WebSphere Application Server for z/OS, Version 6.1   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化

アプリケーション・レベルでメッセージの認証性を保護するための、 JAX-RPC によるトークン・コンシューマーの構成

アプリケーション・レベルでトークン・コンシューマーを指定できます。 トークン・コンシューマー情報は、コンシューマー側でセキュリティー・トークンを取り込むために使用されます。

このタスクについて

アプリケーション・レベルでこのトークン・コンシューマーを構成するには、以下のステップを実行します。

プロシージャー

  1. 管理コンソールのトークン・コンシューマー・パネルを見つけます。
    1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」とクリックします。
    2. 「モジュールの管理」の下で、「URI_name」をクリックします。
    3. 「Web サービス・セキュリティー・プロパティー」では、 以下のバインディングのトークン・コンシューマーにアクセスできます。
      • 要求コンシューマー (受信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「要求コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。
      • 応答コンシューマー (受信側) バインディングについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。 「応答コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。
    4. 「必須プロパティー」の下の「トークン・コンシューマー」をクリックします。
    5. 新規」をクリックしてトークン・コンシューマー構成を作成するか、「削除」をクリックして 既存の構成を削除するか、または、既存のトークン・コンシューマー構成の名前をクリックして、その設定を編集します。 新規構成を作成している場合は、「トークン・コンシューマー名」フィールドに固有名を入力します。 例えば、 con_signtcon と指定します。
  2. トークン・コンシューマー・クラス名」フィールドでクラス名を指定します。 トークン・コンシューマー・クラスは、 com.ibm.wsspi.wssecurity.token.TokenConsumerComponent インターフェースを実装する 必要があります。要求コンシューマー および応答コンシューマーのトークン・コンシューマー・クラス名は、要求ジェネレーターおよび応答ジェネレーターの トークン・ジェネレーター・クラス名と類似している必要があります。 例えば、アプリケーションがユーザー名トークン・コンシューマーを必要とする場合、 アプリケーション・レベルの「Token generator」パネルで com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator クラス名を、 このフィールドで com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer クラス名を指定することができます。
  3. オプション: Part reference」フィールドでパーツ参照を選択します。 パーツ参照は、デプロイメント記述子で定義されるセキュリティー・トークンの名前を示します。 例えば、要求メッセージでユーザー名トークンを受け取る場合、 ユーザー名・トークン・コンシューマーでトークンを参照する場合があります。
    重要: アプリケーション・レベルで、デプロイメント記述子にセキュリティー・トークンを指定しない場合、 「Part reference」フィールドは表示されません。 デプロイメント記述子で、 user_tcon というセキュリティー・トークンを定義する場合、user_tcon は「Part reference」フィールドでオプションとして表示されます。
  4. オプション: このパネルの証明書パス・セクションで、 証明書ストア・タイプを選択し、必要に応じて、トラスト・アンカーおよび証明書ストア名を示します。 これらのオプションおよびフィールドは、トークン・コンシューマー・クラス名として com.ibm.wsspi.wssecurity.token.X509TokenConsumer を指定する場合に必要です。 トラスト・アンカーおよびコレクション証明書ストアの名前は、トークン・コンシューマーの下の証明書パスに作成されます。 以下のオプションのいずれかを選択できます。
    なし
    このオプションを選択した場合、証明書パスは指定されません。
    Trust any
    このオプションを選択した場合は、すべての証明書が信頼されます。 受け取ったトークンが消費されるとき、アプリケーション・サーバーは証明書パスの妥当性検査を行いません。
    専用署名情報
    このオプションを選択した場合は、トラスト・アンカーおよび証明書ストア構成を選択することができます。 トラステッド証明書のトラスト・アンカーまたは証明書ストアを選択した場合、 証明書パスを設定する前にそのトラスト・アンカーおよび証明書ストアを構成する必要があります。
    トラスト・アンカー
    トラスト・アンカーは、トラステッド・ルート証明書を含む鍵ストア構成のリストを指定します。 これらの構成は、着信した X.509 フォーマットのセキュリティー・トークンの証明書パスの妥当性検査に使用されます。 トラスト・アンカー内の鍵ストア・オブジェクトには、証明書チェーンの信頼性を検証するために CertPath API が使用するトラステッド・ルート証明書が含まれています。 install_dir/java/jre/bin/keytool ファイルにある 鍵ツール・ユーティリティーを使用して、鍵ストア・ファイルを作成する 必要があります。
