WebSphere Application Server Network Deployment for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

コールバック・ハンドラー構成の設定

このページを使用して、Simple Object Access Protocol (SOAP) メッセージ内の Web サービス・セキュリティー・ヘッダーに挿入される セキュリティー・トークンの取得方法を指定します。 このトークン取得は、セキュリティー・トークンを取得するために Java Authentication and Authorization Service (JAAS) javax.security.auth.callback.CallbackHandler インターフェースを利用する プラグ可能なフレームワークです。

セル・レベルでこのコールバック・ハンドラーの管理コンソール・ページを表示するには、 以下のステップを実行します。
  1. セキュリティー」>「Web サービス」とクリックします。
  2. 「デフォルト・ジェネレーター・バインディング」の下で、 「トークン・ジェネレーター」>「トークン・ジェネレーター名 (token_generator_name) 」と クリックします。
  3. 「追加プロパティー」の下の「Callback handler」をクリックします。
サーバー・レベルでこのコールバック・ハンドラーの管理コンソール・ページを表示するには、 以下のステップを実行します。
  1. サーバー」>「アプリケーション・サーバー」>「サーバー名 (server_name)」とクリックします。
  2. 「セキュリティー」の下の「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。
  3. 「デフォルト・ジェネレーター・バインディング」の下で、 「トークン・ジェネレーター」>「トークン・ジェネレーター名 (token_generator_name) 」と クリックします。
  4. 「追加プロパティー」の下の「Callback handler」をクリックします。
アプリケーション・レベルでこのコールバック・ハンドラーの管理コンソール・ページを表示するには、 以下のステップを実行します。
  1. アプリケーション」>「エンタープライズ・アプリケーション」>「アプリケーション名 (application_name) 」とクリックします。
  2. モジュールの管理」>「URI 名 (URI_name)」とクリックします。
  3. 「追加プロパティー」の下で、以下のバインディングのコールバック・ハンドラー情報にアクセスすることができます。
    • 要求ジェネレーター (送信側) バインディングについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。「要求ジェネレーター (送信側) バインディング」の下の「カスタムの編集」をクリックします。 「追加プロパティー」の下の「トークン・ジェネレーター」をクリックします。 「新規」をクリックして新規トークン・ジェネレーター構成を作成するか、既存の構成の名前をクリックして、その設定を変更します。 「追加プロパティー」の下の「Callback handler」をクリックします。
    • 応答ジェネレーター (送信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「応答ジェネレーター (送信側) バインディング」の下の「カスタムの編集」をクリックします。 「追加プロパティー」の下の「トークン・ジェネレーター」をクリックします。 「新規」をクリックして新規トークン・ジェネレーター構成を作成するか、既存の構成の名前をクリックして、その設定を変更します。 「追加プロパティー」の下の「Callback handler」をクリックします。
コールバック・ハンドラーのクラス名 [バージョン 6 のみ]

