JAX-RPC のコールバック・ハンドラー構成の設定

このページを使用して、SOAP メッセージ内の JAX-RPC の Web Services Security ヘッダーに挿入されるセキュリティー・トークンの取得方法を指定します。このトークン取得は、セキュリティー・トークンを取得するために Java™ Authentication and Authorization Service (JAAS) javax.security.auth.callback.CallbackHandler インターフェースを利用するプラグ可能なフレームワークです。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): このページで「鍵ストア」および 「鍵」プロパティーの値を指定する前に、生成プログラムに提供する 鍵ストア/別名情報と、コンシューマーに提供する鍵ストア/別名情報は、それぞれ 異なる目的に使用されることを理解しておく必要があります。主な違いは、X.509 コールバック・ハンドラーの別名に関するものです。gotcha
生成プログラム
暗号化生成プログラムと関連して 使用される場合、生成プログラム用に提供される別名は、 メッセージを暗号化するための公開鍵を取得するのに使用されます。この場合、パスワードは不要です。暗号化生成プログラム と関連付けられたコールバック・ハンドラーに入力された別名 は、パスワードなしでアクセス可能でなければなりません。これが意味するのは、 別名に関連付けられた秘密鍵情報 が鍵ストア内にあってはならないということです。シグニチャー生成プログラムと関連して使用される場合、生成プログラムに提供される別名は、メッセージに署名するための秘密鍵を取得する目的で使用されます。 この場合、パスワードが必要です。
セル・レベルでこのコールバック・ハンドラーの管理コンソール・ページを表示するには、 以下のステップを実行します。
  1. 「セキュリティー」 > 「JAX-WS および JAX-RPC セキュリティー・ランタイム (JAX-WS and JAX-RPC security runtime)」をクリックします。
  2. 「JAX-RPC デフォルト生成バインディング」の下で、「トークン生成プログラム」 > token_generator_name とクリックします。
  3. 「追加プロパティー」の下の「コールバック・ハンドラー」をクリックします。
サーバー・レベルでこのコールバック・ハンドラーの管理コンソール・ページを表示するには、 以下のステップを実行します。
  1. 「サーバー」 > 「サーバー・タイプ」 > 「WebSphere Application Server」 > server_nameとクリックします。
  2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
    混合バージョン環境 (Mixed-version environment) 混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv
  3. 「JAX-RPC デフォルト生成バインディング」の下で、「トークン生成プログラム」 > token_generator_name とクリックします。
  4. 「追加プロパティー」の下の「コールバック・ハンドラー」をクリックします。
アプリケーション・レベルでこのコールバック・ハンドラーの管理コンソール・ページを表示するには、 以下のステップを実行します。
  1. 「アプリケーション」 > 「アプリケーション・タイプ」 > 「WebSphere エンタープライズ・アプリケーション」 > application_nameとクリックします。
  2. 「モジュール」で、「モジュールの管理」URI_nameをクリックします。
  3. 「Web Services Security プロパティー」の下で、以下のバインディングのコールバック・ハンドラー情報にアクセスすることができます。
    • 要求生成プログラム (送信側) バインディングについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。 「要求生成プログラム (送信側) バインディング」の下の「カスタムの編集」をクリックします。 「追加プロパティー」の下の「トークン生成プログラム」をクリックします。 「新規」をクリックして新規トークン生成プログラム構成を作成するか、既存の構成の名前をクリックして、その設定を変更します。 「追加プロパティー」の下の「コールバック・ハンドラー」をクリックします。
    • 応答生成プログラム (送信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「応答ジェネレーター (送信側) バインディング」の下の「カスタムの編集」をクリックします。 「追加プロパティー」の下の「トークン生成プログラム」をクリックします。 「新規」をクリックして新規トークン生成プログラム構成を作成するか、既存の構成の名前をクリックして、その設定を変更します。 「追加プロパティー」の下の「コールバック・ハンドラー」をクリックします。

