システム・ポリシー・セットを使用したトラスト・サービスへの要求の保護
WebSphere® Application Server は、そのセキュリティー・トークン・サービス (WebSphere Application Server トラスト・サービスと呼ばれます) にメッセージ・レベルの保護を提供します。 トラスト・サービスの場合、システム・ポリシー・セットと呼ばれる、特殊クラスのポリシー・セットを使用する必要があります。
始める前に
次の 2 種類の構成メソッドを使用することで、トラスト・サービスへの要求を保護することができます。
- 管理コンソールを使用して、システム・ポリシー・セットおよびバインディングを定義し、エンドポイントに関連付けられているトラスト・サービスの操作に関連付けます。
- wsadmin ツール (Jython および Jacl スクリプト言語をサポートします) を使用して、 システム・ポリシー・セットをトラスト・サービス用に構成します。ポリシー・セットを作成して、関連したポリシーを管理することにより、 サービスの品質 (QoS) のポリシーを管理できます。
このタスクについて
以下のハイレベル・ステップを実行します。 タスクの順序は重要ではありませんが、すべての必須なハイレベル・ステップを実行してトラスト構成を完了する必要があります。
手順
- 新規のシステム・ポリシー・セットを定義するか、または既存のシステム・ポリシー・セットを管理します。 システム・ポリシー・セットを管理するには、以下のタスクを実行できます。
- システム・ポリシー・セットおよびバインディングを定義します。 システム・ポリシー・セットは、新規のポリシー・セットでも、 既存のものでもかまいません。 新規のシステム・ポリシー・セットを作成する場合は、ポリシー・タイプを指定して構成する必要があります。 各ポリシー・タイプには、デフォルトのバインディング構成が関連付けられています。
- 必要に応じて、システム・ポリシー・セットを変更します。
実行可能な他のオプションのポリシー・セット関連タスクには、以下のものがあります。
- ポリシー・セット関連付けを追加、編集、または除去します。
- ポリシー・タイプを編集、使用可能に設定、使用不可に設定、または除去します。
- 既存のシステム・ポリシー・セットを選択およびコピーして、システム・ポリシー・セットを作成します。 既存のシステム・ポリシー・セットをコピーするときは、 既存の関連付けをこの新規システム・ポリシー・セットに移動するかどうかも指定します。
- システム・ポリシー・セットを削除します。WebSphere Application Server によって デフォルトで提供されている事前構成システム・ポリシー・セットは削除できません。
- 既存のシステム・ポリシー・セットを選択およびエクスポートして、 システム・ポリシー・セットを保存します。 既存のシステム・ポリシー・セットをエクスポートするときは、 .zip アーカイブ・ファイルを作成します。 ポリシー・セットのエクスポート用 .zip ファイルが、ダウンロード用に提供されています。 例えば、ABC_ps という名前のポリシー・セットがあり、アーカイブ・ファイルを ServerA から ServerB へエクスポートする場合は、初めにエクスポート機能を使用して .zip ファイルを作成します。 次に、このアーカイブ・ファイルを ServerB に手動で転送します。
- 明示的関連付けを作成および管理します。 以下のトラスト・サービスの関連付けタスクを実行できます。
- システム・ポリシー・セットを関連付け、バインディングをエンドポイントに割り当てます。 エンドポイントの場合、 トラスト・サービス・デフォルトのポリシー・セットおよびバインディングに対する 4 つのトラスト・サービス操作のそれぞれに明示的関連付けを作成できます。 これらの初期関連付けを作成した後、既存のポリシー・セットおよびバインディング構成を表示し、さらに変更することができます。
- 必要に応じて、既存のポリシー・セット関連付けおよびバインディング構成を変更します。 システム・ポリシー・セットは、新規のポリシー・セットでも、
既存のものでもかまいません。
新規のシステム・ポリシー・セットを作成する場合は、ポリシー・タイプを指定して構成する必要があります。
各ポリシー・タイプには、デフォルトのバインディング構成が関連付けられています。
実行および更新に関連付けられているシステム・ポリシー・セットは、 クライアントおよびエンドポイントのブートストラップに対応している必要があり、 検証と取り消しに関連付けられているシステム・ポリシー・セットは、クライアントおよびエンドポイントのアプリケーション・ポリシー・セットに対応している必要があります。 エンドポイント・サービスのブートストラップ・ポリシー・セットは、 エンドポイント・サービスがトラスト・サービスに対して実行および更新要求をする場合にのみ必要です。
実行可能な他のオプションの添付関連タスクには、以下のものがあります。
- システム・ポリシー・セットおよびバインディング構成を変更します。
- カスタマイズしたシステム・ポリシー・セットおよびバインディングを作成します。
