トークン生成プログラム用の汎用セキュリティー・トークン・ログイン・モジュール

Web サービス要求が行われると、アプリケーション・サーバー は Web Service Security 認証プロセスの一部として、トークン生成プログラム用の 汎用セキュリティー・トークン・ログイン・モジュールを呼び出します。

ログイン・モジュールは、WS-Trust Issue 要求または WS-Trust Validate 要求を 通して、セキュリティー・トークン・サービス (STS) にトークン生成プロセスを委任します。STS は この要求を処理し、RequestSecurityTokenResponse メッセージを ログイン・モジュールに戻します。ログイン・モジュールは、この STS 応答メッセージからのトークンを、Web サービス要求メッセージのセキュリティー・ヘッダー に組み込みます。トークンが戻されない場合、または STS 呼び出しからエラーが発生した場合は、 ログイン・モジュールは LoginException メッセージを 生成し、Web サービス・クライアントにエラーが戻されます。

ログイン・モジュール、およびログイン・モジュールでのセキュリティー・トークン・サービスの使用 は、以下のアクションを許可します。
  • 入力または出力セキュリティー・トークンのトークン・タイプが異なる場合のセキュリティー・トークン交換
  • 1 つの ID を別の ID にマップする場合のセキュリティー・トークン交換
  • 認証されたユーザーがターゲット Web サービスの起動を許可されることを確認するための許可検査の評価
  • トークン交換は、RunAs Subject から起動されるか、または、Web Services Security ランタイム環境によって生成されます。 交換は、トラスト要求に対して構成されたポリシー・セットおよびバインディング に基づきます。
トークン生成プログラム用の汎用セキュリティー・トークン・ログイン・モジュールを使用するには、 Web Services Security ポリシー・セット・バインディング内のトークン生成プログラムは以下を指定する必要があります。
  • 適切な Java™ 認証・承認 サービス (JAAS) ログイン構成名を指定する必要があります。
  • コールバック・ハンドラー・クラス名を指定する必要があります。
JAAS ログイン構成名は wss.generate.issuedToken であり、 コールバック・ハンドラー・クラス名は com.ibm.websphere.wssecurity.callbackhandler.GenericIssuedTokenGenerateCallbackHandler です。 詳しくは、Web Services Security プロセスのトークン生成プログラム側の認証トークン 用の汎用ログイン・モジュールの構成についての 文書を参照してください。

サポートされるトークン・タイプ

  • 指定された STS で処理可能な ValueType 値 を持つトークン・タイプであれば、任意のトークン・タイプを指定できます。使用する STS に 応じて、以下のトークン・タイプが含まれます。
    • Security Assertion Markup Language (SAML) 2.0
    • SAML 1.1
    • ユーザー名
    • パスチケット (PassTicket)
    • Kerberos
    • Lightweight Third Party Authentication (LTPA)
    • Tivoli® Access Manager クレデンシャル
  • サービス・プロバイダーへ SOAP メッセージに入って送信される、要求されたトークンは、 ポリシー内に指定されたトークンです。
  • このトークンは認証にのみ使用できます。このトークンを保護トークンとして 使用することはできません。SAML バージョン 2.0、1.1、および 1.0 の場合、 bearer 確認方式および sender-voucher 確認方式のみがサポートされます。

トークン生成プログラム用の 汎用セキュリティー・トークン・ログイン・モジュールを、WS-Trust Issue 要求または WS-Trust Validate 要求の どちらかを使用してセキュリティー・トークンの交換または妥当性検査を行うように構成できます。下記セクションで、これら 2 つの選択肢 について説明します。

WS-Trust Issue

トークン生成プログラム 用のログイン・モジュールを、WS-Trust Issue を使用してセキュリティー・トークンを要求するように構成できます。この シナリオでは、トラスト・クライアントが、認証セキュリティー・トークンを SOAP セキュリティー・ヘッダー に入れて STS に送信します。この認証トークンは、以下の いずれかのロケーションから発生します。
  • 現行のセキュリティー・コンテキスト内の RunAs Subject
  • トラスト・クライアント・ポリシー・セットに対するバインディング内で構成された コールバック・ハンドラー
STS 要求が正常に処理されると、STS は トークンを認証し、要求されたトークンを発行します。