セキュリティー・トークン・フレームワークにプラグインするために使用する コールバック・ハンドラー・インプリメンテーション・クラスの名前を指定します。

指定したコールバック・ハンドラー・クラスは、javax.security.auth.callback.CallbackHandler クラスをインプリメントしなければなりません。 JAAS javax.security.auth.callback.CallbackHandler インターフェースのインプリメンテーションは、 以下の構文を使用してコンストラクターを提供しなければなりません。
MyCallbackHandler(String username, char[] password, java.util.Map properties)
各部の意味は、次のとおりです。
username
構成に渡されるユーザー名を指定します。
password
構成に渡されるパスワードを指定します。
properties
構成に渡される他の構成プロパティーを指定します。
アプリケーション・サーバーは、以下のデフォルトのコールバック・ハンドラー・インプリメンテーションを提供します。
com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler [バージョン 5 および 6 のみ]
このコールバック・ハンドラーは、ユーザー名およびパスワード情報を収集するためのログイン・プロンプトを使用します。 ただし、このパネルでユーザー名およびパスワードを指定した場合、 プロンプトは表示されず、このパネルでトークン・ジェネレーターが指定されていれば、 アプリケーション・サーバーはユーザー名およびパスワードをトークン・ジェネレーターに戻します。 このインプリメンテーションは、 Java 2 Platform, Enterprise Edition (J2EE) アプリケーション・クライアントに対してのみ使用してください。
このコールバック・ハンドラーは、ユーザー名およびパスワード情報を収集するためのログイン・プロンプトを使用します。 ただし、このパネルでユーザー名およびパスワードを指定した場合、 プロンプトは表示されず、このパネルでトークン・ジェネレーターが指定されていれば、 アプリケーション・サーバーはユーザー名およびパスワードをトークン・ジェネレーターに戻します。 このインプリメンテーションは、 Java 2 Platform, Enterprise Edition (J2EE) アプリケーション・クライアントに対してのみ使用してください。
com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler [バージョン 5 および 6 のみ]
このコールバック・ハンドラーはプロンプトを発行せず、 このパネル上で指定されている場合は、ユーザー名とパスワードを戻します。 Web サービスがクライアントとして機能している場合は、 このコールバック・ハンドラーを使用することができます。
このコールバック・ハンドラーはプロンプトを発行せず、 このパネル上で指定されている場合は、ユーザー名とパスワードを戻します。 Web サービスがクライアントとして機能している場合は、 このコールバック・ハンドラーを使用することができます。
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler [バージョン 5 および 6 のみ]
このコールバック・ハンドラーは、ユーザー名およびパスワードを収集するための標準プロンプトを使用します。 ただし、このパネルでユーザー名およびパスワードを指定した場合は、 アプリケーション・サーバーはプロンプトを出しませんが、トークン・ジェネレーターにユーザー名およびパスワードを戻します。このインプリメンテーションは、 Java 2 Platform, Enterprise Edition (J2EE) アプリケーション・クライアントに対してのみ使用してください。
このコールバック・ハンドラーは、ユーザー名およびパスワードを収集するための標準プロンプトを使用します。 ただし、このパネルでユーザー名およびパスワードを指定した場合は、 アプリケーション・サーバーはプロンプトを出しませんが、トークン・ジェネレーターにユーザー名およびパスワードを戻します。このインプリメンテーションは、 Java 2 Platform, Enterprise Edition (J2EE) アプリケーション・クライアントに対してのみ使用してください。
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler [バージョン 5 および 6 のみ]
このコールバック・ハンドラーは、ユーザー名およびパスワードを収集するための標準プロンプトを使用します。 ただし、このパネルでユーザー名およびパスワードを指定した場合は、 アプリケーション・サーバーはプロンプトを出しませんが、トークン・ジェネレーターにユーザー名およびパスワードを戻します。このインプリメンテーションは、 Java 2 Platform, Enterprise Edition (J2EE) アプリケーション・クライアントに対してのみ使用してください。
このコールバック・ハンドラーは、ユーザー名およびパスワードを収集するための標準プロンプトを使用します。 ただし、このパネルでユーザー名およびパスワードを指定した場合は、 アプリケーション・サーバーはプロンプトを出しませんが、トークン・ジェネレーターにユーザー名およびパスワードを戻します。このインプリメンテーションは、 Java 2 Platform, Enterprise Edition (J2EE) アプリケーション・クライアントに対してのみ使用してください。
com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler [バージョン 5 および 6 のみ]
このコールバック・ハンドラーは、Run As 起動 Subject から Lightweight Third Party Authentication (LTPA) セキュリティー・トークンを取得するために使用されます。 このトークンは、バイナリー・セキュリティー・トークンとして、SOAP メッセージ内で Web サービス・セキュリティー・ヘッダーに挿入されます。 ただし、このパネルでユーザー名およびパスワードを指定した場合は、 アプリケーション・サーバーは Run As Subject から LTPA セキュリティー・トークンを取得するのではなく、 ユーザー名およびパスワードを認証してこれを取得します。このコールバック・ハンドラーは、Web サービスがアプリケーション・サーバー上でクライアントとして機能している場合のみ使用してください。 このコールバック・ハンドラーを J2EE アプリケーション・クライアント上で使用することはお勧めしません。
このコールバック・ハンドラーは、Run As 起動 Subject から Lightweight Third Party Authentication (LTPA) セキュリティー・トークンを取得するために使用されます。 このトークンは、バイナリー・セキュリティー・トークンとして、SOAP メッセージ内で Web サービス・セキュリティー・ヘッダーに挿入されます。 ただし、このパネルでユーザー名およびパスワードを指定した場合は、 アプリケーション・サーバーは Run As Subject から LTPA セキュリティー・トークンを取得するのではなく、 ユーザー名およびパスワードを認証してこれを取得します。このコールバック・ハンドラーは、Web サービスがアプリケーション・サーバー上でクライアントとして機能している場合のみ使用してください。 このコールバック・ハンドラーを J2EE アプリケーション・クライアント上で使用することはお勧めしません。
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler [バージョン 6 のみ]
このコールバック・ハンドラーは、バイナリー・セキュリティー・トークンとして SOAP メッセージ内の Web サービス・ セキュリティー・ヘッダーに挿入される X.509 証明書を作成するために使用されます。 このコールバック・ハンドラーには、鍵ストアおよび鍵定義が必要です。
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler [バージョン 6 のみ]
このコールバック・ハンドラーは、 PKCS#7 フォーマットでエンコードされる X.509 証明書を作成するために使用されます。 この証明書は、バイナリー・セキュリティー・トークン として、SOAP メッセージで Web サービス・セキュリティー・ヘッダーに挿入されます。 このコールバック・ハンドラーには鍵ストアが必要です。 コレクション証明書ストアで証明書失効リスト (CRL) を指定する必要があります。 CRL は、PKCS#7 フォーマットの X.509 証明書でエンコードされています。
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler [バージョン 6 のみ]
このコールバック・ハンドラーは、 PkiPath フォーマットでエンコードされた X.509 証明書を作成するために使用されます。 この証明書は、バイナリー・セキュリティー・トークン として SOAP メッセージ内で Web サービス・セキュリティー・ヘッダーに挿入されます。 このコールバック・ハンドラーには鍵ストアが必要です。 CRL はコールバック・ハンドラーによってサポートされていないため、 コレクション証明書ストアは不要で使用されません。

