必要な情報は,Web サービスセキュリティ機能定義ファイルに指定され

た設定情報から取得します。

暗号化に関する仕様のサポート範囲については,「付録 A.3 XML 暗号標準仕様

のサポート範囲」を参照してください。

復号化の設定情報について

復号化に必要な情報は,Web サービスセキュリティ機能定義ファイル,および Web

サービスセキュリティポリシー定義ファイル指定された設定情報から取得します。

暗号化/復号化に用いる共通鍵は,環境設定ファイルで指定した共通鍵ファイルを使用

参照してください。

注意事項

暗号化/復号化で使用する鍵ファイルは,読み取り権限を限定するなど,第三者に

読み取られないようにご注意ください。

3.3.1 暗号化する個所をパート名で指定する

暗号化する個所をパート名という名称で指定します。Cosminexus Web Services -

Security で,暗号化する際に指定できるパート名は,"BodyContent" だけです。

"BodyContent" を指定した場合,SOAP メッセージの Body 要素に含まれる子要素,テ

キストなどをすべて指定することを意味します。

19

3. 

Web サービスセキュリティ機能を使用する

暗号個所をパート名で指定する際の,Web サービスセキュリティ機能定義ファイルの設

定項目を次に示します。

SecurityConfig

└┬

RequestSenderConfig/ResponseSenderConfig

 └┬

SenderPortConfig

  └┬

RoleConfig

   └┬

EncryptionConfig

    └┬

ContentsEncryption

     └─

EncryptionTarget

暗号個所をパート名で指定する際の,Web サービスセキュリティポリシー定義ファイル

の設定項目を次に示します。

PolicyConfig

└┬

RequestReceiverConfig/ResponseReceiverConfig

 └┬

ReceiverPortConfig

  └┬

DecryptionPolicyConfig

   └─

DecryptionTarget

さい。

3.3.2 暗号化する個所を ID 属性で指定する

暗号化する個所を,ID 属性で指定し,その ID 値が含まれる要素に対して暗号化します。

なお,受信側で ID 属性のポリシーについては検証できません。

暗号個所を ID で指定する際の,Web サービスセキュリティ機能定義ファイルの設定項

目を次に示します。

SecurityConfig

└┬

RequestSenderConfig/ResponseSenderConfig

 └┬

SenderPortConfig

  └┬

RoleConfig

   └┬

EncryptionConfig

    └┬

ContentsEncryption

     └─

EncryptionTarget

さい。

20

3. 

Web サービスセキュリティ機能を使用する

3.4 認証機能を設定する

セキュリティトークンを通信先に受け渡すことで,認証を実現します。

Cosminexus Web Services - Security では,JAAS を使用した認証方式をサポートしま

す。

認証機能を使用する際の,Web サービスセキュリティ機能定義ファイルの設定項目を次

に示します。

<送信側>

SecurityConfig

├─

BindingConfig

└┬

RequestSenderConfig/ResponseSenderConfig

 └┬

SenderPortConfig

  └┬

RoleConfig

   └─

UsernameTokenConfig

<受信側>

SecurityConfig

├─

BindingConfig

└┬

RequestReceiverConfig/ResponseReceiverConfig

 └┬

ReceiverPortConfig

  └─

AuthenticationConfig

認証機能を使用する際の,Web サービスセキュリティポリシー定義ファイルの設定項目

を次に示します。

PolicyConfig

├─

GlobalConfig

└┬

RequestReceiverConfig/ResponseReceiverConfig

 └┬

ReceiverPortConfig

  └┬

SecurityTokenConfig

   └─

UsernameTokenConfig

さい。

Windows の場合,定義ファイルのサンプルは,次のディレクトリに格納されていますの

で,これらを参考に定義ファイルを作成してください。なお,作成した定義ファイルの

ださい。

Cosminexus

のインストールディレクトリ>

/wss/samples/

の下 usernameToken/rpc/client/WEB-INF/classes usernameToken/rpc/service/WEB-INF/classes

また,Windows の場合,コーディングのサンプルは,次のディレクトリに格納されてい

ますので,参考にしてください。

21

3. 

Web サービスセキュリティ機能を使用する

Cosminexus

のインストールディレクトリ>

/wss/samples/

の下 usernameToken/rpc/Auth usernameToken/rpc/client/WEB-INF/classes/localhost usernameToken/rpc/service/WEB-INF/classes/localhost

認証の設定情報について

認証に必要な情報は,Web サービスセキュリティ機能定義ファイルに指定された設

定情報から取得します。ただし,一部の情報は Web サービスセキュリティ機能が提

リティ機能が提供する API」を参照してください。

認証の SOAP メッセージ形式について

Web サービスセキュリティ機能が生成する SOAP メッセージ内の UsernameToken

要素の Nonce 要素と Created 要素は,パスワードのタイプがダイジェスト形式の場

合に付与されます。パスワードタイプがテキスト形式の場合はこれらの要素は付与

されません。

パスワードのタイプがダイジェスト形式の SOAP メッセージでダイジェストを求め

たい場合は,コーディングのサンプルのソースコード

(UsernameLoginModule.java)の login メソッドの実装を参考にしてください。

認証に関するポリシーチェックについて

Web サービスセキュリティポリシー定義ファイルに指定された設定情報を基に,受

信した SOAP メッセージがポリシーに従っているかどうかをチェックします。

注意事項

認証で,パスワードの記述されたファイルなどを使用する場合は,読み取り権限を

限定するなど,第三者に読み取られないようにご注意ください。

22

3. 

Web サービスセキュリティ機能を使用する

3.5 メッセージに有効期限を設定する

Cosminexus Web Services - Security では,SOAP メッセージの送信時にタイムスタン

プや有効期限を設定したり,受信側で古いメッセージや有効期限を経過したメッセージ

の受信を拒否したりする機能を提供します。

メッセージに有効期限を設定する際の,Web サービスセキュリティ機能定義ファイルの

設定項目を次に示します。

SecurityConfig

└┬

RequestSenderConfig/ResponseSenderConfig

 └┬

SenderPortConfig

  └┬

RoleConfig

   └┬

TimestampConfig

    └─

Expires

メッセージに付与されているタイムスタンプや有効期限を検証する際の,Web サービス

セキュリティポリシー定義ファイルの設定項目を次に示します。

PolicyConfig

├─

GlobalConfig

└┬

RequestReceiverConfig/ResponseReceiverConfig

 └┬

ReceiverPortConfig

  └┬

TimestampConfig

   └┬

Created

    └

Expires

さい。

Windows の場合,定義ファイルのサンプルは,次のディレクトリに格納されていますの

で,これらを参考に定義ファイルを作成してください。なお,作成した定義ファイルの

ださい。

Cosminexus

のインストールディレクトリ>

/wss/samples/

の下 timeStamp/rpc/client/WEB-INF/classes timeStamp/rpc/service/WEB-INF/classes

また,Windows の場合,コーディングのサンプルは,次のディレクトリに格納されてい

ますので,参考にしてください。

Cosminexus

のインストールディレクトリ>

/wss/samples/

の下 timeStamp/rpc/client/WEB-INF/classes/localhost timeStamp/rpc/service/WEB-INF/classes/localhost

23

3. 

Web サービスセキュリティ機能を使用する

3.6 定義ファイルの構文をチェックする

Web サービスセキュリティ機能定義ファイル,および Web サービスセキュリティポリ

シー定義ファイルを設定したあと,定義ファイルの記述内容が正しいかどうかをチェッ

クするために,構文チェック用のコマンドを使用します。

注意事項

定義ファイル構文チェックコマンドは,Windows で使用してください。その他の

OS では使用できません。

24

3. 

Web サービスセキュリティ機能を使用する

3.7 定義ファイルに関する注意事項

Web サービスセキュリティ機能定義ファイル,および Web サービスセキュリティポリ

シー定義ファイルを設定する上での注意事項について説明します。

Web サービスセキュリティ機能定義ファイルの Created 要素,Expires 要素を共に省

略した場合は,Timestamp 要素自体が作成されません。

SOAP メッセージを送信するマシンと受信するマシンに設定されている時刻は,一致

していないおそれがあります。Created 要素に設定されている値を基にそのメッセー

ジを古いとみなしたり,Expires 要素に設定されている値を基にそのメッセージを有

効期限切れとみなしたりする際,許容範囲を設定できます。

マシン間の設定時刻の差に関する許容範囲を設定する際の,Web サービスセキュリ

ティポリシー定義ファイルの設定項目を次に示します。

PolicyConfig

└┬

GlobalConfig

 ├─

Max-Clock-Skew

 └─

Fresh-Time-Limit

を参照してください。

Web サービスセキュリティ機能定義ファイルは,第三者によって改ざんされないよう

にアクセス権の設定をしてください。

Web サービスセキュリティポリシー定義ファイルは,第三者によって改ざんされない

ようにアクセス権の設定をしてください。

Web サービスセキュリティポリシー定義ファイルを SOAP サービスの利用者に配布す

る場合,ファイルが改ざんされないよう対策してください。

Web サービスセキュリティポリシー定義ファイルは,安全な方法で SOAP サービスの

利用者に配布してください。

SOAP サービスの利用者は,Web サービスセキュリティポリシー定義ファイルの内容

に従って,Web サービスセキュリティ機能定義ファイルを作成する必要があります。

署名付与/検証機能,暗号化/復号化機能,認証機能,およびメッセージに有効期限を

設定する機能は,組み合わせて使用できます。複数の機能を組み合わせて使用する場合

は,Web サービスセキュリティ機能定義ファイルの RoleConfig 要素内に,それぞれの設

定項目を併記してください。

次に,設定の順番についての注意事項を示します。

25

3. 

Web サービスセキュリティ機能を使用する

送信側の Web サービスセキュリティ機能定義ファイルに設定した機能は,設定した順

番で処理されます。各機能に対応するセキュリティ要素が SOAP メッセージのセキュ

リティヘッダに出現しますが,その順番は,Web サービスセキュリティ機能定義ファ

イルで設定した順番とは逆順になります。

Web サービスセキュリティ機能が提供する API を使用して UsernameToken を付与し

た場合,対応するセキュリティ要素は SOAP メッセージのセキュリティヘッダのいち

ばん下に出現します。

なお,受信側の Web サービスセキュリティ機能定義ファイルと,Web サービスセキュリ

ティポリシー定義ファイルに設定する順番は,特に意識する必要はありません。

26

3. 

Web サービスセキュリティ機能を使用する

3.8 実行環境に合わせて設定を変更する

Web サービスセキュリティ機能定義ファイルおよび Web サービスセキュリティポリシー

定義ファイルに記述する内容で,実行環境に依存する部分は,環境設定ファイルで設定

します。

環境設定ファイルは,次のディレクトリに格納されています。ファイル名は,

「 cwsscfg.properties

」で固定です。

Cosminexus

のインストールディレクトリ>

/wss/conf

の下

次に,環境設定ファイルの記述規則と設定項目について説明します。

3.8.1 環境設定ファイルの記述規則

環境設定ファイルは,Java

TM

2 Platform Standard Edition のプロパティ形式に従い,

「キー名称 = 値」の形式で記述します。次に,環境設定ファイルの記述規則について示し

ます。

1行の終わりは必ず改行されていなければなりません。

「#」で始まる行はコメントとみなされます。

値が存在しない行を設定した場合,空文字として処理されます。

キー名称と = の間,および = と値の間にスペースを入れてはいけません。

値に 2 バイト文字を使用する場合は,Cosminexus で提供されている Java

TM

2SDK

の native2ascii コマンドで環境設定ファイルを変換してから使用しなければなりませ

ん。

設定できるキー名称以外のキー名称を設定した場合,その行は無視されます。

キー名称の大文字と小文字は区別されます。

値には半角スペースも設定できます。

例 cwss.binding.KeyLocator.KeyStoreDir=d:/Program Files/HITACHI/

Cosminexus/wss/KeyStore

3.8.2 環境設定ファイルの設定項目

環境設定ファイルで設定できるキーおよび値を,次の表に示します。

27

3. 

Web サービスセキュリティ機能を使用する

表 3-3 環境設定ファイルの設定項目

キー名称 cwss.binding.KeyLocator.KeyStoreDir

cwss.binding.KeyLocator.CertificateDir

cwss.policy.usernameToken.maxNonceCount

cwss.policy.usernameToken.maxNonceAge

cwss.binding.KeyLocator.SecretKeyDir

cwss.engine.receive.unsecured.message

任意のディレク

トリ名

任意のディレク

トリ名

1 ∼ 100,000

1,000 ∼

86,400,000(最

大 24 時間)

任意のディレク

トリ名 true

指定値

または false

説明

署名付与/検証

で使用するキー

ストアファイル

を格納するディ

レクトリ名を指

定します。

証明書検証で使

用する証明書

ファイルを格納

するディレクト

リ名を指定しま

す。

受信済み

Nonce 値を保

存する最大個数

を指定します。

受信済み

Nonce 値の最

大保存時間を現

在時刻からの相

対ミリ秒で指定

します。

暗号化/復号化

で使用する共通

鍵ファイルを格

納するディレク

トリ名を指定し

ます。

受信側で Web

サービスセキュ

リティポリシー

定義ファイルの

設定をしている

場合,受信メッ

セージに

SOAP メッ

セージの

Security 要素

を含まなかった

ときの動作を指

定します。

デフォルト値

(値省略時また

は範囲外)

< Cosminexus

のインストール

ディレクトリ>

/wss/KeyStore

< Cosminexus

のインストール

ディレクトリ>

/wss/Cert

100,000

300,000(5 分)

< Cosminexus

のインストール

ディレクトリ>

/wss/SecretKey false

注※

受信側で Web サービスセキュリティポリシー定義ファイルの設定をしている場合

で,false を設定した場合,エラーメッセージ KDCGF0003-E が出力されます。 true を設定した場合,Web サービスセキュリティ機能定義ファイルおよび Web

28

3. 

Web サービスセキュリティ機能を使用する

サービスセキュリティポリシー定義ファイルの設定内容に関係なく,エラーにはな

りません。

29

3. 

Web サービスセキュリティ機能を使用する

3.9 Web サービスセキュリティ機能の実装手

ここでは,実行環境に必要な定義ファイルやユーザー作成のプログラムを実装し,開発

した SOAP アプリケーションで Web サービスセキュリティ機能を使用する手順について

説明します。

次に,SOAP アプリケーション開発支援機能を利用した SOAP アプリケーションの開発

の流れを示します。

(a)サービスの設計

(b)WSDL の作成

(c)サーバスケルトンの作成

(d)サーバ実装

(e)WAR ファイルの作成

(f)サービスの開始

(g)クライアントスタブの生成

(h)クライアントの実装

SOAP アプリケーション開発の詳細については,マニュアル「Cosminexus SOAP アプ

リケーション開発ガイド」を参照してください。

また,07-60 以降のバージョンを使用して Web サービスセキュリティ機能を使用する場

順」を参照してください。

基本とし,Web サービスセキュリティ機能を使用する上で必要なステップを説明します。

3.9.1 サーバ側の実装手順

Web サービスセキュリティ機能をサーバ側に実装する手順について説明します。

SOAP アプリケーションの形態が,RPC または EJB の場合

に関する情報

を,サーバ側 WAR ファイルの WEB-INF の下のデプロイ定義ファイ

ルに手動で追加します。

30

3. 

Web サービスセキュリティ機能を使用する

SOAP アプリケーションの形態が,既存 Java クラスを利用,またはメッセージングの場

関する情報

をサーバ側 WAR ファイルの WEB-INF の下のデプロイ定義ファイルに

手動で追加します。

注※

「Web サービスセキュリティ機能に関する情報」を次に示します。

<handler name="WSSResponseSenderHandler" type="java:com.cosminexus.wss.handlers.WSSResponseSenderHandler

"/>

<handler name="WSSRequestReceiverHandler" type="java:com.cosminexus.wss.handlers.WSSRequestReceiverHandle

r"/>

<requestFlow>

<handler type="WSSRequestReceiverHandler"/>

</requestFlow>

<responseFlow>

<handler type="WSSResponseSenderHandler"/>

</responseFlow>

Windows の場合,サーバ側のデプロイ定義ファイル(server-config.xml)のサンプ

ルは,サンプルディレクトリの下の,機能ごとのサービスに格納されていますので,

参考にしてください。次に,格納先の一例を示します。

Cosminexus

のインストールディレクトリ>

/wss/samples/

の下 usernameToken/rpc/service/WEB-INF

Web サービスセキュリティ機能が提供する API を利用する場合は,開発ステップ「(d)

サーバ実装」で,ユーザー作成のプログラムを実装します。詳細については,マニュア

ル「Cosminexus SOAP アプリケーション開発ガイド」を参照してください。

る Web サービスセキュリティ機能定義ファイル,および Web サービスセキュリティポ

リシー定義ファイルをサーバ側 WAR ファイルの WEB-INF/classes の下に組み込みま

す。Web サービスセキュリティ機能定義ファイルと Web サービスセキュリティポリシー

定義ファイルについては,構文チェック用のコマンドを使用して,構文に誤りがないこ

WAR ファイルへの組み込み方法については,マニュアル「Cosminexus SOAP アプリ

ケーション開発ガイド」を参照してください。

サーバ側の実装に関するファイルの配置は,各アプリケーションごと(WAR ファイルご

31

3. 

Web サービスセキュリティ機能を使用する

と)に次のようになります。

WEB-INF

├ server-config.xml

デプロイ定義ファイル

└ classes

├ security-config.xml Web

サービスセキュリティ機能定義ファイル

└ policy-config.xml Web

サービスセキュリティポリシー定義ファイル

3.9.2 クライアント側が Web アプリケーションの場合の実

装手順

Web サービスセキュリティ機能をクライアント側の Web アプリケーションに実装する手

順について説明します。

提供するクライアント用のデプロイ定義ファイル(client-config.xml)を,クライアント

側 WAR ファイルの WEB-INF/classes の下に組み込みます。Windows の場合,Web

サービスセキュリティ機能が提供するクライアント用のデプロイ定義ファイルは,サン

プルディレクトリの下の,機能ごとのクライアントに格納されています。どのクライア

ント用のデプロイ定義ファイルも内容は同じです。次に,格納先の一例を示します。

Cosminexus

のインストールディレクトリ>

/wss/samples/

の下 usernameToken/rpc/client/WEB-INF/classes

Web サービスセキュリティ機能が提供する API を利用する場合は,開発ステップ「(h)

クライアントの実装」で,ユーザー作成のプログラムを実装します。詳細については,

マニュアル「Cosminexus SOAP アプリケーション開発ガイド」を参照してください。

サンプルファイルを基に作成した Web サービスセキュリティ機能定義ファイル,および

Web サービスセキュリティポリシー定義ファイルをクライアント側 WAR ファイルの

WEB-INF/classes の下に組み込みます。Web サービスセキュリティ機能定義ファイルと

Web サービスセキュリティポリシー定義ファイルについては,構文チェック用のコマン

ドを使用して,構文に誤りがないことを事前に確認してください。構文チェック用のコ

WAR ファイルへの組み込み方法については,マニュアル「Cosminexus SOAP アプリ

ケーション開発ガイド」を参照してください。

クライアント側の実装に関するファイルの配置は,各アプリケーションごと(WAR ファ

イルごと)に次のようになります。

32

3. 

Web サービスセキュリティ機能を使用する

WEB-INF

└ classes

├ client-config.xml

デプロイ定義ファイル

├ security-config.xml Web

サービスセキュリティ機能定義ファイル

└ policy-config.xml Web

サービスセキュリティポリシー定義ファイル

3.9.3 クライアント側がコマンドライン Java アプリケー

ションの場合の実装手順

サンプルファイルを基に作成した Web サービスセキュリティ機能定義ファイル,Web

サービスセキュリティポリシー定義ファイル,およびデプロイ定義ファイルを,クライ

アント実行環境の CLASSPATH に設定したディレクトリの下に格納します。なお,Web

サービスセキュリティ機能定義ファイルと Web サービスセキュリティポリシー定義ファ

イルについては,構文チェック用のコマンドを使用して,構文に誤りがないことを事前

3.9.4 JAAS ログインモジュールの実装時の注意

ここでは,JAAS ログインモジュールを実装する際の注意事項について説明します。な

お,JAAS ログインモジュールはユーザー側で開発します。一般的な JAAS ログインモ

ジュールの開発方法については,Sun Microsystems,Inc. が公開している JAAS 認証に関

するリファレンスガイドを参照してください。

JAAS ログインモジュールで認証情報を取得するためには,Web サービスセキュリティ

機能が提供するコールバックハンドラを使用します。次に,JAAS ログインモジュール

内で必要な処理を示します。

LoginModule.initialize

コールバックハンドラ(javax.security.auth.callback.CallbackHandler の実装クラ

ス)をクラスメンバ変数に保持します。

LoginModule.login

コールバックハンドラ内で使用する Callback オブジェクト

(javax.security.auth.callback.Callback)の配列を生成して,コールバックハンドラ

の handle メソッドを呼び出します。handle メソッドを呼び出したあと,Callback

オブジェクトから認証情報を取り出して認証処理を行います。Callback オブジェク

トの配列は,次の表に示す構成で生成してください。

33

3. 

Web サービスセキュリティ機能を使用する

2

3

0

1

配列

番号

4

表 3-4 生成する Callback オブジェクトの配列

Callback オブジェクト javax.security.auth.callback.NameCallback

javax.security.auth.callback.PasswordCallback

javax.security.auth.callback.TextInputCallback

javax.security.auth.callback.TextInputCallback

javax.security.auth.callback.TextInputCallback

用途

ユーザー名の取得

パスワードの取得

パスワード形式の取得

Nonce 値の取得

Created 値の取得

配列要素の取得方法を次に示します。

0:ユーザー名の取得

ユーザー名は javax.security.auth.callback.NameCallback.getName() メソッド

で取得します。

1:パスワードの取得

パスワードは javax.security.auth.callback.PasswordCallback.getPassword()

メソッドで取得します。パスワード形式がテキスト形式の場合,パスワードテ

キスト文字配列を返します。パスワード形式がダイジェスト形式の場合,ダイ

ジェスト形式の文字配列を返します。パスワード省略時は null を返します。

2:パスワード形式の取得

パスワード形式は javax.security.auth.callback.TextInputCallback.getText() メ

ソッドで取得します。パスワードの形式は次の文字列で返します。

"PasswordText":テキスト形式

"PasswordDigest":ダイジェスト形式

3:Nonce 値の取得

Nonce 値は javax.security.auth.callback.TextInputCallback.getText() メソッド

で取得します。

4:Created 値の取得

Created 値は javax.security.auth.callback.TextInputCallback.getText() メソッ

ドで取得します。

Windows の場合,JAAS ログインモジュールのコーディング例については,次の

ディレクトリに格納されているサンプルを参照してください。

Cosminexus

のインストールディレクトリ>

/wss/samples/

の下 usernameToken/rpc/Auth usernameToken/rpc/client/WEB-INF/classes/localhost usernameToken/rpc/service/WEB-INF/classes/localhost

Cosminexus Component Container のユーザー定義ファイル(usrconf.properties)に,

次のエントリーを追加してください。

34

3. 

Web サービスセキュリティ機能を使用する java.security.auth.login.config==

<ログイン構成ファイルのフルパス名>

ユーザー定義ファイルについては,マニュアル「Cosminexus リファレンス 定義編」

を参照してください。

35

4

Web サービスセキュリティ

機能が提供するコマンド

この章では,Web サービスセキュリティ機能が提供するコマ

ンドの使い方について説明します。

4.1 共通鍵生成コマンド(CWSSCreateSecretKey)

4.2 定義ファイル構文チェックコマンド(CWSSConfCheck)

37

4. 

Web サービスセキュリティ機能が提供するコマンド

4.1 共通鍵生成コマンド

(CWSSCreateSecretKey)

共通鍵生成コマンドを使用して,暗号化機能を利用するときに必要な共通鍵を生成しま

す。共通鍵生成コマンドを実行すると,共通鍵生成コマンドのオプションで指定した

ファイルに共通鍵が出力されます。共通鍵のファイルはバイナリー形式です。共通鍵生

成コマンドの所在は次のとおりです。

Cosminexus

のインストールディレクトリ>

/wss/bin/

の下

ファイルの項目」の SecretKeyFile 要素を参照してください。

共通鍵生成コマンドの形式を次に示します。

CWSSCreateSecretKey.bat -h | -a <

アルゴリズム識別子

> -o <

出力ファイル名

>

コマンド名(CWSSCreateSecretKey.bat)のあとに,一つ以上の空白を挿入し,オプ

ションを指定します。オプションと指定する値の間も一つ以上の空白を挿入します。

共通鍵生成コマンドで指定するオプションを次に示します。

-h

-a

-o

表 4-1 共通鍵生成コマンドのオプション

オプション 説明

コマンドのオプション説明を表示します。

生成する共通鍵のアルゴリズム識別子を指定します。

指定可能な値を次に示します。

"TRIPLEDES": Triple DES ブロック暗号の共通鍵を生成します。

"AES128": AES-128 ブロック暗号の共通鍵を生成します。

生成した共通鍵を出力するファイル名を指定します。

38

してください。

OS が Windows(x86 および x64)の場合だけ実行できます。ほかの OS では実行で

きません。

出力ファイル名に空白が含まれる場合は出力ファイル名を「"」で囲みます。

4. 

