SAML 用の Web サービス・クライアント・トークン・キャッシュ

SAML トークンが最初に要求されたとき、Web サービス・ランタイム環境は自動的に SAML トークンをキャッシュに入れます。 この自動クライアント・トークン・キャッシング機能の結果、以降の Web サービス要求は、前の要求からの SAML トークンを使用できます。

SAML 用の Web サービス・クライアント・トークン・キャッシュによって、Web サービス・クライアントがビジネス・サービスにアクセスするときに SAML トークンを再使用することが可能になります。有効な SAML トークン を再使用することで、セキュリティー・トークン・サービス (STS) へのトラフィックが減少し、 WS-Trust 要求メッセージの送信がパフォーマンスに及ぼす影響も 少なくなります。トークンは、いくつかの要件が満たされる場合に、 有効である (従って、キャッシングおよび再使用が可能である) と見なされます。

SAML トークンが再使用されるためには、 その有効期限が、現在時刻と等しいか、それより大きくなければなりません。 トークン有効期限と現在時刻の比較の際には、 トークンが送られた直後に有効期限が切れることがないよう、 現在時刻にキャッシュ・クッションが加算されます。

さらに、トークンが有効であるのは、同じビジネス・サービスに再び送信される 場合のみです。WebSphere® Application Server の SAML 機能は、 SAML トークンに関して AudienceRestriction 条件を検査しません。従って、正しい対象者のために SAML トークンが再使用されることを保証するための実用的な方法は、最初にそのトークンを使用した同じ Web サービスに対してのみトークンを再使用することです。アサーションが OneTimeUse アサーションを含んでいる 場合、SAML トークンはキャッシュに入れられません。

SAML トークン・キャッシュを利用するには、アプリケーションと SAML トークンが次の要件を満たしている必要があります。
  • SAML トークンには比較的長い有効期限の時間が設定されている必要があり、 最初の要求が完了した後に少なくとも 5 分間はトークン存続時間が残って いるようでなければなりません。WS-Security ランタイム環境は、 キャッシュに入れられた SAML トークンの有効期限を、事前定義されたキャッシュ・クッションに照らして検証します。 キャッシュに入れられたトークンは、残りのトークン存続時間がクッション値より 大きい場合のみ有効です。デフォルトのクッション値は 5 分です。 この値は、カスタム・プロパティー cacheCushion を使用して構成できます。 デフォルトのキャッシュ・クッションをオーバーライドするには、 SAML トークン生成プログラムの CallbackHandler カスタム・プロパティーを編集します。cacheCushion プロパティー を追加し、キャッシュ・クッション値をミリ秒単位で指定してください。キャッシュに入れられた SAML トークン存続期間 がキャッシュ・クッションの制限に満たない場合、新しい SAML トークンが要求されます。 例えば、キャッシュ・クッションを 3 分 (180000 ミリ秒) に 変更できます。
    カスタム・プロパティー名
    cacheCushion 180000
  • SAML トークンは OneTimeUse アサーションを含むことはできません。
  • SAML トークンが暗号化される場合、暗号化されたトークンの外で STS が トークン有効期限を通信し、 SAML トークンが OneTimeUse アサーションを含まないようにする必要があります。
以降の要求に同じ SAML トークンを再使用したくない場合、cacheToken カスタム・プロパティー を使用して、クライアント・サイドの SAML トークン・キャッシュを使用不可に することができます。クライアント・サイドの SAML トークン・キャッシュを使用不可にするには、 SAML トークン生成プログラムの CallbackHandler 内でカスタム・プロパティーを 変更します。cacheToken プロパティーを追加し、値を false に設定します。
カスタム・プロパティー名
cacheToken false

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_tokencacheclientsaml
ファイル名:cwbs_tokencacheclientsaml.html