WebSphere Application Server Network Deployment, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

ID アサーションの構成

機密保護機能のある環境では、サーバー ID といった信頼できる証明書によって、証明書なしのリクエスター ID を送信することが可能です。

始める前に

このタスクを実行する前に、 アプリケーションをアセンブリー・ツールにインポートする必要があります。

アプリケーションをインポートする方法については、 エンタープライズ・アプリケーションのインポートを 参照してください。

このタスクについて

ID アサーションは、WebSphere Application Server バージョン 6.0.x 以降の 拡張機能の 1 つですが、仮想プライベート・ネットワーク (VPN) や HTTP といった、機密保護機能のある環境で使用する必要があります。 ID アサーションの場合、WebSphere Application Server はトラスト・モードの以下のタイプをサポートします。
なし
信頼できるクレデンシャルを Simple Object Access protocol (SOAP) メッセージに添付しないことを指定します。
BasicAuth
ユーザー名およびパスワードを持つユーザー名トークンを、信頼できるクレデンシャルとして使用することを指定します。
Signature
X.509 証明書セキュリティー・トークンをデジタル・シグニチャーで使用することを指定します。

ID アサーションの特定の構成は、 サービス構成のコンシューマー側にのみ必要です。ジェネレーター側では、クライアント構成に 2 つのトークン・ジェネレーターを構成する必要があります。 1 つはリクエスター・トークン用で、もう 1 つは信頼できる当事者のトークン用です。

以下のステップを実行して、 ID アサーション用のアプリケーションを構成します。構成を完了するにはコンシューマーおよびジェネレーターの両方を構成する必要があります。

プロシージャー

  1. アセンブリー・ツールを開始します。
  2. Java 2 Platform, Enterprise Edition (J2EE) パースペクティブへ切り替えます。 「ウィンドウ」>「パースペクティブのオープン」>「J2EE」とクリックします。
  3. Project Explorer で、「Web サービス」>「Services section」と展開し、Web サービスの名前をダブルクリックします。
  4. 拡張機能」タブをクリックし、「Response Consumer Service Configuration Details」>「Caller Part」セクションとクリックしして、呼び出し元トークンを構成します。
  5. コンシューマーの呼び出し元トークンを構成します。 以下のステップを完了して、コンシューマーの呼び出し元トークンを構成します。
    1. 追加」をクリックして呼び出し元パーツを構成します。 「Caller Part Dialog」ウィンドウが表示されます。このウィンドウで、呼び出し元 (リクエスター) のクレデンシャルとして使用されるトークンと、信頼できる当事者のトークンの両方を構成します。
    2. 「名前」フィールドに呼び出し元トークンの名前を指定します。
    3. 「トークン・タイプ」フィールドで呼び出し元トークンのタイプを選択します。 例えば、ユーザー名トークンが呼び出し元トークンとして使用される場合は、「ユーザー名」を選択できます。 トークン・タイプを選択する場合は、自動的にローカル名が指定されます。
    4. オプション: 「トークン・タイプ」フィールドで「Custom token」を選択する場合は、 カスタム・トークンのローカル名と URI を指定する必要があります。 「URI」フィールドは、カスタム・トークンに対してのみ使用します。
    5. オプション: 呼び出し元トークンも、必要な保全性または機密性部分の証明書として使用する場合は、 そのパーツの名前を「Integrity」または「Confidentiality」パーツ・フィールドで選択します。 このリストには、 コンシューマーの「Required Integrity」および「Required Confidentiality」セクションで定義されている保全性および機密性パーツ名が含まれています。 例えば、X.509 証明書トークンが、本体エレメントの呼び出し元トークンおよびシグニチャー証明書の両方に使用される場合は、 「トークン・タイプ」フィールドに「X.509 certificate token」を、 「Integrity」または「Confidentiality」パーツ・フィールドに「reqint_body1」を選択することができます。 この例では、「reqint_body1」が必要な保全性構成であることを前提としています。
  6. コンシューマーの信頼できる当事者のトークンを構成します。 以下のステップを実行して、信頼できる当事者のトークンを構成します。
    1. IDAssertion の使用」オプションを選択して、 トラスト・メソッドとこの呼び出し元を関連付け、仲介プログラム (呼び出し元) の ID アサーションを 検証します。
    2. 「Trust method name」フィールドでトラスト・メソッドの名前を選択します。 以下の選択がサポートされています。
      なし
      このオプションを選択すると、信頼できるクレデンシャルを SOAP メッセージに添付しないことが指定されます。
      BasicAuth
      このオプションを選択すると、ユーザー名およびパスワードを持つユーザー名トークンを、信頼できるクレデンシャルとして使用することが指定されます。
      Signature
      このオプションを選択すると、X.509 証明書セキュリティー・トークンをデジタル・シグニチャーで使用することが指定されます。

