Web Services Security SAML トークンのカスタム・プロパティー
Web Services Security の SAML トークンの構成時に、データの名前と値のペアを構成することができます。名前はプロパティー・キー、値はストリング値で、これらを使用することにより、内部のシステム構成プロパティーを設定できます。 管理コンソールで提供されているオプションとともに、これらの構成プロパティーを使用して、SAML トークンがどのように生成またはコンシュームされるかを制御できます。
これらの SAML カスタム・プロパティーを構成するには、管理コンソールで、以下のいずれかを行います。
- 「サービス」を展開します。
- 「サービス・プロバイダー」または「サービス・クライアント」を選択します。
- 「名前」列の該当アプリケーションをクリックします。
- 「バインディング」列の該当バインディングをクリックします。
事前にポリシー・セットを関連付け、バインディングを割り当てておく必要があります。
または
- 「WebSphere エンタープライズ・アプリケーション」をクリックします。 を展開して、
- Web サービスを含むアプリケーションを選択します。 このアプリケーションには、サービス・プロバイダーまたはサービス・クライアントが含まれている必要があります。
- 「Web サービス・プロパティー」見出しの下の「サービス・プロバイダーのポリシー・セットおよびバインディング」または「サービス・クライアントのポリシー・セットおよびバインディング」をクリックします。
- バインディングを選択します。 事前に、ポリシー・セットを関連付け、アプリケーション固有のバインディングを割り当てておく必要があります。
その後、次のステップを実行します。
- 「ポリシー」テーブルで「WS-Security」をクリックします。
- 「メイン・メッセージ・セキュリティー・ポリシーのバインディング」見出しで、「認証と保護 」をクリックします。
- 「認証トークン」見出しの下の認証トークンの名前をクリックします。
サポートされる構成: 汎用セキュリティー・トークン・ログイン・モジュールで処理されるトークンは、認証にのみ使用できます。トークンを 保護トークンとして使用することはできません。sptcfg
- 「追加バインディング」見出しで、「コールバック・ハンドラー 」をクリックします。
- 「カスタム・プロパティー」見出しの下で、 名前と値のペアを入力します。
以下のセクションでは、カスタム・プロパティーをリストし、各カスタム・プロパティーの使用方法を示します。
SAML トークン生成プログラムのカスタム・プロパティー
以下の表に、SAML トークン生成プログラムのバインディングを構成するためにのみ使用できるコールバック・ハンドラーのカスタム・プロパティーをリストします。
名前 | 値 | 説明 |
---|---|---|
appliesTo | このカスタム・プロパティーに、デフォルト値はありません。 | WSS API が使用されている時に、要求された SAML トークンに使用する AppliesTo を指定します。 |
audienceRestriction | 有効な値は、true および false です。 デフォルトの動作は true であり、SAML トークンに AudienceRestrictionCondition を組み込みます。 | このプロパティーは自己発行 SAML トークンにのみ適用されます。 このカスタム・プロパティーを使用して、SAML トークンに AudienceRestrictionCondition エレメントを組み込むかどうかを指定します。 |
authenticationMethod | このカスタム・プロパティーに、デフォルト値はありません。 | このプロパティーは自己発行 SAML トークンにのみ適用されます。 このカスタム・プロパティーを使用して、SAML トークン内の AuthenticationStatement エレメントの AuthenticationMethod 属性の値を指定します。 このカスタム・プロパティーが指定されると、サブジェクトは AttributeStatement ではなく AuthenticationStatement に含まれます。 |
com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath | このカスタム・プロパティーに、デフォルト値はありません。 | このカスタム・プロパティーを使用して、自己発行 SAML トークンの生成時に必要な構成データを指定します。 |
cacheCushion | デフォルト値は 5 分です。 | SAML トークンの有効期限が切れ、新しいトークンの発行が必要になるまでの時間 (分単位)。例えば、cacheCushion が 5 分に設定されていると、満了までの時間が 2 分である SAML トークンは再利用されず、新しい SAML トークンが出されます。 ランタイムが SAML トークンをキャッシュしようとするとき、キャッシュ・クッションを超えたトークンはキャッシュされません。 |
cacheToken | 有効な値は、true および false です。 デフォルトの動作は true であり、これは再使用のための SAML トークン・キャッシングを許可します。 | このカスタム・プロパティーを使用して、SAML トークンを再使用のためにキャッシュに入れることができるかどうかを指定します。 |
