保護トークンの設定 (ジェネレーターまたはコンシューマー)
このページを使用して、保護トークンを構成します。 保護トークンは、保全性を保護するためにメッセージに署名を行い、 機密性を確保するためにメッセージを暗号化します。
メッセージ・パーツに対して保護トークンの設定を追加できるのは、汎用のプロバイダーまたはクライアントのポリシー・セット・バインディングを編集しているときです。ポリシー・セットが必要とするトークンおよびメッセージ・パーツの、アプリケーション固有のバインディングも構成できます。
- とクリックします。
- 編集するバインディングの名前をクリックします。
- 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
- 「セキュリティー・ポリシー・バインディング (security policy bindings)」セクションで、「認証と保護」リンクをクリックします。
- 「新規トークン (New token)」をクリックして、 新規のトークン生成プログラムまたはトークン・コンシューマーを作成するか、 「保護トークン (Protection tokens)」テーブルから 既存のコンシューマーまたは生成プログラムのトークン・リンクをクリックします。
- とクリックします。
- 編集するバインディングの名前をクリックします。
- 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
- 「メイン・メッセージ・セキュリティー・ポリシー・バインディング」セクションで、「認証と保護」リンクをクリックします。
- 「新規トークン (New token)」をクリックして、 新規のトークン生成プログラムまたはトークン・コンシューマーを作成するか、 「保護トークン (Protection tokens)」テーブルから 既存のコンシューマーまたは生成プログラムのトークン・リンクをクリックします。
- とクリックします。
- Web サービスを含むアプリケーションを選択します。このアプリケーションには、サービス・プロバイダーまたはサービス・クライアントが含まれている必要があります。
- 「Web サービス・プロパティー」セクションで「サービス・プロバイダーのポリシー・セットおよびバインディング (Service provider policy sets and bindings)」リンクまたは「サービス・クライアントのポリシー・セットおよびバインディング (Service client policy sets and bindings)」をクリックします。
- バインディングを選択します。 事前にポリシー・セットを関連付け、バインディングを割り当てておく必要があります。
- 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
- 「セキュリティー・ポリシー・バインディング (security policy bindings)」セクションで、「認証と保護」リンクをクリックします。
- 「保護トークン (Protection tokens)」テーブルから、 コンシューマーまたはジェネレーターのトークン・リンクをクリックします。
この管理コンソール・ページは、Java™ API for XML Web Services (JAX-WS) アプリケーションにのみ適用されます。
名前
トークン生成プログラムまたはトークン・コンシューマーの名前を指定します。新規のトークンを作成したときは、このフィールドに名前を入力してください。
トークン・タイプ
トークンのタイプを指定します。バインディングを使用している場合、 トークン・タイプはポリシーに基づいて判別されます。編集することはできません。
- LPTA トークン V2.0
- Secure Conversation トークン V1.3
- Secure Conversation トークン V200502
- X509V3 トークン V1.1
- X509V3 トークン V1.0
- X509PKCS7 トークン V1.1
- X509PKCS7 トークン V1.0
- X509PkiPathV1 トークン V1.1
- X509PkiPathV1 トークン V1.0
- X509V1 トークン V1.1
- カスタム・トークン
トークンのバージョンの制限
LTPA トークン v2.0 をトークン・タイプとして選択すると、LTPA バージョン 1 および LTPA バージョン 2 の両方のトークンを消費できます。トークンの消費を LTPA トークン v2.0 トークン・タイプに制限するには、このチェック・ボックスを選択します。
ローカル名
カスタムのトークン生成プログラムまたはトークン・コンシューマーのローカル名を指定します。 「ローカル名」フィールドには、表示されるトークン・タイプに応じてデータが取り込まれます。 このフィールドでは、カスタム・トークン・タイプだけを編集することができます。
OASIS Web Services Security Specification for Kerberos Token Profile V1.1 で定義されているように、カスタム・トークン・タイプを使用 して Kerberos トークンを生成する場合、ローカル名に以下にリストされた値のいずれかを使用します。 選択する値は、鍵配布センター (KDC) によって生成される Kerberos トークンの 仕様レベルに応じて異なります。次の表では、値および各値に関連付けられている仕様レベル をリストします。インターオペラビリティーの目的で、基本セキュリティー・プロファイル V1.1 標準では、ローカル名 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ を使用する必要があります。
Kerberos トークンのローカル名の値 | 関連付けられた仕様レベル |
---|---|
