サービス・エンドポイントのトラスト・サービス操作をシステム・ポリシー・セットおよびバインディングに関連付けることができます。
初めに指定される各新規エンドポイントには、
実行、更新、取り消し、検証の 4 つの操作が含まれています。デフォルトでは、
すべてのエンドポイントは、トラスト・サービスのデフォルトで行われるそれぞれのトラスト・サービス操作に関連付けられているポリシー・セットおよびバインディングを継承します。
ただし、別のポリシー・セットを明示的に関連付けることもできます。
始める前に
初めに、ポリシー・セットおよびバインディングを定義する必要があります。
ポリシー には、提供されるサービスの保護または品質を記述します (メッセージ・セキュリティーやトランスポートなど)。
バインディング には、ポリシーの実装方法についての詳細を指定します。それには、鍵ストア・ファイルのパス、トークン生成プログラムのクラス名、JAAS 構成名などがあります。
重要: トラスト・サービスが付いたシステム・ポリシー・セットのみを使用します。
要求側 (クライアント) は、
Java™ API for XML-Based Web Services (JAX-WS) のみを使用する必要があります。Java API for XML-based remote procedure calls (JAX-RPC) を
使用する要求側は、ポリシー・セット QOS と互換性がありません。
セキュリティーが有効な場合に割り当てられたセキュリティーのロールによっては、構成データを作成または編集する際に使用するテキスト入力フィールドまたはボタンへのアクセス権がない場合があります。アプリケーション・サーバー用の有効なロールについて詳しくは、管理ロールに関する文書を参照してください。
このタスクについて
新規エンドポイントのトラスト・サービス操作を既存ポリシー・セットおよびバインディングに関連付けることができます。
指定する新規サービス・エンドポイントごとに、
4 つのトラスト・サービス操作 (取り消し、更新、検証、実行) が
継承関連付けから明示的関連付けに変更されます。
この 4 つの操作は、トラスト・サービスのデフォルトで指定されているように、それぞれのポリシー・セットおよびバインディングに関連付けられます。
次に、関連付けを、希望する既存ポリシーセットおよびバインディングに変更することができます。
エンドポイント・ポリシー・セットは、ブートストラップ・セクションとアプリケーション・セクションの 2 つのセクションから構成されています。
特定エンドポイントについて実行および更新トラスト・サービス操作に関連付けられているシステム・ポリシーは、
そのエンドポイントに関するポリシー・セットのブートストラップ・セクションに対応している必要があります。
特定エンドポイントについて取り消しおよび検証トラスト・サービス操作に関連付けられているシステム・ポリシーは、
そのエンドポイントに関するポリシー・セットのアプリケーション・セクションに対応している必要があります。
このタスクでは、システム・ポリシー・セットおよびバインディングに関連付ける、サービス・エンドポイント URL のトラスト・サービス操作を管理する方法について説明します。
WebSphere® Application
Server トラスト・サービスの構成を完了するには、以下のタスクも完了する必要があります。
- ターゲットを作成または管理します。
新規サービス・エンドポイント (ターゲット) の明示的割り当てを作成することも、
セキュリティー・トークンが明示的に割り当てられたエンドポイントまたはトラスト・サービス・デフォルト・トークンを継承するエンドポイントを管理することもできます。
製品で提供されているサンプルの汎用バインディングは、
グローバル・セキュリティー (セル) のデフォルト・バインディングとして初期設定されています。デフォルトのサービス・プロバイダー・バインディングおよびデフォルトのサービス・クライアント・バインディングは、アプリケーション固有のバインディングまたはトラスト・サービス・バインディングが、ポリシー・セットの関連付けに割り当てられていない場合に使用されます。
トラスト・サービスの関連付けの場合、デフォルト・バインディングは、トラスト固有のバインディングが割り当てられてい
ない場合に使用されます。