com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath | デフォルト値は ${USER_INSTALL_ROOT}/config/cells/${WAS_CELL_NAME}/sts/SAMLIssuerConfig.properties です。 | 自己発行 SAML トークンを生成する時に使用する構成データのファイル・パス。 |
com.ibm.wsspi.wssecurity.saml.client.SamlTokenCacheEntries | デフォルト値は 250 です。 | この JVM カスタム・プロパティーを使用して、維持できるキャッシュ・エントリーの最大数を指定します。 |
com.ibm.wsspi.wssecurity.saml.client.SamlTokenCacheTimeout | デフォルト値は 60 分です。 | このプロパティーは、満了時間が不明である SAML トークン (暗号化されているトークンや、STS からの応答の中に一緒に満了時間が含まれていないトークン) の場合にのみ使用されます。 満了時間が不明である SAML トークンの場合は、満了時間の代わりに SamlTokenCacheTimeout が使用されます。 この基準のもとでキャッシュに入れられる新しい SAML トークンの場合は、満了時間が (current_time)+SamlTokenCacheTimeout になります。 cacheCushion プロパティーについて説明した条件はまだ適用されるので、SamlTokenCacheTimeout の値を変更する際は cacheCushion 値を覚えておいてください。 |
com.ibm.wsspi.wssecurity.saml.get.SamlToken および com.ibm.wsspi.wssecurity.saml.put.SamlToken | 有効な値は、true または false です。 デフォルト値は false です。 | |
confirmationMethod | 有効な値は、bearer、holder-of-key、および sender-vouches です。デフォルト値は bearer です。 | SAML トークン・サブジェクト ConfirmationMethod。 |
com.ibm.wsspi.wssecurity.saml.get.SamlToken | このカスタム・プロパティーに、デフォルト値はありません。 | このカスタム・プロパティーを使用して、RequestContext への SAML トークンを取得します。 |
com.ibm.wsspi.wssecurity.saml.put.SamlToken | このカスタム・プロパティーに、デフォルト値はありません。 | このカスタム・プロパティーを使用して、SAML トークンを RequestContext に設定します。 |
failOverToTokenRequest | 有効な値は、true または false です。 デフォルト値は true であり、この場合、Web Services Security ランタイムは、入力トークンが無効である場合に、常に新規 SAML トークンを発行します。 | このカスタム・プロパティーを使用して、RequestContext 内の入力 SAML トークンが無効である場合に、Web Services Security ランタイムは関連付けられたポリシー・セットを使用して新規 SAML トークンを発行するかどうかを指定します。 |
recipientAlias | このカスタム・プロパティーに、デフォルト値はありません。 | 証明書のターゲット・サービス別名。 |
signToken | 有効な値は、true および false です。このカスタム・プロパティーに、デフォルト値はありません。 | このカスタム・プロパティーを使用して、アプリケーション・メッセージを使用して SAML トークンに署名するかどうかを指定します。 |
sslConfigAlias | このプロパティーに値を指定しなかった場合は、システムの SSL 構成で定義されたデフォルト SSL 別名が使用されます。 このプロパティーはオプションです。 |
WS-Trust クライアントが SAML トークンを要求するために使用する SSL 構成の別名。 |
stsURI | このカスタム・プロパティーに、デフォルト値はありません。 | SecurityTokenService (STS) アドレス。 |
keySize | このカスタム・プロパティーに、デフォルト値はありません。 | STS から SecretKey を要求する際の KeySize。 |
tokenRequest | 有効な値は、issue、propagation、issueByWSCredential、および issueByWSPrincipal です。デフォルト値は issue です。 | SAMLToken 要求メソッド。このプロパティーに指定できる値について詳しくは、『SAML トークンの伝搬』を参照してください。 |
tokenType | このカスタム・プロパティーに、デフォルト値はありません。 | このカスタム・プロパティーを使用して、必要なトークン・タイプを SAMLGenerateCallback に設定します。 |
usekeyType | このカスタム・プロパティーはオプションです。有効な値は KeyValue、X509Certificate、および X509IssuerSerial です。 | このカスタム・プロパティーを使用して、特定のタイプの鍵情報を生成するようにクライアントに指示する Usekey タイプを指定します。 |
