WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

WS-Trust V1.3 (TFIM V6.2) 用セキュリティー・プロファイルの作成

認証、許可、およびマッピングというセキュリティー操作を任意に組み合わせたものに対して、Tivoli® Federated Identity Manager (TFIM) V6.2 などの WS-Trust V1.3 に準拠したセキュリティー・トークン・サーバー (STS) のセキュリティー・プロファイルを作成することができます。

セキュリティー・プロファイルを作成するには、mqsicreateconfigurableservice コマンドを使用するか、WebSphere® Message Broker Explorer にあるエディターを使用できます。

mqsicreateconfigurableservice を用いたプロファイルの作成

WS-Trust V1.3 に準拠したセキュリティー・トークン・サーバー (STS) を使用するセキュリティー・プロファイルを作成するには、構成パラメーターを STS の絶対 URL に設定することによって、mqsicreateconfigurableservice コマンドを使用できます。 URL は、トランスポート方式、ホスト名、ポート、およびパスから構成される必要があります。 TFIM V6.2 WS-Trust V1.3 エンドポイントの場合、パスは /TrustServerWST13/services/RequestSecurityToken となります。 以下に例を示します。
http://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken
WS-Trust v1.3 をマッピングで使用するセキュリティー・プロファイルを作成するには、次のコマンドを入力します。
mqsicreateconfigurableservice brokername -c SecurityProfiles 
-o profilename -n mapping,mappingConfig 
-v "WS-Trust v1.3 STS",http://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken
URL が https:// で始まるアドレスを指定する場合、WS-Trust v1.3 サーバーへの要求には SSL で保護された接続が使用されます。 例えば、WS-Trust v1.3 への HTTPS 接続をマッピングで使用するセキュリティー・プロファイルを作成するには、次のコマンドを入力します。
mqsicreateconfigurableservice brokername -c SecurityProfiles 
-o profilename -n mapping,mappingConfig 
-v "WS-Trust v1.3 STS",https://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken
https:// から始まるアドレスとしてセキュリティー・プロファイル URL を指定することに加え、ブローカー環境変数を設定することによって、以下の拡張パラメーターを構成できます。
MQSI_STS_SSL_PROTOCOL
使用する SSL プロトコルのバージョン。 有効な値は以下のとおりです。
  • SSL
  • SSLv3
  • TLS
初期値は SSLv3 です。
MQSI_STS_SSL_ALLOWED_CIPHERS
使用できる「暗号を解く鍵」のスペース区切りリスト。 WebSphere Message Broker でサポートされるすべての暗号スイートのリストについては、ご使用のオペレーティング・システム用の Java™ 製品情報を参照してください。IBM® Java を使用するオペレーティング・システムについては、IBM JSSE2 Guide (http://www.ibm.com/developerworks/java/jdk/security/60/secguides/jsse2Docs/JSSE2RefGuide.html) の『Appendix A』を参照してください。
MQSI_STS_REQUEST_TIMEOUT
STS 要求タイムアウト (秒単位で指定)。 初期値は 100 です。 ブローカーの環境変数の設定については、コマンド環境のセットアップを参照してください。

WS-Trust v1.3 STS が複数の操作 (例えば、認証およびマッピング) に選択される場合、WS-Trust v1.3 サーバーの URL はすべての操作について同一でなければなりません。それゆえ、一度限り指定されます。

次の例では、TFIM V6.2 を認証、マッピング、および許可に使用するセキュリティー・プロファイルを作成します。
mqsicreateconfigurableservice MYBROKER -c SecurityProfiles -o MyWSTrustProfile 
-n authentication,mapping,authorization,propagation,mappingConfig 
-v "WS-Trust v1.3 STS","WS-Trust v1.3 STS","WS-Trust v1.3 STS",TRUE,http://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken

WebSphere Message Broker Explorer によるプロファイルの作成

WS-Trust v1.3 用のセキュリティー・プロファイルを作成するには、WebSphere Message Broker Explorer を使用できます。
  1. WebSphere Message Broker Explorer で、操作するブローカーを右クリックし、「プロパティー」をクリックします。
  2. 「プロパティー」ウィンドウで、「セキュリティー」タブを選択し、「セキュリティー・プロファイル」をクリックします。 「セキュリティー・プロファイル」ウィンドウが表示され、左側にブローカーに既存のセキュリティー・プロファイルのリストが、右側にはプロファイルを構成するためのペインが表示されます。
  3. 「追加」をクリックして新規プロファイルを作成し、リストに加えます。 セキュリティー・プロファイルの名前は、それをリスト内で強調表示して、F2 を押せば編集することができます。 セキュリティー・プロファイルの名前には、スペースを含めることはできません。
  4. ペイン右側の入力フィールドを使用して、次のようにセキュリティー・プロファイルを構成します。
    1. 認証マッピング、および許可のために必要なセキュリティー・プロバイダーを選択します。 これらのいずれかのオプションとして「WS-Trust v1.3 STS」を選択した場合、「Security Token Service (STS) のパラメーター」グループの「STS URI」フィールドが使用可能となります。
    2. WS-Trust v1.3 STS の URL を「STS URL」フィールドに入力します。 STS URL には、以下の URL の部分が含まれている必要があります。
      • トランスポート方式 (http または https)
      • ホスト名 (完全修飾ドメイン名)
      • ポート
      • パス (例えば、TFIM V6.2 の場合: /TrustServerWST13/services/RequestSecurityToken)
      以下に例を示します。
      http://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken
      入力された URL は構成ストリングを形成し、WS-Trust v1.3 STS を使用するように構成されたセキュリティー操作に応じて、1 つ以上の構成フィールド (「認証の構成」「マッピングの構成」、および「許可の構成」) 中に表示されます。

      構成パラメーターの有効な値に関する詳細については、mqsicreateconfigurableservice を用いたプロファイルの作成を参照してください。

    3. 「伝搬」フィールドで、ID を伝搬する必要があるかどうかを指定します。 デフォルトは False です。
    4. 「パスワード値」フィールドで、プロパティー・フォルダーでパスワードが表示される仕方を選択します。 パスワードはオプションで、トークン・タイプが Username + Password の場合にのみ必須となります。 オプションは、以下のとおりです。
      PLAIN
      パスワードは、プロパティー・フォルダー中でプレーン・テキストとして表示されます。
      OBFUSCATE
      パスワードは、プロパティー・フォルダー中で Base64 エンコードとして表示されます。
      MASK
      パスワードは、プロパティー・フォルダー中で 4 つのアスタリスク (****) として表示されます。
  5. 「完了」をクリックして、セキュリティー・プロファイルをブローカーにデプロイします。
特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:49:27


タスク・トピックタスク・トピック | バージョン 8.0.0.5 | bp28010_