認証ジェネレーターまたはコンシューマーのトークン設定
認証トークンは、ID の証明または表明に使用されます。 汎用バインディングを編集しているときに、管理コンソールを使用して、 メッセージ・パーツに対して認証トークン設定を追加します。
認証トークンを構成するには、以下のステップを完了します。
- グローバル・セキュリティーのデフォルト・ポリシー・セット・バインディングとして設定されている汎用バインディングを表示して選択するには、 とクリックします。指定されたバインディングは、 関連付けポイント、サーバー、またはセキュリティー・ドメインでオーバーライドされない限り使用されます。
- 汎用バインディングへのアクセスと構成、およびメッセージ・パーツの認証トークン設定の追加を行うには、 とクリックします。
- 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
- 「メイン・メッセージ・セキュリティー・ポリシー・バインディング (Main message security policy bindings)」セクションで、「認証と保護 (Authentication and protection)」リンクをクリックします。
- 「新規トークン (New token)」をクリックして 新規のトークン生成プログラムまたはコンシューマーを作成するか、 「認証トークン (Authentication tokens)」テーブルから既存のコンシューマーまたは生成プログラムのトークン・リンクをクリックします。
- とクリックします。
- Web サービスを含むアプリケーションを選択します。このアプリケーションには、サービス・プロバイダーまたはサービス・クライアントが含まれている必要があります。
- 「Web サービス・プロパティー」セクションで、「サービス・プロバイダーのポリシー・セットおよびバインディング 」リンク、または「サービス・クライアントのポリシー・セットおよびバインディング」リンクをクリックします。
- バインディングを選択します。 事前に、ポリシー・セットを添付し、アプリケーション固有のバインディングを割り当てておく必要があります。
- 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
- 「メイン・メッセージ・セキュリティー・ポリシー・バインディング」セクションで、「認証と保護」リンクをクリックします。
- 「保護トークン (Protection tokens)」テーブルから、 コンシューマーまたはジェネレーターのトークン・リンクをクリックします。
この管理コンソール・ページは、Java™ API for XML Web Services (JAX-WS) アプリケーションにのみ適用されます。
名前
構成するトークンの名前を指定します。アプリケーション固有のバインディングを 使用する場合、このフィールドは表示されません。
トークン・タイプ
構成するトークンのタイプを指定します。
アプリケーション固有のバインディングを使用している場合、 トークン・タイプはポリシー・ファイルから取得され、読み取り専用となります。 汎用バインディングを使用している場合、トークン・タイプを リストから選択します。以下のトークン・タイプが使用できます。
- X509V3 トークン V1.1
- X509V3 トークン V1.0
- ユーザー名トークン V1.1
- ユーザー名トークン V1.0
- X509PKCS7 トークン V1.1
- X509PKCS7 トークン V1.0
- X509PkiPathV1 トークン V1.1
- X509PkiPathV1 トークン V1.0
- LTPA 伝搬トークン
- X509V1 トークン V1.1
- LTPA トークン
- LTPA トークン V2.0
- カスタム・トークン
トークン生成プログラムのトークン・タイプに LTPA トークンを 選択する場合、シングル・サインオン・インターオペラビリティー・モードを使用可能にしなければなりません。 これは、Web セキュリティーおよび SIP セキュリティーのグローバル・セキュリティーにある 設定です。インターオペラビリティー・フラグが使用可能 (true) に設定されていないと、 これらのバインディングに関連付けられるアプリケーションの開始時に エラーが発生します。インターオペラビリティー・フラグの状態を検査せずに LTPA トークンを 使用する必要がある場合、トークン生成プログラムにカスタム・プロパティー com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 を設定できます。トピック『LTPA トークンのシングル・サインオン・インターオペラビリティー・モードを使用可能または使用不可にする』で 説明しているように、このプロパティーは管理コンソールを使用して設定します。Web Services Security API を使用して このプロパティーを設定することはできません。
ローカル名
認証トークンの生成プログラムまたはコンシューマーのローカル名を指定します。 「ローカル名」フィールドには、表示されるトークン・タイプに応じてデータが取り込まれます。 このフィールドでは、カスタム・トークン・タイプだけを編集することができます。
URI
認証トークンの生成プログラムまたはコンシューマーの URI を指定します。「URI」フィールドには、表示されるトークン・タイプに応じてデータが取り込まれます。 このフィールドでは、カスタム・トークン・タイプだけを編集することができます。