- 4 つのデフォルト・トラスト・サービス操作をシステム・ポリシー・セットおよびバインディングに関連付けます。
- 特定のエンドポイントに関連付けられている 4 つのトラスト・サービス操作のそれぞれをシステム・ポリシー・セットおよびバインディングに関連付けます。
- エンドポイントの選択済みトラスト・サービス操作がそれぞれのデフォルト・トラスト・サービスのポリシー・セットおよびバインディングを継承するように指定します。
- デフォルト・バインディングまたはカスタム・バインディングの構成を選択したポリシー・セット関連付けに割り当てます。
- トラスト・サービスのランタイム構成を更新します。
- トラスト・サービスが提供するセキュリティー・コンテキスト・トークン・プロバイダーを管理します。 以下のトラスト・サービスのトークン・プロバイダー・タスクを実行できます。
- 必要に応じて、
セキュリティー・コンテキスト・トークン・プロバイダーの構成を変更します。
実行可能な他のオプションのトークン・プロバイダー関連タスクには、以下のものがあります。
- トークン・プロバイダー構成の変更に合わせてトラスト・サービスのランタイム構成を更新します。
- 必要に応じて、
セキュリティー・コンテキスト・トークン・プロバイダーの構成を変更します。
- トラスト・サービスのデフォルト・トークン・プロバイダーと、
(デフォルトから継承するのではなく) 明示的に割り当てられたトークンがあるエンドポイントを管理します。 ターゲットは、特定のトークン・プロバイダーに割り当てられているエンドポイントです。
以下のトラスト・サービスのターゲット・タスクを実行できます。
- サービス・エンドポイント URL をデフォルトのトークン・プロバイダーに明示的に割り当てることで、 新規トラスト・サービス・ターゲットを作成します。 このタスクを実行することにより、 デフォルトのトラスト・サービス・トークン・プロバイダーであるセキュリティー・コンテキスト・トークンに対する明示的割り当てが作成されます。 その他すべてのエンドポイントは、トラスト・サービスのデフォルト・トークン・プロバイダーを継承します。
- ターゲットを構成します。 WebSphere Application Server では、サポートされる 1 つのデフォルト・トークン・プロバイダーであるセキュリティー・コンテキスト・トークンを定義します。
既存ターゲットに実行できる他のタスクには、以下のものがあります。
- 明示的に割り当てられたセキュリティー・コンテキスト・トークン・プロバイダーがある 1 つ以上のエンドポイントの変更。
- エンドポイントのトークン・プロバイダーの継承から明示的割り当てへの変更。 したがって、エンドポイントのトークン・プロバイダーは、デフォルトのトラスト・サービス・トークン・プロバイダーが変わっても、変更されません。
- エンドポイントのトークン・プロバイダーの明示的割り当てから継承への変更。 したがって、エンドポイントのトークン・プロバイダーは、デフォルトのトラスト・サービス・トークン・プロバイダーで、デフォルトが変わると変更されます。
- トラスト・サービスのランタイム構成の更新。
- セキュリティー・キャッシュを構成します。 クライアント・サイドのセキュリティー・キャッシングの動作は変更が可能です。
- トラスト・サービスのランタイム構成を更新します。 以下のトラスト関連項目を作成または変更するときは、ランタイム構成も変更する必要があります。
- トラスト・サービスの添付
- トークン・プロバイダー
- ターゲット
タスクの結果
構成を完了し、トラスト・サービスのランタイム構成を更新した後、 システム・ポリシー・セットを使用してトラスト・サービスに対する要求を保護するために、管理コンソールを使用しました。
サブトピック
secure conversation の使用可能化
secure conversation を使用して、Web サービスのアプリケーション・メッセージをセキュアにします。トラスト・サービス
WebSphere Application Server により提供されるセキュリティー・トークンはトラスト・サービスと呼ばれます。WebSphere Application Server トラスト・サービスは、セキュリティー・トークンの発行、交換、および検証のための追加の拡張機能を定義するために、Web サービス・トラスト (WS-Trust) のセキュア・メッセージング・メカニズムを使用します。管理コンソールを使用したシステム・ポリシー・セットの構成
カスタム・ポリシー・セットを定義するか、サービスの定義方法についてのアサーションを定義することにより、Web Services Security を構成できます。 管理コンソールを使用してカスタム・ポリシー・セットを管理できます。管理コンソールを使用したトラスト・サービス用関連付けの構成
