Web Services Security SAML トークンのカスタム・プロパティー

Web Services Security の SAML トークンの構成時に、データの名前と値のペアを構成することができます。名前はプロパティー・キー、値はストリング値で、これらを使用することにより、内部のシステム構成プロパティーを設定できます。 管理コンソールで提供されているオプションとともに、これらの構成プロパティーを使用して、SAML トークンがどのように生成またはコンシュームされるかを制御できます。

これらの SAML カスタム・プロパティーを構成するには、管理コンソールで、以下のいずれかを行います。

  1. 「サービス」を展開します。
  2. 「サービス・プロバイダー」または「サービス・クライアント」を選択します。
  3. 「名前」列の該当アプリケーションをクリックします。
  4. 「バインディング」列の該当バインディングをクリックします。

    事前にポリシー・セットを関連付け、バインディングを割り当てておく必要があります。

または

  1. 「アプリケーション」 > 「アプリケーション・タイプ」を展開して、「WebSphere エンタープライズ・アプリケーション」をクリックします。
  2. Web サービスを含むアプリケーションを選択します。 このアプリケーションには、サービス・プロバイダーまたはサービス・クライアントが含まれている必要があります。
  3. Web サービス・プロパティー」見出しの下の「サービス・プロバイダーのポリシー・セットおよびバインディング」または「サービス・クライアントのポリシー・セットおよびバインディング」をクリックします。
  4. バインディングを選択します。 事前に、ポリシー・セットを関連付け、アプリケーション固有のバインディングを割り当てておく必要があります。

その後、次のステップを実行します。

  1. 「ポリシー」テーブルで「WS-Security」をクリックします。
  2. メイン・メッセージ・セキュリティー・ポリシーのバインディング」見出しで、「認証と保護 」をクリックします。
  3. 認証トークン」見出しの下の認証トークンの名前をクリックします。
    サポートされる構成 サポートされる構成: 汎用セキュリティー・トークン・ログイン・モジュールで処理されるトークンは、認証にのみ使用できます。トークンを 保護トークンとして使用することはできません。sptcfg
  4. 追加バインディング」見出しで、「コールバック・ハンドラー 」をクリックします。
  5. カスタム・プロパティー」見出しの下で、 名前と値のペアを入力します。

