LTPA/UsernameToken (オプションのセキュリティー・トークン) をコンシュームするためのポリシー・セットおよびバインディングの構成

この手順では、メッセージ・レベルの WS-Security ポリシー・セットおよびバインディングを構成して、LTPA トークンまたは UsernameToken、あるいはその両方をコンシュームする方法について説明します。この手順を変更して、異種トークン値タイプの任意のペアに適用できます。一方のトークンを必須にし、他方のトークンをオプションにする構成を作成することはできません。

始める前に

このタスクでは、構成しているサービス・プロバイダーとクライアントが、JaxWSServicesSamples アプリケーション内にあることを想定しています。このアプリケーションを取得およびインストールする方法について詳しくは、『サンプルへのアクセス』を参照してください。ご使用のサーバーで、以下のトレース仕様を使用してください。 これらの仕様により、今後発生する可能性がある構成の問題をデバッグできます。

*=info:com.ibm.wsspi.wssecurity.*=all:com.ibm.ws.webservices.wssecurity.*=all: 
com.ibm.ws.wssecurity.*=all: com.ibm.xml.soapsec.*=all: com.ibm.ws.webservices.trace.*=all: 
com.ibm.ws.websvcs.trace.*=all:com.ibm.ws.wssecurity.platform.audit.*=off:

LTPA トークンが使用されるため、クライアントとサービスの両方で使用されるアプリケーション・サーバーでアプリケーション・セキュリティーを有効にする必要があります。

このタスクについて

この手順では、LTPA トークンまたは UsernameToken、あるいは両方を コンシュームするように WS-Security ポリシーを構成するために実行する必要のある 操作を説明します。通常、この構成はプロバイダー・アプリケーションで使用されます。単純にするため、この手順では、ポリシーからタイム・スタンプ、デジタル署名、および暗号化を削除します。これらは、ご使用の最終構成には含めることをお勧めします。詳しくは、非対称 XML デジタル署名または非対称 XML 暗号化 (あるいはその両方) のためのポリシー・セットおよびバインディングの構成を参照してください。

