JAX-WS アプリケーション用の汎用サンプル・バインディング

テストを行うために、管理コンソールでサンプル・バインディングを使用することができます。 指定された構成は、セル・レベルまたはサーバー・レベルで反映されます。

WebSphere® Application Server バージョン 7.0 以降には、テストに使用するための、プロバイダー・サンプル・バインディングおよびクライアント・サンプル・バインディングが含まれます。 バインディングでは、さまざまなトークン・タイプのトークン (例えば、X.509 トークン、ユーザー名トークン、LTPA トークン、Kerberos トークンなど) をサポートするサンプル値が製品によって提供されます。バインディングには、X.509 やセキュア会話などのトークン・タイプ用のメッセージ保護情報のサンプル値も含まれています。 プロバイダーのサンプル・バインディングとクライアントのサンプル・バインディングは、ともに、デフォルトのローカル・リポジトリーから得られたシステム・ポリシー・セット、またはアプリケーション・ポリシー・セットに接続されたアプリケーションに適用することができます。

ここでは、Java™ API for XML-Based Web Services (JAX-WS) プログラミング・モデル用の汎用サンプル・バインディングについて説明します。Java API for XML-based RPC (JAX-RPC) プログラミング・モデルを使用して、Web サービスを開発することができます。また、WebSphere Application Server バージョン 7.0 以降の場合には、Java API for XML-Based Web Services (JAX-WS) プログラミング・モデルを使用して Web サービスを開発することができます。サンプルの汎用バインディングは、ご使用のプログラミング・モデルに応じて異なる可能性があります。 以下のセクションでは、さまざまな汎用サンプル・バインディングについて説明します。
ベスト・プラクティス ベスト・プラクティス: IBM® WebSphere Application Server は、 Java API for XML-Based Web Services (JAX-WS) プログラミング・モデルおよび Java API for XML-based RPC (JAX-RPC) プログラミング・モデルをサポートします。 JAX-WS は、JAX-RPC プログラミング・モデルが提供する基盤を拡張する、次世代の Web サービス・プログラミング・モデルです。戦略的 JAX-WS プログラミング・モデルを使用すると、標準ベースの注釈モデルのサポートによって、Web サービスおよび Web クライアントの開発が容易になります。JAX-RPC プログラミング・モデルとアプリケーションは引き続きサポートされますが、Web サービス・アプリケーションおよびクライアントを新規に開発する場合は、実装が容易な JAX-WS プログラミング・モデルをご利用ください。best-practices

実稼働環境では、これらのプロバイダー・サンプル・バインディングおよびクライアント・サンプル・バインディングをデフォルト状態で使用しないでください。 実稼働環境でバインディングを使用する前に、バインディングのコピーを作成してそのコピーを変更することにより、セキュリティー要件に合わせてバインディングを変更する必要があります。 例えば、セキュリティーを確保するために鍵および鍵ストアの設定を変更したり、ご使用の環境に合わせてバインディング設定を変更したりする必要があります。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): プロバイダー・サンプル・バインディングまたはクライアント・サンプル・バインディングのコピーを作成した後は、 目的に適合するように新規コピーの設定をカスタマイズするだけにしてください。クライアント・サンプル・バインディングからは 何も (例えば、トークン生成プログラム、トークン・コンシューマー、署名パーツ、暗号化パーツなど) を削除しないでください。gotcha
アプリケーションをデプロイしやすくするために、汎用デフォルト・バインディングの 1 つのセットが複数のアプリケーションで共有されます。 グローバル・セキュリティー (セル) レベル、セキュリティー・ドメイン、または特定のサーバーで使用される、サービス・プロバイダーまたはクライアント用のデフォルト・バインディングを指定することができます。 デフォルト・バインディングは、より狭い有効範囲でオーバーライド・バインディングが指定されていない場合に使用されます。 アプリケーション・サーバーがどのデフォルト・バインディングを使用するかを決める際の 優先順位 (低いものから高いものへの順) は以下のとおりです。
  1. サーバー・レベルのデフォルト
  2. セキュリティー・ドメイン・レベルのデフォルト
  3. グローバル・セキュリティー (セル) のデフォルト

