レジストリーの相互作用のない UsernameToken 呼び出し元構成の構成
WebSphere® レジストリーにアクセスすることなく、呼び出し元構成を使用して UsernameToken を認証するために、UsernameToken コンシューマーの認証メソッドを置き換え、呼び出し側が別の JAAS ログイン構成を使用するように構成することができます。
このタスクについて
この情報は、Java API for XML Web Services (JAX-WS) にのみ適用されます。
デフォルトでは、JAX-WS Web サービス・セキュリティーの UsernameToken コンシューマーの UNTConsumeLoginModule は、常に WebSphere レジストリーに対してトークン内に含まれているユーザー名とパスワードを検証します。GenericSecurityTokenFactory が提供する SPI を使用して、この認証メソッドを独自のものに置き換えることができます。詳しくは、「スタックされた JAAS ログイン・モジュールを使用した UsernameToken コンシューマーの認証メソッドの置き換え」を参照してください。
呼び出し元構成がサービス・プロバイダーの WS-Security 制約に追加される場合、UsernameToken に含まれているユーザー名とパスワードも、WebSphere レジストリーと照らし合わせて検証されます。ユーザー名とパスワードが指定された場合は、ユーザー名とパスワードの両方が WebSphere レジストリーと照らし合わせて検証されます。ユーザー名のみが指定された場合は、ユーザー名がWebSphere レジストリー内に存在している必要があります。以下の例に示すように、これらの検証は wss.caller Java™ Authentication and Authorization Service (JAAS) 構成スタックの一部である com.ibm.ws.security.server.lm.ltpaLoginModule モジュールで発生します。
com.ibm.ws.wssecurity.impl.auth.module.PreCallerLoginModule
com.ibm.ws.wssecurity.impl.auth.module.UNTCallerLoginModule
...
com.ibm.ws.wssecurity.impl.auth.module.WSWSSLoginModule
com.ibm.ws.security.server.lm.ltpaLoginModule
com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule
WebSphere WS-Security ランタイムは、ログイン・モジュール ltpaLoginModule および wsMapDefaultInboundLoginModule が含まれていない呼び出し元の JAAS 構成の使用をサポートしていません。
WebSphere レジストリーにアクセスすることなく、呼び出し元構成で UsernameToken を使用するには、UNTConsumeLoginModule および ltpaLoginModule モジュールがレジストリーにアクセスできないようにして、代替モジュールを指定する必要があります。