本製品からのWebサービス呼び出し（プロビジョニングおよびプロセス統合など）または本製品に送信されるWebサービス呼び出しは、SSLでセキュリティ保護することができます。トランスポートレベルで認証および暗号化を行うためにSSLが使用されます。

すべてのHTTPS接続には、クライアントとサーバが必要です。呼び出し方向によって、本製品はサーバ（Systemwalker Service Catalog ManagerへのWebサービス呼び出し）またはクライアント（Systemwalker Service Catalog ManagerからのWebサービス呼び出し）の役割を果たすことができます。

クライアントは認証データをサーバに提供する必要があります。以下の2つのオプションがあります。

• Basic認証による認証：

  呼び出し側がキーとパスワードを送信します。[プロフィールの編集]ページの管理ポータルでユーザーキーを参照できます。この認証メカニズムは、証明書には関係しません。

  Basic認証を使用する場合、WebサービスへのアクセスはSSL／TLS通信およびHTTPSに制限する必要があります。Systemwalker Service Catalog Manager APIはJNDIルックアップでアクセスできるため、外部からのJNDIルックアップをブロックするようにネットワークのファイアーウォールを設定します。

• 証明書による認証：

  呼び出し元は、サーバに証明書を提供します。この場合、以下の要件を満たす必要があります。

  • クライアント証明書の識別名（DN）は対応する組織に設定・保存されるDNに一致する必要があります。

  • サーバはクライアントの証明書を信頼する必要があります。トラストストアには、クライアントが提示する証明書への有効な署名チェーン付きの証明書が含まれている必要があります。

エンティティのIDを証明するためにX.509証明書を使用します。サーバのID、さらにはクライアントのIDを証明するために、この証明書が常に使用されます。

証明書には、通常証明書の所有者を特定する対象、および証明書の署名者が含まれています。また、証明書には有効期間も含まれます。暗号アルゴリズムによって、証明書に含まれる情報が証明書の署名を解読せずには変更できないようになっています。

キーと値の組み合わせのリストで構成される識別名（DN）によって、対象と発行者が与えられています。標準化キーの一つは共通名（CN）と呼ばれます。CNはHTTPSサーバにとって特に重要です。CNにはサーバのドメインを含める必要があります。含まれていない場合には、クライアントが接続を拒否します。

別のエンティティの証明書を発行するプロセスを署名と呼びます。証明書は常に特定のルート証明書までのチェーンを形成します。ルート証明書では、対象と発行者が唯一かつ同一のエンティティです。このような証明書は「自己署名」証明書と呼ばれます。

証明書に署名するか、誰かが証明書の所有者であることを証明するには、対応する秘密キーを所有している必要があります。証明書は他人に配布できますが、秘密キーの秘密を守るために特に注意する必要があります。

各クライアントとサーバには、キーストアとトラストストアが含まれることがあります。キーストアは対応する秘密キーとともに証明書を保持するために使用されます。これは、キーストアがIDの証明または証明書の署名のために使用されることを意味します。トラストストアには、他のエンティティの公開証明書が含まれます。