以下のセクションでは、カスタム・プロパティーをリストし、各カスタム・プロパティーの使用方法を示します。

SAML トークン生成プログラムのカスタム・プロパティー

以下の表に、SAML トークン生成プログラムのバインディングを構成するためにのみ使用できるコールバック・ハンドラーのカスタム・プロパティーをリストします。

表 1. トークン生成プログラム・バインディング専用の SAML トークン・コールバック・ハンドラーのカスタム・プロパティー. カスタム・プロパティーの名前、値、および簡単な説明を表に示します。
名前 説明
appliesTo このカスタム・プロパティーに、デフォルト値はありません。 WSS API が使用されている時に、要求された SAML トークンに使用する AppliesTo を指定します。
audienceRestriction 有効な値は、true および false です。 デフォルトの動作は true であり、SAML トークンに AudienceRestrictionCondition を組み込みます。 このプロパティーは自己発行 SAML トークンにのみ適用されます。 このカスタム・プロパティーを使用して、SAML トークンに AudienceRestrictionCondition エレメントを組み込むかどうかを指定します。
authenticationMethod このカスタム・プロパティーに、デフォルト値はありません。 このプロパティーは自己発行 SAML トークンにのみ適用されます。 このカスタム・プロパティーを使用して、SAML トークン内の AuthenticationStatement エレメントの AuthenticationMethod 属性の値を指定します。 このカスタム・プロパティーが指定されると、サブジェクトは AttributeStatement ではなく AuthenticationStatement に含まれます。
com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath このカスタム・プロパティーに、デフォルト値はありません。 このカスタム・プロパティーを使用して、自己発行 SAML トークンの生成時に必要な構成データを指定します。
cacheCushion デフォルト値は 5 分です。 SAML トークンの有効期限が切れ、新しいトークンの発行が必要になるまでの時間 (分単位)。例えば、cacheCushion5 分に設定されていると、満了までの時間が 2 分である SAML トークンは再利用されず、新しい SAML トークンが出されます。 ランタイムが SAML トークンをキャッシュしようとするとき、キャッシュ・クッションを超えたトークンはキャッシュされません。
cacheToken 有効な値は、true および false です。 デフォルトの動作は true であり、これは再使用のための SAML トークン・キャッシングを許可します。 このカスタム・プロパティーを使用して、SAML トークンを再使用のためにキャッシュに入れることができるかどうかを指定します。
com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath デフォルト値は ${USER_INSTALL_ROOT}/config/cells/${WAS_CELL_NAME}/sts/SAMLIssuerConfig.properties です。 自己発行 SAML トークンを生成する時に使用する構成データのファイル・パス。
com.ibm.wsspi.wssecurity.saml.client.SamlTokenCacheEntries デフォルト値は 250 です。 この JVM カスタム・プロパティーを使用して、維持できるキャッシュ・エントリーの最大数を指定します。
com.ibm.wsspi.wssecurity.saml.client.SamlTokenCacheTimeout デフォルト値は 60 分です。 このプロパティーは、満了時間が不明である SAML トークン (暗号化されているトークンや、STS からの応答の中に一緒に満了時間が含まれていないトークン) の場合にのみ使用されます。 満了時間が不明である SAML トークンの場合は、満了時間の代わりに SamlTokenCacheTimeout が使用されます。 この基準のもとでキャッシュに入れられる新しい SAML トークンの場合は、満了時間が (current_time)+SamlTokenCacheTimeout になります。 cacheCushion プロパティーについて説明した条件はまだ適用されるので、SamlTokenCacheTimeout の値を変更する際は cacheCushion 値を覚えておいてください。
com.ibm.wsspi.wssecurity.saml.get.SamlToken および com.ibm.wsspi.wssecurity.saml.put.SamlToken 有効な値は、true または false です。 デフォルト値は false です。  
confirmationMethod 有効な値は、bearerholder-of-key、および sender-vouches です。デフォルト値は bearer です。 SAML トークン・サブジェクト ConfirmationMethod。
com.ibm.wsspi.wssecurity.saml.get.SamlToken このカスタム・プロパティーに、デフォルト値はありません。 このカスタム・プロパティーを使用して、RequestContext への SAML トークンを取得します。
com.ibm.wsspi.wssecurity.saml.put.SamlToken このカスタム・プロパティーに、デフォルト値はありません。 このカスタム・プロパティーを使用して、SAML トークンを RequestContext に設定します。
failOverToTokenRequest 有効な値は、true または false です。 デフォルト値は true であり、この場合、Web Services Security ランタイムは、入力トークンが無効である場合に、常に新規 SAML トークンを発行します。 このカスタム・プロパティーを使用して、RequestContext 内の入力 SAML トークンが無効である場合に、Web Services Security ランタイムは関連付けられたポリシー・セットを使用して新規 SAML トークンを発行するかどうかを指定します。
recipientAlias このカスタム・プロパティーに、デフォルト値はありません。 証明書のターゲット・サービス別名。
signToken 有効な値は、true および false です。このカスタム・プロパティーに、デフォルト値はありません。 このカスタム・プロパティーを使用して、アプリケーション・メッセージを使用して SAML トークンに署名するかどうかを指定します。
sslConfigAlias このプロパティーに値を指定しなかった場合は、システムの SSL 構成で定義されたデフォルト SSL 別名が使用されます。

このプロパティーはオプションです。

WS-Trust クライアントが SAML トークンを要求するために使用する SSL 構成の別名。
stsURI このカスタム・プロパティーに、デフォルト値はありません。 SecurityTokenService (STS) アドレス。
keySize このカスタム・プロパティーに、デフォルト値はありません。 STS から SecretKey を要求する際の KeySize。
tokenRequest 有効な値は、issuepropagationissueByWSCredential、および issueByWSPrincipal です。デフォルト値は issue です。 SAMLToken 要求メソッド。このプロパティーに指定できる値について詳しくは、『SAML トークンの伝搬』を参照してください。
tokenType このカスタム・プロパティーに、デフォルト値はありません。 このカスタム・プロパティーを使用して、必要なトークン・タイプを SAMLGenerateCallback に設定します。
usekeyType このカスタム・プロパティーはオプションです。有効な値は KeyValueX509Certificate、および X509IssuerSerial です。 このカスタム・プロパティーを使用して、特定のタイプの鍵情報を生成するようにクライアントに指示する Usekey タイプを指定します。
WSSConsumingContext このカスタム・プロパティーに、デフォルト値はありません。 このカスタム・プロパティーを使用して、WS-Trust クライアントが SAML トークンの要求に使用する WSSConsumingContext オブジェクトを指定します。
WSSGenerationContext このカスタム・プロパティーに、デフォルト値はありません。 このカスタム・プロパティーを使用して、WS-Trust クライアントが SAML トークンの要求に使用する WSSGenerationContext オブジェクトを指定します。
NameID このカスタム・プロパティーに、デフォルト値はありません。 このプロパティーは、自己発行 SAML トークンの Subject に NameID を設定します。生成プログラムがトークンを自己発行するように構成されている場合、NameID プロパティーが指定されていないと、runAs サブジェクトの SAML トークンからトークンを生成しようとします。runAs サブジェクトに SAML トークンがない場合、トークンは最初から作成され、Subject 内の NameID は UNAUTHENTICATED に設定されます。WS-Security バインディングの設定を使用した自己発行 SAML トークンの生成について詳しくは、「SAML 発行者構成プロパティー」を参照してください。
   

