このセクションの内容:

認証、暗号化、アクセス制御に関して、万全なセキュリティ対策を取ることを支援するために、SOAtest は業界標準の WS-Security 仕様を完全にサポートする広範なセキュリティ ツールとオプションを備えています。 

WS-Security テスト スイートを使ったこの演習では、暗号化/復号化、デジタル署名、および SOAP ヘッダーの追加について説明します。以下は、SOAtest がサポートする主要なセキュリティ ツールとオプションです。

  • XML Encryption ツール: XML Encryption ツールを使用すると、Triple DES、AES 128、AES 192、 AES 256 を使って、メッセージの全部または一部を暗号化/復号化することができます。WS-Security モードでは、バイナリ セキュリティ トークン、X509IssuerSerial、およびキー識別子がサポートされます。
  • XML Signer ツール: XML Signer ツールを使用すると、ニーズに合わせてメッセージの全部または一部をデジタル署名することができます。時には、文書の一部にデジタル署名し、残りの部分は暗号化することが重要な場合もあります。
  • XML Signature Verifier ツール: XML Signature Verifier ツールを使用すると、キー ストア ファイルに保管された公開鍵と秘密鍵を使ってデジタル署名された文書を検証することができます。
  • キー ストア: SOAtest でキー ストアを使用すると、キー ストア ファイルに保管された公開鍵と秘密鍵を使ってデジタル署名された文書を暗号化/復号化することができます。JKS、PKCS12、BKS、PEM、および UBER 形式のキー ストアを使用できます。
  • ユーザー名トークン、SAML トークン、X509 トークン、カスタム ヘッダー: SOAtest は、カスタム SOAP ヘッダーの送信と、ユーザー名トークンおよび SAML トークンのテンプレートをインクルードします。

この演習が完了すると、 SOAtestTutorial.tst ファイルの "WS-Security" に似たテスト スイートが完成するはずです。

Unlimited Strength Java Cryptography Extension

重要: XML Signature Verifier、XML Signer、XML Encryption ツールを使ってセキュリティ テストを実行するためには、あるいはキー ストアを使用している場合は、Unlimited Strength Java Cryptography Extension をダウンロードしてインストールする必要があります。詳細については 「JCE 前提条件」 を参照してください。

メッセージ レイヤー セキュリティと SOAP ヘッダー

この演習では、書店 Web サービスを使用します。この書店サービスでは、WS-Security の仕様に従って、SOAP ヘッダー要素内でユーザー名とパスワードをサブミットする必要があります。SOAtest には、カスタム ヘッダーを追加する機能が用意されているほか、ユーザー名トークンと SAML トークンを作成するための定義済みテンプレートも用意されています。以下の演習ではユーザー名トークンを使用します。

  1. 前の演習で作成したプロジェクトを右クリックし、ショートカット メニューから [新規追加] > [テスト (.tst) スイート] を選択します。
  2. ファイル名を入力し、[次へ] をクリックします。
  3. [空] を選択して [終了] をクリックします。空のテスト スイート フォルダーが作成されます。
  4. 追加された新しい テスト スイート: テスト スイート ノードをダブルクリックします。
  5. 右側の設定パネルで、[名前] フィールドに WS-Security と入力します。
  6. [保存] ボタンをクリックして WS-Security テスト スイートを保存します。
  7. 機能テストの演習で追加した Excel: Books データ ソースをコピーし、このテスト スイートに貼り付けます。
  8. テスト スイート: WS-Security ノードを選択し、[テスト スイートの追加] ボタンをクリックします。



  9. [空] を選択して [終了] をクリックします。空のテスト スイート フォルダーが作成されます。
  10. テスト スイートをダブルクリックしてエディターを開き、テスト スイートの名前を Username Tokens にします。
  11. [保存] ボタンをクリックして Username Tokens テスト スイートを保存します。
  12. テスト スイート: Username Tokens ノードを選択し、[テストまたは出力の追加] ボタンをクリックします。