汎用のクライアント・サンプル・バインディング

  • 署名情報を生成するためのサンプル構成 (asymmetric-signingInfoRequest と呼ばれます) には、以下の構成が含まれます。
    • gen_signkeyinfo 署名鍵情報を参照します。
    • パーツ参照構成 (http://www.w3.org/2001/10/xml-exc-c14n# アルゴリズムを使用した変換構成を含みます)。
    • 以下の構成を含む署名鍵情報 gen_signkeyinfo
      • セキュリティー・トークン参照。
      • 以下のような gen_signx509token 保護トークン非対称シグニチャー生成プログラム。
        • X.509 V3 Token v1.0 トークン・タイプを含みます。
        • ローカル・パーツ値として http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 値タイプを含みます。
        • wss.generate.x509 JAAS ログインを含みます。
      • X.509 コールバック・ハンドラー。このコールバック・ハンドラーは、${USER_INSTALL_ROOT}/etc/ws-security/samples/dsigsender.ks から、以下の特性を備えたカスタム鍵ストアを呼び出します。
        • 鍵ストア・タイプは JKS です。
        • 鍵ストアのパスワードは client です。
        • トラステッド証明書の別名は soapca です。
        • 個人証明書の別名は soaprequester です。
        • 鍵パスワード・クライアントは中間認証局 Int CA2 が発行し、 この中間認証局は、soapca が発行します。
    • 署名メソッド http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 正規化メソッド http://www.w3.org/2001/10/xml-exc-c14n#
  • 署名情報を生成するための symmetric-signingInfoRequest と呼ばれるサンプル構成には、以下の構成が含まれます。
    • gen_signsctkeyinfo 署名鍵情報を参照します。
    • パーツ参照構成 (http://www.w3.org/2001/10/xml-exc-c14n# アルゴリズムを使用した変換構成を含みます)。
    • 以下の構成を含む署名鍵情報 gen_signsctkeyinfo
      • セキュリティー・トークン参照。
      • 以下のような派生鍵。
        • 明示的な派生鍵トークンを必要とします。
        • クライアント・ラベルとして WS-SecureConversation を使用します。
        • サービス・ラベルとして WS-SecureConversation を使用します。
        • 鍵の長さは 16 バイトです。
        • nonce の長さは 16 バイトです。
      • 以下のような gen_scttoken 保護トークン生成プログラム。
        • Secure Conversation Token Version 1.3 トークン・タイプを含みます。
        • ローカル・パーツ値として http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 値タイプを含みます。
        • wss.generate.sct JAAS ログインを含みます。
      • WS トラスト・コールバック・ハンドラー。
    • 署名メソッド http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • 正規化メソッド http://www.w3.org/2001/10/xml-exc-c14n#
  • 暗号化情報を生成するためのサンプル構成 (asymmetric-encryptionInfoRequest と呼ばれます) には、以下の構成が含まれます。
    • gen_enckeyinfo 暗号鍵情報を参照します。
    • 以下の構成を含む、gen_enckeyinfo という名前の暗号鍵情報。
      • 鍵 ID。
      • 以下のような gen_encx509token 保護トークン非対称暗号生成プログラム。
        • 鍵ストアのタイプは JCEKS です。
        • 鍵ストアのパスワードは client です。
        • トラステッド証明書の別名は soapca です。
        • 個人証明書の別名は bob です。
        • 鍵パスワード・クライアントは中間認証局 Int CA2 が発行し、この中間認証局は、soapca が順次発行します。
      • X.509 コールバック・ハンドラー。このコールバック・ハンドラーは、${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks からカスタム鍵ストアを呼び出します。
    • 鍵暗号化メソッド http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • 暗号化情報を生成するためのサンプル構成 (symmetric-encryptionInfoRequest と呼ばれます) には、以下の構成が含まれます。
    • gen_encsctkeyinfo 暗号鍵情報を参照します。
    • 以下の構成を含む暗号鍵情報 gen_encsctkeyinfo
      • セキュリティー・トークン参照。
      • 以下のような派生鍵。
        • 明示的な派生鍵トークンを必要とします。
        • クライアント・ラベルとして WS-SecureConversation を使用します。
        • サービス・ラベルとして WS-SecureConversation を使用します。
        • 鍵の長さは 16 バイトです。
        • nonce の長さは 16 バイトです。
      • 以下の構成を含む gen_scttoken 保護トークン生成プログラム。
        • Secure Conversation Token v1.3 トークン・タイプを含みます。
        • ローカル・パーツ値として http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 値タイプを含みます。
        • wss.generate.sct JAAS ログインを含みます。
      • WS トラスト・コールバック・ハンドラー。
    • データ暗号化メソッド http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • 署名情報を使用するためのサンプル構成 (asymmetric-signingInfoResponse と呼ばれます) には、以下の構成が含まれます。
    • con_signkeyinfo 署名鍵情報を参照します。
    • パーツ参照構成 (変換構成アルゴリズム http://www.w3.org/2001/10/xml-exc-c14n# を使用します)。