Web サービスセキュリティ機能が提供するコマンド

出力ファイル名にディレクトリを含まない場合は,カレントディレクトリに出力され

ます。

出力ファイル名にディレクトリを含めた場合は,既存のディレクトリを指定する必要

があります。

出力ファイル名には既存のファイルを指定してはいけません。

同じオプションを 2 回以上指定すると,最後に指定したオプションの値が有効になり

ます。次の例では,共通鍵は file2 に出力されます。

CWSSCreateSecretKey.bat -a AES128 -o file1 -o file2

39

4. 

Web サービスセキュリティ機能が提供するコマンド

4.2 定義ファイル構文チェックコマンド

(CWSSConfCheck)

Web サービスセキュリティ機能定義ファイル,および Web サービスセキュリティポリ

シー定義ファイルを作成したあと,設定した XML の構文が正しいかどうかをチェックす

るために,定義ファイル構文チェックコマンドを使用します。定義ファイル構文チェッ

クコマンドの所在は次のとおりです。

Cosminexus

のインストールディレクトリ>

/wss/bin/

の下

定義ファイル構文チェックコマンドの形式を次に示します。

CWSSConfCheck.bat -h | [-s | -p] -f <

チェックする定義ファイル名

>

コマンド名(CWSSConfCheck.bat)のあとに,一つ以上の空白を挿入し,オプションを

指定します。オプションと指定する値の間も一つ以上の空白を挿入します。

構文チェックコマンドで指定するオプションを次に示します。

-h

-s

-p

-f

表 4-2 定義ファイル構文チェックコマンドのオプション

オプション 説明

コマンドのオプション説明を表示します。

-f オプションで指定するファイルが,Web サービスセキュリティ機能定義ファイル

の場合に指定します。

-f オプションで指定するファイルが,Web サービスセキュリティポリシー定義ファ

イルの場合に指定します。

チェック対象の定義ファイル名を指定します。

構文チェックコマンドの終了コードを次に示します。

0:正常終了

1:エラー終了

してください。

40

4. 

Web サービスセキュリティ機能が提供するコマンド

OS が Windows(x86 および x64)の場合だけ実行できます。ほかの OS では実行で

きません。

入力ファイル名に空白が含まれる場合は入力ファイル名を「"」で囲みます。

構文チェックで不正な構文があった場合,または内部エラーが発生した場合,エラー

メッセージが標準出力に表示されます。

同じオプションを 2 回以上指定すると,最後に指定したオプションの値が有効になり

ます。次の例では,file2 に対してだけ構文をチェックします。

CWSSConfCheck -s -f file1.xml -f file2.xml

41

5

Web サービスセキュリティ

機能が提供する API

この章では,Web サービスセキュリティ機能が提供する API

について説明します。

5.1 インタフェースおよびクラスの一覧

5.2  WSSElementProxyFactory クラス(セキュリティ項目操作クラスの生

成)

5.3  WSSElementProxy クラス(セキュリティ項目の操作)

5.4  WSSUsernameToken クラス(UsernameToken 要素の操作)

5.5  WSSUsernameToken.PasswordType インタフェース(PasswordType

要素の操作)

5.6  WSSException クラス(例外情報の取得)

43

5. 

Web サービスセキュリティ機能が提供する API

5.1 インタフェースおよびクラスの一覧

Web サービスセキュリティ機能が提供するインタフェースおよびクラスの一覧を次に示

します。

表 5-1 提供するインタフェースおよびクラスの一覧

インタフェース名および

クラス名

WSSElementProxyFactory

WSSElementProxy

WSSUsernameToken

WSSUsernameToken.PasswordType

WSSException

説明

セキュリティ項目操作クラスのファクトリクラス

セキュリティ項目操作クラス

UsernameToken 要素の操作クラス

UsernameToken 要素のパスワード種別を示す列挙定数

例外情報を保持するクラス

44

5. 

Web サービスセキュリティ機能が提供する API

5.2  WSSElementProxyFactory クラス(セ

キュリティ項目操作クラスの生成)

セキュリティ項目操作クラスのファクトリクラスです。

クラス定義 public final class WSSElementProxyFactory

パッケージ名 com.cosminexus.wss.element

WSSElementProxyFactory クラスのメソッドを次の表に示します。

表 5-2 WSSElementProxyFactory クラスのメソッド一覧

機能概要 メソッド newWSSElementProxy

(スタブクラスから生成) newWSSElementProxy

(メッセージクラスから生成) newWSSElementProxy

(実装クラスから生成) getWSSElementProxy

(スタブクラスから生成) getWSSElementProxy

(メッセージクラスから生成) getWSSElementProxy

(実装クラスから生成)

スタブクラスから空のセキュリティ項目操作クラスのインスタ

ンスを生成します。

メッセージ送信クラスから空のセキュリティ項目操作クラスの

インスタンスを生成します。

空のセキュリティ項目操作クラスのインスタンスを生成しま

す。

スタブクラスから,受信したメッセージのセキュリティ項目操

作クラスのインスタンスを生成します。

メッセージ送信クラスから,受信したメッセージのセキュリ

ティ項目操作クラスのインスタンスを生成します。

受信したメッセージのセキュリティ項目操作クラスのインスタ

ンスを生成します。

次に,各メソッドの詳細について説明します。

45

5. 

Web サービスセキュリティ機能が提供する API

newWSSElementProxy(スタブクラスから生成)

クラス名:WSSElementProxyFactory

機能

スタブクラスから空のセキュリティ項目操作クラスのインスタンスを生成します。この

メソッドの引数で指定したクライアントのインタフェースクラスのサービスメソッドを

呼び出すと,セキュリティ項目操作クラスに設定した内容でセキュリティ要素を生成し

ます。このメソッドは,呼び出すサービスメソッドの形態が RPC または EJB の場合に

使用します。

構文 public static WSSElementProxy newWSSElementProxy (

javax.xml.rpc.Stub a_Stub

) throws WSSException;

引数

表 5-3 newWSSElementProxy(スタブクラスから生成)メソッドの引数 a_Stub

仮引数名 名称

スタブクラス in/out in

説明

クライアントのインタフェースクラス(スタブ

クラス)を指定します。

戻り値

セキュリティ項目操作クラスのインスタンスです。

例外

WSSException

処理中に予測しない例外が発生した場合にスローされます。

注意事項

メソッドの引数の指定とは異なるクライアントのインタフェースクラスのサービスメ

ソッドを呼び出した場合,セキュリティ項目操作クラスに設定した内容は反映しませ

ん。Web サービスセキュリティ機能定義ファイルに設定した内容に従って,セキュリ

ティ項目を設定します。

メソッドで取得したセキュリティ項目操作クラスが提供するメソッドを利用しないで

サービスメソッドを呼び出した場合,Web サービスセキュリティ機能定義ファイルに

設定した内容に従って,セキュリティ項目を設定します。

送信時に Web サービスセキュリティ機能を利用しない場合は,このメソッドで取得し

たセキュリティ項目操作クラスが提供するメソッドを設定しても,セキュリティ項目

は SOAP メッセージに設定しません。Web サービスセキュリティ機能を利用しない場

合を次に示します。

46

5. 

Web サービスセキュリティ機能が提供する API

Web サービスセキュリティ機能定義ファイルが送信時にデプロイされていない場合

Web サービスセキュリティ機能定義ファイル中のリクエストメッセージ送信時の設

定が省略されている場合

47

5. 

Web サービスセキュリティ機能が提供する API

newWSSElementProxy(メッセージクラスから生成)

クラス名:WSSElementProxyFactory

機能

メッセージ送信クラスから空のセキュリティ項目操作クラスのインスタンスを生成しま

す。このメソッドの引数で指定した SOAPMessageSender クラスの sendMessage メ

ソッドを呼び出すと,セキュリティ項目操作クラスに設定した内容でセキュリティ要素

を生成します。このメソッドは,呼び出すサービスメソッドの形態がメッセージングの

場合に使用します。

構文 public static WSSElementProxy newWSSElementProxy (

com.cosminexus.c4web.service.message.SOAPMessageSender a_Sender

) throws WSSException;

引数

表 5-4 newWSSElementProxy(メッセージクラスから生成)メソッドの引数

仮引数名 a_Sender

名称

メッセージ

送信クラス in/out in

説明

SOAP 通信基盤が提供する

SOAPMessageSender クラスを指定します。

戻り値

セキュリティ項目操作クラスのインスタンスです。

例外

WSSException

処理中に予測しない例外が発生した場合にスローされます。

注意事項

SOAP 通信基盤の標準モードではこのメソッドは使用できません。呼び出すサービス

メソッドの形態がメッセージングのときにユーザプログラムからセキュリティヘッダ

にアクセスしたい場合は,SOAP 通信基盤の互換モードでこのメソッドを使用します。

SOAP 通信基盤のモードについては,マニュアル「Cosminexus SOAP アプリケー

ション開発ガイド」を参照してください。

メソッドの引数の指定とは異なるインスタンスの SOAPMessageSender クラスの sendMessage メソッドを呼び出した場合,セキュリティ項目操作クラスに設定した内

容は反映しません。Web サービスセキュリティ機能定義ファイルに設定した内容に

従って,セキュリティ項目を設定します。

メソッドで取得したセキュリティ項目操作クラスが提供するメソッドを利用しないで

48

5. 

Web サービスセキュリティ機能が提供する API sendMessage メソッドを呼び出した場合,Web サービスセキュリティ機能定義ファイ

ルに設定した内容に従って,セキュリティ項目を設定します。

送信時に Web サービスセキュリティ機能を利用しない場合は,このメソッドで取得し

たセキュリティ項目操作クラスが提供するメソッドを利用しても,セキュリティ項目

は SOAP メッセージに設定しません。Web サービスセキュリティ機能を利用しない場

合を次に示します。

Web サービスセキュリティ機能定義ファイルが送信時にデプロイされていない場合

Web サービスセキュリティ機能定義ファイル中のリクエストメッセージ送信時の設

定が省略されている場合

49

5. 

Web サービスセキュリティ機能が提供する API

newWSSElementProxy(実装クラスから生成)

クラス名:WSSElementProxyFactory

機能

空のセキュリティ項目操作クラスのインスタンスを生成します。このメソッドは,スタ

ブまたはメッセージクラスから生成するメソッドとは異なり,SOAP サービスの実装ク

ラスでサービスの応答を送信する際に使用します。このメソッドで取得したセキュリ

ティ項目操作クラスが提供するメソッドを利用すると,サービスの応答をクライアント

に送信する際に,セキュリティ項目操作クラスに設定した内容でセキュリティ要素を生

成します。

構文 public static WSSElementProxy newWSSElementProxy (

) throws WSSException;

引数

ありません。

戻り値

セキュリティ項目操作クラスのインスタンスです。

例外

WSSException

処理中に予測しない例外が発生した場合にスローされます。

注意事項

メソッドで取得したセキュリティ項目操作クラスが提供するメソッドを利用しない場

合,Web サービスセキュリティ機能定義ファイルに設定した内容に従って,レスポン

スメッセージ内のセキュリティ項目を設定します。

メソッドをリクエスト受信処理以外の場所で呼び出した場合は null を返します。

送信時に Web サービスセキュリティ機能を利用しない場合は,このメソッドで取得し

たセキュリティ項目操作クラスが提供するメソッドを利用しても,セキュリティ項目

は設定しません。Web サービスセキュリティ機能を利用しない場合を次に示します。

Web サービスセキュリティ機能定義ファイルが送信時にデプロイされていない場合

Web サービスセキュリティ機能定義ファイル中のリクエストメッセージ送信時の設

定が省略されていた場合

50

5. 

Web サービスセキュリティ機能が提供する API

getWSSElementProxy(スタブクラスから生成)

クラス名:WSSElementProxyFactory

機能

スタブクラスから,受信したメッセージのセキュリティ項目操作クラスのインスタンス

を生成します。このメソッドの引数で指定したクライアントのインタフェースクラスの

サービスメソッドの呼び出し後にこのメソッドを呼び出すと,サービスメソッドのレス

ポンスメッセージに含まれるセキュリティ項目を取得し,セキュリティ項目操作クラス

を生成します。その後,このメソッドで取得したセキュリティ項目操作クラスのメソッ

ドを呼び出すことで,セキュリティ項目を取得できます。

構文 public static WSSElementProxy[] getWSSElementProxy (

javax.xml.rpc.Stub a_Stub

) throws WSSException;

引数

表 5-5 getWSSElementProxy(スタブクラスから生成)メソッドの引数

仮引数名 名称 in/out a_Stub

スタブクラス in

説明

RPC または EJB を利用した SOAP アプリケー

ションの場合で,SOAP アプリケーション開発

支援機能によって作成されるクライアントのイ

ンタフェースクラス(スタブクラス)を指定し

ます。

戻り値

セキュリティ項目操作クラスのインスタンス配列です。セキュリティ項目操作クラスが

生成できない場合は null を返します。

例外

WSSException

処理中に予測しない例外が発生した場合にスローされます。

注意事項

このメソッドは,引数に指定したスタブクラスのサービスメソッドの呼び出し直後に

必ず呼び出すようにしてください。引数に指定したものと異なるスタブクラスのサー

ビスメソッド呼び出し直後にこのメソッドを呼び出した場合,引数に指定したスタブ

クラスのサービスメソッドの応答メッセージに含まれるセキュリティ項目は取得され

ません。

メソッドで取得するセキュリティ項目は,このメソッドを呼び出す直前に呼び出した

サービスメソッドのレスポンスメッセージに含まれるセキュリティ項目です。サービ

51

5. 

Web サービスセキュリティ機能が提供する API

スメソッドを複数回呼び出した場合,最後のサービスメソッド呼び出しのレスポンス

メッセージに含まれるセキュリティ項目を取得します。サービスメソッドを一度も呼

び出さないで,このメソッドを呼び出した場合は null を返します。

戻り値であるセキュリティ項目クラスの配列の順序と,レスポンスメッセージに含ま

れるセキュリティ項目の順序は必ずしも一致しません。

52

5. 

Web サービスセキュリティ機能が提供する API

getWSSElementProxy(メッセージクラスから生成)

クラス名:WSSElementProxyFactory

機能

メッセージ送信クラスから,受信したメッセージのセキュリティ項目操作クラスのイン

スタンスを生成します。このメソッドの引数で指定した SOAPMessageSender クラスの sendMessage メソッドの呼び出し後にこのメソッドを呼び出すと,sendMessage メソッ

ドのレスポンスメッセージに含まれるセキュリティ項目を取得し,セキュリティ項目操

作クラスを生成します。その後,このメソッドで取得したセキュリティ項目操作クラス

のメソッドを呼び出すことで,セキュリティ項目を取得できます。

構文 public static WSSElementProxy[] getWSSElementProxy (

com.cosminexus.c4web.service.message.SOAPMessageSender a_Sender

) throws WSSException;

引数

表 5-6 getWSSElementProxy(メッセージクラスから生成)メソッドの引数

仮引数名 a_Sender

名称

メッセージ

送信クラス in/out in

説明

メッセージングを利用した SOAP アプリケー

ションの場合で,SOAP アプリケーション開発

支援機能が提供する SOAPMessageSender クラ

スを指定します。

戻り値

セキュリティ項目操作クラスのインスタンス配列です。セキュリティ項目操作クラスが

生成できない場合は null を返します。

例外

WSSException

処理中に予測しない例外が発生した場合にスローされます。

注意事項

SOAP 通信基盤の標準モードではこのメソッドは使用できません。呼び出すサービス

メソッドの形態がメッセージングのときにユーザプログラムからセキュリティヘッダ

にアクセスしたい場合は,SOAP 通信基盤の互換モードでこのメソッドを使用します。

SOAP 通信基盤のモードについては,マニュアル「Cosminexus SOAP アプリケー

ション開発ガイド」を参照してください。

メソッドで取得するセキュリティ項目は,このメソッドを呼び出す直前に呼び出した

サービスメソッドのレスポンスメッセージに含まれるセキュリティ項目です。サービ

53

5. 

Web サービスセキュリティ機能が提供する API

スメソッドを複数回呼び出した場合,最後のサービスメソッド呼び出しのレスポンス

メッセージに含まれるセキュリティ項目を取得します。サービスメソッドを一度も呼

び出さないで,このメソッドを呼び出した場合は null を返します。

戻り値であるセキュリティ項目クラスの配列の順序と,レスポンスメッセージに含ま

れるセキュリティ項目の順序は必ずしも一致しません。

54

5. 

Web サービスセキュリティ機能が提供する API

getWSSElementProxy(実装クラスから生成)

クラス名:WSSElementProxyFactory

機能

受信したメッセージのセキュリティ項目操作クラスのインスタンスを生成します。この

メソッドは,スタブまたはメッセージクラスから生成するメソッドとは異なり,SOAP

サービスの実装クラスでサービスのリクエストメッセージに含まれるセキュリティ項目

を取得する際に使用します。SOAP サービスの実装クラスでこのメソッドを呼び出すと,

リクエストメッセージに含まれるセキュリティ項目を取得し,セキュリティ項目操作ク

ラスを生成します。その後,このメソッドで取得したセキュリティ項目操作クラスのメ

ソッドを呼び出すことで,セキュリティ項目を取得できます。

構文 public static WSSElementProxy[] getWSSElementProxy (

) throws WSSException;

引数

ありません。

戻り値

セキュリティ項目操作クラスのインスタンス配列です。セキュリティ項目操作クラスが

生成できない場合は null を返します。

例外

WSSException

処理中に予測しない例外が発生した場合にスローされます。

注意事項

このメソッドで取得するセキュリティ項目は,Web サービスセキュリティ機能が処理

するセキュリティ項目です。

戻り値であるセキュリティ項目クラスの配列の順序と,リクエストメッセージに含ま

れるセキュリティ項目の順序は必ずしも一致しません。

55

5. 

Web サービスセキュリティ機能が提供する API

5.3  WSSElementProxy クラス(セキュリティ

項目の操作)

セキュリティ項目の操作クラスです。

クラス定義 public final class WSSElementProxy

パッケージ名 com.cosminexus.wss.element

WSSElementProxy クラスのメソッドを次の表に示します。

表 5-7 WSSElementProxy クラスのメソッド一覧

メソッド名称 getWSSUsernameToken setWSSUsernameToken removeWSSUsernameToken getRole setRole

説明

UsernameToken 要素クラスのインスタンスを取得します。

UsernameToken 要素クラスのインスタンスをセキュリティ項目操

作クラスのインスタンスに設定します。

UsernameToken 要素クラスのインスタンスをセキュリティ項目操

作クラスのインスタンスから削除します。

セキュリティ項目の role 属性を取得します。

セキュリティ項目の role 属性を設定します。

56

5. 

Web サービスセキュリティ機能が提供する API

getWSSUsernameToken

クラス名:WSSElementProxy

機能

UsernameToken 要素クラスのインスタンスを取得します。

構文 public WSSUsernameToken[] getWSSUsernameToken (

) throws WSSException;

引数

ありません。

戻り値

UsernameToken 要素クラスのインスタンス配列です。

例外

WSSException

処理中に予測しない例外が発生した場合にスローされます。

注意事項

セキュリティ項目操作クラスのファクトリクラスの,newWSSElementProxy メソッ

ドによって取得した WSSElementProxy クラスのインスタンスの場合,このメソッド

の戻り値は null です。ただし,setWSSUsernameToken を呼んだ後,このメソッド

を呼び出すと setWSSUsernameToken で指定した値を返します。

戻り値の UsernameToken 要素クラスのインスタンス配列の順序と,メッセージ中の

UsernameToken 要素の順序とは必ずしも一致しません。

57

5. 

Web サービスセキュリティ機能が提供する API

setWSSUsernameToken

クラス名:WSSElementProxy

機能

UsernameToken 要素クラスのインスタンスをセキュリティ項目操作クラスに設定しま

す。

構文 public void setWSSUsernameToken (

WSSUsernameToken a_UsernameToken

) throws WSSException;

引数

表 5-8 setWSSUsernameToken メソッドの引数

仮引数名 a_UsernameToken

名称

UsernameToke n 要素クラス in/out in

説明

セキュリティ項目操作クラスに設定する

UsernameToken 要素操作クラスのインスタン

スを指定します。

戻り値

ありません。

例外

WSSException

処理中に予測しない例外が発生した場合にスローされます。

注意事項

引数に null を指定した場合,セキュリティ項目操作クラスに UsernameToken 要素クラ

スを設定しないで正常終了します。すでに UsernameToken 要素クラスを設定している

場合は,元の UsernameToken 要素クラスも更新しません。

58

5. 

Web サービスセキュリティ機能が提供する API

removeWSSUsernameToken

クラス名:WSSElementProxy

機能

UsernameToken 要素クラスのインスタンスをセキュリティ項目操作クラスから削除しま

す。

構文 public void removeWSSUsernameToken (

) throws WSSException;

引数

ありません。

戻り値

ありません。

例外

WSSException

処理中に予測しない例外が発生した場合にスローされます。

注意事項

UsernameToken 要素クラスのインスタンスがセキュリティ項目操作クラスに存在しない

場合,何も処理をしないで正常終了します。

59

5. 

Web サービスセキュリティ機能が提供する API

getRole

クラス名:WSSElementProxy

機能

セキュリティ項目の role 属性値を取得します。

構文 public java.net.URI getRole (

) throws WSSException;

引数

ありません。

戻り値

セキュリティ項目に含まれる role 属性値です。セキュリティ項目に role 属性がない場合

は null を返します。

例外

ありません。

60

5. 

Web サービスセキュリティ機能が提供する API

setRole

クラス名:WSSElementProxy

機能

セキュリティ項目の role 属性値を設定します。

構文 public void setRole (

java.net.URI a_Role

) throws WSSException;

引数

表 5-9 setRole メソッドの引数 a_Role

仮引数名 名称 role 属性値 in/out in

説明

セキュリティ項目操作クラスに設定する role 属

性値を指定します。

戻り値

ありません。

例外

ありません。

61

5. 

Web サービスセキュリティ機能が提供する API

5.4  WSSUsernameToken クラス

(UsernameToken 要素の操作)

UsernameToken 要素の操作クラスです。

クラス定義 public final class WSSUsernameToken extends

com.cosminexus.wss.element.WSSElementBase

パッケージ名 com.cosminexus.wss.element

WSSUsernameToken クラスのメソッドを次の表に示します。

表 5-10 WSSUsernameToken クラスのメソッド一覧

メソッド名称

コンストラクタ getUsername setUsername getPassword setPassword getId setId getPasswordType setPasswordType getNonce getCreated

説明

UsernameToken 要素クラスのコンストラクタです。

ユーザー名を取得します。

ユーザー名を設定します。

パスワードを取得します。

パスワードを設定します。

UsernameToken 要素の Id 属性を取得します。

UsernameToken 要素の Id 属性を設定します。

パスワード種別を取得します。

パスワード種別を設定します。

Nonce 属性を取得します。

Created 属性を取得します。

注意事項

セキュリティ項目操作クラスのインスタンスを,セキュリティ項目操作クラスのファ

クトリクラスの newWSSElementProxy メソッドによって生成した場合,このクラス

のメソッドで指定した内容で UsernameToken 要素を生成します。ただし,Web サー

ビスセキュリティ機能定義ファイルに,呼び出すサービスメソッドに対応する

SenderPortConfig 要素,RoleConfig 要素の指定がない場合は UsernameToken 要素

を生成しません。

セキュリティ項目操作クラスのインスタンスを,セキュリティ項目操作クラスのファ

クトリクラスの getWSSElementProxy メソッドによって生成した場合,このクラス

の名称が set で始まるメソッドで値を設定しても,UsernameToken 要素は生成しま

せん。

Web サービスセキュリティ機能定義ファイルに UsernameToken 要素を定義している

62

5. 

Web サービスセキュリティ機能が提供する API

場合,このメソッドが生成した UsernameToken 要素とは別に,複数の

UsernameToken 要素を生成します。

63

5. 