以下の手順には、UsernameToken または LTPA トークンを送信するようにクライアント・アプリケーションを構成するためのステップも含まれています。

手順

  1. プロバイダーのカスタム・ポリシー・セットを作成します。
    1. 管理コンソールで、「サービス」>「ポリシー・セット」>「アプリケーション・ポリシー・セット」とクリックします。
    2. 「新規」をクリックします。
    3. Name = AtwoTokenPolicy を指定します。
    4. 適用」をクリックします。
    5. ポリシー」の下で、「追加」>「WS-Security」とクリックします。
  2. カスタム・ポリシー・セットを編集します。
    1. デジタル署名、暗号化、およびタイム・スタンプを削除します。
      1. 管理コンソールで、「WS-Security」>「メイン・ポリシー」とクリックします。
      2. 「メッセージ・レベルの保護」を選択解除します。
      3. 適用」をクリックします。
    2. UsernameToken および LTPA トークンを追加します。
      1. 「要求トークン・ポリシー」をクリックします。
      2. 「トークン・タイプの追加」>「LTPA」をクリックします。
        • LTPA トークン名: myLTPA
      3. 「OK」をクリックします。
      4. 「トークン・タイプの追加」>「ユーザー名」をクリックします。
        • ユーザー名トークン名: myUNT。
      5. 「OK」をクリックします。
    3. 構成を保存します。
      1. 保存」をクリックします。
  3. AtwoTokenPolicy ポリシー・セットを使用するようにプロバイダーを構成します。
    1. 管理コンソールで、「アプリケーション」>「アプリケーション・タイプ」>「WebSphere エンタープライズ・アプリケーション」>「JaxWSServicesSamples」>「サービス・プロバイダーのポリシー・セットおよびバインディング」とクリックします。
    2. Web サービス・クライアント・リソースを選択します。
    3. Web サービス・プロバイダー・リソースを選択します。
    4. 「ポリシー・セットの関連付け」をクリックします。
    5. 「AtwoTokenPolicy」を選択します。
  4. プロバイダーのカスタム・バインディングを作成します。
    1. Web サービス・プロバイダー・リソースをもう一度選択します。
    2. 「バインディングの割り当て」を選択します。
    3. 「新規のアプリケーション固有バインディング」をクリックして、アプリケーション固有のバインディングを作成します。
    4. バインディング構成名 providerBinding を指定します。
    5. 「追加」> 「WS-Security」をクリックします。
  5. プロバイダーのカスタム・バインディングを編集します。
    1. LTPA トークンの呼び出し元構成を追加するには、以下のようにします。
      1. 「呼び出し元」をクリックします。
      2. 「新規」をクリックします。
        • 名前: ltpaCaller
        • 呼び出し元の識別ローカル・パーツ: LTPAv2
        • 呼び出し元の識別名前空間 URI: http://www.ibm.com/websphere/appserver/tokentype
      3. 「OK」をクリックします。
    2. 呼び出し元構成を UsernameToken に追加するには、以下のようにします。
      1. 「新規」をクリックします。
        • 名前: untCaller
        • 呼び出し元 ID ローカル部: http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
        • 呼び出し元 ID 名前空間 URI: [leave blank]
      2. 「OK」をクリックします。
    注: トークンに必要な優先順位があることを確認してください。スレッドの呼び出し元 ID は 1 つのみ存在できます。呼び出し元構成が存在するインバウンド SOAP メッセージに複数のトークンがある場合、順序番号が小さい呼び出し元構成が使用されます。表内の「順序」フィールドに示された順序が目的の順序でない場合は、以下を実行します。
    1. 優先順位を最高にするトークンを選択します。
    2. 順序番号が 1 になるまで「上へ移動」をクリックします。
    3. 「上へ移動」および「下へ移動」を使用してこのプロシージャーを繰り返し、求める順序にします。
    4. 「保存」をクリックして、構成を保存します。
  6. クライアントの要求メッセージに UsernameToken のみが含まれたポリシー・セットを作成します。
    1. 管理コンソールで、「サービス」>「ポリシー・セット」>「アプリケーション・ポリシー・セット」とクリックします。
    2. 「新規」をクリックします。
    3. Name = AUntPolicy を指定します。
    4. 適用」をクリックします。
    5. ポリシー」の下で、「追加」>「WS-Security」とクリックします。
    6. デジタル署名、暗号化、およびタイム・スタンプを削除します。 管理コンソールで以下を実行します。
      1. 「WS-Security」>「メイン・ポリシー (Main Policy)」をクリックします。
      2. 「メッセージ・レベルの保護」を選択解除します。
      3. 適用」をクリックします。
    7. UsernameToken を追加します。
      1. 「要求トークン・ポリシー」をクリックします。
      2. 「トークン・タイプの追加」>「ユーザー名」をクリックします。
      3. ユーザー名トークン名: myUNT。
      4. 「OK」をクリックします。
    8. 構成を保存します。「保存」をクリックします。
  7. クライアントの要求メッセージに LTPA トークンのみが含まれたポリシー・セットを作成します。