    • 以下の構成を含む、con_signkeyinfo という名前の署名鍵情報。
      • 以下のような、con_signx509token 保護トークン非対称署名コンシューマー。
        • X.509 V3 Token v1.0 トークン・タイプを含みます。
        • ローカル・パーツ値として http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 値タイプを含みます。
        • wss.consume.x509 JAAS ログインを含みます。
      • 以下のような X.509 コールバック・ハンドラー。
        • DigSigCertStore という名前の証明書ストアを参照します。
        • DigSigTrustAnchor という名前のトラステッド・アンカー・ストアを参照します。
    • 署名メソッド http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 正規化メソッド http://www.w3.org/2001/10/xml-exc-c14n#
  • 署名情報を使用するためのサンプル構成 (symmetric-signingInfoResponse と呼ばれます) には、以下の構成が含まれます。
    • con_sctsignkeyinfo 署名鍵情報を参照します。
    • パーツ参照構成 (変換構成アルゴリズム http://www.w3.org/2001/10/xml-exc-c14n# を使用します)。
    • 以下の構成を含む、con_sctsignkeyinfo という名前の署名鍵情報。
      • 以下のような派生鍵。
        • 明示的な派生鍵トークンを必要とします。
        • クライアント・ラベルとして WS-SecureConversation を使用します。
        • サービス・ラベルとして WS-SecureConversation を使用します。
        • 鍵の長さは 16 バイトです。
        • nonce の長さは 16 バイトです。
      • 以下のような con_scttoken 保護トークン・コンシューマー。
        • Secure Conversation Token v1.3 トークン・タイプを含みます。
        • ローカル・パーツ値として http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 値タイプを含みます。
        • wss.consume.sct JAAS ログインを含みます。
      • WS-SecureConversation コールバック・ハンドラー。
    • 署名メソッド http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • 正規化メソッド http://www.w3.org/2001/10/xml-exc-c14n#
  • 暗号化情報を使用するための、以下の構成を含むサンプル構成 (asymmetric-encryptionInfoResponse と呼ばれます)。
    • dec_keyinfo 暗号鍵情報を参照します。
    • 以下の構成を含む、dec_keyinfo という名前の暗号鍵情報。
      • 以下のような、con_encx509token 保護トークン非対称暗号コンシューマー。
        • X.509 V3 Token v1.0 トークン・タイプを含みます。
        • ローカル・パーツ値として http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 値タイプを含みます。
        • wss.consume.x509 JAAS ログインを含みます。
      • X.509 コールバック・ハンドラー。このコールバック・ハンドラーは、${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks から、以下の特性を備えたカスタム鍵ストアを呼び出します。
        • 鍵ストア・タイプは JCEKS です。
        • 鍵ストアのパスワードは client です。
        • トラステッド証明書の別名は soapca です。
        • 個人証明書の別名は alice です。
        • 鍵パスワード・クライアントは中間認証局 Int CA2 が発行し、 この中間認証局は、soapca が発行します。
    • 鍵暗号化メソッド http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • 暗号化情報を使用するためのサンプル構成 (symmetric-encryptionInfoResponse と呼ばれます) には、以下の構成が含まれます。
    • dec_sctkeyinfo 暗号鍵情報を参照します。
    • 以下の構成を含む、dec_sctkeyinfo という名前の暗号鍵情報。
      • 以下のような派生鍵。
        • 明示的な派生鍵トークンを必要とします。
        • クライアント・ラベルとして WS-SecureConversation を使用します。
        • サービス・ラベルとして WS-SecureConversation を使用します。
        • 鍵の長さは 16 バイトです。
        • nonce の長さは 16 バイトです。
      • 以下のような con_scttoken 保護トークン・コンシューマー。
        • Secure Conversation Token v1.3 トークン・タイプを含みます。
        • ローカル・パーツ値として http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 値タイプを含みます。
        • wss.consume.sct JAAS ログインを含みます。
      • WS-SecureConversation コールバック・ハンドラー。
    • データ暗号化メソッド http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • 認証トークンを生成するためのサンプル構成 (gen_signkrb5token と呼ばれます) には、以下の構成が含まれます。
    • ローカル・パーツ値として http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ を使用する Kerberos v5 トークンのカスタム・トークン・タイプ。
    • wss.generate.KRB5BST JAAS ログイン。
    • 以下のカスタム・プロパティー。
      • ターゲット Kerberos サービス名 com.ibm.wsspi.wssecurity.krbtoken.targetServiceName
      • ターゲット Kerberos サービス名に関連付けられたホスト名 com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost

