セキュリティー・カスタム・プロパティー

このページを使用して、セキュリティーに関連する psecurity.allowCustomHTTPMethodsredefined カスタム・プロパティーを理解します。

この管理コンソール・ページを表示するには、「セキュリティー」 > 「グローバル・セキュリティー」 > 「カスタム・プロパティー」とクリックします。次に、「新規作成」をクリックして、新規カスタム・プロパティーおよびそれに関連する値を追加できます。

このトピックのカスタム・プロパティーは、特に他に説明に記載しない限り、既にリストしたパスを介して管理コンソールで設定されます。

「カスタム・プロパティー」ページを使用して、次のセキュリティー・カスタム・プロパティーを定義することができます。
[z/OS]

com.ibm.audit.field.length.limit

このプロパティーは、IBM がセキュリティー監査機能向けに提供する SMF エミッター実装のみに適用されます。このプロパティーを使用して、可変長監査データが切り捨てられる長さをバイト単位で指定できます。 このカスタム・プロパティーが指定されていない場合、しきい値制限の 20480 を超えると、デフォルトで可変長監査データ・フィールドは 128 バイトに切り捨てられます。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): このカスタム・プロパティーを使用可能にするには、AdminTask オブジェクトの modifyAuditEmitter コマンドを使用する必要があります。 このコマンドの使用方法について詳しくは、AdminTask オブジェクトの AuditEmitterCommands についての資料を参照してください。gotcha

SMF 再配置データには、20480 バイトのサイズ制限のしきい値があります。 監査データがこの制限を超えた場合、監査データは、監査レコードの損失を防ぐために切り捨てられます。

通知
デフォルト 20480
タイプ 1 から 512 までの整数。

com.ibm.audit.report.granularity

このプロパティーを使用して、各イベント・タイプで監査データが記録される量を 指定します。イベントに関する基本的な情報 (誰がどのリソースに対してどんな操作をいつ行ったかというような情報) の記録のみが必要な場合、このプロパティーを high に設定すると、アプリケーション・サーバーのパフォーマンスが向上する可能性があります。

このプロパティーには、highmedium、または low という値を指定できます。デフォルト値は low です。

表 1. com.ibm.audit.report.granularity の設定に基づいて、各イベント・タイプについて記録されるデータのタイプ. 以下の表は、このプロパティーの設定に基づき、各イベント・タイプについて記録されるデータのタイプを示しています。
イベント・タイプ high 設定 medium 設定 low 設定
SessionContext sessionId sessionId、remoteHost sessionId、remoteHost、remoteAddr、remotePort
PropagationContext (SAP が使用可能の場合にのみ報告される) firstCaller (実行者の一部として) firstCaller、および詳細モードが使用可能の場合は callerList firstCaller、および詳細モードが使用可能の場合は callerList
RegistryContext 何も記録されない レジストリー・タイプ レジストリー・タイプ
ProcessContext 何も記録されない realm レルム (realm) および、詳細モードが使用可能の場合、ドメイン
EventContext creationTime creationTime、globalInstanceId creationTime、globalInstanceId、eventTrailId、および、詳細モードが使用可能の場合 lastTrailId
DelegationContext identityName delegationType および identityName delegationType、roleName および identityName
AuthnContext 何も記録されない authn type authn type
ProviderContext 何も記録されない provider provider および providerStatus
AuthnMappingContext mappedUserName mappedUserName および mappedSecurityRealm mappedUserName、mappedSecurityRealm および mappedSecurityDomain
AuthnTermContext terminateReason terminateReason terminateReason
AccessContext progName、action、appUserName、および resourceName progName、action、appUserName、resourceName、 registryUserName、および accessDecision progName、action、appUserName、resourceName、 registryUserName、accessDecision、resourceType、permissionsChecked、 permissionsGranted、rolesChecked、および rolesGranted
PolicyContext 何も記録されない policyName policyName および policyType
KeyContext keyLabel keyLabel および keyLocation keyLabel、keyLocation および certificateLifetime
MgmtContext 何も記録されない mgmtType および mgmtCommand mgmtType、mgmtCommand、および targetInfoAttributes

com.ibm.CSI.disablePropagationCallerList

このプロパティーは、呼び出し元のリストを使用不可にし、呼び出し元リストの変更を許可しません。このプロパティーによって、複数のセッションの作成ができなくなります。

このプロパティーは、呼び出し元リストまたはホスト・リストの伝搬トークンへの追加を完全に使用不可にします。このプロパティーの設定は、伝搬トークン内の呼び出し元リストまたはホスト・リストが環境内で不要な場合に役立ちます。
トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): com.ibm.CSI.propagateFirstCallerOnly カスタム・プロパティーが true に設定されている場合、その設定が、このプロパティーの設定よりも優先されます。gotcha
通知
デフォルト false
[z/OS]

com.ibm.CSI.localCommDataForNonLocalOSEnabled

このプロパティーは、ユーザー・レジストリーが LocalOS ユーザー・レジストリーでない場合に、ローカル通信データを CSIv2 トランスポート層用の認証材料として使用することを許可します。

このプロパティーに true が設定されると、 ローカル通信トランスポートから取得したデータは、WebSphere Application Server プロセスに接続するローカル・クライアントの ASID に対応します。ASID に対応するユーザーが、ユーザー・レジストリーに存在している必要があります。WebSphere Application Server プロセスが CSIv2 確立メッセージを受け取ったとき、ID アサーションが要求されていると、 ローカル通信トランスポートから取得したデータを使用して、属性層で ID トークンに指定されたユーザーを 表明する許可がクライアントにあるかどうか検証されます。受け取った ASID で表されるユーザーが管理コンソールの「CSIv2 インバウンド認証」ページ の「トラステッド ID」リストにある場合、その ID は、ID トークンを表明することができます。

通知
デフォルト false

com.ibm.CSI.propagateFirstCallerOnly

このプロパティーは、呼び出し元リストを、最初の呼び出し元のみに限定します。 これは、呼び出し元リストを変更できないことを意味します。このプロパティーを true に 設定すると、複数のセッション・エントリーが作成される可能性がなくなります。

このプロパティーは、セキュリティー属性の伝搬が使用可能な場合に、 スレッド上にある伝搬トークン内の最初の呼び出し元をログに記録します。 このプロパティーを設定しない場合、すべての呼び出し元のスイッチがログに記録され、パフォーマンスに影響を与えます。通常、最初の呼び出し元のみが対象となります。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): com.ibm.CSI.disablePropagationCallerList カスタム・プロパティーが true に設定されている場合、 その設定が、このプロパティーの設定よりも優先されます。gotcha
通知
デフォルト true
注: com.ibm.CSI.propagateFirstCallerOnly セキュリティー・カスタム・プロパティーのデフォルト値は true に設定されます。このカスタム・プロパティーが true に設定されているときには、セキュリティー属性の伝搬が使用可能な場合に、スレッド上にある伝搬トークン内の最初の呼び出し元がログに記録されます。 このプロパティーが false に設定されている場合は、呼び出し元切り替えのすべてがログに記録され、パフォーマンスに影響を与える可能性があります。

com.ibm.CSI.rmiInboundLoginConfig

このプロパティーでは、インバウンドで受信されたリモート・メソッド呼び出し (RMI) 要求に使用される Java 認証・承認サービス (JAAS) ログイン構成を指定します。

ログイン構成が分かると、RMI ログインの特定の事例を処理するカスタム・ログイン・モジュールをプラグインできるようになります。

通知
デフォルト system.RMI_INBOUND
[AIX Solaris HP-UX Linux Windows][z/OS]

com.ibm.CSI.rmiInboundMappingConfig

このプロパティーは、アプリケーション固有のプリンシパル・マッピングを実行するために使用する、 システムの JAAS ログイン構成を定義します。

通知
デフォルト なし
[AIX Solaris HP-UX Linux Windows][z/OS]

com.ibm.CSI.rmiInboundMappingEnabled

このプロパティーは、true に設定された場合、 アプリケーション固有のプリンシパル・マッピング機能を使用可能にします。

通知
デフォルト false

com.ibm.CSI.rmiOutboundLoginConfig

このプロパティーでは、アウトバウンド送信された RMI 要求に使用される JAAS ログイン構成を指定します。

このプロパティーは、主に、サブジェクト内の伝搬された属性がターゲット・サーバーに送信されるように準備します。 ただし、アウトバウンドのマッピングを実行するために、 カスタム・ログイン・モジュールをプラグインすることができます。

通知
デフォルト system.RMI_OUTBOUND
[AIX Solaris HP-UX Linux Windows][z/OS]

com.ibm.CSI.rmiOutboundMappingEnabled

このプロパティーは、true に設定された場合、 WSSubjectWrapper オブジェクトに組み込まれた元の呼び出し元サブジェクトを復元できるようにします。

通知
デフォルト false

com.ibm.CSI.supportedTargetRealms

このプロパティーは、現在のレルムで認証されたクレデンシャルを「Trusted target realms」フィールドで指定されたレルムに送信できるようにします。 「Trusted target realms」フィールドは、「CSIv2 outbound authentication」パネルで使用可能です。 このプロパティーは、これらのレルムが現在のレルムからのデータのインバウンド・マッピングを実行できるようにします。

