トークン・コンシューマー構成の設定

このページを使用して、トークン・コンシューマーのための情報を指定します。 この情報は、コンシューマー側でセキュリティー・トークンを処理するためにのみ使用されます。

セル・レベルでこの管理コンソール・ページを表示するには、以下のステップを実行します。
  1. 「セキュリティー」 > 「JAX-WS および JAX-RPC セキュリティー・ランタイム (JAX-WS and JAX-RPC security runtime)」をクリックします。
  2. 「JAX-RPC デフォルト・コンシューマー・バインディング (JAX-RPC Default Consumer Bindings)」の下で、「トークン・コンシューマー」 > token_consumer_name とクリックするか、 「新規」をクリックして新規トークン・コンシューマーを作成します。
サーバー・レベルでこの管理コンソール・ページを表示するには、以下のステップを実行します。
  1. 「サーバー」 > 「サーバー・タイプ」 > 「WebSphere Application Server」 > server_nameとクリックします。
  2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
    混合バージョン環境 (Mixed-version environment) 混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv
  3. 「JAX-RPC デフォルト・コンシューマー・バインディング (JAX-RPC Default Consumer Bindings)」の下で、「トークン・コンシューマー」 > token_consumer_name とクリックするか、 「新規」をクリックして新規トークン・コンシューマーを作成します。
バージョン 6 以降のアプリケーションについて、 アプリケーション・レベルでこの管理コンソール・ページを表示するには、以下のステップを実行します。
  1. 「アプリケーション」 > 「アプリケーション・タイプ」 > 「WebSphere エンタープライズ・アプリケーション」 > application_nameとクリックします。
  2. 「モジュールの管理」 > URI_nameとクリックします。
  3. 「Web Services Security プロパティー」において、 以下のバインディングの署名情報にアクセスすることができます。
    • 応答生成プログラム (送信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「応答ジェネレーター (送信側) バインディング」の下の「カスタムの編集」をクリックします。 「必須プロパティー」の下の「トークン・コンシューマー」をクリックします。
    • 応答コンシューマー (受信側) バインディングについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。 「応答コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。 「必須プロパティー」の下の「トークン・コンシューマー」をクリックします。
  4. 新規」をクリックして新規構成を指定するか、既存の構成の名前をクリックして、その設定を変更します。

追加プロパティーを指定する前に、「トークン・コンシューマー名」、「トークン・コンシューマー・クラス名」および「Value type local name」フィールドに値を指定します。

トークン・コンシューマー名

トークン・コンシューマー構成の名前を指定します。

例えば、デフォルトの X509 トークン・コンシューマー名は、暗号化の場合は con_enctcon、 署名の場合は con_signtcon とすることができます。また、カスタムの トークン・コンシューマー名は署名の場合は sig_tcon とすることができます。

トークン・コンシューマー・クラス名

トークン・コンシューマーの実装クラスの名前を指定します。

このクラスは、com.ibm.wsspi.wssecurity.token.TokenConsumerComponent インターフェースを実装する必要があります。

トークン・コンシューマー・クラス名

トークン・コンシューマーの実装クラスの名前を指定します。

Java™ Authentication and Authorization Service (JAAS) ログイン・モジュールの実装を使用して、 コンシューマー側でセキュリティー・トークンを検証 (認証) します。

パーツ参照

デプロイメント記述子で定義されるセキュリティー・トークンの名前の参照を指定します。

アプリケーション・レベルで、デプロイメント記述子にセキュリティー・トークンが指定されていない場合、 「パーツ参照」フィールドは表示されません。

証明書パス

トラスト・アンカーおよび証明書ストアを指定します。

以下のオプションを選択することができます。
なし
このオプションを選択した場合、証明書パスは指定されません。
すべてを信頼
このオプションを選択した場合は、すべての証明書が信頼されます。 受け取ったトークンが組み込まれるとき、証明書パスの妥当性検査は行われません。
専用署名情報
このオプションを選択した場合は、トラスト・アンカーおよび証明書ストアを指定することができます。 トラステッド証明書のトラスト・アンカーまたは証明書ストアを選択した場合、 証明書パスを設定する前にコレクション証明書ストアを構成する必要があります。

トラスト・アンカー

以下のレベルで、以下のバインディングのトラスト・アンカーを指定することができます。
表 1. トラスト・アンカー・バインディングの設定. トラスト・アンカーは、メッセージの署名に使用されます。
バインディング名 サーバー・レベル、 セル・レベル、またはアプリケーション・レベル パス
デフォルトのコンシューマー・バインディング セル・レベル
  1. 「セキュリティー」 > 「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
  2. 「追加プロパティー」の下の「トラスト・アンカー」をクリックします。
デフォルトのコンシューマー・バインディング サーバー・レベル
  1. 「サーバー」 > 「サーバー・タイプ」 > 「WebSphere Application Server」 > server_name とクリックします。
  2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
    混合バージョン環境 (Mixed-version environment) 混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv
  3. 「追加プロパティー」の下の「トラスト・アンカー」をクリックします。

証明書ストア

以下のレベルで、以下のバインディングの証明書パス構成を指定することができます。
表 2. 証明書ストア・バインディングの設定. 証明書は、メッセージの署名に使用されます。
バインディング名 サーバー・レベル、 セル・レベル、またはアプリケーション・レベル パス
デフォルトのコンシューマー・バインディング セル・レベル
  1. 「セキュリティー」 > 「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
  2. 「追加プロパティー」の下の「コレクション証明書ストア」をクリックします。
デフォルトのコンシューマー・バインディング サーバー・レベル
  1. 「サーバー」 > 「サーバー・タイプ」 > 「WebSphere Application Server」 > server_name とクリックします。
  2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
    混合バージョン環境 (Mixed-version environment) 混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv
  3. 「追加プロパティー」の下の「コレクション証明書ストア」をクリックします。