        この構成を使用する前に、ご使用の環境に適した値を提供する必要があります。

    • カスタム Kerberos トークン・コールバック・ハンドラー。Kerberos のクライアント・プリンシパルおよびパスワードとして、正しい値を提供する必要があります。
  • 認証トークンを生成するためのサンプル構成 (gen_signltpaproptoken と呼ばれます) には、以下の構成が含まれます。
    • 以下のような、LTPA propagation token というトークン・タイプ。
      • ローカル・パーツ値として LTPA_PROPAGATION を含みます。
      • 名前空間 URI 値として http://www.ibm.com/websphere/appserver/tokentype を含みます。
    • wss.generate.ltpaProp JAAS ログインを含みます。
    • LTPA トークン・コールバック・ハンドラーを使用します。
  • 認証トークンを生成するためのサンプル構成 (gen_signltpatoken と呼ばれます) には、以下の構成が含まれます。
    • 以下のような、LTPA Token v2.0 のトークン・タイプ。
      • ローカル・パーツ値として LTPA_PROPAGATION を含みます。
      • 名前空間 URI 値として http://www.ibm.com/websphere/appserver/tokentype を含みます。
    • wss.generate.ltpa JAAS ログイン。
    • LTPA トークン・コールバック・ハンドラー。
  • 認証トークンを生成するためのサンプル構成 (gen_signunametoken と呼ばれます) には、以下の構成が含まれます。
    • ローカル・パーツ値として http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken を使用する、Username Token v1.0 のトークン・タイプ。
    • wss.generate.unt JAAS ログイン。
    • 以下のようなユーザー名トークン・コールバック・ハンドラー。
      • 基本認証フィールドを含みます。ご使用の環境に適した、クライアント・プリンシパルおよびパスワードの正しい値を提供する必要があります。
      • 以下のカスタム・プロパティーを含みます。
        • nonce 値を追加するための com.ibm.wsspi.wssecurity.token.username.addNonce
        • タイム・スタンプ値を追加するための com.ibm.wsspi.wssecurity.token.username.addTimestamp

クライアント・サンプル・バインディング V2

クライアント・サンプル V2 とプロバイダー・サンプル V2 という 2 つの新規の汎用サンプル・バインディングが製品に追加されています。 前のバージョンのクライアント・サンプル・バインディングおよびプロバイダー・サンプル・バインディングと構成の多くは同じですが、いくつかの新しいサンプル構成が追加されています。これらの新しいバインディングを使用するには、製品をインストールした後に新規プロファイルを作成します。詳しくは、トピック『Kerberos ポリシー・セットおよび V2 汎用サンプル・バインディング』を参照してください。

  • 署名情報を生成するためのサンプル構成 (symmetric-KrbsignInfoRequest と呼ばれます) には、以下の構成が含まれます。
    • gen_reqKRBsignkeyinfo 署名鍵情報を参照します。
    • パーツ参照構成 (http://www.w3.org/2001/10/xml-exc-c14n# アルゴリズムを使用した変換構成を含みます)。
    • 署名鍵情報 gen_reqKRBsignkeyinfo。以下の構成が含まれます。
      • セキュリティー・トークン参照。
      • 以下のような派生鍵。
        • 明示的な派生鍵トークンを必要とします。
        • クライアント・ラベルとして WS-SecureConversation を使用します。
        • サービス・ラベルとして WS-SecureConversation を使用します。
        • 鍵の長さは 16 バイトです。
        • nonce の長さは 16 バイトです。
      • 以下のような gen_krb5token 保護トークン生成プログラム。
        • Kerberos V5 GSS AP_REQ バイナリー・セキュリティー・トークン・タイプを含みます。
        • ローカル・パーツ値として、http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 値タイプを含みます。
        • wss.generate.KRB5BST JAAS ログインを含みます。
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler。
    • 署名メソッド http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • 正規化メソッド http://www.w3.org/2001/10/xml-exc-c14n#
  • 暗号化情報を生成するためのサンプル構成 (symmetric-KrbEncInfoRequest と呼ばれます) には、以下の構成が含まれます。
    • gen_reqKRBenckeyinfo 暗号鍵情報を参照します。
    • 以下の構成を含む暗号鍵情報 gen_reqKRBenckeyinfo
      • セキュリティー・トークン参照。
      • 以下のような派生鍵。
        • 明示的な派生鍵トークンを必要とします。
        • クライアント・ラベルとして WS-SecureConversation を使用します。
        • サービス・ラベルとして WS-SecureConversation を使用します。
        • 鍵の長さは 16 バイトです。
        • nonce の長さは 16 バイトです。
