システム・ポリシー・セットを使用したトラスト・サービスへの要求の保護

WebSphere® Application Server は、そのセキュリティー・トークン・サービス (WebSphere Application Server トラスト・サービスと呼ばれます) にメッセージ・レベルの保護を提供します。 トラスト・サービスの場合、システム・ポリシー・セットと呼ばれる、特殊クラスのポリシー・セットを使用する必要があります。

始める前に

次の 2 種類の構成メソッドを使用することで、トラスト・サービスへの要求を保護することができます。
  • 管理コンソールを使用して、システム・ポリシー・セットおよびバインディングを定義し、エンドポイントに関連付けられているトラスト・サービスの操作に関連付けます。
  • wsadmin ツール (Jython および Jacl スクリプト言語をサポートします) を使用して、 システム・ポリシー・セットをトラスト・サービス用に構成します。ポリシー・セットを作成して、関連したポリシーを管理することにより、 サービスの品質 (QoS) のポリシーを管理できます。

このタスクについて

WebSphere Application Server のトラスト・サービス・セキュリティーの場合は、システム・ポリシー・セット、バインディング、トラスト・サービスの関連付け、およびセキュリティー・キャッシュを構成する必要があります。

以下のハイレベル・ステップを実行します。 タスクの順序は重要ではありませんが、すべての必須なハイレベル・ステップを実行してトラスト構成を完了する必要があります。

手順

  1. 新規のシステム・ポリシー・セットを定義するか、または既存のシステム・ポリシー・セットを管理します。 システム・ポリシー・セットを管理するには、以下のタスクを実行できます。
    1. システム・ポリシー・セットおよびバインディングを定義します システム・ポリシー・セットは、新規のポリシー・セットでも、 既存のものでもかまいません。 新規のシステム・ポリシー・セットを作成する場合は、ポリシー・タイプを指定して構成する必要があります。 各ポリシー・タイプには、デフォルトのバインディング構成が関連付けられています。
    2. 必要に応じて、システム・ポリシー・セットを変更します

      実行可能な他のオプションのポリシー・セット関連タスクには、以下のものがあります。

      • ポリシー・セット関連付けを追加、編集、または除去します。
      • ポリシー・タイプを編集、使用可能に設定、使用不可に設定、または除去します。
      • 既存のシステム・ポリシー・セットを選択およびコピーして、システム・ポリシー・セットを作成します。 既存のシステム・ポリシー・セットをコピーするときは、 既存の関連付けをこの新規システム・ポリシー・セットに移動するかどうかも指定します。
      • システム・ポリシー・セットを削除します。WebSphere Application Server によって デフォルトで提供されている事前構成システム・ポリシー・セットは削除できません。
      • 既存のシステム・ポリシー・セットを選択およびエクスポートして、 システム・ポリシー・セットを保存します。 既存のシステム・ポリシー・セットをエクスポートするときは、 .zip アーカイブ・ファイルを作成します。 ポリシー・セットのエクスポート用 .zip ファイルが、ダウンロード用に提供されています。 例えば、ABC_ps という名前のポリシー・セットがあり、アーカイブ・ファイルを ServerA から ServerB へエクスポートする場合は、初めにエクスポート機能を使用して .zip ファイルを作成します。 次に、このアーカイブ・ファイルを ServerB に手動で転送します。
  2. 明示的関連付けを作成および管理します。 以下のトラスト・サービスの関連付けタスクを実行できます。
    1. システム・ポリシー・セットを関連付け、バインディングをエンドポイントに割り当てます エンドポイントの場合、 トラスト・サービス・デフォルトのポリシー・セットおよびバインディングに対する 4 つのトラスト・サービス操作のそれぞれに明示的関連付けを作成できます。 これらの初期関連付けを作成した後、既存のポリシー・セットおよびバインディング構成を表示し、さらに変更することができます。
    2. 必要に応じて、既存のポリシー・セット関連付けおよびバインディング構成を変更します システム・ポリシー・セットは、新規のポリシー・セットでも、 既存のものでもかまいません。 新規のシステム・ポリシー・セットを作成する場合は、ポリシー・タイプを指定して構成する必要があります。 各ポリシー・タイプには、デフォルトのバインディング構成が関連付けられています。