    以下のステップを実行して、アプリケーション・レベルのトラスト・アンカーを構成することができます。
    1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」とクリックします。
    2. 「関連項目」の下で「EJB モジュール」または「Web モジュール」>「URI_name」とクリックします。
    3. 以下のバインディングからトークン・コンシューマーにアクセスします。
      • 要求コンシューマー (受信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「要求コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。
      • 応答コンシューマー (受信側) バインディングについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。 「応答コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。
    4. 「追加プロパティー」の下の「Trust anchors」をクリックします。
    コレクション証明書ストア
    コレクション証明書ストアには、信頼されない中間証明書のリストおよび証明書失効リスト (CRL) が含まれます。 コレクション証明書ストアは、 着信する X.509 形式のセキュリティー・トークンの証明書パスを検証するために使用されます。 以下のステップを実行して、アプリケーション・レベルのコレクション証明書ストアを構成することができます。
    1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」とクリックします。
    2. 「関連項目」の下で「EJB モジュール」または「Web モジュール」>「URI_name」とクリックします。
    3. 以下のバインディングからトークン・コンシューマーにアクセスします。
      • 要求コンシューマー (受信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「要求コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。
      • 応答コンシューマー (受信側) バインディングについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。 「応答コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。
    4. 「追加プロパティー」の下の「コレクション証明書ストア」をクリックします。
  5. オプション: トラステッド ID エバリュエーターを指定します。 トラステッド ID エバリュエーターは、受け取った ID が信頼できるかどうかを判別するために使用されます。 以下のオプションのいずれかを選択できます。
    なし
    このオプションを選択した場合、トラステッド ID エバリュエーターは指定されません。
    既存のエバリュエーター定義
    このオプションを選択した場合は、構成済みトラステッド ID エバリュエーターの 1 つを選択することができます。 例えば、WebSphere Application Server が実例として提供する SampleTrustedIDEvaluator を選択することができます。
    バインディング・エバリュエーター定義
    このオプションを選択した場合は、トラステッド ID エバリュエーター名およびクラス名を指定することによって、 新規トラステッド ID エバリュエーターを構成することができます。
    トラステッド ID エバリュエーター名
    デフォルト・バインディングで定義されたトラステッド ID エバリュエーターを参照するために、 アプリケーション・バインディングが使用する名前を指定します。
    トラステッド ID エバリュエーター・クラス名
    トラステッド ID エバリュエーターのクラス名を指定します。指定されたトラステッド ID エバリュエーター・クラス名は、 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator インターフェースをインプリメントする必要があります。 デフォルトの TrustedIDEvaluator クラスは、com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl です。 このデフォルトの TrustedIDEvaluator クラスを使用する場合は、 評価用のトラステッド ID リストを作成するために、 デフォルトのトラステッド ID エバリュエーターに、名前および値プロパティーを指定する必要があります。 名前および値プロパティーを指定するには、以下のステップを実行します。
    1. 「追加プロパティー」の下で「プロパティー」>「新規」とクリックします。
    2. プロパティー」フィールドでトラステッド ID エバリュエーター名を指定します。 この名前は、trustedId_n (_n は 0 から n までの整数) という形式で指定する必要があります。
    3. 」フィールドでトラステッド ID を指定します。
    以下に例を示します。
    property name="trustedId_0", value="CN=Bob,O=ACME,C=US"
    property name="trustedId_1, value="user1"

