Web Services Security のカスタム・プロパティー
データの名前と値のペアを構成することができます。 名前はプロパティー・キー、値はストリング値で、これらを使用することにより、内部のシステム構成プロパティーを設定できます。 新規プロパティーを定義すると、管理コンソールのオプションとして提供されるもの以外の設定を構成できます。
Web Services Security のカスタム・プロパティーは、さまざまなレベルのアプリケーション・サーバーで、JAX-RPC および JAX-WS アプリケーションに対して設定できます。カスタム・プロパティーの以下のリストでは、カスタム・プロパティーを設定する場所およびその使用方法について説明します。
Web Services Security の汎用セキュリティー・トークン・ログイン・モジュールのカスタム・プロパティーおよび Web Services Security の SAML トークン・カスタム・プロパティーについては、別の情報トピックで説明されています。これらのトピックへのリンクは、このトピックの『関連参照』セクションにあります。
以下の Web Services Security カスタム・プロパティーを定義できます。
- com.ibm.websvcs.client.serializeSecurityContext
- com.ibm.ws.wssecurity.createSTR
- com.ibm.ws.wssecurity.dsig.SignatureAlgorithm
- com.ibm.ws.wssecurity.sc.FaultCode
- com.ibm.wsspi.wssecurity.Caller.assertionLoginConfig
- com.ibm.wsspi.wssecurity.config.disableWSSIfApplicationSecurityDisabled
- com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens
- com.ibm.wsspi.wssecurity.config.request.setMustUnderstand および com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne
- com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure
- com.ibm.wsspi.wssecurity.consumer.timestampRequired
- com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces
- com.ibm.wsspi.wssecurity.dsig.oldEnvelopedSignature
- com.ibm.wsspi.wssecurity.enc.MTOM.Optimize
- com.ibm.wsspi.wssecurity.generator.useWSSObject
- com.ibm.wsspi.wssecurity.krbtoken.clientRealm
- com.ibm.wsspi.wssecurity.krbtoken.loginPrompt
- com.ibm.wsspi.wssecurity.login.useSoap12FaultCodes
- com.ibm.wsspi.wssecurity.nonce.includeEncodingType
- com.ibm.wsspi.wssecurity.token.cert.useRequestorCert
- com.ibm.wsspi.wssecurity.token.enableCaptureTokenContext
- com.ibm.wsspi.wssecurity.token.enableCaptureTokenInboundMsg
- com.ibm.wsspi.wssecurity.token.forwardable
- com.ibm.wsspi.wssecurity.token.IDAssertion.isUsed
- com.ibm.wsspi.wssecurity.token.IDAssertion.useRunAsIdentity
- com.ibm.wsspi.wssecurity.token.username.addNonce および com.ibm.wsspi.wssecurity.token.username.addTimestamp
- com.ibm.wsspi.wssecurity.token.username.emitPasswordDigest
- com.ibm.wsspi.wssecurity.token.username.password.forwardable
- com.ibm.wsspi.wssecurity.token.username.verifyNonce および com.ibm.wsspi.wssecurity.token.username.verifyTimestamp
- com.ibm.wsspi.wssecurity.token.UsernameToken.digestPasswordCallbackHandler
- com.ibm.wsspi.wssecurity.token.UsernameToken.disableUserRegistryCheck
- com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule.disableUserRegistryCheck
- com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7
- com.ibm.wsspi.wssecurity.useMTOMWithCustomComponents
com.ibm.websvcs.client.serializeSecurityContext
javax.xml.ws.BindingProvider bp;
bp.getRequestContext().put("com.ibm.websvcs.client.serializeSecurityContext", "false");
通知 | 値 |
---|---|
データ型 | ストリング |
値 | True、False |
デフォルト | true |
com.ibm.ws.wssecurity.createSTR
com.ibm.ws.wssecurity.createSTR プロパティーに True の値を 指定すると、SOAP セキュリティー・ヘッダーにセキュリティー・トークンへの セキュリティー・トークン参照を作成します。