      実行および更新に関連付けられているシステム・ポリシー・セットは、 クライアントおよびエンドポイントのブートストラップに対応している必要があり、 検証と取り消しに関連付けられているシステム・ポリシー・セットは、クライアントおよびエンドポイントのアプリケーション・ポリシー・セットに対応している必要があります。 エンドポイント・サービスのブートストラップ・ポリシー・セットは、 エンドポイント・サービスがトラスト・サービスに対して実行および更新要求をする場合にのみ必要です。

      実行可能な他のオプションの添付関連タスクには、以下のものがあります。

      • システム・ポリシー・セットおよびバインディング構成を変更します。
      • カスタマイズしたシステム・ポリシー・セットおよびバインディングを作成します。
      • 4 つのデフォルト・トラスト・サービス操作をシステム・ポリシー・セットおよびバインディングに関連付けます。
      • 特定のエンドポイントに関連付けられている 4 つのトラスト・サービス操作のそれぞれをシステム・ポリシー・セットおよびバインディングに関連付けます。
      • エンドポイントの選択済みトラスト・サービス操作がそれぞれのデフォルト・トラスト・サービスのポリシー・セットおよびバインディングを継承するように指定します。
      • デフォルト・バインディングまたはカスタム・バインディングの構成を選択したポリシー・セット関連付けに割り当てます。
      • トラスト・サービスのランタイム構成を更新します。
  3. トラスト・サービスが提供するセキュリティー・コンテキスト・トークン・プロバイダーを管理します。 以下のトラスト・サービスのトークン・プロバイダー・タスクを実行できます。
    1. 必要に応じて、 セキュリティー・コンテキスト・トークン・プロバイダーの構成を変更します

      実行可能な他のオプションのトークン・プロバイダー関連タスクには、以下のものがあります。

      • トークン・プロバイダー構成の変更に合わせてトラスト・サービスのランタイム構成を更新します。
  4. トラスト・サービスのデフォルト・トークン・プロバイダーと、 (デフォルトから継承するのではなく) 明示的に割り当てられたトークンがあるエンドポイントを管理します。 ターゲットは、特定のトークン・プロバイダーに割り当てられているエンドポイントです。 以下のトラスト・サービスのターゲット・タスクを実行できます。
    1. サービス・エンドポイント URL をデフォルトのトークン・プロバイダーに明示的に割り当てることで、 新規トラスト・サービス・ターゲットを作成します このタスクを実行することにより、 デフォルトのトラスト・サービス・トークン・プロバイダーであるセキュリティー・コンテキスト・トークンに対する明示的割り当てが作成されます。 その他すべてのエンドポイントは、トラスト・サービスのデフォルト・トークン・プロバイダーを継承します。
    2. ターゲットを構成します WebSphere Application Server では、サポートされる 1 つのデフォルト・トークン・プロバイダーであるセキュリティー・コンテキスト・トークンを定義します。 既存ターゲットに実行できる他のタスクには、以下のものがあります。
      • 明示的に割り当てられたセキュリティー・コンテキスト・トークン・プロバイダーがある 1 つ以上のエンドポイントの変更。
      • エンドポイントのトークン・プロバイダーの継承から明示的割り当てへの変更。 したがって、エンドポイントのトークン・プロバイダーは、デフォルトのトラスト・サービス・トークン・プロバイダーが変わっても、変更されません。
      • エンドポイントのトークン・プロバイダーの明示的割り当てから継承への変更。 したがって、エンドポイントのトークン・プロバイダーは、デフォルトのトラスト・サービス・トークン・プロバイダーで、デフォルトが変わると変更されます。
      • トラスト・サービスのランタイム構成の更新。
  5. セキュリティー・キャッシュを構成します クライアント・サイドのセキュリティー・キャッシングの動作は変更が可能です。
  6. トラスト・サービスのランタイム構成を更新します 以下のトラスト関連項目を作成または変更するときは、ランタイム構成も変更する必要があります。
    • トラスト・サービスの添付
    • トークン・プロバイダー
    • ターゲット

タスクの結果

構成を完了し、トラスト・サービスのランタイム構成を更新した後、 システム・ポリシー・セットを使用してトラスト・サービスに対する要求を保護するために、管理コンソールを使用しました。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_trustwss
ファイル名:twbs_trustwss.html