Web Services Security 汎用セキュリティー・トークン・ログイン・モジュールのカスタム・プロパティー
汎用セキュリティーのトークン・ログイン・モジュールの構成時に、データの名前と値のペアを構成することができます。名前はプロパティー・キー、値はストリング値で、これらを使用することにより、内部のシステム構成プロパティーを設定できます。 管理コンソールで提供されているオプションとともに、これらの構成プロパティーを使用して、トークンがどのように生成またはコンシュームされるかを制御できます。
管理コンソールで コールバック・ハンドラーのこれらのカスタム・プロパティーを構成するには、 以下のステップを実行します。
- 「サービス」を展開します。
- 「サービス・プロバイダー」または「サービス・クライアント」を選択します。
- 「名前」列の該当アプリケーションをクリックします。
- 「バインディング」列の該当バインディングをクリックします。
事前にポリシー・セットを関連付け、バインディングを割り当てておく必要があります。
または
- 「WebSphere エンタープライズ・アプリケーション」をクリックします。 を展開して、
- Web サービスを含むアプリケーションを選択します。 このアプリケーションには、サービス・プロバイダーまたはサービス・クライアントが含まれている必要があります。
- 「Web サービス・プロパティー」見出しの下の「サービス・プロバイダーのポリシー・セットおよびバインディング」または「サービス・クライアントのポリシー・セットおよびバインディング」をクリックします。
- バインディングを選択します。 事前に、ポリシー・セットを関連付け、アプリケーション固有のバインディングを割り当てておく必要があります。
その後、次のステップを実行します。
- 「ポリシー」テーブルで「WS-Security」をクリックします。
- 「メイン・メッセージ・セキュリティー・ポリシーのバインディング」見出しで、「認証と保護」をクリックします。
- 「認証トークン」見出しの下の認証トークンの名前をクリックします。
サポートされる構成: 汎用セキュリティー・トークン・ログイン・モジュールで処理されるトークンは、認証にのみ使用できます。トークンを 保護トークンとして使用することはできません。sptcfg
- 「追加バインディング」見出しで、「コールバック・ハンドラー 」をクリックします。
- 「カスタム・プロパティー」見出しの下で、 名前と値のペアを入力します。
トークン生成プログラムおよびトークン・コンシューマーの両方のバインディングのコールバック・ハンドラーのカスタム・プロパティー
以下の表に、トークン生成プログラムとトークン・コンシューマーのバインディングの両方を構成するために使用できるコールバック・ハンドラーのカスタム・プロパティーをリストします。
名前 | 値 | 説明 |
---|---|---|
clockSkew |
このカスタム・プロパティーに、デフォルト値はありません。 |
このカスタム・プロパティーを使用して、SAMLGenerateLoginModule が作成する自己発行 SAML トークンの、時間に対する 調整を分単位で指定します。 clockSkew カスタム・プロパティーは、SAMLGenerateLoginModule クラスを使用する SAML トークン生成プログラムのコールバック・ハンドラーで設定されます。このカスタム・プロパティーに指定する値は、 数値で分単位で指定する必要があります。 このカスタム・プロパティーに値が指定されている場合、SAMLGenerateLoginModule が作成する
自己発行 SAML トークンで以下の時間調整が行われます。
|
stsURI | このカスタム・プロパティーに、デフォルト値はありません。 |
セキュリティー・トークン・サービス (STS) アドレスを指定するには、 このカスタム・プロパティーを使用します。 トークン・コンシューマーの場合は このカスタム・プロパティーが必要です。ただしトークン生成プログラムの場合、 要求されたトークンが RunAs Subject に 存在していて、その検証が必要でないときは、このカスタム・プロパティーはオプションです。 |
wstrustClientBinding | このカスタム・プロパティーに、デフォルト値はありません。 |
WS-Trust クライアントのバインディング名を指定するには、 このカスタム・プロパティーを使用します。 |
wstrustClientBindingScope | application または domain の値を 指定できます。 | WS-Trust クライアントに
使用するバインディングのタイプを指定するには、
このカスタム・プロパティーを使用します。 以下の条件が適用されます。
このカスタム・プロパティーはオプションです。 |
wstrustClientPolicy | このカスタム・プロパティーに、デフォルト値はありません。 |
WS-Trust クライアントの ポリシー・セット名を指定するには、 このカスタム・プロパティーを使用します。 |
wstrustClientSoapVersion | 1.1 または 1.2 の値を 指定できます。 |
トラスト・クライアントが SOAP メッセージの 生成に使用する SOAP メッセージ・バージョンを指定するには、 このカスタム・プロパティーを使用します。SOAP メッセージは セキュリティー・トークン・サービス (STS) に 送信されます。このカスタム・プロパティーを定義しない場合、 汎用セキュリティー・トークン・ログイン・モジュールは、 トラスト・クライアント要求に応じた SOAP メッセージを生成するときに アプリケーションの SOAP バージョンを使用します。 デフォルト値は、 アプリケーション・クライアントによって使用される SOAP バージョンに 対応します。 このカスタム・プロパティーはオプションです。 |