不明なレルムに認証情報を送信するべきではありません。したがって、このプロパティーは、代替レルムがトラステッド・レルムであることを指定する方法を 提供します。「CSIv2 outbound authentication」パネルにアクセスするには、以下のステップを実行します。
  1. 「セキュリティー」 > 「グローバル・セキュリティー」とクリックします。
  2. 「RMI/IIOP セキュリティー」の下の「CSIv2 アウトバウンド認証」をクリックします。

com.ibm.security.multiDomain.setNamingReadUnprotected

CosNamingRead ロールですべてのネーミング読み取り操作を保護したい場合は、このプロパティーを true に設定できます。 このプロパティーを true に設定することは、CosNamingRead ロールを特別な対象の Everyone に割り当てることと同じです。 このプロパティーが設定されている場合、 CosNamingRead ロールへの割り当てはすべて無視されます。

通知
デフォルト none
[z/OS]

com.ibm.security.SAF.forceDelegation

System Authorization Facility (SAF) 代行を SAF 許可と独立して使用できるかどうかを決定します。このプロパティーに true が設定された場合、 ユーザー・レジストリーが統合リポジトリー・ユーザー・レジストリーであって、 SAF ユーザー・レジストリー・ブリッジで構成されている場合は常に、SAF 代行を使用することができます。

このプロパティーにはデフォルト値はありません。

[z/OS]

com.ibm.security.SAF.overrideStartupAPPL

このプロパティーを使用して、APPL プロファイル、特に、サーバーの始動中に実行される 2 つの RACROUTE 呼び出しの値をオーバーライドすることができます。これらの呼び出しの許可検査プロセスで APPL 値は使用されませんが、インストール・システム出口ルーチンで使用可能にすることはできます。許可検査に使用する APPL プロファイル値は、このプロパティーによって制御されず、代わりに CBS390 または SAF プロファイル・プレフィックスの値のいずれかに設定されます。

通知
デフォルト none
[z/OS]

com.ibm.security.SAF.useAPPLpr

このカスタム・プロパティーでは、WebSphere Application Server へのアクセスを制限するために APPL プロファイルを使用するかどうかを指定します。

SAF プロファイル・プレフィックスが定義されている場合は、使用している APPL プロファイルがプロファイル・プレフィックスになります。それ以外の場合、APPL プロファイル名は CBS390 です。 WebSphere サービスを使用する z/OS ID のすべてに、APPL プロファイルに対する READ (読み取り) 権限が必要です。 これには、すべての WebSphere Application Server ID、WebSphere Application Server 非認証 ID、WebSphere Application Server 管理 ID、ロールからユーザーへのマッピングに基づいたユーザー ID、 およびシステム・ユーザーに対するすべてのユーザー ID が含まれます。 APPL クラスが z/OS システム上でアクティブでない場合、このプロパティーは、その値に関係なく効果はありません。

通知
デフォルト true

com.ibm.security.useFIPS

連邦情報処理標準 (FIPS) アルゴリズムを使用することを指定します。 アプリケーション・サーバーは、IBMJCE 暗号プロバイダーではなく IBMJCEFIPS 暗号プロバイダーを使用します。

通知
デフォルト false

com.ibm.websphere.crypto.config.certexp.notify.fromAddress

このセキュリティー・プロパティーは、証明書有効期限通知 E メールの「From (差出人) アドレス」をカスタマイズする場合に使用します。

このプロパティーに割り当てる値は、Notification@abc-company.com などのインターネット・アドレスである必要があります。このプロパティーが設定されていない場合、アプリケーション・サーバーは、E メールの fromAddress である WebSphereNotification@ibm.com を使用します。

通知
デフォルト なし

com.ibm.websphere.crypto.config.certexp.notify.textEncoding

このセキュリティー・プロパティーは、証明書有効期限通知 E メールのテキスト・エンコード文字セットをカスタマイズする場合に使用します。

WebSphere Application Server から、米国英語またはマシンのデフォルト文字セット (英語以外のロケールが指定されている場合) のいずれかを使用した証明書有効期限通知 E メールが送信されます。証明書有効期限通知 E メールに別のテキスト・エンコード文字セットを設定する場合は、このプロパティーを使用してテキスト・エンコード文字セットをカスタマイズできます。

通知
デフォルト なし

com.ibm.websphere.lookupRegistryOnProcess

レルム・レジストリー検索がリモート・サーバー上の MBean を使用して実行され、レルムがローカル OS セキュリティーである場合、このプロパティーを設定できます。

デフォルトでは、ユーザー・レジストリー・タスクの listRegistryUsers および listRegistryGroups が現行プロセスから検索を行います。Network Deployment (ND) の場合は、デプロイメント・マネージャーが行います。

ローカル OS ユーザー・レジストリーを処理する場合は、レジストリーがある実際のサーバーで検索を行う必要があります。ND 環境 の場合は、サーバーはリモート・マシンである可能性があります。レジストリーがあるサーバーのプロセスで 検索を実行するには、com.ibm.websphere.lookupRegistryOnProcess カスタム・プロパティー を true に設定します。

com.ibm.websphere.lookupRegistryOnProcess を設定していない、または false に設定している場合は、現行のプロセスで検索が行われます。このカスタム・プロパティーは、グローバル・セキュリティーの場合は setAdminActiveSecuritySettings タスク、セキュリティー・ドメインの場合は setAppActiveSecuritySettings タスクを使用して設定することができます。

com.ibm.websphere.security.allow.committed.response

このカスタム・プロパティーでは、コミットされた HTTP 応答が許可されるかどうかを指定します。

アプリケーション・サーバーは、コミットされた HTTP 応答を検出すると、 403 の汎用エラー・メッセージを表示します。 このプロパティーを true に設定すると、コミットされた HTTP 応答を許可して 403 のエラー・メッセージを抑止します。 カスタム・ログイン・モジュールを使用する構成で、モジュールは HTTP 応答をコミットしてカスタム・エラー・メッセージを表示することができます。

デフォルト値は false です。

com.ibm.websphere.security.allowAnyLogoutExitPageHost

アプリケーション・フォームを使用してログインおよびログアウトを行っている場合は、カスタム・ログアウト・ページの URL を指定することができます。 デフォルトでは、この URL は要求の実行対象のホスト、またはそのドメインを指している必要があります。 それ以外の場合は、カスタム・ログアウト・ページではなく、汎用ログアウト・ページが表示されます。 任意のホストを指せるようにする場合は、security.xml ファイル内のこのプロパティーの値を true に設定する必要があります。この プロパティーを true に設定すると、システムが URL リダイレクト・アタックを 受ける可能性が生じることがあります。

通知
デフォルト false

com.ibm.websphere.security.alwaysRestoreOriginalURL

このプロパティーを使用して、カスタム・フォーム・ログイン処理プログラムの使用時に、値が WASReqURL の Cookie を受け入れるかどうかを指示します。

このプロパティーを true に設定すると、WASReqURL という値が現在の URL よりも優先され、WASReqURL Cookie が後続の要求から削除されます。

このプロパティーを false に設定すると、現在の URL の値が優先され、WASReqURL Cookie が後続の要求から削除されません。

通知
デフォルト false

com.ibm.websphere.security.auth.setDRSBootstrap

データ複製サービス (DRS) が DRSbootstrap 機能を使用可能にするかどうかを指定します。

大量のデータを扱う環境では、動的キャッシュ・データ複製によって、サーバーの始動にかかる時間 が長くなる場合があります。データ複製が原因でサーバー始動が遅くなる 場合、このプロパティーをサーバー・セキュリティー設定に 追加し、false に設定します。このプロパティーが false に設定されている 場合、データ複製サービスは DRSbootstrap 機能を使用不可にします。

このプロパティーのデフォルトの設定値は true です。

[z/OS]

com.ibm.websphere.security.cms.use.default

WebSphere Application Server を使用して生成された新規 CMS 鍵ストア用に CMSProvider のデフォルトのバージョンを z/OS 上で v4 から v3 に変更するかどうかを指定します。

CMSProvider バージョン 2.50 では、デフォルト指定バージョンは v4 です。生成される新規鍵ストアは v4 レベルになりますが、 z/OS は現在は v4 CMS 鍵ストアを使用できません。生成されるこれらの v4 CMS 鍵ストア用に com.ibm.websphere.security.cms.use.default=true を設定すると、 CMSProvider のデフォルト・バージョンが z/OS 上で v4 から v3 に変更されます。 これらの Java バージョンよりも前に鍵ストアが生成された場合、それらは既に v3 であり、z/OS 上で CMSProvider 2.50 と共に正常に機能します。

通知
デフォルト false

com.ibm.websphere.security.config.inherit.trustedRealms

このプロパティーは、ドメイン内のグローバル・セキュリティー構成から、グローバルなトラステッド・レルム設定を継承 するために使用されます。

セキュリティー構成のインバウンドおよびアウトバウンドのトラステッド・レルムは、 デフォルトでは継承されません。しかし、ドメイン内のグローバル・セキュリティー設定構成から の設定を構成で使用 (継承) したい場合があります。

このプロパティーの値は、true または false のいずれかに設定できます。

com.ibm.websphere.security.console.noSSLTreePortEndpoints

このプロパティーは、大規模なトポロジー構成の応答時間を改善するために使用します。

このプロパティーを true に設定すると、SSL ポートのエンドポイント状況は管理コンソール内の「エンドポイント・ セキュリティー構成の管理」ページに表示されません。SSL ポートのエンドポイント状況を表示すると、予想以上に応答時間が長くなるため、管理コンソールが機能していないように見える場合があります。