Web サービスセキュリティ機能が提供する API

コンストラクタ

機能

UsernameToken 要素クラスのコンストラクタです。

構文 public WSSUsernameToken (

java.lang.String a_Username

) throws WSSException;

引数

表 5-11 コンストラクタの引数

仮引数名 a_Username

名称

ユーザー名 in/out in

説明

ユーザー名を示す文字列を指定します。

戻り値

UsernameToken 要素クラスのインスタンスです。

例外

WSSException

引数に空文字または null が指定されました。

注意事項

このクラスが生成される際の UsernameToken 要素の初期値を次に示します。

表 5-12 UsernameToken 要素の初期値

クラスの要素

Username

初期値 1

※ 1

Password

PasswordType

コンストラクタの引数で指定したユー

ザー名 null

WSSUsernameToken.PasswordType.

TEXT

Id

Nonce

Created null null null

初期値2

※ 2

UsernameToken 要素のユーザー名

UsernameToken 要素のパスワード

WSSUsernameToken.PasswordType.T

EXT

または

WSSUsernameToken.PasswordType.D

IGEST

UsernameToken 要素の Id 属性

UsernameToken 要素の Nonce 属性

UsernameToken 要素の Created 属性

64

5. 

Web サービスセキュリティ機能が提供する API

注※ 1

コンストラクタを使用した場合

注※ 2

このクラスをセキュリティ項目操作クラスの getWSSUsernameToken メソッドで生

成した場合

引数に null を設定した場合,WSSException 例外が発生します。

引数に空文字 "" を設定した場合,WSSException 例外が発生します。

引数に一つ以上の空白文字を設定した場合,ユーザー名の情報は一つ以上の空白文字

に置き換えられます。

65

5. 

Web サービスセキュリティ機能が提供する API

getUsername

クラス名:WSSUsernameToken

機能

UsernameToken 要素のユーザー名を取得します。

構文 public java.lang.String getUsername (

);

引数

ありません。

戻り値

UsernameToken 要素のユーザー名です。

例外

ありません。

66

5. 

Web サービスセキュリティ機能が提供する API

setUsername

クラス名:WSSUsernameToken

機能

UsernameToken 要素のユーザー名を設定します。

構文 public void setUsername (

java.lang.String a_Username

) throws WSSException;

引数

表 5-13 setUsername メソッドの引数

仮引数名 a_Username

名称

ユーザー名 in/out in

説明

ユーザー名を示す文字列を指定します。

戻り値

ありません。

例外

WSSException

 引数に空文字 "" が指定されました。

注意事項

引数に null を設定した場合,このクラスが保持するユーザー名の情報は更新しませ

ん。

引数に一つ以上の空白文字を設定した場合,このクラスが保持するユーザー名の情報

は一つ以上の空白文字に置き換えられます。

67

5. 

Web サービスセキュリティ機能が提供する API

getPassword

クラス名:WSSUsernameToken

機能

UsernameToken 要素のパスワードを取得します。

構文 public char[] getPassword (

);

引数

ありません。

戻り値

UsernameToken 要素のパスワードです。UsernameToken 要素にパスワードがない場合

は null を返します。

例外

ありません。

注意事項

セキュリティ項目操作クラスのインスタンスを,セキュリティ項目操作クラスのファ

クトリクラスの newWSSElementProxy メソッドによって生成した際,

UsernameToken 要素内に Password 要素が存在しない場合は null を返します。ただ

し,すでに setPassword メソッドでパスワードを設定している場合はその値を返しま

す。

受信メッセージのセキュリティ項目の,UsernameToken 要素内の Password 要素が

空要素の場合は null を返します。

セキュリティ項目操作クラスのインスタンスを,セキュリティ項目操作クラスのファ

クトリクラスの getWSSElementProxy メソッドによって生成した際,受信メッセー

ジ内の Password 要素の種別が平文(SOAP メッセージの PasswordText 要素)の場

合は平文のパスワードを返します。Password 要素の種別がダイジェスト(SOAP

メッセージの PasswordDigest 要素)の場合はダイジェスト値をそのまま返します。

68

5. 

Web サービスセキュリティ機能が提供する API

setPassword

クラス名:WSSUsernameToken

機能

UsernameToken 要素のパスワードを設定します。

構文 public void setPassword (

char[] a_Password

);

引数

表 5-14 setPassword メソッドの引数

仮引数名 a_Password

名称

パスワード in/out in

説明

パスワードを指定します。

戻り値

ありません。

例外

ありません。

注意事項

引数に null または空文字 "" を設定した場合,このクラスに設定したパスワードの情

報は更新されません。

引数に空白文字を設定した場合,このクラスに設定したパスワードの情報は空白文字

に置き換えられます。

69

5. 

Web サービスセキュリティ機能が提供する API

getId

クラス名:WSSUsernameToken

機能

UsernameToken 要素の Id 属性を取得します。

構文 public java.lang.String getId (

);

引数

ありません。

戻り値

UsernameToken 要素の Id 属性値を示す文字列です。UsernameToken 要素に Id 属性が

ない場合は null を返します。

例外

ありません。

注意事項

このメソッドで取得するのは,UsernameToken 要素の Id 属性です。

セキュリティ項目操作クラスのインスタンスを,セキュリティ項目操作クラスのファ

クトリクラスの newWSSElementProxy メソッドによって生成した場合は null を返し

ます。ただし,すでに setId メソッドで Id を設定している場合はその値を返します。

70

5. 

Web サービスセキュリティ機能が提供する API

setId

クラス名:WSSUsernameToken

機能

UsernameToken 要素の Id 属性を設定します。

構文 public void setId (

java.lang.String a_Id

);

引数 a_Id

表 5-15 setId メソッドの引数

仮引数名 名称

Id in/out in

説明

Id 属性を示す文字列を指定します。

戻り値

ありません。

例外

ありません。

注意事項

このメソッドで設定した Id 属性値は UsernameToken 要素の Id 属性に設定されます。

ただし,ほかの要素の Id 属性値と重複しているかどうかはチェックしません。

71

5. 

Web サービスセキュリティ機能が提供する API

getPasswordType

クラス名:WSSUsernameToken

機能

UsernameToken 要素のパスワード種別を取得します。

構文 public WSSUsernameToken.PasswordType getPasswordType (

);

引数

ありません。

戻り値

UsernameToken 要素のパスワード種別です。UsernameToken 要素にパスワードがない

場合は,WSSUsernameToken.PasswordType.TEXT を返します。

表 5-16 WSSUsernameToken.PasswordType クラスの列挙値

列挙値

WSSUsernameToken.

PasswordType.TEXT

意味

平文形式のパスワードです。

(http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-username-token-profile-1.0#PasswordText 形

式)

WSSUsernameToken.

PasswordType.DIGES

T

ダイジェスト形式のパスワードです。

(http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-username-token-profile-1.0#PasswordDigest

形式)

例外

ありません。

注意事項

セキュリティ項目操作クラスのインスタンスを,セキュリティ項目操作クラスのファク

トリクラスの newWSSElementProxy メソッドによって生成した場合,

WSSUsernameToken.PasswordType.TEXT を返します。ただし,すでに setPasswordType メソッドでパスワード種別を設定している場合は,その値を返します。

72

5. 

Web サービスセキュリティ機能が提供する API

setPasswordType

クラス名:WSSUsernameToken

機能

UsernameToken 要素のパスワード種別を設定します。

構文 public void setPasswordType (

WSSUsernameToken.PasswordType a_PasswordType

);

引数

表 5-17 setPasswordType メソッドの引数

仮引数名 a_PasswordType

名称

パスワード

種別 in/out in

説明

パスワード種別を示す,

WSSUsernameToken.PasswordType の列挙値

を指定します。

戻り値

ありません。

例外

ありません。

73

5. 

Web サービスセキュリティ機能が提供する API

getNonce

クラス名:WSSUsernameToken

機能

UsernameToken 要素の Nonce 属性の内容を取得します。

構文 public java.lang.String getNonce (

);

引数

ありません。

戻り値

UsernameToken 要素の Nonce 属性値です。UsernameToken 要素に Nonce 属性がない

場合は null を返します。

例外

ありません。

注意事項

セキュリティ項目操作クラスのインスタンスを,セキュリティ項目操作クラスのファク

トリクラスの newWSSElementProxy メソッドによって生成した際,UsernameToken

要素内に Nonce 属性がない場合は null を返します。

74

5. 

Web サービスセキュリティ機能が提供する API

getCreated

クラス名:WSSUsernameToken

機能

UsernameToken 要素の Created 属性の内容を取得します。

構文 public java.lang.String getCreated (

);

引数

ありません。

戻り値

UsernameToken 要素の Created 属性文字列です。UsernameToken 要素に Created 属

性がない場合は null を返します。

例外

ありません。

注意事項

セキュリティ項目操作クラスのインスタンスを,セキュリティ項目操作クラスのファク

トリクラスの newWSSElementProxy メソッドによって生成した際,UsernameToken

要素内に Created 属性がない場合は null を返します。

75

5. 

Web サービスセキュリティ機能が提供する API

5.5  WSSUsernameToken.PasswordType イン

タフェース(PasswordType 要素の操作)

PasswordType 要素の操作クラスです。

クラス定義 public static final class WSSUsernameToken.PassswordType

パッケージ名 com.cosminexus.wss.element

機能

WSSUsernameToken クラスの getPasswordType(),setPasswordType() メソッド

の戻り値および引数で指定する,PasswordType 要素を示す列挙定数です。次にパ

スワード種別を示します。

TEXT

パスワード種別が平文形式(http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-secext-1.0#PasswordText)であることを示しま

す。

DIGEST

パスワード種別がダイジェスト形式(http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-username-token-profile-1.0#PasswordDigest)

であることを示します。

76

5. 

Web サービスセキュリティ機能が提供する API

5.6  WSSException クラス(例外情報の取得)

Web サービスセキュリティ機能が提供する API で発生する例外クラスです。

クラス定義 public final class WSSException extends

java.lang.Exception

パッケージ名 com.cosminexus.wss.faults

WSSException クラスのメソッドを次の表に示します。

表 5-18 WSSException クラスのメソッド一覧

メソッド名称 getMessage

詳細メッセージを取得します。

説明

77

5. 

Web サービスセキュリティ機能が提供する API

getMessage

クラス名:WSSException

機能

例外の詳細メッセージを取得します。

構文 public java.lang.String getMessage (

);

引数

ありません。

戻り値

詳細メッセージを示す文字列です。

78

6

障害対策

この章では,Web サービスセキュリティ機能の実行,および

運用中の障害対策のために出力される情報について説明しま

す。

6.1 トレースを収集する

79

6. 

障害対策

6.1 トレースを収集する

Web サービスセキュリティ機能では,障害対策に必要な情報をトレースとして出力しま

す。トレースは障害の発生個所の割り出しや原因の調査などに利用します。Web サービ

スセキュリティ機能で出力するトレースの種類を次に示します。

表 6-1 Web サービスセキュリティ機能が出力するトレースの種類

トレースの種類

サーバトレース

クライアントトレース

コマンドトレース

説明

Web サービスセキュリティ機能のサーバ処理部分が出力します。

Web サービスセキュリティ機能のクライアント処理部分が出力します。

Web サービスセキュリティ機能のコマンドラインインタフェースが出力し

ます。

6.1.1 トレースの内容

サーバトレース,クライアントトレース,およびコマンドトレースが出力するトレース

の内容と出力例を次に示します。

日付

表 6-2 トレースの出力内容

項目 内容

出力時の日付(yyyy/mm/dd 形式)が出力されます。

時刻

アプリケーション名

プロセス識別子

スレッド識別子

メッセージ ID

メッセージ種別

メッセージテキスト

出力時の時刻(hh:mm:ss.sss 形式)が出力されます。

「wss」が出力されます。

プロセス識別子(16 進数)が出力されます。

スレッド識別子(16 進数)が出力されます。

メッセージ ID が出力されます。メッセージ ID を持たないものは出力され

ません。

OC:メソッドの入口を表します。

OD:メソッドの出口を表します。

EC:例外をキャッチしたことを表します。

ER:エラーメッセージを表示したことを表します。

FB:ほかのプログラムの処理の呼び出しを表します。

FE:呼び出したほかのプログラムの処理の終了を表します。

PB:Web サービスセキュリティ機能が提供する API の開始を表します。

PE:Web サービスセキュリティ機能が提供する API の終了を表します。

実行時の情報を示すメッセージが出力されます。

80

6. 

障害対策

図 6-1 トレースの出力例

6.1.2 トレースの出力先

トレースの出力先を次に示します。

表 6-3 トレースの出力先

トレースの種類

サーバトレース

クライアントトレース

コマンドトレース

出力先

SOAP 通信基盤のサーバ側で出力するトレース ※

と同じファイル上に出力

されます。

SOAP 通信基盤のクライアント側で出力するトレース ※

と同じファイル上

に出力されます。

SOAP 通信基盤のモード ※

により出力先ディレクトリが異なります。

標準モードの場合

< Cosminexus のインストールディレクトリ> /CC/client/logs/system/ ejbcl/WS

互換モードの場合

< Cosminexus のインストールディレクトリ> /wss/logs

このディレクトリの下に次のファイル名で出力されます。

共通鍵生成コマンドの場合

CWSSCreateSecretKey-n.log (n:1 ∼ 2)

定義ファイル構文チェックコマンドの場合

CWSSConfCheck-n.log (n:1 ∼ 2)

注※

SOAP 通信基盤のトレース出力先とモードについては,マニュアル「Cosminexus 

SOAP アプリケーション開発ガイド」を参照してください。

6.1.3 トレースの重要度

トレースの重要度を変更することで,出力するトレースの情報量を変更できます。出力

する情報量を多くすることで,障害発生の要因を特定しやすくなります。ただし,出力

する情報量を多くすると,プログラムの処理性能への影響が大きくなります。

トレースの重要度には次のレベルがあります。

ERROR

81

6. 

障害対策

WARN

INFO

DEBUG

Web サービスセキュリティ機能で出力するトレースの重要度は,SOAP 通信基盤の設定

に従います。詳細については,マニュアル「Cosminexus SOAP アプリケーション開発

ガイド」を参照してください。

82

7

メッセージ一覧

この章では,SOAP メッセージの送受信やコマンドの実行中な

どにエラーが発生した場合に出力されるメッセージの形式,お

よび内容について説明します。定義ファイルの読み込み時,コ

マンド実行時,または API 使用時に出力されるメッセージに

ついても説明します。なお,メッセージの説明では,メッセー

ジはメッセージ ID 順に並んでいます。

7.1 メッセージの形式

7.2 メッセージの内容

83

7. 

メッセージ一覧

7.1 メッセージの形式

メッセージはそれぞれ,プレフィックス,メッセージ番号,およびメッセージ種別から

構成されるメッセージ ID を持っています。例えば,KDCGW0001-E というメッセージ

ID の場合,「KDCGW」の部分がプレフィックス,「0001」の部分がメッセージ番号,

「-E」の部分がメッセージ種別を表しています。この節では,メッセージのプレフィック

スと種別について説明します。

メッセージのプレフィックスは,そのメッセージが出力されるタイミングによって異な

ります。Web サービスセキュリティ機能を利用する場合に出力されるメッセージのプレ

フィックス,各プレフィックスのメッセージが出力されるタイミング,および出力先を

次の表に示します。

項番

1

2

表 7-1 メッセージのプレフィックス一覧

プレフィックス

KDCGA

KDCGC

出力のタイミング

Web サービスセキュリティ機能が提供

する API で,エラーが発生した場合に

出力されます。

Web サービスセキュリティ機能定義

ファイルおよび Web サービスセキュリ

ティポリシー定義ファイルを読み込む

場合に,両定義ファイルに共通のエ

ラーが発生したときに出力されます。

3

4

5

6

KDCGF

KDCGJ

KDCGK

KDCGO

SOAP メッセージを受信中にエラーが

発生した場合に出力されます。

SOAP メッセージの認証でエラーが発

生した場合に出力されます。

共通鍵生成コマンドの処理が正常に終

了した場合,または実行中にエラーが

発生した場合に出力されます。

定義ファイル構文チェックコマンドの

処理が正常に終了した場合,または実

行中にエラーが発生した場合に出力さ

れます。

出力先

KDCGF および KDCGW で始ま

るメッセージの詳細部分に出力さ

れます。

KDCGF,KDCGO,または

KDCGW で始まるメッセージの

詳細部分に出力されます。定義

ファイル構文チェックコマンドの

実行中は,標準出力および Web

サービスセキュリティ機能のト

レースファイルに出力されます。

SOAP 通信基盤が提供する

C4Fault クラスの faultString 要

素として,ユーザー作成プログラ

ムのメッセージに出力されます。

メッセージの本文は,SOAP 通信

基盤のトレースファイルにも出力

されます。

SOAP 通信基盤のトレースファイ

ルに出力されます。

標準出力および Web サービスセ

キュリティ機能のトレースファイ

ルに出力されます。

84

7. 

メッセージ一覧

項番

7

8

9

プレフィックス

KDCGP

KDCGS

KDCGW

出力のタイミング

Web サービスセキュリティポリシー定

義ファイルの読み込み中にエラーが発

生した場合に出力されます。

Web サービスセキュリティ機能定義

ファイルの読み込み中にエラーが発生

した場合に出力されます。

SOAP メッセージを送信中にエラーが

発生した場合に出力されます。

出力先

KDCGF,KDCGO,または

KDCGW で始まるメッセージの

詳細部分に出力されます。定義

ファイル構文チェックコマンドの

実行中は,標準出力および Web

サービスセキュリティ機能のト

レースファイルに出力されます。

SOAP 通信基盤が提供する

C4Fault クラスの faultString 要

素として,ユーザー作成プログラ

ムのメッセージに出力されます。

メッセージの本文は,SOAP 通信

基盤のトレースファイルにも出力

されます。

い。

SOAP アプリケーション開発支援機能のクラスやトレースファイルについては,マニュアル

「Cosminexus SOAP アプリケーション開発ガイド」を参照してください。

メッセージ種別には次の種類があります。

-E

エラーが発生した場合に出力されるメッセージであることを示します。このメッ

セージの内容」を参照してください。

-I

処理が終了したことを通知するメッセージであることを示します。このメッセージ

種別を持つメッセージが出力された場合,処理は正常に終了しているので,対処は

必要ありません。

-W

警告を通知するメッセージであることを示します。このメッセージ種別を持つメッ

してください。

85

7. 

メッセージ一覧

7.2 メッセージの内容

Web サービスセキュリティ機能のメッセージは,英文で出力されます。この節では,出

力されたメッセージの意味,メッセージが出力された要因,およびメッセージが出力さ

れた場合の対処方法を,次に示す形式で説明します。

メッセージ本文

意味

英文のメッセージの意味を説明します。

要因

メッセージが出力された要因を説明します。

対処

メッセージが出力された場合の対処方法を説明します。

なお,メッセージは,メッセージ ID 順に並んでいます。

7.2.1 KDCGA で始まるメッセージ

KDCGA で始まるメッセージの意味,要因,および対処について説明します。

A user name is required.

意味

ユーザー名が必要です。

要因

WSSUsernameToken クラスのユーザー名が指定されていません。

対処

SOAP アプリケーションの設計を見直して,WSSUsernameToken クラスの setUsername メソッドでユーザー名を指定するようにしてください。

An unexpected error occurred during processing. (details = < 詳細 >)

意味

処理中に予期しないエラーが発生しました。< 詳細 > には,エラー内容の詳細が出

力されます。

要因

Web サービスセキュリティ機能が提供する API を実行中に原因不明のエラーが発生

86

7. 

メッセージ一覧

しました。

対処

システム管理者に連絡してください。

7.2.2 KDCGC で始まるメッセージ

KDCGC で始まるメッセージの意味,要因,および対処について説明します。

A file was not found. (file = <ファイル名> )

意味

< ファイル名 > のファイルが見つかりません。

要因

指定されたファイルが見つからないか,指定されたファイルに対するアクセス権限

がありません。

対処

指定したファイルが存在するかどうか確認してください。指定したファイルが存在

するにもかかわらず,このメッセージが出力される場合は,指定したファイルに対

してアクセス権限があるかどうか確認してください。ファイルに対するアクセス権

限がない場合は,アクセス権限を設定してください。

A configuration file contains an error. (file = <ファイル名> , line = <行番号> , details = <詳細

> )

意味

定義ファイルの内容が不正です。

< ファイル名 >,< 行番号 >,および < 詳細 > には,それぞれ次の内容が出力されま

す。

< ファイル名 >

Web サービスセキュリティ機能定義ファイルまたは Web サービスセキュリティ

ポリシー定義ファイルのフルパスが出力されます。

< 行番号 >

Web サービスセキュリティ機能定義ファイルまたは Web サービスセキュリティ

ポリシー定義ファイルの中で,定義ファイル構文チェックコマンドによってエ

ラーと判定された行の行番号が出力されます。

< 詳細 >

エラーの詳細が出力されます。< 詳細 > に出力される内容については,マニュ

アル「Cosminexus XML Processor ユーザーズガイド」を参照してください。

87

7. 

メッセージ一覧

要因

Web サービスセキュリティ機能定義ファイルまたは Web サービスセキュリティポリ

シー定義ファイルに対して,定義ファイル構文チェックコマンドを実行した結果,

エラーが発生しました。

対処

< 詳細 > に出力された内容に従って,Web サービスセキュリティ機能定義ファイル

または Web サービスセキュリティポリシー定義ファイルを修正してから,定義ファ

イル構文チェックコマンドを実行してください。

注意事項

SOAP アプリケーションの実行時に,このメッセージが出力された場合は,< ファ

イル名 >,< 行番号 >,および < 詳細 > は出力されません。ただし,トレースファイ

ルには < ファイル名 >,< 行番号 >,および < 詳細 > が出力されます。トレース

The specified attribute contains an invalid value. The default value was assumed. tag name = < 要

素名 >, attribute name = < 属性名 > , specified value = < 指定値 > , value to be used = < 仮定する

値 >

意味

属性値の内容が正しくないため,デフォルト値を仮定して処理を続行します。< 要

素名 >,< 属性名 >,< 指定値 >,< 仮定する値 > にはそれぞれ次の内容が出力されます。

< 要素名 >

正しくない値を指定した属性を持つ要素の名称が出力されます。

< 属性名 >

正しくない値を指定した属性名が出力されます。

< 指定値 >

< 属性名 > に指定した属性値が出力されます。

< 仮定する値 >

< 属性名 > で指定した属性のデフォルト値が出力されます。

要因

Web サービスセキュリティ機能定義ファイルまたは Web サービスセキュリティポリ

シー定義ファイルで指定した属性値が正しくないため,デフォルト値を仮定して処

理を続行します。

対処

< 属性値 > に出力される値を正しい値にしてください。

The property contains an invalid value. The default value was assumed. key = < キー名称 >, specified value = < 指定値 > , value to be used = < 仮定する値 >

88

7. 

メッセージ一覧

意味

指定値の内容が正しくないため,デフォルト値を仮定して処理を続行します。

< キー名称 >,< 指定値 >,< 仮定する値 > にはそれぞれ次の内容が出力されます。

< キー名称 >

正しくない値を指定したキー名称が出力されます。

< 指定値 >

< キー名称 > に指定した値が出力されます。

< 仮定する値 >

< キー名称 > で指定したキーのデフォルト値が出力されます。

要因

環境設定ファイルで指定した指定値が正しくないため,デフォルト値を仮定して処

理を続行します。

対処

< キー名称 > に出力されるキーの指定値を正しい値にしてください。

注意事項

このメッセージはトレースファイルだけに出力されます。

7.2.3 KDCGF で始まるメッセージ

KDCGF で始まるメッセージの意味,要因,および対処について説明します。KDCGF

で始まるメッセージは,SOAPFault 形式で出力されます。SOAPFault 形式のメッセー

ジには,次に示す四つの項目があります。

FaultCode

Fault コードが出力されます。Fault コードは,接頭辞とローカル部で構成されま docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd}」が

出力されます。ローカル部には,エラーの要因を示す文字列が出力されます。

Fault コードの値は,SOAP 通信基盤の API を使用して取得できます。SOAP 通信

基盤が提供する API の仕様については,マニュアル「Cosminexus SOAP アプリ

ケーション開発ガイド」を参照してください。

FaultString

メッセージ ID およびメッセージの本文が出力されます。メッセージ ID の見方につ

FaultActor

Fault の生成者が出力されます。

FaultDetails

Fault の詳細が出力されます。

89

7. 

