保護トークンの設定 (ジェネレーターまたはコンシューマー)

このページを使用して、保護トークンを構成します。 保護トークンは、保全性を保護するためにメッセージに署名を行い、 機密性を確保するためにメッセージを暗号化します。

メッセージ・パーツに対して保護トークンの設定を追加できるのは、汎用のプロバイダーまたはクライアントのポリシー・セット・バインディングを編集しているときです。ポリシー・セットが必要とするトークンおよびメッセージ・パーツの、アプリケーション固有のバインディングも構成できます。

汎用プロバイダーのバインディングを編集中にこの管理コンソール・ページを表示するには、 以下のアクションを実行します。
  1. 「サービス」 > 「ポリシー・セット」 > 「汎用プロバイダーのポリシー・セットのバインディング (General provider policy set bindings)」とクリックします。
  2. 編集するバインディングの名前をクリックします。
  3. 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
  4. 「セキュリティー・ポリシー・バインディング (security policy bindings)」セクションで、「認証と保護」リンクをクリックします。
  5. 新規トークン (New token)」をクリックして、 新規のトークン生成プログラムまたはトークン・コンシューマーを作成するか、 「保護トークン (Protection tokens)」テーブルから 既存のコンシューマーまたは生成プログラムのトークン・リンクをクリックします。
汎用クライアントのバインディングを編集中にこの管理コンソール・ページを表示するには、 以下のアクションを実行します。
  1. 「サービス」 > 「ポリシー・セット (Policy sets)」 > 「汎用クライアント・ポリシー・セットのバインディング」とクリックします。
  2. 編集するバインディングの名前をクリックします。
  3. 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
  4. 「メイン・メッセージ・セキュリティー・ポリシー・バインディング」セクションで、「認証と保護」リンクをクリックします。
  5. 新規トークン (New token)」をクリックして、 新規のトークン生成プログラムまたはトークン・コンシューマーを作成するか、 「保護トークン (Protection tokens)」テーブルから 既存のコンシューマーまたは生成プログラムのトークン・リンクをクリックします。
ポリシー・セットが必要とするトークンおよびメッセージ・パーツのアプリケーション固有のバインディングの構成中にこの管理コンソール・ページを表示するには、 以下のアクションを実行します。
  1. 「アプリケーション (Applications)」 > 「Websphere エンタープライズ・アプリケーション (Websphere enterprise applications)」とクリックします。
  2. Web サービスを含むアプリケーションを選択します。このアプリケーションには、サービス・プロバイダーまたはサービス・クライアントが含まれている必要があります。
  3. 「Web サービス・プロパティー」セクションで「サービス・プロバイダーのポリシー・セットおよびバインディング (Service provider policy sets and bindings)」リンクまたは「サービス・クライアントのポリシー・セットおよびバインディング (Service client policy sets and bindings)」をクリックします。
  4. バインディングを選択します。 事前にポリシー・セットを関連付け、バインディングを割り当てておく必要があります。
  5. 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
  6. 「セキュリティー・ポリシー・バインディング (security policy bindings)」セクションで、「認証と保護」リンクをクリックします。
  7. 「保護トークン (Protection tokens)」テーブルから、 コンシューマーまたはジェネレーターのトークン・リンクをクリックします。

この管理コンソール・ページは、Java™ API for XML Web Services (JAX-WS) アプリケーションにのみ適用されます。

名前

トークン生成プログラムまたはトークン・コンシューマーの名前を指定します。新規のトークンを作成したときは、このフィールドに名前を入力してください。

トークン・タイプ

トークンのタイプを指定します。バインディングを使用している場合、 トークン・タイプはポリシーに基づいて判別されます。編集することはできません。

有効な値は以下のとおりです。
  • LPTA トークン V2.0
  • Secure Conversation トークン V1.3
  • Secure Conversation トークン V200502
  • X509V3 トークン V1.1
  • X509V3 トークン V1.0
  • X509PKCS7 トークン V1.1
  • X509PKCS7 トークン V1.0
  • X509PkiPathV1 トークン V1.1
  • X509PkiPathV1 トークン V1.0
  • X509V1 トークン V1.1
  • カスタム・トークン
WS-Security ポリシーの Secure Conversation トークン v200502 トークン・タイプ は、WS-SecureConversation 仕様の 2005 年 2 月のレベルで定義されたとおりに、 セキュリティー・コンテキスト・トークンの要件を示します。