- トークン署名の参照メカニズムが STR 逆参照変換 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform である。
- WS-Security ポリシーの SignedParts エレメントに SecurityTokenReference を表す XPath 値が含まれる。
このプロパティーは、SAML トークン生成プログラムでのカスタム・プロパティーとして構成されます。 これは、コールバック・ハンドラーでは構成されません。
通知 | 値 |
---|---|
データ型 | ストリング |
値 | True、False |
デフォルト | False |
このプロパティーの値は、大/小文字を区別しません。
com.ibm.ws.wssecurity.dsig.SignatureAlgorithm
このカスタム・プロパティーを使用してデジタル署名を構成し、Web Services Security ランタイムが SHA-2 署名アルゴリズムを使用できるようにします。
JAX-WS アプリケーションの場合は、要求または応答の署名情報セクションで次のカスタム・プロパティーを設定して、SHA-2 署名アルゴリズムを使用可能にします。 このカスタム・プロパティーを構成する際、クライアントとプロバイダーの両方に対して同じ値を使用するようにしてください。
通知 | 値 |
---|---|
データ型 | ストリング |
値 | rsa-sha256、rsa-sha384、rsa-sha512、hmac-sha256、hmac-sha384、hmac-sha512、または dsa-sha256 |
- 「サービス・プロバイダー」をクリックします。 または
- をクリックします。
- 「ポリシー」で、「WS-Security」をクリックします。
- 「メッセージ・セキュリティー・ポリシー・バインディング」の 下の「認証と保護」をクリックします。
- 「要求メッセージのシグニチャーと暗号化保護」または「応答メッセージのシグニチャーと暗号化保護」のいずれかで、「signature_message_part_reference」をクリックします。
「signature_message_part_reference」の名前を選択すると、署名済みメッセージ・パーツのバインディングの構成にアクセスします。
- カスタム・プロパティーを指定します。例えば、com.ibm.ws.wssecurity.dsig.SignatureAlgorithm の場合は、前の表に示されている値の 1 つを使用して希望するアルゴリズムをプロパティー値として入力します。
com.ibm.ws.wssecurity.sc.FaultCode
JAAS ログイン・モジュールでこのカスタム・プロパティーを使用して、エラー発生時の SOAP 障害コードを設定します。このプロパティーが指定されていない 場合、常に SOAP 障害コード wsse:FailedAuthentication が戻されます。
カスタム JAAS ログイン・モジュールでは、wssecurity コンテキストの com.ibm.ws.wssecurity.sc.FaultCode プロパティーを、使用する障害コードの QName に設定します。以下に例を示します。
fcQname = new QName(
"http://schemas.xmlsoap.org/ws/2003/06/secext",
"FailedCheck");
this._context = propertyCallback.getProperties();
_context.put("com.ibm.ws.wssecurity.sc.FaultCode", fcQname);
通知 | 値 |
---|---|
データ型 | ストリング |
デフォルト | none |
com.ibm.wsspi.wssecurity.Caller.assertionLoginConfig
呼び出し元パーツで構成される com.ibm.wsspi.wssecurity.Caller.assertionLoginConfig プロパティーは、WebSphere Application Server の許可証明書を取得するために、Web Services Security で使用される JAAS ログイン構成の名前を指定します。 Rational® Application Developer などのアセンブリー・ツールを使用して、このプロパティーを構成する必要があります。 詳しくは、Rational Application Developer の『コンシューマー・セキュリティー制約での呼び出し元の構成』トピックを参照してください。 このトピックでは、ID アサーションを構成するときに、このカスタム・プロパティーを設定しています。
このプロパティーは、WS-Security V1.0 JAX-RPC アプリケーションでのみ使用してください。
通知 | 値 |
---|---|
データ型 | ストリング |
デフォルト | system.DEFAULT |
com.ibm.wsspi.wssecurity.config.disableWSSIfApplicationSecurityDisabled
com.ibm.wsspi.wssecurity.config.disableWSSIfApplicationSecurityDisabled カスタム・プロパティーを TRUE に設定すると、アプリケーション・セキュリティーがアプリケーション・サーバーで無効である場合、Web Services Security は構成された WS-Security 制約を強制しません。このカスタム・プロパティーを使用すると、Web サービス・アプリケーションからセキュリティー制約を除去せずに、非セキュア環境でサービスをデバッグできます。

通知 | 値 |
---|---|
データ型 | ストリング |
値 | true、false |
デフォルト | false |
- と展開します。
- 「汎用プロバイダー・ポリシー・セットのバインディング」または 「汎用クライアント・ポリシー・セットのバインディング」をクリックします。
- 「binding_name」をクリックします。
- 「ポリシー」の見出しの下にある とクリックします。
- application.parameters
- application.securityinboundbinding config.properties
com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens
com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens カスタム・プロパティーは、UsernameToken を常にキャッシュに入れるか (これはデフォルトの動作)、一連のルールの決定に従ってキャッシュに入れるかを指定します。このカスタム・プロパティーは、トークン生成プログラムに対して、または追加プロパティーとして構成できます。