トラステッド ID エバリュエーター参照

「トラステッド ID エバリュエーター」パネルで定義されるトラステッド ID エバリュエーター・クラス名の参照を指定します。 トラステッド ID エバリュエーターは、受け取った ID が信頼できるかどうかを判別するために使用されます。

以下のオプションを選択することができます。
なし
このオプションを選択した場合、トラステッド ID エバリュエーターは指定されません。
既存のエバリュエーター定義
このオプションを選択した場合は、構成済みトラステッド ID エバリュエーターの 1 つを選択することができます。
以下のレベルで、以下のバインディングの証明書パス構成を指定することができます。
表 3. トラステッド ID エバリュエーター・バインディングの設定. トラステッド ID エバリュエーターは、 受け取った ID が信頼できるかどうかを判定するために使用されます。
バインディング名 サーバー・レベル、 セル・レベル、またはアプリケーション・レベル パス
デフォルトのコンシューマー・バインディング セル・レベル
  1. 「セキュリティー」 > 「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
  2. 「追加プロパティー」の下の「トラステッド ID エバリュエーター」をクリックします。
デフォルトのコンシューマー・バインディング サーバー・レベル
  1. 「サーバー」 > 「サーバー・タイプ」 > 「WebSphere Application Server」 > server_name とクリックします。
  2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
    混合バージョン環境 (Mixed-version environment) 混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv
  3. 「追加プロパティー」の下の「トラステッド ID エバリュエーター」をクリックします。
バインディング・エバリュエーター定義
このオプションを選択した場合は、新規トラステッド ID エバリュエーターおよびそのクラス名を指定することができます。

「trusted ID evaluator reference」を選択した場合、トークン・コンシューマーを設定する前に トラステッド ID エバリュエーターを構成する必要があります。

「トラステッド ID エバリュエーター」フィールドは、デフォルトのバインディング構成、 およびアプリケーション・サーバーのバインディング構成で表示されます。

nonce の検査

ユーザー名トークンの nonce を検査するかどうかを指定します。

このオプションは、セル、サーバー、およびアプリケーションの各レベルで表示されます。 このオプションは、取り込まれるトークンのタイプがユーザー名トークンである場合のみ有効です。

タイム・スタンプの検査

ユーザー名トークンのタイム・スタンプを検査するかどうかを指定します。

このオプションは、セル、サーバー、およびアプリケーションの各レベルで表示されます。 このオプションは、取り込まれるトークンのタイプがユーザー名トークンである場合のみ有効です。

値タイプ・ローカル名

消費されるトークンの値タイプのローカル名を指定します。

本製品には、ユーザー名トークンおよび X.509 証明書セキュリティー・トークン用の事前定義値タイプのローカル名があります。 ユーザー名トークンおよび X.509 証明書セキュリティー・トークンの、以下のローカル名を使用します。 以下のローカル名を指定する場合、値タイプの URI を指定する必要はありません。
ユーザー名トークン
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
X509 証明書トークン
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
PKIPath 内の # X509 証明書
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
PKCS#7 内の X509 証明書および CRL のリスト
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
Lightweight Third Party Authentication (LTPA)
LTPA_PROPAGATION
重要: Lightweight Third Party Authentication (LTPA) の場合、 値タイプ・ローカル名は LTPA です。 ローカル名に LTPA を入力する場合、 「Value type URI」フィールドにも http://www.ibm.com/websphere/appserver/tokentype/5.0.2 URI 値を指定する必要があります。 LTPA トークン伝搬の場合、値タイプのローカル名は LTPA_PROPAGATION です。 ローカル名に LTPA_PROPAGATION を入力する場合、「Value type URI」フィールドにも http://www.ibm.com/websphere/appserver/tokentype URI 値を指定する必要があります。その他の事前定義値のタイプ (ユーザー名トークン、 X509 証明書トークン、PKIPath の X509 証明書、および PKCS#7 の X509 証明書および CRL のリスト) の場合、 「local name」フィールドの値の先頭は http:// です。例えば、 値タイプのユーザー名トークンを指定している場合、「value type local name」フィールドに http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken を入力すると、「value type URI」フィールドに値を入力する必要はありません。

カスタム・トークンのカスタム値のタイプを指定する場合は、 その値タイプの品質名 (QName) のローカル名と URI を指定できます。例えば、 ローカル名に Custom、URI に http://www.ibm.com/custom を指定することが可能です。

値タイプ URI

組み込まれたトークンの値タイプの名前空間 URI を指定します。

ユーザー名トークンまたは X.509 証明書セキュリティー・トークンのトークン・コンシューマーを指定する場合、 このオプションを指定する必要はありません。 別のトークンを指定する場合は、値タイプに QName の URI を指定します。

アプリケーション・サーバーには、以下の事前定義値タイプの URI が用意されています。
  • LTPA トークンの場合: http://www.ibm.com/websphere/appserver/tokentype/5.0.2
  • LTPA トークン伝搬の場合: http://www.ibm.com/websphere/appserver/tokentype

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=uwbs_tokenconsumern
ファイル名:uwbs_tokenconsumern.html