Interstage Application Server セキュリティシステム運用ガイド

目次 索引

19.2.1.3 SOAP電子署名付加の設定

　SOAP電子署名付加の設定をするには、Webサービス情報編集ツールを使用します。

　以下にサーバシステム環境で表示される詳細情報を表示した画面を示します。
　なおここでは、RPCアプリケーションの画面を例に説明します。

• Webサービス識別名
  Webサービスの識別名を入力します。
  Webサービス識別名の指定方法については、“SOAPサービス ユーザーズガイド”の“Webサービス情報の管理”の“Webサービス識別名とURL”を参照してください。

• [サーバ機能]：レスポンス送信設定：SOAP署名付加
• [クライアント機能]：リクエスト送信設定：SOAP署名付加
  SOAPメッセージのリクエスト / レスポンス送信時にSOAP電子署名の付加の有無を設定します。
  デフォルト値は“しない”です。

• [サーバ機能]：レスポンス送信設定： “詳細”ボタン
• [クライアント機能]：リクエスト送信設定：“詳細”ボタン
  SOAP電子署名付加設定の“詳細”/“標準”切り替えを行うボタンです。
  上図は、“詳細”ボタンを押下した状態です。
  • SOAP署名対象
    署名の対象を指定します。
    署名対象のXMLタグに、ID属性が付いている場合やAttachmentデータ(添付ファイル)を署名する場合、"URI/ID"を選択して署名対象を記述します。
    XPathを使用して署名対象を指定する場合、"XPath"を選択して署名対象を記述します。
    署名対象の指定方法については、“署名対象の指定方法”を参照してください。
  • XPath
    署名対象の指定方式を設定します。設定方法は"XPath"もしくは"URI/ID"の2択です。デフォルトは"XPath"です。
  • “追加”ボタン
    “署名対象”は任意個指定が可能です。2箇所以上に署名する場合、“追加”ボタンを押下し、署名対象を追加してください。

• [サーバ機能]リクエスト送信設定：宛先role(actor)名指定
• [クライアント機能]レスポンス送信設定：宛先role(actor)名指定
  SOAPメッセージの中継者(intermediary)に何らかの処理を行わせたい場合に、中継者のURIを指定します。省略した場合には、SOAPメッセージの最終到達者(ultimate destination)に対する振る舞いを指定していることになります。

• [サーバ機能]リクエスト送信設定：mustUnderstand
• [クライアント機能]レスポンス送信設定：mustUnderstand
  SOAPメッセージの受信者がヘッダ中の要素を必ず処理しなければならないのか、選択可能であるのかを指定します。
  デフォルトは“処理を行う必要なし”です。

• Webサービス情報編集ツールでSOAP電子署名の付加機能を有効にすると、設定した内容に基づき送信するSOAPメッセージに対して自動的にSOAP電子署名を付加します。
• 詳細を設定しない場合、SOAPメッセージのSOAPボディ要素に記載した内容からコメントを削除し、XML正規化(canonicalization)した結果に対して署名します。
• SOAP電子署名付加については、soapsecsignconfコマンドを使用しても設定可能です。soapsecsignconfコマンドについては、“リファレンスマニュアル(コマンド編)”を参照してください。

■署名対象の指定方法

　SOAP電子署名では、以下の2種類を署名対象とすることが可能です。

• SOAPエンベロープ内部の任意のノード
  • IDによる指定
  • XPathによる指定
• Attachmentデータ(添付ファイル)
  • Content-Idによる指定

●IDによる署名対象の指定

　SAAJ-APIを使用してSOAPメッセージを付加した場合、署名対象となる要素にID型の属性を追加しておくことが可能です。SOAP電子署名では、以下の属性をID型とみなします。

　ID型の属性を持つ要素を署名対象とする場合、署名対象を"#"(シャープ文字)の後ろにID型の属性値を指定します。

 <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"
        xmlns:xsd="http://www.w3.org/2001/XMLSchema"
        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
   <soapenv:Body xmlns:wsu="http:// schemas.xmlsoap.org/ws/2002/07/utility" wsu:Id="body">
     <m:ResponseBody xmlns:m="urn:SampleMsg">
       <Response>response string...</Response>
     </m:ResponseBody>
   </soapenv:Body>
 </soapenv:Envelope>

　上記SOAPメッセージに対して署名対象として"#body"を指定すると、<soapenv:Body>およびその内容が署名対象となります。

●XPathによる署名対象の指定

　XPath指定の場合、SOAPエンベロープ内すべてのノードに対してXPath式を評価した結果が真となるノードが署名対象となります。

●SOAPボディの内容を署名対象とする場合の指定方法

　SOAPボディのみをSOAP電子署名の署名対象とする場合には、以下のように指定します。

　ここで、"soapenv"はSOAPBodyの名前空間プレフィックスを表します。プレフィックスを変更した場合、XPathで指定する場合にもその値を指定する必要があります。

●任意の要素を署名対象とする場合の指定方法

　"urn:sample"という名前空間URIと"localName"という名前を持つ要素をSOAP電子署名の署名対象とする場合、以下のように指定します。

●Content-Idによる署名対象の指定

　SOAPメッセージに含まれる添付ファイル(Attachmentデータ)をSOAP電子署名の署名対象とする場合、署名対象として、"cid:"の後ろにMIMEヘッダ"Content-Id"の値を続けた文字列で指定します。

目次 索引