通知
デフォルト false

com.ibm.websphere.security.continueAfterTAIError

このプロパティーは、カスタム TAI がエラーを返した場合、ユーザーを自動的にログイン・ページに誘導します。

ブラウザーに URL を入力する必要なく、もう一度ログインを試みることができます。この振る舞いを有効にするには、このプロパティーを true に設定する必要があります。

通知
デフォルト false

com.ibm.websphere.security.customLTPACookieName

このプロパティーは、Lightweight Third Party Authentication (LTPA) トークンに使用される Cookie の名前をカスタマイズするために使用されます。

WebSphere Application Server バージョン 8.0 では、LTPA および LTPA2 トークンに使用される Cookie の名前をカスタマイズできます。カスタム Cookie 名により、シングル・サインオン (SSO) ドメイン間の認証を論理的に区別することができ、カスタマイズした認証を特定の環境に使用可能にすることができます。

この機能を活用するには、カスタム・プロパティーを設定する必要があります。 LTPA トークンの場合、カスタム・プロパティー com.ibm.websphere.security.customLTPACookieName を LTPA トークン Cookie として、com.ibm.websphere.security.customSSOCookieName を LTPA2 (SSO) トークン Cookie として、それぞれ有効な任意のストリング (特殊文字およびスペースは使用不可) に設定することができます。各プロパティーには、大/小文字の区別があります。

このプロパティーの値は、有効なストリングです。

注: このカスタム・プロパティーを設定する前に、以下を考慮してください。
  • このプロパティーは、ほとんどのカスタム・プロパティーと同様に、セキュリティー・ドメイン・レベルで設定することができます。 これによって、管理コンソール・ログインとアプリケーション・ログイン間で別々のログインを強制的に実施できます。
  • LtpaToken または LtpaToken2 の元の (デフォルトの) Cookie 名は、WebSphere Application Server バージョン 8.0 でも受け入れられ、信頼されます。これにより、Lotus® Domino® および WebSphere Portal (どちらもデフォルトの Cookie 名を利用する) などの製品との互換性を維持できます。
  • カスタム Cookie 名を設定することで、認証障害が発生する可能性があります。 例えば、カスタム Cookie プロパティーが設定されたサーバーへの接続では、ブラウザーにそのカスタム Cookie が送信されます。 そうすると、デフォルトの Cookie 名あるいは別の Cookie 名を使用するサーバーへの後続の接続では、インバウンド Cookie の検証によってその要求を認証することができません。
  • このプロパティーは、混合セル環境では正しく機能しません。 例えば、WebSphere Application Server バージョン 8.0 内のデプロイメント・マネージャーは、カスタム Cookie を作成できる可能性があります。例えば、この同じセル内に存在する WebSphere Application Server バージョン 7.0 ノードまたはサーバーは、この Cookie をどのように処理するかを理解しておらず、拒否することになります。
  • Lotus Domino や WebSphere Portal など、LTPA トークンを生成する WebSphere Application Server と対話する製品を利用する場合、これらの製品がカスタム LTPA Cookie 名を処理できない可能性があることに注意してください。カスタム LTPA Cookie 名の処理に関して、お使いの製品の資料を確認してください。
注: このプロパティーをアクティブにするには、WebSphere Application Server を再始動する必要があります。

com.ibm.websphere.security.customSSOCookieName

このプロパティーは、Lightweight Third Party Authentication Version 2 (LTPA2) トークンに使用される Cookie の名前をカスタマイズするために使用されます。

WebSphere Application Server バージョン 8.0 では、LTPA および LTPA2 トークンに使用される Cookie の名前をカスタマイズできます。カスタム Cookie 名により、シングル・サインオン (SSO) ドメイン間の認証を論理的に区別することができ、カスタマイズした認証を特定の環境に使用可能にすることができます。

この機能を活用するには、カスタム・プロパティーを設定する必要があります。 LTPA トークンの場合、カスタム・プロパティー com.ibm.websphere.security.customLTPACookieName を LTPA トークン Cookie として、com.ibm.websphere.security.customSSOCookieName を LTPA2 (SSO) トークン Cookie として、それぞれ有効な任意のストリング (特殊文字およびスペースは使用不可) に設定することができます。各プロパティーには、大/小文字の区別があります。

このプロパティーの値は、有効なストリングです。

注: このカスタム・プロパティーを設定する前に、以下を考慮してください。
  • このプロパティーは、ほとんどのカスタム・プロパティーと同様に、セキュリティー・ドメイン・レベルで設定することができます。 これによって、管理コンソール・ログインとアプリケーション・ログイン間で別々のログインを強制的に実施できます。
  • LtpaToken または LtpaToken2 の元の (デフォルトの) Cookie 名は、WebSphere Application Server バージョン 8.0 でも受け入れられ、信頼されます。これにより、Lotus Domino および WebSphere Portal (どちらもデフォルトの Cookie 名を利用する) などの製品との互換性を維持できます。
  • カスタム Cookie 名を設定することで、認証障害が発生する可能性があります。 例えば、カスタム Cookie プロパティーが設定されたサーバーへの接続では、ブラウザーにそのカスタム Cookie が送信されます。 そうすると、デフォルトの Cookie 名あるいは別の Cookie 名を使用するサーバーへの後続の接続では、インバウンド Cookie の検証によってその要求を認証することができません。
  • このプロパティーは、混合セル環境では正しく機能しません。 例えば、WebSphere Application Server バージョン 8.0 内のデプロイメント・マネージャーは、カスタム Cookie を作成できる可能性があります。例えば、この同じセル内に存在する WebSphere Application Server バージョン 7.0 ノードまたはサーバーは、この Cookie をどのように処理するかを理解しておらず、拒否することになります。
  • Lotus Domino や WebSphere Portal など、LTPA トークンを生成する WebSphere Application Server と対話する製品を利用する場合、これらの製品がカスタム LTPA Cookie 名を処理できない可能性があることに注意してください。カスタム LTPA Cookie 名の処理に関して、お使いの製品の資料を確認してください。
注: このプロパティーをアクティブにするには、WebSphere Application Server を再始動する必要があります。

com.ibm.websphere.security.delegateStarStarRoleAuthorization

com.ibm.websphere.security.delegateStarStarRoleAuthorization カスタム・プロパティーは、ロール名が ** の時に、セキュリティー・コードがすべての認証済みユーザーにアクセス権を付与するかどうかを定義します。
  • true - セキュリティー・コードは、プラグ可能な許可テーブルと相互作用せずにアクセス権限を付与します。
  • false - セキュリティー・コードは、プラグ可能な許可テーブルに決定を委任します。これはデフォルト値です。

com.ibm.websphere.security.displayRealm

このプロパティーは、HTTP 基本認証ログイン・ウィンドウに、 アプリケーションの web.xml ファイルで定義されていないレルム名を表示するかどうかを指定します。

注: アプリケーションの web.xml ファイルにレルム名が定義されている場合、このプロパティーは無視されます。
web.xml ファイルにレルム名が定義されていない場合、以下のいずれかが発生します。
  • プロパティーに false を設定すると、WebSphere レルム名の表示はデフォルト・レルムになります。
  • このプロパティーに true を設定すると、WebSphere レルム名の表示は、 LTPA 認証メカニズムの場合にはユーザー・レジストリー・レルム名、Kerberos 認証メカニズムの場合には Kerberos レルム名になります。
重要: このプロパティーに true を設定していて、ユーザー・レジストリーのレルム名に機密情報が含まれていると、それがユーザーに表示されます。 例えば、スタンドアロン LDAP 構成が使用されている場合には、LDAP サーバーのホスト名とポートが表示されます。 LocalOS の場合には、ホスト名が表示されます。
通知
デフォルト false
タイプ ストリング

com.ibm.websphere.security.disableGetTokenFromMBean

このプロパティーは、シングル・サインオンが使用可能になっているときに、アウトバウンド SOAP 呼び出しが発信元サーバーからサブジェクトを取得しないようにする場合に使用します。

通常、シングル・サインオンが使用可能になっていて、インバウンド要求を認証する必要がある場合、受信側サーバーは発信元のサーバーから認証を取り出そうとします。 このコールバック・プロセスの間は、送信サーバーと受信サーバーとの接続がタイムアウトになることはありません。

このプロパティーを true に設定すると、受信サーバーはインバウンド要求を認証しようとしません。
通知
デフォルト false

com.ibm.websphere.security.enableAuditForIsCallerInRole

このプロパティーを使用して、isCallerInRole メソッド呼び出しの監査を有効にします。

このプロパティーを false に設定すると、isCallerInRole の呼び出しの監査が無効になります。z/OS では、呼び出しに対する SMF レコードは発行されません。

通知
デフォルト true

com.ibm.websphere.security.goToLoginPageWhenTAIUserNotFound

TAI で提供されたユーザーがユーザー・レジストリーに見つからないときに、エラー・ページではなくログイン・ページが表示されるようにする場合に、 このプロパティーを使用します。

TAI で提供されたユーザーがユーザー・レジストリーに見つからない場合、 WebSphere Application Server はエラー・ページを表示します。 この動作を調整するには、このプロパティーに true を設定します。 これにより、ログイン・ページが表示されます。 このプロパティーのデフォルト設定は false で、 WebSphere Application Server の通常動作ではエラー・ページを表示します。