- アプリケーションがアプリケーション・サーバー上で実行中である場合、UsernameToken をキャッシュに入れません。
- UsernameToken のトークン生成プログラムにコールバック・ハンドラー com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler が構成されている場合、UsernameToken をキャッシュに入れます。
このカスタム・プロパティーは、JAX-RPC ランタイムにのみ適用されます。 暗号化されたメッセージ・パーツ・バインディング内の カスタム・プロパティーを設定するには、Rational Application Developer などのアセンブリー・ツールを使用します。
通知 | 値 |
---|---|
データ型 | ストリング |
値 | true、false |
デフォルト | false |
com.ibm.wsspi.wssecurity.config.request.setMustUnderstand および com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne
これら 2 つのカスタム・プロパティーによって、 管理者は SOAP セキュリティー・ヘッダー内の mustUnderstand 属性の設定を制御できます。これらの プロパティーは、アウトバウンド・カスタム・プロパティーとして設定されます。
- com.ibm.wsspi.wssecurity.config.request.setMustUnderstand カスタム・プロパティー
com.ibm.wsspi.wssecurity.config.request.setMustUnderstand カスタム・プロパティーは、アウトバウンド・コンシューマー要求の mustUnderstand 設定を指定します。 プロパティーの値をゼロ (0)、no、または false に設定すると、mustUnderstand 属性はアウトバウンド・コンシューマー要求内の WS-Security ヘッダーに設定されません。
通知 値 データ型 ストリング 値 ゼロ (0)、no、false デフォルト true SOAP メッセージでは、mustUnderstand 属性のデフォルト値はゼロ (0) です。SOAP の仕様に従い、属性の値をゼロにしたい場合は、この属性をメッセージに含めないでください。
トラブルの回避 (Avoid trouble): com.ibm.wsspi.wssecurity.config.request.setMustUnderstand プロパティーの設定手順は以下のとおりであり、 これは com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne の設定手順と同じです。gotcha
- com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne カスタム・プロパティー
com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne カスタム・プロパティーは、プロバイダーが常に SOAP セキュリティー・ヘッダー内に mustUnderstand="1" 属性を含めて応答する必要があることを指定します。 この値が 1、yes、または true に設定された場合、プロバイダーは WS-Security ヘッダーで mustUnderstand="1" と属性が設定されている状態で応答します。この属性のデフォルト値は false です。
通知 値 データ型 ストリング 値 1、yes、または true デフォルト false デフォルトで、応答には要求と同じ mustUnderstand 属性が含まれます。 例えば、インバウンド要求に mustUnderstand="1" がある場合、応答にも mustUnderstand="1" が含まれます。 要求に mustUnderstand 属性がない場合は、応答にも mustUnderstand 属性が含まれていません。
JAX-WS アプリケーションの場合、 カスタム・プロパティー com.ibm.wsspi.wssecurity.config.request.setMustUnderstand および com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne を、ポリシー・セット・バインディングに対するアウトバウンド・カスタム・プロパティーとして、または、インバウンドおよびアウトバウンドのカスタム・プロパティーとして設定できます。これらのカスタム・プロパティーを設定するには、管理コンソールで以下のステップを実行します。- と展開します。
- 「汎用プロバイダー・ポリシー・セットのバインディング」または 「汎用クライアント・ポリシー・セットのバインディング」をクリックします。
- 「binding_name」をクリックします。
- 「ポリシー」の見出しの下にある とクリックします。
カスタム・プロパティー com.ibm.wsspi.wssecurity.config.request.setMustUnderstand および com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne を、 パラメーターとして、またはアウトバウンド・バインディング・プロパティーとして、wsadmin ツールを使用してアプリケーションに設定することもできます。setBinding では以下の WS-Security ポリシー・タイプのプロパティー名が使用されます。- application.parameters
- application.securityinboundbindingconfig.properties
JAX-RPC アプリケーションの場合、いずれのプロパティーも管理コンソール内の以下の場所で指定できます。- JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。「JAX-RPC デフォルト生成プログラム・バインディング」の下の「プロパティー」をクリックします。 とクリックします。 「セキュリティー」の下の「
- JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。「カスタム・プロパティー」の下の「カスタム・プロパティー」をクリックします。 とクリックします。 「セキュリティー」の下の「