wstrustClientWSTNamespace | 次のいずれかの値を指定します。
|
WS-Trust 要求を出すときに 汎用セキュリティー・トークン・ログイン・モジュールが使用する トラスト・クライアント名前空間を指定するには、 このカスタム・プロパティーを使用します。 |
wstrustValidateClientBinding | デフォルトでは、このカスタム・プロパティーの 値は、wstrustClientBinding カスタム・プロパティーに 指定された値と同じです。 |
WS-Trust Validate 要求によって 使用されるバインディングを指定するには、 このカスタム・プロパティーを使用します。 このカスタム・プロパティーを 指定しない場合、WS-Trust Validate 要求は、WS-Trust Issue によって使用されるものと 同じバインディング (wstrustClientBinding カスタム・プロパティーによって 定義されているもの) を使用します。 |
wstrustValidateClientPolicy | デフォルトでは、このカスタム・プロパティーの 値は、wstrustClientPolicy カスタム・プロパティーに 指定された値と同じです。 |
WS-Trust Validate 要求で 使用するポリシー・セットを指定するには、 このカスタム・プロパティーを使用します。 このカスタム・プロパティーに 値を指定しない場合、WS-Trust Validate は、WS-Trust Issue として設定されたポリシーと 同じポリシー (必要な wstrustClientPolicy カスタム・プロパティーによって 定義されているもの) を使用します。 |
wstrustIssuer | 任意のストリング値を使用できます。 |
要求トークンの発行者を指定するには、 このカスタム・プロパティーを使用します。 このカスタム・プロパティーはオプションです。 |
wstrustValidateTargetOption | デフォルト値は、WS-Trust Base エレメント拡張です。 token または base の値を 指定できます (後者がデフォルト値です)。 |
WS-Trust クライアントが ValidateTarget または Base エレメント拡張を使用して 検証トークンを WS-Trust セキュリティー・トークン・サービスに 渡すかどうかを指定するには、このカスタム・プロパティーを使用します。 以下の条件が適用されます。
|
トークン生成プログラム・バインディング用のコールバック・ハンドラーのカスタム・プロパティー
以下の表に、トークン生成プログラムのバインディングを構成するためにのみ使用できるコールバック・ハンドラーのカスタム・プロパティーをリストします。
名前 | 値 | 説明 |
---|---|---|
passThroughToken | True または False の値を 指定できます。デフォルト値は False です。 このカスタム・プロパティーの値には、大/小文字の区別はありません。 |
このカスタム・プロパティーを使用して、アウトバウンド・トークンを STS から取得するかどうかを指示します。
デフォルトの動作では、必ず STS からこのトークンを取得します。
このプロパティーが True に設定されると、インバウンド・トークンが次の順序で取得されます。
詳しくは、com.ibm.wsspi.wssecurity.core.Constants Java API 資料にある以下の定数を参照してください。
この資料は、インフォメーション・センター・ナビゲーションの「参照」>「プログラミング・インターフェース」>「API」の下にあります。
|
useRunAsSubject | True または False の値を 指定できます。デフォルト値は True です。 このカスタム・プロパティーの値には、大/小文字の区別はありません。 |
汎用セキュリティー・トークン・ログイン・モジュールが 発信要求の場合に RunAs Subject からの トークンを使用するかどうかを指定するには、 このカスタム・プロパティーを使用します。デフォルトでは、ログイン・モジュールは、 最初に RunAs Subject の 検証済みトークンを使用します。 以下の条件が適用されます。
|
useRunAsSubjectOnly | True または False の値を 指定できます。デフォルト値は False です。 このカスタム・プロパティーの値には、大/小文字の区別はありません。 |
汎用セキュリティー・トークン・ログイン・モジュールで WS-Trust Issue を 使用不可または使用可能にするには、 このカスタム・プロパティーを使用します。このカスタム・プロパティーを true の値に設定した場合、 汎用セキュリティー・トークン・ログイン・モジュールは、RunAs Subject および WS-Trust Validate からのトークンを 使用してトークンを交換します。WS-Trust Validate が 失敗するか一致するトークンが RunAs Subject に見つからない場合であっても、 汎用セキュリティー・トークン・ログイン・モジュールは トークンの要求に WS-Trust Issue を 使用しません。 |
