トークン生成プログラム構成の設定
このページを使用して、トークン生成プログラムの情報を指定します。 この情報は、ジェネレーター側でセキュリティー・トークンを生成するためにのみ使用されます。
- をクリックします。
- 「JAX-RPC デフォルト生成バインディング (JAX-RPC Default Generator Bindings)」の下で、 新規」をクリックして、新規トークン生成プログラムを作成します。 をクリックするか、 または「
- とクリックします。
- 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv
- 「JAX-RPC デフォルト生成バインディング (JAX-RPC Default Generator Bindings)」の下で、 をクリックするか、 または「新規」をクリックして、新規トークン生成プログラムを作成します。
- とクリックします。
- 「モジュール」で、 をクリックします。
- 「追加プロパティー」で、以下のバインディングのトークン生成プログラム情報にアクセスすることができます。
- 要求生成プログラム (送信側) バインディングについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。 「要求生成プログラム (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 応答生成プログラム (送信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「応答生成プログラム (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 「新規」をクリックして、新規トークン生成プログラム作成するか、 既存のトークン生成プログラム名をクリックして、その設定値を指定します。
- とクリックします。
- 「モジュール」で、 をクリックします。
- 「Web Services Security プロパティー」の下の「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。
- 「要求生成プログラム (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 「追加プロパティー (Additional properties)」の下で、 とクリックします。
追加プロパティーを指定する前に、「トークン生成プログラム名」および「トークン生成プログラムのクラス名」フィールドに値を指定します。
トークン生成プログラム名
トークン生成プログラム構成の名前を指定します。
例えば、デフォルトの X509 トークン生成プログラム名は、暗号化の場合は gen_enctgen、 署名の場合は gen_signtgen となります。また、カスタムのトークン生成プログラム名は、署名の場合は sig_tgen とすることができます。
トークン生成プログラムのクラス名
トークン生成プログラムの実装クラスの名前を指定します。
このクラスは、com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent インターフェースを実装する必要があります。
トークン生成プログラムのクラス名
トークン生成プログラムの実装クラスの名前を指定します。
証明書パス
CRL とともに PKCS#7 トークン・タイプ内にラップされたセキュリティー・トークンの生成に使用される、 証明書失効リスト (CRL) を指定します。
トークン生成プログラムが PKCS#7 トークン・タイプ用でない場合は、「なし」を選択する必要があります。 トークン生成プログラムが PKCS#7 トークン・タイプ用であり、 かつ CRL をセキュリティー・トークン内にパッケージする必要がある場合は、 「Dedicated signing information」を選択して、コレクション証明書ストアの CRL を指定します。
バインディング名 | サーバー・レベル、 セル・レベル、またはアプリケーション・レベル | パス |
---|---|---|
デフォルト生成バインディング | セル・レベル |
|
デフォルト生成バインディング | サーバー・レベル |
|
コレクション証明書ストアを使用すると、 「追加プロパティー」の下の「Certificate revocation list」をクリックすることにより、 関連する証明書失効リストを構成することができます。
nonce の追加
トークン生成プログラムのユーザー名トークンに nonce を組み込むかどうかを示します。 「Nonce」はメッセージに組み込まれる固有の暗号数値であり、ユーザー名トークンの、繰り返される未許可の攻撃を防ぐのに役立ちます。
アプリケーション・レベルでは、「Add nonce」オプションを選択すると、 「追加プロパティー」の下で以下のプロパティーを指定することができます。
プロパティー名 | デフォルト値 | 説明 |
---|---|---|
com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.cacheTimeout | 600 秒 | サーバー上のキャッシュされた nonce 値に対するタイムアウト値を秒単位で指定します。 |
com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.clockSkew | 0 秒 | nonce タイム・スタンプの有効期限が切れるまでの時間 (秒) を指定します。 |
com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.maxAge | 300 秒 | アプリケーション・サーバーがメッセージの適時性をチェックする際に検討するクロック・スキュー値 (秒) を指定します。 |
これらのプロパティーは、セルおよびサーバー・レベルで管理コンソールにおいて使用可能です。 ただし、アプリケーション・レベルでは、「追加プロパティー」の下でプロパティーを構成することができます。
このオプションは、セル、サーバー、およびアプリケーションの各レベルで表示されます。 このオプションは、生成されたトークン・タイプがユーザー名トークンである場合に限り有効です。
タイム・スタンプを追加
ユーザー名トークンにタイム・スタンプを挿入するかどうかを指定します。
このオプションは、セル、サーバー、およびアプリケーションの各レベルで表示されます。 このオプションは、生成されたトークン・タイプがユーザー名トークンである場合に限り有効です。
値タイプ・ローカル名
生成されるトークンの値タイプのローカル名を指定します。
- ユーザー名トークン
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
- X509 証明書トークン
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- PKIPath 内の X509 証明書
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- PKCS#7 内の X509 証明書および CRL のリスト
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
- Lightweight Third Party Authentication (LTPA)
- LTPA_PROPAGATION
カスタム・トークンのカスタム値のタイプを指定する場合は、 その値タイプの品質名 (QName) のローカル名と URI を指定できます。例えば、 ローカル名に Custom、URI に http://www.ibm.com/custom を指定することが可能です。
値タイプ URI
生成されるトークンの値タイプの名前空間 URI を指定します。
ユーザー名トークンまたは X.509 証明書セキュリティー・トークンのトークン生成プログラムを指定する場合、 このオプションを指定する必要はありません。 別のトークンを指定する場合は、その値タイプの QName の URI を指定します。
- LTPA トークンの場合: http://www.ibm.com/websphere/appserver/tokentype/5.0.2
- LTPA トークン伝搬の場合: http://www.ibm.com/websphere/appserver/tokentype