ログイン・マッピング構成の設定
このページを使用して、着信メッセージ内のセキュリティー・トークンの検証に 使用する Java™ Authentication and Authorization Service (JAAS) ログイン構成の設定を指定します。
- をクリックします。
- 「追加プロパティー」の下の「Login mappings」をクリックします。
- 「新規」をクリックして新規ログイン・マッピング構成を作成するか、既存の構成の名前をクリックします。
- とクリックします。
- 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv
- 「追加プロパティー」の下の「Login mappings」をクリックします。
- 「新規」をクリックして新規ログイン・マッピング構成を作成するか、既存の構成の名前をクリックします。
- とクリックします。
- 「モジュール」の下で、 とクリックします。
- 「Web Services Security プロパティー」の下の「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。
- 「要求受信側のバインディング」の下の「編集」をクリックします。
- 「Login mappings」をクリックします。
- 「新規」をクリックして新規ログイン・マッピング構成を作成するか、既存の構成の名前をクリックします。
認証方式
認証方式を指定します。
- BasicAuth
- ユーザー名およびパスワードの両方を使用します。
- IDAssertion
- ユーザー名のみを使用しますが、受信側のサーバーで、TrustedIDEvaluator メカニズムを使用して追加のトラストが確立されることが必要です。
- Signature
- 署名者の識別名 (DN) を使用します。
- LTPA
- トークンを検証します。
JAAS 構成名
Java Authentication and Authorization Service (JAAS) の構成の名前を指定します。
- system.wssecurity.IDAssertion
- バージョン 6.x アプリケーションが ID アサーションを使用して、 ユーザー名を WebSphere Application Server クレデンシャル・プリンシパルにマップできるようにします。
- system.wssecurity.Signature
- バージョン 6.x アプリケーションが署名済み証明書内の識別名 (DN) を WebSphere Application Server 資格情報プリンシパルにマップできるようにします。
- system.LTPA_WEB
- サーブレット、JavaServer Pages (JSP) ファイルなどの Web コンテナーによって使用されるログイン要求を処理します。
- system.WEB_INBOUND
- サーブレットおよび JavaServer Pages を含む Web アプリケーション要求のログインを処理します。
- system.RMI_INBOUND
- インバウンド・リモート・メソッド呼び出し (RMI) 要求のログインを処理します。
- system.DEFAULT
- 内部認証、および Web アプリケーションおよび RMI 要求を除く他のほとんどのプロトコルによって作成されるインバウンド要求のログインを処理します。
- system.RMI_OUTBOUND
- com.ibm.CSIOutboundPropagationEnabled プロパティー が true である場合に、 別のサーバーにアウトバウンド送信される RMI 要求を処理します。 このプロパティーは、「CSIv2 authentication」パネルで設定されます。このパネルにアクセスするには、CSIv2 アウトバウンド認証」をクリックします。com.ibm.CSIOutboundPropagationEnabled プロパティーを設定するには、「セキュリティー属性の伝搬」を選択します。 とクリックします。 「RMI/IIOP セキュリティー」を展開してから、「
- system.wssecurity.X509BST
- 証明書および証明書パスの妥当性を検査することによって、X.509 バイナリー・セキュリティー・トークン (BST) を検査します。
- system.wssecurity.PKCS7
- PKCS7 オブジェクトの証明書失効リストで、X.509 証明書を検査します。
- system.wssecurity.PkiPath
- Public Key Infrastructure (PKI) パスで X.509 証明書を検査します。
- system.wssecurity.UsernameToken
- 基本認証 (ユーザー名およびパスワード) を検査します。
- とクリックします。
- 「Java Authentication and Authorization Service」を展開してから、「システム・ログイン」をクリックします。
- ClientContainer
- クライアント・コンテナー・アプリケーションが使用するログイン構成を指定します。 この構成は、クライアント・コンテナーのデプロイメント記述子に定義された CallbackHandler API を使用します。
