機密保護機能のある環境では、サーバー ID といった信頼できる証明書によって、証明書なしのリクエスター ID を送信することが可能です。
始める前に
このタスクを実行する前に、
アプリケーションをアセンブリー・ツールにインポートする必要があります。
アプリケーションをインポートする方法については、
エンタープライズ・アプリケーションのインポートを
参照してください。
このタスクについて
ID アサーションは、WebSphere Application Server バージョン 6.0.
x 以降の
拡張機能の 1 つですが、仮想プライベート・ネットワーク (VPN) や HTTP といった、機密保護機能のある環境で使用する必要があります。
ID アサーションの場合、WebSphere Application Server はトラスト・モードの以下のタイプをサポートします。
- なし
- 信頼できるクレデンシャルを Simple Object
Access protocol (SOAP) メッセージに添付しないことを指定します。
- BasicAuth
- ユーザー名およびパスワードを持つユーザー名トークンを、信頼できるクレデンシャルとして使用することを指定します。
- Signature
- X.509 証明書セキュリティー・トークンをデジタル・シグニチャーで使用することを指定します。
ID アサーションの特定の構成は、
サービス構成のコンシューマー側にのみ必要です。ジェネレーター側では、クライアント構成に 2 つのトークン・ジェネレーターを構成する必要があります。
1 つはリクエスター・トークン用で、もう 1 つは信頼できる当事者のトークン用です。
以下のステップを実行して、
ID アサーション用のアプリケーションを構成します。構成を完了するにはコンシューマーおよびジェネレーターの両方を構成する必要があります。
プロシージャー
- アセンブリー・ツールを開始します。
- Java 2 Platform, Enterprise Edition (J2EE) パースペクティブへ切り替えます。
「ウィンドウ」>「パースペクティブのオープン」>「J2EE」とクリックします。
- Project Explorer で、「Web サービス」>「Services section」と展開し、Web サービスの名前をダブルクリックします。
- 「拡張機能」タブをクリックし、「Response Consumer
Service Configuration Details」>「Caller Part」セクションとクリックしして、呼び出し元トークンを構成します。
- コンシューマーの呼び出し元トークンを構成します。
以下のステップを完了して、コンシューマーの呼び出し元トークンを構成します。
- 「追加」をクリックして呼び出し元パーツを構成します。
「Caller
Part Dialog」ウィンドウが表示されます。このウィンドウで、呼び出し元
(リクエスター) のクレデンシャルとして使用されるトークンと、信頼できる当事者のトークンの両方を構成します。
- 「名前」フィールドに呼び出し元トークンの名前を指定します。
- 「トークン・タイプ」フィールドで呼び出し元トークンのタイプを選択します。
例えば、ユーザー名トークンが呼び出し元トークンとして使用される場合は、「ユーザー名」を選択できます。
トークン・タイプを選択する場合は、自動的にローカル名が指定されます。
- オプション: 「トークン・タイプ」フィールドで「Custom token」を選択する場合は、
カスタム・トークンのローカル名と URI を指定する必要があります。
「URI」フィールドは、カスタム・トークンに対してのみ使用します。
- オプション: 呼び出し元トークンも、必要な保全性または機密性部分の証明書として使用する場合は、
そのパーツの名前を「Integrity」または「Confidentiality」パーツ・フィールドで選択します。
このリストには、
コンシューマーの「Required Integrity」および「Required Confidentiality」セクションで定義されている保全性および機密性パーツ名が含まれています。
例えば、X.509 証明書トークンが、本体エレメントの呼び出し元トークンおよびシグニチャー証明書の両方に使用される場合は、
「トークン・タイプ」フィールドに「X.509 certificate token」を、
「Integrity」または「Confidentiality」パーツ・フィールドに「reqint_body1」を選択することができます。
この例では、「reqint_body1」が必要な保全性構成であることを前提としています。
- コンシューマーの信頼できる当事者のトークンを構成します。
以下のステップを実行して、信頼できる当事者のトークンを構成します。
- 「IDAssertion の使用」オプションを選択して、
トラスト・メソッドとこの呼び出し元を関連付け、仲介プログラム (呼び出し元) の ID アサーションを
検証します。
- 「Trust method name」フィールドでトラスト・メソッドの名前を選択します。
以下の選択がサポートされています。
- なし
- このオプションを選択すると、信頼できるクレデンシャルを SOAP メッセージに添付しないことが指定されます。
- BasicAuth
- このオプションを選択すると、ユーザー名およびパスワードを持つユーザー名トークンを、信頼できるクレデンシャルとして使用することが指定されます。
- Signature
- このオプションを選択すると、X.509 証明書セキュリティー・トークンをデジタル・シグニチャーで使用することが指定されます。
BasicAuth または Signature を選択した場合、「URI」フィールドおよび「Local name」フィールドが自動的に指定されます。
- オプション: 信頼できる当事者のトークンによるデジタル・シグニチャーまたは暗号化が必要な場合は、
「Integrity」または「Confidentiality」パーツ・フィールドで保全性または機密性部分の名前を選択します。
例えば、「Trust method」フィールドで「Signature」を選択し、