useToken | セキュリティー・トークンの ValueType 値の 任意のストリング値を使用できます。 |
RunAs Subject の セキュリティー・トークンを使用して アウトバウンド要求のトークンを検証および交換する場合は、 このカスタム・プロパティーを使用して、 要求されたトークンについて検証および交換する RunAs Subject の トークン ValueType 値を 指定できます。 例えば、RunAs Subject で ValueType の 値が Token_1 になっている トークンがあるとします。しかし、 必要なトークンは Token_2 の ValueType の 値です。このカスタム・プロパティーを Token_1 に 設定することができます。 このカスタム・プロパティーを定義しない場合の 検証トークンは、必要なトークンと同じ ValueType 値を 持つ RunAs Subject からの トークンです。 このカスタム・プロパティーはオプションです。 |
validateUseToken | True または False の値を 指定できます。デフォルト値は True です。 このカスタム・プロパティーの値には、大/小文字の区別はありません。 |
トークン生成プログラムが WS-Trust Validate を 使用して RunAs Subject からのトークンを 検証するかどうかを指定するには、 このカスタム・プロパティーを使用します。 デフォルトでは、 汎用セキュリティー・トークン・ログイン・モジュールは、RunAs Subject からの トークンをセキュリティー・トークン・サービス (STS) に照らして検証した後に、 サービス・プロバイダー宛の SOAP メッセージでトークンを 送信します。 このカスタム・プロパティーの値を false に設定した場合は、 汎用セキュリティー・トークン・ログイン・モジュールが RunAs Subject からの 一致するトークンを検出しても、一致するトークンを検証するために ログイン・モジュールが WS-Trust Validate を 呼び出すことはありません。代わりに、 検証せずにその一致するトークンをダウンストリームのサービス・プロバイダーに 送信します。 |
wstrustIncludeTokenType | True または False の値を 指定できます。デフォルト値は True です。 このカスタム・プロパティーの値には、大/小文字の区別はありません。 |
WS-Trust RequestedSecurityToken トークンに 要求されたトークンの ValueType 値を含めるかどうかを指定するには、 このカスタム・プロパティーを使用します。 このカスタム・プロパティーを指定しない場合、 汎用セキュリティー・トークン・ログイン・モジュールは、 要求されたトークン・タイプを WS-Trust RequestedSecurityToken トークンに 含めます。 このカスタム・プロパティーはオプションです。 |
トークン・コンシューマー・バインディング用のコールバック・ハンドラーのカスタム・プロパティー
以下の表に、トークン・コンシューマーのバインディングを構成するためにのみ使用できるコールバック・ハンドラーのカスタム・プロパティーをリストします。
名前 | 値 | 説明 |
---|---|---|
alwaysGeneric | True または False の値を 指定できます。デフォルト値は False です。 このカスタム・プロパティーの値には、大/小文字の区別はありません。 |
このカスタム・プロパティーを使用して、ログイン・モジュールが GenericSecurityToken を作成するかどうかを指定します。 passThroughToken とこのプロパティーが両方とも True に設定されると、ログイン・モジュールは、当該トークン用に構成された valueType に対応する組み込みトークン・タイプではなく、GenericSecurityToken を常に作成します。 |
exchangedTokenType | このカスタム・プロパティーに有効な値は、 システム・デフォルトのログイン・モジュールによってサポートされるトークンの ストリングの ValueType 値です。 |
ValueType 値 (正常に検証された後に トラスト・サービスが返す必要がある値) が定義された新しいトークンを指定するには、 このカスタム・プロパティーを使用します。 このカスタム・プロパティーに値を指定しない場合、 汎用セキュリティー・トークン・ログイン・モジュールは、トラスト・サービスが返す いずれのトークンも受け入れます。 このカスタム・プロパティーはオプションです。 |
passThroughToken | True または False の値を 指定できます。デフォルト値は False です。 このカスタム・プロパティーの値には、大/小文字の区別はありません。 |
このカスタム・プロパティーを使用して、インバウンド・トークンを STS に送るかどうかを指定します。 デフォルトの動作では、検証、交換、またはその両方のためにインバウンド・トークンを必ず STS に送ります。 このプロパティーが True に設定されると、インバウンド・トークンは STS に送られず、コンシューマーをパススルーします。 このプロパティーが True に設定され、組み込みトークンが使用されると、そのトークンは解析され、呼び出し元構成 JAAS ログイン・モジュールによる後の処理に備えて WS-Security コンテキストで使用可能になります。 |