コールバック・ハンドラーのクラス名

セキュリティー・トークン・フレームワークにプラグインするために使用する コールバック・ハンドラー実装クラスの名前を指定します。

指定したコールバック・ハンドラー・クラスは、javax.security.auth.callback.CallbackHandler クラスを実装しなければなりません。javax.security.auth.callback.CallbackHandler インターフェースの実装は、以下の構文を使用してコンストラクターを提供しなければなりません。
MyCallbackHandler(String username, char[] password,
    java.util.Map properties)
各部の意味は、次のとおりです。
username
構成に渡されるユーザー名を指定します。
password
構成に渡されるパスワードを指定します。
properties
構成に渡される他の構成プロパティーを指定します。
アプリケーション・サーバーは、以下のデフォルトのコールバック・ハンドラー実装を提供します。
com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
このコールバック・ハンドラーは、ユーザー名およびパスワード情報を収集するためのログイン・プロンプトを使用します。 ただし、このパネルでユーザー名およびパスワードを指定した場合、 プロンプトは表示されず、このパネルでトークン生成プログラムが指定されていれば、 アプリケーション・サーバーはユーザー名およびパスワードをトークン生成プログラムに戻します。 この実装は、 Java Platform, Enterprise Edition (Java EE) アプリケーション・クライアントに対してのみ使用してください。
com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
このコールバック・ハンドラーはプロンプトを発行せず、 このパネル上で指定されている場合は、ユーザー名とパスワードを戻します。 Web サービスがクライアントとして機能している場合は、このコールバック・ハンドラーを使用することができます。
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
このコールバック・ハンドラーは、ユーザー名およびパスワードを収集するための標準プロンプトを使用します。 ただし、このパネルでユーザー名およびパスワードを指定した場合は、 アプリケーション・サーバーはプロンプトを出しませんが、トークン生成プログラムにユーザー名およびパスワードを戻します。この実装は、 Java Platform, Enterprise Edition (Java EE) アプリケーション・クライアントに対してのみ使用してください。
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
このコールバック・ハンドラーは、ユーザー名およびパスワードを収集するための標準プロンプトを使用します。 ただし、このパネルでユーザー名およびパスワードを指定した場合は、 アプリケーション・サーバーはプロンプトを出しませんが、トークン生成プログラムにユーザー名およびパスワードを戻します。この実装は、 Java Platform, Enterprise Edition (Java EE) アプリケーション・クライアントに対してのみ使用してください。
com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
このコールバック・ハンドラーは、RunAs 起動 Subject から Lightweight Third Party Authentication (LTPA) セキュリティー・トークンを取得するために使用されます。 このトークンは、バイナリー・セキュリティー・トークンとして、SOAP メッセージ内で Web Services Security ヘッダーに挿入されます。 ただし、このパネルでユーザー名およびパスワードを指定した場合は、 アプリケーション・サーバーは RunAs サブジェクトから LTPA セキュリティー・トークンを取得するのではなく、 ユーザー名およびパスワードを認証してこれを取得します。このコールバック・ハンドラーは、Web サービスがアプリケーション・サーバー上でクライアントとして機能している場合のみ使用してください。 このコールバック・ハンドラーを Java EE アプリケーション・クライアント上で使用することはお勧めしません。
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
このコールバック・ハンドラーは、バイナリー・セキュリティー・トークンとして SOAP メッセージ内の Web Services Security ヘッダーに挿入される X.509 証明書を作成するために使用されます。 このコールバック・ハンドラーには、鍵ストアおよび鍵定義が必要です。
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
このコールバック・ハンドラーは、 PKCS#7 フォーマットでエンコードされる X.509 証明書を作成するために使用されます。 この証明書は、バイナリー・セキュリティー・トークン として、SOAP メッセージで Web Services Security ヘッダーに挿入されます。 このコールバック・ハンドラーには鍵ストアが必要です。 コレクション証明書ストアで証明書失効リスト (CRL) を指定する必要があります。 CRL は、PKCS#7 フォーマットの X.509 証明書でエンコードされています。
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
このコールバック・ハンドラーは、 PkiPath フォーマットでエンコードされた X.509 証明書を作成するために使用されます。 この証明書は、バイナリー・セキュリティー・トークン として SOAP メッセージ内で Web Services Security ヘッダーに挿入されます。 このコールバック・ハンドラーには鍵ストアが必要です。 CRL はコールバック・ハンドラーによってサポートされていないため、 コレクション証明書ストアは不要で使用されません。

このコールバック・ハンドラー実装は、必要なセキュリティー・トークンを取得し、 それをトークン生成プログラムに渡します。 トークン生成プログラムは、SOAP メッセージ内の Web Services Security ヘッダーにセキュリティー・トークンを挿入します。 また、トークン生成プログラムは、 プラグ可能なセキュリティー・トークン・フレームワークのプラグイン・ポイントです。 サービス・プロバイダーは固有の実装を提供することができますが、この実装は com.ibm.websphere.wssecurity.wssapi.token.SecurityToken インターフェースを使用する必要があります。Java Authentication and Authorization Service (JAAS) ログイン・モジュールの実装を使用して、 生成プログラム側にセキュリティー・トークンを作成し、コンシューマー側でセキュリティー・トークンを検証 (認証) します。