サービス・エンドポイントのトラスト・サービス操作をシステム・ポリシー・セットおよびバインディングに関連付けることができます。 初めに指定される各新規エンドポイントには、 実行、更新、取り消し、検証の 4 つの操作が含まれています。デフォルトでは、 すべてのエンドポイントは、トラスト・サービスのデフォルトで行われるそれぞれのトラスト・サービス操作に関連付けられているポリシー・セットおよびバインディングを継承します。 ただし、別のポリシー・セットを明示的に関連付けることもできます。管理コンソールを使用したトラスト・サービス用セキュリティー・コンテキスト・トークン・プロバイダーの構成
WebSphere Application のトラスト・サービスを構成して、エンドポイントとの通信のために 特定のセキュリティー・トークンを要求側に発行します。 管理コンソールを使用して、トラスト・サービスが提供するセキュリティー・コンテキスト・トークン・プロバイダーを構成します。管理コンソールを使用したトラスト・サービス・エンドポイントのターゲットの作成
トラスト・サービスは、サービス・エンドポイントに代わってトークンを管理します。 トークン・プロバイダーは、各サービス・エンドポイントに明示的または暗黙に関連付けられています。 エンドポイントへのアクセスが要求される場合に発行される特定のトークンを明示的に割り当てることができます。 それ以外の場合は、トラスト・サービス・デフォルト・トークンが発行されます。Web Services Security ランタイム構成の更新
トークン・プロバイダー、トラスト・サービスの関連付け、およびターゲットについて実行し保存したデータ変更内容を使用して、Web Services Security ランタイム構成を更新します。管理コンソールを使用した Web Services Security 分散キャッシュの構成
セキュリティー分散キャッシュを使用してセキュリティー・トークンを保管するように Web Service Security ランタイムを構成することができます。secure conversation の使用可能化
secure conversation を使用して、Web サービスのアプリケーション・メッセージをセキュアにします。トラスト・サービス
WebSphere Application Server により提供されるセキュリティー・トークンはトラスト・サービスと呼ばれます。WebSphere Application Server トラスト・サービスは、セキュリティー・トークンの発行、交換、および検証のための追加の拡張機能を定義するために、Web サービス・トラスト (WS-Trust) のセキュア・メッセージング・メカニズムを使用します。管理コンソールを使用したシステム・ポリシー・セットの構成
カスタム・ポリシー・セットを定義するか、サービスの定義方法についてのアサーションを定義することにより、Web Services Security を構成できます。 管理コンソールを使用してカスタム・ポリシー・セットを管理できます。管理コンソールを使用したトラスト・サービス用関連付けの構成
サービス・エンドポイントのトラスト・サービス操作をシステム・ポリシー・セットおよびバインディングに関連付けることができます。 初めに指定される各新規エンドポイントには、 実行、更新、取り消し、検証の 4 つの操作が含まれています。デフォルトでは、 すべてのエンドポイントは、トラスト・サービスのデフォルトで行われるそれぞれのトラスト・サービス操作に関連付けられているポリシー・セットおよびバインディングを継承します。 ただし、別のポリシー・セットを明示的に関連付けることもできます。管理コンソールを使用したトラスト・サービス用セキュリティー・コンテキスト・トークン・プロバイダーの構成
WebSphere Application のトラスト・サービスを構成して、エンドポイントとの通信のために 特定のセキュリティー・トークンを要求側に発行します。 管理コンソールを使用して、トラスト・サービスが提供するセキュリティー・コンテキスト・トークン・プロバイダーを構成します。管理コンソールを使用したトラスト・サービス・エンドポイントのターゲットの作成
トラスト・サービスは、サービス・エンドポイントに代わってトークンを管理します。 トークン・プロバイダーは、各サービス・エンドポイントに明示的または暗黙に関連付けられています。 エンドポイントへのアクセスが要求される場合に発行される特定のトークンを明示的に割り当てることができます。 それ以外の場合は、トラスト・サービス・デフォルト・トークンが発行されます。Web Services Security ランタイム構成の更新
トークン・プロバイダー、トラスト・サービスの関連付け、およびターゲットについて実行し保存したデータ変更内容を使用して、Web Services Security ランタイム構成を更新します。管理コンソールを使用した Web Services Security 分散キャッシュの構成
セキュリティー分散キャッシュを使用してセキュリティー・トークンを保管するように Web Service Security ランタイムを構成することができます。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_trustwss
ファイル名:twbs_trustwss.html