Java
2 Platform, Enterprise Edition (J2EE) バージョン 1.3 アプリケーションのサーバー・サイド・バインディング構成を J2EE バージョン
1.4 アプリケーションへマイグレーションできます。
このタスクについて
以下の表に、
サーバー・サイド「
Binding Configurations」タブの下にある最上位セクションの、J2EE バージョン 1.3 アプリケーションから J2EE バージョン
1.4 アプリケーションへのマッピングをリストします。
表 1. 構成セクションのマッピング
J2EE バージョン 1.3 バインディング構成 |
J2EE バージョン 1.4 バインディング構成 |
Request Receiver Binding Configuration Details |
Request Consumer Service Binding Configuration Details |
Response Sender Binding Configuration Details |
Response Generator Binding Configuration Details |
サーバー・サイド・バインディングを
J2EE バージョン 1.3 から J2EE バージョン 1.4 へマイグレーションするための以下のステップを参考にしてください。
これらのステップは、特定の構成に依存しています。
このステップは標準的なシナリオに基づいていますが、包括的なものではありません。
プロシージャー
- J2EE バージョン 1.3 アプリケーションの「Request Receiver
Binding Configuration Details」セクションの下にある構成情報をマイグレーションします。
- J2EE バージョン 1.3 アプリケーションで指定された任意のトラスト・アンカー情報を、
「Trust Anchor」ダイアログを使用して J2EE バージョン 1.4 にマイグレーションします。
- J2EE バージョン 1.4 アプリケーションの「Certificate Store List」セクションを構成して、
J2EE バージョン 1.3 アプリケーションで指定された証明書ストア・リストの下にある情報を、J2EE バージョン 1.4 にマイグレーションします。
- 「鍵情報」ダイアログ・ウィンドウから参照される鍵ロケーターおよびトークン・コンシューマー情報を構成します。
鍵ロケーターおよびトークン・コンシューマーの構成は、鍵情報タイプに依存しています。
例えば、<wsse:Security> セキュリティー・ヘッダーに組み込まれている X.509 証明書がデジタル・シグニチャーに
使用される場合、以下のステップを実行します。
- 鍵ロケーターの構成の場合、鍵ロケーター・クラスとして
com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator クラスを指定し、鍵ストアは指定しないでください。
- トークン・コンシューマーの構成の場合、com.ibm.wsspi.wssecurity.token.509TokenConsumer クラスを選択し、
値タイプ URI に X509 証明書トークンを指定して、
jaas.config.name フィールドに system.wssecurity.X509BST を指定します。
また、トークン・コンシューマー構成の一部として、証明書パス設定
(トラスト・アンカー参照および証明書ストア参照) を指定する必要があります。
- 「鍵情報」ダイアログ・ウィンドウで、鍵情報タイプを明示的に指定します。
J2EE バージョン 1.3 アプリケーションで、セキュリティー・トークン参照や鍵 ID などの鍵情報タイプは、
明示的に指定されません。
鍵情報タイプは、構成によって暗黙的に示されます。
J2EE バージョン 1.4 アプリケーションでは、バインディング・ファイルにデジタル・シグニチャーまたは暗号化情報がある場合、
「鍵情報」ダイアログを使用して鍵情報タイプを明示的に指定する必要があります。
鍵情報を構成する前に、「鍵情報」ダイアログから参照される鍵ロケーターおよびトークン・コンシューマー情報を
構成したことを確認します。
デジタル・シグニチャーまたは暗号化のいずれかに対して鍵情報を構成する場合は、
正しい鍵情報タイプを指定する必要があります。
鍵情報タイプの値は、デジタル署名または暗号化に使用されるセキュリティー・トークンを参照するために使用されるメカニズムのタイプに依存します。
以下の情報は、セキュリティー・トークン参照 (または直接参照) および鍵 ID について説明したものです。
これらは、デジタル署名および暗号化に使用される、最も一般的な推奨鍵情報タイプです。
- セキュリティー・トークン参照 (または直接参照)
- セキュリティー・トークンは、URI を使用して、直接に参照されます。
この鍵情報タイプでは、Simple Object Access Protocol (SOAP) メッセージに以下の <KeyInfo> エレメントが生成されます。
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<wsse:Reference URI="#mytoken" />
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- 鍵 ID
- このセキュリティー・トークンは、一意的にトークンを識別する隠された値を使用して参照されます。
KeyIdentifier 値を生成するために使用されるアルゴリズムは、トークン・タイプに依存します。
例えば、セキュリティー・トークンの重要エレメントのハッシュは、
KeyIdentifier 値の生成に使用されます。
この鍵情報タイプでは、SOAP メッセージに以下の <KeyInfo> エレメントが生成されます。