  13. [テストの追加] ウィザードで、左側ペインから 標準テスト を選択し、右側ペインから SOAP Client を選択して [終了] をクリックします。テスト スイートに SOAP Client ツールが追加されます。
  14. テスト スイート: Username Tokens ノードの下の テスト 1: SOAP Client をダブルクリックします。
  15. 以下の操作を行って、SOAP Client ツールを設定します。
    1. [名前] フィールドに SOAP Client - getItemByTitle operation と入力します。
    2. [WSDL] タブを開き、[WSDL URI] フィールドに以下を入力します。
      http://localhost:8080/parabank/services/store-wss-01?wsdl



    3. [リクエスト] タブを開き、[操作] ドロップダウン メニューから getItemByTitle を選択します。
    4. titleKeyword 要素を確認し、[パラメータライズ] の値として Keywords を選択します。



  16. ツールバーの [保存] ボタンをクリックして変更を保存します。
  17. ツールバーの [テスト] ボタンをクリックしてテストを実行します。必要なセキュリティ ヘッダーがないため、テストが失敗することが分かります。

必要な SOAP ヘッダーを追加するために、以下の操作を行います。

  1. テスト 1: SOAP Client - getItemByTitle operation ノードをダブルクリックします。
  2. ツールの設定パネルで [SOAP ヘッダー] タブを開き、[追加] ボタンをクリックします。[新規 SOAP ヘッダーの追加] ダイアログが表示されます。
  3. WS-Security を選択して [OK] をクリックします。



  4. SOAP ヘッダーのテーブルに追加された新しいエントリをダブルクリックします。ダイアログが表示されます。
  5. [タイムスタンプ] タブで [タイムスタンプの送信] チェックボックスをオフにします。
  6. [ユーザー名トークン] タブを開き、以下の設定を行います。
    1. [wsse:Username] フィールドに soatest と入力します。
    2. [wsse:Password] フィールドに soatest と入力します。



  7. [OK] をクリックします。
  8. ツールバーの [保存] ボタンをクリックして変更を保存します。
  9. ツールバーの [テスト] ボタンをクリックしてテストを実行します。今回はテストが成功します。
  10. Traffic Viewer ノードをダブルクリックし、リクエストで送信された SOAP ヘッダーを参照し、指定した書籍についての情報をサービスが返したことを検証します。
  11. 今後サーバー レスポンスでのあらゆる変更を警告する回帰コントロールを作成するために、テスト 1: SOAP Client - getItemByTitleOperation を右クリックし、ショートカット メニューから [回帰コントロールの作成/更新] を選択します。
  12. [レスポンス検証] ウィザードで、[回帰コントロールの作成] > [複数のコントロールを作成] を選択し、[終了] をクリックします。

さらに数回テストを実行した場合、テストは失敗します。なぜなら、price 要素が変わったからです。これまでの演習のステップに従って、動的に変化する price の値を無視してくだい。

XML Encryption ツールの使用

この演習では、前の演習で使用したサービスに似た書店サービスを使用します。この書店サービスは以下の点が異なります。

  • リクエスト ボディは、examples\keystores ディレクトリにあるキーストア soatest.pfx を使って暗号化されなければなりません。
  • レスポンスも暗号化され、同じキーストアを使って復号化することができます。

まず、キーストアをセットアップする必要があります。

  1. テスト スイート: WS-Security ノードを選択し、ツールバーの [プロパティの追加] ボタンをクリックします。



  2. [グローバル プロパティのタイプを選択] ダイアログで、[グローバル キー ストア] を選択し、[終了] をクリックします。



  3. キー ストアの設定パネルで以下の操作を行って、キー ストアを設定します。
    1. [名前] フィールドに PKCS12 Keystore と入力します。
    2. [秘密鍵に同じキー ストアを使用] チェックボックスを必ずオンにします。
    3. [ファイル システム] ボタンをクリックし、キー ストア soatest.pfx の場所まで移動します。
      • Windows:C:\Program Files\Parasoft\SOAtest\[SOAtest version number]\examples\keystores
      • その他: [SOAtest installation directory]\examples\keystores
    4. [キー ストア パスワード] フィールドに security と入力します。
    5. [キー ストア タイプ] ドロップダウン メニューから PKCS12 を選択します。
    6. [ロード] ボタンをクリックします。