- WSLogin
- すべてのアプリケーションが、 WebSphere Application Server セキュリティー・ランタイムの認証を実行するために、WSLogin 構成を使用できるかどうかを指定します。
- DefaultPrincipalMapping
- ユーザーを「J2C 認証データ・エントリー」に定義されたプリンシパルにマップするために Java 2 コネクター (J2C) が使用するログイン構成を指定します。
- とクリックします。
- 「Java Authentication and Authorization Service」を展開し、 「アプリケーション・ログイン」をクリックします。
これらの事前定義システムまたはアプリケーション・ログイン構成は除去しないでください。 これらの構成内では、モジュール・クラス名の追加、 および WebSphere Application Server が各モジュールをロードする順序の指定を行うことができます。
コールバック・ハンドラー・ファクトリーのクラス名
CallbackHandler クラスのファクトリー名を指定します。
このフィールドでは、com.ibm.wsspi.wssecurity.auth.callback.CallbackHandlerFactory クラス を実装する必要があります。
トークン・タイプ URI
受け入れたセキュリティー・トークンのタイプを表す、名前空間 Uniform Resource Identifiers (URI) を指定します。
バイナリー・セキュリティー・トークンが受け入れられた場合は、その値はエレメント内の ValueType 属性を表します。 ValueType エレメントは、セキュリティー・トークンのタイプとその名前空間を識別します。 Extensible Markup Language (XML) トークンが受け入れられた場合は、 その値は XML トークンの最上位のエレメント名を表します。
予約語が既に「認証方式」フィールドで指定されている場合は、このフィールドは無視されます。
通知 | 値 |
---|---|
データ型: | Unicode 文字。ただし、番号記号 (#)、パーセント記号 (%)、および大括弧 ([ ]) 以外の非 ASCII 文字は除きます。 |
トークン・タイプのローカル名
セキュリティー・トークンのタイプのローカル名 (例えば、X509v3) を指定します。
バイナリー・セキュリティー・トークンが受け入れられた場合は、その値はエレメント内の ValueType 属性を表します。 ValueType 属性は、セキュリティー・トークンのタイプとその名前空間を識別します。 Extensible Markup Language (XML) トークンが受け入れられた場合は、 その値は XML トークンの最上位のエレメント名を表します。
予約語が既に「認証方式」フィールドで指定されている場合は、このフィールドは無視されます。
Nonce 最大存続期間
nonce タイム・スタンプの有効期限が切れるまでの時間 (秒) を指定します。 nonce はランダムに生成される値です。
「Nonce 最大経過時間」フィールドには、少なくとも 300 秒を指定する必要があります。 ただし、セル・レベルまたはサーバー・レベルの「Nonce キャッシュ・タイムアウト」フィールドで指定されている秒数を超える値を最大値として指定することはできません。
- をクリックします。
- とクリックします。
- 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv
BasicAuth メソッドを指定し、「Nonce 最大経過時間」フィールドには 値を指定しない場合は、Web Services Security ランタイムがサーバー・レベルの「Nonce 最大経過時間」値を検索します。サーバー・レベルで値が検出されなければ、ランタイムはセル・レベルを検索します。 サーバー・レベルまたはセル・レベルのいずれでも値が検出されなければ、デフォルトで 300 秒になります。
通知 | 値 |
---|---|
デフォルト | 300 秒 |
範囲 | 300 から「Nonce キャッシュ・タイムアウト」に指定した値 (秒) |
Nonce クロック・スキュー
WebSphere Application Server がメッセージの最新度をチェックする際に検討する クロック・スキュー値 (秒) を指定します。nonce はランダムに生成される値です。
- をクリックします。
- とクリックします。
- 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv
「Nonce クロック・スキュー」フィールドには、少なくともゼロ (0) 秒を指定する必要があります。 ただし、最大値は、この「ログイン・マッピング」パネルの「Nonce 最大経過時間」フィールドに指定した秒数を超えてはなりません。
通知 | 値 |
---|---|
デフォルト | 0 秒 |
範囲 | 0 から「Nonce 最大経過時間」に指定した値 (秒) |