WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

WS-Security のインプリメント

「ポリシー・セットおよびポリシー・セット・バインディング」エディターを使用して、認証、XML 暗号化、XML シグニチャー、メッセージ有効期限を構成します。

WebSphere® Message Broker Explorer で「ポリシー・セットおよびポリシー・セット・バインディング」エディターを使用して、WS-Security の以下の面を構成します。

認証

以下のトークンがサポートされています。
  • ユーザー名
  • X.509
  • SAML アサーション
  • Kerberos チケット
  • LTPA バイナリー・トークン
ユーザー名トークンを使用した認証の構成:
  1. WebSphere Message Broker Explorer で、操作するブローカーを右クリックし、「プロパティー」をクリックします。
  2. 「プロパティー」ウィンドウで、「セキュリティー」タブを選択し、「ポリシー・セット」をクリックします。
  3. ポリシー・セットを作成し、そのポリシー・セットにユーザー名の認証トークンを追加します。 「ポリシー・セットとポリシー・セット・バインディング」エディター: 「認証トークン」パネルを参照してください。
  4. 関連したポリシー・セットに定義されている任意の X.509 認証トークンの追加構成を行います。「ポリシー・セットとポリシー・セット・バインディング」エディター: 「認証および保護のトークン」パネルを参照してください。
  5. セキュリティー・プロファイルを構成します。メッセージ・フロー・セキュリティーおよびセキュリティー・プロファイルを参照してください。
  6. ポリシー・セットをメッセージ・フローまたはノードに関連付けます。 ポリシー・セットおよびバインディングのメッセージ・フローおよびノードとの関連付けを参照してください。
X.509 トークンを使用した認証の構成:
  1. 信頼できる証明書を格納するためにブローカーのトラストストアを使用する場合は、そのトラストストアを構成する必要があります。 鍵ストアとトラストストアのランタイム・プロパティーを設定する場所に応じて、ブローカー・レベルでの鍵ストアおよびトラストストアのランタイム・プロパティーの表示および設定または実行グループ・レベルの鍵ストアおよびトラストストアのランタイム・プロパティーの表示および設定を参照してください。
  2. ポリシー・セットを作成し、そのポリシー・セットにユーザー名と X.509 の認証トークンを追加します。 「ポリシー・セットとポリシー・セット・バインディング」エディター: 「認証トークン」パネルを参照してください。
  3. ブローカー・トラストストアまたは外部セキュリティー・プロバイダーの証明書モードを構成します。「ポリシー・セットとポリシー・セット・バインディング」エディター: 「認証および保護のトークン」パネルを参照してください。
  4. 外部セキュリティー・プロバイダーを使用する場合、セキュリティー・プロファイルを構成します。メッセージ・フロー・セキュリティーおよびセキュリティー・プロファイルを参照してください。
  5. ポリシー・セットをメッセージ・フローまたはノードに関連付けます。 ポリシー・セットおよびバインディングのメッセージ・フローおよびノードとの関連付けを参照してください。
SAML アサーションを使用した認証の構成:
  1. WebSphere Message Broker Explorer で、操作するブローカーを右クリックし、「プロパティー」をクリックします。
  2. 「プロパティー」ウィンドウで、「セキュリティー」タブを選択し、「ポリシー・セット」をクリックします。
  3. ポリシー・セットを作成し、そのポリシー・セットに SAML パススルー 1.1 または SAML パススルー 2.0 のトークンを追加します。 「ポリシー・セットとポリシー・セット・バインディング」エディター: 「認証トークン」パネルを参照してください。 SAML パススルーによってサブジェクトの確認が行われるわけではありませんが、ノードに関連するセキュリティー・プロファイルで指定されている外部のセキュリティー・トークン・サーバーで処理されるトークンとしてこのアサーションを用意します。
  4. セキュリティー・プロファイルを構成します。 WS-Trust v1.3 STS を使用するようにセキュリティー・プロファイルを構成する必要があります。 詳しくは、メッセージ・フロー・セキュリティーおよびセキュリティー・プロファイルを参照してください。
  5. ポリシー・セットをメッセージ・フローまたはノードに関連付けます。 ポリシー・セットおよびバインディングのメッセージ・フローおよびノードとの関連付けを参照してください。
Kerberos チケットを使用した認証の構成:
  1. WebSphere Message Broker Explorer で、操作するブローカーを右クリックし、「プロパティー」をクリックします。
  2. 「プロパティー」ウィンドウで、「セキュリティー」タブを選択し、「ポリシー・セット」をクリックします。
  3. ポリシー・セットを作成し、Kerberos トークン・タイプを対称トークンとして追加します。 「ポリシー・セットとポリシー・セット・バインディング」エディター: 「メッセージ・レベル保護」パネルを参照してください。
  4. ポリシー・セットをメッセージ・フローまたはノードに関連付けます。 ポリシー・セットおよびバインディングのメッセージ・フローおよびノードとの関連付けを参照してください。
  5. ホストの Kerberos keytab ファイルを構成します。 Kerberos の構成の詳細については、ブローカーのホスト・システムの資料を参照してください。 例えば、Windows の場合は、「Kerberos 5 (krb5 1.0) 相互運用のステップバイステップ・ガイド」を参照してください (http://technet.microsoft.com/ja-jp/library/ からアクセスできます)。
LTPA バイナリー・トークンを使用した認証の構成:
  1. WebSphere Message Broker Explorer で、操作するブローカーを右クリックし、「プロパティー」をクリックします。
  2. 「プロパティー」ウィンドウで、「セキュリティー」タブを選択し、「ポリシー・セット」をクリックします。
  3. ポリシー・セットを作成し、そのポリシー・セットに LTPA トークンを追加します。「ポリシー・セットとポリシー・セット・バインディング」エディター: 「認証トークン」パネルを参照してください。 LTPA バイナリー・トークンは、ノードに関連付けられたセキュリティー・プロファイルで指定された外部セキュリティー・トークン・サーバー (STS) に移動されます。
  4. セキュリティー・プロファイルを構成します。 WS-Trust v1.3 STS を使用するようにセキュリティー・プロファイルを構成する必要があります。 詳しくは、メッセージ・フロー・セキュリティーおよびセキュリティー・プロファイルを参照してください。
  5. ポリシー・セットをメッセージ・フローまたはノードに関連付けます。 ポリシー・セットおよびバインディングのメッセージ・フローおよびノードとの関連付けを参照してください。