      キー ストア中の利用可能な証明書エイリアスのリストが [証明書エイリアス] に表示されます。
    7. [証明書エイリアス] フィールドで soatest を選択します。
    8. キー ストアの設定パネルの [秘密鍵] タブを開き、[ロード] をクリックします。
    9. [秘密鍵エイリアス] に soatest を選択し、[秘密鍵パスワード] に security と入力します。
  4. ツールバーの [保存] ボタンをクリックします。

ここまでの操作で、XML Encryption ツールを使ったテストをセットアップする準備ができました。より分かりやすくセキュリティ テストを編成するために、暗号化テストのためのフォルダーを新規に作成します。

  1. テスト スイート: WS-Security ノードを選択し、[テスト スイートの追加] ボタンをクリックします。



  2. [空] を選択して [終了] をクリックします。空のテスト スイート フォルダーが作成されます。
  3. 右側パネルの [名前] フィールドに Encryption/Decryption と入力します。
  4. ツールバーの [保存] ボタンをクリックします。
  5. テスト スイート: Encryption/Decryption ノードを選択し、[テストまたは出力の追加] ボタンをクリックします。



  6. 左側ペインから [標準テスト] を選択し、右側ペインから SOAP Client を選択して [終了] をクリックします。テスト スイートに SOAP Client ツールが追加されます。
  7. 以下の操作を行って、SOAP Client ツールを設定します。
    1. [名前] フィールドに SOAP Client - getItemByID operation と入力します。
    2. [WSDL] タブを開き、[WSDL URI] フィールドに以下を入力します。 
      http://localhost:8080/parabank/services/store-wss-03?wsdl
    3. [リクエスト] タブをクリックします。
    4. [操作] ドロップダウン メニューから getItemById を選択します。
    5. id 要素について、その [パラメータライズ] の値として ID を選択します。



  8. ツールバーの [保存] ボタンをクリックします。
  9. テスト 1: SOAP Client - getItemByID operation を右クリックし、ショートカット メニューから [出力の追加] を選択します。 [出力の追加] ウィザードが表示されます。
  10. 左側ペインから リクエスト > SOAP エンベロープ を選択し、右側ペインから XML Encryption を選択して [終了] をクリックします。Encryption Tool が SOAP Client に連結されます。
  11. 以下の操作を行って、リクエスト SOAP エンベロープ -> XML Encryption ツールを設定します。
    1. [暗号化] ラジオボタンが選択されていることを確認します。
    2. [WS-Security] チェックボックスがオンであることを確認します。
    3. [シンメトリック (ブロック暗号化)] ドロップダウン メニューから AES 256 を選択します。
    4. WS-Security ページを開き、[フォーム] ボックスで X509BinarySecurityToken が選択されていることを確認します。
    5. ターゲット要素 ページを開き、[SOAP ボディ/ドキュメント全体] チェックボックスがオンであることを確認します。この設定は XML ボディ要素を暗号化します。



      これで、リクエストがサービスに送られるときに、XML Request が暗号化されるように設定されました。
    6. ツールバーの [保存] ボタンをクリックして変更を保存します。

ここで、SOAP Client テストの XML Response に XML Encryption ツールを追加して、XML レスポンスを復号化できるようにすることができます。 

  1. テスト 1: SOAP Client - getItemByID operation を右クリックし、ショートカット メニューから [出力の追加] を選択します。 [出力の追加] ウィザードが表示されます。
  2. 左側ペインから レスポンス > SOAP エンベロープ を選択し、右側ペインから XML Encryption を選択して [終了] をクリックします。Encryption Tool が SOAP Client に連結されます。
  3. 以下の操作を行って、レスポンス SOAP エンベロープ -> XML Encryption ツールを設定します。
    1. [復号化] ラジオボタンを選択します。
    2. [キー ストア] ドロップダウン メニューから PKCS12 Keystore を選択します。