ID アサーションの使用

IBM® 拡張デプロイメント記述子で ID アサーションを定義した場合は、このオプションを選択します。

このオプションは、初期送信側の ID のみが必要で、 SOAP メッセージ内の Web Services Security ヘッダーに挿入されることを示します。例えば、アプリケーション・サーバーは、 Username TokenGenerator のオリジナルの呼び出し元のユーザー名のみを送信します。 X.509 トークン生成プログラムの場合、 アプリケーション・サーバーはオリジナルの署名者認証のみを送信します。

RunAs ID を使用

ユーザーが IBM 拡張デプロイメント記述子で ID アサーションを定義し、 ダウンストリーム呼び出しの ID アサーションに対して、初期呼び出し元 ID の代わりに Run As ID を使用する場合、 このオプションを選択します。

このオプションは、Username TokenGenerator をトークン生成プログラムとして構成した場合にのみ有効です。

基本認証ユーザー ID

コールバック・ハンドラー実装のコンストラクターに渡されるユーザー名を指定します。

本製品により提供される、以下のデフォルトのコールバック・ハンドラー実装のいずれかを選択する場合、 基本認証ユーザー名およびパスワードが使用されます。
  • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler

これらの実装については、「コールバック・ハンドラーのクラス名」フィールドの説明で詳しく説明しています。

基本認証パスワード

コールバック・ハンドラーのコンストラクターに渡されるパスワードを指定します。

本製品により提供される、以下のデフォルトのコールバック・ハンドラー実装のいずれかを選択する場合、 鍵ストアおよびその関連構成が使用されます。
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
この鍵ストアは、証明書パスで X.509 証明書を作成するために使用されます。
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
この鍵ストアは、証明書パスで X.509 証明書を作成するために使用されます。
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
この鍵ストアは、X.509 証明書をリトリーブするために使用されます。

鍵ストア

この構成で鍵ストアが不要な場合は、「なし (None)」を選択します。

鍵ストア構成名を持つ事前定義の鍵ストアを選択するには、「事前定義の鍵ストア (Predefined keystore)」を選択します。

ユーザー定義の鍵ストア (User-defined keystore)」を選択して、ユーザー定義の鍵ストアを使用します。

以下の情報を指定する必要があります。

鍵ストア構成名

セキュア通信内の鍵ストア設定で定義された鍵ストア構成の名前を指定します。

鍵ストア・パスワード

鍵ストア・ファイルへのアクセスに使用するパスワードを指定します。

鍵ストア・パス

鍵ストア・ファイルのロケーションを指定します。

パス名には、${USER_INSTALL_ROOT} を使用してください。 この変数が、ご使用のマシンの製品のパスに展開されるためです。 この変数で使用されるパスを変更するには、「環境」 > 「WebSphere 変数」とクリックし、「USER_INSTALL_ROOT」をクリックします。

鍵ストア・タイプ

鍵ストア・ファイル・フォーマットのタイプを指定します。

このフィールドに、次の値のいずれかを選択します。
JKS
鍵ストアが Java Keystore (JKS) フォーマットを使用している場合、このオプションを使用します。
JCEKS
Java Cryptography Extension が Software Development Kit (SDK) で構成されている場合には、このオプションを使用します。 デフォルトの IBM JCE は、アプリケーション・サーバーで構成されます。このオプションは、Triple DES 暗号化を使用することによって、保管された秘密鍵の保護をより強力にします。
[z/OS]JCERACFKS
[z/OS]証明書が SAF 鍵リングに保管されている場合は、JCERACFKS を使用します (z/OS® のみ)。
PKCS11KS (PKCS11)
鍵ストア・ファイルが PKCS#11 ファイル・フォーマットを使用する場合、このオプションを使用します。 このフォーマットを使用する鍵ストア・ファイルには、暗号ハードウェア上に Rivest Shamir Adleman (RSA) 鍵が含まれているか、 暗号ハードウェアを使用する鍵を暗号化して保護を実行している可能性があります。
PKCS12KS (PKCS12)
鍵ストア・ファイルが PKCS#12 ファイル・フォーマットを使用する場合、このオプションを使用します。

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=uwbs_callback
ファイル名:uwbs_callback.html