WSSConsumingContext | このカスタム・プロパティーに、デフォルト値はありません。 | このカスタム・プロパティーを使用して、WS-Trust クライアントが SAML トークンの要求に使用する WSSConsumingContext オブジェクトを指定します。 |
WSSGenerationContext | このカスタム・プロパティーに、デフォルト値はありません。 | このカスタム・プロパティーを使用して、WS-Trust クライアントが SAML トークンの要求に使用する WSSGenerationContext オブジェクトを指定します。 |
NameID | このカスタム・プロパティーに、デフォルト値はありません。 | このプロパティーは、自己発行 SAML トークンの Subject に NameID を設定します。生成プログラムがトークンを自己発行するように構成されている場合、NameID プロパティーが指定されていないと、runAs サブジェクトの SAML トークンからトークンを生成しようとします。runAs サブジェクトに SAML トークンがない場合、トークンは最初から作成され、Subject 内の NameID は UNAUTHENTICATED に設定されます。WS-Security バインディングの設定を使用した自己発行 SAML トークンの生成について詳しくは、「SAML 発行者構成プロパティー」を参照してください。 |
SAML トークン・コンシューマーのカスタム・プロパティー
以下の表に、SAML トークン・コンシューマーのバインディングを構成するためにのみ使用できるコールバック・ハンドラーのカスタム・プロパティーをリストします。
名前 | 値 | 説明 |
---|---|---|
allowUnencKeyInHok | 有効な値は、true または false です。 デフォルト値は true であり、これは暗号化されていない鍵が許可されることを意味します。 | このプロパティーを使用して、SAML holder-of-key トークン内の暗号化されていない鍵を受け入れるように SAML トークン・コンシューマーに指示します。 |
com.ibm.wsspi.wssecurity.saml.signature.SignatureCacheEntries | 整数。デフォルト値は 1000 です。 | 1 つの SAML コンシューマー・トークンで維持できる署名キャッシュ・エントリーの数。 |
com.ibm.wsspi.wssecurity.saml.signature.SignatureCacheTimeout | 整数。デフォルト値は 60 分です。 | SAML トークンがキャッシュに入れられている分数。SAML トークンがキャッシュに入れられている間は、署名の妥当性検査を繰り返す必要はありません。 |
keyAlias | このカスタム・プロパティーに、デフォルト値はありません。 | 鍵ストアに定義されている暗号化解除秘密鍵の別名。 |
keyName | このカスタム・プロパティーに、デフォルト値はありません。 | 鍵ストア・ファイルに定義されている暗号化解除秘密鍵の名前。この名前は参照用であり、ランタイムによって評価されません。 |
keyPassword | このカスタム・プロパティーに、デフォルト値はありません。 | 鍵ストア・ファイルに定義されている暗号化解除秘密鍵のパスワード (このパスワードは XOR でエンコードする必要があります)。詳しくは、ファイル内のパスワードのエンコードに関する 説明を参照してください。 |
keyStorePassword | このカスタム・プロパティーに、デフォルト値はありません。 | 鍵ストア・ファイルのパスワード。このパスワードは、XOR でエンコードできます。詳しくは、ファイル内のパスワードのエンコードに関する 説明を参照してください。 |
keyStorePath | このカスタム・プロパティーに、デフォルト値はありません。 | 暗号化解除鍵を含む鍵ストア・ファイルのファイル・パス。 |
keyStoreRef | このカスタム・プロパティーに、デフォルト値はありません。 | 暗号化解除鍵を含む security.xml 内の管理対象鍵ストアへの参照。 例: name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode |
keyStoreType | このカスタム・プロパティーに、デフォルト値はありません。 | 鍵ストア・ファイルの鍵ストア・タイプ。 |
signatureRequired | デフォルト値は true です。 | このカスタム・プロパティーを使用して、SAML アサーションで署名が必要かどうかを指定します。 |
trustAnySigner | デフォルト値は false です。 | このカスタム・プロパティーを使用して、SAML アサーションに署名する証明書を受信側が信頼できるかどうかを指定します。 |
trustedAlias | このカスタム・プロパティーに、デフォルト値はありません。 | SAML コンシューマー・トークンの、信頼された STS 証明書の別名。 |
trustedIssuer_ | 名前は trustedIssuer_n として指定されます (n は整数)。 このカスタム・プロパティーに、デフォルト値はありません。 | 信頼された発行者の名前。 |
