サーバーまたはセル・レベルで メッセージの認証性を保護するための、JAX-RPC によるトークン・コンシューマーの構成

サーバーまたはセル・レベルのトークン・コンシューマーは、セキュリティー・トークンを処理するために必要な情報がアプリケーション・レベルで定義されていない場合に、これを指定するために使用されます。

始める前に

生成プログラム用に指定する鍵ストア/別名情報とコンシューマー用に指定する鍵ストア/別名情報は、異なる目的に使用されることを理解する必要があります。主な違いは、X.509 コールバック・ハンドラーの別名に適用されます。

暗号コンシューマーと関連して使用される場合、コンシューマー用に指定された別名は、メッセージの暗号化解除のための秘密鍵を取得するために使用されます。この場合、パスワードが必要です。コンシューマーに対して指定された別名は、シグニチャー・コンシューマーに関連付けられているときは、SOAP セキュリティー・ヘッダーで BinarySecurityToken として渡されない X.509 証明書を解決するために使用される公開鍵を取得する目的で厳密に使用されます。この場合、パスワードは不要です。

このタスクについて

WebSphere® Application Server には、バインディングのデフォルト値が用意されています。ユーザーは実稼働環境用にデフォルトを変更する必要があります。

トークン・コンシューマーは、サーバー・レベルおよびセル・レベルで構成できます。 以下のステップでは、最初のステップでサーバー・レベルのデフォルト・バインディングにアクセスし、 第 2 ステップでセル・レベルのバインディングにアクセスします。

手順

  1. サーバー・レベルのデフォルト・バインディングにアクセスします。
    1. 「サーバー」 > 「サーバー・タイプ」 > 「WebSphere Application Server」 > server_nameとクリックします。
    2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
      混合バージョン環境 (Mixed-version environment) 混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv
  2. 「セキュリティー」 > 「Web サービス」とクリックして、 セル・レベルでデフォルト・バインディングにアクセスします。
  3. 「デフォルト・コンシューマー・バインディング」の下の「トークン・コンシューマー」をクリックします。
  4. 新規」をクリックしてトークン・コンシューマー構成を作成するか、「削除」をクリックして 既存の構成を削除するか、または、既存のトークン・コンシューマー構成の名前をクリックして、その設定を編集します。 新規構成を作成する場合は、 「トークン・コンシューマー名」フィールドにそのトークン・コンシューマー構成の固有の名前を入力します。 例えば、sig_tcon と指定します。このフィールドは、トークン・コンシューマー・エレメントの名前を指定します。
  5. 「トークン・コンシューマー・クラス名」フィールドでクラス名を指定します。 Java™ Authentication and Authorization Service (JAAS) ログイン・モジュールの実装を使用して、 コンシューマー側でセキュリティー・トークンを検証 (認証) します。
    制約事項: com.ibm.wsspi.wssecurity.token.TokenConsumingComponent インターフェースは、JAX-WS Web サービスでは使用されません。JAX-RPC Web サービスを使用している場合、このインターフェースは引き続き有効です。

    トークン・コンシューマー・クラス名は、トークン生成プログラム・クラス名と類似している必要があります。

    例えば、アプリケーションが X.509 証明書トークン・コンシューマーを必要とする場合、 「Token generator」パネルで com.ibm.wsspi.wssecurity.token.X509TokenGenerator クラス名を、 このフィールドで com.ibm.wsspi.wssecurity.token.X509TokenConsumer クラス名を指定することができます。 WebSphere Application Server は、以下のデフォルトのトークン・コンシューマー・クラス・インプリメンテーションを提供します。
    com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer
    この実装は、ユーザー名トークンを統合します。
    com.ibm.wsspi.wssecurity.token.X509TokenConsumer
    この実装は、X.509 証明書トークンを統合します。
    com.ibm.wsspi.wssecurity.token.LTPATokenConsumer
    この実装は、Lightweight Third Party Authentication (LTPA) トークンを統合します。
    com.ibm.wsspi.wssecurity.token.IDAssertionUsernameTokenConsumer
    この実装は、IDAssertionUsername トークンを統合します。