カスタム・トークン・タイプを使用して、Kerberos トークン・プロファイル v1.1 向け OASIS Web Services Security 仕様で定義されているように Kerberos トークンを 生成する場合、このフィールドは空白にします。
セキュリティー・トークン参照
セキュリティー・トークン参照を指定します。 「セキュリティー・トークン参照」フィールドが表示されるのは、 アプリケーション固有のバインディングの認証トークンの場合だけです。 このフィールドは、デフォルト・バインディングでは使用できません。
JAAS ログイン
バインディングの有効範囲となるドメインに有効な、Java Authentication and Authorization Service (JAAS) でのアプリケーション・ログインおよびシステム・ログインのリストを指定します。
アプリケーションがグローバル・セキュリティーを有効範囲とする場合、 または自身の JAAS ログインをカスタマイズしないドメインを有効範囲とする場合、 メニュー・リストにグローバル・ログインのリストが表示されます。グローバル JAAS アプリケーション・ログイン・コレクションに アクセスするには、「新規アプリケーションのログイン」をクリックします。JAAS ログイン・メニューのリストと 「新規アプリケーションのログイン」ボタンの動作は、関連付けに 伴ってバインディングが作成されているかどうかによって異なります。セキュリティー・ドメインを変更するときには注意が必要です。JAAS ログインなど、既に参照されたセキュリティー構成は、別のセキュリティー・ドメインでアクセスできない場合があるためです
カスタム・プロパティー – 名前
カスタム・プロパティーの名前を指定します。
カスタム・プロパティーは、最初のうちはこの列で表示されません。 以下のボタンのいずれかをクリックすると、説明にあるアクションが使用可能になります。
ボタン | 結果のアクション |
---|---|
新規 | 新規のカスタム・プロパティー・エントリーを作成します。 カスタム・プロパティーを追加するには、その名前と値を入力してください。 |
編集 | 選択したカスタム・プロパティーを編集することができます。 このボタンをクリックすると、入力フィールドが表示され、編集するセル値のリストが作成されます。 「編集」ボタンは、カスタム・プロパティーが 1 つ以上追加されるまで使用できません。 |
削除 | 選択したカスタム・プロパティーを削除します。 |
カスタム・プロパティー - 値
使用するカスタム・プロパティーの値を指定します。「値」フィールドを使用して、カスタム・プロパティーの値を入力、編集、または削除します。
カスタム・トークン・タイプを使用して、Kerberos トークンを生成する場合、次のカスタム・プロパティーを 指定します。
カスタム・プロパティー名 | 値 |
---|---|
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName | ターゲット・サービスの名前を指定します。
このプロパティーは必須です。 |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost | ターゲット・サービスと関連付けられているホスト名を次の形式で指定します: myhost.mycompany.com このプロパティーは必須です。 |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm | ターゲット・サービスと関連付けられているレルムの名前を指定します。 このプロパティーは、単一の Kerberos レルム用のオプションです。targetServiceRealm プロパティーが指定されていない場合、 |
com.ibm.wsspi.wssecurity.krbtoken.clientRealm | クライアントに関連付けられる Kerberos レルムの名前を指定します。
このプロパティーは、単一の Kerberos レルム環境用のオプションです。 |
com.ibm.wsspi.wssecurity.krbtoken.loginPrompt | 値が True の場合、Kerberos ログインは使用可能です。
デフォルト値は False です。 このプロパティーは必須です。 |
トークン生成プログラムの場合、ターゲット・サービス名と ターゲット・ホスト名の組み合わせでサービス・プリンシパル名 (SPN) が構成され、これが ターゲット Kerberos サービス・プリンシパル名を表します。Kerberos クライアントは、SPN の初期 Kerberos AP_REQ トークンを要求します。
Web サービスの要求メッセージごとに Kerberos V5 AP_REQ トークンをアプリケーションで生成またはコンシュームする場合、 アプリケーションのトークン生成プログラム・バインディングおよびトークン・コンシューマー・バインディングで com.ibm.wsspi.wssecurity.kerberos.attach.apreq カスタム・プロパティーに true を設定します。 詳しくは、Web Services Security のトラブルシューティングのヒントのトピックを参照してください。
コールバック・ハンドラー
コールバック・ハンドラーを構成できる「コールバック・ハンドラー」ページにリンクします。 コールバック・ハンドラーの設定によって、メッセージ・ヘッダーからセキュリティー・トークンを取得する方法が決まります。
デフォルト・バインディングを使用しているユーザー名トークンまたは LTPA トークンを扱う場合、ユーザー名とパスワードがサンプルとして提供されていることがあります。 これらのトークン・タイプの値は、更新する必要があります。