WebSphere Application Server - Express, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

アセンブリー・ツールによるトークン・コンシューマーの構成

アセンブリー・ツールを使用して、クライアント・サイド・バインディングまたはサーバー・サイド・バインディングのいずれかのトークン・コンシューマーを構成できます。

始める前に

このタスクを実行する前に、以下のステップを完了しておく必要があります。

このタスクについて

セキュリティー・トークンは、クライアントによる一連の要求を表します。 この一連の要求は、名前、パスワード、ID、鍵、証明書、グループ、特権などが含まれます。 セキュリティー・トークンは、SOAP ヘッダー内の SOAP メッセージに組み込まれます。 SOAP ヘッダー内のセキュリティー・トークンは、 メッセージの送信側から目的のメッセージの受信側に伝搬します。 WebSphere Application Server のセキュリティー・ハンドラーは、受信側でセキュリティー・トークンを認証し、 実行中のスレッド上で呼び出し元の ID をセットアップします。

以下のステップを実行して、ステップ 2 におけるクライアント・サイド・バインディングまたは ステップ 3 におけるサーバー・サイド・バインディングのいずれかのトークン・コンシューマーを構成します。

プロシージャー

  1. アセンブリー・ツールを開始します。
  2. Java 2 Platform, Enterprise Edition (J2EE) パースペクティブへ切り替えます。 「ウィンドウ」>「パースペクティブのオープン」>「J2EE」とクリックします。
  3. オプション: プロジェクト・エクスプローラー・ウィンドウで、クライアント側のバインディングを探します。 「Client Deployment Descriptor」ウィンドウが表示されます。 この Web サービスに、構成が必要なバインディングが含まれています。 以下のステップを実行して、クライアント側のバインディングを見つけます。
    1. 「Web サービス」>「クライアント」とセクションを展開し、 Web サービスの名前をダブルクリックします。
    2. WS Binding」タブをクリックして、「Security Response Consumer Configuration」セクションを展開します。
  4. オプション: 「Project Explorer」ウィンドウを使用して、サーバー・サイドのバインディングを見付けます。 「Web Services Editor」ウィンドウが表示されます。 この Web サービスに、構成が必要なバインディングが含まれています。 以下のステップを実行して、 サーバー側のバインディングを見つけます。
    1. 「Web サービス」>「サービス」とセクションを展開し、 Web サービスの名前をダブルクリックします。
    2. Binding Configurations」タブをクリックして、 「Request Consumer Binding Configuration Details」セクションを展開します。
  5. オプション: X.509 セキュリティー・トークンに対してこのトークン・コンシューマーを構成している場合は、 トラスト・アンカーを構成します。 以下のステップを実行して、トラスト・アンカーを構成します。
    1. 「Trust anchor」セクションを展開し、「追加」をクリックして新規エントリーを追加するか、 「編集」をクリックして、選択したエントリーを編集します。 「Trust anchor」ダイアログ・ウィンドウが表示されます。
    2. 「Trust anchor name」フィールドでトラスト・アンカー構成の名前を指定します。
    3. 「Key store storepass」フィールドで鍵ストアのパスワードを指定します。 鍵ストアの storepass は、鍵ストア・ファイルへのアクセスに必要なパスワードです。
    4. 「Key store path」フィールドで、鍵ストア・ファイルのパスを指定します。 鍵ストア・パスは、鍵ストアが置かれているディレクトリーです。 アプリケーションをどこにデプロイする場合でも、サーバーが鍵ストア・ファイルを探し出せるようにしておいてください。
    5. 「鍵ストア・タイプ」フィールドから鍵ストア・タイプを選択します。 ここで選択する鍵ストア・タイプは、 「Key store path」フィールドで指定した鍵ストア・ファイルと一致している必要があります。
    6. OK」をクリックしてトラスト・アンカー構成を保管します。
  6. 「Token Consumer」セクションを展開し、「追加」をクリックして新規エントリーを追加するか、 「編集」をクリックして、選択したエントリーを編集します。 「Token Consumer」ダイアログ・ウィンドウが表示されます。
  7. 「トークン・コンシューマー名」フィールドで名前を指定します。 このトークン・コンシューマーが X.509 証明書用で、シグニチャーの検証または暗号化解除のために使用される場合、 トークン・コンシューマー名は「鍵情報」ダイアログ・ウィンドウの「トークン」フィールドで参照されます。
  8. 「トークン・コンシューマー・クラス」フィールドでトークン・コンシューマー・クラスを選択します。 構成しているトークンのタイプと一致するトークン・コンシューマー・クラスを選択します。 例えば、受信したメッセージで X.509 セキュリティー・トークンを処理するトークン・コンシューマーを構成している場合、 com.ibm.wsspi.wssecurity.token.X509TokenConsumer トークン・コンシューマー・クラスを選択します。
  9. 「セキュリティー・トークン」フィールドでセキュリティー・トークン参照を選択します。 このフィールドの値は、拡張ファイルで構成されるセキュリティー・トークンを参照します。 X.509 セキュリティー・トークンに対してこのトークン・コンシューマーを構成している場合に、 トークン・コンシューマー・クラスが com.ibm.wsspi.wssecurity.token.X509tokenConsumer である場合は、 このフィールドをブランクのままにします。
  10. Use value type」オプションを選択し、「Value type」フィールドで値のタイプを選択します。 構成しているトークン・コンシューマーのタイプと一致するセキュリティー・トークンの値のタイプを選択します。 値のタイプを選択すると、アセンブリー・ツールは、値のタイプによって指定されるセキュリティー・トークンのタイプに応じて、 自動的に「Local name」フィールドと「URI」フィールドに正しい値を入力します。
  11. オプション: JAAS 構成がセキュリティー・トークンに必要な場合は、 「Use jaas.config」オプションを選択して、「jaas.config.name」フィールドに Java Authentication and Authorization Service (JAAS) 構成名を指定します。 指定する JAAS 構成名は、このトークン・コンシューマーに指定されたセキュリティー・トークン用のものでなければなりません。 以下の表は、値のタイプで指定される各種セキュリティー・トークンの JAAS 構成名をリストしたものです。
    表 1. JAAS 構成名とそれに対応する値のタイプ
    jaas.config 名 値のタイプ
    system.wssecurity.UsernameToken ユーザー名トークン
    system.wssecurity.IDAssertionUsernameToken ユーザー名トークン (IDAssertion 用)
    system.wssecurity.X509BST X509 証明書トークン
    system.wssecurity.PkiPath PKIPath 内の X509 証明書
    system.wssecurity.PKCS7 PKCS#7 内の X509 証明書および CRL
  12. オプション: トラステッド ID エバリュエーターがこのトークン・コンシューマーに必要な場合、 「Use trusted ID evaluator」オプションを選択して新規トラステッド ID エバリュエーターを定義するか、 「Use trusted ID evaluator reference」オプション選択して、 デフォルトのバインディング・ファイルに定義されている既存のトラステッド ID エバリュエーターを選択します。 トラステッド ID エバリュエーターは通常、 複数ホップ環境でターゲット Web サービスによって使用され、 仲介 Web サービスの ID を信頼するかどうかを決定します。 「Use trusted ID evaluator」オプションを選択する場合は、以下のステップを実行します。
    1. 「Trusted ID evaluator class」フィールドでトラステッド ID エバリュエーターのインプリメンテーションを指定します。 トラステッド ID エバリュエーターは、 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator インターフェースをインプリメントするクラスを指定することによって、インプリメントされます。 WebSphere Application Server バージョン 6.0.x には、トラステッド ID エバリュエーターの com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl デフォルト・インプリメンテーションが用意されています。