メッセージ一覧

FaultCode:{http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-secext-1.0.xsd}UnsupportedSecurityToken

FaultString:KDCGF0001-E An unsupported security token was specified. (location = <発生場所

> )

FaultActor:なし

FaultDetails:なし

意味

< 発生場所 > でサポートされていないセキュリティトークン要素が使用されていま

す。< 発生場所 > には次の内容が出力されます。

Server:サーバ側で受信したメッセージでエラーが発生した場合

Client:クライアント側で受信したメッセージでエラーが発生した場合

要因

次のうちのどれかがエラーの要因と考えられます。

BinarySecurityToken 要素の EncodingType 属性が指定されているにもかかわら

ず,属性値が「http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-soap-message-security-1.0#Base64Binary」ではない。

BinarySecurityToken 要素の ValueType 属性が指定されているにもかかわらず,

属性値が「http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-x509-token-profile-1.0#X509v3」ではない。

KeyIdentifier 要素に EncodingType 属性が指定されているにもかかわらず,属性

値が「http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-soap-message-security-1.0#Base64Binary」ではない。

KeyIdentifier 要素に ValueType 属性が指定されているにもかかわらず,属性値が

「http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-x509-token-profile-1.0#X509SubjectKeyIdentifier」ではない。

WS-Security の Reference 要素に ValueType 属性が指定されているにもかかわら

ず,属性値が「http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-x509-token-profile-1.0#X509v3」ではない。

WS-Security の SecurityTokenReference 要素の子要素に,Reference 要素または

KeyIdentifier 要素以外の要素が指定されている。

WS-Security の Security 要素の子要素に,XML 暗号の Reference 要素が指定さ

れている。

対処

「要因」に示した内容に該当する SOAP メッセージを送信していないかどうか,メッ

セージの送信者に確認してください。

90

7. 

メッセージ一覧

FaultCode:{http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-secext-1.0.xsd}UnsupportedAlgorithm

FaultString:KDCGF0002-E An unsupported signature or encryption algorithm was specified.

(location = <発生場所> )

FaultActor:なし

FaultDetails:なし

意味

< 発生場所 > でサポートされていない署名アルゴリズム,または暗号アルゴリズム

が使用されています。< 発生場所 > には次の内容が出力されます。

Server:サーバ側で受信したメッセージでエラーが発生した場合

Client:クライアント側で受信したメッセージでエラーが発生した場合

要因

次のうちのどれかがエラーの要因と考えられます。

Canonicalization 要素の Algorithm 属性にサポートされていないアルゴリズムが

指定されている。

SignatureMethod 要素の Algorithm 属性にサポートされていないアルゴリズムが

指定されている。

Transform 要素の Algorithm 属性にサポートされていないアルゴリズムが指定さ

れている。

Canonicalization 要素の Algorithm 属性に Web サービスセキュリティポリシー定

義ファイルで設定されていないアルゴリズムが指定されている。

SignatureMethod 要素の Algorithm 属性に Web サービスセキュリティポリシー

定義ファイルに設定されていないアルゴリズムが指定されている。

Transform 要素の Algorithm 属性に Web サービスセキュリティポリシー定義ファ

イルで設定されていないアルゴリズムが指定されている。

XML 暗号の EncryptionMethod 要素の Algorithm 属性にサポートされていない

アルゴリズムが指定されている。

XML 暗号の EncryptionMethod 要素の Algorithm 属性に Web サービスセキュリ

ティポリシー定義ファイルで設定されていないアルゴリズムが指定されている。

対処

「要因」に示した内容に該当する SOAP メッセージを送信していないかどうか,メッ

セージの送信者に確認してください。または,Web サービスセキュリティポリシー

定義ファイルの設定を見直してください。

Web サービスセキュリティ機能がサポートしているアルゴリズムについては,「付録

A 標準仕様への対応」を参照してください。Web サービスセキュリティポリシー

義ファイルの項目」を参照してください。

91

7. 

メッセージ一覧

FaultCode:{http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-secext-1.0.xsd}InvalidSecurity

FaultString:KDCGF0003-E An error occurred during security header processing. (location = <発

生場所> )

FaultActor:なし

FaultDetails:なし

意味

< 発生場所 > のセキュリティヘッダ内でエラーが発生しました。< 発生場所 > には

次の内容が出力されます。

Server:サーバ側で受信したメッセージでエラーが発生した場合

Client:クライアント側で受信したメッセージでエラーが発生した場合

要因

次のうちのどれかがエラーの要因と考えられます。

Web サービスセキュリティポリシー定義ファイルの Timestamp 要素で Created

要素を要求する指定がされているにもかかわらず,受信した SOAP メッセージに

Created 要素がない。

Web サービスセキュリティポリシー定義ファイルの Timestamp 要素で Expires

要素を要求する指定がされているにもかかわらず,受信した SOAP メッセージに

Expires 要素がない。

受信した SOAP メッセージの Created 要素および Expires 要素の ValueType 属

性が xsd:dateTime と異なる。

値が必要な要素(Created 要素,Expires 要素,BinarySecurityToken 要素,

KeyIdentifier 要素)に値がない。

Web サービスセキュリティポリシー定義ファイルで BinarySecurityToken 要素を

要求する指定がされているにもかかわらず,受信した SOAP メッセージに

BinarySecurityToken 要素がない。

Reference 要素に URI 属性が付与されていない。

Reference 要素の URI 属性に値が設定されていない。

Web サービスセキュリティポリシー定義ファイルで SOAP ボディに署名を要求す

る指定がされているにもかかわらず,受信した SOAP メッセージの SOAP ボディ

に署名がない。

暗号化された SOAP メッセージに KeyInfo 要素がない。

暗号化された SOAP メッセージの KeyName 要素で示された鍵が Web サービスセ

キュリティ機能定義ファイルに記述されていない。

Web サービスセキュリティポリシー定義ファイルで SOAP ボディの要素の暗号化

を要求する指定がされているにもかかわらず,受信した SOAP メッセージの

SOAP ボディの要素が暗号化されていない。

92

7. 

メッセージ一覧

受信した SOAP メッセージに同じ属性値を持つ Id 属性がある。

Web サービスセキュリティポリシー定義ファイルの ReceiverPortConfig 要素の

Name 属性と My_role 属性に対応した Web サービスセキュリティ機能定義ファイ

ルの設定がありません。

対処

「要因」に示した内容に該当する SOAP メッセージを送信していないかどうか,メッ

セージの送信者に確認してください。または,Web サービスセキュリティポリシー

定義ファイルの設定を見直してください。

Web サービスセキュリティ機能がサポートしているアルゴリズムについては,「付録

A 標準仕様への対応」を参照してください。Web サービスセキュリティポリシー

義ファイルの項目」を参照してください。

FaultCode:{http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-secext-1.0.xsd}InvalidSecurityToken

FaultString:KDCGF0004-E An invalid security token was specified (location = <発生場所> )

FaultActor:なし

FaultDetails:なし

意味

< 発生場所 > で不正なセキュリティトークンが使用されています。< 発生場所 > に

は次の内容が出力されます。

Server:サーバ側で受信したメッセージでエラーが発生した場合

Client:クライアント側で受信したメッセージでエラーが発生した場合

要因

次のうちのどちらかがエラーの要因と考えられます。

BinarySecurityToken 要素の ValueType 属性が付与されていない。

受信した SOAP メッセージの BinarySecurityToken 要素を,Web サービスセキュ

リティポリシー定義ファイルに記述された証明書ファイルで検証した場合に,常

に検証が失敗する。

対処

「要因」に示した内容に該当する SOAP メッセージを送信していないかどうか,メッ

セージの送信者に確認してください。または,Web サービスセキュリティポリシー

定義ファイルの設定を見直してください。

Web サービスセキュリティ機能がサポートしているアルゴリズムについては,「付録

A 標準仕様への対応」を参照してください。Web サービスセキュリティポリシー

義ファイルの項目」を参照してください。

93

7. 

メッセージ一覧

FaultCode:{http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-secext-1.0.xsd}FailedAuthentication

FaultString:KDCGF0005-E A security token could not be authenticated or authorized. (location =

<発生場所> )

FaultActor:なし

FaultDetails:なし

意味

< 発生場所 > のセキュリティトークンは,認証または認可できません。< 発生場所 >

には次の内容が出力されます。

Server:サーバ側で受信したメッセージでエラーが発生した場合

Client:クライアント側で受信したメッセージでエラーが発生した場合

要因

KDCGJ0001-E の要因を参照してください。

対処

KDCGJ0001-E の対処を参照してください。

FaultCode:{http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-secext-1.0.xsd}FailedCheck

FaultString:KDCGF0006-E A signature or decryption was invalid. (location = <発生場所> )

FaultActor:なし

FaultDetails:なし

意味

< 発生場所 > の署名または復号化が不正です。< 発生場所 > には次の内容が出力さ

れます。

Server:サーバ側で受信したメッセージでエラーが発生した場合

Client:クライアント側で受信したメッセージでエラーが発生した場合

要因

次のうちのどちらかがエラーの要因と考えられます。

受信した SOAP メッセージに不正な署名が付与されている。

受信した SOAP メッセージが不正に暗号化されている。

対処

「要因」に示した内容に該当する SOAP メッセージを送信していないかどうか,メッ

セージの送信者に確認してください。

94

7. 

メッセージ一覧

FaultCode:{http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-secext-1.0.xsd}SecurityTokenUnavailable

FaultString:KDCGF0007-E A referenced security token cannot be found. (location = <発生場所

> )

FaultActor:なし

FaultDetails:なし

意味

< 発生場所 > で受信した SOAP メッセージの中で,参照先で示されるセキュリティ

トークン要素が見つかりませんでした。< 発生場所 > には次の内容が出力されます。

Server:サーバ側で受信したメッセージでエラーが発生した場合

Client:クライアント側で受信したメッセージでエラーが発生した場合

要因

WS-Security の Reference 要素で指定されている BinarySecurityToken 要素が見

つかりません。

WS-Security の KeyIdentifier 要素で指定されているサブジェクトキー識別子を持

つ X.509 証明書が Web サービスセキュリティ機能定義ファイルの

VerificationKeyStore 要素で指定しているキーストアファイルの中から見つかり

ません。

対処

「要因」に示した内容に該当する SOAP メッセージを送信していないかどうか,メッ

セージの送信者に確認してください。

FaultCode:{http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-secext-1.0.xsd}MessageExpired

FaultString:KDCGF0008-E An old message or message with an expired date was received.

(location = <発生場所> )

FaultActor:なし

FaultDetails:なし

意味

<発生場所>で受信した SOAP メッセージが古いか,メッセージの有効期限が切れ

ています。< 発生場所 > には次の内容が出力されます。

Server:サーバ側で受信したメッセージでエラーが発生した場合

Client:クライアント側で受信したメッセージでエラーが発生した場合

95

7. 

メッセージ一覧

要因

次のうちのどちらかがエラーの要因と考えられます。

受信した SOAP メッセージの Created 要素の値が古い。

受信した SOAP メッセージの Expires 要素で指定されている有効期限が過ぎてい

る。

対処

「要因」に示した内容に該当する SOAP メッセージを送信していないかどうか,メッ

セージの送信者に確認してください。または,Web サービスセキュリティポリシー

定義ファイルの設定を見直してください。

Web サービスセキュリティポリシー定義ファイルの設定については,「付録 C.2 

Web サービスセキュリティポリシー定義ファイルの項目」を参照してください。

FaultCode : {http://schemas.xmlsoap.org/soap/envelope/}MustUnderstand

FaultString : KDCGF0009-E Can not understand "MustUnderstand" header.(Header name = < ヘッ

ダ名 >, reason= < 理由 >)

FaultActor : なし

FaultDetail : なし

意味 mustUnderstand 属性が付加されたヘッダ要素を解釈できません。

<ヘッダ名>および<理由>には,それぞれ次の内容が出力されます。

<ヘッダ名> mustUnderstand 属性が付加されたヘッダの名称が出力されます。

<理由>

解釈できない理由が出力されます。

要因

次の要因が考えられます。

アプリケーションが Cosminexus Web Services - Security - バージョン 0760 を実

装している場合

次の Security 要素を受信しました。

・mustUnderstand 属性が「true」である。

・名前空間の値が Web Services Security: SOAP Message Security Working Draft

17 である。

アプリケーションが Cosminexus Web Services - Security - 旧バージョンを実装し

ている場合

次の Security 要素を受信しました。

・mustUnderstand 属性が「true」である。

・名前空間の値が Web Services Security: SOAP Message Security1.1 である。

96

7. 

メッセージ一覧

対処

アプリケーションが Cosminexus Web Services - Security - バージョン 0760 を実

装している場合

受信する Security 要素の名前空間が Web Services Security: SOAP Message

Security1.1 の名前空間になるように,メッセージ送信者に変更を依頼してくださ

い。

アプリケーションが Cosminexus Web Services - Security - 旧バージョンを実装し

ている場合

受信する Security 要素の名前空間が Web Services Security: SOAP Message

Security Working Draft17 の名前空間になるように,メッセージ送信者に変更を

依頼してください。

FaultCode:{http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-wssecurity-secext-1.0.xsd} InvalidSecurity

FaultString : KDCGF0010-E The namespace < 名前空間 > of the Security header is illegal.

FaultActor : なし

FaultDetail : なし

意味

セキュリティヘッダの名前空間が不正です。<名前空間>には,次の内容が出力さ

れます。

<名前空間>

不正な名前空間の名称が出力されます。

要因

次の要因が考えられます。

アプリケーションが Cosminexus Web Services - Security - バージョン 0760 を実

装している場合

次の Security 要素を受信しました。

・mustUnderstand 属性が「false」である。

・名前空間の値が Web Services Security: SOAP Message Security Working Draft

17 である。

アプリケーションが Cosminexus Web Services - Security - 旧バージョンを実装し

ている場合

次の Security 要素を受信しました。

・mustUnderstand 属性が「false」である。

・名前空間の値が Web Services Security: SOAP Message Security1.1 である。

対処

アプリケーションが Cosminexus Web Services - Security - バージョン 0760 を実

装している場合

97

7. 

メッセージ一覧

受信する Security 要素の名前空間が Web Services Security: SOAP Message

Security1.1 の名前空間になるように,メッセージ送信者に変更を依頼してくださ

い。

アプリケーションが Cosminexus Web Services - Security - 旧バージョンを実装し

ている場合

受信する Security 要素の名前空間が Web Services Security: SOAP Message

Security Working Draft17 の名前空間になるように,メッセージ送信者に変更を

依頼してください。

7.2.4 KDCGJ で始まるメッセージ

KDCGJ で始まるメッセージの意味,要因,および対処について説明します。

An error occurred during JAAS authentication. (details = <詳細> )

意味

JAAS 認証でエラーが発生しました。

要因

次のうちのどれかがエラーの要因と考えられます。

Web サービスセキュリティ機能定義ファイルの Username 要素および Password

要素の指定内容が間違っている。

Web サービスセキュリティ機能定義ファイルの Password 要素の Type 属性の指

定値が間違っている。

LoginModule.login() メソッドの中の実装が間違っている。

LoginModule.login() メソッドで LoginException をスローしている。

LoginModule.login() メソッドの戻り値を「false」にしている。 ※

JAAS ログインモジュールに必要なログイン構成ファイルがない。

Cosminexus Component Container のユーザー定義ファイル

(usrconf.properties)で指定した場所に JAAS ログインモジュールに必要なログ

イン構成ファイルがない。

Cosminexus Component Container のユーザー定義ファイル

(usrconf.properties)に JAAS ログインモジュールに必要なログイン構成ファイ

ルが指定されていない。

ログイン構成ファイルの構文が間違っている。

ログイン構成ファイルのインデックス値と Web サービスセキュリティ機能定義

ファイルで指定したインデックス値が異なる。

WSSUsernameToken クラスのコンストラクタや setUsername メソッドなどで指

定したユーザー名が間違っている。

WSSUsernameToken クラスの setPassword メソッドで指定したパスワード値が

間違っている。

98

7. 

メッセージ一覧

WSSUsernameToken クラスの setPasswordType メソッドで指定したパスワード

形式が間違っている。

注※

LoginModule.login() メソッドで LoginException をスローしている場合,

LoginException 生成時に詳細メッセージを指定いるときは,< 詳細 > に詳細な

エラー要因が出力されます。

対処

Web サービスセキュリティ機能定義ファイルを見直して,「要因」に示した間違い

がないかどうかを確認してください。

JAAS ログインモジュールの処理が正しいかどうか,JAAS ログインモジュールの

設計を見直してください。

JAAS ログインモジュールに必要なログイン構成ファイルの設定や格納場所など

を見直してください。

WSSUsernameToken クラスのメソッドの使用方法が正しいかどうか,SOAP ア

プリケーションの設計を見直してください。

Web サービスセキュリティ機能定義ファイルの要素や属性については,「付録 C.1 

Web サービスセキュリティ機能定義ファイルの項目」を参照してください。

WSSUsernameToken クラスのメソッドの使用方法については,「5.4 

WSSUsernameToken クラス(UsernameToken 要素の操作)」を参照してくださ

実装時の注意」を参照してください。

なお,SOAP アプリケーションの設計の詳細については,マニュアル「Cosminexus

 SOAP アプリケーション開発ガイド」を参照してください。

7.2.5 KDCGK で始まるメッセージ

KDCGK で始まるメッセージの意味,要因,および対処について説明します。

Generation of a secret key has finished. (file = <ファイル名> )

意味

共通鍵の生成が完了しました。

< ファイル名 > には,生成した共通鍵のファイル名が出力されます。

An argument is not specified. (argument = <引数> )

意味

引数が指定されていません。

99

7. 

メッセージ一覧

< 引数 > には,指定する必要がある引数の名称が出力されます。

要因

共通鍵生成コマンドで指定する必要がある引数が指定されていません。

対処

引数を指定してから,再度,共通鍵生成コマンドを実行してください。

An invalid argument is specified. (argument = <引数> )

意味

不正な引数が指定されています。

< 引数 > には,不正と判定された引数の名称が出力されます。

要因

共通鍵生成コマンドで使用できない,不正な引数が指定されています。

対処

不正と判定された引数を削除してから,再度,共通鍵生成コマンドを実行してくだ

さい。

An invalid argument value is specified. (argument = <引数> , value = <引数値> )

意味

引数に不正な値が指定されています。

< 引数 > と < 引数値 > には,それぞれ次の内容が出力されます。

< 引数 >

引数の名称が出力されます。

< 引数値 >

引数に指定されている値が出力されます。

要因

共通鍵生成コマンドの引数に不正な値が指定されています。

対処

共通鍵生成コマンドの引数,および引数に指定されている値が正しいかどうかを確

認してから,再度,共通鍵生成コマンドを実行してください。

100

7. 

メッセージ一覧

A specified file already exists. (file = <ファイル名> )

意味

指定した共通鍵のファイルはすでに存在します。

要因

共通鍵生成コマンドの -o オプションで指定したファイル名のファイルがすでに存在

しています。

対処

すでに存在しているファイルとは異なるファイル名を指定して,再度,共通鍵生成

コマンドを実行してください。

An error occurred during output of the key to a file. (details = <詳細> )

意味

ファイルを出力するときにエラーが発生しました。

< 詳細 > には,エラー内容の詳細が出力されます。

要因

共通鍵生成コマンドで生成した共通鍵をファイルに出力するときにエラーが発生し

ました。

対処

< 詳細 > に表示されるエラーの要因を解決してから,再度,共通鍵生成コマンドを

実行してください。< 詳細 > に表示されたエラーの要因がわからない場合は,シス

テム管理者に連絡してください。

An error occurred during key creation. (details = <詳細> )

意味

鍵を生成するときにエラーが発生しました。

< 詳細 > には,エラー内容の詳細が出力されます。

要因

共通鍵生成コマンドで共通鍵を生成するときにエラーが発生しました。

対処

< 詳細 > に表示されるエラーの要因を解決してから,再度,共通鍵生成コマンドを

実行してください。< 詳細 > に表示されたエラーの要因がわからない場合は,シス

テム管理者に連絡してください。

101

7. 

メッセージ一覧

An unexpected error occurred during processing. (details = <詳細> )

意味

処理中に予期しないエラーが発生しました。

< 詳細 > には,エラー内容の詳細が出力されます。

要因

共通鍵生成コマンドを実行中に原因不明のエラーが発生しました。

対処

システム管理者に連絡してください。

7.2.6 KDCGO で始まるメッセージ

KDCGO で始まるメッセージの意味,要因,および対処について説明します。

Validation has finished.

意味

定義ファイルの構文チェックが正常に終了しました。

Validation has failed.

意味

定義ファイルの構文に誤りがあります。

要因

Web サービスセキュリティ機能定義ファイルまたは Web サービスセキュリティポリ

シー定義ファイルの内容に誤りがあります。

対処

このメッセージの直前に出力されるメッセージの内容に従って,Web サービスセ

キュリティ機能定義ファイルまたは Web サービスセキュリティポリシー定義ファイ

ルを修正してから,再度,定義ファイル構文チェックコマンドを実行してください。

An argument is not specified. (argument = <引数> )

意味

引数が指定されていません。

< 引数 > には,指定する必要がある引数の名称が出力されます。

要因

定義ファイル構文チェックコマンドで指定する必要がある引数が指定されていませ

102

7. 

メッセージ一覧

ん。

対処

引数を指定してから,再度,定義ファイル構文チェックコマンドを実行してくださ

い。

An invalid argument was specified. (argument = <引数> )

意味

不正な引数が指定されています。

< 引数 > には,不正と判定された引数の名称が出力されます。

要因

定義ファイル構文チェックコマンドで使用できない,不正な引数が指定されていま

す。

対処

不正と判定された引数を削除してから,再度,定義ファイル構文チェックコマンド

を実行してください。

An invalid argument value was specified. (argument = <引数> , value = <引数値> )

意味

引数に不正な値が指定されています。

< 引数 > と < 引数値 > には,それぞれ次の内容が出力されます。

< 引数 >

引数の名称が出力されます。

< 引数値 >

引数に指定されている値が出力されます。

要因

定義ファイル構文チェックコマンドの引数に不正な値が指定されています。

対処

定義ファイル構文チェックコマンドの引数,および引数に指定されている値が正し

いかどうかを確認してから,再度,定義ファイル構文チェックコマンドを実行して

ください。

103

7. 

メッセージ一覧

An unexpected error occurred during processing. (details = <詳細> )

意味

処理中に予期しないエラーが発生しました。

< 詳細 > には,エラー内容の詳細が出力されます。

要因

定義ファイル構文チェックコマンドを実行中に原因不明のエラーが発生しました。

対処

システム管理者に連絡してください。

7.2.7 KDCGP で始まるメッセージ

KDCGP で始まるメッセージの意味,要因,および対処について説明します。

A definition is duplicated. (Name = < Name 属性値> , My_role = < My_role 属性値> )

意味

Name 属性および My_role 属性の値が重複して定義されています。

要因

Web サービスセキュリティポリシー定義ファイル内で,Name 属性および My_role

属性に同じ値を指定した ReceiverPortConfig 要素が複数定義されています。

対処

複数ある ReceiverPortConfig 要素の Name 属性値および My_role 属性値が重複し

ないように,Web サービスセキュリティポリシー定義ファイルを修正してください。

An error occurred during reading of an X509 certificate. (details = <詳細> )

意味

X.509 証明書を読み込むときにエラーが発生しました。

< 詳細 > には,エラー内容の詳細が出力されます。

要因

Web サービスセキュリティポリシー定義ファイルの AuthorityCertificateFile 要素

の Name 属性値に指定した X.509 証明書ファイルの読み込むときに,エラーが発生

しました。次のうちのどれかがエラーの要因と考えられます。

AuthorityCertificateFile 要素の Name 属性で指定した X.509 証明書ファイルが

見つからない。

AuthorityCertificateFile 要素の Name 属性で指定した X.509 証明書ファイルに

対するアクセス権限がない。

104

7. 

