WebSphere Application Server は、そのセキュリティー・トークン・サービス (WebSphere Application Server トラスト・サービスと呼ばれます) にメッセージ・レベルの保護を提供します。
トラスト・サービスの場合、システム・ポリシー・セットと呼ばれる、特殊クラスのポリシー・セットを使用する必要があります。
始める前に
次の 2 種類の構成メソッドを使用することで、トラスト・サービスへの要求を保護することができます。
- 管理コンソールを使用して、システム・ポリシー・セットおよびバインディングを定義し、エンドポイントに関連付けられているトラスト・サービスの操作に添付します。
- wsadmin ツール (Jython および Jacl スクリプト言語をサポートします) を使用して、
システム・ポリシー・セットをトラスト・サービス用に構成します。
Quality of Service (QoS) 用ポリシーを管理するには、ポリシー・セットを作成し、関連付けたポリシーを管理します。
このタスクについて
WebSphere Application Server のトラスト・サービス・セキュリティーの場合、
システム・ポリシー・セット、バインディング、トラスト・サービス添付、
および Secure conversation client のキャッシュを構成する必要があります。
以下のハイレベル・ステップを実行します。
タスクの順序は重要ではありませんが、すべての必須なハイレベル・ステップを実行してトラスト構成を完了する必要があります。
プロシージャー
- 新規のシステム・ポリシー・セットを定義するか、または既存のシステム・ポリシー・セットを管理します。
システム・ポリシー・セットを管理するには、以下のタスクを実行できます。
- システム・ポリシー・セットおよびバインディングを定義します。 システム・ポリシー・セットは、新規のポリシー・セットでも、
既存のものでもかまいません。
新規のシステム・ポリシー・セットを作成する場合は、ポリシー・タイプを指定して構成する必要があります。
各ポリシー・タイプには、デフォルトのバインディング構成が関連付けられています。
-
必要に応じて、システム・ポリシー・セットを変更します。
実行可能な他のオプションのポリシー・セット関連タスクには、以下のものがあります。
- ポリシー・セット添付を追加、編集、または除去します。
- ポリシー・タイプを編集、使用可能に設定、使用不可に設定、または除去します。
- 既存のシステム・ポリシー・セットを選択およびコピーして、システム・ポリシー・セットを作成します。
既存のシステム・ポリシー・セットをコピーするときは、
既存の添付をこの新規システム・ポリシー・セットに移動するかどうかも指定します。
- システム・ポリシー・セットを削除します。WebSphere Application Server によって
デフォルトで提供されている事前構成システム・ポリシー・セットは削除できません。
- 既存のシステム・ポリシー・セットを選択およびエクスポートして、
システム・ポリシー・セットを保存します。
既存のシステム・ポリシー・セットをエクスポートするときは、
.zip アーカイブ・ファイルを作成します。
ポリシー・セットのエクスポート用 .zip ファイルが、ダウンロード用に提供されています。
例えば、ABC_ps という名前のポリシー・セットがあり、アーカイブ・ファイルを ServerA から ServerB へエクスポートする場合は、初めにエクスポート機能を使用して .zip ファイルを作成します。
次に、このアーカイブ・ファイルを ServerB に手動で転送します。
- 明示的添付を作成および管理します。
以下のトラスト・サービス添付タスクを実行できます。
- システム・ポリシー・セットを添付し、バインディングをエンドポイントに割り当てます。
エンドポイントの場合、
トラスト・サービス・デフォルトのポリシー・セットおよびバインディングに対する 4 つのトラスト・サービス操作のそれぞれに明示的添付を作成できます。
これらの初期添付を作成した後、既存のポリシー・セットおよびバインディング構成を表示し、さらに変更することができます。
- 必要に応じて、既存のポリシー・セット添付およびバインディング構成を変更します。
システム・ポリシー・セットは、新規のポリシー・セットでも、
既存のものでもかまいません。
新規のシステム・ポリシー・セットを作成する場合は、ポリシー・タイプを指定して構成する必要があります。