機密性

機密性は XML 暗号化によって確保します。 X.509 トークンまたは Kerberos チケットが必要です。

X.509 トークンを使用した XML 暗号化の構成:
  1. 信頼できる証明書を格納するためにブローカーのトラストストアを使用する場合は、そのトラストストアを構成する必要があります。 鍵ストアとトラストストアのランタイム・プロパティーを設定する場所に応じて、ブローカー・レベルでの鍵ストアおよびトラストストアのランタイム・プロパティーの表示および設定または実行グループ・レベルの鍵ストアおよびトラストストアのランタイム・プロパティーの表示および設定を参照してください。
  2. WebSphere Message Broker Explorer で、操作するブローカーを右クリックし、「プロパティー」をクリックします。
  3. 「プロパティー」ウィンドウで、「セキュリティー」タブを選択し、「ポリシー・セット」をクリックします。
  4. ポリシー・セットを作成し、XML 暗号化を有効にし、暗号化トークンを作成し、使用する暗号化アルゴリズムを選択します。 「ポリシー・セットとポリシー・セット・バインディング」エディター: 「メッセージ・レベル保護」パネルを参照してください。
  5. メッセージのどの部分を暗号化するかを定義します。「ポリシー・セットとポリシー・セット・バインディング」エディター: 「メッセージ・パーツ保護」パネルを参照してください。
  6. メッセージの部分暗号化の追加構成を行います。「ポリシー・セットとポリシー・セット・バインディング」エディター: 「メッセージ・パーツ・ポリシー」パネルを参照してください。
  7. 鍵ストアとトラストストアの追加構成を行います。「ポリシー・セットとポリシー・セット・バインディング」エディター: 「鍵情報」パネルを参照してください。
  8. ポリシー・セットをメッセージ・フローまたはノードに関連付けます。 ポリシー・セットおよびバインディングのメッセージ・フローおよびノードとの関連付けを参照してください。
Kerberos チケットを使用した XML 暗号化の構成:
  1. Kerberos を使用できるようにホストを構成し、krb.conf 構成ファイルを用意します。 この手順は、Windows を含むすべてのオペレーティング・システムで必要です。
  2. ブローカーで、Kerberos 鍵配布センター (KDC) にアクセスするための Kerberos クライアント資格情報を用意します。 その資格情報は、SOAPRequest ノードで必要になります。 ブローカー・プロパティー・ツリーで指定するか、mqsisetdbparms コマンドで指定できます。 その資格情報は、優先順位に基づいて使用されます。
    • ノードには、propagation プロパティーが True に設定されているセキュリティー・プロファイルがあり、プロパティー・ツリーでユーザー名とパスワードのトークンが指定されています。 ユーザー名とパスワードのトークンがなければ、例外がスローされます。
    • mqsisetdbparms kerberos::<realm>::<execution group name>
    • mqsisetdbparms kerberos::<realm>
    • mqsisetdbparms kerberos::kerberos
  3. WebSphere Message Broker Explorer で、操作するブローカーを右クリックし、「プロパティー」をクリックします。
  4. 「プロパティー」ウィンドウで、「セキュリティー」タブを選択し、「ポリシー・セット」をクリックします。
  5. ポリシー・セットを作成し、必要な Kerberos トークン・タイプを対称トークンとして追加します。「ポリシー・セットとポリシー・セット・バインディング」エディター: 「メッセージ・レベル保護」パネルを参照してください。