JAX-RPC WS-Security バージョン 1.0 アプリケーションとアセンブリー・ツールを使用している場合は、セキュリティー要求生成プログラムの拡張またはバインディングで com.ibm.wsspi.wssecurity.config.request.setMustUnderstand カスタム・プロパティーを設定できます。 応答生成プログラムの拡張またはバインディングで com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne カスタム・プロパティーを設定できます。 バインディングの設定は、拡張の設定よりも優先されます。
JAX-RPC WS-Security 仕様のドラフト 13 レベルのアプリケーションとアセンブリー・ツールを使用している場合は、com.ibm.wsspi.wssecurity.config.request.setMustUnderstand カスタム・プロパティーをポート修飾名バインディングのパラメーターとして設定できます。com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne カスタム・プロパティーをポート・コンポーネント・バインディングのパラメーターとして設定できます。
com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure
com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure カスタム・プロパティーは、 アプリケーション・サーバーの始動後に トラストストアを再ロードできるかどうかを指定します。
トラストストアは 鍵ストアです。デフォルトでは、JAX-WS WS-Security は、 アプリケーション・サーバーが稼動している間は 鍵ストアのリフレッシュに応答しません。パフォーマンス上の理由から、各アプリケーションが開始すると鍵ストアはメモリーにキャッシュされます。 キャッシュはアプリケーション間で共有されるため、1 つのアプリケーションが停止しても、その鍵ストアはキャッシュに残ったままです。したがって、 アプリケーション・サーバーの始動後に 信頼できる証明書 (X.509 トークン・コンシューマーによって 使用されます) がトラストストアに追加されると、 トラスト検証に失敗してしまいます。
com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure プロパティーを true に 設定した場合、トラスト検証が実行されると、WS-Security ランタイムが 構成されているトラストストアを再ロードし、 トラスト検証を再試行します。再ロードされたトラストストアは、 この 1 回の再検証試行のみに使用されます。鍵ストア・オブジェクトを置き換えると並行性の問題が発生する可能性があるため、キャッシュ内の鍵ストア・オブジェクトは置換されません。
2 回目の検証の試行が失敗すると、信頼性検証失敗がクライアントに戻されます。

com.ibm.wsspi.wssecurity.consumer.timestampRequired
com.ibm.wsspi.wssecurity.consumer.timestampRequired プロパティーは、WS-Security ポリシーで「セキュリティー・ヘッダーにタイム・スタンプを組み込む」設定が選択されている場合に応答のセキュリティー・ヘッダー内にタイム・スタンプが必要でないかどうかを指定します。
JAX-WS WS-Security ランタイムは、OASIS WS-SecurityPolicy 1.2 仕様の「Timestamp Required」要件に準拠するように更新されています。 アウトバウンド・タイム・スタンプが構成されている場合にインバウンド・タイム・スタンプを要求しないようにアプリケーションを構成するには、com.ibm.wsspi.wssecurity.consumer.timestampRequired カスタム・プロパティーを Web Services Security 設定に追加して、このプロパティーを false に設定します。このプロパティーを false に設定すると、WS-Security ポリシーの設定で「セキュリティー・ヘッダーにタイム・スタンプを組み込む」を選択している場合でも、応答のセキュリティー・ヘッダーでタイム・スタンプが要求されません。
このプロパティーの デフォルト値は true です。

通知 | 値 |
---|---|
データ型 | ブール |
デフォルト | true |
com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces
このカスタム・プロパティーは、JAX-RPC アプリケーションと JAX-WS アプリケーションの両方に適用され、XML デジタル署名の包括的な名前空間接頭部リストを使用不可にするかどうかを指定します。 WebSphere Application Server はデフォルトで、Web Services Security のデジタル署名に接頭部を含めます。 要素として包括的な名前空間セットが不要な場合は、このカスタム・プロパティーを false に設定できます。 Web Services Security の一部の実装は、この接頭部リストを処理できません。 署名済み SOAP メッセージが送信されるときにシグニチャー検証が失敗するという現象があり、その環境で別のベンダーを使用している場合は、このプロパティーを使用不可に設定する前に、サービス・プロバイダーに、その実装に対するフィックスがあるかどうかを確認してください。
- をクリックします。
- をクリックします。
- 「Web Services Security プロパティー」の下の「Web サービス: クライアント・セキュリティーのバインディング」または「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。
- 「要求生成プログラム (送信側) バインディング」または「応答生成プログラム (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 「必須プロパティー」の下で、 とクリックします。
- カスタム・プロパティーとその値を指定します。
- または とクリックします。
- をクリックします。
- 「ポリシー」の下の「WS-Security」をクリックします。
- 「メッセージ・セキュリティー・ポリシー・バインディング」の下の「認証と保護」をクリックします。