このコールバック・ハンドラー・インプリメンテーションは、必要なセキュリティー・トークンを取得し、 それをトークン・ジェネレーターに渡します。 トークン・ジェネレーターは、SOAP メッセージ内の Web サービス・セキュリティー・ヘッダーにセキュリティー・トークンを挿入します。 また、トークン・ジェネレーターは、 プラグ可能なセキュリティー・トークン・フレームワークのプラグイン・ポイントです。 サービス・プロバイダーは独自のインプリメンテーションを提供することができますが、 このインプリメンテーションは com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent インターフェースを使用する必要があります。

ID アサーションの使用 [バージョン 6 のみ]

IBM 拡張デプロイメント記述子で定義された ID アサーションがある場合は、このオプションを選択します。

このオプションは、初期送信側の ID のみが必要で、 SOAP メッセージ内の Web サービス・セキュリティー・ヘッダーに挿入されることを示します。 例えば、アプリケーション・サーバーは、 Username TokenGenerator のオリジナルの呼び出し元のユーザー名のみを送信します。 X.509 トークン・ジェネレーターの場合、 アプリケーション・サーバーはオリジナルの署名者認証のみを送信します。

RunAs ID を使用 [バージョン 6 のみ]

ユーザーが IBM 拡張デプロイメント記述子で定義された ID アサーションを持ち、 ダウンストリーム呼び出しの ID アサーションに対して、初期呼び出し元 ID の代わりに Run As ID を使用する場合、 このオプションを選択します。

このオプションは、Username TokenGenerator をトークン・ジェネレーターとして構成した場合にのみ有効です。

基本認証ユーザー ID [バージョン 6 のみ]

コールバック・ハンドラー・インプリメンテーションのコンストラクターに渡されるユーザー名を指定します。

本製品により提供される、以下のデフォルトのコールバック・ハンドラー・インプリメンテーションのいずれかを選択する場合、 基本認証ユーザー名およびパスワードが使用されます。
  • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler

これらのインプリメンテーションについては、この項目の「Callback handler class name」フィールド説明で詳しく説明しています。

基本認証パスワード [バージョン 6 のみ]

コールバック・ハンドラーのコンストラクターに渡されるパスワードを指定します。

本製品により提供される、以下のデフォルトのコールバック・ハンドラー・インプリメンテーションのいずれかを選択する場合、 鍵ストアおよびその関連構成が使用されます。
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
この鍵ストアは、証明書パスで X.509 証明書を作成するために使用されます。
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
この鍵ストアは、証明書パスで X.509 証明書を作成するために使用されます。
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
この鍵ストアは、X.509 証明書をリトリーブするために使用されます。
鍵ストア構成名 [バージョン 6 のみ]

セキュア通信内の鍵ストア設定で定義された鍵ストア構成の名前を指定します。

鍵ストア・パスワード [バージョン 6 のみ]

鍵ストア・ファイルへのアクセスに使用するパスワードを指定します。

鍵ストア・パス [バージョン 6 のみ]

鍵ストア・ファイルのロケーションを指定します。

パス名には、${USER_INSTALL_ROOT} を使用してください。 この変数が、ご使用のマシンの製品のパスに展開されるためです。 この変数で使用されるパスを変更するには、 「環境」>「WebSphere 変数」とクリックし、「USER_INSTALL_ROOT」をクリックします。

鍵ストア・タイプ [バージョン 6 のみ]

鍵ストア・ファイル・フォーマットのタイプを指定します。

このフィールドに、次の値のいずれかを選択します。
JKS
鍵ストアが Java Keystore (JKS) フォーマットを使用している場合、このオプションを使用します。
JCEKS
Java Cryptography Extension が Software Development Kit (SDK) で構成される場合には、このオプションを使用します。 デフォルトの IBM JCE は、アプリケーション・サーバーで構成されます。このオプションは、Triple DES 暗号化を使用することによって、保管された秘密鍵の保護をより強力にします。
JCERACFKS
証明書が SAF 鍵リング (z/OS のみ) に格納される場合は、JCERACFKS を使用します。
PKCS11KS (PKCS11)
鍵ストア・ファイルが PKCS#11 ファイル・フォーマットを使用する場合、このオプションを使用します。 このフォーマットを使用する鍵ストア・ファイルには、暗号ハードウェア上に Rivest Shamir Adleman (RSA) 鍵が含まれているか、 暗号ハードウェアを使用する鍵を暗号化して保護を実行している可能性があります。
PKCS12KS (PKCS12)
鍵ストア・ファイルが PKCS#12 ファイル・フォーマットを使用する場合、このオプションを使用します。



関連タスク
アプリケーション・レベルでメッセージの認証性を保護するための、 JAX-RPC によるトークン・ジェネレーターの構成
関連資料
トークン・ジェネレーター・コレクション
トークン・ジェネレーター構成の設定
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 8:28:52 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.nd.iseries.doc/info/iseriesnd/ae/uwbs_callback.html