デフォルト・バインディング
デフォルト・バインディング情報は、ws-security.xml ファイルで定義されており、 管理コンソールまたはスクリプトのいずれでも管理できます。 JAX-RPC アプリケーション用のデフォルト・バインディングのみがサポートされています。 JAX-WS アプリケーション用のデフォルト・バインディングはサポートされていません。
重要: バージョン 5.x とバージョン 6 以降のアプリケーションには重要な相違点があります。この資料の情報は、WebSphere® Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。この情報は、バージョン 6 以降のアプリケーションには適用されません。
また、ポリシー・セットは、JAX-WS アプリケーションでのみ使用できます。
ポリシー・セットは JAX-RPC アプリケーションでは使用できません。
特定のアプリケーションは、特定のバインディング情報を共有できます。
この情報には、トラストストア、鍵ストア、および認証メソッド (トークンの検証) が含まれています。
WebSphere Application Server は、デフォルト・バインディング情報をサポートします。管理者は以下でバインディング情報を定義することができます。
- サーバー・レベル
- セル・レベル
次のバインディング情報を ws-security.xml ファイルで定義できます。
- トラスト・アンカー (トラストストア)
- トラスト・アンカー には、ルート・トラステッド証明書を持つ鍵ストア構成情報が含まれています。 トラスト・アンカーは、 X.509 形式の着信セキュリティー・トークンの証明書パス検証のために使用されます。
- トラスト・アンカー名は、デフォルト・バインディング情報で定義されたトラスト・アンカーを参照するバインディング・ファイル (ibm-webservices-bnd.xmi。Web サービスがクライアントとして実行されている場合は ibm-webservicesclient-bnd-xmi) で使用されます。トラスト・アンカー名は、トラスト・アンカー・コレクション内で固有でなければなりません。
- コレクション証明書ストア
- コレクション証明書ストア は、信頼されない中間証明書のリストを指定し 、X.509 形式の着信セキュリティー・トークンの証明書パス検証のために使用されます。 デフォルトのプロバイダーは IBMCertPath です。
- 証明書ストア名は、デフォルト・バインディング情報で定義された証明書を参照するバインディング・ファイル (ibm-webservices-bnd.xmi。Web サービスがクライアントとして実行されている場合は ibm-webservicesclient-bnd-xmi) で使用されます。証明書ストア名は、コレクション証明書ストアのコレクションに対して固有でなければなりません。
- 鍵ロケーター
- 鍵ロケーター は、com.ibm.wsspi.wssecurity.config.KeyLocator インターフェースの実装を指定します。 このインターフェースは、シグニチャーまたは暗号化の鍵を検索するために使用されます。 顧客の実装により、 その他のメソッドを使用して鍵を検索するように鍵ロケーター・インターフェースを拡張できます。 WebSphere Application Server は、鍵ストアから鍵を検索したり、認証された ID を鍵ストア内の鍵にマップしたり、署名者証明書から鍵を検索したりする実装を提供します (マッピングおよび検索のアクションは、応答の暗号化に使用されます)。
- 鍵ロケーター名は、デフォルト・バインディング情報で定義された鍵ロケーターを参照するバインディング・ファイル (ibm-webservices-bnd.xmi。Web サービスがクライアントとして実行されている場合は ibm-webservicesclient-bnd-xmi) で使用されます。鍵ロケーター名は、デフォルト・バインディング情報内の鍵ロケーター・コレクションに対して固有でなければなりません。
- トラステッド ID エバリュエーター
- トラステッド ID エバリュエーター は、com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator インターフェースの実装です。 このインターフェースを使用して、識別子 (ID) を表明する権限が信頼されていることを確認します。 さらに、トラステッド ID エバリュエーターを拡張して、トラストを検証することができます。 WebSphere Application Server は、事前定義された ID のリストに基づいてトラストを検証するための、デフォルトの実装を提供します。
- トラステッド ID エバリュエーター名は、デフォルト・バインディング情報で定義されたトラステッド ID エバリュエーターを参照するバインディング・ファイル (ibm-webservices-bnd.xmi) で使用されます。 トラステッド ID エバリュエーター名は、トラステッド ID エバリュエーター・コレクションに対して固有でなければなりません。
- ログイン・マッピング
- ログイン・マッピング は、 Java™ Authentication and Authorization Service (JAAS) ログイン構成への認証メソッドのマッピングを定義します。このマッピングを使用して、Web Services Security の SOAP メッセージ・ヘッダーに組み込まれた着信セキュリティー・トークンを認証します。JAAS ログイン構成は、管理コンソールで定義します ( と選択)。
- WebSphere Application Server は以下の認証メソッドを定義します。
- BasicAuth
- ユーザー名とパスワードを認証します。
- Signature
- 証明書内のサブジェクトの識別名 (DN) を WebSphere Application Server のクレデンシャルにマップします。
- IDAssertion
- ID を WebSphere Application Server のクレデンシャルにマップします。
- LTPA
- Lightweight Third Party Authentication (LTPA) トークンを認証します。
- カスタム JAAS ログイン構成を提供し、WebSphere Application Server で必要なプリンシパルとクレデンシャルを作成するための com.ibm.wsspi.wssecurity.auth.module.WSSecurityMappingModule を使用することにより、このメソッドを拡張して、カスタム・セキュリティー・トークンを認証することができます。
- LoginConfig (AuthMethod) が IBM® 拡張デプロイメント記述子 (ibm-webservices-ext.xmi) で定義されているのに、AuthMethod に対してログイン・マッピング・バインディング (ibm-webservices-bnd.xmi) が定義されていない場合、Web Services Security ランタイムはデフォルト・バインディング情報で定義されているログイン・マッピングを使用します。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
WebSphere Application Server Network Deployment
WebSphere Application Server Network Deployment セルの場合は、サーバーのデフォルト・バインディング・ファイル (ws-security.xml) が (その他のサーバー・レベルの構成情報を含む) 新規セルに追加されます。 セル・レベルのデフォルト・バインディングを使用する場合は、 サーバー・レベルのデフォルト・バインディングの項目を除去する必要があります。
WebSphere Application Server Network Deployment のインストール用にセル・レベルのデフォルト・バインディング (ws-security.xml) があります。さらに、WebSphere Application Server Network Deployment インストールの場合、サーバー・レベルのバインディングはオプションです。管理コンソール内のセル・レベルのデフォルト・バインディングにナビゲートするには、「セキュリティー」>「Web サービス」とクリックします。
図 1. Web Services Security のアプリケーション・レベル、セル・レベル、およびサーバー・レベルのデフォルト・バインディング情報

デフォルト・バインディング情報の順序は、 アプリケーション・レベルのバインディング、サーバー・レベル、およびセル・レベルのデフォルト・バインディングです。