  4. ツールバーの [保存] ボタンをクリックして変更を保存します。
  5. ツールバーの [テスト] ボタンをクリックしてテストを実行します。
  6. Traffic Viewer ノードをダブルクリックして、暗号化されたデータを参照します。
  7. テスト 1: SOAP Client - getItemByID operation ノードを右クリックし、[回帰コントロールの作成/更新] を選択します。
  8. 表示されたダイアログで、[回帰コントロールの作成] > [複数のコントロールを作成] を選択し、[終了] をクリックします。



    回帰コントロールが作成され、レスポンス SOAP エンベロープ -> XML Encryption に自動的に連結されます。 復号化されたレスポンスが回帰コントロールに表示されることが分かります。

最後に、XML レスポンスからの動的な値を無視して、回帰コントロールが毎回失敗しないようにします。 

  1. XML Document -> Diff ノードをダブルクリックし、GUI 右側のパネルで以下の設定を行います。
    1. [Diff モード] を XML に設定します。
  2. [Diff モード] として [フォームXML] を選択します。[フォーム XML] タブが選択されると、リテラル XML ビューの値を上書きするかどうかを問い合わせるメッセージ ボックスが表示されます。[はい] をクリックします。
    1. price 要素を右クリックし、ショートカット メニューから [無視する XPath を設定] を選択します。[無視する XPath を設定] ダイアログが表示されます。[OK] をクリックして、price 要素の テキスト内容 への変更を無視します。
    2. CipherValue 要素について、前のステップを繰り返します。
    3. DataReference 要素を右クリックし、[無視する XPath を設定] を選択します。[無視する XPath を設定] ダイアログが表示されます。[属性] チェックボックスをオンにして、DataReference 要素の属性への変更を無視します。[OK] をクリックします。
    4. [リテラル XML] ボタンを選択してリテラル XML ビューに切り替えます。
    5. フォーム XML ビューの値を上書きするかどうかを問い合わせるメッセージ ボックスが表示されたら、[はい] をクリックします。
  3. ツールバーの [保存] ボタンをクリックして変更を保存します。
  4. ツールバーの [テスト] ボタンをクリックしてテストを実行します。

XML Signer ツールの使用

以下の演習では、書店サービスを使用します。この書店サービスは、キーストア soatest.pfx の証明書を使ってリクエスト ボディが署名されることを要求します。 このサービスからのレスポンスも署名され、同じキー ストアを使って検証することができます。この演習では、前の演習と同じキー ストア設定を使用します。

  1. テスト スイート: WS-Security ノードを選択し、[テスト スイートの追加] ボタンをクリックします。



  2. [空] を選択して [終了] をクリックします。空のテスト スイート フォルダーが作成されます。
  3. 右側パネルの [名前] フィールドに Sign/Verify と入力し、ツールバーの [保存] ボタンをクリックします。
  4. テスト スイート: Sign/Verify ノードを選択し、[テストまたは出力の追加] ボタンをクリックします。



  5. 左側ペインから 標準テスト を選択し、右側ペインから SOAP Client を選択して [終了] をクリックします。テスト スイートに SOAP Client ツールが追加されます。
  6. 以下の操作を行って、SOAP Client ツールを設定します。
    1. [名前] フィールドに SOAP Client - addItemtoCart operation と入力します。
    2. [WSDL] タブを開き、[WSDL URI] フィールドに以下を入力します。
      http://localhost:8080/parabank/services/store-wss-02?wsdl
    3. [リクエスト] タブをクリックします。
    4. [操作] ドロップダウン メニューから addItemtoCart を選択します。
    5. itemId パラメーターについて、その [パラメータライズ] の値として ID を選択します。
    6. quantity パラメーターについて、その [固定] の値として 1 を選択します。
    7. cartId パラメーターのチェックボックスはオフのままにします。そうすると、新しい cartId が自動的に生成されます。