      インプリメンテーションは、トラステッド ID 名のリストで初期化されます。 トラステッド ID は、バインディング・ファイルで trustedIDEvaluator プロパティーとして指定されます。 名前が評価される場合、トラステッド ID 名のリストと照合確認されます。 その名前がリストにある場合は信頼され、名前がリストにない場合は信頼されません。

    2. 「Trusted ID evaluator property」セクションの下の「追加」をクリックして新規エントリーを追加するか、 「除去」をクリックして、選択したエントリーを削除します。 各プロパティーのエントリーは、トラステッド ID を表します。
    3. 「名前」フィールドに trustedId_trustmode を指定し、 「値」フィールドに仲介プログラムの ID を指定します。
    Use trusted ID evaluator reference」オプションを選択する場合、 「Trusted ID evaluator reference」フィールドに既存のトラステッド ID エバリュエーターの名前を指定します。
  13. オプション: 「プロパティー」の下の「追加」をクリックしてこのトークン・ コンシューマーの新規プロパティーを追加するか、 「除去」をクリックして、選択したプロパティーを削除します。 このトークン・コンシューマーが、ユーザー名トークンに含まれる nonce およびタイム・スタンプを処理する必要がある場合は、 以下の表にあるプロパティーを定義します。
    表 2. nonce およびタイム・スタンプのプロパティー
    名前
    com.ibm.wsspi.wssecurity.token.username.verifyNonce true
    com.ibm.wsspi.wssecurity.token.username.verifyTimestamp true
  14. オプション: X.509 セキュリティー・トークンに対してこのトークン・コンシューマーを構成している場合、 「Use certificate path settings」オプションを選択します。
  15. X.509 セキュリティー・トークンに対してこのトークン・コンシューマーを構成している場合、 「Certificate path reference」オプションまたは「Trust any certificate」オプションのいずれかを選択します。
    重要: X.509 証明書トークンのトークン・コンシューマーを構成する場合、 「Trust any certificate」オプションの選択には注意が必要です。 このオプションでは、 任意の証明書を使用して SOAP メッセージを署名または暗号化することによって、 ご使用の Web サービス・アプリケーションのセキュリティーに対する暗号が漏えいする可能性があります。 トラスト・アンカーおよび証明書ストア・リストを使用して、 受信した SOAP メッセージに組み込まれている X.509 証明書を検証することをお勧めします。

    Certificate path reference」オプションを選択する場合は、以下のステップを実行します。

    1. 「Trust anchor reference」フィールドのリストからトラスト・アンカー参照を選択します。 この参照は、鍵ストアを指定するトラスト・アンカー名で、トラステッド・ルート認証局 (CA) の証明書を含みます。
    2. 「Certificate store reference」フィールドから証明書ストアを選択します。 証明書ストア・リストには、非ルート CA 証明書 (または中間証明書) および証明書取り消しリスト (CRL) の両方が含まれます。
  16. OK」をクリックして、構成を保管します。

次の作業

このトークン・コンシューマー構成が X.509 セキュリティー・トークンに対するものである場合は、鍵情報を構成します。 詳しくは、コンシューマー・バインディング用鍵情報の、アセンブリー・ツールによる構成 を参照してください。



関連概念
トラステッド ID エバリュエーター
関連タスク
コンシューマーのセキュリティー制約におけるセキュリティー・トークン要件の構成
ジェネレーターのセキュリティー制約におけるセキュリティー・トークンの構成
コンシューマー・バインディング用鍵情報の、アセンブリー・ツールによる構成
Web サービス・アプリケーションをアセンブルしながらの Web サービス・セキュリティーの構成
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 11:31:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.express.doc/info/exp/ae/twbs_spectokencons.html