トークン・コンシューマー構成の設定
このページを使用して、トークン・コンシューマーのための情報を指定します。 この情報は、コンシューマー側でセキュリティー・トークンを処理するためにのみ使用されます。
- をクリックします。
- 「JAX-RPC デフォルト・コンシューマー・バインディング (JAX-RPC Default Consumer Bindings)」の下で、新規」をクリックして新規トークン・コンシューマーを作成します。 とクリックするか、 「
- とクリックします。
- 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv
- 「JAX-RPC デフォルト・コンシューマー・バインディング (JAX-RPC Default Consumer Bindings)」の下で、新規」をクリックして新規トークン・コンシューマーを作成します。 とクリックするか、 「
- とクリックします。
- とクリックします。
- 「Web Services Security プロパティー」において、
以下のバインディングの署名情報にアクセスすることができます。
- 応答生成プログラム (送信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「応答ジェネレーター (送信側) バインディング」の下の「カスタムの編集」をクリックします。 「必須プロパティー」の下の「トークン・コンシューマー」をクリックします。
- 応答コンシューマー (受信側) バインディングについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。 「応答コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。 「必須プロパティー」の下の「トークン・コンシューマー」をクリックします。
- 「新規」をクリックして新規構成を指定するか、既存の構成の名前をクリックして、その設定を変更します。
追加プロパティーを指定する前に、「トークン・コンシューマー名」、「トークン・コンシューマー・クラス名」および「Value type local name」フィールドに値を指定します。
トークン・コンシューマー名
トークン・コンシューマー構成の名前を指定します。
例えば、デフォルトの X509 トークン・コンシューマー名は、暗号化の場合は con_enctcon、 署名の場合は con_signtcon とすることができます。また、カスタムの トークン・コンシューマー名は署名の場合は sig_tcon とすることができます。
トークン・コンシューマー・クラス名
トークン・コンシューマーの実装クラスの名前を指定します。
このクラスは、com.ibm.wsspi.wssecurity.token.TokenConsumerComponent インターフェースを実装する必要があります。
トークン・コンシューマー・クラス名
トークン・コンシューマーの実装クラスの名前を指定します。
Java™ Authentication and Authorization Service (JAAS) ログイン・モジュールの実装を使用して、 コンシューマー側でセキュリティー・トークンを検証 (認証) します。
パーツ参照
デプロイメント記述子で定義されるセキュリティー・トークンの名前の参照を指定します。
アプリケーション・レベルで、デプロイメント記述子にセキュリティー・トークンが指定されていない場合、 「パーツ参照」フィールドは表示されません。
証明書パス
トラスト・アンカーおよび証明書ストアを指定します。
- なし
- このオプションを選択した場合、証明書パスは指定されません。
- すべてを信頼
- このオプションを選択した場合は、すべての証明書が信頼されます。 受け取ったトークンが組み込まれるとき、証明書パスの妥当性検査は行われません。
- 専用署名情報
- このオプションを選択した場合は、トラスト・アンカーおよび証明書ストアを指定することができます。 トラステッド証明書のトラスト・アンカーまたは証明書ストアを選択した場合、 証明書パスを設定する前にコレクション証明書ストアを構成する必要があります。
トラスト・アンカー
バインディング名 | サーバー・レベル、 セル・レベル、またはアプリケーション・レベル | パス |
---|---|---|
デフォルトのコンシューマー・バインディング | セル・レベル |
|
デフォルトのコンシューマー・バインディング | サーバー・レベル |
|
証明書ストア
バインディング名 | サーバー・レベル、 セル・レベル、またはアプリケーション・レベル | パス |
---|---|---|
デフォルトのコンシューマー・バインディング | セル・レベル |
|
デフォルトのコンシューマー・バインディング | サーバー・レベル |
|
トラステッド ID エバリュエーター参照
「トラステッド ID エバリュエーター」パネルで定義されるトラステッド ID エバリュエーター・クラス名の参照を指定します。 トラステッド ID エバリュエーターは、受け取った ID が信頼できるかどうかを判別するために使用されます。
- なし
- このオプションを選択した場合、トラステッド ID エバリュエーターは指定されません。
- 既存のエバリュエーター定義
- このオプションを選択した場合は、構成済みトラステッド
ID エバリュエーターの 1 つを選択することができます。
以下のレベルで、以下のバインディングの証明書パス構成を指定することができます。
表 3. トラステッド ID エバリュエーター・バインディングの設定. トラステッド ID エバリュエーターは、 受け取った ID が信頼できるかどうかを判定するために使用されます。 バインディング名 サーバー・レベル、 セル・レベル、またはアプリケーション・レベル パス デフォルトのコンシューマー・バインディング セル・レベル - をクリックします。
- 「追加プロパティー」の下の「トラステッド ID エバリュエーター」をクリックします。
デフォルトのコンシューマー・バインディング サーバー・レベル - とクリックします。
- 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv
- 「追加プロパティー」の下の「トラステッド ID エバリュエーター」をクリックします。
- バインディング・エバリュエーター定義
- このオプションを選択した場合は、新規トラステッド ID エバリュエーターおよびそのクラス名を指定することができます。
「trusted ID evaluator reference」を選択した場合、トークン・コンシューマーを設定する前に トラステッド ID エバリュエーターを構成する必要があります。
「トラステッド ID エバリュエーター」フィールドは、デフォルトのバインディング構成、 およびアプリケーション・サーバーのバインディング構成で表示されます。
nonce の検査
ユーザー名トークンの nonce を検査するかどうかを指定します。
このオプションは、セル、サーバー、およびアプリケーションの各レベルで表示されます。 このオプションは、取り込まれるトークンのタイプがユーザー名トークンである場合のみ有効です。
タイム・スタンプの検査
ユーザー名トークンのタイム・スタンプを検査するかどうかを指定します。
このオプションは、セル、サーバー、およびアプリケーションの各レベルで表示されます。 このオプションは、取り込まれるトークンのタイプがユーザー名トークンである場合のみ有効です。
値タイプ・ローカル名
消費されるトークンの値タイプのローカル名を指定します。
- ユーザー名トークン
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
- X509 証明書トークン
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- PKIPath 内の # X509 証明書
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- PKCS#7 内の X509 証明書および CRL のリスト
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
- Lightweight Third Party Authentication (LTPA)
- LTPA_PROPAGATION
カスタム・トークンのカスタム値のタイプを指定する場合は、 その値タイプの品質名 (QName) のローカル名と URI を指定できます。例えば、 ローカル名に Custom、URI に http://www.ibm.com/custom を指定することが可能です。
値タイプ URI
組み込まれたトークンの値タイプの名前空間 URI を指定します。
ユーザー名トークンまたは X.509 証明書セキュリティー・トークンのトークン・コンシューマーを指定する場合、 このオプションを指定する必要はありません。 別のトークンを指定する場合は、値タイプに QName の URI を指定します。
- LTPA トークンの場合: http://www.ibm.com/websphere/appserver/tokentype/5.0.2
- LTPA トークン伝搬の場合: http://www.ibm.com/websphere/appserver/tokentype