WebSphere Application Server for z/OS, Version 6.0.x   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化

アセンブリー・ツールによるトークン・ジェネレーターの構成

トークン・ジェネレーターのクライアント・サイド・バインディングまたはトークン・ジェネレーターのサーバー・サイド・バインディングのいずれかを構成できます。

始める前に

このタスクを実行する前に、以下のステップを完了しておく必要があります。

このタスクについて

セキュリティー・トークンは、クライアントによる一連の要求を表します。 この一連の要求は、名前、パスワード、ID、鍵、証明書、グループ、特権などが含まれます。 セキュリティー・トークンは、SOAP ヘッダー内の SOAP メッセージに組み込まれます。 SOAP ヘッダー内のセキュリティー・トークンは、 メッセージの送信側から目的のメッセージの受信側に伝搬します。

以下のステップを実行して、 ステップ 2 におけるトークン・ジェネレーターのクライアント・サイド・バインディングまたは ステップ 3 におけるトークン・ジェネレーターのサーバー・サイド・バインディングのいずれかを構成します。

プロシージャー

  1. アセンブリー・ツールを開始します。
  2. Java 2 Platform, Enterprise Edition (J2EE) パースペクティブへ切り替えます。 「ウィンドウ」>「パースペクティブのオープン」>「J2EE」とクリックします。
  3. オプション: プロジェクト・エクスプローラー・ウィンドウで、クライアント側のバインディングを探します。 「Client Deployment Descriptor」ウィンドウが表示されます。 この Web サービスに、構成が必要なバインディングが含まれています。
    1. 「Web サービス」>「クライアント」セクションと展開して、Web サービス名をダブルクリックします。
    2. WS Binding」タブをクリックし、「Security Request Generator Binding Configuration」セクションを展開します。
  4. オプション: 「Project Explorer」ウィンドウを使用して、サーバー・サイドのバインディングを見付けます。 「Web Services Editor」ウィンドウが表示されます。 この Web サービスに、構成が必要なバインディングが含まれています。
    1. 「Web サービス」>「サービス」とセクションを展開し、 Web サービスの名前をダブルクリックします。
    2. Binding Configurations」タブをクリックして、 「Response Generator Binding Configuration Details」セクションを展開します。
  5. オプション: X.509 セキュリティー・トークンに対してこのトークン・コンシューマーを構成している場合は、 トラスト・アンカーを構成します。
    1. 「Trust anchor」セクションを展開し、「追加」をクリックして新規エントリーを追加するか、 「編集」をクリックして、選択したエントリーを編集します。 「Trust anchor」ダイアログ・ウィンドウが表示されます。
    2. 「Trust anchor name」フィールドでトラスト・アンカー構成の名前を指定します。
    3. 「Key store storepass」フィールドで鍵ストアのパスワードを指定します。 鍵ストアの storepass は、鍵ストア・ファイルへのアクセスに必要なパスワードです。
    4. 「Key store path」フィールドで、鍵ストア・ファイルのパスを指定します。 鍵ストア・パスは、鍵ストアが置かれているディレクトリーです。 アプリケーションをどこにデプロイする場合でも、鍵ストア・ファイルを探し出せるようにしておいてください。
    5. 「鍵ストア・タイプ」フィールドから鍵ストア・タイプを選択します。 ここで選択する鍵ストア・タイプは、 「Key store path」フィールドで指定した鍵ストア・ファイルと一致している必要があります。
  6. 「Token generator」セクションを展開して、「追加」をクリックして新規エントリーを追加するか、 「編集」をクリックして、選択したエントリーを編集します。 「Token Generator」ダイアログ・ウィンドウが表示されます。
  7. 「Token generator name」フィールドに固有の名前を指定します。 例えば、gen_signtgen などです。 このトークン・ジェネレーターが X.509 証明書用で、シグニチャー生成または暗号化のために使用される場合、 トークン・ジェネレーター名は「鍵情報」ダイアログ・ウィンドウの「トークン」フィールドで参照されます。
  8. 「Token generator class」フィールドでトークン・ジェネレーター・クラスを選択します。 構成しているトークンのタイプと一致するトークン・ジェネレーター・クラスを選択します。 このクラスは、com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent インターフェースをインプリメントする必要があります。 以下のデフォルト・トークン・ジェネレーターのインプリメンテーションがサポートされています。
    • com.ibm.wsspi.wssecurity.token.LTPATokenGenerator
    • com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator
    • com.ibm.wsspi.wssecurity.token.X509TokenGenerator
  9. 「セキュリティー・トークン」フィールドでセキュリティー・トークン参照を選択します。 このフィールドの値は、拡張ファイルで構成されるセキュリティー・トークンを参照します。
  10. Use value type」オプションを選択し、「Value type」フィールドで値のタイプを選択します。 構成しているトークン・ジェネレーターのタイプと一致するセキュリティー・トークンの値のタイプを選択します。 値のタイプを選択すると、アセンブリー・ツールは、値のタイプによって指定されるセキュリティー・トークンのタイプに応じて、 自動的に「Local name」フィールドと「URI」フィールドに正しい値を入力します。 「Custom Token」を選択する場合、 生成トークンの値のタイプのローカル名およびネーム・スペース URI を指定する必要があります。 以下の値のタイプがサポートされています。
