WebSphere Application Server for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

プラットフォーム構成とデフォルト・バインディングの概要

Web サービス・セキュリティー制約は、Java 2 Platform, Enterprise Edition (J2EE) の Web サービス・デプロイメント記述子の IBM 拡張内で定義されています。 Web サービス・セキュリティーの IBM 拡張デプロイメント記述子およびバインディングは、IBM の所有です。

これらのファイルは複雑であり、エラーの原因となる可能性があるため、 テキスト・エディターを使用して手動でデプロイメント記述子およびバインディング・ファイルを編集することはお勧めできません。 ただし、IBM が提供するツールを使用して、アプリケーション用の Web サービス・セキュリティー制約を構成することは推奨されています。 これらのツールは、WebSphere Application Server 管理コンソール、Rational Application Developer、Rational Web Developer、および Application Server Toolkit です。

以下の表は、クライアントおよびサーバーのデプロイメント記述子およびバインディング・ファイルの名前を示したものです。
ファイル・タイプ クライアント・サイド サーバー・サイド
デプロイメント記述子 ibm-webservicesclient-ext.xmi ibm-webservices-ext.xmi
バインディング・ファイル ibm-webservicesclient-bnd.xmi ibm-webservices-bnd.xmi

どのメッセージ部分が署名されるか、どのトークンが暗号化されるかといった、デプロイメント記述子内で指定される「対象」。 どのようにメッセージが署名されるか、 どのようにセキュリティー・トークンが生成され消費されるかといった、バインディング・ファイル内で指定される「方法」。

アプリケーション・デプロイメント記述子およびバインディング・ファイルのほか、 WebSphere Application Server バージョン 6 以降ではサーバー・レベルの Web セキュリティー・サービス構成を持っています。 これらの構成は、すべてのアプリケーションに対してグローバルです。 WebSphere Application Server バージョン 6 以降は 5.x アプリケーションをサポートしているため、構成の うちのいくつかはバージョン 5.x アプリケーションにのみ有効であり、いくつかはバージョン 6 以降のアプリケーションにのみ有効です。

以下の図は、 アプリケーション・デプロイメント記述子およびバインディング・ファイルのセル・レベル (Network Deployment のみ) およびサーバー・レベルの構成に対する関係を表しています。

アプリケーション・デプロイメント記述子およびバインディング・ファイルの、アプリケーション・サーバーに対する関係

プラットフォーム構成

管理コンソールでは以下のオプションが使用可能です。
Nonce キャッシュ・タイムアウト
このオプションは、セル・レベル (Network Deployment のみ) およびサーバー・レベルにありますが、 nonce のキャッシュ・タイムアウト値を秒単位で指定します。
Nonce 最大存続期間
このオプションは、セル・レベル (Network Deployment のみ) およびサーバー・レベルにありますが、nonce のデフォルトの存続期間を秒単位で指定します。
Nonce クロック・スキュー
このオプションは、セル・レベル (Network Deployment のみ) およびサーバー・レベルにありますが、 デフォルトのクロック・スキューを、ネットワーク遅延、処理遅延などのアカウントに対して指定します。 nonce の有効期限が切れる時期の計算に使用されます。 単位は秒です。
分散 nonce キャッシング
この機能によって、クラスター内の異なるサーバーに、nonce 用のキャッシュを分散することができます。 WebSphere Application Server バージョン 6.0.x 以降で使用可能です。
以下の機能は、アプリケーション・バインディング内で参照できます。
鍵ロケーター
この機能は、署名、暗号化、および暗号化解除のために鍵を検索する方法を指定します。 鍵ロケーターの実装クラスは、WebSphere Application Server バージョン 6 以降とバージ ョン 5.x では異なります。
コレクション証明書ストア
この機能は、証明書パス検証の証明書ストアを指定します。 通常は、PKCS#7 形式でエンコードされた証明書失効リストを使用して、 署名検証または X.509 トークンの構成の際に X.509 トークンを妥当性検査するために使用されます。 証明書取り消しリストは、WebSphere Application Server バージョン 6 以降のアプリケーションのみでサポート されています。
トラスト・アンカー
この機能は、署名者証明書のトラスト・レベルを指定し、通常、シグニチャー検証の際に X.509 トークン検証で使用されます。
トラステッド ID エバリュエーター
この機能は、ID のトラスト・レベルの検証方法を指定します。 この機能は、ID アサーションで使用されます。
ログイン・マッピング
この機能は、認証メソッドに対するログイン構成バインディングを指定します。 この機能は、WebSphere Application Server バージョン 5.x アプリケーションによってのみ使用されるもので、お勧めできません。

デフォルト・バインディング

デフォルト・バインディングの設定は 1 つのみで、複数のアプリケーションで共用することができます。 この機能は、WebSphere Application Server バージョン 6 以降のアプリケーションのみで使用可能です。

以下の図は、アプリケーションのエンタープライズ・アーカイブ (EAR) ファイルと ws-security.xml ファイルの間の関係を示しています。

エンタープライズ・アーカイブ (EAR) ファイルと、ws-security.xml ファイルの関係

アプリケーション EAR 1 および EAR 2 は、アプリケーション・バインディング・ファイル内に固有のバインディングを持っています。 ただし、アプリケーション EAR 3 および EAR 4 では、アプリケーション・バインディング・ファイル内にバインディ ングが存在しません。ws-security.xml ファイル内で定義されたデフォルトのバインディングを 使用するためには、このバインディングを参照する必要があります。 構成は、階層内の一番近い構成によって解決されます。 例えば、アプリケーション・バインディング・ファイルおよびサーバー・レベルで定義された mykeylocator という名前の鍵ロケーターがあるとします。

mykeylocator がアプリケーション・バインディングで参照される場合は、 アプリケーション・バインディングで定義された鍵ロケーターが使用されます。 データの可視性スコープは、そのデータが定義された場所によって変わります。 データがアプリケーション・バインディング内で定義された場合は、その可視性はその特定のアプリケーションにスコープ宣言されます。 データがサーバー・レベルで定義された場合は、その可視性スコープは、そのサーバー上でデプロイされたすべてのアプリケーションです。 一般的に、データを他のアプリケーションと共用するつもりがないなら、アプリケーション・バインディング・レベルで構成を定義します。

以下の図は、アプリケーション・レベル、サーバー・レベル、およびセル (Network Deployment のみ) レベルのバインディングの関係を示しています。

アプリケーション・レベル、サーバー・レベル、およびセル・レベルのバインディングの関係




サブトピック

鍵ロケーター
トラスト・アンカー
トラステッド ID エバリュエーター
Web サービス・セキュリティーに対するハードウェア暗号デバイスのサポート
関連概念
nonce、ランダムに生成されたトークン
基本セキュリティー・プロファイル準拠のヒント
コレクション証明書ストア
Web サービス・セキュリティーのハイレベル・アーキテクチャー
関連タスク
クラスター内のサーバーへの nonce キャッシングの分散
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 5:46:14 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.base.iseries.doc/info/iseries/ae/cwbs_configv6overview.html