  7. [保存] をクリックして、変更したテストを保存します。
  8. テスト 1: SOAP Client - addItemtoCart operation ノードを右クリックし、ショートカット メニューから [出力の追加] を選択します。[出力の追加] ウィザードが表示されます。
  9. 左側ペインで リクエスト > SOAP エンベロープ を選択し、右側ペインで XML Signer を選択して [終了] をクリックします。XML Signer ツールが SOAP Client に連結されます。
  10. 以下の操作を行って、XML Signer ツールを設定します。
    1. [キーストア] ドロップダウン メニューから PKCS12 Keystore を選択します。
    2. [アルゴリズム] ドロップダウン メニューから RSAwithSHA1 (PKCS1) - http://www.w3.org/2000/09/xmldsig#rsa-sha1 を選択します。
    3. WS-Security ページを開き、[フォーム] ボックスから X509IssuerSerial を選択します。



    4. ターゲット要素 ページを開き、[SOAP ボディ/ドキュメント全体] チェックボックスがオンであることを確認します。これで、サービスにリクエストが送られたときに XML リクエストが署名されるように設定されました。
    5. [保存] をクリックして、変更したテストを保存します。

ここで、SOAP Client テストの XML Response に XML Verifier ツールを追加して、XML レスポンスの署名検証を行うことができます。

  1. テスト 1: SOAP Client - addItemtoCart operation ノードを右クリックし、ショートカット メニューから [出力の追加] を選択します。[出力の追加] ウィザードが表示されます。
  2. 左側ペインから レスポンス > SOAP エンベロープ を選択し、右側ペインから XML Signature Verifier を選択して [終了] をクリックします。XML Signature Verifier ツールが テスト 1: SOAP Client - addItemtoCart operation ノードに連結されます。
  3. 以下の操作を行って、XML Signature Verifier ツールを設定します。
    1. [キー ストアの使用] チェックボックスをオンにし、ドロップダウン メニューから PKCS12 Keystore を選択します。
    2. [WS-Security モード] チェックボックスがオンであることを確認します。



  4. ツールバーの [保存] ボタンをクリックして変更を保存します。
  5. ツールバーの [テスト] ボタンをクリックしてテストを実行します。
  6. Traffic Viewer ノードをダブルクリックして、署名されたデータを参照します。テストが成功することから、署名されたリクエストをサーバーが承認し、サーバーの署名されたレスポンスが正しく検証されたことが分かります。

XML 暗号化と署名の組み合わせ

以下の演習では、書店サービスを使ってさらに複雑なテストを作成します。これは、前の 2 つの演習で実施したセキュリティ要件を組み合わせたものです。この書店サービスは、キーストア soatest.pfx を使ってリクエスト ボディが署名および暗号化されることを要求します。このサービスからのレスポンスも署名および暗号化され、同じキー ストアを使って復号化および検証することができます。

  1. テスト スイート: WS-Security ノードを選択し、[テスト スイートの追加] ボタンをクリックします。



  2. [空] を選択して [終了] をクリックします。空のテスト スイート フォルダーが作成されます。
  3. GUI 右側の [名前] フィールドに Encryption and Signature Combined と入力し、ツールバーの [保存] ボタンをクリックします。
  4. テスト スイート: Encryption and Signature Combined ノードを選択し、[テストまたは出力の追加] ボタンをクリックします。



  5. [テストの追加] ウィザードで、左側ペインから 標準テスト を選択し、右側ペインから SOAP Client を選択して [終了] をクリックします。テスト スイートに SOAP Client ツールが追加されます。テスト スイートに SOAP Client ツールが追加されます。
  6. 以下の操作を行って、SOAP Client ツールを設定します。
    1. [名前] フィールドに SOAP Client - getItemByTitle operation と入力します。
    2. [WSDL] タブを開き、[WSDL URI] フィールドに以下を入力します。
      http://localhost:8080/parabank/services/store-wss-04?wsdl
    3. [リクエスト] タブをクリックします。
    4. [操作] ドロップダウン メニューから getItemByTitle を選択します。
    5. titleKeyword パラメーターのチェックボックスをオンにし、[固定] を選択して Linux と入力します。



