インバウンド CSIv2 属性層の構成

インバウンド CSIv2 要求に対する ID アサーションのサポートを請求するように Liberty サーバーを構成することができます。

このタスクについて

Liberty サーバーのインバウンド CSIv2 属性層では、ID アサーションはデフォルトで無効にされます。identityAssertionEnabled 属性によって ID アサーションが有効にされると、サーバーは、クライアントとして動作しているアップストリーム・サーバーからの匿名、プリンシパル名、X509 証明書チェーン、および識別名での ID アサーションをサポートします。identityAssertionTypes 属性を使用して、サーバーがサポートする識別トークンのタイプを指定することができます。trustedIdentities 属性を使用して、このサーバーに ID を表明することのできる、 信頼できるアップストリーム・サーバーの ID を指定できます。
注意:
推定トラストが設定される場合は、 信頼できるエンティティーのみがサーバーと通信するようにしてください。

手順

  1. server.xml ファイルで appSecurity-2.0 フィーチャーおよび ejbRemote-3.2 フィーチャーを追加します。
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    以下は、server.xml ファイルでの指定を必要としないデフォルト構成です。
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. オプション: デフォルトのインバウンド属性層構成を変更する必要がある場合、 次のように server.xml ファイルに <orb> エレメントを追加するか、 または、既存のエレメントに attributeLayer エレメントを追加します。 例で使用されているサンプル値は実際の値で置き換えてください。
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="true"/>
                </layers>
            </serverPolicy.csiv2>
        </orb>
    注: orb エレメント内の ID 値 <defaultOrb> は、事前定義されていて、変更はできません。
  3. 例の値を、各アップストリーム・サーバーの trustedIdentity に変更して、 trustedIdentities 属性を設定します。表明するクライアントが複数ある場合は、パイプ文字 (|) を使用して値を区切る必要があります。
    <attributeLayer identityAssertionEnabled="true" trustedIdentities="yourAssertingUpstreamServer|anotherAssertingUpstreamServer"/>
  4. 代替方法: ステップ 2 で、名前値を trustedIdentities に設定する代わりに、 文字 (*) を使用して trustedIdentities 属性を設定して、 サーバーが推定トラストをサポートすることを示すことができます。推定トラストでは、どのアップストリーム・サーバーでも ID を表明することが可能であるため、 アップストリーム・サーバーを一連の信頼できるサーバーに限定できる場合にのみ使用する必要があります。したがって、 この値を使用するときは注意が必要です。
    <attributeLayer identityAssertionEnabled="true" trustedIdentities="*"/>
  5. 証明書チェーンを送信するアップストリーム・サーバーが信頼できる場合、その証明書チェーンの発行者識別名を trustedIdentities 属性に追加します。以下に例を示します。
        <attributeLayer identityAssertionEnabled="true" trustedIdentities="CN=localhost,O=ibm,C=us"/>
  6. オプション: サーバーによってサポートされているデフォルトの ID アサーションのトークン・タイプを変更する必要がある場合は、identityAssertionTypes 属性を server.xml ファイル内の attributeLayer エレメントに追加し、コンマ区切りの値リストを指定します。有効値は、ITTAnonymousITTPrincipalNameITTX509CertChain、および ITTDistinguishedName です。例えば、X509 証明書チェーンまたは識別名での ID アサーションをサポートするようにサーバーを構成できます。例で使用されているサンプル値は実際の値で置き換えてください。
    <orb id="defaultOrb">
        <serverPolicy.csiv2>
            <layers>
                <attributeLayer identityAssertionEnabled="true" identityAssertionTypes="ITTX509CertChain, ITTDistinguishedName"/>
            </layers>
        </serverPolicy.csiv2>
    </orb>
    注: アップストリーム・サーバー ID は、 サーバーが認証層またはトランスポート層のいずれかで送信したセキュリティー情報から取得されます。認証層 ID がトランスポート層 ID よりも優先され、 認証層でセキュリティー情報が送信されていない場合はトランスポート ID が使用されます。authenticationLayer エレメントおよび transportLayer エレメントのサンプル構文および詳細情報については、 『インバウンド CSIv2 認証層の構成』および『インバウンド CSIv2 トランスポート層の構成』を参照してください。
    いずれかの層を省略すると、その層にはデフォルト値が使用されます。

タスクの結果

これで、ID アサーションについてのインバウンド CSIv2 属性層の構成が完了しました。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: Monday, 5 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_sec_inboundattributes
ファイル名: twlp_sec_inboundattributes.html