      • 以下の構成を含む gen_krb5token 保護トークン生成プログラム。
        • Kerberos V5 GSS AP_REQ バイナリー・セキュリティー・トークン・タイプを含みます。
        • ローカル・パーツ値の、http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 値タイプを含みます。
        • wss.generate.KRB5BST JAAS ログインを含みます。
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler。
    • データ暗号化メソッド http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • 署名情報を利用するためのサンプル構成 (symmetric-KrbsignInfoResponse と呼ばれます) には、以下の構成が含まれます。
    • con_respKRBsignkeyinfo 署名鍵情報を参照します。
    • パーツ参照構成 (変換構成アルゴリズム http://www.w3.org/2001/10/xml-exc-c14n# を使用します)。
    • con_respKRBsignkeyinfo という名前の署名鍵情報。以下の構成が含まれます。
      • 以下のような派生鍵。
        • 明示的な派生鍵トークンを必要とします。
        • クライアント・ラベルとして WS-SecureConversation を使用します。
        • サービス・ラベルとして WS-SecureConversation を使用します。
        • 鍵の長さは 16 バイトです。
        • nonce の長さは 16 バイトです。
      • 以下のような con_krb5token 保護トークン・コンシューマー。
        • Kerberos V5 GSS AP_REQ バイナリー・セキュリティー・トークン・タイプを含みます。
        • ローカル・パーツ値の、http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 値タイプを含みます。
        • wss.consume.KRB5BST JAAS ログインを含みます。
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler
    • 署名メソッド http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • 正規化メソッド http://www.w3.org/2001/10/xml-exc-c14n#
  • 暗号化情報を利用するためのサンプル構成 (symmetric-KrbEncInfoResponse と呼ばれます) には、以下の構成が含まれます。
    • con_respKRBenckeyinfo 暗号鍵情報を参照します。
    • 以下の構成を含む、con_respKRBenckeyinfo という名前の暗号鍵情報。
      • 以下のような派生鍵。
        • 明示的な派生鍵トークンを必要とします。
        • クライアント・ラベルとして WS-SecureConversation を使用します。
        • サービス・ラベルとして WS-SecureConversation を使用します。
        • 鍵の長さは 16 バイトです。
        • nonce の長さは 16 バイトです。
      • 以下のような con_krb5token 保護トークン・コンシューマー。
        • Kerberos V5 GSS AP_REQ バイナリー・セキュリティー・トークン・タイプを含みます。
        • ローカル・パーツ値の、http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 値タイプを含みます。
        • wss.consume.KRB5BST JAAS ログインを含みます。
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler。
    • データ暗号化メソッド http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • 認証トークンを生成するためのサンプル構成 (gen_krb5token と呼ばれます) には、以下の構成が含まれます。
    • ローカル・パーツ値として http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ を使用する Kerberos V5 トークンのカスタム・トークン・タイプ。
    • wss.generate.KRB5BST JAAS ログイン。
    • 以下のカスタム・プロパティー。
      • ターゲット Kerberos サービス名 com.ibm.wsspi.wssecurity.krbtoken.targetServiceName。
      • ターゲット Kerberos サービス名に関連付けられたホスト名 com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost。
        注: この構成を使用する前に、ご使用の環境に適した値を提供する必要があります。
    • カスタム Kerberos トークン・コールバック・ハンドラー。
      注: Kerberos のクライアント・プリンシパルおよびパスワードとして、正しい値を提供する必要があります。
  • 認証トークンを生成するためのサンプル構成 (con_krb5token と呼ばれます) には、以下の構成が含まれます。
    • ローカル・パーツ値として http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ を使用する Kerberos V5 トークンのカスタム・トークン・タイプ。
    • wss.consume.KRB5BST JAAS ログイン。
    • カスタム Kerberos トークン・コールバック・ハンドラー。