- 「要求メッセージのシグニチャーと暗号化保護」または「応答メッセージのシグニチャーと暗号化保護」のいずれかで、「signature_message_part_reference」をクリックします。 「signature_message_part_reference」の名前をクリックすると、署名済みメッセージ・パーツのバインディングの構成にアクセスします。
- カスタム・プロパティーとその値を指定します。
com.ibm.wsspi.wssecurity.dsig.oldEnvelopedSignature
このプロパティーは、WS-Security ランタイムがバージョン 7.0.0.21 以前にアウトバウンド XML デジタル署名作成またはインバウンド検証に対して行っていたようにダイジェスト値を計算することを WS-Security ランタイムに指示するために、com.ibm.wsspi.wssecurity.dsig.enableEnvelopedSignatureProperty JVM カスタム・プロパティーと一緒に使用されます。 どんな場合にこの JVM カスタム・プロパティーを使用する必要があるかについて詳しくは、Java™ 仮想マシン (JVM) のカスタム・プロパティーを参照してください。
このプロパティーは、WS-Security ポリシー・セット・バインディング のインバウンド、アウトバウンド、または、インバウンド/アウトバウンドのカスタム・プロパティー のいずれかとして指定されます。
com.ibm.wsspi.wssecurity.enc.MTOM.Optimize
暗号化されたデータの暗号テキストに Message Transmission Optimization Mechanism (MTOM) を使用するには、このカスタム・プロパティーの値を true に設定します。 このプロパティーは、クライアント要求またはサーバー応答のアウトバウンド暗号化パーツで WS-Security ポリシー・バインディングに設定されます。
com.ibm.wsspi.wssecurity.generator.useWSSObject
このカスタム・プロパティーは、アウトバウンド SOAP メッセージで送信される SOAP セキュリティー・ヘッダーを WS-Security ランタイムがどのように構築するのかを決定します。デフォルトでは、ランタイムは、内部 Web Services Security (WSS) オブジェクト表現を用いたファスト・パスを使用して、セキュリティー・ヘッダーを構築します。Axis2 ランタイムおよびオブジェクトを使用して、セキュリティー・ヘッダーを構築することもできます。
このプロパティーは、WS-Security ポリシー・セット・バインディングでアウトバウンド・カスタム・プロパティーまたはインバウンド/アウトバウンド・カスタム・プロパティーとして設定します。このプロパティーは、true または false に設定できます。このプロパティーを true に設定すると、WSS オブジェクトを使用してセキュリティー・ヘッダーを構築します。このプロパティーを false に設定すると、Axis2 オブジェクトを使用してセキュリティー・ヘッダーを構築します。
インバウンド・メッセージとアウトバウンド・メッセージの両方で WS-Security ポリシーと WS-Addressing ポリシーをともに使用した場合は、アウトバウンド SOAP メッセージのヘッダー・エレメント内に本文エレメントがあるという問題が生じる可能性があります。この問題が生じた場合は、com.ibm.wsspi.wssecurity.generator.useWSSObject カスタム・プロパティーを false に設定します。
デフォルト値は true です。
com.ibm.wsspi.wssecurity.krbtoken.clientRealm
JAX-WS Kerberos トークン生成プログラムのこのカスタム・プロパティーは、クライアントと関連付けられた Kerberos レルムの名前を指定し、Kerberos クライアント・レルムが Kerberos ログインを開始することを可能にします。
このプロパティーはオプションであり、単一 Kerberos レルム環境用です。 デフォルトでは、このプロパティーはデフォルト Kerberos レルム名に設定されます。Web Services Security サービス・セキュリティーを相互 Kerberos レルム環境またはトラステッド Kerberos レルム環境で実装する場合、このプロパティーの値を指定する必要があります。
このプロパティーは、Kerberos トークン生成プログラムのコールバック・ハンドラーでカスタム・プロパティーとして設定されます。 管理コンソールでこのプロパティーを設定するには、「binding_name」>「WS-Security」>「認証および保護」>「kerberos_token_name」>「コールバック・ハンドラー」とクリックします。WS-Security WSS API を使用するアプリケーションの場合、このプロパティーはトークン生成プログラムの Kerberos コールバック・ハンドラーで設定することもできます。
com.ibm.wsspi.wssecurity.krbtoken.loginPrompt
Kerberos ログインを可能にするには、JAX-WS Kerberos トークン生成プログラムのこのカスタム・プロパティーを true に設定します。
このプロパティーは、Kerberos トークン生成プログラムのコールバック・ハンドラーでカスタム・プロパティーとして設定されます。 管理コンソールでこのプロパティーを設定するには、「binding_name」>「WS-Security」>「認証および保護」>「kerberos_token_name」>「コールバック・ハンドラー」とクリックします。WS-Security WSS API を使用するアプリケーションの場合、このプロパティーはトークン生成プログラムの Kerberos コールバック・ハンドラーで設定することもできます。
このプロパティーのデフォルト値は false です。
com.ibm.wsspi.wssecurity.login.useSoap12FaultCodes
com.ibm.wsspi.wssecurity.login.useSoap12FaultCodes カスタム・プロパティーは、SOAP 1.2 メッセージへの応答で障害が返されるときに、 WS-Security ランタイムが適切な SOAP 1.2 障害コードを出力するよう更新されるかどうかを指定します。
このプロパティーが true に設定されている場合、 WS-Security ランタイムは、SOAP 1.2 メッセージへの応答で SOAP 1.2 障害コードを返します。
このプロパティーが false に設定されている場合、 WS-Security ランタイムは、SOAP 1.2 メッセージへの応答で SOAP 1.1 障害コードを返します。