    識別名 (DN) が使用されている場合は、比較できるようにスペースが除去されます。 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator インターフェースのインプリメント方法については、 資料内のプログラミング・モデル情報を参照してください。 詳しくは、Web サービス・セキュリティー・サービス・プロバイダーのプログラミング・インターフェースのデフォルトのインプリメンテーション を参照してください。

    注: トラステッド ID エバリュエーターは、アプリケーション・レベルではなくサーバー・レベルで定義します。 トラステッド ID エバリュエーターをサーバー・レベルで定義するには、以下のステップを実行します。
    1. サーバー」>「アプリケーション・サーバー」>「server_name」とクリックします。
    2. 「セキュリティー」の下の「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」を クリックします。
    3. 「追加プロパティー」の下の「トラステッド ID エバリュエーター」をクリックします。
    4. 新規トラステッド ID エバリュエーターを定義する場合は、「新規」をクリックします。

    トラステッド ID エバリュエーター構成は、サーバー・サイドのアプリケーション・レベルで、 トークン・コンシューマーに対してのみ使用可能です。

  6. オプション: Verify nonce」オプションを選択します。 このオプションは、ユーザー名トークンの nonce がトークン・コンシューマーに対して指定されている場合に、これを検証するかどうかを示します。 nonce はメッセージに組み込まれた固有の暗号数値であり、 ユーザー名トークンの、繰り返される未許可の攻撃を防ぐのに役立ちます。 「Verify nonce」オプションは、取り込まれたトークン・タイプがユーザー名トークンである場合に限り有効です。
  7. オプション: Verify timestamp」オプションを選択します。 このオプションは、ユーザー名トークンのタイム・スタンプを検証するかどうかを示します。 「Verify nonce」オプションは、取り込まれたトークン・タイプがユーザー名トークンである場合に限り有効です。
  8. Local name」フィールドで値タイプのローカル名を指定します。 このフィールドは、消費されるトークンの値タイプのローカル名を指定します。 ユーザー名トークンおよび X.509 証明書セキュリティー・トークンの場合、WebSphere Application Server には、値タイプの事前定義されたローカル名があります。
    表 1. Uniform Resource Identifier (URI) とローカル名の組み合わせ
    URI ローカル名 説明
    ネーム・スペース URI は使用できません。 ローカル名の値として、 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 を指定します。 X.509 証明書トークンの名前を指定します。
    ネーム・スペース URI は使用できません。 ローカル名の値として、 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1 を指定します。 PKI パスに X.509 証明書の名前を指定します。
    ネーム・スペース URI は使用できません。 ローカル名の値として、 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7 を指定します。 PKCS#7 内の X509 証明書のリストおよび証明書取り消しリスト (CRL) を指定します。
    URI 値として、 http://www.ibm.com/websphere/appserver/tokentype/5.0.2 を指定します。 ローカル名の値として、LTPA を指定します。 組み込み Lightweight Third Party Authentication (LTPA) トークンを含むバイナリー・セキュリティー・トークンを指定します。
    URI 値として、 http://www.ibm.com/websphere/appserver/tokentype を指定します。 ローカル名の値として、 LTPA_PROPAGATION を指定します。 組み込み伝搬トークンを含むバイナリー・セキュリティー・トークンを指定します。
    プロバイダーによって指示されたネーム・スペース URI 値を指定します。 ローカル名の値として、 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken を指定します。 トークンの妥当性検査を実行するように構成されているトークン・タイプを指定します。 このローカル名は、着信セキュリティー・トークンを別のセキュリティー・トークンに 再マップするために使用されます。このローカル名の値は、以下のシナリオに類似した状態で使用できます。

    クライアントは、ユーザー名トークンをサーバーへ送信します。 サーバー上のカスタム・トークン・コンシューマーは、セキュリティー・トークン・サービスを使用してユーザー名情報を認証します。 ユーザー名トークンを使用して、Security Assertion Markup Language (SAML) トークンなどの新規のトークン・タイプを作成します。 WebSphere Application Server 内の認証と許可検査のために、SAML トークンから ID を使用することができます。

  9. オプション: URI」フィールドで値タイプ URI を指定します。 この項目は、消費されるトークンの値タイプのネーム・スペース URI を指定します。
    要確認: ユーザー名トークンまたは X.509 証明書セキュリティー・トークンのトークン・コンシューマーを指定する場合、 値タイプ URI を指定する必要はありません。

    別のトークンを指定する場合は、ローカル名とその URI の両方を指定する必要があります。 例えば、独自のカスタム・トークンのインプリメンテーションがある場合、 「Local name」フィールドに CustomToken を指定し、さらに http://www.ibm.com/custom を指定できます。