汎用のプロバイダー・サンプル・バインディング

  • 署名情報を使用するためのサンプル構成 (asymmetric-signingInfoRequest と呼ばれます) には、以下の構成が含まれます。
    • con_signkeyinfo 署名鍵情報を参照します。
    • パーツ参照構成 (変換構成アルゴリズム http://www.w3.org/2001/10/xml-exc-c14n# を使用します)。
    • 以下の構成を含む、con_signkeyinfo という名前の署名鍵情報。
      • 以下のような、con_signx509token 保護トークン非対称署名コンシューマー。
        • X.509 V3 Token v1.0 トークン・タイプを含みます。
        • ローカル・パーツ値として http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 値タイプを含みます。
        • wss.consume.x509 JAAS ログインを含みます。
      • 以下のような X.509 コールバック・ハンドラー。
        • DigSigCertStore という名前の証明書ストアを参照します。
        • DigSigTrustAnchor という名前のトラステッド・アンカー・ストアを参照します。
    • 署名メソッド http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 正規化メソッド http://www.w3.org/2001/10/xml-exc-c14n#
  • 署名情報を使用するためのサンプル構成 (symmetric-signingInfoRequest と呼ばれます) には、以下の構成が含まれます。
    • con_sctsignkeyinfo 署名鍵情報を参照します。
    • パーツ参照構成 (変換構成アルゴリズム http://www.w3.org/2001/10/xml-exc-c14n# を使用します)。
    • 以下の構成を含む、con_sctsignkeyinfo という名前の署名鍵情報。
      • 以下のような派生鍵。
        • 明示的な派生鍵トークンを必要とします。
        • クライアント・ラベルとして WS-SecureConversation を使用します。
        • サービス・ラベルとして WS-SecureConversation を使用します。
        • 鍵の長さは 16 バイトです。
        • nonce の長さは 16 バイトです。
      • 以下のような con_scttoken 保護トークン生成プログラム。
        • Secure Conversation Token v1.3 トークン・タイプを含みます。
        • ローカル・パーツ値として http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 値タイプを含みます。
        • wss.consume.sct JAAS ログインを含みます。
      • WS-SecureConversation コールバック・ハンドラー。
    • 署名メソッド http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • 正規化メソッド http://www.w3.org/2001/10/xml-exc-c14n#
  • 暗号化情報を使用するためのサンプル構成 (asymmetric-encryptionInfoRequest と呼ばれます) には、以下の構成が含まれます。
    • dec_keyinfo 暗号鍵情報を参照します。
    • 以下の構成を含む、dec_keyinfo という名前の暗号鍵情報。
      • 以下のような、con_encx509token 保護トークン非対称暗号コンシューマー。
        • X.509 V3 Token v1.0 トークン・タイプを含みます。
        • ローカル・パーツ値として http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 値タイプを含みます。
        • wss.consume.x509 JAAS ログインを含みます。
      • X.509 コールバック・ハンドラー。このコールバック・ハンドラーは、${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks から、以下の特性を備えたカスタム鍵ストアを呼び出します。
        • 鍵ストア・タイプは JCEKS です。
        • 鍵ストアのパスワードは client です。
        • トラステッド証明書の別名は soapca です。
        • 個人証明書の別名は bob です。
        • 鍵パスワード・クライアントは中間認証局 Int CA2 が発行し、 この中間認証局は、soapca が発行します。
    • 鍵暗号化メソッド http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • 暗号化情報を使用するためのサンプル構成 (symmetric-encryptionInfoRequest と呼ばれます) には、以下の構成が含まれます。
    • dec_sctkeyinfo 暗号鍵情報を参照します。
    • 以下の構成を含む、dec_sctkeyinfo という名前の暗号鍵情報。
      • 以下のような派生鍵。
        • 明示的な派生鍵トークンを必要とします。
        • クライアント・ラベルとして WS-SecureConversation を使用します。
        • サービス・ラベルとして WS-SecureConversation を使用します。
        • 鍵の長さは 16 バイトです。
        • nonce の長さは 16 バイトです。
      • 以下のような con_scttoken 保護トークン・コンシューマー。
        • Secure Conversation Token v1.3 トークン・タイプを含みます。
        • ローカル・パーツ値として http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 値タイプを含みます。
        • wss.consume.sct JAAS ログインを含みます。
      • WS-SecureConversation コールバック・ハンドラー。
    • データ暗号化メソッド http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • 署名情報を生成するためのサンプル構成 (asymmetric-signingInfoResponse と呼ばれます) には、以下の構成が含まれます。
    • gen_signkeyinfo 署名鍵情報を参照します。
    • パーツ参照構成 (変換構成アルゴリズム http://www.w3.org/2001/10/xml-exc-c14n# を使用します)。
    • 以下の構成を含む、gen_signkeyinfo という名前の署名鍵情報。
      • セキュリティー・トークン参照。
      • 以下のような gen_signx509token 保護トークン非対称シグニチャー生成プログラム。
        • X.509 V3 Token v1.0 トークン・タイプを含みます。
        • ローカル・パーツ値として http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 値タイプを含みます。
        • wss.generate.x509 JAAS ログインを含みます。
      • X.509 コールバック・ハンドラー。このコールバック・ハンドラーは、${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks から、以下の特性を備えたカスタム鍵ストアを呼び出します。
        • 鍵ストア・タイプは JKS です。
        • 鍵ストアのパスワードは client です。
