SAML トークンの伝搬
さまざまな SAML トークン伝搬方式を使用して、アウトバウンド Web サービス・メッセージ内に SAML トークンを組み込むことができます。
このタスクについて
Web サービス・クライアントは、以下の 2 つのタイプのトークンをアウトバウンド Web サービス・メッセージに組み込むことができます。
- インバウンド Web サービス・メッセージからクライアントが受信した、元の SAML トークン。
- 自己発行した新規 SAML トークン。
4 種類の伝搬方式 が使用可能です。次の表に、伝搬方式および関連するバインディング・オプションの 要約を示します。
SAML トークン伝搬方式 | バインディング・オプション | 実装の詳細 |
---|---|---|
元の SAML トークンを伝搬する。 | tokenRequest バインディング・オプションは 値 propagation に設定されます。 | 元の SAML トークンが、トークンを受け取ったサーバーから 他のサーバーへ WS-Security を使用して送信されます。 |
ユーザー・セキュリティー名、固有のセキュリティー名、グループ ID、およびセキュリティー・レルム名を伝搬する。 | tokenRequest バインディング・オプションは 値 issueByWSCredential に設定されます。 | デフォルトのシステム実装に優先します。 自己発行 SAML トークンには、ユーザー・セキュリティー・コンテキストで WSCredential オブジェクトによって指定されたユーザー・セキュリティー名、ユーザー固有のセキュリティー名、グループ ID、およびセキュリティー・レルム名が含まれます。 |
SAML トークン ID および属性を伝搬する。 | バインディング・オプションは設定されません。 | デフォルトのシステム実装です。 サーバーは、 元の SAML 属性、 認証方式、および NameIdentifier または SAML NameID を含んでいる 新規 SAML トークンを自己生成し、生成したその新規 SAML トークンを WS-Security を使用してダウンストリーム・サーバーに送信します。 新規 SAML トークンの発行者名、発行者署名証明書、および存続期間 は、SAML プロバイダー構成プロパティーによって決まります。 |
WSPrincipal を伝搬する。 | tokenRequest バインディング・オプションは
値 issueByWSPrincipal に設定されます。![]() |
デフォルトのシステム実装に優先します。 自己発行 された SAML トークンでは、RunAs サブジェクト内に WSPrincipal 情報が 含まれます。この情報は NameIdentity または NameID として保管され、元の SAML トークンがサブジェクト中に存在する場合でも、元のトークンからは 何もコピーされません。 |
既存の SAML トークンをプログラマチックに伝搬する。 | 伝搬したい SAML トークンを、 プロパティー com.ibm.wsspi.wssecurity.core.token.config.WSSConstants.SAMLTOKEN_IN_MESSAGECONTEXT を使用して、RequestContext に挿入します。 | 他の既存のすべてのバインディング・オプションに優先します。 |