SAML 用のデフォルト・ポリシー・セットおよびサンプル・バインディング

SAML 機能がインストールされると、SAML 特有のデフォルト・ポリシー・セットおよび 汎用バインディングが提供されます。これらのポリシー・セットおよびサンプル汎用バインディングは、外部セキュリティー・トークン・サービス (STS) から SAML トークンを要求するため、および、SAML トークンをダウンストリームの Web サービスに伝搬するために使用されます。

SAML デフォルト・ポリシー・セット

SAML 対応の WebSphere® Application Server では、 8 個のデフォルト・ポリシー・セットと、いくつかのサンプル汎用 バインディングが提供されています。これらは、OASIS Web Services Security SAML Token Profile 1.1 標準を サポートします。SAML デフォルト・ポリシー・セットを使用するには、前もって インポートする必要があります。これらの SAML ポリシー・セットおよびサンプル・バインディングを Web サービスに関連付けることができ、追加のコーディングを必要とせずに SAML 機能の使用を始めることができます。ただし、使用を始める前に、サンプル・バインディング文書 中でいくつかの構成パラメーターを設定する 必要があります。それらのパラメーターには、外部 STS URL、および SAML トークン 発行者 X.509 証明書があります。詳細については、 『SAML bearer トークン用のクライアントおよびプロバイダーのバインディングの構成』、 および『SAML holder-of-key (HoK) 対称鍵トークン用のクライアントおよびプロバイダーのバインディングの構成』 を参照してください。

SAML 機能のインストール済み環境には、トラスト要求を外部 STS に 送信する Username WSHTTPS default アプリケーション・ポリシー・セットが組み込まれて います。セキュリティー・トークン・サービス (STS) は、特別な目的の Web サービスです。WebSphere Application Server の 任意のデフォルト・ポリシー・セットを使用して、STS と通信できます。ただし、 Username WSHTTPS default ポリシー・セットは、SOAP メッセージに入れて Username トークンを 送信し、このメッセージを Secure Sockets Layer (SSL) を使用して保護します。このポリシー・セット を使用するには、ユーザー名およびパスワードをバインディング文書内に 構成する必要があります。詳しい手順説明については、 『STS との通信のためのポリシー・セットおよびバインディングの構成』を参照してください。

4 個の SAML 1.1 デフォルト・ポリシー・セットおよび 4 個の SAML 2.0 ポリシー・セット が、SAML 機能のインストールの一部として提供されます。『SAML 構成のセットアップ』トピック で説明されているように、これらのポリシー・セットを使用するには、その前に、 これらを既存プロファイルに追加するか、または、WebSphere Application Server をインストール した後で新規プロファイルを作成する必要があります。以下の SAML ポリシー・セットがあります。
  • SAML11 Bearer WSHTTPS のデフォルト: bearer 確認方式を使用する SAML トークンを SOAP メッセージで送信し、 SSL を使用して SOAP メッセージを保護します
  • SAML11 Bearer WSSecurity のデフォルト: bearer 確認方式を使用する SAML トークンを SOAP メッセージで送信し、 X.509 署名および暗号化を使用して SOAP メッセージを 保護します
  • SAML11 HoK Public WSSecurity のデフォルト: SAML トークン内の X.509 証明書と Holder-of-Key 確認方式を使用する SAML トークン を送信し、SAML トークン内のクライアント証明書および受信者の X.509 証明書を使用して SOAP メッセージを保護 します。
  • SAML11 HoK Symmetric WSSecurity のデフォルト: 受信者の公開鍵で暗号化された 共有鍵と Holder-of-Key 確認方式を使用する SAML トークンを送信し、 署名および暗号化の共有鍵を使用して SOAP メッセージを 保護します
  • SAML20 Bearer WSHTTPS default
  • SAML20 Bearer WSSecurity default
  • SAML20 HoK Public WSSecurity default
  • SAML20 HoK Symmetric WSSecurity default
上記の一連の SAML 1.1 ポリシー・セットと SAML 2.0 ポリシー・セットとの 相違点は、SAML トークン名前空間のみです。