トークンのバージョンの制限

LTPA トークン v2.0 をトークン・タイプとして選択すると、LTPA バージョン 1 および LTPA バージョン 2 の両方のトークンを消費できます。トークンの消費を LTPA トークン v2.0 トークン・タイプに制限するには、このチェック・ボックスを選択します。

ローカル名

カスタムのトークン生成プログラムまたはトークン・コンシューマーのローカル名を指定します。 「ローカル名」フィールドには、表示されるトークン・タイプに応じてデータが取り込まれます。 このフィールドでは、カスタム・トークン・タイプだけを編集することができます。

OASIS Web Services Security Specification for Kerberos Token Profile V1.1 で定義されているように、カスタム・トークン・タイプを使用 して Kerberos トークンを生成する場合、ローカル名に以下にリストされた値のいずれかを使用します。 選択する値は、鍵配布センター (KDC) によって生成される Kerberos トークンの 仕様レベルに応じて異なります。次の表では、値および各値に関連付けられている仕様レベル をリストします。インターオペラビリティーの目的で、基本セキュリティー・プロファイル V1.1 標準では、ローカル名 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ を使用する必要があります。

Kerberos トークンのローカル名の値 関連付けられた仕様レベル
http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerb erosv5_AP_REQ Kerberos 仕様で定義されている Kerberos v5 AP-REQ。この値は、Kerberos チケットが AP 要求である場合に使用します。
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ RFC-1964 [1964]、セクション 1.1、および後継の RFC-4121、セクション 4.1 で定義される KRB_AP_REQ メッセージを含む GSS-API Kerberos V5 メカニズムのトークン。 この値は、Kerberos チケットが AP 要求 (ST + 認証子) である場合に使用します。
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510 RFC1510 で定義されている Kerberos v5 AP-REQ。この値は、Kerberos チケットが RFC1510 による AP 要求である場合に使用します。
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510 RFC-1964、セクション 1.1、および後継の RFC-4121、セクション 4.1 で定義される KRB_AP_REQ メッセージを含む GSS-API Kerberos V5 メカニズムのトークン。 この値は、Kerberos チケットが RFC1510 による AP 要求 (ST + 認証子) である場合に使用します。
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120 RFC4120 で定義されている Kerberos v5 AP-REQ。この値は、Kerberos チケットが RFC4120 による AP 要求である場合に使用します。
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120 RFC-1964 セクション 1.1 およびその後継の RFC-4121 セクション 4.1 に 定義されている、KRB_AP_REQ メッセージを含んでいる GSS-API Kerberos V5 メカニズム・トークン。この値は、Kerberos チケットが RFC4120 準拠の AP 要求 (ST + オーセンティケーター) である場合に使用してください。

URI

カスタムのトークン生成プログラムまたはトークン・コンシューマーの URI を指定します。 「URI」フィールドには、表示されるトークン・タイプに応じてデータが取り込まれます。 このフィールドでは、カスタム・トークン・タイプだけを編集することができます。

OASIS Web Services Security Specification for Kerberos Token Profile V1.1 で定義されているように、カスタム・トークン・タイプを使用して Kerberos トークンを 生成する場合、このフィールドはブランクのままにします。

JAAS ログイン

Java Authentication and Authorization Service (JAAS) アプリケーションのログイン情報を 指定します。 JAAS アプリケーションまたは JAAS システムの新規ログイン・エントリーを追加するには、「新規」をクリックしてください。

サーバーが、特定のシステムやアプリケーションのログインを含むセキュリティー・ドメイン内にある場合は、グローバル・ログインに加えて、これらのログインが JAAS ログイン・メニューにリストされます。