    この実装用の、対応するトークン生成プログラム・クラスは存在しません。

  6. 証明書パス・オプションを選択します。 証明書パスは、証明書失効リスト (CRL) とともに PKCS#7 内にラップされたセキュリティー・トークンの生成に使用される、 CRL を指定します。 WebSphere Application Server には、以下の証明書パス・オプションが用意されています。
    なし
    このオプションを選択した場合、証明書パスは指定されません。
    すべてを信頼
    このオプションを選択した場合は、すべての証明書が信頼されます。 受け取ったトークンが消費されるとき、証明書パスの妥当性検査は行われません。
    専用署名情報
    このオプションを選択した場合は、トラスト・アンカーおよび証明書ストアを指定することができます。 トラステッド証明書のトラスト・アンカーまたは証明書ストアを選択した場合、 証明書パスを設定する前にコレクション証明書ストアを構成する必要があります。 サーバーまたはセル・レベルでコレクション証明書ストアを定義するには、 サーバーまたはセル・レベルでのコレクション証明書の構成を参照してください。
    1. 「Trust anchor」フィールドでトラスト・アンカーを選択します。 WebSphere Application Server には、2 つのサンプル・トラスト・アンカーが用意されています。ただし、実稼働環境用に独自のトラスト・アンカーを構成することをお勧めします。 トラスト・アンカーの構成に関する詳細については、 サーバーまたはセル・レベルのトラスト・アンカーの構成を参照してください。
    2. 「証明書ストア」フィールドでコレクション証明書ストアを選択します。 WebSphere Application Server には、サンプル・コレクション証明書ストアが用意されています。 「なし」を選択する場合、コレクション証明書ストアは指定されません。 妥当性検査を待つ、信頼されていない中間証明書ファイルを含む証明書ストアのリストの指定に関する詳細については、 サーバーまたはセル・レベルでのトラステッド ID エバリュエーターの構成を参照してください。
  7. 「Trusted ID evaluation reference」フィールドからトラステッド ID エバリュエーターを選択します。 このフィールドは、 「トラステッド ID エバリュエーター」パネルで定義されるトラステッド ID エバリュエーター・クラス名の参照を指定します。 トラステッド ID エバリュエーターは、受け取った ID が信頼できるかどうかを評価するために使用されます。 「なし」を選択した場合、トラステッド ID エバリュエーターはこのトークン・コンシューマー構成で参照されません。 トラステッド ID エバリュエーターを構成する場合は、サーバーまたはセル・レベルでのトラステッド ID エバリュエーターの構成を参照してください。
  8. ジェネレーター側でユーザー名トークンに nonce が含まれている場合、 「nonce の検査」オプションを選択します。 nonce はメッセージに組み込まれた固有の暗号数値であり、 ユーザー名トークンの、繰り返される未許可の攻撃を防ぐのに役立ちます。 トークン・コンシューマーのユーザー名トークンを指定し、ジェネレーター側でユーザー名トークンに nonce が追加されている場合、 「nonce の検査」オプションが使用可能になります。
  9. ジェネレーター側でユーザー名トークンにタイム・スタンプが含まれている場合、「タイム・スタンプの検査」オプションを選択します。 トークン・コンシューマーのユーザー名トークンを指定し、 ジェネレーター側でユーザー名トークンにタイム・スタンプが追加されている場合、 「タイム・スタンプの検査」オプションが使用可能になります。