メッセージ一覧

AuthorityCertificateFile 要素の Name 属性で指定した X.509 証明書ファイルの

形式が間違っている。

対処

「要因」に示した問題点がないかどうか,Web サービスセキュリティポリシー定義

ファイルの設定を見直してください。

Web サービスセキュリティポリシー定義ファイルの設定については,「付録 C.2 

Web サービスセキュリティポリシー定義ファイルの項目」を参照してください。

The root tag name is invalid. (tag name = <要素名> )

意味

不正なルート要素名が指定されています。

< 要素名 > には,ルート要素の名称が出力されます。

要因

Web サービスセキュリティポリシー定義ファイルに不正なルート要素名が指定され

ています。

対処

Web サービスセキュリティポリシー定義ファイルのルート要素の名称を

「PolicyConfig」に修正してください。

A tag name is invalid. (parent tag name = <親要素名> , tag name = <要素名> )

意味

不正な名称の要素が指定されています。

< 親要素名 > と < 要素名 > には,それぞれ次の内容が出力されます。

< 親要素名 >

不正な名称が指定されている要素の親要素の名称が出力されます。

< 要素名 >

不正な名称が指定されている要素の名称が出力されます。

要因

Web サービスセキュリティポリシー定義ファイルの要素のうち,名称が不正な要素

があります。

対処

Web サービスセキュリティポリシー定義ファイルを修正してください。

Web サービスセキュリティポリシー定義ファイルで指定できる要素の名称について

てください。

105

7. 

メッセージ一覧

An attribute value is invalid. (tag name = <要素名> , attribute name = < 属性名 >, attribute value

= <属性値> )

意味

不正な属性が指定されています。

< 要素名 >,< 属性名 >,および < 属性値 > には,それぞれ次の内容が出力されま

す。

< 要素名 >

不正な属性が指定されている要素の名称が出力されます。

< 属性名 >

不正な値が指定されている属性の名称が出力されます。

< 属性値 >

< 属性名 > で示された属性に指定されている値が出力されます。

要因

Web サービスセキュリティポリシー定義ファイルの要素のうち,属性値の値が不正

な要素があります。

対処

Web サービスセキュリティポリシー定義ファイルを修正してください。

Web サービスセキュリティポリシー定義ファイルの属性に指定できる値については,

「付録 C.2 Web サービスセキュリティポリシー定義ファイルの項目」を参照してく

ださい。

<要素名> is undefined.

意味

定義されていない要素があります。

< 要素名 > には,定義されていない要素の名称が出力されます。

要因

Web サービスセキュリティポリシー定義ファイルの必須要素のうち,定義されてい

ない要素があります。

対処

Web サービスセキュリティポリシー定義ファイルを修正してください。

Web サービスセキュリティポリシー定義ファイルの属性に指定できる値については,

「付録 C.2 Web サービスセキュリティポリシー定義ファイルの項目」を参照してく

ださい。

An unexpected exception occurred. (details = <詳細> )

106

7. 

メッセージ一覧

意味

予期しない例外が発生しました。

< 詳細 > には,例外の内容の詳細が出力されます。

要因

Web サービスセキュリティポリシー定義ファイルを解析するときにエラーが発生し

ました。

対処

< 詳細 > に表示される例外の要因を解決してから,再度,処理を実行してください。

< 詳細 > に表示された例外の要因がわからない場合は,システム管理者に連絡して

ください。

7.2.8 KDCGS で始まるメッセージ

KDCGS で始まるメッセージの意味,要因,および対処について説明します。

.

For <要素名> , specify either <子要素名 1 または属性名 1 > or <子要素名 2 または属性名 2 >

意味

< 要素名 > には,<子要素名 1 または属性名 1 >または<子要素名 2 または属性名

2 >を指定してください。

< 要素名 >,< 子要素名 >,および < 属性名 > には,それぞれ次の内容が出力されま

す。

< 要素名 >

どちらか一方だけを指定する必要がある子要素または属性が,両方指定されて

いる要素の名称が出力されます。

< 子要素名 >

子要素の名称が出力されます。

< 属性名 >

属性の名称が出力されます。

要因

Web サービスセキュリティ機能定義ファイルの要素のうち,子要素または属性の指

定が間違っているものがあります。次のうちのどちらかがエラーの要因と考えられ

ます。

< 子要素名 1> または < 子要素名 2> のどちらか一方だけを指定する必要があるに

もかかわらず,両方の子要素が指定されている。

< 属性名 1> または < 属性名 2> のどちらか一方だけを指定する必要があるにもか

かわらず,両方の属性が指定されている。

107

7. 

メッセージ一覧

対処

Web サービスセキュリティ機能定義ファイルを修正して,< 要素名 > の < 子要素名

1> または < 子要素 2> のどちらか一方を指定するか,< 属性名 1> または < 属性名

2> のどちらか一方を指定するようにしてください。

Web サービスセキュリティ機能定義ファイルの要素や属性の指定回数については,

「付録 C.1 Web サービスセキュリティ機能定義ファイルの項目」を参照してくださ

い。

An attribute value reference is invalid. (tag name = <要素名> , attribute name = <属性名> )

意味

属性で指定された参照先が不正です。

< 要素名 > および < 属性名 > には,それぞれ次の内容が出力されます。

< 要素名 >

参照先が不正な属性を持つ要素の名称が出力されます。

< 属性名 >

参照先が不正な属性の名称が出力されます。

要因

Web サービスセキュリティ機能定義ファイルの属性のうち,参照先が間違っている

ものがあります。次のうちのどちらかがエラーの要因と考えられます。

IdRef 属性の値が対応する Id 属性の値と一致していない。

IdRef 属性に異なる要素の Id 属性の値が指定されている。

対処

Web サービスセキュリティ機能定義ファイルを修正して,< 要素名 > の IdRef 属性

に正しい値を指定してください。

Web サービスセキュリティ機能定義ファイルの IdRef 属性に指定する値については,

「付録 C.1 Web サービスセキュリティ機能定義ファイルの項目」を参照してくださ

い。

A URI or TargetId attribute value must start with #. (tag name = <要素名> , attribute name = <属

性名> )

意味

URI 属性または TargetId 属性の先頭は「#」でなければなりません。

< 要素名 > および < 属性名 > には,それぞれ次の内容が出力されます。

< 要素名 >

指定されている値の先頭が「#」ではない属性を持つ要素の名称が出力されま

す。

108

7. 

メッセージ一覧

< 属性名 >

指定されている値の先頭が「#」ではない属性の名称が出力されます。

要因

Web サービスセキュリティ機能定義ファイルの属性のうち,指定されている値の先

頭が「#」ではない属性があります。

対処

Web サービスセキュリティ機能定義ファイルを修正して,< 属性名 > の属性に指定

する値の先頭に「#」を付けてください。

Web サービスセキュリティ機能定義ファイルの属性に指定する値については,「付録

C.1 Web サービスセキュリティ機能定義ファイルの項目」を参照してください。

The specified secret key file does not match the KeyType attribute. (secret key file = <共通鍵ファ

イル名> , KeyType = <アルゴリズム識別子> )

意味

共通鍵のファイルと keytype 属性での指定が一致しません。

< 共通鍵ファイル名 > および < アルゴリズム識別子 > には,それぞれ次の内容が出

力されます。

< 共通鍵ファイル名 >

共通鍵のファイル名が出力されます。

< アルゴリズム識別子 > keytype 属性で指定されたアルゴリズム識別子が出力されます。

要因

Web サービスセキュリティ機能定義ファイルの SecretKeyFile 要素の keytype 属性

に指定したアルゴリズム識別子と,共通鍵ファイルの内容が異なっています。

対処

Web サービスセキュリティ機能定義ファイルを修正して,SecretKeyFile 要素の keytype 属性と共通鍵ファイルの内容が同じになるようにしてください。keytype 属

性には,共通鍵生成コマンドの引数で指定したアルゴリズム識別子と同じものを指

定する必要があります。

Web サービスセキュリティ機能定義ファイルの SecretKeyFile 要素の keytype 属性

An error occurred during creation of a secret key. (details = <詳細> )

109

7. 

メッセージ一覧

意味

共通鍵を生成するときにエラーが発生しました。

< 詳細 > には,エラー内容の詳細が出力されます。

要因

Web サービスセキュリティ機能定義ファイルの SecretKeyFile 要素に指定した共通

鍵ファイルから共通鍵を生成するときにエラーが発生しました。次のうちのどちら

かがエラーの要因と考えられます。

SecretKeyFile 要素の指定が間違っている。

実行環境の設定が間違っている。

対処

< 詳細 > の内容に従って,Web サービスセキュリティ機能定義ファイルの設定また

は実行環境を見直してください。

The EmbedId attribute value is duplicated.

意味

EmbedId 属性の値が重複しています。

要因

Web サービスセキュリティ機能定義ファイルの EmbedId 属性に指定した値が重複

しています。

対処

Web サービスセキュリティ機能定義ファイルを修正して,EmbedId 属性の値が重複

しないようにしてください。

Web サービスセキュリティ機能定義ファイルの EmbedId 属性に指定する値につい

ください。

< 要素名 > does not exist.

意味

要素が存在しません。

< 要素名 > には,見つからなかった要素の名称が出力されます。

要因

SOAP サービスの URL と Web サービスセキュリティ機能定義ファイルの

ReceiverPortConfig 要素の Name 属性に指定した値が一致していません。

対処

Web サービスセキュリティ機能定義ファイルの ReceiverPortConfig 要素の Name

属性に指定した値が SOAP サービスの URL と一致しているかどうか確認してくだ

さい。

110

7. 

メッセージ一覧

Web サービスセキュリティ機能定義ファイルの ReceiverPortConfig 要素の Name

イルの項目」を参照してください。

Content for <要素名> is required.

意味

< 要素名 > の内容を指定する必要があります。

< 要素名 > には,内容が指定されていない要素の名称が出力されます。

要因

Web サービスセキュリティ機能定義ファイルのうち,要素の内容を指定する必要が

あるにもかかわらず,内容が指定されていない要素があります。

対処

Web サービスセキュリティ機能定義ファイルを修正して,< 要素名 > の内容を指定

してください。

Web サービスセキュリティ機能定義ファイルで指定する要素については,「付録 C.1

 Web サービスセキュリティ機能定義ファイルの項目」を参照してください。

A definition is duplicated. (Name = < Name 属性値> )

意味

Name 属性の指定が重複しています。

<Name 属性値 > には,Web サービスセキュリティ機能定義ファイルの

SenderPortConfig 要素の Name 属性に指定されている内容が出力されます。

要因

Web サービスセキュリティ機能定義ファイルの SenderPortConfig 要素のうち,

Name 属性に同じ値を指定したものが複数あります。

対処

Web サービスセキュリティ機能定義ファイルを修正して,SenderPortConfig 要素の

Name 属性の値が重複しないようにください。

Web サービスセキュリティ機能定義ファイルで指定する要素および属性については,

「付録 C.1 Web サービスセキュリティ機能定義ファイルの項目」を参照してくださ

い。

A definition is duplicated. (Name = < Name 属性値> , My_role = < My_role 属性値> )

意味

Name 属性と My_role 属性の値が重複しています。< Name 属性値>および<

111

7. 

メッセージ一覧

My_role 属性値>には,Web サービスセキュリティ機能定義ファイルの

ReceiverPortConfig 要素の各属性に指定されている内容が出力されます。

要因

Web サービスセキュリティ機能定義ファイルの ReceiverPortConfig 要素のうち,

Name 属性と My_role 属性に同じ値を指定したものが複数あります。

対処

Web サービスセキュリティ機能定義ファイルを修正して,ReceiverPortConfig 要素

の Name 属性と My_role 属性の値が重複しないようにください。

Web サービスセキュリティ機能定義ファイルで指定する要素および属性については,

「付録 C.1 Web サービスセキュリティ機能定義ファイルの項目」を参照してくださ

い。

An error occurred during reading of a KeyStore. (details = <詳細> )

意味

キーストアの読み込み中にエラーが発生しました。<詳細>には,エラーの詳細な

内容が出力されます。

要因

Web サービスセキュリティ機能定義ファイルの KeyStore 要素の File 属性に指定し

たキーストアファイルの読み込みでエラーが発生しました。指定したキーストア

ファイルが存在しなかったり,ファイルに対するアクセス権がなかったり,ファイ

ルの形式が間違っているおそれがあります。

対処

<詳細>の内容に従って,Web サービスセキュリティ機能定義ファイルの KeyStore

要素の File 属性の指定を見直してください。

Web サービスセキュリティ機能定義ファイルで指定する要素および属性については,

「付録 C.1 Web サービスセキュリティ機能定義ファイルの項目」を参照してくださ

い。

A definition is duplicated. (tag name = < 要素名 >)

意味

要素が重複しています。<要素名>には,重複している要素の名称が出力されます。

要因

Web サービスセキュリティ機能定義ファイルの中で,1 回しか指定できない<要素

名>を複数回指定しています。

対処

Web サービスセキュリティ機能定義ファイルを修正して,<要素名>を 1 回だけ指

112

7. 

メッセージ一覧

定するようにしてください。

Web サービスセキュリティ機能定義ファイルで指定する要素の指定回数については,

「付録 C.1 Web サービスセキュリティ機能定義ファイルの項目」を参照してくださ

い。

A tag name is invalid. (parent tag name = <親要素名> , tag name = <要素名> )

意味

不正な名称の要素があります。

< 親要素名 > および < 要素名 > には,それぞれ次の内容が出力されます。

< 親要素名 >

名称が不正な要素の親要素の名称が出力されます。

< 要素名 >

名称が不正な要素の名称が出力されます。

要因

Web サービスセキュリティ機能定義ファイルの要素のうち,名称が不正なものがあ

ります。

対処

Web サービスセキュリティ機能定義ファイルの < 要素名 > を修正してください。

Web サービスセキュリティ機能定義ファイルで指定する要素については,「付録 C.1

 Web サービスセキュリティ機能定義ファイルの項目」を参照してください。

An attribute value is invalid. (tag name = <要素名> , attribute name = <属性名> , attribute value

= <属性値> )

意味

属性に指定されている値が不正です。

< 要素名 >,< 属性名 >,および < 属性値 > には,それぞれ次の内容が出力されま

す。

< 要素名 >

不正な値が指定されている属性を持つ要素の名称が出力されます。

< 属性名 >

不正な値が指定されている属性の名称が出力されます。

< 属性値 >

< 属性名 > に指定されている値が出力されます。

要因

Web サービスセキュリティ機能定義ファイルの属性のうち,指定された値が不正な

ものがあります。

113

7. 

メッセージ一覧

対処

Web サービスセキュリティ機能定義ファイルの < 属性値 > に指定する値を修正して

ください。

Web サービスセキュリティ機能定義ファイルの属性に指定する値については,「付録

C.1 Web サービスセキュリティ機能定義ファイルの項目」を参照してください。

An unexpected exception occurred. (details = <詳細> )

意味

予期しない例外が発生しました。

< 詳細 > には,例外の内容の詳細が出力されます。

要因

Web サービスセキュリティ機能定義ファイルを解析するときにエラーが発生しまし

た。

対処

< 詳細 > に表示される例外の要因を解決してから,再度,処理を実行してください。

< 詳細 > に表示された例外の要因がわからない場合は,システム管理者に連絡して

ください。

7.2.9 KDCGW で始まるメッセージ

KDCGW で始まるメッセージの意味,要因,および対処について説明します。KDCGW

で始まるメッセージは,SOAPFault 形式で出力されます。SOAPFault 形式のメッセー

ジには,次に示す四つの項目があります。

FaultCode

Fault コードが出力されます。Fault コードは,接頭辞とローカル部で構成されま www.hitachi.co.jp/soft/xml/cosminexus/ws/security/0760/faultcode}」が出力されま

す。ローカル部には,エラーの要因を示す文字列が出力されます。

Fault コードの値は,SOAP 通信基盤の API を使用して取得できます。SOAP 通信

基盤が提供する API の仕様については,マニュアル「Cosminexus SOAP アプリ

ケーション開発ガイド」を参照してください。

FaultString

メッセージ ID およびメッセージの本文が出力されます。メッセージ ID の見方につ

FaultActor

Fault の生成者が出力されます。

114

7. 

メッセージ一覧

FaultDetails

Fault の詳細が出力されます。

FaultCode:{http://www.hitachi.co.jp/soft/xml/cosminexus/ws/security/0760/faultcode}

<Server.ConfigError または Client.ConfigError>

FaultString:KDCGW0001-E An error occurred during configuration file initialization. (file = <ファ

イル名> , details = <詳細> )

FaultActor:なし

FaultDetails:なし

意味

Web サービスセキュリティ機能定義ファイルまたは Web サービスセキュリティポリ

シー定義ファイルを初期化するときにエラーが発生しました。

<Server.ConfigError または Client.ConfigError>,< ファイル名 >,および < 詳細

> には,それぞれ次の内容が出力されます。

<Server.ConfigError または Client.ConfigError>

エラーがサーバ側で発生したのか,クライアント側で発生したのかを示す文字

列が出力されます。サーバ側でエラーが発生している場合は

「Server.ConfigError」が,クライアント側でエラーが発生している場合は

「Client.ConfigError」が出力されます。

< ファイル名 >

Web サービスセキュリティ機能定義ファイルまたは Web サービスセキュリティ

ポリシー定義ファイルのファイル名が出力されます。ファイル名については,

「3.1 定義ファイルの設定」を参照してください。

< 詳細 >

KDCGC,KDCGP,または KDCGS で始まるメッセージの本文が出力されま

 KDCGP で始まるメッセージ」を参照してください。KDCGS で始まるメッ

い。

要因

Web サービスセキュリティ機能定義ファイルまたは Web サービスセキュリティポリ

シー定義ファイルが初期化できませんでした。

対処

<詳細>の内容に従って,Web サービスセキュリティ機能定義ファイルまたは Web

サービスセキュリティポリシー定義ファイルを修正し,再度,処理を実行してくだ

さい。処理を再度実行する場合は,SOAP アプリケーションも再度デプロイする必

115

7. 

メッセージ一覧

要があります。

FaultCode:{http://www.hitachi.co.jp/soft/xml/cosminexus/ws/security/0760/faultcode} <

Server.SigningError または Client.SigningError >

FaultString:KDCGW0002-E An error occurred during message signature processing. (details = <

詳細> )

FaultActor:なし

FaultDetails:なし

意味

メッセージの署名を処理するときにエラーが発生しました。

< Server.SigningError または Client.SigningError >および < 詳細 > には,それぞ

れ次の内容が出力されます。

< Server.SigningError または Client.SigningError >

エラーがサーバ側で発生したのか,クライアント側で発生したのかを示す文字

列が出力されます。サーバ側でエラーが発生している場合は

「Server.SigningError」が,クライアント側でエラーが発生している場合は

「Client.SigningError」が出力されます。

< 詳細 >

エラーの詳細が出力されます。

要因

次のうちのどちらかが要因と考えられます。

Web サービスセキュリティ機能定義ファイルの CanonicalizationMethod 要素,

SignatureMethod 要素,または Transform 要素で指定したアルゴリズムが間違っ

ている。

Web サービスセキュリティ機能定義ファイルの SignatureTarget 要素で指定した

署名対象が間違っている。

対処

< 詳細 > に表示されるエラーの要因を解決してから,再度,処理を実行してくださ

い。< 詳細 > に表示されたエラーの要因がわからない場合は,システム管理者に連

絡してください。

Web サービスセキュリティ機能定義ファイルの要素で指定する内容については,「付

録 C.1 Web サービスセキュリティ機能定義ファイルの項目」を参照してください。

FaultCode:{http://www.hitachi.co.jp/soft/xml/cosminexus/ws/security/0760/faultcode} <

Server.EncryptingError または Client.EncryptingError >

FaultString:KDCGW0003-E An error occurred during message encryption. (details = <詳細> )

116

7. 

メッセージ一覧

FaultActor:なし

FaultDetails:なし

意味

メッセージの暗号化を処理するときにエラーが発生しました。

< Server.EncryptingError または Client.EncryptingError >および < 詳細 > には,

それぞれ次の内容が出力されます。

< Server.EncryptingError または Client.EncryptingError >

エラーがサーバ側で発生したのか,クライアント側で発生したのかを示す文字

列が出力されます。サーバ側でエラーが発生している場合は

「Server.EncryptingError」が,クライアント側でエラーが発生している場合は

「Client.EncryptingError」が出力されます。

< 詳細 >

エラーの詳細が出力されます。

要因

次のうちのどちらかが要因と考えられます。

Web サービスセキュリティ機能定義ファイルの ContentsEncryption 要素または

KeyEncryption 要素の子要素である EncryptionMethod 要素で指定したアルゴリ

ズムが間違っている。

Web サービスセキュリティ機能定義ファイルの EncryptionTarget 要素で指定し

た暗号化対象が間違っている。

対処

< 詳細 > に表示されるエラーの要因を解決してから,再度,処理を実行してくださ

い。< 詳細 > に表示されたエラーの要因がわからない場合は,システム管理者に連

絡してください。

Web サービスセキュリティ機能定義ファイルの要素で指定する内容については,「付

録 C.1 Web サービスセキュリティ機能定義ファイルの項目」を参照してください。

FaultCode:{http://www.hitachi.co.jp/soft/xml/cosminexus/ws/security/0760/faultcode} <

Server.ConfigError または Client.ConfigError >

FaultString:KDCGW9000-E An unexpected error occurred during message transmission processing. (details = <詳細> )

FaultActor:なし

FaultDetails:なし

意味

メッセージ送信中に予期しないエラーが発生しました。

< Server.ConfigError または Client.ConfigError >および < 詳細 > には,それぞれ

次の内容が出力されます。

117

7. 