新規のアプリケーション・ログイン

現在のセキュリティー・ドメインに対して有効な JAAS ログイン・コレクションに、クリックして移動します。

カスタム・プロパティー – 名前

カスタム・プロパティーの名前を指定します。カスタム・プロパティーは 最初はこの列には表示されず、プロパティーの追加後に表示されます。

カスタム・プロパティーに対するアクションを、以下の中から選んでください。

ボタン 結果のアクション
新規 新規のカスタム・プロパティー・エントリーを作成します。 カスタム・プロパティーを追加するには、その名前と値を入力してください。
編集 選択したカスタム・プロパティーを編集できるように指定します。このアクションを選択すると、入力フィールドが提供され、編集するセル値のリストを作成できます。 「編集」ボタンは、カスタム・プロパティーが 1 つ以上追加されるまで使用できません。
削除 選択したプロパティーを削除します。
カスタム・トークン・タイプを使用して、Kerberos トークンを生成する場合、次のカスタム・プロパティーを 指定します。
カスタム・プロパティー名
ターゲット・サービスの名前を指定します。com.ibm.wsspi.wssecurity.krbtoken.targetServiceName ターゲット・サービスの名前を指定します。

このプロパティーは必須です。

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost ターゲット・サービスと関連付けられているホスト名を次の形式で指定します: myhost.mycompany.com

このプロパティーは必須です。

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm ターゲット・サービスと関連付けられているレルムの名前を指定します。

このプロパティーは、単一の Kerberos レルム用のオプションです。targetServiceRealm プロパティーが指定されていない場合、
レルム名として、Kerberos 構成ファイルのデフォルト・レルム名が使用されます。
クロス・レルム環境またはトラステッド・レルム環境では、targetServiceRealm プロパティーに値を指定する必要があります。

トークン生成プログラムの場合、ターゲット・サービス名とターゲット・ホスト名を組み合わせてサービス・プリンシパル名 (SPN) とし、これによりターゲット Kerberos のサービス・プリンシパル名を表します。 Kerberos クライアントは、SPN の初期 Kerberos AP_REQ トークンを要求します。

Web サービスの要求メッセージごとに Kerberos V5 AP_REQ トークンをアプリケーションで生成またはコンシュームする場合、 アプリケーションのトークン生成プログラム・バインディングおよびトークン・コンシューマー・バインディングで com.ibm.wsspi.wssecurity.kerberos.attach.apreq カスタム・プロパティーに true を設定します。 詳しくは、Web Services Security のトラブルシューティングのヒントのトピックを参照してください。

カスタム・プロパティー - 値

カスタム・プロパティーの値を指定します。「」フィールドを使用して、カスタム・プロパティーの値を入力、編集、または削除します。

コールバック・ハンドラー

保護トークン・ページでのその他の構成が、すべて適用されるか保存されると、 このセクションが表示され、コールバック・ハンドラーの構成設定にリンクできます。メッセージ・ヘッダーからセキュリティー・トークンを取得する方法を判別する、 コールバック・ハンドラー設定を指定するには、このリンクをクリックしてください。

Secure Conversation Token V200502 を許容

WS-Security ポリシーの Secure Conversation Token V200502 トークン・タイプは、WS-SecureConversation 仕様の 2005 年 2 月のレベルで定義されているように、Secure Conversation Token の要件を示します。このオプションは、プロバイダーが Secure Conversation Token V1.3 と Secure Conversation Token V200502 の両方を処理するかどうかを指定します。デフォルトでは、プロバイダーは 両方のバージョンを処理します。チェック・ボックスをクリックして選択をオフにすると、プロバイダーが V1.3 トークンのみを処理するようにこの動作を変更できます。

注: このチェック・ボックスは、サービス・プロバイダーのトークン・コンシューマー・パネルにのみ表示されます。
通知
データ型 チェック・ボックス
範囲 「選択」または「クリア」
デフォルト値 選択

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=uwbs_wsspsbpt
ファイル名:uwbs_wsspsbpt.html