信頼できる当事者のトークンが本体エレメントに署名することが必要な場合は、
「保全性」および「機密性」パーツ・フィールドで「reqint_body2」を選択します。
この例では、「reqint_body2」が、必要な保全性構成であることを前提としています。
- オプション: 「Trust method name」フィールドで「BasicAuth」または「Signature」を選択する場合は、バインディング構成の「Token Consumer
Dialog」ウィンドウでトラステッド ID エバリュエーターを指定します。
以下のステップを実行して、トラステッド ID エバリュエーターを指定します。
- Web Services Editor の「Binding Configurations」をクリックします。
- 「Token Consumer」セクションを展開して「追加」をクリックします。
- 「Use trusted ID evaluator」オプションをクリックします。
- 「Trusted ID evaluator class」フィールドでクラス名を指定します。
このクラスは com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator
インターフェースをインプリメントし、信頼できる当事者のトークンを検証します。
WebSphere Application Server は com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl クラスを提供していますが、
これは TrustedIDEvaluator インターフェースのサンプル・インプリメンテーションです。
このクラスを使用する場合は、「Trusted ID evaluator class」フィールドに com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl を指定し、
「追加」をクリックして、以下のトラステッド ID エバリュエーター・プロパティーを追加します。
- この名前フィールドで trustedid を使用します。
- 値フィールドで CN=Alice,O=IBM,C=US を指定します。
プロパティーの値は、信頼できる当事者のトークンのユーザー名または X.509 証明書トークンの識別名 (DN) です。
- 「OK」をクリックして、構成を保管します。
- Project Explorer で、「Web サービス」>「Client」セクションと展開し、Web サービスの名前をダブルクリックします。
- 「WS Extension」タブをクリックして、「Request Generator
Configuration」>「Security Token」セクションと展開します。
- ジェネレーターの呼び出し元トークンを指定します。
トークンを署名や暗号化に使用する場合は、必要なトークン中にトークンを指定してはいけません。
しかし、スタンドアロン・トークン用に必要なトークンに、トークンを指定する必要があります。
スタンドアロン・トークンは、署名や暗号化には使用されないトークンです。
呼び出し元トークンのタイプがユーザー名トークンまたは X.509 証明書トークンで、
かつ署名や暗号化に使用されない場合は、この呼び出し元トークンにセキュリティー・トークンを指定します。
- 「追加」をクリックしてセキュリティー・トークンを構成します。
- 「名前」フィールドに呼び出し元トークンの名前を指定します。
- 「トークン・タイプ」フィールドで「ユーザー名」または「X.509 証明書トークン」オプションを選択します。
これらの 2 つのオプションの 1 つを選択すると、「Local name」フィールドの値が自動的に定義されます。
- 「OK」をクリックして、構成を保管します。
- 「WS Binding」タブをクリックし、「Security Request
Generator Binding Configuration」>「Token Generator」セクションと展開します。
- 「追加」をクリックし、呼び出し元トークンのトークン・ジェネレーター構成を追加します。
- 「OK」をクリックして、構成を保管します。
- 信頼できる当事者のトークンを構成します。
以前に指定したトラスト・モードが「なし」の場合、呼び出し元トークンだけが添付され、信頼できる当事者のセキュリティー・トークンを指定する必要はありません。
トラスト・モードが BasicAuth または Signature の場合、
信頼できる当事者のトークンのユーザー名トークンまたは X.509 証明書トークンを指定する必要があります。
しかし、信頼できる当事者の X.509 証明書がデジタル・シグニチャーまたは暗号化にも使用される場合は、
信頼できる当事者のセキュリティー・トークンを指定する必要はありません。
以下のステップを実行して、信頼できる当事者のトークンを構成します。
- Project Explorer で、「Web サービス」>「Client」セクションと展開し、Web サービスの名前をダブルクリックします。
- 「WS Extension」タブをクリックして、「Request Generator
Configuration」>「Security Token」セクションと展開します。
- 「追加」をクリックしてセキュリティー・トークンを構成します。
- 「名前」フィールドに信頼できる当事者のトークンの名前を指定します。
- 「トークン・タイプ」フィールドで「ユーザー名」または「X.509 証明書トークン」オプションを選択します。
これらの 2 つのオプションの 1 つを選択すると、「Local name」フィールドの値が自動的に定義されます。
- 「OK」をクリックして、構成を保管します。
- 「WS Binding」タブをクリックし、「Security Request
Generator Binding Configuration」>「Token Generator」セクションと展開します。
- 「追加」をクリックし、信頼できる当事者のトークンのトークン・ジェネレーター構成を追加します。
- 「OK」をクリックして、構成を保管します。
次の作業
ご使用の環境が ID アサーション用に構成されました。