このプロパティーが true に設定されると、ログイン・ページが表示されます。
通知
デフォルト false

com.ibm.websphere.security.initializeRSAProperties

証明書の有効期限切れモニターの実行後に、ジョブ・マネージャー環境または管理エージェント環境で高い CPU 使用率が確認された場合は、ノードを複数のサーバーに分散して、1 つのサーバーでの CPU 負荷を削減する必要がある場合があります。

このプロパティーが false に設定されている場合、WebSphere では、RSA トークンに関連した SSL プロパティーの再初期設定は行われません。 このプロパティーを false に設定する前に、ご使用の環境でジョブ・マネージャーまたは管理エージェントが使用されていないことを確認してください。 これらのフィーチャーには RSA トークンが必要であり、このプロパティーは使用すべきではありません。

通知
デフォルト true

com.ibm.websphere.security.InvokeTAIbeforeSSO

シングル・サインオン (SSO) ユーザー認証に関連するトラスト・アソシエーション・インターセプター (TAI) のデフォルトの呼び出し順序は、このプロパティーを使用して変更することができます。デフォルトの順序では、トラスト・アソシエーション・インターセプター が SSO の後に呼び出されるようになっています。このプロパティーは、TAI と SSO の呼び出しのデフォルトの順序を変更する場合に使用します。このプロパティー値には、SSO の前に呼び出される TAI のクラス名をコンマ (,) で区切ったリストを設定します。

通知
デフォルト com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl
タイプ ストリング

com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain

デフォルトでは、JAAS 認証データ・エントリーがドメイン・セキュリティー・レベル で作成されるとき、エントリーの別名の形式は aliasName です。以下のプロパティーをドメイン・セキュリティー・レベルで設定 すると、別名にノード名を追加して nodeName/aliasName 形式でエントリーの別名を作成 できるようになります。

グローバル・セキュリティー・レベルで com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain=true を設定することで、すべてのセキュリティー・ドメインの JAAS 認証データ・エントリーの別名にノード名を追加することができます。

通知
デフォルト false

com.ibm.websphere.security.JAASAuthData.removeNodeNameGlobal

デフォルトでは、JAAS 認証データ・エントリーがグローバル・セキュリティー・レベルで作成されると、エントリーの別名の形式は nodeName/aliasName になります。エントリーの別名にノード名を追加できないようにするには、グローバル・セキュリティー・レベルでこのプロパティーの値を true に設定してください。

通知
デフォルト false

com.ibm.websphere.security.krb.canonical_host

このカスタム・プロパティーは、アプリケーション・サーバーが クライアントの認証で正規形式の URL/HTTP ホスト名を使用するかどうかを 指定します。このプロパティーは、SPNEGO TAI と SPNEGO Web の両方で使用できます。

このカスタム・プロパティーを false に設定すると、Kerberos チケットには、HTTP ホスト名ヘッダーとは異なるホスト名が含まれる場合があり、アプリケーション・サーバーから次のメッセージが表示される場合があります。
CWSPN0011E: An invalid SPNEGO token has been encountered while authenticating a HttpServletRequest
このカスタム・プロパティーを true に設定すると、このエラー・メッセージを回避することができ、アプリケーション・サーバーは正規形式の URL/HTTP ホスト名を使用して認証できるようになります。
通知
デフォルト true

com.ibm.websphere.security.ldap.logicRealm

このカスタム・プロパティーを使用して、トークンに入れられたレルムの名前を変更することができます。

このカスタム・プロパティーを使用して、インターオペラビリティーと後方互換性を実現するために、セルごとに独自の LDAP ホストを構成することができます。 また、LDAP ホストの動的追加や除去を柔軟に実行できるようにします。前のインストールをマイグレーションする場合、この変更されたレルム名は、 管理セキュリティーが再び使用可能になるまで有効になりません。 論理レルムをサポートしない前のリリースとの互換性を確保するために、 名前は前のインストールで使用したものと同じである必要があります。末尾のコロンおよびポート番号を含む LDAP ホスト名を使用してください。

通知
タイプ ストリング
このプロパティーは、スタンドアロン LDAP レジストリーのカスタム・プロパティーとして設定する必要があります。このカスタム・プロパティーを設定するには、管理コンソールで次のようにします。
  1. 「セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「ユーザー・アカウント・リポジトリー」において、「使用可能なレルム定義」リストを展開して、「スタンドアロン LDAP レジストリー」を選択し、「構成」をクリックします。
  3. 「カスタム・プロパティー」の下で、「新規」をクリックしてから、com.ibm.websphere.security.ldap.logicRealm「名前」フィールドに、トークンに入れられるレルムの新規名を「値」フィールドに入力します。
  4. このカスタム・プロパティーを選択してから、「適用」または「OK」をクリックします。

com.ibm.websphere.security.ldapSSLConnectionTimeout

このプロパティーを使用して、LDAP サーバーで SSL が有効になっている 場合に、Java 仮想マシン (JVM) がソケット接続を最大どれだけ待機したらタイムアウトを発行するのかを 示す時間をミリ秒単位で指定します。

サーバー・プロセスの開始時に 1 つ以上のスタンドアロン LDAP サーバーが オフラインであり、LDAP-SSL が有効になっている場合、 com.sun.jndi.ldap.connect.timeout カスタム・プロパティーに値を指定しても、 開始プロシージャーで最大 3 分の遅延が発生する可能性があります。LDAP-SSL が 有効になっている場合、com.sun.jndi.ldap.connect.timeout プロパティー に指定された値は無視されます。

このプロパティーに値が指定されている場合、JVM はソケット接続を実行しようとするときに、ディレクトリー・コンテキストの確立を試行する代わりに、 この接続タイムアウト値を使用しようとします。このプロパティーに 値が指定されていない場合、JVM はディレクトリー・コンテキスト の確立を試行します。

このプロパティーにはデフォルト値はありません。

com.ibm.websphere.security.logoutExitPageDomainList

アプリケーション・フォームを使用してログインおよびログアウトを行っている場合は、カスタム・ログアウト・ページの URL を指定することができます。 デフォルトでは、この URL は要求の実行対象のホスト、またはそのドメインを指している必要があります。 それ以外の場合は、カスタム・ログアウト・ページではなく、汎用ログアウト・ページが表示されます。 別のホストを指すようにする必要がある場合は、security.xml ファイル内のこのプロパティーに、ログアウト・ページで使用可能な URL のパイプ (|) で区切られたリストを取り込むことができます。

通知
デフォルト none

com.ibm.websphere.security.performTAIForUnprotectedURI

このプロパティーは、 管理コンソールで「無保護の URI にアクセスした場合に使用可能な認証データを使用する」が 選択されている場合の TAI 呼び出し動作を指定するために使用されます。

通知
デフォルト false
注: WebSphere Application Server の以前のバージョンでは、このカスタム・プロパティーのデフォルト値が true でした。 WebSphere Application Server バージョン 8.0.0.1 では、デフォルト値が false になりました。

com.ibm.websphere.security.recoverContextWithNewKeys

このプロパティーは、Web サービスまたは非同期 Bean 用の非同期セキュリティー処理の一部として 以前に保存されたセキュリティー・コンテキストを非直列化する際の動作に影響します。

このプロパティーが true に設定されている場合、 セキュリティー・コンテキストは、コンテキストが直列化されて以降に LTPA 鍵が変更 された場合であっても、非直列化されることができます。セキュリティー・コンテキストの 非直列化が、「無効な鍵またはトークン・タイプが原因で LTPA トークンの検証が失敗しました」という メッセージを含む WSSecurityException で失敗する場合、このプロパティーを true に設定する必要があります。

通知
デフォルト false

com.ibm.websphere.security.rsaCertificateAliasCache

このプロパティーは、別名キャッシュのサイズを制御するために使用されます。

デフォルト値は 5000 で、さらに大規模なデプロイメントの場合はこの値を増やすことができます。ジョブ・マネージャー・トポロジーの登録済みノードが 5000 を超えない限り、このプロパティーを追加する必要はありません。

値は、1 から N の範囲で入力する必要があります。ここで、N はジョブ・マネージャーに登録されたノード数以上の有効な正の整数です。

通知
デフォルト 5000

com.ibm.websphere.security.setContextRootForFormLogin

WASReqURL Cookie が生成されるたびに固有のパス名を設定する場合に、このプロパティーを使用します。

ブラウザーは、WASReqURL Cookie がそれぞれ固有のパス名を持つ限り、複数の WASReqURL Cookie を保持することができます。 このプロパティーが true に設定されると、WASReqURL Cookie が生成されるたびに固有のパス名が設定されます。 そのため、同じアプリケーション・サーバーに、ログイン・メソッドとしてフォーム・ログインを使用するアプリケーションが複数インストールされている場合には、 そのアプリケーション・サーバーのセキュリティー設定の 1 つとしてこのプロパティーを指定し、それに true を設定してください。

通知
デフォルト false

com.ibm.websphere.security.skip.canonical.lookup

特定のホスト名について、正規検索をスキップする必要がある場合にこのプロパティーを使用します。このプロパティーに指定する値は、大/小文字が区別され、SPNEGO フィルターのホスト名と一致する必要があります。