    • ユーザー名トークン
    • X509 証明書トークン
    • PKIPath 内の X509 証明書
    • PKCS#7 内の X509 証明書および CRL のリスト
    • LTPA トークン
    • カスタム・トークン
  11. 「Call back handler」フィールドでコールバック・ハンドラー・クラス名を指定します。 この名前は、セキュリティー・トークン・フレームワークをプラグインするために使用する コールバック・ハンドラー・インプリメンテーション・クラスです。 指定されたコールバック・ハンドラー・クラスは、javax.security.auth.callback.CallbackHandler インターフェースをインプリメントする必要があります。 Java Authentication and Authorization Service (JAAS) のインプリメンテーションである javax.security.auth.callback.CallbackHandler インターフェースは、以下の構文を使用して、コンストラクターを提供する必要があります。
    MyCallbackHandler(String username, char[] password, java.util.Map properties)
    各部の意味は、次のとおりです。
    • username は、構成に渡されるユーザー名を指定します。
    • password は、構成に渡されるパスワードを指定します。
    • properties は、構成に渡される他の構成プロパティーを指定します。
    以下のデフォルトのコールバック・ハンドラー・インプリメンテーションがサポートされています。
    com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
    このコールバック・ハンドラーは、ログイン・プロンプトを使用して、ユーザー名およびパスワード情報を収集します。 ただし、このパネルでユーザー名およびパスワードを指定した場合、 プロンプトは表示されず、このパネルでトークン・ジェネレーターが指定されていれば、WebSphere Application Server は ユーザー名およびパスワードをそこに戻します。 このインプリメンテーションは J2EE アプリケーション・クライアントに対してのみ使用してください。
    com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
    このコールバック・ハンドラーはプロンプトを発行せず、 このパネル上で指定されている場合は、ユーザー名とパスワードを戻します。 Web サービスがクライアントとして機能している場合は、 このコールバック・ハンドラーを使用することができます。
    com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
    このコールバック・ハンドラーは、ユーザー名およびパスワードを収集するための標準プロンプトを使用します。 ただし、このパネルでユーザー名およびパスワードが指定された場合、 WebSphere Application Server はプロンプトを表示しませんが、トークン・ジェネレーターにユーザー名およびパスワードを戻します。 このインプリメンテーションは J2EE アプリケーション・クライアントに対してのみ使用してください。
    com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
    このコールバック・ハンドラーは、Run As 起動 Subject から Lightweight Third Party Authentication (LTPA) セキュリティー・トークンを取得するために使用されます。 このトークンは、バイナリー・セキュリティー・トークンとして、SOAP メッセージ内で Web サービス・セキュリティー・ヘッダーに挿入されます。 ただし、このパネルでユーザー名およびパスワードが指定される場合、 WebSphere Application Server は、Run As Subject から LTPA セキュリティー・トークンを取得するのではなく、 ユーザー名およびパスワードを認証してこれを取得します。 このコールバック・ハンドラーは、Web サービスがアプリケーション・サーバー上でクライアントとして機能している場合のみ使用してください。 このコールバック・ハンドラーを J2EE アプリケーション・クライアント上で使用することはお勧めしません。
    com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
    このコールバック・ハンドラーは、バイナリー・セキュリティー・トークンとして SOAP メッセージ内の Web サービス・ セキュリティー・ヘッダーに挿入される X.509 証明書を作成するために使用されます。 このコールバック・ハンドラーには、鍵ストアおよび鍵定義が必要です。
    com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
    このコールバック・ハンドラーは、 PKCS#7 フォーマットでエンコードされる X.509 証明書を作成するために使用されます。 この証明書は、バイナリー・セキュリティー・トークン として、SOAP メッセージで Web サービス・セキュリティー・ヘッダーに挿入されます。 このコールバック・ハンドラーには鍵ストアが必要です。 コレクション証明書ストアで証明書失効リスト (CRL) を指定する必要があります。 CRL は、PKCS#7 フォーマットの X.509 証明書でエンコードされています。
    com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
    このコールバック・ハンドラーは、 PkiPath フォーマットでエンコードされた X.509 証明書を作成するために使用されます。 この証明書は、バイナリー・セキュリティー・トークン として SOAP メッセージ内で Web サービス・セキュリティー・ヘッダーに挿入されます。 このコールバック・ハンドラーには鍵ストアが必要です。 CRL はコールバック・ハンドラーによってサポートされていないため、 コレクション証明書ストアは不要で使用されません。

