汎用セキュリティー・トークン・ログイン・モジュール
汎用セキュリティー・トークン・ログイン・モジュールは、Java™ 認証・承認サービス (JAAS) ログイン・モジュールです。これらのログイン・モジュールは、外部セキュリティー・トークン・サービス (STS) を 使用して、セキュリティー・トークンの発行、妥当性検査、および交換を行います。
概要
Web Services Security トークンの生成プロセスおよび
コンシューム・プロセスは、これらのログイン・モジュールを起動します。Web Services Security コンポーネント
では、以下の例のような一般的なトークン用のデフォルト・ログイン・モジュールが
用意されています。
- Username トークン
- X.509 トークン
- Kerberos トークン
- Lightweight Third Party Authentication (LTPA) トークン
- Security Assertion Markup Language (SAML) トークン
- セキュリティー・コンテキスト・トークン

以下の図は、
汎用セキュリティー・トークン・ログイン・モジュール・プロセスのフローを
示します。
- 呼び出し元の ID は、Web サービス・クライアントの実行時環境によって継承されます。
- トークン生成プログラム用の 汎用 セキュリティー・トークン・ログイン・モジュールは、 発行要求または妥当性検査要求のどちらかを使用して、WS-Trust クライアントを 使用する WS-Trust サービスにトークン要求を 送信します。
- 戻されたトークンまたは妥当性検査されたトークンは、SOAP メッセージの セキュリティー・ヘッダー内に認証トークンとして設定されます。詳しくは、 『トークン生成プログラム用の汎用セキュリティー・トークン・ログイン・モジュール』 を参照してください。
- PassTicket は、SOAP メッセージの一部としてサービス・プロバイダーに送信されます。
- トークン・コンシューマー用の 汎用 セキュリティー・トークン・ログイン・モジュールは、 WS-Trust Validate 要求内で、SOAP メッセージのセキュリティー・ヘッダー 内の受信トークンを、指定された WS-Trust サービスに送信します。
- この要求 の結果、新規トークンが作成されたり、または、送信されたトークンが正常に妥当性検査された ことが通知されたりします。
- 必要に応じて、新規トークンまたは元の妥当性検査済みトークン が、許可目的のために呼び出し元トークンとして使用されます。 詳しくは、『トークン・コンシューマー用の汎用セキュリティー・トークン・ログイン・モジュール』 を参照してください。
パスチケット は、 動的に生成され、一回限り使用される、代替パスワードです。本当のパスワードを送信する代わりに、パスチケットを サービスへの認証に使用できます。
使用法シナリオ
汎用セキュリティー・トークン・ログイン・モジュールは、
ターゲット Web サービスを起動するために、トークン交換、識別マッピング、または許可が
必要な場合に、非常に有用です。汎用セキュリティー・トークン・ログイン・モジュールのいくつかの有用な使用シナリオを、
以下のリストで説明します。
- 中間サーバーとのトークン交換
- 必要な出力セキュリティー・トークンと入力セキュリティー・トークンの タイプは異なります。
- 要求側のトークン交換
- 下流のサービスを起動する前に、要求側の識別マッピングが必要です。
- 受信側のトークン交換
- トークンが妥当性検査された後に、識別マッピングの起動が必要です。
- ターゲット・サービスを起動するための許可
- ログイン・モジュールは、入力セキュリティー・トークンおよびそのターゲット・サービス・エンドポイント・アドレスを、 WS-Trust サービスに送信します。WS-Trust サービスは、 Web サービス・レベルの許可を実行します。WS-Trust サービス は、ターゲット Web サービス起動が、認証トークン中に含まれるプリンシパルに対して 認可されるかどうかを検証します。
制限
汎用ログイン・モジュールには、以下の制限が あります。- 汎用セキュリティー・トークン・ログイン・モジュールで処理されるトークンは、認証にのみ使用できます。このトークンを、デジタル署名およびメッセージ・パーツの暗号化 のための保護トークンとして使用することはできません。
- サービス・プロバイダーが交換されるトークンを受信する場合、そのトークンは、アプリケーション・サーバー Web Service Security システムのデフォルト・ログイン・モジュールによってサポートされている必要があります。 詳しくは、 『トークン・コンシューマー用の汎用セキュリティー・トークン・ログイン・モジュール』 を参照してください。
- サービス・プロバイダーが受信するトークンが、妥当性検査されるトークンであり、交換されないトークン の場合、受け取ったそのトークンは、アプリケーション・サーバー Web Service Security システム のデフォルト・ログイン・モジュールによってサポートされている必要があります。
- RunAs Subject からのセキュリティー・トークンをアウトバウンド・セキュリティー・トークン用の妥当性検査または交換に使用する場合、 RunAs Subject 内のそのセキュリティー・トークンは、トークン ValueType 値によって一意的に識別される必要があります。RunAs Subject 内に、 同じ ValueType 値のトークンが複数ある場合、 ログイン・モジュールは、RunAs Subject とのトークン交換に WS-Trust Validate を 使用しません。代わりに、ログイン・モジュール は、WS-Trust Issue を使用して、 トラスト・クライアント用のポリシー・セットの構成に基づいたトークンを要求します。