WebSphere Application Server は java.net.InetAddress #getCanonicalHostName() Java API が実際のホスト名を返すことを期待します。状況によっては、この API は、ホスト名の代わりに IP アドレスのストリング表記を返します。 このシナリオが発生すると、WebSphere Application Server は、着信要求が SPNEGO 認証のために評価される必要があることを認識できません。

この状態が発生した場合は、ご使用のセキュリティー構成設定にこのカスタム・プロパティーを追加し、正規検索が行われないようにしたいホスト名をこのプロパティーに設定します。

複数のホスト名をこのプロパティーの値として指定するには、指定する必要のあるホスト名の区切り文字として | 記号を使用します。例えば、ホスト名 myhost1.mycompany.com と myhost2.mycompany.com に対して正規検索が行われないようにするには、このプロパティーに次の値を指定します。
myhost1.mycompany.com|myhost2.mycompany.com
通知
デフォルト なし

com.ibm.websphere.security.spnego.useBuiltInMappingToSAF

このプロパティーを使用して、SPNEGO Web 認証で、Kerberos プリンシパルから RACF ID へのマッピングが確実に実行されるようにします。

このプロパティーをセキュリティー設定に追加 して true に設定しない場合、SPNEGO Web 認証のための Kerberos プリンシパル から RACF ID へのマッピングは実行されません。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): Kerberos 認証 が SPNEGO Web 認証と組み合わせて使用される場合、 Kerberos または SPNEGO のいずれかに対して組み込みマッピングを構成 すると、両方に対してマッピングが行われる結果になります。gotcha
通知
デフォルト false

com.ibm.websphere.security.strictCredentialExpirationCheck

ローカル Enterprise JavaBeans (EJB) 呼び出し に対してクレデンシャルの期限切れ検査が実行されるかどうかを指定します。通常、ある EJB がローカル・マシン内の別の EJB を呼び出す場合、ローカルの EJB 呼び出しが発生する前に元の呼び出し側のクレデンシャルが有効期限切れになっていた場合でも、直接メソッド起動が実行されます。

このプロパティーを true に設定していた場合、EJB がローカル・マシン上で呼び出される前に、クレデンシャルの期限切れ検査がこのローカルの EJB 呼び出しに対して実行されます。クレデンシャルが有効期限切れになっていた場合、この EJB 呼び出しは拒否されます。

このプロパティーを false に設定していた場合、ローカルの EJB 呼び出しに対してクレデンシャルの期限切れ検査は実行されません。

通知
デフォルト false

com.ibm.websphere.security.tokenFromMBeanSoapTimeout

このプロパティーを使用して、シングル・サインオンが使用可能になっている場合に、アウトバウンド SOAP 呼び出しが発信サーバーから適切な認証を取り出すまで、受信サーバーが待機する時間を指定します。

このプロパティーにはデフォルト値はありません。値が指定されない場合、グローバル SOAP タイムアウト値は SOAP 接続のタイムアウト値として使用されます。

com.ibm.websphere.security.useActiveRegistryForNewDefaultSSOTokens

このプロパティーは、新しいデフォルトのシングル・サインオン (SSO) トークンの作成時にアクティブ・ユーザー・レジストリーを使用する必要があることを指示するために使用します。

通常、着信 SSO 認証トークンのアクセス ID と許可トークンのプリンシパル名の間に不一致がある場合に、デフォルトの SSO トークンが必ず作成されます。 この不一致の考えられる原因は、レルムが異なることです。 例えば、管理ドメインが LocalOS レジストリーを使用していて、アクティブ・レジストリーが LDAP である場合などに不一致が発生します。

このプロパティーを true に設定すると、新規 SSO トークンは LDAP レジストリーを使用して作成されるようになります。

このプロパティーのデフォルト値は false です。

com.ibm.websphere.security.useLoggedSecurityName

これは、ユーザー・レジストリーのカスタム・プロパティーです。このプロパティーは、WSCredential 作成の動作を変更します。

false を設定すると、WSCredential を構成するために、 ユーザー・レジストリーによって戻されたセキュリティー名が常に使用されることを示します。

true を設定すると、ログイン・モジュールで指定されたセキュリティー名が使用されるか、 ユーザー・レジストリーで指定された表示名が使用されることを示します。この設定は、WebSphere Application Server バージョン 6.1 およびそれ以前のバージョンと互換性があります。

通知
デフォルト false

com.ibm.websphere.security.util.csiv2SessionCacheIdleTime

このプロパティーでは、CSIv2 セッションが削除されずにアイドルであることが可能な時間をミリ秒単位で指定します。com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled カスタム・プロパティー が true に設定されていて、CSIv2 セッション・キャッシュの最大サイズを超えると、 セッションは削除されます。

ステートフル・セッションを使用可能に設定し、 com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled カスタム・プロパティーに true を設定し、 com.ibm.websphere.security.util.csiv2SessionCacheMaxSize カスタム・プロパティーに値を設定した場合にのみ、このカスタム・プロパティーが適用されます。ご使用の環境で Kerberos 認証を利用していて、構成された鍵配布センター (KDC) のクロック・スキューが短い場合は、このカスタム・プロパティーの値を減らすことを検討してくださいこのシナリオでは、短いクロック・スキューは 20 分未満に定義されています。
重要: 値が、期待される範囲の値と照合して検証されないため、カスタム・プロパティー・パネルを使用してこの機能に値を設定しないでください。代わりに、管理コンソールで以下のステップを行って表示される CSIv2 アウトバウンド通信パネルで、この値を設定してください。
  1. 「セキュリティー」を展開し、「グローバル・セキュリティー」をクリックします。
  2. RMI/IIOP セキュリティー」セクションを展開し、「CSIv2 アウトバウンド通信」をクリックします。
「アイドル・セッション・タイムアウト (Idle session timeout)」フィールドに値を設定できます。 ただし、CSIv2 アウトバウンド通信パネルでこの値を指定する場合、管理コンソールの値は、ミリ秒単位ではなく、秒単位で要求されます。

このカスタム・プロパティーの値の範囲は、60,000 ミリ秒から 86,400,000 ミリ秒です。デフォルトでは、値は設定されていません。

com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled

このカスタム・プロパティーは、CSIv2 セッション・キャッシュのサイズを制限するかどうかを指定します。

このカスタム・プロパティーの値に true を設定した場合には、 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime と com.ibm.websphere.security.util.csiv2SessionCacheMaxSize のカスタム・プロパティーに値を設定する必要があります。このカスタム・プロパティーに false を設定すると、 CSIv2 セッション・キャッシュは制限されません。デフォルトのプロパティー値は false です。

ご使用の環境で Kerberos 認証を使用していて、 構成されている鍵配布センター (KDC) のクロック・スキューが小さい場合、このカスタム・プロパティーに true を設定することを検討してください。このシナリオでは、小さいクロック・スキューは 20 分未満に定義されています。 クロック・スキューが小さいと、拒否される CSIv2 セッションの数が増える可能性があります。 ただし、com.ibm.websphere.security.util.csiv2SessionCacheIdleTime カスタム・プロパティーの値が小さいと、 アプリケーション・サーバーは、拒否されたこれらのセッションをより頻繁にクリーンアップして、リソース不足を削減できる可能性があります。

重要: このカスタム・プロパティーは、ステートフル・セッションを使用可能にした場合にのみ適用されます。
重要: CSIv2 セッション・キャッシュ制限オプションはカスタム・プロパティーとして使用可能にできますが、 管理コンソールで以下のステップを行って表示される CSIv2 アウトバウンド通信パネルでこのオプションを使用可能にすることが推奨されます。
  1. 「セキュリティー」を展開し、「グローバル・セキュリティー」をクリックします。
  2. RMI/IIOP セキュリティー」セクションを展開し、「CSIv2 アウトバウンド通信」をクリックします。
「CSIv2 セッション・キャッシュ限度を使用可能にする (Enable CSIv2 session cache limit)」オプションを使用可能にすることができます。 デフォルト値は false です。

com.ibm.websphere.security.util.csiv2SessionCacheMaxSize

このプロパティーは、セッション・キャッシュの最大サイズを指定します。これを超えると、期限切れセッションがキャッシュから削除されます。

期限切れセッションとは、アイドルの状態で com.ibm.websphere.security.util.csiv2SessionCacheIdleTime カスタム・プロパティーで指定された時間を超えたセッションとして定義されます。com.ibm.websphere.security.util.csiv2SessionCacheMaxSize カスタム・プロパティーを使用する場合、100 エントリーから 1000 エントリーでその値を設定するように検討します。

ご使用の環境で Kerberos 認証を使用していて、 構成されている鍵配布センター (KDC) のクロック・スキューが小さい場合に、このカスタム・プロパティー値の指定を検討してください。このシナリオでは、小さいクロック・スキューは 20 分未満に定義されています。 キャッシュ・サイズが小さいためにガーベッジ・コレクションが頻繁に実行されて、アプリケーション・サーバーのパフォーマンスに影響する場合には、 このカスタム・プロパティーの値を増やすことを検討してください。

ステートフル・セッションを使用可能に設定し、 com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled カスタム・プロパティーに true を設定し、 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime カスタム・プロパティーに値を設定した場合にのみ、このカスタム・プロパティーが適用されます。