完全性

整合性は XML シグニチャーによって確保します。 X.509 トークンまたは Kerberos チケットが必要です。

X.509 トークンを使用した XML シグニチャーの構成:
  1. 信頼できる証明書を格納するためにブローカーのトラストストアを使用する場合は、そのトラストストアを構成する必要があります。鍵ストアとトラストストアのランタイム・プロパティーを設定する場所に応じて、ブローカー・レベルでの鍵ストアおよびトラストストアのランタイム・プロパティーの表示および設定または実行グループ・レベルの鍵ストアおよびトラストストアのランタイム・プロパティーの表示および設定を参照してください。
  2. WebSphere Message Broker Explorer で、操作するブローカーを右クリックし、「プロパティー」をクリックします。
  3. 「プロパティー」ウィンドウで、「セキュリティー」タブを選択し、「ポリシー・セット」をクリックします。
  4. ポリシー・セットを作成し、XML シグニチャーを有効にし、シグニチャー・トークンを作成します。 「ポリシー・セットとポリシー・セット・バインディング」エディター: 「メッセージ・レベル保護」パネルを参照してください。
  5. メッセージのどの部分に署名を行うかを定義します。「ポリシー・セットとポリシー・セット・バインディング」エディター: 「メッセージ・パーツ保護」パネルを参照してください。
  6. メッセージの部分署名の追加構成を行います。「ポリシー・セットとポリシー・セット・バインディング」エディター: 「メッセージ・パーツ・ポリシー」パネルを参照してください。
  7. 鍵ストアとトラストストアの追加構成を行います。「ポリシー・セットとポリシー・セット・バインディング」エディター: 「鍵情報」パネルを参照してください。
  8. ポリシー・セットをメッセージ・フローまたはノードに関連付けます。 ポリシー・セットおよびバインディングのメッセージ・フローおよびノードとの関連付けを参照してください。
Kerberos チケットを使用した XML シグニチャーの構成:
  1. Kerberos を使用できるようにホストを構成し、krb.conf 構成ファイルを用意します。 この手順は、Windows を含むすべてのオペレーティング・システムで必要です。
  2. ブローカーで、Kerberos 鍵配布センター (KDC) にアクセスするための Kerberos クライアント資格情報を用意します。 その資格情報は、SOAPRequest ノードで必要になります。 ブローカー・プロパティー・ツリーで指定するか、mqsisetdbparms コマンドで指定できます。 その資格情報は、以下の優先順位に基づいて使用されます。
    • ノードには、propagation プロパティーが True に設定されているセキュリティー・プロファイルがあり、プロパティー・ツリーでユーザー名とパスワードのトークンが指定されています。 ユーザー名とパスワードのトークンがなければ、例外がスローされます。
    • mqsisetdbparms kerberos::<realm>::<execution group name>
    • mqsisetdbparms kerberos::<realm>
    • mqsisetdbparms kerberos::kerberos
  3. WebSphere Message Broker Explorer で、操作するブローカーを右クリックし、「プロパティー」をクリックします。
  4. 「プロパティー」ウィンドウで、「セキュリティー」タブを選択し、「ポリシー・セット」をクリックします。
  5. ポリシー・セットを作成し、必要な Kerberos トークン・タイプを対称トークンとして追加します。「ポリシー・セットとポリシー・セット・バインディング」エディター: 「メッセージ・レベル保護」パネルを参照してください。

有効期限

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:46:08


タスク・トピックタスク・トピック | バージョン 8.0.0.5 | ac60160_