ID アサーション認証を処理するためのサーバーの構成

ID アサーションの目的は、Web サービスからダウンストリーム Web サービスへの発信元クライアントの認証 ID を表明することです。サーバーの ID アサーション認証を構成できます。ピュア・クライアントからの ID アサーションを構成しないようにしてください。

このタスクについて

重要: バージョン 5.x のアプリケーションとバージョン 6.0.x 以降のアプリケーションには重要な相違点があります。この情報は、WebSphere® Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。 この情報はバージョン 6.0.x 以降のアプリケーションには適用されません。

ダウンストリームの Web サービスが発信元クライアントの ID (ユーザー名のみ) を受け入れるためには、ダウンストリームの Web サービスが信頼し、正常に認証できる特別なトラステッド BasicAuth クレデンシャルを指定する必要があります。ダウンストリームの Web サービス構成のトラステッド ID エバリュエーターに特別な BasicAuth クレデンシャルのユーザー ID を指定する必要があります。トラステッド ID エバリュエーターについて詳しくは、『トラステッド ID エバリュエーター』を参照してください。サーバー・サイドからトラステッド ID エバリュエーターに特別な BasicAuth クレデンシャルが渡され、この ID が信頼されているかどうかを示すために true または false を戻します。 ID が信頼されると、許可に使用されるクレデンシャルにクライアントのユーザー名がマップされます。

ID アサーション認証情報を 処理するようにサーバーを構成するには、以下のステップを 実行します。

手順

  1. アセンブリー・ツールを起動します。 詳しくは『アセンブリー・ツール』の関連情報を参照してください。
  2. Java™ Platform, Enterprise Edition (Java EE) パースペクティブに切り替えます。「ウィンドウ」 > 「パースペクティブのオープン」 > 「J2EE」とクリックします。
  3. 「EJB プロジェクト」 > application_name > 「ejbModule」 > 「META-INF」とクリックします。
  4. webservices.xml ファイルを右クリックして、「アプリケーションから開く」 > 「Web サービス・エディター」をクリックします。
  5. アセンブリー・ツール内の Web サービス・エディターの最後にある「拡張」タブをクリックします。
  6. 「要求受信側サービス構成の詳細」 > 「ログイン構成」セクションを展開します。 選択できるオプションは以下のとおりです。
    • BasicAuth
    • Signature
    • ID assertion
    • LTPA (Lightweight Third Party Authentication)
  7. 指定された ID アサーション・データを使用してクライアントを認証する場合は、 「IDAssertion」を選択します。

    クライアントのユーザー ID はターゲット・ユーザー・レジストリーまたはリポジトリー内にある必要があります。 この ID は WebSphere Application Server の管理コンソールの 「セキュリティー」 > 「グローバル・セキュリティー」パネルで構成されています。複数のログイン構成を選択できます。これは、異なるタイプのセキュリティー情報がサーバーで受信できることを意味します。 ログイン構成を追加する順序によって、要求の受信時にログイン構成が処理される順序が決定します。 共通のセキュリティー・トークンを持つ複数のログイン構成を追加すると、問題が生じることがあります。例えば、ID アサーションには BasicAuth トークンが含まれています。これは トラステッド・トークンです。ID アサーションが適切に機能するように、 処理リストで BasicAuth の前に ID アサーションを指定します。指定しない場合は、 BasicAuth 処理が ID アサーション処理をオーバーライドします。

  8. IDAssertion」セクションを展開して、「ID Type」と「Trust Mode」の両方を選択します。
    1. 「ID Type」の場合、オプションは以下のとおりです。
      • ユーザー名
      • DN (識別名)
      • X509certificate
      これらの選択項目は、設定であるだけであり、保証はされません。たいていの場合、 「Username」オプションが仕様されます。クライアントと同じ ID タイプを選択する必要があります。
    2. 「Trust Mode」の場合、オプションは以下のとおりです。
      • BasicAuth
      • Signature
      「Trust Mode」は、クライアントがトラステッド ID として送信する情報を参照します。
      1. BasicAuth」を選択すると、クライアントは基本認証データ (ユーザー ID およびパスワード) を送信します。 この BasicAuth データは、構成済みユーザー・レジストリーに対して認証されます。 認証が正常に実行される場合、ユーザー ID はトラステッド ID エバリュエーターの信頼リストに含まれている必要があります。
      2. Signature」を選択すると、クライアント署名証明書が送信されます。 この証明書は構成済みユーザー・レジストリーにマップ可能である必要があります。 ローカル OS の場合、識別名 (DN) の共通名 (CN) は、レジストリー内のユーザー ID にマップされます。 Lightweight Directory Access Protocol (LDAP) の場合、 DN は ExactDN モードのレジストリーにマップされます。CertificateFilter モードでは、適宜、属性がマップされます。 さらに、生成されたクレデンシャルに含まれるユーザー名がトラステッド ID エバリュエーターの信頼リストになければなりません。

次のタスク

アセンブリー・ツールに含まれる Web Services Editor の概要について詳しくは、アセンブリー・ツールを使用したサーバー・セキュリティー・バインディングの構成を参照してください。

サーバーが ID アサーション認証情報を 処理する方法を指定した後で、サーバーが認証情報を検証する方法を 指定する必要があります。ID アサーション認証情報の妥当性を検証するためのサーバーを構成する作業を参照してください。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confsvridassertmeth
ファイル名:twbs_confsvridassertmeth.html