このプロパティーの デフォルト値は true です。
このプロパティーは、特定のバインディングに対して WS-Secrutiy Inbound または Inbound and Outbound カスタム・プロパティーのいずれかに設定される必要があります。
<?xml version="1.0" encoding="UTF-8"?>
<soapenv:Envelope xmlns:soapenv=" http://www.w3.org/2003/05/soap-envelope">
<soapenv:Body>
<soapenv:Fault> <soapenv:Code>
<soapenv:Value>soapenv:Sender</soapenv:Value>
<soapenv:Subcode>
<soapenv:Value xmlns:axis2ns1="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
axis2ns1:FailedAuthentication</soapenv:Value>
</soapenv:Subcode>
</soapenv:Code>
<soapenv:Reason>
<soapenv:Text>CWWSS6521E: The Login failed because
of an exception: javax.security.auth.login.LoginException:
CWWSS7062E: Failed to check username [user1] and password in
the UserRegsitry: WSSUserRegistryProcessor.checkRegistry()=false
</soapenv:Text>
</soapenv:Reason>
<soapenv:Detail></soapenv:Detail>
</soapenv:Fault> </soapenv:Body>
</soapenv:Envelope>
com.ibm.wsspi.wssecurity.nonce.includeEncodingType
この JAX-WS カスタム・プロパティーは、EncodingType 属性を nonce エレメントに追加する必要があることを示すために、WebSphere WS-Security ランタイムに追加されます。このカスタム・プロパティーを true に設定すると、EncodingType 属性が SOAP セキュリティー・ヘッダーのすべての nonce エレメントに追加されます。
- アウトバウンド・カスタム・プロパティー
- インバウンドおよびアウトバウンドのカスタム・プロパティー
com.ibm.wsspi.wssecurity.token.cert.useRequestorCert
この JAX-WS カスタム・プロパティーが true に設定されている場合、SOAP 要求の署名者の証明書を使用して SOAP 応答が暗号化されます。このプロセスは、署名者証明書暗号化と呼ばれます。
このプロパティーは、暗号化トークン生成プログラムのコールバック・ハンドラーでカスタム・プロパティーとして設定されます。 管理コンソールでこのプロパティーを設定するには、「binding_name」>「WS-Security」>「認証および保護」>「token_name」>「コールバック・ハンドラー」とクリックします。WS-Security WSS API を使用するアプリケーションの場合、このプロパティーはトークン生成プログラムのコールバック・ハンドラーで設定することもできます。
このプロパティーのデフォルト値は false です。
com.ibm.wsspi.wssecurity.token.enableCaptureTokenContext
このプロパティーは、トークン・コンシューマーまたはトークン生成プログラムが、メッセージ・コンテキストの tokenHolder からトークンを取得することが可能かどうかを示します。
このプロパティーは、JAX-WS アプリケーションでのみ有効です。
このプロパティーの有効な値は、true および false です。デフォルト値は false です。
- と展開します。
- 「汎用プロバイダー・ポリシー・セットのバインディング」または 「汎用クライアント・ポリシー・セットのバインディング」をクリックします。
- バインディング名をクリックします。
- 「ポリシー」の見出しの下で とクリックします。
- カスタム・プロパティーの「名前」フィールド および「値」フィールドに、このプロパティーと値を 追加します。
com.ibm.wsspi.wssecurity.token.enableCaptureTokenInboundMsg
このプロパティーは、トークン・コンシューマーまたはトークン生成プログラムがインバウンド・メッセージ内の SecurityTokens のセットからそのトークンを取得することが可能かどうかを示します。インバウンド・メッセージに、トークン生成プログラムの値のタイプに一致するトークンが複数ある場合、選択されたトークンは不確定です。
このプロパティーは、JAX-WS アプリケーションでのみ有効です。
このプロパティーの有効な値は、true および false です。デフォルト値は false です。
tokenHolder リストについて詳しくは、com.ibm.wsspi.wssecurity.core.config.IssuedTokenConfigConstants の passThroughToken を参照してください
- と展開します。
- 「汎用プロバイダー・ポリシー・セットのバインディング」または 「汎用クライアント・ポリシー・セットのバインディング」をクリックします。
- バインディング名をクリックします。
- 「ポリシー」の見出しの下で とクリックします。
- カスタム・プロパティーの「名前」フィールド および「値」フィールドに、このプロパティーと値を 追加します。
com.ibm.wsspi.wssecurity.token.forwardable
JAX-WS プログラミング・モデルの SecurityToken コンシューマー・バインディングを 構成するときには、このカスタム・プロパティーを使用して、 受信トークンを他のサーバーに伝搬するかどうかを 指定します。このプロパティーに true の値を指定すると、 このトークンを他のサーバーに伝搬できるようになります。このプロパティーに false の値を指定した場合、 このトークンは他のサーバーに伝搬されません。デフォルト値は true で、この値は大/小文字を区別しません。
com.ibm.wsspi.wssecurity.token.IDAssertion.isUsed