    このコールバック・ハンドラー・インプリメンテーションは、必要なセキュリティー・トークンを取得し、 それをトークン・ジェネレーターに渡します。 トークン・ジェネレーターは、SOAP メッセージ内の Web サービス・セキュリティー・ヘッダーにセキュリティー・トークンを挿入します。 また、トークン・ジェネレーターは、プラグ可能なセキュリティー・トークン・フレームワークのプラグイン・ポイントです。 サービス・プロバイダーは固有のインプリメンテーションを提供することができますが、このインプリメンテーションは、 com.ibm.wsspi.wssecurity.token.TokenConsumerComponent インターフェースを使用する必要があります。

  12. 「ユーザー ID」フィールドに基本認証ユーザー ID を指定します。 このユーザー名は、コールバック・ハンドラー・インプリメンテーションのコンストラクターに渡されます。 先のステップで説明されているように、 以下のデフォルトのコールバック・ハンドラー・インプリメンテーションのいずれかを選択すると、基本認証ユーザー名およびパスワードが使用されます。
    • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
    • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
    • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
    • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
  13. 「パスワード」フィールドに基本認証パスワードを指定します。 このパスワードは、コールバック・ハンドラー・インプリメンテーションのコンストラクターに渡されます。
  14. オプション: 以前に以下のコールバック・ハンドラーのいずれかを選択している場合、 「Use key store」オプションを選択し、以下のサブステップを実行します。 com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler、 com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler、または com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler。
    1. 「Key store storepass」フィールドに鍵ストアのパスワードを指定します。 このパスワードは鍵ストア・ファイルへのアクセスに使用されます。
    2. 「Key store path」フィールドに鍵ストアのロケーションを指定します。
    3. 「Key store type」フィールドに鍵ストアのタイプを指定します。 サポートされている鍵ストア・タイプは、以下のとおりです。
      JKS
      鍵ストアが Java Keystore (JKS) フォーマットを使用する場合は、このオプションを使用します。
      JCEKS
      Java Cryptography Extension が Software Development Kit (SDK) で構成される場合には、このオプションを使用します。 デフォルトの IBM JCE は、WebSphere Application Server で構成されます。 このオプションは、Triple DES 暗号化を使用することによって、保管された秘密鍵の保護をより強力にします。
      JCERACFKS
      証明書が SAF 鍵リング (z/OS のみ) に格納される場合は、JCERACFKS を使用します。
      PKCS11
      鍵ストアが PKCS#11 ファイル・フォーマットを使用する場合、このフォーマットを使用します。このフォーマットを使用する鍵ストアには、 暗号ハードウェア上に RSA 鍵が含まれているか、暗号ハードウェアを使用する鍵を暗号化して保護を実行している可能性があります。
      PKCS12
      鍵ストアが PKCS#12 ファイル・フォーマットを使用する場合、このオプションを使用します。
    4. 「Keys」セクションで、「追加」をクリックして、鍵を追加します。 また、「除去」をクリックして、既存の鍵を除去することもできます。
    5. 「Key」セクションで、「別名」フィールドに鍵の別名を指定することができます。 例えば、bob などです。 鍵ロケーターが鍵の別名を使用して、鍵ストア・ファイル内の鍵を見付けます。