重要: 値が、期待される範囲の値と照合して検証されないため、カスタム・プロパティー・パネルを使用してこの機能に値を設定しないでください。代わりに、管理コンソールで以下のステップを行って表示される CSIv2 アウトバウンド通信パネルで、この値を設定してください。
  1. 「セキュリティー」を展開し、「グローバル・セキュリティー」をクリックします。
  2. RMI/IIOP セキュリティー」セクションを展開し、「CSIv2 アウトバウンド通信」をクリックします。
「最大キャッシュ・サイズ」フィールドに値を設定することができます。

このカスタム・プロパティーの値の範囲は、100 エントリーから 1000 エントリーです。 デフォルトでは、値は設定されていません。

[AIX Solaris HP-UX Linux Windows][z/OS]

com.ibm.websphere.security.util.postParamMaxCookieSize

このプロパティーでは、セキュリティー・コードが生成する WASPostParam Cookie の サイズ制限を設定します。

「無保護の URI にアクセスした場合に使用可能な認証データを使用する」オプションが 有効になっていて、フォーム・ベースの認証が使用されていると、ターゲット URL が 保護されていなくても、HTTP POST 要求の認証プロシージャーで WASPOSTParam が 生成されます。WASPOSTParam Cookie は、HTTP POST パラメーターの保管に使用される 一時的な Cookie です。これが生成されると、HTTP 応答と一緒に 不要な Cookie が Web クライアントに送信されます。その結果、 Cookie のサイズがブラウザーの制限を超えた場合に、予期しない振る舞いを 引き起こすことがあります。この振る舞いを回避するには、com.ibm.websphere.security.util.postParamMaxCookieSize を 設定して、Cookie がこのプロパティーで指定する最大サイズを超えた場合に、セキュリティー・コードが Cookie の生成を 停止するようにします。このプロパティーの値は、 正の整数でなければなりません。またこの値は、Cookie の最大サイズを バイトで表しています。
通知
デフォルト none

com.ibm.websphere.security.web.removeCacheOnFormLogout

このカスタム・プロパティーを使用して、フォーム・ログアウトが起こったときに、キャッシュに入れられた オブジェクトが認証キャッシュおよび動的キャッシュから削除されるかどうかを 指定します。 フォーム・ログアウトは、ユーザーがすべての Web ブラウザー・セッションを閉じる必要なく、アプリケーションを ログアウトすることを可能にする仕組みです。

このプロパティーが false に設定されている場合、フォーム・ログアウトが発生したときに、対応するキャッシュ・エントリーは 認証キャッシュおよび動的キャッシュから削除されません。結果として、フォーム・ログアウト の後に同じユーザーがもう一度ログインすると、キャッシュに入れられたオブジェクトは再使用されます。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): キャッシュに入れられたオブジェクトは、元は前のログイン・セッション中に作成されたものなので、 オブジェクトの有効期限は構成されたタイムアウト値よりも短い場合があります。gotcha

このプロパティーが true に設定されている場合、フォーム・ログアウトが発生すると、 キャッシュ・エントリーは認証キャッシュおよび動的キャッシュから削除されます。

デフォルト値は true です。

com.ibm.websphere.security.web.setLTPATokenCookieToUnprotectedURI

このカスタム・プロパティーでは、インバウンドの Web リソース要求に対する Lightweight Third Party Authentication (LTPA) トークンの Cookie 生成に関する動作を指定します。

このプロパティーが true の場合、要求の対象が保護された Web リソースであるか、無保護の Web リソースであるかに関係なく、 アプリケーション・サーバーは、正常に認証されたすべてのリソース要求について、LTPAToken Cookie を生成して設定します。 この動作は、WebSphere Application Server バージョン 6.1 における動作と異なるため、バージョン 6.1 用に開発された一部のアプリケーションが、それより後のバージョンで動かなくなる可能性があります。

このプロパティーに false を設定すると、保護された Web リソースについてのみ LTPAToken Cookie を生成します。 この動作は、WebSphere Application Server バージョン 6.1 と互換性があります。

デフォルト値は true です。

com.ibm.websphere.security.webAlwaysLogin

このプロパティーは、ID が既に認証済みの場合に、login() メソッドが例外をスローするかどうかを指定します。 このプロパティーに true を設定することにより、この動作を上書きできます。

通知
デフォルト false
タイプ ストリング
注: login() メソッドは、HttpServletRequest に SSO 情報があるかどうかに関係なく、常にユーザー ID とパスワードを使用して WebSphere Application Server に対して認証を行います。

com.ibm.websphere.ssl.include.ECCiphers

このカスタム・プロパティーは、WebSphere Application Server のデフォルトの暗号スイートに Elliptical Curve Cryptography (ECC) 暗号が含まれるかどうかを指定します。

このプロパティーが設定されていないか、または false に設定されている場合、 アプリケーション・サーバーはデフォルトでは ECC 暗号を含みません。デフォルト暗号スイートのリストに ECC 暗号を含めるには、このプロパティーを true に設定します。SP800-131a または Suite B が有効にされている場合、ECC 暗号は常にデフォルトで含まれます。

通知
デフォルト true
タイプ ストリング

com.ibm.websphere.ssl.retrieveLeafCert

このカスタム・プロパティーは、「ポートからの取得」機能によってルート証明書ではなくリーフ証明書を取得できるようにします。

「ポートからの取得」では、ルート証明書ではなくリーフ証明書が取得されます。 リーフ証明書を取得するためには、カスタム・プロパティー com.ibm.websphere.ssl.retrieveLeafCert を true に設定する必要があります。

このプロパティーが設定されていない場合、または false に設定されている場合は、ポートからの取得機能はルート証明書を取得します。ポートからの取得機能でルート証明書ではなく、リーフ証明書を取得する場合は、このプロパティーを true に設定します。

通知
デフォルト false
タイプ ストリング

com.ibm.ws.security.addHttpOnlyAttributeToCookies

このカスタム・プロパティーを使用して、シングル・サインオン (SSO) の Cookie に HTTPOnly 属性を設定することができます。

com.ibm.ws.security.addHttpOnlyAttributeToCookies カスタム・プロパティーを使用して、機密値を含む Cookie を保護することができます。 このカスタム・プロパティーの値に true を設定した場合には、 アプリケーション・サーバーは、サーバーで値が設定される SSO Cookie に、HTTPOnly の属性を設定します。HTTPOnly 属性により、Cookie 内の機密値を保護することができます。

また、true の値は、アプリケーション・サーバーが、 HTTPOnly 属性を持つインバウンド Cookie を適切に認識、受諾、および処理できるようにし、 また、クロスサイト・スクリプティング が機密の Cookie 情報にアクセスできないようにします。

Web サーバーに影響を与える一般的なセキュリティーの問題として、クロスサイト・スクリプティングがあります。クロスサイト・スクリプティングとは、ユーザー入力を HTML としてレンダリングする際によく発生するサーバー・サイドのぜい弱性です。クロスサイト・スクリプティングのアタックがあると、Web サイトのユーザーに関する機密情報が漏えいする可能性があります。最新の Web ブラウザーでは、HTTPOnly 属性を使用してこのアタックを回避します。この属性を持つ Cookie を HTTPOnly cookie と呼びます。HTTPOnly Cookie 内の情報は、ハッカーまたは悪意ある Web サイトに対して開示される可能性が低くなります。HTTPOnly 属性について詳しくは、Open Web Application Security Project (OWASP) の Web サイトを参照してください。

重要: このカスタム・プロパティーを使用した場合、アプリケーション・サーバーを通して渡されるすべての Cookie に HTTPOnly 属性が追加されるわけではありません。また、アプリケーション・サーバーが作成する、他の非セキュア Cookie には、この属性が追加されません。非 HTTPOnly Cookie のリストには、以下が含まれます。
  • JSESSIONID Cookie
  • 別のソフトウェア・ベンダーのオーセンティケーターまたはプロバイダーが作成した SSO Cookie
  • HTTPOnly 属性をまだ含まないクライアントまたはブラウザーの Cookie
管理コンソールのシングル・サインオン・パネルでこのカスタム・プロパティーを設定または削除するには、以下のいずれかを行います。
  1. 「セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「認証」の下で、「Web および SIP セキュリティー」>「シングル・サインオン (SSO)」とクリックします。
通知
デフォルト true
タイプ ブール

com.ibm.ws.security.allowNonAdminToSecurityXML

このプロパティーは、非管理セキュリティー・ロール が security.xml ファイルの変更を許可されるかどうかを指定します。 このプロパティーを true に設定すると、非管理セキュリティー・ロールに、security.xml ファイルを変更する機能が与えられます。 バージョン 6.1 以降では、デフォルトで、非管理セキュリティー・ロールが security.xml ファイルを変更することができます。

通知
デフォルト false
タイプ ブール

com.ibm.ws.security.config.SupportORBConfig

プロパティーのオブジェクト・リクエスト・ブローカー (ORB) を検査するか検査しないかを指定します。このプロパティーは、システム・プロパティーとして設定する必要があります。このプロパティーを true または yes に設定すると、プロパティーの ORB が検査されます。他のすべての設定値の場合、ORB は完全に無視されます。

