汎用セキュリティー・トークン・ログイン・モジュール

汎用セキュリティー・トークン・ログイン・モジュールは、Java™ 認証・承認サービス (JAAS) ログイン・モジュールです。これらのログイン・モジュールは、外部セキュリティー・トークン・サービス (STS) を 使用して、セキュリティー・トークンの発行、妥当性検査、および交換を行います。

概要

Web Services Security トークンの生成プロセスおよび コンシューム・プロセスは、これらのログイン・モジュールを起動します。Web Services Security コンポーネント では、以下の例のような一般的なトークン用のデフォルト・ログイン・モジュールが 用意されています。
  • Username トークン
  • X.509 トークン
  • Kerberos トークン
  • Lightweight Third Party Authentication (LTPA) トークン
  • Security Assertion Markup Language (SAML) トークン
  • セキュリティー・コンテキスト・トークン
これらのトークン実装について詳しくは、 『Web Services Security サービス・プロバイダーのプログラミング・インターフェースのデフォルトの実装』を参照してください。
トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): IBM® Tivoli® Federated Identity Manager を外部セキュリティー・トークン・サービスとして使用している場合は、LTPA トークン交換の障害を回避するために、バージョン 6.2.0.9、 6.2.1.2、 6.2.2 以降を使用してください。gotcha

以下の図は、 汎用セキュリティー・トークン・ログイン・モジュール・プロセスのフローを 示します。汎用セキュリティー・トークン・ログイン・モジュール・プロセス

  1. 呼び出し元の ID は、Web サービス・クライアントの実行時環境によって継承されます。
  2. トークン生成プログラム用の 汎用 セキュリティー・トークン・ログイン・モジュールは、 発行要求または妥当性検査要求のどちらかを使用して、WS-Trust クライアントを 使用する WS-Trust サービスにトークン要求を 送信します。
  3. 戻されたトークンまたは妥当性検査されたトークンは、SOAP メッセージの セキュリティー・ヘッダー内に認証トークンとして設定されます。詳しくは、 『トークン生成プログラム用の汎用セキュリティー・トークン・ログイン・モジュール』 を参照してください。
  4. PassTicket は、SOAP メッセージの一部としてサービス・プロバイダーに送信されます。
  5. トークン・コンシューマー用の 汎用 セキュリティー・トークン・ログイン・モジュールは、 WS-Trust Validate 要求内で、SOAP メッセージのセキュリティー・ヘッダー 内の受信トークンを、指定された WS-Trust サービスに送信します。
  6. この要求 の結果、新規トークンが作成されたり、または、送信されたトークンが正常に妥当性検査された ことが通知されたりします。
  7. 必要に応じて、新規トークンまたは元の妥当性検査済みトークン が、許可目的のために呼び出し元トークンとして使用されます。 詳しくは、『トークン・コンシューマー用の汎用セキュリティー・トークン・ログイン・モジュール』 を参照してください。

パスチケット は、 動的に生成され、一回限り使用される、代替パスワードです。本当のパスワードを送信する代わりに、パスチケットを サービスへの認証に使用できます。

使用法シナリオ

汎用セキュリティー・トークン・ログイン・モジュールは、 ターゲット Web サービスを起動するために、トークン交換、識別マッピング、または許可が 必要な場合に、非常に有用です。汎用セキュリティー・トークン・ログイン・モジュールのいくつかの有用な使用シナリオを、 以下のリストで説明します。
中間サーバーとのトークン交換
必要な出力セキュリティー・トークンと入力セキュリティー・トークンの タイプは異なります。
要求側のトークン交換
下流のサービスを起動する前に、要求側の識別マッピングが必要です。
受信側のトークン交換
トークンが妥当性検査された後に、識別マッピングの起動が必要です。
ターゲット・サービスを起動するための許可
ログイン・モジュールは、入力セキュリティー・トークンおよびそのターゲット・サービス・エンドポイント・アドレスを、 WS-Trust サービスに送信します。WS-Trust サービスは、 Web サービス・レベルの許可を実行します。WS-Trust サービス は、ターゲット Web サービス起動が、認証トークン中に含まれるプリンシパルに対して 認可されるかどうかを検証します。

制限

汎用ログイン・モジュールには、以下の制限が あります。
  • 汎用セキュリティー・トークン・ログイン・モジュールで処理されるトークンは、認証にのみ使用できます。このトークンを、デジタル署名およびメッセージ・パーツの暗号化 のための保護トークンとして使用することはできません。
  • サービス・プロバイダーが交換されるトークンを受信する場合、そのトークンは、アプリケーション・サーバー Web Service Security システムのデフォルト・ログイン・モジュールによってサポートされている必要があります。 詳しくは、 『トークン・コンシューマー用の汎用セキュリティー・トークン・ログイン・モジュール』 を参照してください。
  • サービス・プロバイダーが受信するトークンが、妥当性検査されるトークンであり、交換されないトークン の場合、受け取ったそのトークンは、アプリケーション・サーバー Web Service Security システム のデフォルト・ログイン・モジュールによってサポートされている必要があります。
  • RunAs Subject からのセキュリティー・トークンをアウトバウンド・セキュリティー・トークン用の妥当性検査または交換に使用する場合、 RunAs Subject 内のそのセキュリティー・トークンは、トークン ValueType 値によって一意的に識別される必要があります。RunAs Subject 内に、 同じ ValueType 値のトークンが複数ある場合、 ログイン・モジュールは、RunAs Subject とのトークン交換に WS-Trust Validate を 使用しません。代わりに、ログイン・モジュール は、WS-Trust Issue を使用して、 トラスト・クライアント用のポリシー・セットの構成に基づいたトークンを要求します。

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_gensectokenmod
ファイル名:cwbs_gensectokenmod.html