  10. 統合されたトークンの値タイプのローカル名を指定します。 この項目は、鍵 ID によって参照されるセキュリティー・トークンの値タイプのローカル名を指定します。 この属性は、「鍵 ID」が鍵情報タイプとして選択されている場合に有効です。 鍵情報タイプを指定するには、 サーバーまたはセル・レベルでの JAX-RPC を使用したコンシューマー・バインディングの鍵情報の構成を参照してください。 WebSphere Application Server には、ユーザー名トークンおよび X.509 証明書セキュリティー・トークン用の事前定義値タイプのローカル名があります。ユーザー名トークンおよび X.509 証明書セキュリティー・トークンの、 以下のローカル名のいずれかを入力します。 以下のローカル名を指定する場合、値タイプの URI を指定する必要はありません。
    ユーザー名トークン
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
    X.509 証明書トークン
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
    PKIPath 内の X.509 証明書
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    PKCS#7 内の X.509 証明書および CRL のリスト
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    注: Lightweight Third Party Authentication (LTPA) またはトークンの伝搬 (LTPA_PROPAGATION) を指定するには、 値タイプのローカル名と URI の両方を指定する必要があります。 LTPA の場合は、ローカル名に LTPA を、URI に http://www.ibm.com/websphere/appserver/tokentype/5.0.2 を指定します。 LTPA トークンの伝搬の場合は、ローカル名に LTPA_PROPAGATION を、URI に http://www.ibm.com/websphere/appserver/tokentype を指定します。
    例えば、X.509 証明書トークンが指定される場合、 ローカル名に http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 を使用することができます。 別のトークンのローカル名を指定する場合、値タイプ Qname を指定する必要があります。 例えば、uri=http://www.ibm.com/custom, localName=CustomToken のようになります。
  11. 「URI」フィールドで値タイプの URI を指定します。 この項目は、鍵 ID によって参照されるセキュリティー・トークンの値タイプの名前空間 URI を指定します。 この属性は、デフォルトのジェネレーターの「鍵情報」パネルで、 鍵情報タイプとして「鍵 ID」が選択されている場合に有効です。 ユーザー名トークンまたは X.509 証明書セキュリティー・トークンのトークン・コンシューマーを指定する場合、 このオプションを指定する必要はありません。 別のトークンを指定する場合、値タイプの QName の URI を指定する必要があります。
  12. OK」をクリックしてから「保存」をクリックして、構成を保存します。 トークン生成プログラム構成を保存した後、トークン・コンシューマーの JAAS 構成を 指定することができます。
  13. トークン生成プログラム構成の名前をクリックします。
  14. 「追加プロパティー」の下の「JAAS 構成」をクリックします。
  15. 「JAAS configuration name」フィールドで JAAS 構成を選択します。