このプロパティーは、プラグ可能アプリケーション・クライアントが WebSphere Application Server に接続する際に使用されます。具体的には、セキュリティー・プロパティーが含まれたハッシュ・マップが、新規の InitialContext(env) 呼び出しのハッシュ・マップ内で受け渡される場合は、必ずこのプロパティーが使用されます。

com.ibm.ws.security.createTokenSubjectForAsynchLogin

このリリースでは、コンテキスト・プロキシーまたは非同期 Bean から呼び出された場合、実際の LTPA トークン・データは WSCredential.getCredentialToken() 呼び出しから利用できません。 既存の構成については、com.ibm.ws.security.createTokenSubjectForAsynchLogin カスタム・プロパティーを追加し、値を true に設定すると、LTPAToken をコンテキスト・プロキシーおよび非同期 Bean に転送することができます。 このプロパティーにより、 ポートレットは LTPA トークンの転送を正常に実行できます。このカスタム・プロパティーでは、大/小文字を区別します。アプリケーション・サーバーは、このカスタム・プロパティーを追加してから再起動してください。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): このカスタム・プロパティーは、サーバー A が、 コンテキスト・プロキシーまたは非同期 Bean からサーバー B に EJB 呼び出しを行うというシステム条件にのみ適用されます。 このプロパティーは、JAAS ログインのシチュエーションには適用されません。gotcha
通知
デフォルト 該当なし

com.ibm.ws.security.defaultLoginConfig

このプロパティーは WEB_INBOUND、RMI_OUTBOUND、または RMI_INBOUND ログイン構成カテゴリーに属さないログインに使用する JAAS ログイン構成です。

特定の JAAS プラグ・ポイントのない内部認証およびプロトコルは、com.ibm.ws.security.defaultLoginConfig 構成によって参照されるシステム・ログイン構成を呼び出します。

通知
デフォルト system.DEFAULT

com.ibm.ws.security.failSSODuringCushion

com.ibm.ws.security.failSSODuringCushion カスタム・プロパティーを使用して、LTPA トークンの カスタム JAAS サブジェクト・データを更新します。

このカスタム・プロパティーに true を設定しないと、新しい JAAS サブジェクトがカスタム JAAS サブジェクト・データを含まないことがあります。

デフォルト値は true です。

com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA

com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA カスタム・プロパティーを使用して、Java クライアントで PKCS11 タイプの鍵ストアを使用しようとして発生した「無効なライブラリー名」のエラーを修正します。

[z/OS]また、 分散オペレーティング・システムと z/OS オペレーティング・システムがハードウェア暗号方式に使用するプロバイダー・タイプが異なるために、 IBMJCECCA プロバイダーを使用する場合にも、このカスタム・プロパティーを使用します。

ssl.client.props ファイルが構成ファイルを指し、同様に、 構成ファイルが暗号デバイスのライブラリー名を指します。Java クライアントのコードが、正しいプロバイダー名の鍵ストア・タイプを探します。このカスタム・プロパティーが指定されないと、PKCS11 の鍵ストア・タイプ定数は、代わりに IBMPKCS11Impl プロバイダーを参照するため、正しく指定されません。また Lightweight Third Party Authentication (LTPA) コードも、プロバイダー・リストを使用して、 Java Cryptography Extension (JCE) プロバイダーを決定します。このアプローチでは、Secure Sockets Layer (SSL) アクセラレーションを試行したときに、問題が発生します。 それは、java.security ファイル内で IBMJCE プロバイダーの前に IBMPKCS11Impl プロバイダーがリストされる必要があるためです。

このカスタム・プロパティーは、SSL と他の暗号メカニズムがハードウェア・アクセラレーションを使用できるように、 両方の問題を修正します。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): LTPA のソフトウェア鍵が、多くのアクセラレーター・カードで必要な java.security.interfaces.RSAPrivateCrtKey インターフェースを実装していないため、LTPA はハードウェア・アクセラレーションを使用できません。gotcha

Java クライアントで PKCS11 タイプの鍵ストアを使用する場合は、このカスタム・プロパティーに true を設定します。

通知
デフォルト false

com.ibm.ws.security.ltpa.useCRT

このプロパティーは、新規 LTPA2 (SSO) トークンの作成時に行われる sign() オペレーションの際、CPU 使用率を改善するために使用します。 このプロパティーを true に設定すると、製品は、新規トークンの署名時に Chinese Remainder Theorem (CRT) アルゴリズムを実装します。 このプロパティーは、以前のスタイルの LTPA トークンには効果はありません。

通知
デフォルト false

com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA

com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA カスタム・プロパティーを使用して、ソフトウェアで RSA トークン検証が行われるよう強制します。

一部のハードウェア暗号カードは RSA トークンと互換性がありません。 「RSA トークンの署名は検証されませんでした (The signature of the rsa token was not verified)」というメッセージを受信する場合は、セキュリティー検証に RSA トークンではなく LTPA 認証メカニズムを使用する必要があるかもしれません。セキュリティー検証の設定を変更するには、次のようにします。
  1. 管理コンソールで、「グローバル・セキュリティー」 > 「管理認証 (Administrative authentication)」をクリックし、「RSA トークン」を選択解除します。
  2. 「アクティブなアプリケーション認証メカニズムのみを使用する」を選択します。
  3. 「カスタム・プロパティー」 をクリックしてから「新規」をクリックし、セキュリティー設定に com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA カスタム・プロパティーを追加します。
  4. 「名前」フィールドに com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA を、「値」フィールドに true を追加します。

このプロパティーが true に設定されている場合、IBMJCECCA の代わりにデフォルトのソフトウェア JCE プロバイダーが、セキュリティー検証のために使用されます。

通知
デフォルト false

com.ibm.ws.security.ssoInteropModeEnabled

このプロパティーは、Web 要求への応答で LtpaToken2 および LtpaToken Cookies を送信するかどうかを決定します (相互操作可能)。

このプロパティー値が false の場合、 アプリケーション・サーバーはより強力なほうの新規 LtpaToken2 Cookie を送信するだけであり、 他のなんらかの製品およびバージョン 5.1.1 より古いリリースの WebSphere Application Server と相互操作を行うことはできません。 ほとんどの場合、古い LtpaToken Cookie は必要ないため、このプロパティーを false に設定できます。

通知
デフォルト true

com.ibm.ws.security.unprotectedUserRegistryMethods

UserRegistry インターフェースの、リモート・アクセスから保護しないメソッドの名前 (getRealm、getUsers、および isValidUser など) を指定します。複数のメソッド名を指定する場合には、 スペース、コンマ、セミコロン、およびセパレーター・バーのいずれかで名前を区切ります。有効なメソッド名の全リストについては、UserRegistry インターフェース・ファイルの実装を参照してください。

このプロパティーの値として * を指定すると、 すべてのメソッドがリモート・アクセスから無保護になります。このプロパティーに値が指定されないと、すべてのメソッドがリモート・アクセスから保護されます。

保護された UserRegistry インターフェース・メソッドにリモートでアクセスしようとすると、 リモート・プロセスが例外 CORBA NO_PERMISSION、マイナー・コード 49421098 を受け取ります。

このプロパティーにはデフォルト値はありません。

com.ibm.ws.security.web.saml.disableDecodeURL

このプロパティーは、URL デコードを使用不可にするためのオプションを提供します。

SAML Web SSO が使用可能であり、SAML TAI が呼び出されると、元の要求 URL を保管するように Cookie が設定されます。認証後、 元の URL は、リダイレクトとして送信される前にデコードされます。このプロパティーの値が true に設定されている場合、 リダイレクト用の元の URL はデコードすることなく使用されます。このプロパティーを管理コンソールで設定するには、 「セキュリティー」>「グローバル・セキュリティー」>「カスタム・プロパティー」とクリックします。「新規」をクリックして新規カスタム・プロパティーおよびそれに関連する値を追加します。

通知
デフォルト false

com.ibm.ws.security.webChallengeIfCustomSubjectNotFound

このプロパティーは、シングル・サインオン LtpaToken2 ログインの振る舞いを決定します。

トークンにカスタム・キャッシュ・キーが含まれており、 カスタム・サブジェクトが見つからない場合、このプロパティーが true に設定されていると カスタム情報を再度収集する必要があるため、トークンが直接ログインに使用されます。また、信用情報の入力が求められ、ユーザーは再度ログインするよう要求されます。このプロパティー値が false に設定され、 カスタム・サブジェクトが見つからない場合、LtpaToken2 がログインおよびすべてのレジストリー属性の収集に使用されます。ただし、トークンは、ダウンストリームのアプリケーションが期待する特別な属性を取得しないことがあります。

通知
デフォルト true

com.ibm.ws.security.webInboundLoginConfig

このプロパティーは、インバウンド受信した Web 要求に使用する JAAS ログイン構成です。

ログイン構成が分かると、Web ログインの特定の事例を処理するカスタム・ログイン・モジュールをプラグインできるようになります。

通知
デフォルト system.WEB_INBOUND

com.ibm.ws.security.webInboundPropagationEnabled

このプロパティーは、受信した LtpaToken2 Cookie が、トークン内で指定された元のログイン・サーバーを検索する前に、伝搬された属性をローカルに検索するかどうかを決定します。 伝搬された属性が受信されると、サブジェクトが再生成され、カスタム属性が保存されます。

データ複製サービス (DRS) を構成して、 伝搬された属性をフロントエンド・サーバーに送信し、伝搬された属性をローカル動的キャッシュ検索で 見つけられるようにできます。 そのようにしない場合、MBean 要求が元のログイン・サーバーに送信され、 これらの属性を取得します。

