シグニチャー認証は、クライアントからサーバーに送信された X.509 証明書を参照します。この証明書を使用して、
サーバーで構成されたユーザー・レジストリーを認証します。
クライアントはシグニチャー認証を行うために認証情報を収集します。
このタスクについて
重要: バージョン 5.x のアプリケーションとバージョン 6.0.x 以降のアプリケーションとの間には重要な相違点があります。
この資料の情報は、WebSphere Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。この情報はバージョン 6.0.x
以降のアプリケーションには適用されません。
シグニチャー認証を構成できます。
シグニチャーとは、ターゲット・サーバーにログインするために X.509 証明書を使用することをいいます。
クライアントがシグニチャー認証のための認証情報を収集する方法を指定するには、以下のステップを実行します。
プロシージャー
- アセンブリー・ツールを起動します。
アセンブリー・ツールの詳細については、
アセンブリー・ツール
を参照してください。
- Java 2 Platform, Enterprise Edition (J2EE) パースペクティブへ切り替えます。
「ウィンドウ」>「パースペクティブのオープン」>「J2EE」とクリックします。
- 「アプリケーション・クライアント・プロジェクト」>「application_name」>
「appClientModule」>「META-INF」とをクリックします。
- application-client.xml ファイルを右マウス・ボタンでクリックし、
「開く」>「デプロイメント記述子エディター」とクリックします。
- アセンブリー・ツールに含まれるデプロイメント記述子エディターの
下部にある「WS Binding」タブをクリックします。
- 「Security request sender binding configuration」>「署名情報」と展開し、「編集」をクリックして署名鍵の名前と署名鍵ロケーターを変更します。
新規の署名情報を作成するには、「使用可能」をクリックします。
サーバーへのログインのために送信される証明書は、「署名情報」セクションに構成されている証明書です。
鍵ロケーター情報を参照し、署名鍵名が鍵ロケーター・エントリー内の鍵にどのようにマップされるかを理解してください。
次のリストは、この情報の目的を示しています。
これらの定義の一部は、XML-Signature 仕様を基にしています。
この仕様は次の Web アドレスにあります。
http://www.w3.org/TR/xmldsig-core
- 正規化方式アルゴリズム
- シグニチャー操作の一部としてダイジェストされる前に、SignedInfo エレメントを正規化します。
- ダイジェスト方式アルゴリズム
- 変換の適用後にデータに適用されるアルゴリズムであり、指定すると DigestValue エレメントが生成されます。
DigestValue エレメントの署名によって、リソース内容が署名者鍵にバインドされます。
クライアント要求送信側構成用に選択したアルゴリズムは、サーバー要求受信側構成で選択したアルゴリズムと一致している必要があります。
- シグニチャー方式アルゴリズム
- 正規化された <SignedInfo> 値を <SignatureValue> 値に変換するために
使用されるアルゴリズムです。クライアント要求送信側構成用に選択したアルゴリズムは、サーバー要求受信側構成で選択したアルゴリズムと一致している必要があります。
- 署名鍵名
- 署名鍵ロケーターに関連付けられた鍵記入項目です。
鍵記入項目とは要求に署名するために使用される鍵の別名のことです。
- 署名鍵ロケーター
- 鍵ロケーター・インプリメンテーションへの参照を表します。
- 「Security request sender binding configuration」>「ログイン・バインディング」セクションと展開します。
- 「編集」をクリックして、ログイン・バインディング情報を表示します。
以下の情報を選択または入力します。
- 認証メソッド
- 実行される認証のタイプを指定します。
シグニチャー認証を使用するには、「Signature」を選択します。
- 「Token value type URI」および「Token value type URI local name」
- シグニチャー を選択している場合には、トークン値タイプ Uniform Resource Identifier (URI) およびローカル名の値を編集できません。
カスタム認証タイプを指定します。
シグニチャー認証の場合は、これらのフィールドをブランクのままにしておきます。
- コールバック・ハンドラー
- 署名情報を収集するための Java Authentication and Authorization Server (JAAS) コールバック・
ハンドラーのインプリメンテーションを指定します。
シグニチャー認証の場合は、次のコールバック・ハンドラーを入力します。com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
このコールバック・ハンドラーが使用される理由は、シグニチャー方式がユーザーとの対話を必要としないことです。
- 基本認証ユーザー ID および基本認証パスワード
- シグニチャー認証が使用される場合、「BasicAuth」フィールドはブランクのままにします。
- プロパティー名およびプロパティー値
- このフィールドには、カスタム・コールバック・ハンドラーが使用するプロパティー、
および名前と値のペアを入力できます。シグニチャー認証の場合、情報を入力しないでください。
次の作業
他のカスタマイズ・エントリー:「Port Qualified Name Binding Details」セクションに基本認証エントリーがあります。このエントリーは、ルーター・サーブレットが保護されている場合に必要になることがある HTTP トランスポート認証に使用されます。
Web サービス・セキュリティー・シグニチャー認証セクションに指定した情報は、「Port Qualified Name
Binding Details」セクションに指定した Web サービス認証用の基本認証情報よりも優先されます。
シグニチャー認証メソッドを使用するには、アセンブリー・ツールの
「ログイン構成」セクションにその認証メソッドを指定する必要があります。