trustedSubjectDN_ | 指定する値の形式は、trustedSubjectDN_n でなければなりません (n は整数)。 このカスタム・プロパティーに、デフォルト値はありません。 | 信頼された発行者の、X509Certificate の SubjectDN 名。 |
trustStorePassword | このカスタム・プロパティーに、デフォルト値はありません。 | SAML コンシューマー・トークンのトラストストア・パスワード。 |
trustStorePath | このカスタム・プロパティーに、デフォルト値はありません。 | SAML コンシューマー・トークンのトラストストア・パス。 |
trustStoreRef | このカスタム・プロパティーに、デフォルト値はありません。 | SAML コンシューマー・トークンのトラストストア参照。 例: name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode |
trustStoreType | このカスタム・プロパティーに、デフォルト値はありません。 | トラストストアの鍵ストア・タイプ。 |
validateAudienceRestriction | 有効な値は、true または false です。 デフォルト値は false であり、この場合、AudienceRestriction アサーションの妥当性検査が不要です。 | このカスタム・プロパティーを使用して、AudienceRestriction アサーションを検証する必要があるかどうかを指定します。 |
validateOneTimeUse | 有効な値は、true または false です。 デフォルト値は true であり、この場合、OneTimeUse アサーション妥当性検査が必要になります。 | このカスタム・プロパティーを使用して、SAML 2.0 の OneTimeUse アサーションまたは SAML 1.1 の DoNotCacheCondition を検証する必要があるかどうかを指定します。 |
CRLPATH | このカスタム・プロパティーに、デフォルト値はありません。 | SAML コンシューマー・トークンの、取り消された証明書リストのファイル・パス。 |
X509PATH | このカスタム・プロパティーに、デフォルト値はありません。 | SAML コンシューマー・トークンの中間 X509 証明書ファイル・パス。 |
CRLPATH_ | 指定する値の形式は、trustedSubjectDN_n でなければなりません (n は整数)。 このカスタム・プロパティーに、デフォルト値はありません。 | SAML コンシューマー・トークンの、取り消された X509 証明書リストのファイル・パス。 |
X509PATH_ | 指定する値の形式は、X509_path_n でなければなりません (n は整数)。 このカスタム・プロパティーに、デフォルト値はありません。 | SAML コンシューマー・トークンの中間 X509 証明書のファイル・パス。 |
トークン生成プログラムとトークン・コンシューマーの両方の SAML トークンのカスタム・プロパティー
以下の表に、SAML トークン生成プログラムと SAML トークン・コンシューマーのバインディングの両方を構成するために使用できるコールバック・ハンドラーのカスタム・プロパティーをリストします。
名前 | 値 | 説明 |
---|---|---|
clockSkew | デフォルト値は 3 分です。 | SAMLGenerateLoginModule が作成する自己発行 SAML トークンでの時間の調整 (分単位)。 clockSkew カスタム・プロパティーは、SAMLGenerateLoginModule クラスを使用する SAML トークン生成プログラムのコールバック・ハンドラーで設定されます。このカスタム・プロパティーに指定する値は、 数値で分単位で指定する必要があります。 このカスタム・プロパティーに値が指定されている場合、SAMLGenerateLoginModule が作成する
自己発行 SAML トークンで以下の時間調整が行われます。
|
clientLabel | このカスタム・プロパティーに、デフォルト値はありません。 | 要求された SAML トークンで WSS API が使用される際に常に派生鍵に使用するクライアント・ラベル (バイト数)。 |
serviceLabel | このカスタム・プロパティーに、デフォルト値はありません。 | 要求された SAML トークンで WSS API が使用される際に常に派生鍵に使用するサービス・ラベル (バイト数)。 |
keylength | このカスタム・プロパティーに、デフォルト値はありません。 | 要求された SAML トークンで WSS API が使用される際に常に派生鍵に使用する派生鍵長 (バイト数)。 |
nonceLength | デフォルト値は 128 です。 | 要求された SAML トークンで WSS API が使用される際に常に派生鍵に使用する派生 nonce 長 (バイト数)。 |
requireDKT | デフォルト値は false です。 | このカスタム・プロパティーを使用して、要求された SAML トークンで WSS API が使用される際に常に使用される派生鍵のオプションを指定します。 |
useImpliedDKT | デフォルト値は false です。 | このカスタム・プロパティーを使用して、要求された SAML トークンで WSS API が使用される際に常に暗黙の派生鍵で使用されるオプションを指定します。 |