  7. テスト 1: SOAP Client - getItemByTitle operation を右クリックし、ショートカット メニューから [出力の追加] を選択します。[出力の追加] ウィザードが表示されます。
  8. 左側ペインから リクエスト > SOAP エンベロープ を選択し、右側ペインから XML Signer を選択して [終了] をクリックします。XML Signer ツールが SOAP Client に連結されます。
  9. 以下の操作を行って、XML Signer ツールを設定します。
    1. [キー ストア] ドロップダウン メニューから PKCS12 Keystore を選択します。
    2. [アルゴリズム] ドロップダウン メニューから RSAwithSHA1 を選択します。
    3. WS-Security ページを開き、ドロップダウン メニューから X509BinarySecurityToken を選択します。
    4. ターゲット要素 ページを開き、[SOAP ボディ/ドキュメント全体] チェックボックスがオンであることを確認します。これで、サービスにリクエストが送られたときに XML リクエストが署名されるように設定されました。

ここで、XML Encryption ツールを XML Signer ツールの XML Response に追加して、署名されたドキュメントを暗号化することができます。 

  1. リクエスト SOAP エンベロープ > XML Signer ノードを右クリックし、ショートカット メニューから [出力の追加] を選択します。[出力の追加] ウィザードが表示されます。
  2. XML Encryption を選択して [終了] をクリックします。XML Encryption ツールが XML Signer ツールの XML Response に連結されます。
  3. 以下の操作を行って、XML Encryption ツールを設定します。
    1. [暗号化] ラジオボタンが選択されていることを確認します。
    2. [キー ストア] ドロップダウン メニューから PKCS12 Keystore を選択します。
    3. [シンメトリック] ドロップダウン メニューから AES 256 を選択します。
    4. WS-Security ページを開き、[フォーム] ボックスから X509BinarySecurityToken を選択します。
    5. ターゲット要素 ページを開き、[SOAP ボディ/ドキュメント全体] チェックボックスがオンであることを確認します。これで、サービスにリクエストが送られたときに XML リクエストが署名されるように設定されました。
    6. [保存] をクリックして、変更したテストを保存します。
  4. ツールバーの [テスト] ボタンをクリックしてテストを実行します。
  5. Traffic Viewer ノードをダブルクリックしてサーバー レスポンスを確認します。

WS-SecurityPolicy がある WS-Security テストの自動生成

SOAtest では、ランタイム セキュリティ ポリシーを適用するためにテストを自動作成することができます。この機能は、正しい設定を使って正しいテストを自動生成するのに役立ち、サービスを直ちに呼び出すことができます。さらに、プロジェクト テスト レベルでポリシーを管理することで、ポジティブとネガティブの両方でサービスを適切にテストするために、さまざまなポリシーをより簡単に作成および管理することができます。

SOAtest は、WS-PolicyAttachment 規格を使用している場合、WSDL 中の WS-SecurityPolicy アサーションを認識します。WS-SecurityPolicy アサーションがある WSDL から自動的にテストを生成するには、以下の操作を行います。

  1. テスト スイート: WS-Security ノードを選択し、ツールバーの [プロパティの追加] ボタンをクリックします。



  2. [グローバル プロパティのタイプを選択] ダイアログで、WS-Policy Banks を選択して [終了] をクリックします。WS-Policy Banks ノードがテスト ケース エクスプローラーに追加されます。
  3. GUI 右側の WSDL Policies の設定パネルで、[WSDL URL] フィールドに http://localhost:8080/parabank/services/store-wss-04?wsdl と入力し、 [WSDL からリフレッシュ] ボタンをクリックします。[グローバル ポリシー] にデータが投入されます。

WSDL 中の WS-SecurityPolicy アサーションに対応する WS-SecurityPolicy 構成を含むポリシー ノードが表示されています。 

同じ WSDL を使って生成されたテストに、WSDL ポリシーに一致する WS-Policy プロパティがあることが分かります。(ポリシーがそのように解釈するために) リクエストに対して XML Signer と XML Encryption ツールを自動的に構成したい場合、[WSDL に定義されたポリシーに従う] チェックボックスをオンにして [ポリシー構成の更新] をクリックします。



キーストアがすでにテスト スイートに追加されているため、このテストはすぐに実行できます。キーストアをまだ追加していない場合はキーストアの設定が必要です。キー ストアの追加に関する情報については、「Using the XML Encryption Tool」を参照してください。

  • No labels