各ポリシー・タイプには、デフォルトのバインディング構成が関連付けられています。
実行および更新に添付されているシステム・ポリシー・セットは、
クライアントおよびエンドポイントのブートストラップに対応している必要があり、
検証と取り消しに添付されているシステム・ポリシー・セットは、クライアントおよびエンドポイントのアプリケーション・ポリシー・セットに対応している必要があります。
エンドポイント・サービスのブートストラップ・ポリシー・セットは、
エンドポイント・サービスがトラスト・サービスに対して実行および更新要求をする場合にのみ必要です。
実行可能な他のオプションの添付関連タスクには、以下のものがあります。
- システム・ポリシー・セットおよびバインディング構成を変更します。
- カスタマイズしたシステム・ポリシー・セットおよびバインディングを作成します。
- 4 つのデフォルト・トラスト・サービス操作をシステム・ポリシー・セットおよびバインディングに添付します。
- 特定のエンドポイントに関連付けられている 4 つのトラスト・サービス操作のそれぞれをシステム・ポリシー・セットおよびバインディングに添付します。
- エンドポイントの選択済みトラスト・サービス操作がそれぞれのデフォルト・トラスト・サービスのポリシー・セットおよびバインディングを継承するように指定します。
- デフォルト・バインディングまたはカスタム・バインディングの構成を選択したポリシー・セット添付に割り当てます。
- トラスト・サービスのランタイム構成を更新します。
- トラスト・サービスが提供するセキュリティー・コンテキスト・トークン・プロバイダーを管理します。
以下のトラスト・サービスのトークン・プロバイダー・タスクを実行できます。
- 必要に応じて、
セキュリティー・コンテキスト・トークン・プロバイダーの構成を変更します。
実行可能な他のオプションのトークン・プロバイダー関連タスクには、以下のものがあります。
- トークン・プロバイダー構成の変更に合わせてトラスト・サービスのランタイム構成を更新します。
- トラスト・サービスのデフォルト・トークン・プロバイダーと、
(デフォルトから継承するのではなく) 明示的に割り当てられたトークンがあるエンドポイントを管理します。
ターゲットは、特定のトークン・プロバイダーに割り当てられているエンドポイントです。
以下のトラスト・サービスのターゲット・タスクを実行できます。
-
サービス・エンドポイント URL をデフォルトのトークン・プロバイダーに明示的に割り当てることで、
新規トラスト・サービス・ターゲットを作成します。 このタスクを実行することにより、
デフォルトのトラスト・サービス・トークン・プロバイダーであるセキュリティー・コンテキスト・トークンに対する明示的割り当てが作成されます。
その他すべてのエンドポイントは、トラスト・サービスのデフォルト・トークン・プロバイダーを継承します。
- ターゲットを構成します。
WebSphere Application Server では、サポートされる 1 つのデフォルト・トークン・プロバイダーであるセキュリティー・コンテキスト・トークンを定義します。
既存ターゲットに実行できる他のタスクには、以下のものがあります。
- 明示的に割り当てられたセキュリティー・コンテキスト・トークン・プロバイダーがある 1 つ以上のエンドポイントの変更。
- エンドポイントのトークン・プロバイダーの継承から明示的割り当てへの変更。
したがって、エンドポイントのトークン・プロバイダーは、デフォルトのトラスト・サービス・トークン・プロバイダーが変わっても、変更されません。
- エンドポイントのトークン・プロバイダーの明示的割り当てから継承への変更。
したがって、エンドポイントのトークン・プロバイダーは、デフォルトのトラスト・サービス・トークン・プロバイダーで、デフォルトが変わると変更されます。
- トラスト・サービスのランタイム構成の更新。
-
Secure Conversation client のキャッシュを構成します。
Secure Conversation client サイドのキャッシングの振る舞いを変更できます。
- トラスト・サービスのランタイム構成を更新します。
以下のトラスト関連項目を作成または変更するときは、ランタイム構成も変更する必要があります。
- トラスト・サービスの添付
- トークン・プロバイダー
- ターゲット
結果
構成を完了し、トラスト・サービスのランタイム構成を更新した後、
システム・ポリシー・セットを使用してトラスト・サービスに対する要求を保護するために、管理コンソールを使用しました。