http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerb erosv5_AP_REQ | Kerberos 仕様で定義されている Kerberos v5 AP-REQ。この値は、Kerberos チケットが AP 要求である場合に使用します。 |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ | RFC-1964 [1964]、セクション 1.1、および後継の RFC-4121、セクション 4.1 で定義される KRB_AP_REQ メッセージを含む GSS-API Kerberos V5 メカニズムのトークン。 この値は、Kerberos チケットが AP 要求 (ST + 認証子) である場合に使用します。 |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510 | RFC1510 で定義されている Kerberos v5 AP-REQ。この値は、Kerberos チケットが RFC1510 による AP 要求である場合に使用します。 |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510 | RFC-1964、セクション 1.1、および後継の RFC-4121、セクション 4.1 で定義される KRB_AP_REQ メッセージを含む GSS-API Kerberos V5 メカニズムのトークン。 この値は、Kerberos チケットが RFC1510 による AP 要求 (ST + 認証子) である場合に使用します。 |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120 | RFC4120 で定義されている Kerberos v5 AP-REQ。この値は、Kerberos チケットが RFC4120 による AP 要求である場合に使用します。 |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120 | RFC-1964 セクション 1.1 およびその後継の RFC-4121 セクション 4.1 に 定義されている、KRB_AP_REQ メッセージを含んでいる GSS-API Kerberos V5 メカニズム・トークン。この値は、Kerberos チケットが RFC4120 準拠の AP 要求 (ST + オーセンティケーター) である場合に使用してください。 |
URI
カスタムのトークン生成プログラムまたはトークン・コンシューマーの URI を指定します。 「URI」フィールドには、表示されるトークン・タイプに応じてデータが取り込まれます。 このフィールドでは、カスタム・トークン・タイプだけを編集することができます。
OASIS Web Services Security Specification for Kerberos Token Profile V1.1 で定義されているように、カスタム・トークン・タイプを使用して Kerberos トークンを 生成する場合、このフィールドはブランクのままにします。
JAAS ログイン
Java Authentication and Authorization Service (JAAS) アプリケーションのログイン情報を 指定します。 JAAS アプリケーションまたは JAAS システムの新規ログイン・エントリーを追加するには、「新規」をクリックしてください。
サーバーが、特定のシステムやアプリケーションのログインを含むセキュリティー・ドメイン内にある場合は、グローバル・ログインに加えて、これらのログインが JAAS ログイン・メニューにリストされます。
新規のアプリケーション・ログイン
現在のセキュリティー・ドメインに対して有効な JAAS ログイン・コレクションに、クリックして移動します。
カスタム・プロパティー – 名前
カスタム・プロパティーの名前を指定します。カスタム・プロパティーは 最初はこの列には表示されず、プロパティーの追加後に表示されます。
カスタム・プロパティーに対するアクションを、以下の中から選んでください。
ボタン | 結果のアクション |
---|---|
新規 | 新規のカスタム・プロパティー・エントリーを作成します。 カスタム・プロパティーを追加するには、その名前と値を入力してください。 |
編集 | 選択したカスタム・プロパティーを編集できるように指定します。このアクションを選択すると、入力フィールドが提供され、編集するセル値のリストを作成できます。 「編集」ボタンは、カスタム・プロパティーが 1 つ以上追加されるまで使用できません。 |
削除 | 選択したプロパティーを削除します。 |
カスタム・プロパティー名 | 値 |
---|---|
ターゲット・サービスの名前を指定します。com.ibm.wsspi.wssecurity.krbtoken.targetServiceName | ターゲット・サービスの名前を指定します。
このプロパティーは必須です。 |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost | ターゲット・サービスと関連付けられているホスト名を次の形式で指定します: myhost.mycompany.com このプロパティーは必須です。 |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm | ターゲット・サービスと関連付けられているレルムの名前を指定します。 このプロパティーは、単一の Kerberos レルム用のオプションです。targetServiceRealm プロパティーが指定されていない場合、 |
Web サービスの要求メッセージごとに Kerberos V5 AP_REQ トークンをアプリケーションで生成またはコンシュームする場合、 アプリケーションのトークン生成プログラム・バインディングおよびトークン・コンシューマー・バインディングで com.ibm.wsspi.wssecurity.kerberos.attach.apreq カスタム・プロパティーに true を設定します。 詳しくは、Web Services Security のトラブルシューティングのヒントのトピックを参照してください。
カスタム・プロパティー - 値
カスタム・プロパティーの値を指定します。「値」フィールドを使用して、カスタム・プロパティーの値を入力、編集、または削除します。
コールバック・ハンドラー
保護トークン・ページでのその他の構成が、すべて適用されるか保存されると、 このセクションが表示され、コールバック・ハンドラーの構成設定にリンクできます。メッセージ・ヘッダーからセキュリティー・トークンを取得する方法を判別する、 コールバック・ハンドラー設定を指定するには、このリンクをクリックしてください。
Secure Conversation Token V200502 を許容
WS-Security ポリシーの Secure Conversation Token V200502 トークン・タイプは、WS-SecureConversation 仕様の 2005 年 2 月のレベルで定義されているように、Secure Conversation Token の要件を示します。このオプションは、プロバイダーが Secure Conversation Token V1.3 と Secure Conversation Token V200502 の両方を処理するかどうかを指定します。デフォルトでは、プロバイダーは 両方のバージョンを処理します。チェック・ボックスをクリックして選択をオフにすると、プロバイダーが V1.3 トークンのみを処理するようにこの動作を変更できます。
通知 | 値 |
---|---|
データ型 | チェック・ボックス |
範囲 | 「選択」または「クリア」 |
デフォルト値 | 選択 |