    1. 管理コンソールで、「サービス」>「ポリシー・セット」>「アプリケーション・ポリシー・セット」とクリックします。
    2. 「新規」をクリックします。
    3. Name = AnLTPAPolicy を指定します。
    4. 適用」をクリックします。
    5. ポリシー」の下で、「追加」>「WS-Security」とクリックします。
    6. デジタル署名、暗号化、およびタイム・スタンプを削除します。 管理コンソールで以下を実行します。
      1. 「WS-Security」>「メイン・ポリシー (Main Policy)」をクリックします。
      2. 「メッセージ・レベルの保護」を選択解除します。
      3. 適用」をクリックします。
    7. LTPA トークンを追加します。
      1. 「要求トークン・ポリシー」をクリックします。
      2. 「トークン・タイプの追加」>「LTPA」をクリックします。
      3. LTPA トークン名: myLTPA。
      4. 「OK」をクリックします。
    8. 構成を保存します。「保存」をクリックします。
  8. 以下のステップを実行して、UsernameToken ポリシーを使用するようにクライアントを構成し、バインディングを作成します。
    1. AUntPolicy ポリシー・セットを使用するようにクライアントを構成します。
      1. 管理コンソールで、「アプリケーション」>「アプリケーション・タイプ」>「WebSphere エンタープライズ・アプリケーション」>「JaxWSServicesSamples」>「サービス・クライアントのポリシー・セットおよびバインディング」とクリックします。
      2. 「Web サービス・クライアント・リソース」を選択します。
      3. 「ポリシー・セットの関連付け」をクリックします。
      4. 「AUntPolicy」を選択します。
    2. クライアントのカスタム・バインディングを作成します。
      1. Web サービス・リソースをもう一度選択します。
      2. 「バインディングの割り当て」を選択します。
      3. 「新規のアプリケーション固有バインディング」をクリックして、アプリケーション固有のバインディングを作成します。
      4. バインディング構成の名前を指定します。名前は untClientBinding です。
      5. 「追加」> 「WS-Security」をクリックします。
    3. クライアントのカスタム・バインディングを構成します。
      1. 「認証と保護」を選択します。
      2. 「認証トークン」で、「myUNT」を選択します。
      3. 適用」をクリックします。
      4. コールバック・ハンドラー」をクリックします。
      5. 望ましいユーザー名およびパスワードを入力します。
      6. nonce およびタイム・スタンプのカスタム・プロパティーを追加します。プロバイダーでのカスタム・バインディング構成時に UsernameToken コンシューマーが構成されていないため、ランタイムは、UsernameToken 構成にデフォルトの汎用バインディングを使用します。デフォルトの汎用バインディングの UsernameToken コンシューマーは、ユーザー名トークンで送信するタイム・スタンプと nonce を必要とするため、これらのエレメントを送出するプロパティーを入力する必要があります。
        * com.ibm.wsspi.wssecurity.token.username.addTimestamp=true
        * com.ibm.wsspi.wssecurity.token.username.addNonce=true
      7. 「OK」をクリックします。
    4. 構成を保存します。
      1. 保存」をクリックします。
  9. 以下のステップを実行して、UsernameToken ポリシーを使用するようにクライアントを構成し、バインディングを作成します。
    1. AnLTPAPolicy ポリシー・セットを使用するようにクライアントを構成します。
      1. 管理コンソールで、「アプリケーション」>「アプリケーション・タイプ」>「WebSphere エンタープライズ・アプリケーション」>「JaxWSServicesSamples」>「サービス・クライアントのポリシー・セットおよびバインディング」とクリックします。
      2. 「Web サービス・クライアント・リソース」を選択します。
      3. 「ポリシー・セットの関連付け」をクリックします。
      4. 「AnLTPAPolicy」を選択します。
    2. クライアントのカスタム・バインディングを作成します。
      1. Web サービス・リソースをもう一度選択します。
      2. 「バインディングの割り当て」を選択します。
      3. 「新規のアプリケーション固有バインディング」をクリックして、アプリケーション固有のバインディングを作成します。
      4. バインディング構成の名前を指定します。名前は ltpaClientBinding です。
      5. 「追加」> 「WS-Security」をクリックします。
    3. クライアントのカスタム・バインディングを構成します。
      1. 「認証と保護」を選択します。
      2. 「認証トークン」で、「myLTPA」を選択します。
      3. 適用」をクリックします。
      4. コールバック・ハンドラー」をクリックします。
      5. 望ましいユーザー名およびパスワードを入力します。
      6. 「OK」をクリックします。
    4. 構成を保存します。
      1. 保存」をクリックします。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_config_ltpa_and_usertoken_policy
ファイル名:twbs_config_ltpa_and_usertoken_policy.html