このプロパティーでは、ID アサーションのシナリオでの使用が想定されています。 ID トークンのコールバック・ハンドラー構成では、このプロパティーを true に設定します。
UsernameToken 生成プログラムでこのプロパティーが true に設定されると、生成プログラムはパスワードを使用せずに UsernameToken を出力できるようになります。 UsernameToken 生成プログラムまたはコンシューマーでは、ID アサーション構成のその他の部分でこのプロパティーを使用する必要はありません。
通知 | 値 |
---|---|
データ型 | ストリング |
値 | true、false |
デフォルト | false |
com.ibm.wsspi.wssecurity.token.IDAssertion.useRunAsIdentity
このプロパティーは、 UsernameToken 生成プログラムにより使用されます。このプロパティーが UsernameToken 生成プログラムのコールバック・ハンドラーで true に設定されると、現行の runAs サブジェクトのプリンシパル名が UsernameToken の Username として使用されます。 このプロパティーが true に設定されている場合、ヌル以外の Username を UsernameToken に設定するために、ベース・セキュリティーを使用可能にして、実行の現行スレッドに対して runAs サブジェクトを設定する必要があります。
IDAssertion.useRunAsIdentity=true の場合、IDAssertion.isUsed=true も設定される必要があります。
通知 | 値 |
---|---|
データ型 | ストリング |
値 | true、false |
デフォルト | false |
com.ibm.wsspi.wssecurity.token.username.addNonce および com.ibm.wsspi.wssecurity.token.username.addTimestamp
JAX-WS プログラミング・モデルのユーザー名トークンを構成するときにリプレイ・アタックから保護するには、com.ibm.wsspi.wssecurity.token.username.addNonce カスタム・プロパティーおよび com.ibm.wsspi.wssecurity.token.username.addTimestamp カスタム・プロパティーを、トークン生成用にコールバック・ハンドラー構成に追加することを強くお勧めします。これらのカスタム・プロパティーは、メッセージ認証で nonce およびタイム・スタンプを 使用可能にし、検査します。プロパティーの値は true に設定する必要があります。
com.ibm.wsspi.wssecurity.token.username.emitPasswordDigest
このプロパティーは、UNTGenerateLoginModule がパスワードをダイジェストし、UsernameToken に対し、#PasswordText の代わりに #PasswordDigest の PasswordType を出力することを可能にします。
- をクリックします。
- 「汎用プロバイダー・ポリシー・セット・バインディング」または「汎用クライアント・ポリシー・セット・バインディング」をクリックします。
- バインディング名をクリックします。
- 「ポリシー」設定の下で をクリックします。
- このプロパティーとその値をカスタム・プロパティーの「名前」フィールドと「値」フィールドに追加します。
通知 | 値 |
---|---|
値 | true、false |
デフォルト | false |
com.ibm.wsspi.wssecurity.token.username.password.forwardable
JAX-WS プログラミング・モデルの UsernameToken コンシューマー・バインディングを 構成するときには、このカスタム・プロパティーを使用して、UsernameToken の 伝搬中に UsernameToken とともにパスワードを他のサーバーに伝搬するかどうかを 指定します。このプロパティーに true の値を指定した場合は、 伝搬中にパスワードが保持されます。このプロパティーに false の 値を指定した場合は、UsernameToken の伝搬前に パスワードを削除する必要があります。デフォルト値は true で、この値は大/小文字を区別しません。
com.ibm.wsspi.wssecurity.token.username.verifyNonce および com.ibm.wsspi.wssecurity.token.username.verifyTimestamp
JAX-WS プログラミング・モデルのユーザー名トークンを構成するときにリプレイ・アタックから保護するには、 com.ibm.wsspi.wssecurity.token.username.verifyNonce カスタム・プロパティーおよび com.ibm.wsspi.wssecurity.token.username.verifyTimestamp カスタム・プロパティーを、トークン・コンシューマー用にコールバック・ハンドラー構成に追加することを強くお勧めします。これらのカスタム・プロパティーは、メッセージ認証で nonce およびタイム・スタンプを 使用可能にし、検査します。プロパティーの値は true に設定する必要があります。
com.ibm.wsspi.wssecurity.token.UsernameToken.digestPasswordCallbackHandler
このカスタム・プロパティーは、#PasswordDigest の PasswordType を処理する、UsernameToken コンシューマーで使用するためのカスタム・コールバック・ハンドラー・クラスを定義します。このコールバック・ハンドラーは、アプリケーションで使用可能であり、javax.security.auth.callback.CallbackHandler インターフェースを実装している必要があります。UsernameToken コンシューマーの Username エレメントの値は、javax.security.auth.callback.NameCallback オブジェクトでコールバック・ハンドラーに渡されます。ユーザー名に関連付けられたパスワードが javax.security.auth.callback.PasswordCallback オブジェクトで返されます。返されたパスワードはダイジェストされ、Username Token コンシューマーの Password 値と比較されます。
