サービス・プロバイダー・コードでは、デフォルトのシングル・サインオン (SSO) トークンは使用しないでください。
このデフォルト・トークンは、WebSphere® Application Server ランタイム・コードでのみ使用します。
始める前に
このトークンを HTTP Cookie として追加する場合には、サイズの制限があります。
このトークン・フレームワークを使用して HTTP Cookie を作成する必要がある場合には、
カスタム・シングル・サインオン・トークンを実装できます。
カスタム・シングル・サインオン・トークンを実装する場合の詳細は、セキュリティー属性伝搬のカスタム・シングル・サインオン・トークンの実装を参照してください。
手順
- デフォルト以外のトークン・ファクトリーを使用するには、シングル・サインオン・トークン・ファクトリーの構成を変更します。
デフォルトのシングル・サインオン・トークンを生成する場合、
アプリケーション・サーバーは、com.ibm.wsspi.security.token.singleSignonTokenFactory プロパティーで
指定される TokenFactory クラスを使用します。
管理コンソールを使用して、プロパティーを変更します。
com.ibm.ws.security.ltpa.LTPAToken2Factory トークン・ファクトリーが、
このプロパティーで指定されるデフォルトです。このトークン・ファクトリーは、LtpaToken2 と呼ばれるシングル・サインオン (SSO) トークンを作成し、WebSphere Application Server はこのトークンを伝搬用に使用します。
このトークン・ファクトリーは、AES/CBC/PKCS5Padding 暗号を使用します。
- 管理コンソールを開きます。
- 「セキュリティー」>「グローバル・セキュリティー」とクリックします。
- 「認証」において、「カスタム・プロパティー」をクリックします。
- デフォルトのシングル・サインオン・トークンに対して、独自の署名および暗号化を実行します。
デフォルトのシングル・サインオン・トークンに対して独自の署名および暗号化を行う必要がある場合は、
以下のクラスを実装する必要があります。
- com.ibm.wsspi.security.ltpa.Token
- com.ibm.wsspi.security.ltpa.TokenFactory
トークン・ファクトリー実装は、トークン実装をインスタンス化し (createToken)、
検証します (validateTokenBytes)。トークン・ファクトリーの initialize メソッドに渡される
Lightweight Third-Party Authentication (LTPA) 鍵を使用することも、
あるいは独自の鍵を使用することもできます。独自の鍵を使用する場合は、これらの鍵を使用して生成されるトークンを検証するために、
どの場所でも同じ鍵を使用する必要があります。
独自のカスタム・トークン・ファクトリーを実装する方法について詳しくは、
API の参照情報を参照してください。
- 独自のトークン・ファクトリーとデフォルトのシングル・サインオン・トークンを関連付けます。
- 管理コンソールを開きます。
- 「セキュリティー」>「グローバル・セキュリティー」とクリックします。
- 「認証」において、「カスタム・プロパティー」をクリックします。
- com.ibm.wsspi.security.token.singleSignonTokenFactory プロパティーを位置指定し、
このプロパティーの値がカスタム TokenFactory 実装と一致するかどうかを検証します。
- 実装クラスが app_server_root/classes
ディレクトリーに置かれていて、WebSphere Application Server クラス・ローダーがそのクラスをロードできることを確認します。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
実装クラスが ${USER_INSTALL_ROOT}/classes
ディレクトリーに置かれていて、WebSphere Application Server クラス・ローダーがそのクラスをロードできることを確認します。
QEJBSVR ユーザー・プロファイルが、classes ディレクトリーに対して、
権限の読み取り、書き込み、および実行 (*RWX) を行ったことを確認します。権限の使用 (WRKAUT) コマンドを使用すると、
そのディレクトリーの権限許可を表示することができます。