メッセージの認証性を保護するための、WSS API によるジェネレーター・トークンの添付
トークン生成プログラムを指定すると、ジェネレーター側ではこの情報を使用して セキュリティー・トークンが生成されます。
始める前に
Web Services Security ランタイムにおけるトークン処理とプラグ可能なトークン・アーキテクチャーは、Web Services Security API (WSS API) から同じセキュリティー・トークン・インターフェースおよび Java™ 認証・承認サービス (JAAS) ログイン・モジュールを再使用します。同じ実装のトークン作成および検証を、Web Services Security ランタイムの WSS API および WSS SPI の両方で使用できます。
現在の OASIS Web Services Security ドラフト仕様では KeyName ポリシー表明が定義されていないため、アプリケーション・サーバーでは、鍵の名前 (KeyName) エレメントがサポートされないことに注意してください。
このタスクについて
JAAS コールバック・ハンドラー (CallbackHandler) および JAAS ログイン・モジュール (LoginModule) は、ジェネレーター側でのセキュリティー・トークンの作成と、コンシューマー側でのセキュリティー・トークンの検証 (認証) を受け持ちます。
例えば ジェネレーター側では、JAAS LoginModule によってユーザー名トークンが 作成され、JAAS CallbackHandler を使用して認証データが渡されます。 JAAS LoginModule は、ユーザー名の SecurityToken オブジェクトを作成し、それを Web Services Security ランタイムに渡します。
そして、コンシューマー側で、ユーザー名トークンの XML フォーマットが検証または認証のために JAAS LoginModule に渡され、JAAS CallbackHandler を使用して、認証データが Web Services Security ランタイムから LoginModule に渡されます。トークンが認証されると、ユーザー名の SecurityToken オブジェクトが作成され、それが Web Services Security ランタイムに渡されます。
- セキュリティー・トークン (SecurityTokenImpl)
- バイナリー・セキュリティー・トークン (BinarySecurityTokenImpl)
- 派生鍵トークン
- セキュリティー・コンテキスト・トークン (SCT)
- ユーザー名トークン
- LTPA トークンの伝搬
- LTPA トークン
- X509PKCS7 トークン
- X509PKIPath トークン
- X509v3 トークン
- Kerberos v5 トークン
メッセージの認証性には、デフォルトでユーザー名トークン、X.509 トークン、 および LTPA トークンが使用されます。デフォルトでは、署名および暗号化に 派生鍵トークンと X.509 トークンが使用されます。
クライアントでは、 WSS API と WSS SPI のみがサポートされます。ジェネレーター側でセキュリティー・トークン・タイプを 指定するには、管理コンソールからポリシー・セットを構成する方法もあります。 また、コンシューマー・セキュリティー・トークンの突き合わせに WSS API またはポリシー・セットを 使用することもできます。
デフォルトのログイン・モジュールとコールバック実装は、 ペアとして、つまりジェネレーター・パーツとコンシューマー・パーツの両方で使用するように 設計されています。デフォルト実装を使用するためには、該当するジェネレーター・セキュリティー・トークンと コンシューマー・セキュリティー・トークンをペアで選択します。例えば、X.509 トークンが必要な場合は、 トークン生成プログラムで system.wss.generate.x509 を選択し、 トークン・コンシューマーで system.wss.consume.x509 を選択します。
トークン生成プログラム側のセキュリティー・トークンを構成するには、 WSS API から該当する事前構成済みのトークン生成プログラム・インターフェースを使用して、 以下のトークン構成プロセスの手順を実行します。