SAML サンプル・バインディング

SAML bearer トークンをサポートするためと、 対称鍵を使用する SAML Holder-of-Key トークンをサポートするために、2 組のサンプル・バインディングが提供されています。
  • Saml Bearer Client sample
  • Saml Bearer Provider sample
  • Saml HoK Symmetric Client sample
  • Saml HoK Symmetric Provider sample

Saml Bearer Client sample および Saml Bearer Provider sample を、任意の SAML bearer トークン・デフォルト・ポリシー・セット と共に使用できます。Saml HoK Symmetric Client sample および Saml HoK Symmetric Provider sample を、SAML HoK 対称鍵デフォルト・ポリシー・セットのうちの 1 つ、 つまり、SAML11 HoK Symmetric WSSecurity default または SAML20 HoK Symmetric WSSecurity default の どちらかと一緒に使用できます。

トラスト・クライアント・バインディング

SAML 対応の WebSphere Application Server は、トラスト・クライアント・ポリシー・セットに対して、アプリケーション固有 バインディングと汎用バインディングの両方をサポートします。さらに、アプリケーションがサーバー環境で実行している場合、 デフォルト・バインディングがサポートされます。 デフォルト・バインディングは、シン・クライアント環境ではサポートされません。

アプリケーション固有バインディングは、ポリシー・セットの関連付けポイントでのみ作成できます。 これらのバインディングは、ポリシーの特性に固有であり、その特性によって定義されます。 アプリケーション固有バインディングは、複数シグニチャーなどの拡張ポリシー要件に対応する構成を 提供できます。ただし、これらのバインディングは、同じアプリケーション内でのみ 再使用可能です。さらに、ポリシー・セット間でのアプリケーション固有バインディングの再使用は限定的なものです。ポリシー・セット 用にアプリケーション固有バインディングを作成すると、そのバインディングは未構成の状態で始まります。デフォルト・バインディングをオーバーライドする WS-Security または HTTP トランスポートなどの各ポリシーを追加し、 追加した各ポリシーのバインディングを完全に構成する必要があります。 SAML 用のトラスト・クライアント・バインディングの構成について 詳しくは、『STS との通信のためのポリシー・セットおよびバインディングの構成』を 参照してください。

汎用バインディングは、一定範囲のポリシー・セットで使用できるように 構成することができ、複数のアプリケーション間で再使用したり、トラスト・サービス関連付けポイントに 再使用することができます。汎用バインディングは再使用可能度が非常に高いのですが、複数のシグニチャーなどの拡張ポリシー要件を構成することはできません。汎用バインディングには、汎用プロバイダー・ポリシー・セット・バインディングと汎用クライアント・ポリシー・セット・バインディングの 2 つのタイプがあります。

トラスト・クライアント・バインディングに対して wstrustClientBindingScope プロパティー を指定しない場合、システムは、まずアプリケーション内で、指定されたバインディング名のアプリケーション固有バインディングを 探します。バインディングが見つかったら、そのバインディングがトラスト・クライアント要求 に使用されます。アプリケーション固有バインディングが見つからない場合、 システムは、使用可能な汎用バインディングから指定された名前のバインディングを 探します。汎用バインディングが見つかったら、そのバインディングがトラスト・クライアント要求 に使用されます。指定した名前のバインディングが見つからない 場合、サーバー環境からのデフォルト・バインディングが 使用されます。デフォルト・バインディングは、アプリケーションがサーバー環境で 実行している場合のみ使用されます。アプリケーションがシン・クライアント環境で 実行していて、wstrustClientBindingScope プロパティー の指定がなく、さらに、アプリケーション固有バインディングまたは汎用バインディングが 見つからない場合、シン・クライアントにはデフォルト・バインディングはサポートされていないため、 バインディングは使用されません。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_samldefaultpsbindings
ファイル名:cwbs_samldefaultpsbindings.html