SAML 用の Web サービス・クライアント・トークン・キャッシュ
SAML トークンが最初に要求されたとき、Web サービス・ランタイム環境は自動的に SAML トークンをキャッシュに入れます。 この自動クライアント・トークン・キャッシング機能の結果、以降の Web サービス要求は、前の要求からの SAML トークンを使用できます。
SAML 用の Web サービス・クライアント・トークン・キャッシュによって、Web サービス・クライアントがビジネス・サービスにアクセスするときに SAML トークンを再使用することが可能になります。有効な SAML トークン を再使用することで、セキュリティー・トークン・サービス (STS) へのトラフィックが減少し、 WS-Trust 要求メッセージの送信がパフォーマンスに及ぼす影響も 少なくなります。トークンは、いくつかの要件が満たされる場合に、 有効である (従って、キャッシングおよび再使用が可能である) と見なされます。
SAML トークンが再使用されるためには、 その有効期限が、現在時刻と等しいか、それより大きくなければなりません。 トークン有効期限と現在時刻の比較の際には、 トークンが送られた直後に有効期限が切れることがないよう、 現在時刻にキャッシュ・クッションが加算されます。
さらに、トークンが有効であるのは、同じビジネス・サービスに再び送信される 場合のみです。WebSphere® Application Server の SAML 機能は、 SAML トークンに関して AudienceRestriction 条件を検査しません。従って、正しい対象者のために SAML トークンが再使用されることを保証するための実用的な方法は、最初にそのトークンを使用した同じ Web サービスに対してのみトークンを再使用することです。アサーションが OneTimeUse アサーションを含んでいる 場合、SAML トークンはキャッシュに入れられません。
- SAML トークンには比較的長い有効期限の時間が設定されている必要があり、
最初の要求が完了した後に少なくとも 5 分間はトークン存続時間が残って
いるようでなければなりません。WS-Security ランタイム環境は、
キャッシュに入れられた SAML トークンの有効期限を、事前定義されたキャッシュ・クッションに照らして検証します。
キャッシュに入れられたトークンは、残りのトークン存続時間がクッション値より
大きい場合のみ有効です。デフォルトのクッション値は 5 分です。
この値は、カスタム・プロパティー cacheCushion を使用して構成できます。
デフォルトのキャッシュ・クッションをオーバーライドするには、
SAML トークン生成プログラムの CallbackHandler カスタム・プロパティーを編集します。cacheCushion プロパティー
を追加し、キャッシュ・クッション値をミリ秒単位で指定してください。キャッシュに入れられた SAML トークン存続期間
がキャッシュ・クッションの制限に満たない場合、新しい SAML トークンが要求されます。
例えば、キャッシュ・クッションを 3 分 (180000 ミリ秒) に
変更できます。
カスタム・プロパティー名 値 cacheCushion 180000 - SAML トークンは OneTimeUse アサーションを含むことはできません。
- SAML トークンが暗号化される場合、暗号化されたトークンの外で STS が トークン有効期限を通信し、 SAML トークンが OneTimeUse アサーションを含まないようにする必要があります。
カスタム・プロパティー名 | 値 |
---|---|
cacheToken | false |