  10. OK」および「保管」をクリックして、構成を保管します。
  11. トークン・コンシューマー構成の名前をクリックします。
  12. 「追加プロパティー」の下の「JAAS 構成」をクリックします。 Java Authentication and Authorization Service (JAAS) 構成は、 JAAS ログイン・パネルで定義した JAAS 構成の名前を指定します。 JAAS 構成は、コンシューマー・サイドでトークンがログインする方法を指定します。
  13. JAAS configuration name」フィールドで JAAS 構成を選択します。 このフィールドは、アプリケーション・ログイン構成の JAAS システムの名前を指定します。 セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」とクリックして、 追加の JAAS システムおよびアプリケーション構成を指定することができます。「認証」の下で、 「Java Authentication and Authorization Service」をクリックし、 「アプリケーション・ログイン」>「新規」とクリックするか、 または「システム・ログイン」>「新規」とクリックします。 JAAS 構成について詳しくは、JAAS 構成の設定 を参照してください。 事前定義システムまたはアプリケーション・ログイン構成は除去しないでください。 ただし、これらの構成内では、モジュール・クラス名の追加、 および WebSphere Application Server が各モジュールをロードする順序の指定を行うことができます。 WebSphere Application Server には、以下の事前定義 JAAS 構成が用意されています。
    ClientContainer
    この選択は、クライアント・コンテナー・アプリケーションが使用するログイン構成を指定します。 この構成は、クライアント・コンテナー用のデプロイメント記述子で定義される CallbackHandler アプリケーション・プログラミング・インターフェース (API) を使用します。 この構成を変更する場合は、アプリケーション・ログインの JAAS 構成パネルを参照してください。
    WSLogin
    この選択は、すべてのアプリケーションが、セキュリティー・ランタイムの認証を実行するために、 WSLogin 構成を使用できるかどうかを指定します。 この構成を変更する場合は、アプリケーション・ログインの JAAS 構成パネルを参照してください。
    DefaultPrincipalMapping
    この選択は、J2C 認証データ・エントリーに定義されたプリンシパルにユーザーをマップするために Java 2 Connectors (J2C) が使用するログイン構成を指定します。 この構成を変更する場合は、アプリケーション・ログインの JAAS 構成パネルを参照してください。
    system.wssecurity.IDAssertion
    この選択により、バージョン 5.x アプリケーションは ID アサーションを使用して、 ユーザー名を WebSphere Application Server クレデンシャル・プリンシパルにマップできるようになります。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.wssecurity.Signature
    この選択により、バージョン 5.x アプリケーションは、署名済み証明書の 識別名 (DN) を WebSphere Application Server クレデンシャル・プリンシパルにマップできるようになります。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.LTPA_WEB
    この選択により、サーブレットや JavaServer Pages (JSP) ファイルなどの Web コンテナーによって使用されるログイン要求が処理されます。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.WEB_INBOUND
    この選択により、サーブレットおよび JavaServer Pages (JSP) ファイルが含まれる Web アプリケーションのログイン要求が処理されます。 このログイン構成は、WebSphere Application Server バージョン 5.1.1 によって使用されます。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.RMI_INBOUND
    この選択により、インバウンド・リモート・メソッド呼び出し (RMI) 要求のログインが処理されます。 このログイン構成は、WebSphere Application Server バージョン 5.1.1 によって使用されます。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.DEFAULT
    この選択により、内部認証、および Web アプリケーションおよび RMI 要求を除く他のほとんどのプロトコルによって実行されるインバウンド要求のログインが処理されます。 このログイン構成は、WebSphere Application Server バージョン 5.1.1 によって使用されます。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.RMI_OUTBOUND
    この選択で、com.ibm.CSIOutboundPropagationEnabled プロパティー が true である場合に、 別のサーバーにアウトバウンド送信される RMI 要求を処理します。 このプロパティーは、「CSIv2 authentication」パネルで設定されます。

    パネルにアクセスするには、「セキュリティー」>「Secure administrative, applications, and infrastructure」とクリックします。 「認証」の下の「RMI/IIOP security」>「CSIv2 アウトバウンド認証」とクリックします。 com.ibm.CSIOutboundPropagationEnabled プロパティーを設定するには、「セキュリティー属性の伝搬」を選択します。 この JAAS ログイン構成を変更する場合は、「JAAS - システム・ログイン」パネルを参照してください。

    system.wssecurity.X509BST
    この選択は、証明書および証明書パスの妥当性を検査することによって、X.509 バイナリー・セキュリティー・トークン (BST) を検査します。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.wssecurity.PKCS7
    この選択は、証明書チェーン、証明書失効リスト、またはその両方が含まれる可能性がある PKCS7 オブジェクト内で X.509 証明書を検査します。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.wssecurity.PkiPath
    この選択は、Public Key Infrastructure (PKI) パスで X.509 証明書を検査します。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.wssecurity.UsernameToken
    この選択は、基本認証 (ユーザー名およびパスワード) データを検査します。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.wssecurity.IDAssertionUsernameToken
    これを選択すると、バージョン 6 以降のアプリケーションで ID アサーションを使用して、 WebSphere Application Server クレデンシャル・プリンシパルにユーザー名をマップすることが できます。この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.WSS_INBOUND
    この選択では、Web サービス・セキュリティーを使用したセキュリティー・トークンの伝搬用のインバウンドまたはコンシューマー要求のログイン構成を指定します。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.WSS_OUTBOUND
    この選択では、Web サービス・セキュリティーを使用したセキュリティー・トークンの伝搬用のアウトバウンドまたはジェネレーター要求のログイン構成を指定します。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    なし
    これを選択する場合、JAAS ログイン構成は指定しません。
  14. OK」をクリックしてから「保管」をクリックして、構成を保管します。

結果

アプリケーション・レベルでトークン・コンシューマーが構成されました。

次の作業

アプリケーション・レベルに対して同様のトークン・ジェネレーター構成を指定する必要があります。



サブトピック
要求コンシューマー (受信側) バインディング構成の設定
応答コンシューマー (受信側) バインディング構成の設定
JAAS 構成の設定
関連概念
Web サービス・セキュリティー・サービス・プロバイダーのプログラミング・インターフェースのデフォルトのインプリメンテーション
関連タスク
アプリケーション・レベルでのコンシューマー・バインディングのコレクション証明書ストアの構成
アプリケーション・レベルでメッセージの認証性を保護するための、 JAX-RPC によるトークン・コンシューマーの構成
要求および応答コンシューマーでの JAX-RPC を使用したメッセージの保護
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 9:12:22 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/twbs_configtokenconsapp.html