        • トラステッド証明書の別名は soapca です。
        • 個人証明書の別名は soapprovider です。
        • 鍵パスワード・クライアントは中間認証局 Int CA2 が発行し、 この中間認証局は、soapca が発行します。
    • 署名メソッド http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 正規化メソッド http://www.w3.org/2001/10/xml-exc-c14n#
  • 署名情報を生成するためのサンプル構成 (symmetric-signingInfoResponse と呼ばれます) には、以下の構成が含まれます。
    • gen_signsctkeyinfo 署名鍵情報を参照します。
    • パーツ参照構成 (変換構成アルゴリズム http://www.w3.org/2001/10/xml-exc-c14n# を使用します)。
    • 以下の構成を含む、gen_signsctkeyinfo という名前の署名鍵情報。
      • セキュリティー・トークン参照。
      • 以下のような派生鍵。
        • 明示的な派生鍵トークンを必要とします。
        • クライアント・ラベルとして WS-SecureConversation を使用します。
        • サービス・ラベルとして WS-SecureConversation を使用します。
        • 鍵の長さは 16 バイトです。
        • nonce の長さは 16 バイトです。
      • 以下のような gen_scttoken 保護トークン生成プログラム。
        • Secure Conversation Token v1.3 トークン・タイプを含みます。
        • ローカル・パーツ値として http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 値タイプを含みます。
        • wss.generate.sct JAAS ログインを含みます。
      • WS トラスト・コールバック・ハンドラー。
    • 署名メソッド http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • 正規化メソッド http://www.w3.org/2001/10/xml-exc-c14n#
  • 暗号化情報を生成するためのサンプル構成 (asymmetric-encryptionInfoResponse と呼ばれます) には、以下の構成が含まれます。
    • gen_enckeyinfo 暗号鍵情報を参照します。
    • 以下の構成を含む、gen_enckeyinfo という名前の暗号鍵情報。
      • 鍵 ID。
      • 以下のような gen_encx509token 保護トークン非対称暗号生成プログラム。
        • X.509 V3 Token v1.0 トークン・タイプを含みます。
        • ローカル・パーツ値として http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 値タイプを含みます。
        • wss.generate.x509 JAAS ログインを含みます。
      • X.509 コールバック・ハンドラーを使用します。 このコールバック・ハンドラーは、${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks から、以下の特性を備えたカスタム鍵ストアを呼び出します。
        • 鍵ストア・タイプは JCEKS です。
        • 鍵ストアのパスワードは client です。
        • トラステッド証明書の別名は soapca です。
        • 個人証明書の別名は alice です。
        • 鍵パスワード・クライアントは中間認証局 Int CA2 が発行し、 この中間認証局は、soapca が発行します。
    • 鍵暗号化メソッド http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • 暗号化情報を生成するためのサンプル構成 (symmetric-encryptionInfoResponse と呼ばれます) には、以下の構成が含まれます。
    • gen_encsctkeyinfo 暗号鍵情報を参照します。
    • 以下の構成を含む、gen_encsctkeyinfo という名前の暗号鍵情報。
      • セキュリティー・トークン参照。
      • 以下のような派生鍵。
        • 明示的な派生鍵トークンを必要とします。
        • クライアント・ラベルとして WS-SecureConversation を使用します。
        • サービス・ラベルとして WS-SecureConversation を使用します。
        • 鍵の長さは 16 バイトです。
        • nonce の長さは 16 バイトです。
      • 以下のような gen_scttoken 保護トークン生成プログラム。
        • Secure Conversation Token v1.3 トークン・タイプを含みます。
        • ローカル・パーツ値として http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 値タイプを含みます。
        • wss.generate.sct JAAS ログインを含みます。
      • WS トラスト・コールバック・ハンドラー。
    • データ暗号化メソッド http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • 認証トークンを使用するためのサンプル構成 (con_krb5token と呼ばれます) には、以下の構成が含まれます。
    • ローカル・パーツ値として http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ を使用する Kerberos v5 トークンのカスタム・トークン・タイプ。
    • wss.consume.KRB5BST JAAS ログイン。
    • カスタム Kerberos トークン・コールバック・ハンドラー。
  • 認証トークンを使用するためのサンプル構成 (con_ltpaproptoken と呼ばれます) には、以下の構成が含まれます。
    • LTPA propagation token というトークン・タイプ。
    • wss.consume.ltpaProp JAAS ログイン。
    • LTPA トークン・コールバック・ハンドラー。
  • 認証トークンを使用するためのサンプル構成 (con_ltpatoken と呼ばれます) には、以下の構成が含まれます。
    • 以下の特性を備えたトークン・タイプ LTPA Token v2.0
      • ローカル・パーツ値として LTPAv2 を含みます。
      • 名前空間 URI 値として http://www.ibm.com/websphere/appserver/tokentype を含みます。
    • wss.consume.ltpa JAAS ログイン。
    • LTPA トークン・コールバック・ハンドラー。
  • 認証トークンを使用するためのサンプル構成 (con_unametoken と呼ばれます) には、以下の構成が含まれます。
    • ローカル・パーツ値として http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken を使用する、トークン・タイプ Username Token v1.0
    • wss.consume.unt JAAS ログイン。
    • 以下のカスタム・プロパティーを備えたユーザー名トークン・コールバック・ハンドラー。
      • nonce 値を検証するための com.ibm.wsspi.wssecurity.token.username.verifyNonce
      • タイム・スタンプ値を検証するための com.ibm.wsspi.wssecurity.token.username.verifyTimestamp

