WebSphere Application Server Network Deployment for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

トークン・ジェネレーター構成の設定

このページを使用して、トークン・ジェネレーターの情報を指定します。 この情報は、ジェネレーター側でセキュリティー・トークンを生成するためにのみ使用されます。

セル・レベルでこの管理コンソール・ページを表示するには、以下のステップを実行します。
  1. セキュリティー」>「Web サービス」とクリックします。
  2. 「デフォルト・ジェネレーター・バインディング」の下で、「トークン・ジェネレーター」> 「トークン・ジェネレーター名 (token_generator_name) とクリックするか、 「新規」をクリックして、新規トークン・ジェネレーターを作成します。
サーバー・レベルでこの管理コンソール・ページを表示するには、以下のステップを実行します。
  1. サーバー」>「アプリケーション・サーバー」>「サーバー名 (server_name)」とクリックします。
  2. 「セキュリティー」の下の「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。
  3. 「デフォルト・ジェネレーター・バインディング」の下で、「トークン・ジェネレーター」> 「トークン・ジェネレーター名 (token_generator_name) とクリックするか、 「新規」をクリックして、新規トークン・ジェネレーターを作成します。
  1. 「アプリケーション」>「エンタープライズ・アプリケーション」>「アプリケーション名 (application_name) とクリックします。
  2. 「関連項目」の下で、「モジュールの管理」>「URI 名 (URI_name) とクリックします。
  3. 「追加プロパティー」で、以下のバインディングのトークン・ジェネレーター情報にアクセスすることができます。
    • 要求ジェネレーター (送信側) バインディングについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。「要求ジェネレーター (送信側) バインディング」の下の「カスタムの編集」をクリックします。
    • 応答ジェネレーター (送信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「応答ジェネレーター (送信側) バインディング」の下の「カスタムの編集」をクリックします。
  4. 新規」をクリックして、新規トークン・ジェネレーター作成するか、 既存のトークン・ジェネレーター名をクリックして、その設定値を指定します。
アプリケーション・レベルでこの管理コンソール・ページを表示するには、以下のステップを実行します。
  1. 「アプリケーション」>「エンタープライズ・アプリケーション」>「アプリケーション名 (application_name) とクリックします。
  2. モジュールの管理」>「URI 名 (URI_name)」とクリックします。
  3. 「Web サービス・セキュリティー・プロパティー」の下の「Web サービス: クライアント・セキュリティーのバインディング 」をクリックします。
  4. 「要求ジェネレーター (送信側) バインディング」の下の「カスタムの編集」をクリックします。
  5. 「追加プロパティー」の下で「トークン・ジェネレーター」>「新規」とクリックします。

追加プロパティーを指定する前に、「Token generator name」および「Token generator class name」フィールドに値を指定します。

トークン・ジェネレーター名 [バージョン 6 のみ]

トークン・ジェネレーター構成の名前を指定します。

例えば、 トークン・ジェネレーター名は、署名の場合は sig_tgen とすることができます。

トークン・ジェネレーターのクラス名 [バージョン 6 のみ]

トークン・ジェネレーターのインプリメンテーション・クラスの名前を指定します。

このクラスは、com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent インターフェースをインプリメントする必要があります。

証明書パス [バージョン 6 のみ]

CRL とともに PKCS#7 トークン・タイプ内にラップされたセキュリティー・トークンの生成に使用される、 証明書失効リスト (CRL) を指定します。

トークン・ジェネレーターが PKCS#7 トークン・タイプ用でない場合は、「なし」を選択する必要があります。 トークン・ジェネレーターが PKCS#7 トークン・タイプ用であり、 かつ CRL をセキュリティー・トークン内にパッケージする必要がある場合は、 「Dedicated signing information」を選択して、コレクション証明書ストアの CRL を指定します。

以下のレベルで、以下のバインディングの証明書ストア構成を指定することができます。
バインディング名 セル・レベル、サーバー・レベル、またはアプリケーション・レベル パス
デフォルト生成バインディング セル・レベル
  1. セキュリティー」>「Web サービス」とクリックします。
  2. 「追加プロパティー」の下の「コレクション証明書ストア」をクリックします。
デフォルト生成バインディング サーバー・レベル
  1. サーバー」>「アプリケーション・サーバー」>「サーバー名 (server_name)」とクリックします。
  2. 「セキュリティー」の下の「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。
  3. 「追加プロパティー」の下の「コレクション証明書ストア」をクリックします。

コレクション証明書ストアを使用すると、 「追加プロパティー」の下の「Certificate revocation list」をクリックすることにより、 関連する証明書失効リストを構成することができます。

nonce の追加 [バージョン 6 のみ]