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<wsse:SecurityTokenReference>
<wsse:KeyIdentifier ValueType="wsse:X509v3">/62wXO...</wsse:KeyIdentifier>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
「鍵情報」ダイアログ・ウィンドウで、以前に構成した鍵ロケーターおよび
トークン・コンシューマーの名前を指定します。
「鍵の名前」フィールドは、コンシューマー・サイドに対してはオプションです。
- 「署名情報」、「パーツ参照」、および「変換」セクションを構成して、
「署名情報」セクションの情報をマイグレーションします。
- 「Signing Information Dialog」ウィンドウのシグニチャー方式および正規化方式アルゴリズムを指定します。
- 「Part Reference Dialog」ウィンドウで、ダイジェスト方式アルゴリズムを指定します。
- 「暗号化情報」セクションの下で情報をマイグレーションします。
「Encryption Information Dialog」ウィンドウで、暗号用に構成されている鍵情報エレメントの名前を選択し、
RequiredConfidentiality パーツを指定します。
選択した RequiredConfidentiality パーツの値が、
拡張ファイルで構成されている必要な機密性パーツと同じ名前であることを確認します。
J2EE バージョン 1.3 アプリケーションの「Login Mapping」セクションは、
認証メソッドによって指定されるトークン・タイプのトークン・コンシューマー構成にマップされます。
例えば、
BasicAuth 認証メソッドを使用するログイン・マッピング構成をマイグレーションする場合は、
ユーザー名トークンのトークン・コンシューマーを構成します。
ユーザー名トークンのトークン・コンシューマーを
構成するには、以下のステップを実行します。
- com.ibm.wsspi.wssecurity.UsernameTokenConsumer トークン・コンシューマー・クラスを選択します。
- 「Security Token」フィールド内の「拡張機能」から、必要なセキュリティー・トークン構成の名前を指定します。
- 値タイプに「Username Token」を選択します。
- 「jaas.config.name」フィールドで system.wssecurity.UsernameToken 値を指定します。
- J2EE バージョン 1.3 バインディング・ファイルの
「Response Sender Binding Configuration Details」セクションの構成情報を、
J2EE バージョン 1.4 アプリケーションの「Response Generator Binding Configuration Details」セクションにマイグレーションします。
応答ジェネレーター・セクションの構成は、要求コンシューマー・セクションの構成と非常に似ています。
- アセンブリー・ツールの「Key Locator Dialog」ウィンドウを使用して、「鍵ロケーター」セクションから情報をマイグレーションします。
- 「鍵情報」ダイアログ・ウィンドウで参照される、トークン・ジェネレーターを構成します。
SOAP メッセージで生成されるすべてのセキュリティー・トークンのトークン・ジェネレーターを構成する必要があります。
トークン・ジェネレーターが、デジタル・シグニチャーまたは暗号化に使用される
X.509 証明書に対するものである場合、以下のステップを実行します。
- 鍵ロケーターの構成の場合、鍵ロケーター・クラスとして
com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator クラスを指定し、鍵ストアは指定しないでください。
- トークン・ジェネレーターの構成の場合、com.ibm.wsspi.wssecurity.X509TokenGenerator クラスを選択し、
値タイプ URI に X509 証明書トークンを指定します。
トークン・ジェネレーターに対して指定される鍵ストア情報は、
鍵ロケーターを構成するために使用される情報と同じです。
そのため、J2EE バージョン 1.3 アプリケーションの鍵ロケーター構成の鍵ストア情報は、
J2EE バージョン 1.4 アプリケーションの鍵ロケーターおよびトークン・ジェネレーターを構成するために使用されます。
- 「Token Generator Dialog」ウィンドウで、トークンを生成するために必要な鍵情報を取得するために、
コールバック・ハンドラーによって必要とされる鍵ストア情報を指定します。
- コールバック・ハンドラーとして、com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler クラスを選択します。
- 以前に構成した「鍵情報」ダイアログ・ウィンドウの鍵ロケーターおよび
トークン・ジェネレーターの名前を指定します。
鍵名は、ジェネレーター・サイドで必要になります。
「鍵情報」ダイアログ・ウィンドウで指定される鍵は、
鍵ロケーター構成で指定された鍵のリストに存在している必要があります。
また、署名情報構成および暗号化情報構成のマイグレーションは、
「Request Receiver Binding Configuration」セクションの署名情報構成および暗号化情報構成のマイグレーションと
似ています。
応答ジェネレーター・セクションの鍵情報の構成は、
要求コンシューマー・セクションの鍵情報の構成と似ています。
結果
この一連のステップでは、J2EE
バージョン 1.3 アプリケーションのサーバー・サイド・バインディング構成を J2EE バージョン 1.4 アプリケーションに
マイグレーションするために必要な情報のタイプについて説明します。