    6. 「Keys」セクションで、「Key pass」フィールドに鍵のパスワードを指定します。 このパスワードは、鍵ストア・ファイル内の鍵オブジェクトにアクセスする際に必要です。
    7. 「Keys」セクションで、「Key name」フィールドに名前を指定します。 鍵名は、完全修飾識別名でなければなりません。 例えば、CN=Bob,O=IBM,C=US のように指定してください。
  15. オプション: トークン・ジェネレーターが PKCS#7 トークン・タイプを使用し、 ユーザーがセキュリティー・トークンに証明書取り消しリスト (CRL) をパッケージしたい場合は、 「Use certificate path settings」オプションを選択します。
    1. Certificate path reference」オプションおよび証明書ストア参照を選択します。 この選択は、「Certificate Store List」セクションで構成された証明書ストアを参照します。 詳しくは、 アセンブリー・ツールを使用したジェネレーター・バインディングのコレクション証明書ストアの構成 を参照してください。
  16. オプション: 追加」をクリックして、「プロパティー」セクションで追加のプロパティーを指定します。
    トークン・ジェネレーターにユーザー名トークンの nonce が含まれる場合、以下の名前と値のペアを追加します。
    名前
    com.ibm.wsspi.wssecurity.token.username.addNonce
    true
    nonce はメッセージに組み込まれた固有の暗号数値であり、 ユーザー名トークンの、繰り返される未許可の攻撃を防ぐのに役立ちます。 プロパティーは、生成されたトークンのタイプがユーザー名トークンである場合に限り有効です。 このオプションは、要求ジェネレーター・バインディングに対してのみ使用可能です。
    このトークン・ジェネレーターにユーザー名トークンのタイム・スタンプが含まれる場合、 下の名前と値のペアを追加します。
    名前
    com.ibm.wsspi.wssecurity.token.username.addTimestamp
    true
    このオプションは、生成されたトークン・タイプがユーザー名トークンであり、 要求ジェネレーター・バインディングに対してのみ使用可能な場合に限り有効です。
    IBM 拡張デプロイメント記述子で定義された ID アサーションがある場合は、以下の名前と値のペアを追加します。
    名前
    com.ibm.wsspi.wssecurity.token.IDAssertion.isUsed
    true
    このオプションは、初期送信側の ID のみが必要で、 SOAP メッセージ内の Web サービス・セキュリティー・ヘッダーに挿入されることを示します。 例えば、WebSphere Application Server は、 ユーザー名トークン・ジェネレーターの元の呼び出し元のユーザー名のみを送信します。 X.509 トークン・ジェネレーターの場合、 アプリケーション・サーバーはオリジナルの署名者認証のみを送信します。
    ユーザーが IBM 拡張デプロイメント記述子で定義された ID アサーションを持ち、 ダウンストリーム呼び出しの ID アサーションに対して、初期呼び出し元 ID の代わりに Run As ID を使用する場合、以下の名前と値のペアを追加します。
    名前
    com.ibm.wsspi.wssecurity.token.IDAssertion.useRunAsIdentity
    true
    このオプションは、生成されたトークンのタイプがユーザー名トークンである場合に限り有効です。
  17. OK」をクリックして、構成を保管します。

次の作業

このトークン・ジェネレーター構成が X.509 セキュリティー・トークンに対するものである場合は、鍵情報を構成します。 詳しくは、ジェネレーター・バインディング用鍵情報の、アセンブリー・ツールによる構成 を参照してください。



関連概念
トラスト・アンカー
関連タスク
ジェネレーターのセキュリティー制約におけるセキュリティー・トークンの構成
ジェネレーター・バインディング用鍵情報の、アセンブリー・ツールによる構成
アセンブリー・ツールを使用したジェネレーター・バインディングのコレクション証明書ストアの構成
Web サービス・アプリケーションをアセンブルしながらの Web サービス・セキュリティーの構成
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:52:11 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/twbs_spectokengen.html