このプロパティーは、UsernameToken コールバック・ハンドラー・カスタム・プロパティーとして構成されます。詳細については、「Consuming a UsernameToken with PasswordDigest」を参照してください。
com.ibm.wsspi.wssecurity.token.UsernameToken.disableUserRegistryCheck
このプロパティーを使用すると、JAX-WS で識別トークンに関するユーザー・レジストリー検査をスキップすることができます。 これは、ID アサーション・シナリオの識別トークンに関連付けられたユーザー名は、レジストリー・エラーを生成せずに UNTConsumeLoginModule をパススルーできることを意味します。通常、識別トークンがパスワードを含むことはなく、 トラスト・トークンはある場合もない場合もあります。例えば、 ブラインド・トラストがある場合があります。
このプロパティーは、 パスワードを含む UsernameToken に影響を及ぼしません。
パスワードを含む UsernameToken のレジストリー検査をバイパスする必要がある場合は、『スタックされた JAAS ログイン・モジュールを使用した UsernameToken コンシューマーの認証方式の置換』トピックを参照してください。UsernameToken で呼び出し元構成が必要な場合は、『レジストリーとの対話なしでの UsernameToken 呼び出し元構成の構成』トピックを参照してください。
このプロパティーが true に 設定されている場合、UNTConsumeLoginModule は、UsernameToken に パスワードが含まれていない場合に限って インバウンド UsernameToken を検証しません。
このプロパティーの有効な値は、true および false です。デフォルト値は false です。
- と展開します。
- 「汎用プロバイダー・ポリシー・セットのバインディング」または 「汎用クライアント・ポリシー・セットのバインディング」をクリックします。
- バインディング名をクリックします。
- 「ポリシー」の見出しの下で とクリックします。
- カスタム・プロパティーの「名前」フィールド および「値」フィールドに、このプロパティーと値を 追加します。
com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule.disableUserRegistryCheck
このプロパティーを使用すると、JAX-RPC で UsernameTokens に関するユーザー・レジストリー検査をスキップすることができます。 これは、このユーザー名がレジストリー・エラーを生成することなく、UsernameLoginModule をパススルーすることを意味します。
このプロパティーの有効な値は、true および false です。デフォルト値は false です。
このプロパティーは、wssecurity.UsernameToken JAAS 構成の com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule モジュールのカスタム・プロパティー、または、プロバイダー・アプリケーションの UsernameToken コンシューマーの JAAS 構成のカスタム・プロパティーに追加することができます。
com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7
Web Services Security は、LTPA (バージョン 1) と LTPA バージョン 2 (LTPA2) の両方のトークンをサポートします。LTPA2 トークンは バージョン 1 よりもセキュアであり、JAX-WS ランタイムのみによって サポートされます。トークン生成プログラムに 「トークン・バージョンの強制」相互運用性オプションを設定して、 要求メッセージを受信したときに、LTPA (バージョン 1) トークンと LTPA2 トークンの いずれを取得するかを決定できます。ただし、強制的にランタイムに LTPA (バージョン 1) トークンのみを 使用させる場合は、com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 カスタム・プロパティーを true に 設定できます。
- 構成するバインディングを見つけます。
- 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
- 「セキュリティー・ポリシー・バインディング」セクションで、「認証と保護」リンクをクリックします。
- 構成するトークン生成プログラムをクリックします。
- 「カスタム・プロパティー」セクションで com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 に true を指定します。
com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 カスタム・プロパティー値 | トークンのバージョンの制限値 | 結果 |
---|---|---|
false | 使用不可 | ランタイムは、LTPA (バージョン 1) トークンと LTPA2 トークンの 両方を使用できます。 |
未指定 (false 値を意味します) | 使用不可 | ランタイムは、LTPA (バージョン 1) トークンと LTPA2 トークンの 両方を使用できます。 |
true | 使用不可 | ランタイムは、LTPA (バージョン 1) トークンのみを 使用できます。 |
true | 使用可能 | ランタイムは、LTPA (バージョン 1) トークンのみを 使用できます。 |
詳しくは、LTPA トークンに対する シングル・サインオン・インターオペラビリティー・モードの使用可能化または使用不可化に関する 資料を参照してください。
com.ibm.wsspi.wssecurity.useMTOMWithCustomComponents
MTOM を含んでいるメッセージが XML 文書中の base64Binary データを誤って含む場合、この JAX-WS カスタム・プロパティーを true に設定します。このプロパティーが true に設定されていると、 WS-Security ランタイムは文書エレメントを早期に拡張およびマーシャルしません。このプロパティーは、クライアント WS-Security ポリシー・セット・バインディングに、アウトバウンドのカスタム・プロパティーとして、または、アウトバウンドおよびインバウンドのカスタム・プロパティーとして指定されます。このプロパティーのデフォルト値は false です。