メッセージ一覧

< Server.ConfigError または Client.ConfigError >

エラーがサーバ側で発生したのか,クライアント側で発生したのかを示す文字

列が出力されます。サーバ側でエラーが発生している場合は

「Server.ConfigError」が,クライアント側でエラーが発生している場合は

「Client.ConfigError」が出力されます。

< 詳細 >

エラーの詳細が出力されます。

要因

メッセージ送信中に原因不明のエラーが発生しました。

対処

<詳細>の内容に従って,エラーの要因を解決してから,再度メッセージを送信し

てください。< 詳細 > に表示されたエラーの要因がわからない場合は,システム管

理者に連絡してください。再度メッセージを送信する場合は,SOAP アプリケー

ションも再度デプロイする必要があります。

118

付録 A 標準仕様への対応

付録 B 下位バージョンからの移行手順

付録 C 定義ファイルの項目の詳細

付録 D 用語解説

付録

119

付録 A 標準仕様への対応

付録 A 標準仕様への対応

Web サービスセキュリティ機能は,次の仕様に従っています。

WS-Security 仕様

07-60 以降のバージョン

Web Services Security: SOAP Message Security 1.1

07-60 より前のバージョン

Web Services Security: SOAP Message Security Working Draft 17

XML 署名標準仕様(2002/2/12 W3C 勧告)

XML 暗号標準仕様(2002/12/10 W3C 勧告)

WS-Security 仕様の詳細については,OASIS のホームページを参照してください。ま

た,XML 署名および XML 暗号の標準仕様の詳細については,W3C のホームページを

参照してください。ここでは,各仕様のうち,Web サービスセキュリティ機能がサポー

トしている範囲を説明します。

注意事項

07-60 以降のバージョンでは,Web Services Security: SOAP Message Security

1.1 以外の仕様を実装した他社製品とは接続できない可能性があります。

07-60 より前のバージョンでは,Web Services Security: SOAP Message Security

Working Draft 17 以外の仕様を実装した他社製品とは接続できない可能性があり

ます。

付録 A.1 WS-Security 仕様のサポート範囲

Web サービスセキュリティ機能がサポートする WS-Security 仕様の範囲を次の表に示し

ます。

120

付録 A 標準仕様への対応

25

26

27

28

29

20

21

22

23

24

13

14

15

16

9

10

11

12

17

18

19

7

8

5

6

3

4

1

2

表 A-1 WS-Security 仕様のサポート範囲

WS-Security 仕様

大分類

SecurityToken

中分類

UsernameToken

TokenReference

BinarySecurityToken

Signature

Encryption

SAML Assertion

XrML

XCBF

EncryptedData Token

Direct Reference

KeyIdentifiers

Embedded Reference

KeyNames ds:KeyInfo

Encrypted Key

Reference

Algorithms

Signing Messages

Signing Tokens

Signature Validation

Signature

Confirmation xenc:ReferenceList xenc:EncryptedKey

Encrypted Header

Processing Rules

30

Security

TimeStamp

Error Handling

小分類

PasswordText

PasswordDigest

Nonce

Created

X.509v3

X509PKIPathv1

PKCS7

Kerberos5TGT

Kerberos5ST

サポートの

有無

×

×

×

×

×

×

×

×

×

×

×

×

×

×

推奨

レベル

推奨

推奨

任意

必須

推奨

推奨

推奨

必須

任意

必須

任意

任意

任意

任意

任意

任意

任意

推奨

推奨

推奨

任意

任意

任意

任意

推奨

推奨

任意

任意

推奨

任意

121

付録 A 標準仕様への対応

(凡例)

○:サポートあり

×:サポートなし

−:該当しない

注※

SecurityToken 要素を直接署名できますが,STR Transform を非サポートのため,

SecurityTokenReference 要素を署名できません。

5

6

3

4

1

2

付録 A.2 XML 署名標準仕様のサポート範囲

Web サービスセキュリティ機能がサポートする XML 署名標準仕様の範囲を次の表に示

します。

項番

表 A-2 XML 署名標準仕様のサポート範囲

役割 項目 推奨レベル

7

8

9

10

11

12

13

14

15

16

17

ダイジェスト値計算

符号化

署名値計算

正規化処理

変換処理

SHA1 base64(エンコード)

HMAC-SHA1

DSAwithSHA1

RSAwithSHA1

Canonical XML(コメン

ト付き)

Canonical XML(コメン

トなし)

Exclusive Canonical

XML(コメント付き)

Exclusive Canonical

XML(コメントなし)

Canonical XML(コメン

ト付き)

Canonical XML(コメン

トなし)

Exclusive Canonical

XML(コメント付き)

Exclusive Canonical

XML(コメントなし) base64(変換アルゴリズ

ム)

XSLT

XPath

XPath Filter 2.0

必須

必須

必須

必須

推奨

推奨

必須

任意

任意

※ 1

推奨

必須

任意

任意

※ 1

必須

任意

推奨

任意

サポートの

有無

×

×

×

×

×

122

付録 A 標準仕様への対応

項番

18

19

役割 項目

Enveloped Signature

STR Dereference ※ 2

推奨レベル

必須

推奨

サポートの

有無

×

×

(凡例)

○:サポートあり

×:サポートなし

注※ 1

WS-Security 仕様では,サポートを推奨しています。

注※ 2

XML 署名標準仕様で規定されている変換処理ではなく,WS-Security 仕様で規定されているも

のです。

付録 A.3 XML 暗号標準仕様のサポート範囲

Web サービスセキュリティ機能がサポートする XML 暗号標準仕様の範囲を次の表に示

します。

6

7

4

5

項番

1

2

3

8

9

10

11

12

13

表 A-3 XML 暗号標準仕様のサポート範囲

項目

Triple DES

AES-128

AES-192

AES-256

RSA-v1.5

RSA-OAEP

Diffie-Hellman Key Values

Diffie-Hellman Key Agreement

TRIPLEDES 鍵ラッピング

AES-128 鍵ラッピング(128bit 鍵)

AES-192 鍵ラッピング

AES-256 鍵ラッピング(256bit 鍵)

XML Decryption Transformation

推奨レベル

必須

必須

任意

任意

必須

必須

必須

任意

必須

必須

任意

必須

推奨

サポートの有無

×

×

×

×

×

×

×

×

×

(凡例)

○:サポートあり

×:サポートなし

123

付録 A 標準仕様への対応

注※

WS-Security 仕様で規定されている推奨レベルです。

124

付録 B 下位バージョンからの移行手順

付録 B 下位バージョンからの移行手順

旧バージョンからバージョン 07-60 以降に移行する手順について説明します。旧バー

ジョンで作成したユーザプログラムと 07-60 以降で作成したユーザプログラムは,相互

に接続できません。接続した場合は,例外が発生します。なお,旧バージョンで作成し

たユーザプログラムは,再コンパイルしないで,07-60 以降で実行できます。

旧バージョンから 07-60 に移行するには,通常の実装手順に加えて,定義ファイルを編

集する必要があります。

Web サービスセキュリティ機能をサーバ側で移行する手順を次の図に示します。

図 B-1 サーバ側の移行手順

ここでは,定義ファイルの編集方法について説明します。定義ファイルの編集以外の手

(a) 定義ファイルを編集する

旧バージョンから 07-60 に移行するには,次の 2 種類の定義ファイルを編集します。

機能定義ファイル(security-config.xml)

ポリシー定義ファイル(policy-config.xml)

定義ファイルの編集手順を次に示します。

125

付録 B 下位バージョンからの移行手順

1. 各定義ファイルのデフォルト名前空間を次のように変更します。

機能定義ファイル http://www.hitachi.co.jp/soft/xml/cosminexus/ws/security/0760/securityconfig

ポリシー定義ファイル http://www.hitachi.co.jp/soft/xml/cosminexus/ws/security/0760/policyconfig

2. 機能定義ファイルおよびポリシー定義ファイルのプレフィックス wsse,wsu に対応

する名前空間を次のように変更します。

wsse http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd

wsu http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd

3. 各定義ファイルについて,次に示す XML 要素を変更します。

機能定義ファイル

BinarySecurityTokenConfig 要素

BinarySecurityTokenConfig 要素の詳細については,「表 C-12 

BinarySecurityTokenConfig」を参照してください。

KeyIdentifier 要素

KeyIdentifier 要素の詳細については,「表 C-24 KeyIdentifier」を参照してくだ

さい。

Password 要素

Password 要素の詳細については,「表 C-35 Password」を参照してください。

ポリシー定義ファイル

TokenValidation 要素

TokenValidation 要素の詳細については,「表 C-62 TokenValidation」を参照して

ください。

X509TokenValidation 要素

X509TokenValidation の詳細については,「表 C-63 X509TokenValidation」を参

照してください。

126

付録 B 下位バージョンからの移行手順

旧バージョンから 07-60 に移行するには,通常の実装手順に加えて,定義ファイルを編

集する必要があります。

クライアント側が Web アプリケーションの場合に,Web サービスセキュリティ機能を移

行する手順を次の図に示します。

図 B-2 クライアント側が Web アプリケーションの場合の移行手順

Web アプリケーションの場合の実装手順」を参照してください。

移行手順

旧バージョンから 07-60 に移行するには,通常の実装手順に加えて,定義ファイルを編

集する必要があります。

クライアント側がコマンドライン Java アプリケーションの場合に,Web サービスセ

キュリティ機能を移行する手順を次の図に示します。

127

付録 B 下位バージョンからの移行手順

図 B-3 クライアント側がコマンドライン Java アプリケーションの場合の移行手順

マンドライン Java アプリケーションの場合の実装手順」を参照してください。

128

付録 C 定義ファイルの項目の詳細

付録 C 定義ファイルの項目の詳細

Web サービスセキュリティ機能を使用するには,次の二つの定義ファイルを設定します。

Web サービスセキュリティ機能定義ファイル

Web サービスセキュリティポリシー定義ファイル

Web サービスセキュリティの各機能で必要な定義ファイルの項目については,「3.1 定

義ファイルの設定」を参照してください。

ここでは,各定義ファイルで設定する要素の指定回数や,注意事項などの詳細を説明し

ます。なお,各定義ファイルの要素の構成は次の図のようになっています。

129

付録 C 定義ファイルの項目の詳細

図 C-1 Web サービスセキュリティ機能定義ファイルの要素の構成

130

付録 C 定義ファイルの項目の詳細

図 C-2 Web サービスセキュリティポリシー定義ファイルの要素の構成

付録 C.1 Web サービスセキュリティ機能定義ファイルの項

Web サービスセキュリティ機能定義ファイルは,XML ファイルです。ここでは,Web

サービスセキュリティ機能定義ファイルの要素,および要素で指定できる属性とコンテ

ンツ(子要素)について説明します。なお,表中のデータ型は,XML Schema のデータ

型を表しています。

Web サービスセキュリティ定義ファイルのルート要素です。コンテンツ(子要素)は,

次の表の順番で指定する必要があります。

131

付録 C 定義ファイルの項目の詳細

種別

表 C-1 SecurityConfig

要素

属性 −

BindingConfig

RequestSenderConfig

ResponseSenderConfig

RequestReceiverConfig

ResponseReceiverConfig

説明

Web サービスセキュリティの署

名,暗号化機能で使用するトーク

ンの情報を指定します。このコン

テンツは署名,暗号化機能使用時

は必須です。

リクエストメッセージ送信時の設

定を指定します。省略時はリクエ

ストメッセージ送信時に Web サー

ビスセキュリティ機能が実行され

ません。

レスポンスメッセージ送信時の設

定を指定します。省略時はレスポ

ンスメッセージ送信時に Web サー

ビスセキュリティ機能が実行され

ません。

リクエストメッセージ受信時の設

定を指定します。省略時はリクエ

ストメッセージ受信時に Web サー

ビスセキュリティ機能が実行され

ません。

レスポンスメッセージ受信時の設

定を指定します。省略時はレスポ

ンスメッセージ受信時に Web サー

ビスセキュリティ機能が実行され

ません。

データ型 指定

回数

0

または

1

0

または

1

0

または

1

0

または

1

0

または

1

Web サービスセキュリティの各機能で共通的に使用する情報を指定します。

種別

表 C-2 BindingConfig

要素 説明 データ型

属性 −

KeyLocator

鍵の格納場所の情報を指定します。

このコンテンツは署名,暗号化機

能使用時は必須です。

指定

回数

0

または

1

鍵の格納場所の情報を指定します。コンテンツ(子要素)は,次の表の順番で指定する

132

付録 C 定義ファイルの項目の詳細

必要があります。

種別

表 C-3 KeyLocator

要素

属性 −

KeyStore

SecretKeyLocationList

説明

Java のキーストア形式の鍵の格納

場所情報を指定します。このコン

テンツは署名,暗号化機能使用時

は必須です。

データ型 指定

回数

0

以上

共通鍵の格納場所の情報を指定し

ます。このコンテンツは暗号化機

能使用時は必須です。

0

または

1

Java のキーストア形式の鍵の格納場所情報を指定します。

種別

表 C-4 KeyStore

要素 説明

属性

Id

File

Type

Password

Certificate

データ型

1

指定

回数

セキュリティ定義ファイル中で一

意に識別するための ID 値を指定し

ます。

キーストアファイルの名称を " ラ

ベル名 + 拡張子 " の形式で指定し

ます。

キーストアのタイプを示す文字列

を指定します。

キーストアのパスワードを指定し

ます。

キーストア内の X.509 証明書の情

報を指定します。このコンテンツ

は,キーストア内の証明書を利用

する場合は必須です。

ID

String

String

String

1

1

1

0

以上

PrivateKey

0

以上 キーストア内の非公開鍵の情報を

指定します。このコンテンツは,

キーストア内の非公開鍵を利用す

る場合は必須です。

キーストア内の証明書の情報を指定します。コンテンツはありません。

133

付録 C 定義ファイルの項目の詳細

種別

表 C-5 Certificate

要素

属性

Id

Alias

説明 データ型

1

指定

回数

セキュリティ機能定義ファイル中

で一意に識別するための ID 値を指

定します。

キーストアファイル中の X.509 証

明書のエイリアス名を指定します。

ID

String 1

キーストア内の非公開鍵の情報を指定します。コンテンツはありません。

種別

表 C-6 PrivateKey

要素 説明 データ型

属性

Id

Alias

Password

セキュリティ機能定義ファイル中

で一意に識別するための ID 値を指

定します。

キーストアファイル中の秘密鍵の

エイリアス名を指定します。

キーストアファイル中の秘密鍵の

パスワードを指定します。

ID

String

String

1

指定

回数

1

1

共通鍵の格納場所の情報を指定します。

種別

表 C-7 SecretKeyLocationList

要素

属性 −

SecretKeyFile

説明

共通鍵ファイルの情報を指定しま

す。このコンテンツは暗号化機能

使用時は必須です。

データ型 指定

回数

0

以上

共通鍵ファイルの情報を指定します。コンテンツはありません。

134

付録 C 定義ファイルの項目の詳細

種別

表 C-8 SecretKeyFile

要素

属性

Id

Name

KeyType

KeyName

説明 データ型

1

指定

回数

セキュリティ定義ファイル中で一

意に識別するための ID 値を指定し

ます。

共通鍵作成コマンドで作成した共

通鍵ファイル名称を " ラベル名 +

拡張子 " の形式で指定します。

ID

String

共通鍵ファイル作成時に指定した

アルゴリズム識別子を指定します。

String

送信する鍵の識別子を指定します。

String

1

1

1

リクエストメッセージ送信時の設定を指定します。

種別

表 C-9 RequestSenderConfig

要素 説明

属性 −

SenderPortConfig

送信時に,Web サービスセキュリ

ティ機能を適用する SOAP サービ

スエンドポイントの情報を指定し

ます。

データ型 指定

回数

1

以上

送信時に,Web サービスセキュリティ機能を適用する,SOAP サービスエンドポイント

の情報を指定します。ResponseSenderConfig の下に SenderPortConfig を指定する場合

は,Name 属性に "*" を指定してください。

135

付録 C 定義ファイルの項目の詳細

種別

表 C-10 SenderPortConfig

要素

属性

Name

RoleConfig

説明 データ型

1

指定

回数

Web サービスセキュリティ機能を

適用する SOAP サービスの URL

を指定します。ここで指定したエ

ンドポイントへメッセージを送信

する際に,このコンテンツ以下で

指定する Web サービスセキュリ

ティ機能の設定が適用されます。

"*" を指定すると,エンドポイント

の指定に関係なく Web サービスセ

キュリティ機能の設定が適用され

ます。

メッセージ送信時に適用するユー

ザ名,パスワード,署名,暗号化

に関する情報を指定します。省略

時はメッセージ送信時に Web サー

ビスセキュリティ機能が実行され

ません。 anyURI

0

以上

メッセージ送信時に適用するユーザ名,パスワード,署名,暗号化に関する情報を指定

します。

種別

表 C-11 RoleConfig

要素 説明 データ型

属性 mustUnderstand role

送信する SOAP メッセージヘッダ

の mustUnderstand 属性を "true",

"false","1","0" のどれかで指定

します。この属性省略時は,"true"

が仮定されます。"true","1" を指

定した場合は,SOAP メッセージ

ヘッダに mustUnderstand 属性が

付加されます。"false","0" を指定

した場合は,SOAP メッセージ

ヘッダに mustUnderstand 属性は

付加されません。

SOAP メッセージヘッダの role 属

性(SOAP1.1 での actor 属性)を

指定します。 boolean anyURI

指定

回数

0

または

1

1

136

付録 C 定義ファイルの項目の詳細

種別

Operation

要素

BinarySecurityTokenConfig

SignatureConfig

EncryptionConfig

TimestampConfig

UsernameTokenConfig

説明 データ型

0

または

1

指定

回数

SOAP サービスのサービスメソッ

ド名を指定します。メソッドが複

数ある場合は,半角スペースで区

切って指定します。この要素を省

略した場合は,SOAP サービスの

すべてのメソッドに対して,この

コンテンツ以下で指定する Web

サービスセキュリティ機能の設定

が適用されます。この指定は,

RequestSenderConfig 以下の

RoleConfig に指定した場合だけ有

効となります。また,呼び出す

SOAP サービスがメッセージング

形態の場合は,この指定は無視さ

れます。

SOAP メッセージに付与するバイ

ナリセキュリティトークンの情報

を指定します。省略時は,SOAP

メッセージにバイナリセキュリ

ティトークンは付与されません。

署名に関する情報を指定します。

省略時は,SOAP メッセージに署

名は付与されません。

暗号化に関する情報を指定します。

省略時は,SOAP メッセージが暗

号化されません。

Timestamp 要素に関する情報を指

定します。省略時は,SOAP メッ

セージに Timestamp 要素は付与さ

れません。

UsernameToken 要素に関する情

報を指定します。省略時は,

SOAP メッセージに

UsernameToken 要素は付与され

ません。

NMTOKENS

0

以上

0

以上

0

以上

0

または

1

0

以上

SOAP メッセージに付与するバイナリセキュリティトークンの情報を指定します。コン

テンツはありません。

137

付録 C 定義ファイルの項目の詳細

種別

表 C-12 BinarySecurityTokenConfig

要素

属性

Id

IdRef

EmbedId

EncodingType

ValueType

説明 データ型

セキュリティ機能定義ファイル中

で一意に識別するための ID 値を

指定します。

バイナリセキュリティトークンと

して使用するリソースの位置

(Id)を指定します。Certificate

要素の Id 値を指定します。

ID

IDREF

バイナリセキュリティトークン要

素をセキュリティヘッダに埋め込

む時に付加する Id 値を指定しま

す。

String

セキュリティトークンを送信する

際のエンコード種別を指定しま

す。指定できる値は,"http:// docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-soap-messagesecurity-1.0#Base64Binary" だけ

です。省略時は,"http:// docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-soap-messagesecurity-1.0#Base64Binary" が仮

定されます。 anyURI

バイナリセキュリティトークンの

種別を指定します。指定できる値

は,"http://docs.oasis-open.org/ wss/2004/01/ oasis-200401-wss-x509-token-pro file-1.0#X509v3" だけです。省略

時は,"http://docs.oasis-open.org/ wss/2004/01/ oasis-200401-wss-x509-token-pro file-1.0#X509v3" が仮定されます。 anyURI

1

指定

回数

1

1

0

または

1

0

または

1

署名に関する情報を指定します。コンテンツ(子要素)は,次の表の順番で指定する必

要があります。

種別

表 C-13 SignatureConfig

要素 説明 データ型

属性 − − − −

指定

回数

138

付録 C 定義ファイルの項目の詳細

種別 要素

CanonicalizationMethod

SignatureMethod

SignatureTarget

SignatureKey

SignatureKeyInfo

説明

正規化アルゴリズムを指定します。

データ型

− 1

指定

回数

署名アルゴリズムを指定します。

署名対象を指定します。

署名に使用する鍵の情報を指定し

ます。

署名に使用する鍵の参照情報を指

定します。

1

1

以上

1

1

正規化アルゴリズムを指定します。

種別

表 C-14 CanonicalizationMethod

要素

属性

Algorithm

CanonicalizeParam

説明

正規化アルゴリズムのアルゴリズ

ム識別子を指定します。

正規化処理で使用するパラメタを

指定します。省略時は正規化処理

時にパラメタは付与されません。

データ型 anyURI 1

指定

回数

0

または

1

正規化処理で使用するパラメタを指定します。コンテンツはありません。

139

付録 C 定義ファイルの項目の詳細

種別

表 C-15 CanonicalizeParam

要素

属性

InclusiveNamespaces

説明 データ型

CanonicalizationMethod の

Algorithm 属性が Exclusive

Canonical XML の場合に,

Exclusive XML Canonicalization

Version 1.0 で規定されている名前

空間プレフィクスを指定します。

指定方法は,対象となる名前空間

プレフィクス名をスペースで区

切って指定します(例 "ns1 ns2 ns3")。CanonicalizationMethod

の Algorithm 属性が Exclusive

Canonical XML(Exclusive

Canonical XML with Comments

または Exclusive Canonical XML omits comments)でない場合はこ

の指定は無視されます。

NMTOKENS 1

指定

回数

署名アルゴリズムを指定します。コンテンツはありません。

種別

表 C-16 SignatureMethod

要素 説明

属性

Algorithm

署名アルゴリズムのアルゴリズム

識別子を指定します。

データ型 anyURI 1

指定

回数

署名対象を指定します。属性の指定は,Part または TargetId のどちらかが必須になりま

す。

種別

表 C-17 SignatureTarget

要素 説明 データ型

属性

Part

指定

回数

0

または

1

TargetId

署名対象となる SOAP エンベロー

プ中のエレメントを指定します。

指定可能な値は "Body" だけです。

署名対象の Id 値(SOAP メッセー

ジ内の要素にあらかじめ設定済み

の wsu:Id の値)を指定します。こ

の指定はメッセージング形態の場

合だけ有効です。 enum

String 0

または

1

140

種別

Transform

要素

付録 C 定義ファイルの項目の詳細

説明

トランスフォームアルゴリズムを

データ型

指定

回数

1

以上

トランスフォームアルゴリズムを指定します。

種別

表 C-18 Transform

要素 説明

属性

Algorithm

TransformParam

データ型

1

指定

回数

トランスフォームアルゴリズムの

アルゴリズム識別子を指定します。

トランスフォームアルゴリズムで

使用するパラメタを指定します。

省略時はトランスフォーム処理時

にパラメタは付与されません。 anyURI

0

または

1

トランスフォームアルゴリズムで使用するパラメタを指定します。コンテンツはありま

せん。

種別

表 C-19 TransformParam

要素 説明 データ型

属性

InclusiveNamespaces

Transform の Algorithm 属性が

Exclusive Canonical XML の場合

に,Exclusive XML

Canonicalization Version 1.0 で規

定されている名前空間プレフィク

スを指定します。指定方法は,対

象となる名前空間プレフィクス名

をスペースで区切って指定します

Transform の Algorithm 属性が

Exclusive Canonical XML

(Exclusive Canonical XML with

Comments または Exclusive

Canonical XML omits comments)

でない場合はこの指定は無視され

ます。

NMTOKENS 1

指定

回数

141

付録 C 定義ファイルの項目の詳細

署名に使用する鍵の情報を指定します。コンテンツはありません。

種別

表 C-20 SignatureKey

要素 説明 データ型

属性

IdRef

IDREF 1

指定

回数

鍵の位置(Binding 要素の

PrivateKey 要素で指定する Id 属

性)を指定します。

署名に使用する鍵の参照情報を指定します。

種別

表 C-21 SignatureKeyInfo

要素 説明

属性 −

KeyReferenceConfig

署名に使用する鍵のリファレンス

情報(KeyInfo 要素内の

SecurityTokenReference 要素とし

て設定される情報)を指定します。

データ型

1

指定

回数

署名に使用する鍵のリファレンス情報を指定します。コンテンツは,DirectReference ま

たは KeyIdentifier のどちらかを指定します。

種別

表 C-22 KeyReferenceConfig

要素 説明 データ型

属性 −

DirectReference

KeyIdentifier

鍵の参照メカニズムを

DirectReference にする場合の情報

を指定します。

鍵の参照メカニズムを

KeyIdentifier にする場合の情報を

指定します。

指定

回数

0

または

1

0

または

1

142

付録 C 定義ファイルの項目の詳細

鍵の参照メカニズムを DirectReference にする場合の情報を指定します。コンテンツは

ありません。URI 属性は,先頭に "#" を必ず付加してください。

種別

表 C-23 DirectReference

要素 説明 データ型

属性

URI

セキュリティヘッダに埋め込む鍵

(バイナリセキュリティトークン)

の位置(URI)を指定します。こ

こで指定した値がセキュリティ

ヘッダ内の wsse:Reference 要素の

URI 属性に設定されます。ここで

指定する値は,

BinarySecurityTokenConfig 要素

の EmbedId の値を参照する値であ

る必要があります。 anyURI 1

指定

回数

鍵の参照メカニズムを KeyIdentifier にする場合の情報を指定します。コンテンツはあり

ません。

種別

表 C-24 KeyIdentifier

要素 説明 データ型

属性

IdRef

1

指定

回数

EncodingType

鍵として使用するキーストアの非

公開鍵の位置(Certificate 要素の

Id 値)を指定します。

KeyIdentifier 要素のエンコード

種別を指定します。

指定できる値は,"http:// docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-soap-messagesecurity-1.0#Base64Binary" だけ

です。省略時は,"http:// docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-soap-messagesecurity-1.0#Base64Binary" が仮

定されます。

IDREF anyURI 0

または

1

143

付録 C 定義ファイルの項目の詳細

種別

ValueType

要素 説明

KeyIdentifier 要素の種別を指定

します。指定できる値は,"http:// docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-x509-token-pro file-1.0#X509SubjectKeyIdentifie r" だけです。省略時は,"http:// docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-x509-token-pro file-1.0#X509SubjectKeyIdentifie r" が仮定されます。