用意されているプロバイダー・サンプルをデフォルトのサービス・プロバイダー・バインディングとして使用しない場合は、既存の汎用プロバイダー・バインディングを選択するか、またはビジネス要件に合った新規の汎用プロバイダー・バインディングを作成することができます。
同様に、用意されているクライアント・サンプル>をデフォルトのサービス・クライアント・バインディングとして使用しない場合は、既存の汎用クライアント・バインディングを選択するか、または新規の汎用クライアント・バインディングを作成することができます。
グローバル・セキュリティー (セル) のデフォルト・バインディングを指定するには、管理コンソールで、をクリックします。複数のセキュリティー・ドメインがある環境では、オプションで、ドメインのデフォルト・バインディングとして使用する汎用プロバイダー・バインディングおよび汎用クライアント・バインディングを選択できます。
デフォルト・バインディングについて詳しくは、『デフォルトのポリシー・セット・バインディングの設定』トピックを参照してください。
手順
- トラスト・サービス操作へのシステム・ポリシー・セットの関連付けを管理するには、
をクリックします。 リストには、トラスト・サービスのデフォルトのほかにポリシー・セットが関連付けられた操作が 1 つ以上含まれている、すべてのエンドポイントが表示されます。
このリストには、システム・ポリシー・セットと各操作のバインディングも表示されます。
- 以下のアクションを 1 つ以上選択して、トラスト・サービスとの関連付けを構成します。
- 新規関連付け
- サービス・エンドポイント URL を指定するための新規パネルを開きます。指定する新規サービス・エンドポイントごとに、
4 つのトラスト・サービス操作 (取り消し、更新、検証、実行) が
継承関連付けから明示的関連付けに変更されます。
この 4 つの操作は、トラスト・サービスのデフォルトで指定されているように、それぞれのポリシー・セットおよびバインディングに関連付けられます。
これらの初期関連付けは変更できます。
- 関連付け
- トラスト関連のデフォルト・システム・ポリシー・セットを含む、既存システム・ポリシー・セットのリストを表示します。これらのポリシー・セットには、サービス・エンドポイントの 4 つのトラスト・サービス操作のそれぞれを関連付けることができます。初めに、操作 (例えば、取り消しトークン) を選択し、次に「関連付け」をクリックして、
使用可能なシステム・ポリシー・セットを表示します。
関連付けるデフォルトまたはカスタムのシステム・ポリシー・セットを選択します。
ポリシー・セット関連付けを変更すると、バインディングが自動的に Default に変更されます。
操作を選択し、さらに「バインディングの割り当て」をクリックしてバインディングを変更します。
選択可能な事前定義システム・ポリシー・セットには、以下のものがあります。
- TrustServiceSecurityDefault
このトラスト・ポリシー・セットは、メッセージのセキュリティーを提供する公開鍵と秘密鍵、および非対称アルゴリズムを指定します。RSA を使用して、本文、タイム・スタンプ、WS-Addressing ヘッダーをデジタル署名することにより、メッセージの保全性を保持します。
メッセージの機密性は、RSA を使用して本文と署名を暗号化することで守られます。このポリシー・セットは、トラスト操作要求の実行と更新に関し、WS-Security の仕様に準じます。
- TrustServiceSymmetricDefault
このトラスト・ポリシー・セットは、メッセージのセキュリティーを提供する、派生するキー・アルゴリズム、および対称アルゴリズムを指定します。HMAC-SHA1 を使用して、本文、タイム・スタンプ、WS-Addressing ヘッダーをデジタル署名することにより、メッセージの保全性を提供します。
メッセージの機密性は、AES を使用して本文と署名を暗号化することで守られます。このポリシー・セットは、トラスト操作要求の検証と取り消しに対し、WS-Security および WS-SecureConversation の仕様に準じます。
- SystemWSSecurityDefault
このシステム・ポリシー・セットは、非対称アルゴリズムおよびメッセージのセキュリティーを提供する公開鍵と秘密鍵を指定します。 RSA 暗号を使用して、本文、タイム・スタンプ、WS-Addressing ヘッダーをデジタル署名することにより、メッセージの保全性を保持します。