WS-Trust Validate

オプションで、 トークン生成プログラム用のログイン・モジュールを、 WS-Trust Validate を使用してセキュリティー・トークンを要求するように 構成できます。このシナリオでは、ログイン・モジュールは、 構成されたトークン ValueType 値に基づいて、 RunAs Subject から認証セキュリティー・トークンを検索します。ログイン・モジュール は、RequestedSecurityToken エレメントの内側に子エレメントとしてトークンを 埋め込むことによって、トラスト要求内でトークンを送信します。このトークンは、ValidateTarget エレメントまたは Base 拡張 エレメントのどちらかの内側にラップされている場合があります。STS は、RequestedSecurityToken エレメントの内側の 埋め込まれたトークンを妥当性検査し、新規セキュリティー・トークンまたは妥当性検査状況コードを戻します。妥当性検査状況コード のみが戻される場合、トークン生成プログラムは元のセキュリティー・トークンを使用します。 戻されたトークンの ValueType 値はどのような値でもかまいませんが、 WS-Trust Issue 使用シナリオで既に説明したように、 妥当性検査されるトークンは以下のいずれかのトークン・タイプでなければなりません。
  • SAML 2.0
  • SAML 1.1
  • ユーザー名
  • パスチケット (PassTicket)
  • Kerberos
  • LTPA
  • LTPA バージョン 2

WS-Trust Issue または WS-Trust Validate の使用

汎用ログイン・モジュール は、以下の条件が両方とも満たされる場合、WS-Trust Validate を使用して、 RunAs Subject からのトークンの妥当性検査を実行します。
  • 現行のセキュリティー・コンテキストに RunAs Subject が存在する
  • 要求されたトークンの ValueType 値に一致する値タイプを持つセキュリティー・トークンが 1 つだけ存在する
WS-Trust Validate が、 有効な状況コードとセキュリティー・トークンを戻す場合、戻されたトークンが、要求された トークンです。WS-Trust Validate が、有効な 状況コードのみを戻す場合、RunAs Subject からの既存のトークンが、要求されたトークンです。

また、 RunAs Subject からトークンを選択 し、そのトークンを、要求されたトークン用に妥当性検査および交換することもできます。選択したトークン の ValueType 値は、要求されたトークン と異なっていてもかまいません。詳しくは、Web Services Security プロセスのトークン生成プログラム側の認証トークン 用の汎用セキュリティー・トークン・ログイン・モジュールの構成についての 文書を参照してください。

サポートされる構成 サポートされる構成: 要求されたトークンの ValueType 値 が LTPA または LTPA バージョン 2 タイプの場合、汎用 セキュリティー・トークン・ログイン・モジュールは自動的に WSCredential を抽出します。 また、以下の条件が満たされる場合は、妥当性検査および交換のために、Web Service Security LTPA または LTPA v2 トークン を生成します。
  • LTPA または LTPA v2 セキュリティー・トークンが RunAs Subject 内に存在しない。
  • WSCredentialRunAs Subject 内に存在する。

要求されたトークンの ValueType と一致するセキュリティー・トークンが RunAs Subject 内に 1 つだけある 場合、ログイン・モジュールを構成して、一致するそのトークンの妥当性検査を行う WS-Trust Validate 要求を 起動しないようにできます。その代わりに、ログイン・モジュールは、一致するトークンを、妥当性検査なしで 下流のサービス・プロバイダーに送信します。

汎用セキュリティー・トークン・ログイン・モジュールは、以下の条件が当てはまる場合に、自動的に WS-Trust Issue を使用してトークンを要求します。
  • RunAs Subject が存在しない
  • 一致するトークン ValueType 値 が RunAs Subject 内に存在しない
  • ログイン・モジュールが RunAs Subject からのトークンを妥当性検査できない

汎用ログイン・モジュールでの WS-Trust Issue の使用、 または WS-Trust Validate の使用のいずれかを強制する構成オプションがあります。詳しくは、Web Services Security プロセスのトークン生成プログラム側の認証トークン 用の汎用ログイン・モジュールの構成についての 文書を参照してください。

sptcfg

ポリシー・セット

汎用セキュリティー・トークン・ログイン・モジュールの実装は、 ポリシー・セット内の新しいトークン・タイプには関与しません。 例えば、汎用ログイン・モジュールを 使用してユーザー名トークンを生成することを計画している場合、 認証トークンとしてユーザー名トークンを指定するポリシー・セットを作成できます。一部の カスタム・トークン・タイプは、既存のデフォルト・システム・ログイン・モジュールで サポートされていません。ただし、カスタム・ログイン・モジュールを使用して、 それらのトークン・タイプを実装することができます。それらのカスタム・トークン・タイプは、 指定された STS でサポートされていれば、汎用セキュリティー・トークン・ログイン・モジュール によってサポートされます。

バインディング

認証トークン用にバインディングを 構成する場合、以下の選択肢があります。
  • 汎用ログイン・モジュールを使用する。
  • 既存のシステム・デフォルト・ログイン・モジュールを使用する。
  • 独自のカスタム・ログイン・モジュールを作成する。

例えば、ユーザー名トークンを 構成する場合、wss.generate.unt JAAS ログイン構成を 使用し、既存の動作を維持することができます。また一方、汎用セキュリティー・トークン・ログイン・モジュールを使用するために wss.generate.issuedToken JAAS ログイン を構成できます。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_gensectokenmodtokgen
ファイル名:cwbs_gensectokenmodtokgen.html