トークン・ジェネレーターのユーザー名トークンに nonce を組み込むかどうかを示します。 「Nonce」はメッセージに組み込まれる固有の暗号数値であり、ユーザー名トークンの、繰り返される未許可の攻撃を防ぐのに役立ちます。

アプリケーション・レベルでは、「Add nonce」オプションを選択すると、 「追加プロパティー」の下で以下のプロパティーを指定することができます。
表 1. 追加の nonce プロパティー
プロパティー名 デフォルト値 説明
com.ibm.ws.wssecurity.config.token.
BasicAuth.Nonce.cacheTimeout
600 秒 サーバー上のキャッシュされた nonce 値に対するタイムアウト値を秒単位で指定します。
com.ibm.ws.wssecurity.config.token.
BasicAuth.Nonce.clockSkew
0 秒 nonce タイム・スタンプの有効期限が切れるまでの時間 (秒) を指定します。
com.ibm.ws.wssecurity.config.token.
BasicAuth.Nonce.maxAge
300 秒 アプリケーション・サーバーがメッセージの適時性をチェックする際に検討するクロック・スキュー値 (秒) を指定します。
これらのプロパティーは、セルおよびサーバー・レベルで管理コンソールにおいて使用可能です。 ただし、アプリケーション・レベルでは、「追加プロパティー」の下でプロパティーを構成することができます。

このオプションは、セル、サーバー、およびアプリケーションの各レベルで表示されます。 このオプションは、生成されたトークン・タイプがユーザー名トークンである場合に限り有効です。

タイム・スタンプを追加 [バージョン 6 のみ]

ユーザー名トークンにタイム・スタンプを挿入するかどうかを指定します。

このオプションは、セル、サーバー、およびアプリケーションの各レベルで表示されます。 このオプションは、生成されたトークン・タイプがユーザー名トークンである場合に限り有効です。

値タイプ・ローカル名 [バージョン 6 のみ]

生成されるトークンの値タイプのローカル名を指定します。

ユーザー名トークンおよび X.509 証明書セキュリティー・トークンの場合、 本製品には、事前定義値タイプがあります。 以下のローカル名を指定する場合、値タイプとして URI を指定する必要はありません。
ユーザー名トークン
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
X509 証明書トークン
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509
PKIPath 内の X509 証明書
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
PKCS#7 内の X509 証明書および CRL のリスト
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
Lightweight Third Party Authentication (LTPA)
LTPA_PROPAGATION
重要: LTPA の場合、値タイプ・ローカル名は LTPA です。 ローカル名に LTPA を入力する場合、 「Value type URI」フィールドにも http://www.ibm.com/websphere/appserver/tokentype/5.0.2 URI 値を指定する必要があります。 LTPA トークン伝搬の場合、値タイプのローカル名は LTPA_PROPAGATION です。ローカル名に LTPA_PROPAGATION を入力する場合、「Value type URI」フィールドに http://www.ibm.com/websphere/appserver/tokentype URI 値も指定する必要があります。その他の事前定義値のタイプ (ユーザー名トークン、 X509 証明書トークン、PKIPath の X509 証明書、および PKCS#7 の X509 証明書および CRL のリスト) の場合、 「local name」フィールドの値の先頭は http:// です。例えば、 値タイプのユーザー名トークンを指定している場合、 「Value type local name」フィールドに http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken を入力すると、 「Value type URI」フィールドに値を入力する必要はありません。

カスタム・トークンのカスタム値のタイプを指定する場合は、 その値タイプの品質名 (QName) のローカル名と URI を指定できます。例えば、 ローカル名に Custom、URI に http://www.ibm.com/custom を指定することが可能です。

値タイプ URI [バージョン 6 のみ]

生成されるトークンの値タイプのネーム・スペース URI を指定します。

ユーザー名トークンまたは X.509 証明書セキュリティー・トークンのトークン・ジェネレーターを指定する場合、 このオプションを指定する必要はありません。 別のトークンを指定する場合は、その値タイプの QName の URI を指定します。

アプリケーション・サーバーには、以下の事前定義値タイプの URI が用意されています。
  • LTPA トークンの場合: http://www.ibm.com/websphere/appserver/tokentype/5.0.2
  • LTPA トークン伝搬の場合: http://www.ibm.com/websphere/appserver/tokentype



関連タスク
サーバーまたはセル・レベルで メッセージの認証性を保護するための、JAX-RPC によるトークンの構成
関連資料
トークン・コンシューマー・コレクション
トークン・コンシューマー構成の設定
トークン・ジェネレーター・コレクション
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 8:28:52 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.nd.iseries.doc/info/iseriesnd/ae/uwbs_tokengeneratorn.html