      BasicAuth または Signature を選択した場合、「URI」フィールドおよび「Local name」フィールドが自動的に指定されます。

    3. オプション: 信頼できる当事者のトークンによるデジタル・シグニチャーまたは暗号化が必要な場合は、 「Integrity」または「Confidentiality」パーツ・フィールドで保全性または機密性部分の名前を選択します。 例えば、「Trust method」フィールドで「Signature」を選択し、 信頼できる当事者のトークンが本体エレメントに署名することが必要な場合は、 「保全性」および「機密性」パーツ・フィールドで「reqint_body2」を選択します。 この例では、「reqint_body2」が、必要な保全性構成であることを前提としています。
  7. オプション: 「Trust method name」フィールドで「BasicAuth」または「Signature」を選択する場合は、バインディング構成の「Token Consumer Dialog」ウィンドウでトラステッド ID エバリュエーターを指定します。 以下のステップを実行して、トラステッド ID エバリュエーターを指定します。
    1. Web Services Editor の「Binding Configurations」をクリックします。
    2. 「Token Consumer」セクションを展開して「追加」をクリックします。
    3. Use trusted ID evaluator」オプションをクリックします。
    4. 「Trusted ID evaluator class」フィールドでクラス名を指定します。 このクラスは com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator インターフェースをインプリメントし、信頼できる当事者のトークンを検証します。 WebSphere Application Server は com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl クラスを提供していますが、 これは TrustedIDEvaluator インターフェースのサンプル・インプリメンテーションです。 このクラスを使用する場合は、「Trusted ID evaluator class」フィールドに com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl を指定し、 「追加」をクリックして、以下のトラステッド ID エバリュエーター・プロパティーを追加します。
      • この名前フィールドで trustedid を使用します。
      • 値フィールドで CN=Alice,O=IBM,C=US を指定します。
      プロパティーの値は、信頼できる当事者のトークンのユーザー名または X.509 証明書トークンの識別名 (DN) です。
    5. OK」をクリックして、構成を保管します。
  8. Project Explorer で、「Web サービス」>「Client」セクションと展開し、Web サービスの名前をダブルクリックします。
  9. WS Extension」タブをクリックして、「Request Generator Configuration」>「Security Token」セクションと展開します。
  10. ジェネレーターの呼び出し元トークンを指定します。 トークンを署名や暗号化に使用する場合は、必要なトークン中にトークンを指定してはいけません。 しかし、スタンドアロン・トークン用に必要なトークンに、トークンを指定する必要があります。 スタンドアロン・トークンは、署名や暗号化には使用されないトークンです。 呼び出し元トークンのタイプがユーザー名トークンまたは X.509 証明書トークンで、 かつ署名や暗号化に使用されない場合は、この呼び出し元トークンにセキュリティー・トークンを指定します。
    1. 追加」をクリックしてセキュリティー・トークンを構成します。
    2. 「名前」フィールドに呼び出し元トークンの名前を指定します。
    3. 「トークン・タイプ」フィールドで「ユーザー名」または「X.509 証明書トークン」オプションを選択します。 これらの 2 つのオプションの 1 つを選択すると、「Local name」フィールドの値が自動的に定義されます。
    4. OK」をクリックして、構成を保管します。
    5. WS Binding」タブをクリックし、「Security Request Generator Binding Configuration」>「Token Generator」セクションと展開します。
    6. 追加」をクリックし、呼び出し元トークンのトークン・ジェネレーター構成を追加します。
    7. OK」をクリックして、構成を保管します。
  11. 信頼できる当事者のトークンを構成します。 以前に指定したトラスト・モードが「なし」の場合、呼び出し元トークンだけが添付され、信頼できる当事者のセキュリティー・トークンを指定する必要はありません。 トラスト・モードが BasicAuth または Signature の場合、 信頼できる当事者のトークンのユーザー名トークンまたは X.509 証明書トークンを指定する必要があります。 しかし、信頼できる当事者の X.509 証明書がデジタル・シグニチャーまたは暗号化にも使用される場合は、 信頼できる当事者のセキュリティー・トークンを指定する必要はありません。 以下のステップを実行して、信頼できる当事者のトークンを構成します。
    1. Project Explorer で、「Web サービス」>「Client」セクションと展開し、Web サービスの名前をダブルクリックします。
    2. WS Extension」タブをクリックして、「Request Generator Configuration」>「Security Token」セクションと展開します。
    3. 追加」をクリックしてセキュリティー・トークンを構成します。
    4. 「名前」フィールドに信頼できる当事者のトークンの名前を指定します。
    5. 「トークン・タイプ」フィールドで「ユーザー名」または「X.509 証明書トークン」オプションを選択します。 これらの 2 つのオプションの 1 つを選択すると、「Local name」フィールドの値が自動的に定義されます。
    6. OK」をクリックして、構成を保管します。
    7. WS Binding」タブをクリックし、「Security Request Generator Binding Configuration」>「Token Generator」セクションと展開します。
    8. 追加」をクリックし、信頼できる当事者のトークンのトークン・ジェネレーター構成を追加します。
    9. OK」をクリックして、構成を保管します。

次の作業

ご使用の環境が ID アサーション用に構成されました。



関連タスク
アセンブリー・ツールによるトークン・ジェネレーターの構成
Web サービス・アプリケーションをアセンブルしながらの Web サービス・セキュリティーの構成
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:13:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.nd.doc/info/ae/ae/twbs_configidentassertv6.html