通知
デフォルト true

com.ibm.ws.security.web.logoutOnHTTPSessionExpire

このプロパティーは、HTTP セッション・タイマーの満了後にユーザーをログアウトするかどうかを指定します。

false に設定すると、シングル・サインオン・トークン・タイムアウトが発生するまで、ユーザー・クレデンシャルはアクティブのままになります。
重要: com.ibm.ws.security.web.logoutOnHTTPSessionExpire プロパティーは、フォーム・ログインを使用しているアプリケーションにのみ適用されます。
通知
デフォルト false
必須 false
データ型 ブール

com.ibm.ws.security.WSSecureMapInitAtStartup

このプロパティーは、セキュリティー・キャッシュ (WSSecureMap) が、動的キャッシュの一部として、セキュリティー属性伝搬での使用のために初期化されることを設定します。

通知
デフォルト true

com.ibm.ws.security.WSSecureMapSize

このプロパティーは、セキュリティー・キャッシュ (WSSecureMap) のサイズを指定します。

注: com.ibm.ws.security.WSSecureMapSize に指定されるサイズは、 com.ibm.ws.security.WSSecureMapInitAtStartup が true に設定されている場合のみ使用されます。
通知
デフォルト 100
[z/OS]

com.ibm.ws.security.zOS.useSAFidForTransaction

このプロパティーは、サーバー ID を要求するトランザクション・メソッド (commit() や prepare() など) を呼び出す際のサーバー ID として、サーバーが z/OS 開始タスクのユーザー ID を使用できるようにする場合に使用します。この動作は、そのサーバーのサーバー ID の設定値とは無関係に実行されます。

例えば、ユーザー・リポジトリーに格納されている実際の ID ではない、自動生成されたサーバー ID を使用するようにサーバーを構成することができます。また、このサーバーでは CICS® 3.2 との通信が必要になる場合があり、CICS 3.2 では System Authorization Facility (SAF) の ID を使用する必要があります。com.ibm.ws.security.zOS.useSAFidForTransactiontrue に設定した場合、サーバーは CICS と通信する際に、自動生成された ID ではなく SAF の ID を使用します。

通知
デフォルト false

com.ibm.wsspi.security.cred.refreshGroups

このプロパティーは、Web サービス、Concurrency Utilities for Java EE、または非同期 Bean の非同期セキュリティー処理の一部として以前に保存されたセキュリティー・コンテキストをデシリアライズする際の動作に影響します。

このプロパティーが true に設定されている場合、 ユーザーと関連付けられたグループを取得するために、ユーザー・レジストリーがアクセスされます。ユーザーが まだレジストリー内に存在する場合、セキュリティー・コンテキストで直列化されたグループの代わりに、ユーザー・レジストリーからのグループ が使用されます。ユーザーがユーザー・レジストリー内で見つからず、verifyUser プロパティー が false に設定されている場合、セキュリティー・コンテキストからのグループ が使用されます。

通知
デフォルト false

com.ibm.wsspi.security.cred.verifyUser

このプロパティーは、Web サービスまたは非同期 Bean 用の非同期セキュリティー処理の一部として 以前に保存されたセキュリティー・コンテキストを非直列化する際の動作に影響します。

このプロパティーが true に設定されている場合、 セキュリティー・コンテキストからのユーザーがまだ存在しているかどうかを検証するため、ユーザー・レジストリー がアクセスされます。存在していない場合、WSLoginFailedException がスローされます。

通知
デフォルト false

com.ibm.wsspi.security.ltpa.tokenFactory

このプロパティーは、Lightweight Third Party Authentication (LTPA) トークンの検証に使用できる LTPA トークン・ファクトリーを指定します。

LTPA トークンにはトークン・タイプを指定するオブジェクト ID (OID) がないため、妥当性検査は、 トークン・ファクトリーが指定された順序で行われます。 アプリケーション・サーバーは、 妥当性検査が成功するまで各トークン・ファクトリーを使用してトークンを検証します。 このプロパティーに指定された順序として最も可能性が高いのは、受信したトークンの順序です。 複数のトークン・ファクトリーを指定する場合は、 パイプ (|) で区切ります。 パイプの前後には、スペースを入れないでください。

通知
デフォルト com.ibm.ws.security.ltpa.LTPATokenFactory | com.ibm.ws.security.ltpa.LTPAToken2Factory | com.ibm.ws.security.ltpa.AuthzPropTokenFactory

com.ibm.wsspi.security.token.authenticationTokenFactory

このプロパティーは、属性伝搬フレームワーク内で認証トークンに使用される実装を指定します。 このプロパティーは、 認証トークンとして使用するための、古い LTPA トークンの実装を提供します。

通知
デフォルト com.ibm.ws.security.ltpa.LTPATokenFactory

com.ibm.wsspi.security.token.authorizationTokenFactory

このプロパティーは、許可トークンに使用される実装を指定します。 このトークン・ファクトリーは、許可情報をエンコードします。

通知
デフォルト com.ibm.ws.security.ltpa.AuthzPropTokenFactory

com.ibm.wsspi.security.token.propagationTokenFactory

このプロパティーは、伝搬トークンに使用される実装を指定します。 このトークン・ファクトリーは、伝搬トークン情報をエンコードします。

伝搬トークンは実行のスレッド上にあり、特定のユーザー・サブジェクトとは関連付けられていません。 トークンは、 プロセスが先導する呼び出しダウンストリーム・フローに従います。

通知
デフォルト com.ibm.ws.security.ltpa.AuthzPropTokenFactory

com.ibm.wsspi.security.token.singleSignonTokenFactory

このプロパティーは、シングル・サインオン (SSO) トークンに使用される実装を指定します。 これは、com.ibm.ws.security.ssoInteropModeEnabled プロパティーの状態に関係なく、伝搬が使用可能の場合に設定される Cookie です。

デフォルトでは、この実装は LtpaToken2 Cookie です。

通知
デフォルト com.ibm.ws.security.ltpa.LTPAToken2Factory

com.ibm.wsspi.wssecurity.kerberos.failAuthForExpiredKerberosToken

このプロパティーを使用すると、要求に対する Kerberos トークンの有効期限が切れた後に、その要求の認証をシステムでどのように処理するかを指定できます。

このプロパティーを true に設定しているときに、Kerberos トークンの有効期限切れの後そのトークンがリフレッシュできないと、要求の認証は失敗します。

このプロパティーを false に設定しているときに、たとえトークンの有効期限が切れても、この要求の認証は失敗しません。

このプロパティーのデフォルト値は false です。

security.allowCustomHTTPMethods

このカスタム・プロパティーを使用して、カスタム HTTP メソッドを許可します。 カスタム HTTP メソッドは、標準 HTTP メソッド (DELETE、GET、HEAD、OPTIONS、POST、PUT、または TRACE) 以外のものです。

このプロパティーに false を設定すると (デフォルト)、URI パターンとカスタム HTTP メソッドの組み合わせが security-constraint 要素にリストされていない場合に、URI パターンのみを使用してセキュリティー制約の検索が実行されます。一致があれば、<auth-constraints> エレメントの値が適用されます。 この動作により、機密漏れの可能性を最小限にすることができます。

このプロパティーに true を設定すると、カスタム HTTP メソッドが、標準 HTTP メソッドとして扱われます。 許可の判断は、URI パターンと HTTP メソッドの両方によって行われます。 ターゲット URI を適切に保護するために、<web-resource-collection> エレメントに適切な HTTP メソッドがリストされるようにしてください。

security.enablePluggableAuthentication

このプロパティーは、現在使用されていません。代わりに、WEB_INBOUND ログイン構成を使用してください。

以下のステップを実行して、WEB_INBOUND ログイン構成を変更します。
  1. 「セキュリティー」 > 「グローバル・セキュリティー」とクリックします。
  2. 「Java Authentication and Authorization Service」の下の「システム・ログイン」をクリックします。
通知
デフォルト true

security.useDefaultPolicyWhenJ2SDisabled

NullDynamicPolicy.getPermissions メソッドでは、このプロパティーが true に設定されている場合に、デフォルトのポリシー・クラスに許可オブジェクトの作成を代行させるオプションが提供されます。 このプロパティーを false に設定すると、空の許可オブジェクトが返されます。

通知
デフォルト false

security.useAllSSLClientAuthKeytypes

このプロパティーは、SSL クライアント認証を使用して、SSL ハンドシェーク中にクライアントとして機能している時に、ターゲット・サーバーによって提供されるすべての SSL 鍵タイプが、クライアント証明書の選択で使用されるようにするために使用します。

SSL クライアント認証で、WebSphere Application Server は、ターゲット・サーバーによって送信された証明書要求で提供されているすべての SSL 鍵タイプは取得しません。WebSphere は、最も望ましい SSL 鍵タイプのみを取得します。SSL 鍵タイプが、最も望ましい SSL 鍵タイプと一致しない場合は、鍵ストアに正しい SSL クライアント証明書があっても、WebSphere はクライアント証明書を送信しません。

WAS_customUserMappingImpl

このセキュリティー・プロパティーは、カスタム UserMapping クラスをプラグインするために使用されます。この値は、カスタム・ユーザー・マッピング・クラス名と共にセキュリティー・トップレベルで設定された場合、証明書ユーザー・マッピングまたは ID アサーション・ユーザー・マッピング (あるいは両方) のカスタマイズに使用されます。 ユーザーは、カスタム・クラスが組み込まれた JAR ファイルを WAS_HOME/lib/ext に配置する必要があります。


トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_seccustomprop
ファイル名:usec_seccustomprop.html