自己発行トークンの SAML トークン生成プログラム・プロパティー
以下の表に、自己発行 SAML トークン用の SAML トークン生成プログラムのバインディングを構成するためにのみ使用できるコールバック・ハンドラーのカスタム・プロパティーをリストします。
ポリシー・バインディング・プロパティー名 | サンプルのプロパティー値 | プロパティーの説明 |
---|---|---|
com.ibm.wsspi.wssecurity.saml.config.issuer.oldEnvelopedSignature | true | com.ibm.wsspi.wssecurity.dsig.enableEnvelopedSignatureProperty JVM カスタム・プロパティーを true に設定する場合にのみ使用します。この JVM カスタム・プロパティーを使用する場合は、トピック「Java 仮想マシン (JVM) のカスタム・プロパティー」の説明を参照してください。 |
com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerFormat | urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName | SAML トークンの Issuer エレメントの Format 属性の値。 注: Issuer エレメントに Format 属性を追加する場合は、
このプロパティーを指定する必要があります。
|
com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI | http://www.websphere.ibm.com/SAML/SelfIssuer | 発行者の URI。 |
com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds | 3600000 | トークンの有効期限までの時間。このプロパティーを使用して、トークンの NotOnOrAfter 属性を設定します。NotOnOrAfter は、(currentTime)+TimeToLive+(currentClockSkew) に設定されます。 |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreRef | name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode | 署名鍵を格納している管理対象鍵ストアへの security.xml での参照。 |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePath | app_server_root/etc/ws-security/samples/dsig-receiver.ks | 署名鍵を格納している鍵ストア・ファイルの場所。 注: この値を
デフォルト値から変更して、ご使用のシステムのパス・ロケーションに一致させる
必要があります。
|
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreType | JKS | 鍵ストア・タイプ。 |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePassword | password | 鍵ストア・ファイルのパスワード (パスワードは XOR でエンコード する必要があります)。 詳しくは、ファイル内のパスワードのエンコードに関する 説明を参照してください。 |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias | soapprovider | 鍵ストアで定義されている署名秘密鍵の別名。 |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName | CN=SOAPProvider, OU=TRL, O=IBM, ST=Kanagawa, C=JP | 鍵ストア・ファイルで定義されている署名秘密鍵の名前。この名前は参照用であり、ランタイムでは評価されません。 |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword | password | 鍵ストア・ファイルで定義される秘密鍵のパスワード (パスワードは XOR でエンコードする必要があります)。 |
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreRef | name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode | 暗号化証明書を格納している管理対象鍵ストアへの security.xml での参照。 |
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePath | app_server_root/etc/ws-security/samples/dsig-receiver.ks | 暗号化証明書を格納している保管ファイルの場所。 注: この値を
デフォルト値から変更して、ご使用のシステムのパス・ロケーションに一致させる
必要があります。
|
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreType | JKS | 暗号化証明書を格納している保管ファイルの保管タイプ。 |