データ型 anyURI

指定

回数

0

または

1

暗号化に関する情報を指定します。

種別

表 C-25 EncryptionConfig

要素

属性 −

ContentsEncryption

KeyEncryption

説明

メッセージ内容の暗号化に関する

情報を指定します。

データ型

1

指定

回数

1 鍵の暗号化に関する情報を指定し

ます。EncryptionType が

"ContentsEncryption" の場合は不

要です。

メッセージ内容の暗号化に関する情報を指定します。

種別

表 C-26 ContentsEncryption

要素 説明

属性 −

EncryptionTarget

暗号化対象を指定します。

データ型

1

指定

回数

144

付録 C 定義ファイルの項目の詳細

暗号化対象を指定します。Part または TargetId のどちらかを指定してください。Part

および TargetId の両方を指定した場合は,Part の指定だけが有効になります。また,

TargetId を指定する場合は,対象となる SOAP メッセージのエレメントに同じ値の wsu:Id 属性が指定されている必要があります。

種別

表 C-27 EncryptionTarget

要素 説明 データ型

属性

Part

TargetId

EmbedId

EncryptionMethod

暗号化対象となる SOAP エンベ

ロープ中のエレメントを指定しま

す。指定可能な値は

"BodyContent" だけです。 enum

暗号化対象の Id 値(SOAP メッ

セージ内の要素にあらかじめ設定

済みの wsu:Id の値)を指定しま

す。この指定はメッセージング

SOAP サービスの場合だけ有効で

す。

String

暗号化適用後のエレメントに付加

する Id 値(wsu:Id 属性として設

定される)を指定します。この属

性を省略した場合は Id 値は Web

サービスセキュリティ機能独自の

値を自動的に付加します。

String

暗号化アルゴリズムを指定します。 −

指定

回数

0

または

1

0

または

1

0

または

1

1

暗号化アルゴリズムを指定します。コンテンツはありません。

種別

表 C-28 EncryptionMethod

要素 説明

属性

Algorithm

暗号化アルゴリズムのアルゴリズ

ム識別子を指定します。

データ型 anyURI 1

指定

回数

鍵の暗号化に関する情報を指定します。

145

付録 C 定義ファイルの項目の詳細

種別

表 C-29 KeyEncryption

要素

属性 −

EncryptionMethod

KeyEncryptionKey

説明

− −

暗号化アルゴリズムを指定します。 −

データ型

1

指定

回数

鍵の暗号化に使用する鍵の情報を

指定します。

1

鍵の暗号化に使用する鍵の情報を指定します。コンテンツはありません。

種別

表 C-30 KeyEncryptionKey

要素 説明 データ型

属性

IdRef

1

指定

回数

使用する鍵の位置(SecretKeyFile

要素で指定する Id 属性)を指定し

ます。

IDREF

Timestamp 要素に関する情報を指定します。

種別

表 C-31 TimestampConfig

要素 説明

属性

EmbedId

Created

Timestamp 要素をセキュリティ

ヘッダに埋め込む時の Id 値を指定

します。省略時は Timestamp 要素

をセキュリティヘッダに埋め込む

時に Id は付与されません。

Timestamp 要素に Created 要素を

付加するかどうかを "true",

"false","1","0" のどれかで指定

します。"true","1" を指定した場

合 Created 要素が付加されます。

"false","0" を指定した場合

Created 要素は付加されません。

省略時は "false" が仮定されます。

データ型

String boolean

指定

回数

0

または

1

0

または

1

146

付録 C 定義ファイルの項目の詳細

種別

Expires

要素 説明

Timestamp 要素に Expires 要素を

付加するかどうかを "true",

"false","1","0" のどれかで指定

します。"true","1" を指定した場

合 Expires 要素が付加されます。

"false","0" を指定した場合

Expires 要素は付加されません。

省略時は "false" が仮定されます。

Expires 要素に関する情報を指定

します。

データ型 boolean

指定

回数

0

または

1

0

または

1

Expires

Expires 要素に関する情報を指定します。コンテンツはありません。

種別

表 C-32 Expires

要素 説明 データ型

属性

Value

有効期限を設定します。現在時刻

からの相対時間をミリ秒単位で指

定します。指定可能な範囲は

1,000 ∼ 2,147,483,647 です。範囲

外の値を指定した場合,または省

略時は 300,000(5 分)が仮定され

ます。 int

指定

回数

0

または

1

UsernameToken 要素に関する情報を指定します。

種別

表 C-33 UsernameTokenConfig

要素 説明

属性

Id

Web サービスセキュリティ機能定

義ファイル中で,

UsernameTokenConfig 要素を一

意に識別するための ID 値を指定し

ます。

ID

データ型

1

指定

回数

147

付録 C 定義ファイルの項目の詳細

種別

EmbedId

要素

Username

Password

説明

UsernameToken 要素をセキュリ

ティヘッダに埋め込む時の Id 値を

指定します。省略時は

UsernameToken 要素をセキュリ

ティヘッダに埋め込む時に Id が付

与されません。

ユーザ名に関する情報を指定しま

す。

データ型

String

指定

回数

0

または

1

1

パスワードに関する情報を指定し

ます。省略時は UsernameToken

要素にパスワードが付与されませ

ん。

0

または

1

ユーザ名に関する情報を指定します。

種別

表 C-34 Username

要素

属性 −

ユーザ名

説明

認証に使用するユーザ ID 値を指定

します。

データ型

String

1

指定

回数

パスワードに関する情報を指定します。

148

付録 C 定義ファイルの項目の詳細

種別

表 C-35 Password

要素

属性

Type

説明

パスワードの形式を指定します。

指定できる値は,"http:// docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-username-toke n-profile-1.0#PasswordText"(テ docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-username-toke n-profile-1.0#PasswordDigest"

(ダイジェスト)の 2 種類だけで

す。省略時は,"http:// docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-username-toke n-profile-1.0#PasswordText" が仮

定されます。

認証に使用するパスワード値を指

定します。

データ型 anyURI

String

指定

回数

0

または

1

1

パスワード値

レスポンスメッセージ送信時の設定を指定します。

種別

表 C-36 ResponseSenderConfig

要素 説明

属性 −

SenderPortConfig

送信時に Web サービスセキュリ

ティ機能を適用する SOAP サービ

スエンドポイントの情報を指定し

ます。

データ型 指定

回数

1

以上

リクエストメッセージ受信時の設定を指定します。

種別

表 C-37 RequestReceiverConfig

要素 説明

属性 − −

データ型

− −

指定

回数

149

付録 C 定義ファイルの項目の詳細

種別 要素

ReceiverPortConfig

説明

Web サービスセキュリティ機能を

適用する SOAP サービスエンドポ

イントの情報を指定します。

データ型 指定

回数

1

以上

受信時に Web サービスセキュリティ機能を適用する SOAP サービスエンドポイントの情

報を指定します。

種別

表 C-38 ReceiverPortConfig

要素 説明 データ型

属性

Name

My_role

AuthenticationConfig

メッセージを受信する SOAP サー

ビスの URL を指定します。

Web サービスセキュリティ機能を

適用する SOAP サービスのロール

名を URI 形式で指定します。受信

した SOAP メッセージのセキュリ

ティヘッダ中の role 属性値が,こ

こで指定したロール名と一致した

場合に,PortTypeConfig 以下に指

定した動作定義に従って Web サー

ビスセキュリティ機能を実行しま

す。この属性を省略した場合は,

受信した SOAP メッセージのセ

キュリティヘッダ中の role 属性の

内容(role 属性がない場合も含む)

にかかわらず,PortTypeConfig 以

下に指定した動作定義に従って

Web サービスセキュリティ機能を

実行します。

セキュリティトークンの認証に関

する情報を指定します。省略時は

セキュリティトークンの認証を行

いません。 anyURI anyURI

1

指定

回数

1

0

または

1

VerificationConfig

DecryptionConfig

署名検証に関する情報を指定しま

す。省略時は署名検証を行いませ

ん。

復号化に関する情報を指定します。

省略時は復号化を行いません。

0

または

1

0

または

1

150

付録 C 定義ファイルの項目の詳細

セキュリティトークンの認証に関する情報を指定します。

種別

表 C-39 AuthenticationConfig

要素 説明

属性 −

UsernameTokenAuthnConfig

UsernameToken の認証に関する

情報を指定します。省略時は

UsernameToken の認証を行いま

せん。

データ型 指定

回数

0

または

1

UsernameToken の認証に関する情報を指定します。LoginContext タグを省略した場合

は,UsernameToken の認証をしないで処理を続行します。

種別

表 C-40 UsernameTokenAuthnConfig

要素 説明 データ型

属性 −

AuthnMethod

LoginContext

認証方式に関する情報を指定しま

す。

JAAS 認証に関する情報を指定し

ます。AuthnMethod に

"JAASAuthn" を指定した場合,こ

の要素は必須です。

1

指定

回数

0

または

1

認証方式に関する情報を指定します。コンテンツはありません。

種別

表 C-41 AuthnMethod

要素 説明 データ型

属性

Type

認証方式を指定します。指定でき

る値は "JAASAuthn" だけです。 enum 1

指定

回数

151

付録 C 定義ファイルの項目の詳細

JAAS 認証に関する情報を指定します。

種別

表 C-42 LoginContext

要素

属性 −

ConfigurationIndex

説明

ログイン構成のインデックスを指

定します。

データ型

1

指定

回数

ログイン構成のインデックスを指定します。

種別

表 C-43 ConfigurationIndex

要素 説明

属性 −

インデックス値

LoginContext クラスをインスタン

ス化する際に使用するログイン構

成のインデックス(jaas.conf 内の

インデックス名)を指定します。

データ型

1

指定

回数

署名検証に関する情報を指定します。

種別

表 C-44 VerificationConfig

要素

属性 −

VerificationKeyLocationList

説明

署名検証に用いる鍵に関する情報

を指定します。

データ型

1

指定

回数

152

署名検証に用いる鍵に関する情報を指定します。受信したセキュリティヘッダ内の署名

鍵の参照形式(SecurityTokenReference 要素で示されます)が "wsse:Reference" の場

付録 C 定義ファイルの項目の詳細

合,この要素の VerificationKeyStore タグで指定された内容は無視されます。

種別

表 C-45 VerificationKeyLocationList

要素 説明 データ型

属性 −

VerificationKeyStore

署名検証に用いる鍵の所在に関す

る情報を指定します。

指定

回数

1

以上

署名検証に用いる鍵の所在に関する情報を指定します。コンテンツはありません。

種別

表 C-46 VerificationKeyStore

要素 説明 データ型

属性

IdRef

使用する鍵を含む KeyStore 要素

の Id 属性を指定します。

IDREF 1

指定

回数

復号化に関する情報を指定します。

種別

表 C-47 DecryptionConfig

要素

属性 −

DecryptionKeyLocationList

説明

復号に用いる鍵の所在に関する情

報を指定します。

データ型

1

指定

回数

復号に用いる鍵の所在に関する情報を指定します。

種別

表 C-48 DecryptionKeyLocationList

要素 説明

属性 − −

データ型

指定

回数

153

付録 C 定義ファイルの項目の詳細

種別 要素

DecryptionSecretKeyLocationList

説明

復号に用いる鍵の所在に関す

る情報を指定します。

データ型

指定

回数

1

以上

復号に用いる鍵の所在に関する情報を指定します。コンテンツはありません。

種別

表 C-49 DecryptionSecretKeyLocationList

要素 説明 データ型

属性

IdRef

使用する鍵を含む SecretKeyFile

要素の Id 属性の値を指定します。

IDREF 1

指定

回数

リクエストメッセージ受信時の設定を指定します。

種別

表 C-50 ResponseReceiverConfig

要素 説明

属性 −

ReceiverPortConfig

Web サービスセキュリティ機能を

適用する SOAP サービスエンドポ

イントの情報を指定します。

データ型

1

指定

回数

付録 C.2 Web サービスセキュリティポリシー定義ファイル

の項目

Web サービスセキュリティポリシー定義ファイルは,XML ファイルです。ここでは,

Web サービスセキュリティポリシー定義ファイルの要素,および要素で指定できる属性

とコンテンツ(子要素)について説明します。なお,表中のデータ型は,XML Schema

のデータ型を表しています。

ポリシー定義ファイルのルート要素です。

154

付録 C 定義ファイルの項目の詳細

種別

表 C-51 PolicyConfig

要素

属性 −

GlobalConfig

RequestReceiverConfig

ResponseReceiverConfig

説明

Web サービスセキュリティポリ

シー定義で共通的に使用するポリ

シーを指定します。省略時は,

GlobalConfig 要素内の値はすべて

デフォルト値が仮定されます。

リクエストメッセージ受信時の設

定を指定します。省略時は,リク

エストメッセージ受信時のポリ

シーチェックが行われません。

レスポンスメッセージ受信時の設

定を指定します。省略時は,レス

ポンスメッセージ受信時のポリ

シーチェックが行われません。

データ型 指定

回数

0

または

1

0

または

1

0

または

1

Web サービスセキュリティポリシー定義で共通的に使用するポリシーを指定します。

種別

表 C-52 GlobalConfig

要素 説明 データ型

属性 −

Max-Clock-Skew

Fresh-Time-Limit

有効期限をチェックする際の時間

差に関する情報を指定します。省

略時は Max-Clock-Skew 要素内の

値はすべてデフォルト値が仮定さ

れます。

UsernameToken 要素,

Timestamp 要素内の Created 要素

の有効期間に関するポリシー

チェックの情報を指定します。省

略時は Fresh-Time-Limit 要素内

の値はすべてデフォルト値が仮定

されます。

指定

回数

0

または

1

0

または

1

有効期限をチェックする際の時間差に関する情報を指定します。コンテンツはありませ

ん。

155

付録 C 定義ファイルの項目の詳細

種別

表 C-53 Max-Clock-Skew

要素

属性

Value

説明 データ型

1

指定

回数

UsernameToken 要素および

Timestamp 要素の子要素である

Created 要素,または Timestamp

要素の子要素である Expires 要素

に指定された値に基づいて SOAP

メッセージの有効期限を確認する

場合に,送信側と受信側との時間

の差をどこまで許容するかを指定

します。指定するときの単位はミ

リ秒です。

指定できる範囲は,1 ∼

2,147,483,647 の間です。範囲外

の値を指定した場合,または指定

を省略した場合は,0 ミリ秒が仮

定されます。 int

UsernameToken 要素,および Timestamp 要素内の Created 要素の有効期間に関するポ

リシーチェックの情報を指定します。コンテンツはありません。

種別

表 C-54 Fresh-Time-Limit

要素 説明 データ型

属性

Value

UsernameToken 要素および

Timestamp 要素の子要素である

Created 要素に指定された値を確

認する場合に,送信側と受信側と

の時間の差をどこまで許容するか

を指定します。

指定するときの単位はミリ秒です。

指定できる範囲は,1,000 ∼

2,147,483,647 の間です。範囲外

の値を指定した場合,または指定

を省略した場合は,300,000 ミリ

秒が仮定されます。 int 1

指定

回数

リクエストメッセージ受信時の設定を指定します。

種別

表 C-55 RequestReceiverConfig

要素 説明

属性 − −

156

データ型

− −

指定

回数

付録 C 定義ファイルの項目の詳細

種別 要素

ReceiverPortConfig

説明

Web サービスセキュリティポリ

シー定義を適用する SOAP サービ

スエンドポイントの情報を指定し

ます。

データ型 指定

回数

1

以上

Web サービスセキュリティポリシー定義を適用する SOAP サービスエンドポイントの情

報を指定します。

種別

表 C-56 ReceiverPortConfig

要素 説明 データ型

属性

Name

My_role

SecurityTokenConfig

VerificationConfig

DecryptionPolicyConfig

Web サービスセキュリティポリ

シー定義を適用する SOAP サービ

スの URL を指定します。

アスタリスク "*" を指定した場合,

すべての SOAP サービスに対して

Web サービスセキュリティ定義が

適用されます。

Web サービスセキュリティポリ

シー定義を適用する SOAP サービ

スのロール名を,URI で指定しま

す。受信した SOAP メッセージの

セキュリティヘッダ内で,

RoleConfig 要素の role 属性に指定

されている値が My_role 属性で指

定したロール名と一致した場合に,

ReceiverPortConfig 要素で指定し

た定義に従って Web サービスセ

キュリティポリシー定義が適用さ

れます。

セキュリティトークンに関するポ

リシーチェックの情報を指定しま

す。省略時はセキュリティトーク

ンに関するポリシーチェックが行

われません。

署名に関するポリシーチェックの

情報を指定します。省略時は署名

に関するポリシーチェックが行わ

れません。

復号化に関するポリシーチェック

の情報を指定します。省略時は復

号化に関するポリシーチェックが

行われません。 anyURI anyURI

1

指定

回数

1

0

または

1

0

または

1

0

または

1

157

付録 C 定義ファイルの項目の詳細

種別 要素

TimestampConfig

説明

タイムスタンプに関するポリシー

チェックの情報を指定します。省

略時はタイムスタンプに関するポ

リシーチェックが行われません。

データ型

指定

回数

0

または

1

セキュリティトークンに関するポリシーチェックの情報を指定します。

種別

表 C-57 SecurityTokenConfig

要素 説明 データ型

属性 −

UsernameTokenConfig

BinarySecurityTokenConfig

UsernameToken 要素に関するポ

リシーチェックの情報を指定しま

す。省略時は UsernameToken に

関するポリシーチェックが行われ

ません。

バイナリセキュリティトークンに

関するポリシーチェックの情報を

指定します。省略時はバイナリセ

キュリティトークンに関するポリ

シーチェックが行われません。

指定

回数

0

または

1

0

または

1

UsernameToken 要素に関するポリシーチェックの情報を指定します。

種別

表 C-58 UsernameTokenConfig

要素 説明 データ型

属性

Required

1

指定

回数

セキュリティヘッダ内の

UsernameToken 要素の有無を

チェックするかどうかを "true",

"false","1”,"0" のどれかで指定

します。"true","1" を指定した場

合,セキュリティヘッダ内の

UsernameToken 要素の有無を

チェックし,存在しないときはポ

リシー違反として SOAP Fault を

スローします。"false","0" を指定

した場合,セキュリティヘッダ内

の UsernameToken 要素の有無を

チェックしません。"false",0" を

指定した場合,UsernameToken

要素が存在しても処理しません。 boolean

158

付録 C 定義ファイルの項目の詳細

種別

Nonce

Created

要素 説明

Nonce 要素に関するポリシー

チェックの情報を指定します。省

略時は Nonce 要素に関するポリ

シーチェックが行われません。

UsernameToken 要素内の

Created 要素に関するポリシー

チェックの情報を指定します。省

略時は Created 要素に関するポリ

シーチェックが行われません。

データ型 指定

回数

0

または

1

0

または

1

Nonce 要素に関するポリシーチェックの情報を指定します。コンテンツはありません。

種別

表 C-59 Nonce

要素 説明 データ型

属性

Required

1

指定

回数

UsernameToken 要素内の Nonce

要素の有無をチェックするかどう

どれかで指定します。"true","1"

を指定した場合 UsernameToken

要素内の Nonce 要素の有無を

チェックし,存在しない場合はポ

リシー違反として SOAP Fault を

スローします。"false","0" を指定

した場合 UsernameToken 要素内

の Nonce 要素の有無をチェックし

ません。"false","0" を指定した場

合,Nonce 要素が存在しても処理

しません。 boolean

UsernameToken 要素内の Created 要素に関するポリシーチェックの情報を指定します。

159

付録 C 定義ファイルの項目の詳細

種別

表 C-60 Created

要素

属性

Required

説明 データ型

1

指定

回数

UsernameToken 要素内の

Created 要素の有無をチェックす

るかどうかを "true","false",

"1”,"0" のどれかで指定します。

"true","1" を指定した場合

UsernameToken 要素内の

Created 要素の有無をチェックし,

存在しない場合はポリシー違反と

して SOAP Fault をスローしま

す。"false","0" を指定した場合

UsernameToken 要素内の

Created 要素の有無をチェックし

ません。"false","0" を指定した場

合,Created 要素が存在しても処

理しません。 boolean

バイナリセキュリティトークンに関するポリシーチェックの情報を指定します。

種別

表 C-61 BinarySecurityTokenConfig

要素 説明 データ型

属性 −

TokenValidation

BinarySecurityToken 要素の検証

に関するポリシーチェックの情報

を指定します。

1

指定

回数

BinarySecurityToken 要素の検証に関するポリシーチェックの情報を指定します。

種別

表 C-62 TokenValidation

要素 説明 データ型

属性 − − − −

指定

回数

160

付録 C 定義ファイルの項目の詳細

種別 要素

X509TokenValidation

説明

X.509 証明書の検証に関するポリ

シーチェックの情報を指定しま

す。この要素が指定されている場

合,受信した SOAP メッセージに

X.509 証明書の

BinarySecurityToken 要素

(ValueType が "http:// docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-x509-token-pro file-1.0#X509v3" である

BinarySecurityToken 要素)