    このフィールドは、アプリケーション・ログイン構成の JAAS システムの名前を指定します。 「セキュリティー」 > 「グローバル・セキュリティー」とクリックして、 追加の JAAS システムおよびアプリケーション構成を指定することができます。「Java Authentication and Authorization Service」を展開し、「アプリケーション・ログイン」 > 「新規」とクリックするか、または「システム・ログイン」 > 「新規」とクリックします。

    [AIX Solaris HP-UX Linux Windows][z/OS]JAAS 構成について詳しくは、JAAS 構成の設定を参照してください。

    事前定義システムまたはアプリケーション・ログイン構成は除去しないでください。 ただし、これらの構成内では、モジュール・クラス名の追加、 および WebSphere Application Server が各モジュールをロードする順序の指定を行うことができます。 WebSphere Application Server には、以下の事前定義 JAAS 構成が用意されています。
    ClientContainer
    この選択は、クライアント・コンテナー・アプリケーションが使用するログイン構成を指定します。 この構成は、クライアント・コンテナー用のデプロイメント記述子で定義される CallbackHandler アプリケーション・プログラミング・インターフェース (API) を使用します。 この構成を変更する場合は、アプリケーション・ログインの JAAS 構成パネルを参照してください。
    WSLogin
    この選択は、すべてのアプリケーションが、セキュリティー・ランタイムの認証を実行するために、 WSLogin 構成を使用できるかどうかを指定します。 この構成を変更する場合は、アプリケーション・ログインの JAAS 構成パネルを参照してください。
    DefaultPrincipalMapping
    この選択は、J2C 認証データ・エントリーに定義されたプリンシパルにユーザーをマップするために Java 2 Connectors (J2C) によって使用される、ログイン構成を指定します。 この構成を変更する場合は、アプリケーション・ログインの JAAS 構成パネルを参照してください。
    system.wssecurity.IDAssertion
    この選択により、バージョン 5.x アプリケーションは、ID アサーションを使用して ユーザー名を WebSphere Application Server クレデンシャル・プリンシパルにマップできるようになります。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.wssecurity.Signature
    この選択により、バージョン 5.x アプリケーションは、署名済み証明書内の 識別名 (DN) を WebSphere Application Server クレデンシャル・プリンシパルにマップできるようになります。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.LTPA_WEB
    この選択により、サーブレットや JavaServer Pages (JSP) ファイルなどの Web コンテナーによって使用されるログイン要求が処理されます。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.WEB_INBOUND
    この選択により、サーブレットおよび JavaServer Pages (JSP) ファイルが含まれる Web アプリケーションのログイン要求が処理されます。 このログイン構成は、WebSphere Application Server バージョン 5.1.1 によって使用されます。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.RMI_INBOUND
    この選択により、インバウンド・リモート・メソッド呼び出し (RMI) 要求のログインが処理されます。 このログイン構成は、WebSphere Application Server バージョン 5.1.1 によって使用されます。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.DEFAULT
    この選択により、内部認証、および Web アプリケーションおよび RMI 要求を除く他のほとんどのプロトコルによって実行されるインバウンド要求のログインが処理されます。 このログイン構成は、WebSphere Application Server バージョン 5.1.1 によって使用されます。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.RMI_OUTBOUND
    この選択で、com.ibm.CSIOutboundPropagationEnabled プロパティー が true である場合に、 別のサーバーにアウトバウンド送信される RMI 要求を処理します。 このプロパティーは、「CSIv2 authentication」パネルで設定されます。このパネルにアクセスするには、「セキュリティー」 > 「グローバル・セキュリティー」とクリックします。「認証」の下で、「RMI/IIOP セキュリティー」を展開し、「CSIv2 アウトバウンド認証」をクリックします。com.ibm.CSIOutboundPropagationEnabled プロパティーを設定するには、「セキュリティー属性の伝搬」を選択します。 この JAAS ログイン構成を変更する場合は、「JAAS - システム・ログイン」パネルを参照してください。
    system.wssecurity.X509BST
    この選択は、証明書および証明書パスの妥当性を検査することによって、X.509 バイナリー・セキュリティー・トークン (BST) を検査します。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.wssecurity.PKCS7
    この選択は、PKCS7 オブジェクトの証明書失効リストで、X.509 証明書を検査します。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.wssecurity.PkiPath
    この選択は、Public Key Infrastructure (PKI) パスで X.509 証明書を検査します。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.wssecurity.UsernameToken
    この選択は、基本認証 (ユーザー名およびパスワード) データを検査します。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.wssecurity.IDAssertionUsernameToken
    これを選択すると、バージョン 6 以降のアプリケーションは、ID アサーションを使用して ユーザー名を WebSphere Application Server クレデンシャル・プリンシパルにマップできるようになります。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.WSS_INBOUND
    この選択では、Web Services Security を使用したセキュリティー・トークンの伝搬用のインバウンドまたはコンシューマー要求のログイン構成を指定します。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    system.WSS_OUTBOUND
    この選択では、Web Services Security を使用したセキュリティー・トークンの伝搬用のアウトバウンドまたはジェネレーター要求のログイン構成を指定します。 この構成を変更する場合は、システム・ログインの JAAS 構成パネルを参照してください。
    なし
    これを選択する場合、JAAS ログイン構成は指定しません。
  16. OK」をクリックしてから「保存」をクリックして、構成を保存します。

タスクの結果

サーバーまたはセル・レベルのトークン・コンシューマーが構成されました。

次のタスク

サーバーまたはセル・レベルに対して同様のトークン生成プログラム構成を指定する必要があります。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokenconssvrcell
ファイル名:twbs_configtokenconssvrcell.html