メッセージの機密性は、RSA 暗号を使用して本文と署名を暗号化することで守られます。
- 操作のデフォルトを継承
- それぞれのトラスト・サービスのデフォルト・トラスト・サービス・ポリシー・セット関連付けおよびバインディングを継承するように操作を設定します。
変更する関連付けを選択して「操作のデフォルトを継承」をクリックすると、
ポリシー・セットとバインディングの両方に関する明示的関連付けが除去されます。
したがって、操作は、デフォルトのトラスト・サービス・ポリシー・セットおよびバインディングに対して行われたすべての変更を継承します。
- バインディングの割り当て
- 既存バインディングを変更します。選択したトラスト・サービスの関連付けにそれぞれ、新規バインディングを作成して割り当てることも、デフォルト・バインディングを割り当てることも、既存のトラスト・サービス固有のバインディングを割り当てることもできます。
- ランタイムの更新
- トラスト・サービス・ランタイムは、トラスト・サービスの関連付け、トークン・プロバイダー、およびターゲットに対して行われた構成変更の内容を使用して更新します。
- オプション: リストのカスタム・ポリシー・セットの名前をクリックして、カスタム・ポリシー・セットを変更します。 必要に応じて、カスタム・ポリシー・セットの設定を編集します。
デフォルトのトラスト・サービス・ポリシー・セット情報は、表示のみできます。
デフォルト・ポリシー・セットの TrustServiceSecurityDefault および TrustServiceSymmetricDefault、または SystemWSSecurityDefault は編集できません。 TrustServiceSecurityDefault は、
実行操作と更新操作用のデフォルトです。TrustServiceSymmetricDefault は、
取り消し操作と検証操作用のデフォルトです。
エンドポイント・サービス URL 用のトラスト・サービス操作を、表示するエンドポイント・サービス URL 用に少なくとも 1 つは明示的に関連付ける必要があります。
ある操作を明示的に関連付けると、システム・ポリシー・セット名が表示されます。
ポリシー・セットを明示的に関連付けない場合、
それぞれのデフォルト・トラスト・サービス・ポリシー・セットが表示され、
その後にテキスト (inherited) が続きます。
- オプション: 必要に応じて、リスト内のバインディングの名前をクリックして、トラスト・サービス固有のバインディングを変更します。 必要に応じて、トラスト・サービス固有のバインディングの設定を編集します。
トラスト・サービス・バインディングに対してなんらかの変更を行うと、
そのバインディングを参照するすべてのトラスト・サービスの関連付けが影響を受けます。
リソースにポリシー・セットが直接関連付けられている場合は、
バインディング名が表示されるか、Default が表示されます。
- トラスト・サービス・ランタイム構成に変更内容を適用する前に、その変更内容を保存します。
- 「ランタイムの更新」をクリックして、
トークン・プロバイダー、トラスト・サービスの関連付け、およびターゲットに対するすべてのデータ変更内容でトラスト・サービス・ランタイム構成を更新します。 確認ウィンドウが表示されるかどうかは、
「ランタイム・コマンドの更新時に確認を表示」チェック・ボックスを選択したかどうかによって決まります。
「設定」を展開して、チェック・ボックスを表示します。
- オプション: 確認ウィンドウが表示されたら、確認するか、取り消します。 「ランタイム・コマンドの更新時に確認を表示」チェック・ボックスを選択解除すると、
確認ウィンドウを表示することなく、すべての変更が即時に実行されます。
タスクの結果
トラスト・サービスとの関連付けを作成または更新するために基本情報を提供しました。
システム・ポリシー・セットおよびバインディングに対するトラスト・サービス操作との関連付けを構成しました。
次のタスク
wsadmin ツールを使用して、WebSphere Application
Server トラスト・サービスの新規関連付けを作成することもできます。wsadmin ツールの例は、
Jython スクリプト言語で書かれています。