が存在しない場合,ポリシー違反

として SOAP Fault をスローしま

す。省略時は X.509 証明書の検証

に関するポリシーチェックが行わ

れません。

データ型 指定

回数

0

または

1

X.509 証明書の検証に関するポリシーチェックの情報を指定します。

種別

表 C-63 X509TokenValidation

要素 説明 データ型

属性

AuthorityCertificateLocatio nList

X.509 証明書の検証に関する

ポリシーチェックの情報を指

定します。

1

指定

回数

X.509 証明書の検証に関するポリシーチェックの情報を指定します。

種別

表 C-64 AuthorityCertificateLocationList

要素 説明

属性 −

AuthorityCertificateFile

X.509 証明書の署名検証に使用

する証明書ファイルの情報を指

定します。

データ型 指定

回数

1

以上

161

付録 C 定義ファイルの項目の詳細

X.509 証明書の署名検証に使用する証明書ファイルの情報を指定します。コンテンツは

ありません。

種別

表 C-65 AuthorityCertificateFile

要素 説明 データ型

属性

Name

X.509 証明書の署名検証に使用す

る証明書ファイル名を指定します。

String 1

指定

回数

署名に関するポリシーチェックの情報を指定します。VerificationConfig 要素の指定があ

り,署名がされていないメッセージを受信した場合はポリシーチェック違反として

SOAP Fault をスローします。

種別

表 C-66 VerificationConfig

要素 説明 データ型

属性 −

SignatureMethodList

CanonicalizationMethodList

署名アルゴリズムに関するポリ

シーチェックの情報を指定します。

1

指定

回数

1

SignatureTarget

正規化アルゴリズムに関するポリ

シーチェックの情報を指定します。

署名個所に関するポリシーチェッ

クの情報を指定します。

1

署名アルゴリズムに関するポリシーチェックの情報を指定します。受信メッセージ中の

署名アルゴリズムが,この要素の SignatureMethod タグで指定した,どのアルゴリズム

とも一致しない場合は,ポリシーチェック違反として SOAP Fault をスローします。

種別

表 C-67 SignatureMethodList

要素 説明

属性 − −

データ型

指定

回数

162

種別 要素

SignatureMethod

付録 C 定義ファイルの項目の詳細

説明

署名アルゴリズムに関する情報

を指定します。省略時は署名ア

ルゴリズムに関するポリシー

チェックが行われません。

データ型

指定

回数

0

以上

署名アルゴリズムに関する情報を指定します。コンテンツはありません。

種別

表 C-68 SignatureMethod

要素 説明 データ型

属性

Algorithm

受信側で処理可能な署名アルゴリ

ズムの URI を指定します。 anyURI 1

指定

回数

正規化アルゴリズムに関するポリシーチェックの情報を指定します。受信メッセージ中

の正規化アルゴリズムが,この要素の CanonicalizationMethod タグで指定した,どのア

ルゴリズムとも一致しない場合は,ポリシーチェック違反として SOAP Fault をスロー

します。

種別

表 C-69 CanonicalizationMethodList

要素 説明 データ型

属性 −

CanonicalizationMethod

正規化アルゴリズムに関する情

報を指定します。省略時は正規

化アルゴリズムに関するポリ

シーチェックが行われません。

指定

回数

0

以上

正規化アルゴリズムに関する情報を指定します。コンテンツはありません。

種別

表 C-70 CanonicalizationMethod

要素 説明 データ型

属性

Algorithm

受信側で処理可能な正規化アルゴ

リズムの URI を指定します。 anyURI 1

指定

回数

163

付録 C 定義ファイルの項目の詳細

属性

Part

署名個所に関するポリシーチェックの情報を指定します。

種別

表 C-71 SignatureTarget

要素 説明

TransformMethodList

データ型

1

指定

回数

署名個所となる SOAP エンベ

ロープ中のエレメントを指定し

ます。メッセージの署名個所が

この属性に指定した個所と異な

る場合,ポリシー違反として

SOAP Fault をスローします。指

定できる値は "Body" だけです。

トランスフォームアルゴリズム

に関する情報を指定します。省

略時はトランスフォームアルゴ

リズムに関するポリシーチェッ

クが行われません。 enum

0

または

1

トランスフォームアルゴリズムに関する情報を指定します。受信メッセージ中のトラン

スフォームアルゴリズムが,この要素の TransformMethod タグで指定した,どのアル

ゴリズムとも一致しない場合は,ポリシーチェック違反として SOAP Fault をスローし

ます。

種別

表 C-72 TransformMethodList

要素 説明

属性 −

TransformMethod

トランスフォームアルゴリズム

のアルゴリズム識別子を指定し

ます。省略時はトランスフォー

ムアルゴリズムに関するポリ

シーチェックが行われません。

データ型

− anyURI

指定

回数

0

以上

トランスフォームアルゴリズムのアルゴリズム識別子を指定します。コンテンツはあり

ません。

164

付録 C 定義ファイルの項目の詳細

種別

表 C-73 TransformMethod

要素

属性

Algorithm

説明

受信側で処理可能なトランス

フォームアルゴリズムの URI を

指定します。

データ型 anyURI 1

指定

回数

復号化に関するポリシーチェックの情報を指定します。DecryptionConfig 要素の指定が

あり,暗号化がされていないメッセージを受信した場合は,ポリシーチェック違反とし

て SOAP Fault をスローします。

種別

表 C-74 DecryptionPolicyConfig

要素 説明

属性 −

DecryptionTarget

復号化個所に関するポリシー

チェックの情報を指定します。

データ型

1

指定

回数

属性

Part

復号化個所に関するポリシーチェックの情報を指定します。

種別

表 C-75 DecryptionTarget

要素 説明

Type

DecryptionConfig

データ型

1

指定

回数

復号化する個所となる SOAP エン

ベロープ中のエレメントを指定し

ます。メッセージの復号化個所が

この属性に指定した個所と異なる

場合ポリシー違反として SOAP

Fault をスローします。指定でき

る値は "Body" だけです。

復号化する個所の暗号化タイプを

指定します。指定可能な値は

"Content" だけです。

復号化に関するポリシーチェック

の情報を指定します。 enum enum

1

1

165

付録 C 定義ファイルの項目の詳細

復号化に関するポリシーチェックの情報を指定します。DecryptionConfig 要素の指定が

あり,暗号化がされていないメッセージを受信した場合は,ポリシーチェック違反とし

て SOAP Fault をスローします。

種別

表 C-76 DecryptionConfig

要素 説明 データ型

属性 −

ContentsDecryption

KeyDecryption

メッセージ内容の復号化に関する

ポリシーチェックの情報を指定し

ます。

1

指定

回数

1

復号に使用する鍵の復号化に関す

るポリシーチェックの情報を指定

します。EncryptionType が

"ContentsEncryption" の場合は不

要です。

メッセージ内容の復号化に関するポリシーチェックの情報を指定します。

種別

表 C-77 ContentsDecryption

要素 説明

属性 −

DecryptionMethodList

復号化個所の暗号アルゴリズム

に関するポリシーチェックの情

報を指定します。省略時は復号

化個所の暗号アルゴリズムに関

するポリシーチェックが行われ

ません。

データ型 指定

回数

0

または

1

復号化個所の暗号アルゴリズムに関するポリシーチェックの情報を指定します。受信

メッセージ中の暗号アルゴリズムが,この要素の DecryptionMethod タグで指定した,

どのアルゴリズムとも一致しない場合は,ポリシーチェック違反として SOAP Fault を

スローします。

166

付録 C 定義ファイルの項目の詳細

種別

表 C-78 DecryptionMethodList

要素

属性 −

DecryptionMethod

説明

復号化に用いる暗号アルゴリズ

ムに関する情報を指定します。

省略時は復号化に用いる暗号ア

ルゴリズムに関するポリシー

チェックが行われません。

データ型 指定

回数

0

以上

復号化に用いる暗号アルゴリズムに関する情報を指定します。コンテンツはありません。

種別

表 C-79 DecryptionMethod

要素 説明 データ型

属性

Algorithm

受信側で処理可能な暗号アルゴ

リズムの URI を指定します。 anyURI 1

指定

回数

復号に使用する鍵の復号化に関するポリシーチェックの情報を指定します。

種別

表 C-80 KeyDecryption

要素

属性 −

DecryptionMethodList

説明

復号化個所に関するポリシー

チェックの情報を指定します。

省略時は復号化個所に関するポ

リシーチェックが行われません。

データ型 指定

回数

0

または

1

タイムスタンプに関するポリシーチェックの情報を指定します。

種別

表 C-81 TimestampConfig

要素 説明 データ型

属性 − − − −

指定

回数

167

付録 C 定義ファイルの項目の詳細

種別

Created

Expires

要素 説明

タイムスタンプ要素の Created 要

素に関するポリシーチェックの情

報を指定します。省略時は

Created 要素に関するポリシー

チェックが行われません。

タイムスタンプ要素の Expires 要

素に関するポリシーチェックの情

報を指定します。省略時は

Expires 要素に関するポリシー

チェックが行われません。

データ型 指定

回数

0

または

1

0

または

1

タイムスタンプ要素の Created 要素に関するポリシーチェックの情報を指定します。コ

ンテンツはありません。

種別

表 C-82 Created

要素 説明 データ型

属性

Required

1

指定

回数

タイムスタンプ要素内の Created

要素の有無をチェックするかどう

どれかで指定します。"true","1"

を指定した場合タイムスタンプ要

素内の Created 要素の有無を

チェックし,存在しない場合はポ

リシー違反として SOAP Fault を

スローします。"false","0" を指定

した場合タイムスタンプ要素内の

Created 要素の有無をチェックし

ません。 boolean

タイムスタンプ要素の Expires 要素に関するポリシーチェックの情報を指定します。コ

ンテンツはありません。

168

付録 C 定義ファイルの項目の詳細

種別

表 C-83 Expires

要素

属性

Required

説明 データ型

1

指定

回数

タイムスタンプ要素内の Expires

要素の有無をチェックするかどう

どれかで指定します。"true","1"

を指定した場合タイムスタンプ要

素内の Expires 要素の有無を

チェックし,存在しない場合はポ

リシー違反として SOAP Fault を

スローします。"false","0" を指定

した場合タイムスタンプ要素内の

Expires 要素の有無をチェックし

ません。 boolean

レスポンスメッセージ受信時の設定を指定します。

種別

表 C-84 ResponseReceiverConfig

要素 説明

属性 −

ReceiverPortConfig

Web サービスセキュリティポリ

シー定義を適用する SOAP サービ

スエンドポイントの情報を指定し

ます。

データ型 指定

回数

1

以上

169

付録 D 用語解説

付録 D 用語解説

このマニュアルで使用している用語の意味を説明します。

(英数字)

JAAS

J2SE が提供する標準的なユーザー認証用の API です。JAAS の API によるユーザー認証を JAAS

認証といいます。

SOAP

分散ネットワーク環境の中で XML ベースの情報を交換するために使用する通信プロトコルの名称で

す。

SOAP アプリケーション

SOAP および WSDL の技術を利用して開発し,ネットワークを利用して公開,実行できるアプリ

ケーションのことをいいます。SOAP アプリケーションでは,クライアント側に実装された処理に

よって,SOAP サービスを呼び出し,提供されるサービスを利用します。

SOAP アプリケーション開発支援機能

Cosminexus が提供する,SOAP アプリケーションを開発するための機能です。SOAP アプリケー

ション開発支援機能では,ウィザードを使用しながら SOAP アプリケーションを開発できます。

SOAP サービス

SOAP アプリケーションを形成するプログラムのうち,サーバ側に配置して,クライアントから要

求された処理を実行するプログラム(サービス)のことをいいます。

SOAP 通信基盤

Cosminexus が提供する,SOAP アプリケーションを実行し,SOAP による通信を実現するための

環境です。

SOAP ヘッダ

SOAP メッセージの要素です。SOAP ヘッダでは,メッセージ処理のあて先,およびメッセージ処

理が必要かどうかを指定します。

SOAP ボディ

SOAP メッセージの要素です。SOAP ボディに送信するメッセージの内容を記述します。

SOAP メッセージ

SOAP プロトコルでオブジェクト間の送受信に使用するメッセージです。SOAP メッセージは,

SOAP エンベロープ,SOAP ヘッダ,および SOAP ボディという要素で構成されます。

Web サービス

Web 関連の技術を利用して,ネットワークを介して提供されるサービスです。Web サービスの基礎

170

付録 D 用語解説

となる技術には,SOAP,WSDL,および UDDI などがあります。

Web サービスセキュリティ

このマニュアルでは,WS-Security 仕様に基づいた,SOAP メッセージに対するセキュリティ技術

を Web サービスセキュリティと呼びます。

Web サービスセキュリティ機能

Cosminexus が提供する,Web サービスセキュリティを実現するための機能です。Web サービスセ

キュリティ機能は,Cosminexus Web Services - Security が提供する定義ファイルを設定することに

よって,使用できます。

Web サービスセキュリティ機能定義ファイル

Cosminexus が提供する Web サービスセキュリティ機能の詳細を定義するための XML ファイルで

す。Web サービスセキュリティ機能定義ファイルは,サーバとクライアントの両方に配置します。

Web サービスセキュリティポリシー定義ファイル

Web サービスセキュリティ機能を使用する場合に従うポリシーを定義するための XML ファイルで

す。Web サービスセキュリティポリシー定義ファイルは,サーバとクライアントの両方に配置しま

す。

WS-Security

OASIS が規定している,Web サービスのセキュリティに関する仕様書です。WS-Security は,

XML セキュリティの技術を利用しています。

XML セキュリティ

このマニュアルでは,W3C が規定している XML 署名および XML 暗号を総称して XML セキュリ

ティと呼びます。

(カ行)

環境設定ファイル

サーバやクライアントの実行環境に合わせて,必要な設定を変更するためのプロパティファイルで

す。環境設定ファイルには,キーストアファイルや証明書ファイルの格納場所などを記述します。

共通鍵

共通鍵暗号で使用する,決められた 2 者間だけで共有する鍵(secret key)です。共通鍵暗号では,

共通鍵でデータを復号化します。共通鍵は,決められた 2 者が安全に管理します。

公開鍵

公開鍵暗号で使用する,データの暗号化または電子署名を検証するのための鍵です。公開鍵は,通

常ネットワーク上などで公開されています。データを暗号化して送信する場合,送信者は受信者の

公開鍵を使用してデータを暗号化します。また,受信した電子署名を検証する場合は,受信者は送

信者の公開鍵を使用して電子署名を検証します。

コマンドライン Java アプリケーション

コマンドラインから起動して使用する Java アプリケーションです。

171

付録 D 用語解説

(サ行)

証明書

オープンな企業情報システム上で情報をやり取りするときに,通信相手が本人であることを証明す

るための電子的な情報です。暗号技術を用いることで,他人が成り済ますことができないように

なっています。Web サービスセキュリティ機能では,X.509 証明書を扱えます。

セキュリティトークン要素

WS-Security で規定されている,セキュリティトークンに関する要素です。Web サービスセキュリ

ティ機能で扱うセキュリティトークン要素は,UsernameToken 要素と BinarySecurityToken 要素

です。

セキュリティヘッダ

SOAP ヘッダに含まれる wsse:Security という名称の要素です。セキュリティヘッダはセキュリ

ティ要素で構成されます。

セキュリティ要素

SOAP メッセージに含まれる,セキュリティに関する要素です。このマニュアルでは,セキュリ

ティトークン要素,署名要素,暗号化要素などを総称してセキュリティ要素と呼びます。

(タ行)

デプロイ定義ファイル

Web サービスセキュリティ機能を利用するために必要な情報を読み込む処理を定義する XML ファ

イルです。デプロイ定義ファイルには,サーバ用のファイルとクライアント用のファイルの 2 種類

があります。

(ハ行)

秘密鍵

公開鍵暗号で使用する,データの復号化または電子署名を作成するのための鍵(private key)です。

非公開鍵ともいいます。秘密鍵は,その所有者が安全に管理します。

暗号化されたデータを受信した場合,受信者は自分の秘密鍵を使用してデータを復号化します。ま

た,送信するデータに電子署名を付加する場合は,送信者は自分の秘密鍵を使用し電子署名を作成

します。

172

索引

A

AES-128

123

AES-128 鍵ラッピング(128bit 鍵)

123

AES-192

123

AES-192 鍵ラッピング

123

AES-256

123

AES-256 鍵ラッピング(256bit 鍵)

123

AuthenticationConfig

151

AuthnMethod

151

AuthorityCertificateFile

162

AuthorityCertificateLocationList

161

B base64(エンコード)

122

base64(変換アルゴリズム)

122

BinarySecurityTokenConfig

137

,

160

BindingConfig

132

C

Callback オブジェクトの生成について

33

CanonicalizationMethod

139

,

163

CanonicalizationMethodList

163

CanonicalizeParam

139

Canonical XML(コメント付き)

122

Canonical XML(コメントなし)

122

Certificate

133

ConfigurationIndex

152

ContentsDecryption

166

ContentsEncryption

144

Created

159

,

168

D

DecryptionConfig

153

,

166

DecryptionKeyLocationList

153

DecryptionMethod

167

DecryptionMethodList

166

DecryptionPolicyConfig

165

DecryptionSecretKeyLocationList

154

DecryptionTarget

165

Diffie-Hellman Key Agreement

123

Diffie-Hellman Key Values

123

DirectReference

143

DSAwithSHA1

122

E

EncryptionConfig

144

EncryptionMethod

145

EncryptionTarget

145

Enveloped Signature

123

Exclusive Canonical XML(コメント付き)

122

Exclusive Canonical XML(コメントなし)

122

Expires

147

,

168

F

FaultActor

89

FaultCode

89

, 114

FaultDetails

89

FaultString

89

Fresh-Time-Limit

156

G getCreated

75

getId

70

getMessage

78

getNonce

74

getPassword

68

getPasswordType

72

getRole

60

getUsername

66

getWSSElementProxy(実装クラスから生

成)

55

getWSSElementProxy(スタブクラスから

生成)

51

getWSSElementProxy(メッセージクラス

から生成)

53

173

索引 getWSSUsernameToken

57

GlobalConfig

155

H

HMAC-SHA1

122

J

JAAS〔用語解説〕

170

JAAS 認証

170

JAAS ログインモジュールの実装時の注意

33

K

KDCGA0001-E

86

KDCGA9000-E

86

KDCGA で始まるメッセージ

86

KDCGC0001-E

87

KDCGC0002-E

87

KDCGC0003-W

88

KDCGC0004-W

88

KDCGC で始まるメッセージ

87

KDCGF0001-E

90

KDCGF0002-E

91

KDCGF0003-E

92

KDCGF0004-E

93

KDCGF0005-E

94

KDCGF0006-E

94

KDCGF0007-E

95

KDCGF0008-E

95

KDCGF0009-E

96

KDCGF で始まるメッセージ

89

KDCGJ0001-E

98

KDCGK0001-I

99

KDCGK0010-E

99

KDCGK0011-E

100

KDCGK0012-E

100

KDCGK0013-E

101

KDCGK0100-E

101

KDCGK0101-E

101

KDCGK9000-E

102

KDCGK で始まるメッセージ

99

KDCGO0001-I

102

KDCGO0002-E

102

KDCGO0010-E

102

KDCGO0011-E

103

KDCGO0012-E

103

KDCGO9000-E

104

KDCGO で始まるメッセージ

102

KDCGP0001-E

104

KDCGP0002-E

104

KDCGP1001-E

105

KDCGP1002-E

105

KDCGP1003-E

106

KDCGP1004-E

106

KDCGP9000-E

106

KDCGP で始まるメッセージ

104

KDCGS0001-E

107

KDCGS0004-E

108

KDCGS0005-E

108

KDCGS0007-E

109

KDCGS0008-E

109

KDCGS0009-E

110

KDCGS0010-E

110

KDCGS0011-E

111

KDCGS0012-E

111

KDCGS0013-E

111

KDCGS0014-E

112

KDCGS0015-E

112

KDCGS1002-E

113

KDCGS1003-E

113

KDCGS9000-E

114

KDCGS で始まるメッセージ

107

KDCGW0001-E

115

KDCGW0002-E

116

KDCGW0003-E

116

KDCGW9000-E

117

KDCGW で始まるメッセージ

114

KeyDecryption

167

KeyEncryption

145

KeyEncryptionKey

146

KeyIdentifier

143

KeyLocator

132

KeyReferenceConfig

142

KeyStore

133

174

索引

L

LoginContext

152

M

Max-Clock-Skew

155

N newWSSElementProxy(実装クラスから生

成)

50

newWSSElementProxy(スタブクラスから

生成)

46

newWSSElementProxy(メッセージクラス

から生成)

48

Nonce

159

P

Password

148

PolicyConfig

154

PrivateKey

134

R

ReceiverPortConfig

150

,

157

removeWSSUsernameToken

59

RequestReceiverConfig

149

,

156

RequestSenderConfig

135

ResponseReceiverConfig

154

,

169

ResponseSenderConfig

149

RoleConfig

136

RSA-OAEP

123

RSA-v1.5

123

RSAwithSHA1

122

S

SecretKeyFile

134

SecretKeyLocationList

134

SecurityConfig

131

SecurityTokenConfig

158

SenderPortConfig

135

setId

71

setPassword

69

setPasswordType

73

setRole

61

setUsername

67

setWSSUsernameToken

58

SHA1

122

SignatureConfig

138

SignatureKey

142

SignatureKeyInfo

142

SignatureMethod

140 ,

163

SignatureMethodList

162

SignatureTarget

140

,

164

SOAP〔用語解説〕

170

SOAPFault 形式

89

SOAP アプリケーション〔用語解説〕

170

SOAP アプリケーション開発支援機能〔用語

解説〕

170

SOAP サービス〔用語解説〕

170

SOAP 通信基盤〔用語解説〕

170

SOAP ヘッダ〔用語解説〕

170

SOAP ボディ〔用語解説〕

170

SOAP メッセージ〔用語解説〕

170

STR Dereference

123

T

TimestampConfig

146

,

167

Timestamp 要素を使用する場合

25

TokenValidation

160

Transform

141

TransformMethod

164

TransformMethodList

164

TransformParam

141

Triple DES

123

TRIPLEDES 鍵ラッピング

123

U

Username

148

UsernameTokenAuthnConfig

151

UsernameTokenConfig

147

,

158

V

VerificationConfig

152

,

162

VerificationKeyLocationList

152

175

索引

VerificationKeyStore

153

W

Web サービス〔用語解説〕

170

Web サービスセキュリティ〔用語解説〕

171

Web サービスセキュリティ機能〔用語解説〕

171

Webサービスセキュリティ機能定義ファイル

12

Web サービスセキュリティ機能定義ファイル

〔用語解説〕

171

Web サービスセキュリティ機能定義ファイル

の運用について

25

Web サービスセキュリティ機能の実装手順

30

Web サービスセキュリティと SOAP との関

2

Web サービスセキュリティと XML セキュリ

ティとの関係

2

Web サービスセキュリティとは

2

Web サービスセキュリティポリシー定義ファ

イル

13

Web サービスセキュリティポリシー定義ファ

イル〔用語解説〕

171

Web サービスセキュリティポリシー定義ファ

イルの運用について

25

WS-Security〔用語解説〕

171

WSSElementProxyFactory クラス(セキュ

リティ項目操作クラスの生成)

45

WSSElementProxy クラス(セキュリティ項

目の操作)

56

WSSException クラス(例外情報の取得)

77

WSSUsernameToken.PasswordType インタ

フェース(PasswordType 要素の操作)

76

WSSUsernameToken クラス

(UsernameToken 要素の操作)

62

X

X509TokenValidation

161

XML Decryption Transformation

123

XML セキュリティ〔用語解説〕

171

XPath

122

XPath Filter 2.0

122

XSLT

122

暗号化 / 復号化機能を設定する

18

暗号化する個所を ID 属性で指定する

20

暗号化する個所をパート名で指定する

19

移行手順〔クライアント側が Web アプリ

ケーションの場合〕

127

移行手順〔クライアント側がコマンドライン

Java アプリケーションの場合〕

127

移行手順〔サーバ側の場合〕

125

インタフェースおよびクラスの一覧

44

開発に必要な製品

6

環境設定ファイル〔用語解説〕

171

環境設定ファイルの記述規則

27

環境設定ファイルの設定項目

27

完全性

3

共通鍵〔用語解説〕

171

共通鍵生成コマンド

(CWSSCreateSecretKey)

38

クライアント側が Web アプリケーションの

場合の実装手順

32

クライアント側がコマンドライン Java アプ

リケーションの場合の実装手順

33

公開鍵〔用語解説〕

171

コマンドライン Java アプリケーション〔用

語解説〕

171

コンストラクタ

64

176

サーバ側の実装手順

30

サポート範囲

WS-Security 仕様

120

XML 暗号標準仕様

123

XML 署名標準仕様

122

実行環境に合わせて設定を変更する

27

実行に必要な製品

8

出力先

84

出力のタイミング

84

証明書〔用語解説〕

172

署名付与 / 検証機能を設定する

15

署名を付与する個所を ID 属性で指定する

17

署名を付与する個所をパート名で指定する

17

セキュリティ機能を組み合わせて使用する場

25

セキュリティトークン要素〔用語解説〕

172

セキュリティヘッダ

172

セキュリティ要素〔用語解説〕

172

前提 OS

開発時

6

実行時

8

前提プログラム

開発時

6

実行時

9

定義ファイル構文チェックコマンド

(CWSSConfCheck)

40

定義ファイルに関する注意事項

25

定義ファイルの構文をチェックする

24

定義ファイルの設定

12

定義ファイルを編集する

125

デプロイ定義ファイル〔用語解説〕

172

トレースの重要度

81

トレースの出力先

81

トレースの内容

80

トレースを収集する

80

認証

3

認証機能を設定する

21

秘匿性

3

秘密鍵〔用語解説〕

172

プレフィックス

84

プログラム構成例

開発時

6

実行時

9

メッセージ

83

形式

84

内容

86

メッセージ ID

84

メッセージ種別

85

メッセージに有効期限を設定する

23

ログイン構成ファイルの配置について

34

索引

177

ソフトウェアマニュアルのサービス ご案内

1.マニュアル情報ホームページ

ソフトウェアマニュアルの情報をインターネットで公開しています。

URL http://www.hitachi.co.jp/soft/manual/

ホームページのメニューは次のとおりです。

■マニュアル一覧

■CD-ROMマニュアル

日立コンピュータ製品マニュアルを製品カテゴリ,マニュアル名称,資料番号の

いずれかから検索できます。

日立ソフトウェアマニュアルと製品群別CD-ROMマニュアルの仕様について記載

■マニュアルのご購入

しています。

マニュアルご購入時のお申し込み方法を記載しています。

■オンラインマニュアル 一部製品のマニュアルをインターネットで公開しています。

■サポートサービス ソフトウェアサポートサービスお客様向けページでのマニュアル公開サービス

を記載しています。

■ご意見・お問い合わせ マニュアルに関するご意見,ご要望をお寄せください。

2.インターネットでのマニュアル公開

2 種類のマニュアル公開サービスを実施しています。

(1) マニュアル情報ホームページ「オンラインマニュアル」での公開

製品をよりご理解いただくためのご参考として,一部製品のマニュアルを公開しています。

(2) ソフトウェアサポートサービスお客様向けページでのマニュアル公開

ソフトウェアサポートサービスご契約のお客様向けにマニュアルを公開しています。公開しているマニ

ュアルの一覧,本サービスの対象となる契約の種別などはマニュアル情報ホームページの「サポートサ

ービス」をご参照ください。

3.マニュアルのご注文

WEB

①ご注文はWEBで

請求書

② 請求書をご送付

B A N K

③ 銀行振込でご入金

お客様

日立インターメディックス(株)

④ マニュアルをお届け

マニュアル

① マニュアル情報ホームページの「マニュアルのご購入」にアクセスし,お申し込み方法をご確認の

うえ WEB からご注文ください。ご注文先は日立インターメディックス(株)となります。

② ご注文いただいたマニュアルについて請求書をお送りします。

③ 請求書の金額を指定銀行へ振り込んでください。

④ 入金確認後 7 日以内にお届けします。在庫切れの場合は,納期を別途ご案内いたします。

広告

主な特徴

  • SOAP メッセージの完全性を保証する
  • SOAP メッセージの秘匿性を保証する
  • SOAP メッセージの認証をサポート
  • XML 署名・暗号処理機能を提供する
  • JAAS を使用した認証方式をサポートする
  • SOAP メッセージに有効期限を設定する

よくある質問と回答

Web サービスセキュリティ機能を使用するために,どのような設定が必要ですか?
Web サービスセキュリティ機能を使用するためには,Web サービスセキュリティ機能定義ファイル(security-config.xml)と Web サービスセキュリティポリシー定義ファイル(policy-config.xml)の二つに設定する必要があります。
どのようなコマンドがあるのですか?
Web サービスセキュリティ機能が提供するコマンドには,共通鍵生成コマンド(CWSSCreateSecretKey)と定義ファイル構文チェックコマンド(CWSSConfCheck)があります。
Web サービスセキュリティ機能をサーバ側に実装する場合,どのような手順が必要ですか?
Web サービスセキュリティ機能をサーバ側に実装する手順は,デプロイ定義ファイルにセキュリティ情報を付加し,ユーザー作成のプログラムを実装し,WAR ファイルを作成する必要があります。

関連マニュアル

ダウンロード PDF

広告