メッセージの認証性を保護するためのコンシューマー・トークンの検証
トークン・コンシューマー情報は、コンシューマー側で セキュリティー・トークンを取りみ、検証するために使用されます。デフォルトでは、ユーザー名トークン、 X509 トークン、LTPA トークンがメッセージの認証性に使用されます。
始める前に
Web Services Security ランタイムにおけるトークン処理とプラグ可能なトークン・アーキテクチャーは、Web Services Security API (WSS API) から同じセキュリティー・トークン・インターフェースおよび Java™ 認証・承認サービス (JAAS) ログイン・モジュールを再使用します。同じ実装のトークン作成および検証を、Web Services Security ランタイムの WSS API および WSS SPI の両方で使用できます。
現在の OASIS Web Services Security ドラフト仕様では KeyName ポリシー表明が定義されていないため、鍵の名前 (KeyName) エレメントがサポートされないことに、注意してください。
このタスクについて
JAAS コールバック・ハンドラー (CallbackHandler) および JAAS ログイン・モジュール (LoginModule) は、ジェネレーター側でのセキュリティー・トークンの作成と、コンシューマー側でのセキュリティー・トークンの検証 (認証) を受け持ちます。
例えばジェネレーター側では、JAAS LoginModule によってユーザー名トークンが 作成され、JAAS CallbackHandler を使用して認証データが渡されます。JAAS LoginModule は、ユーザー名の SecurityToken オブジェクトを作成し、それを Web Services Security ランタイムに渡します。
そして、コンシューマー側で、ユーザー名トークンの XML フォーマットが検証または認証のために JAAS LoginModule に渡され、JAAS CallbackHandler を使用して、認証データが Web Services Security ランタイムから LoginModule に渡されます。トークンが認証されると、ユーザー名の SecurityToken オブジェクトが作成され、それが Web Services Security ランタイムに渡されます。
- セキュリティー・トークン (SecurityTokenImpl)
- バイナリー・セキュリティー・トークン (BinarySecurityTokenImpl)
- 派生鍵トークン
- セキュリティー・コンテキスト・トークン (SCT)
- ユーザー名トークン
- LTPA トークンの伝搬
- LTPA トークン
- X509PKCS7 トークン
- X509PKIPath トークン
- X509v3 トークン
- Kerberos v5 トークン
メッセージの認証性には、デフォルトでユーザー名トークン、X.509 トークン、 および LTPA トークンが使用されます。デフォルトでは、署名および暗号化に 派生鍵トークンと X.509 トークンが使用されます。
クライアントでは、 WSS API と WSS SPI のみがサポートされます。コンシューマー側でセキュリティー・トークン・タイプを 指定するには、管理コンソールからポリシー・セットを構成する方法もあります。 また、ジェネレーター・セキュリティー・トークンの突き合わせに WSS API またはポリシー・セットを 使用することもできます。
デフォルトのログイン・モジュールとコールバック実装は、 ペアとして、つまりジェネレーター・パーツとコンシューマー・パーツの両方で使用するように 設計されています。デフォルト実装を使用するためには、該当するジェネレーター・セキュリティー・トークンと コンシューマー・セキュリティー・トークンをペアで選択します。例えば、X.509 トークンが必要な場合は、 トークン生成プログラムで system.wss.generate.x509 を選択し、 トークン・コンシューマーで system.wss.consume.x509 を選択します。
コンシューマー側のセキュリティー・トークンを構成するには、 WSS API から該当する事前構成済みのトークン・コンシューマー・インターフェースを使用して、 以下のトークン構成プロセスの手順を実行します。