WS-Security ポリシーの作成

ポリシーを作成し、トークンを追加するには、WebSphere Message Broker Explorer を使用して、以下のステップを実行します。

  1. ブローカー (MB8BROKER) を右クリックして、「プロパティー」>「セキュリティーおよびポリシー」を選択し、「ポリシー・セット」をクリックします。
  2. 左のメニューで「ポリシー・セット」を選択し、「追加」をクリックしてデフォルト名で新規項目を作成します。 ポリシー・セットを名前変更するには、それを選択して新しい名前を「下のフィールドを使用して、このポリシー・セットを名前変更します」の下に入力します。 それから「名前変更」をクリックします。
  3. 「下のボタンを使用して、このポリシー・セットに対するポリシー・タイプの追加および削除をします」の下の「WS-Security の追加」をクリックします。
  4. ご使用のポリシー・セットを展開します。 WS-Security を展開します。 「メッセージ・レベル保護」を選択します。 「メッセージ・レベルの保護」チェック・ボックスを選択します。 「セキュリティー・ヘッダー内にタイム・スタンプを組み込みます」を選択します。 「セキュリティー・ヘッダーのレイアウト」「厳格 - 宣言は使用に先行しなければならない」に設定します。
  5. 「メッセージ・レベル保護」を展開します。 「トークン」を選択します。(2 つのトークンが必要です。1 つはプロバイダーの証明書を表すもの、1 つはコンシューマーの証明書を表すものです。)
  6. 「追加」をクリックして、「非対称トークン」を追加します。 「トークン名」に、initToken を入力します。 「トークンのタイプ」「起動側」に設定します。 「WS-Security のバージョン」1.0 に設定します。 「X.509 のタイプ」「X.509 バージョン 3」に設定します。
  7. 2 番目のトークンを追加するには、「追加」をクリックします。 「トークン名」に、名前 recipToken を入力します。 「トークンのタイプ」「受信側」に設定します。 「WS-Security のバージョン」1.0 に設定します。 「X.509 のタイプ」「X.509 バージョン 3」に設定します。
    トークン名 トークンのタイプ WS-Security のバージョン X.509 バージョンのタイプ
    initToken 起動側 1.0 X.509 バージョン 3
    recipToken 受信側 1.0 X.509 バージョン 3
  8. 「メッセージ・レベル保護」の下で、「アルゴリズム」を選択します。 「アルゴリズム・スイート」Basic128Rsa15 に設定します。 残りの値は、デフォルトのままにしておきます。
  9. 「メッセージ・パート保護」を選択します。
  10. 「名前とセキュリティー・タイプ、SOAP メッセージ、メッセージ本体」表で、 以下の表に示されているように、「追加」をクリックしてパートを作成します。
    名前 セキュリティー・タイプ SOAP メッセージ メッセージ本体
    app_encparts_response 暗号化 応答 Yes
    app_signparts_response シグニチャー 応答 Yes
    app_encparts_request 暗号化 要求 Yes
    app_signparts_request シグニチャー 要求 Yes
  11. 「メッセージ・パート保護」を展開します。 QName を選択して、QName をセットアップします。 (ポリシーのこのセクションでは、WS-Addressing ヘッダーにサインが必要なことを指定します。 WS-Addressing は 2 つのアドレッシング・ネーム・スペースを使用するので、応答用および要求用に 2 つの項目が必要となります。)
  12. 「QNames」表で、以下の表に示されているように、「追加」をクリックして QNames を作成します。
    名前 ローカル・パート ネーム・スペース
    app_signparts_response <空> http://schemas.xmlsoap.org/ws/2004/08/addressing
    app_signparts_response <空> http://www.w3.org/2005/08/addressing
    app_signparts_request <空> http://schemas.xmlsoap.org/ws/2004/08/addressing
    app_signparts_request <空> http://www.w3.org/2005/08/addressing
  13. 「メッセージ・パーツ保護」の下で「XPath」を選択し、XPath 式をセットアップします。 (必要な XPath 式はすべて、ブローカー内に作成されます。 ポリシーのこのセクションでは、どのパートにサインが必要か、また、事前定義された XPath 式を使用して、どのパートに暗号化が必要かが指定されます。 メッセージの特定のパートを変更する場合は、独自の XPath を記述できます。)
  14. 「XPath 式」表で、以下の表に示されているように、「追加」をクリックして XPath をステップ 10 で作成した各パートに関連付けます。
    名前 XPath
    app_encparts_response エンベロープ、ヘッダー、セキュリティー、シグニチャー
    app_signparts_response エンベロープ、ヘッダー、セキュリティー、タイム・スタンプ
    app_encparts_request エンベロープ、ヘッダー、セキュリティー、シグニチャー
    app_signparts_request エンベロープ、ヘッダー、セキュリティー、タイム・スタンプ
  15. 「終了」をクリックして、作成したポリシーを保存します。

これで、セキュリティー・ポリシーのセットアップが完了しました。 クライアントとサーバーは同じポリシーを使用して、それらが相互運用可能となるようにします。

ポリシーを作成および適用するために「サンプルの拡張」に戻る

「Address Book サンプルの拡張」に戻る

サンプルのホームに戻る