検索
連載

XML鍵管理サービス(XKMS)とXMLプロトコル(SOAP)Webサービスのセキュリティ(3)(2/2 ページ)

PC用表示 関連情報
Share
Tweet
LINE
Hatena
前のページへ |       

SOAP(Simple Object Access Protocol)

 SOAP 1.2はWebサービスのためのXMLプロトコル(XMLP)の1つに位置付けられ、W3Cでメッセージングのエンベロープを定めたプロトコルとして現在策定中である*5。前身であるSOAP 1.1*6ノートのステータスでW3Cの正式な勧告ではない。ここではSOAP 1.2に沿ってWebサービス・セキュリティプロトコルのエンベロープとしての役割を簡単に見ておくことにする。SOAP 1.2の仕様の詳細についてはW3CのWebサイトを参照のこと*7

 SOAPはメッセージングのエンベロープの仕様を定めているものであるが、Webサービスのプロトコルとして、要求/応答をRPC(Remote Procedure Call)とする手順も規定している。SOAP自身は特定のトランスポートを定めていない。実際のトランスポートとしてはHTTPなどが想定されている。すなわち、SOAP over HTTPとしてGETやPOSTのプロトコルでSOAPエンベロープがRPCメッセージとして使われることになる。今回述べたXKMSや次回に述べるSAMLやXACMLも、SOAPにエンベロープを使ったHTTPでRPC通信が行われることになる。SOAPエンベロープの構造は図11に示すようにHeader要素とBody要素からなる。

図11 SOAPメッセージ
図11 SOAPメッセージ

 Headerブロックはオプションで用いない場合もあるが、Bodyブロックは必ず存在する。Headerブロックはメッセージパスの中間ノードに対する指示や最終ノードに対する指示で、アプリケーションに依存する。

 SOAPメッセージは2つの伝達形式がある。1つは、メッセージの送信者が受信者に一方的にメッセージを送り付けるもので、受信者は処理のステータスを戻さない形式である(Fire and Forget)。もう1つは、要求と応答のプロトコルでメッセージ交換に用いられるものとパラメータを指定してリモートのプロシージャやメソッドを呼び出すRPCがある。RPCの場合、Headerブロックなしで、直接Bodyにパラメータを指定する。

 XKMSや次回に述べるSAMLやXACMLの多くのプロトコルがSOAP RPCを用いた要求/応答のプロトコルを用いている。

●トランスポート・プロトコル

 SOAP自身は特定のトランスポート・プロトコルを想定していないが、Webサービスのトランスポート・プロトコルとしてはHTTPが用いられる。リモートのプロシージャとしてURIを指定し、パラメータを与え、処理の状態と結果を要求する。

 HTTPをSOAPにバインディングする方法として、HTTP GETとHTTP POSTの2つの方法がある。前者はSOAPの応答を要求する場合に用いられ、後者は要求と応答の双方にSOAPを使うRPCに用いられる。XKMSやSAMLなどの要求と応答のプロトコルはSOAPの<Body>に埋められる。以下の例はこれらのセキュリティプロトコルをSOAPにバインドし、これをHTTP POSTで呼び出す例である。

図11 RPC呼び出し例
図11 RPC呼び出し例
図12 RPC応答例
図12 RPC応答例

 今回はXKMSの機能について詳しく見てきた。W3CのXKMSのWebサイト*8には、XKMSテストのためのPublic Code & ToolkitsとしてEntrustやVeriSignなどの参照コードやライブラリが示されている。今回はまた、これらのプロトコルをSOAPにバインドし、さらにHTTPのトランスポートに乗せる方法についても簡単に述べた。次回は、広いインターネットドメインでのシングルサインオンやアクセス制御を行うためのSAMLについて述べることにする。さらに第5回では、SAMLの上で柔軟で拡張性のある認可サービスを提供するXACMLについて述べる。

第4回」へ


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  4. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  5. 英国政府機関が取締役にサイバーリスクを「明確に伝える」ヒントを紹介
  6. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  7. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  8. 「Amazonプライム感謝祭」に関するフィッシング攻撃を確認、注意すべき7つのポイントとは チェック・ポイント・ソフトウェア・テクノロジーズ
  9. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  10. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
ページトップに戻る