プロバイダー・サンプル・バインディング V2

クライアント・サンプル V2 とプロバイダー・サンプル V2 という 2 つの新規の汎用サンプル・バインディングが製品に追加されています。 前のバージョンのクライアント・サンプル・バインディングおよびプロバイダー・サンプル・バインディングと構成の多くは同じですが、いくつかの新しいサンプル構成が追加されています。これらの新しいバインディングを使用するには、製品をインストールした後に新規プロファイルを作成します。詳しくは、トピック『Kerberos ポリシー・セットおよび V2 汎用サンプル・バインディング』を参照してください。

  • 署名情報を生成するためのサンプル構成 (symmetric-KrbsignInfoRequest と呼ばれます) には、以下の構成が含まれます。
    • con_respKRBsignkeyinfo 署名鍵情報を参照します。
    • パーツ参照構成 (http://www.w3.org/2001/10/xml-exc-c14n# アルゴリズムを使用した変換構成を含みます)。
    • 以下の構成を含む署名鍵情報 con_respKRBsignkeyinfo
      • セキュリティー・トークン参照。
      • 以下のような派生鍵。
        • 明示的な派生鍵トークンを必要とします。
        • クライアント・ラベルとして WS-SecureConversation を使用します。
        • サービス・ラベルとして WS-SecureConversation を使用します。
        • 鍵の長さは 16 バイトです。
        • nonce の長さは 16 バイトです。
      • 以下のような con_krb5token 保護トークン・コンシューマー。
        • Kerberos V5 GSS AP_REQ バイナリー・セキュリティー・トークン・タイプを含みます。
        • ローカル・パーツ値として、http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 値タイプを含みます。
        • wss.consume.KRB5BST JAAS ログインを含みます。
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler。
    • 署名メソッド http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • 正規化メソッド http://www.w3.org/2001/10/xml-exc-c14n#
  • 暗号化情報を生成するためのサンプル構成 (symmetric-KrbEncInfoRequest と呼ばれます) には、以下の構成が含まれます。
    • con_reqKRBenckeyinfo 暗号鍵情報を参照します。
    • 暗号鍵情報 con_reqKRBenckeyinfo。以下の構成が含まれます。
      • セキュリティー・トークン参照。
      • 以下のような派生鍵。
        • 明示的な派生鍵トークンを必要とします。
        • クライアント・ラベルとして WS-SecureConversation を使用します。
        • サービス・ラベルとして WS-SecureConversation を使用します。
        • 鍵の長さは 16 バイトです。
        • nonce の長さは 16 バイトです。
      • 以下の構成を含む con_krb5token 保護トークン・コンシューマー。
        • Kerberos V5 GSS AP_REQ バイナリー・セキュリティー・トークン・タイプを含みます。
        • ローカル・パーツ値の、http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 値タイプを含みます。
        • wss.consume.KRB5BST JAAS ログインを含みます。
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler。
    • データ暗号化メソッド http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • 署名情報を利用するためのサンプル構成 (symmetric-KrbsignInfoResponse と呼ばれます) には、以下の構成が含まれます。
    • gen_respKRBsignkeyinfo 署名鍵情報を参照します。
    • パーツ参照構成 (変換構成アルゴリズム http://www.w3.org/2001/10/xml-exc-c14n# を使用します)。
    • 以下の構成を含む、gen_respKRBsignkeyinfo という名前の署名鍵情報。
      • 以下のような派生鍵。
        • 明示的な派生鍵トークンを必要とします。
        • クライアント・ラベルとして WS-SecureConversation を使用します。
        • サービス・ラベルとして WS-SecureConversation を使用します。
        • 鍵の長さは 16 バイトです。
        • nonce の長さは 16 バイトです。
      • 以下のような gen_krb5token 保護トークン生成プログラム。
        • Kerberos V5 GSS AP_REQ バイナリー・セキュリティー・トークン・タイプを含みます。
        • ローカル・パーツ値の、http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 値タイプを含みます。
        • wss.generate.KRB5BST JAAS ログインを含みます。
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler。
    • 署名メソッド http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • 正規化メソッド http://www.w3.org/2001/10/xml-exc-c14n#
  • 暗号化情報を利用するためのサンプル構成 (symmetric-KrbEncInfoResponse と呼ばれます) には、以下の構成が含まれます。
    • gen_respKRBenckeyinfo 暗号鍵情報を参照します。
    • 以下の構成を含む、gen_respKRBenckeyinfo という名前の暗号鍵情報。
      • 以下のような派生鍵。
        • 明示的な派生鍵トークンを必要とします。
        • クライアント・ラベルとして WS-SecureConversation を使用します。
        • サービス・ラベルとして WS-SecureConversation を使用します。
        • 鍵の長さは 16 バイトです。
        • nonce の長さは 16 バイトです。
      • 以下のような gen_krb5token 保護トークン生成プログラム。
        • Kerberos V5 GSS AP_REQ バイナリー・セキュリティー・トークン・タイプを含みます。
        • ローカル・パーツ値の、http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 値タイプを含みます。
        • wss.generate.KRB5BST JAAS ログインを含みます。
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler
    • データ暗号化メソッド http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • 認証トークンを生成するためのサンプル構成 (gen_krb5token と呼ばれます) には、以下の構成が含まれます。
    • ローカル・パーツ値として http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ を使用する Kerberos V5 トークンのカスタム・トークン・タイプ。
    • wss.generate.KRB5BST JAAS ログイン。
    • カスタム Kerberos トークン・コールバック・ハンドラー。
  • 認証トークンを生成するためのサンプル構成 (con_krb5token と呼ばれます) には、以下の構成が含まれます。
    • ローカル・パーツ値として http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ を使用する Kerberos V5 トークンのカスタム・トークン・タイプ。
    • wss.consume.KRB5BST JAAS ログイン。
    • カスタム Kerberos トークン・コールバック・ハンドラー。

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_defaultconfigjaxws
ファイル名:cwbs_defaultconfigjaxws.html