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePassword | password | 暗号化証明書を格納している保管ファイルのパスワード。 |
com.ibm.wsspi.wssecurity.saml.config.issuer.AttributeProvider | com.mycompany.SAML.AttributeProviderImpl | 属性プロバイダーの実装クラス。 注: このクラスは、javax.security.auth.callback.CallbackHandler を実装する必要があります。
このクラスは、com.ibm.websphere.wssecurity.callbackhandler.Saml11AttributeCallback
または com.ibm.websphere.wssecurity.callbackhandler.Saml20AttributeCallback
コールバック・オブジェクトを受け取り、そのオブジェクトから呼び出された getSAMLAttributes メソッドから受け取った SAMLAttribute リストを更新します。
詳しくは、『API を使用した自己発行 SAML トークンへの属性の追加』を参照してください。 |
com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptingAlias | soaprecipient | SAML トークンの暗号化に使用されるパブリック証明書を含む、TrustStore プロパティーに指定された保管ファイル内の項目。API を使用して自己発行トークンを生成する場合、このプロパティーに指定された値よりも、setKeyAliasForAppliesTo メソッドを使用して RequesterConfig に設定された別名が優先されます。 |
com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptSAML | true | 暗号化された SAML トークンを生成する場合は、このプロパティーを true に設定します。このプロパティーのデフォルト値は false です。 API を使用して自己発行トークンを生成する場合、 RequesterConfig オブジェクトで setEncryptSAML(true) メソッドを使用して、SAML トークンを暗号化したいことを示すこともできます。RequesterConfig オブジェクトで setEncryptSAML=true であるか、または EncryptSAML カスタム・プロパティーが true に設定されている場合、SAML トークンは暗号化されます。 |
com.ibm.wsspi.wssecurity.saml.config.issuer.NameIDProvider | com.mycompany.SAML.NameIDProviderImpl | 名前 ID プロバイダーの実装クラス。 注: このクラスは、javax.security.auth.callback.CallbackHandler を実装する必要があります。
このクラスは、com.ibm.websphere.wssecurity.callbackhandler.NameIDCallback
コールバック・オブジェクトを受け取り、そのオブジェクトの setSAMLNameID メソッドを呼び出して NameID を更新します。
詳しくは、『API を使用した自己発行 SAML トークンの NameID のカスタマイズ』を参照してください。 |
com.ibm.wsspi.wssecurity.saml.config.issuer.UseSha2ForSignature | true | このプロパティーを true に設定すると、SAML トークンの署名時に SHA-2 署名アルゴリズム (http://www.w3.org/2001/04/xmldsig-more#rsa-sha256) が使用されます。 |
トラスト・クライアントのカスタム・プロパティー
以下の表に、 トラスト・クライアントを構成するために使用できるカスタム・プロパティーをリストします。これらのカスタム・プロパティーは、SAML トークン生成プログラムと共に使用されると、SAML トークン生成プログラムのコールバック・ハンドラーに追加されます。
名前 | 値 | 説明 |
---|---|---|
com.ibm.wsspi.wssecurity.trust.client.TrustServiceCacheEntries | デフォルト値は 1000 です。 | 維持できる STS サービス・インスタンスのキャッシュ・エントリーの最大数。 |
com.ibm.wsspi.wssecurity.trust.client.TrustServiceCacheTimeout | デフォルト値は 60 分です。 | STS サービスをクライアント・サイドのキャッシュ内に保持できる時間 (分単位)。 |
keyType | WS-Trust 1.2 では、以下の keyType を指定できます。
WS-Trust 1.3 では、以下の keyType を指定できます。
|
STS への WS-Trust 要求を行う時に使用する keyType。 |
wstrustActAsRequired | 有効な値は、true および false です。デフォルト値は false です。 | SAML トークンを STS 要求の ActAs エレメントに挿入する場合は、このプロパティーを true に設定します。SAML トークンは、現行の runAs サブジェクトまたは JAAS ログイン共有状態オブジェクトに存在している必要があります。JAAS ログイン共有状態内のトークンは、runAs サブジェクト内のトークンに優先します。onBehalfOfRequired と actAsRequired の両方が true に設定されている場合は、OnBehalfOf エレメントのみが STS 要求に挿入されます。詳しくは、『スタックされた JAAS ログイン・モジュールを使用した SAML トークンの生成およびコンシューム』を参照してください。 |
wstrustActAsTokenType | 有効な値は、http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 および http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0 です。デフォルト値は、SAML 生成プログラム・コールバック・ハンドラーで生成されているトークンのタイプです。 | このプロパティーは、STS 要求の ActAs エレメントでメッセージに挿入する SAML トークンのタイプに設定します。 |
wstrustActAsReIssue | 有効な値は、true および false です。デフォルト値は false です。 | STS 要求内にある ActAsReIssue エレメントに SAML トークンを挿入する場合、または、 SAML 生成プログラム・コールバック・ハンドラー内にシグニチャーおよび暗号化の設定を指定して再発行される runAs サブジェクトから SAML トークンを挿入する場合は、 このプロパティーを true に設定します。JAAS ログイン共有状態オブジェクトから取得した SAML トークンは再発行できません。 |
wstrustClientBinding | このカスタム・プロパティーに、デフォルト値はありません。 | WS-trust クライアントのバインディング名。 |
wstrustClientBindingScope | このカスタム・プロパティーに、デフォルト値はありません。 | WS-Trust クライアントに関連付けられたポリシー・セットのバインディング有効範囲。 |
wstrustClientCollectionRequest | 有効な値は、true または false です。 デフォルト値は false であり、この場合、RequestSecurityTokenCollection ではなく、RequestSecurityToken が使用されます。 | このカスタム・プロパティーを使用して、WS-Trust 要求で RequestSecurityTokenCollection が必要かどうかを指定します。 |
wstrustClientPolicy | このカスタム・プロパティーに、デフォルト値はありません。 | WS-Trust クライアントのポリシー・セット名。 |
wstrustClientSoapVersion | 有効な値は、1.1 および 1.2 です。 値を指定しなかった場合は、SOAP バージョンは、デフォルトで、アプリケーション・クライアントが使用している SOAP バージョンになります。 | WS-Trust 要求の SOAP バージョン。 |
wstrustClientWSTNamespace | デフォルト値は trust13 です。 有効な値は trust12 および trust13 です。 | WS-Trust 要求の WS-Trust 名前空間。 |
wstrustOnBehalfOfRequired | 有効な値は、true および false です。 デフォルト値は false です。 | SAML トークンを STS 要求の OnBehalfOf エレメントに挿入する場合は、このプロパティーを true に設定します。SAML トークンは、現行の runAs サブジェクトまたは JAAS ログイン共有状態オブジェクトに存在している必要があります。JAAS ログイン共有状態内のトークンは、runAs サブジェクト内のトークンに優先します。詳しくは、twbs_gen_con_token_JAAS_mod を参照してください。 |
wstrustOnBehalfOfTokenType | 有効な値は、http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 および http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0 です。デフォルト値は、SAML 生成プログラム・コールバック・ハンドラーで生成されているトークンのタイプです。 | このプロパティーは、STS 要求の OnBehalfOf エレメントでメッセージに挿入する SAML トークンのタイプに設定します。 |
wstrustOnBehalfOfReIssue | 有効な値は、true および false です。デフォルト値は false です。 | SAML トークンを STS 要求の OnBehalfOf エレメントに挿入する場合、または SAML 生成プログラム・コールバック・ハンドラー内にシグニチャーおよび暗号化の設定を指定して再発行される runAs サブジェクトから SAML トークンを挿入する場合は、このプロパティーを true に設定します。JAAS ログイン共有状態オブジェクトから取得した SAML トークンは再発行できません。 |