SAML トークン・コンシューマーのカスタム・プロパティー

以下の表に、SAML トークン・コンシューマーのバインディングを構成するためにのみ使用できるコールバック・ハンドラーのカスタム・プロパティーをリストします。

表 2. トークン・コンシューマー・バインディング専用の SAML トークン・コールバック・ハンドラーのカスタム・プロパティー. カスタム・プロパティーの名前、値、および簡単な説明を表に示します。
名前 説明
allowUnencKeyInHok 有効な値は、true または false です。 デフォルト値は true であり、これは暗号化されていない鍵が許可されることを意味します。 このプロパティーを使用して、SAML holder-of-key トークン内の暗号化されていない鍵を受け入れるように SAML トークン・コンシューマーに指示します。
com.ibm.wsspi.wssecurity.saml.signature.SignatureCacheEntries 整数。デフォルト値は 1000 です。 1 つの SAML コンシューマー・トークンで維持できる署名キャッシュ・エントリーの数。
com.ibm.wsspi.wssecurity.saml.signature.SignatureCacheTimeout 整数。デフォルト値は 60 分です。 SAML トークンがキャッシュに入れられている分数。SAML トークンがキャッシュに入れられている間は、署名の妥当性検査を繰り返す必要はありません。
keyAlias このカスタム・プロパティーに、デフォルト値はありません。 鍵ストアに定義されている暗号化解除秘密鍵の別名。
keyName このカスタム・プロパティーに、デフォルト値はありません。 鍵ストア・ファイルに定義されている暗号化解除秘密鍵の名前。この名前は参照用であり、ランタイムによって評価されません。
keyPassword このカスタム・プロパティーに、デフォルト値はありません。 鍵ストア・ファイルに定義されている暗号化解除秘密鍵のパスワード (このパスワードは XOR でエンコードする必要があります)。詳しくは、ファイル内のパスワードのエンコードに関する 説明を参照してください。
keyStorePassword このカスタム・プロパティーに、デフォルト値はありません。 鍵ストア・ファイルのパスワード。このパスワードは、XOR でエンコードできます。詳しくは、ファイル内のパスワードのエンコードに関する 説明を参照してください。
keyStorePath このカスタム・プロパティーに、デフォルト値はありません。 暗号化解除鍵を含む鍵ストア・ファイルのファイル・パス。
keyStoreRef このカスタム・プロパティーに、デフォルト値はありません。 暗号化解除鍵を含む security.xml 内の管理対象鍵ストアへの参照。

例:

name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode
keyStoreType このカスタム・プロパティーに、デフォルト値はありません。 鍵ストア・ファイルの鍵ストア・タイプ。
signatureRequired デフォルト値は true です。 このカスタム・プロパティーを使用して、SAML アサーションで署名が必要かどうかを指定します。
trustAnySigner デフォルト値は false です。 このカスタム・プロパティーを使用して、SAML アサーションに署名する証明書を受信側が信頼できるかどうかを指定します。
trustedAlias このカスタム・プロパティーに、デフォルト値はありません。 SAML コンシューマー・トークンの、信頼された STS 証明書の別名。
trustedIssuer_ 名前は trustedIssuer_n として指定されます (n は整数)。 このカスタム・プロパティーに、デフォルト値はありません。 信頼された発行者の名前。
trustedSubjectDN_ 指定する値の形式は、trustedSubjectDN_n でなければなりません (n は整数)。 このカスタム・プロパティーに、デフォルト値はありません。 信頼された発行者の、X509Certificate の SubjectDN 名。
trustStorePassword このカスタム・プロパティーに、デフォルト値はありません。 SAML コンシューマー・トークンのトラストストア・パスワード。
trustStorePath このカスタム・プロパティーに、デフォルト値はありません。 SAML コンシューマー・トークンのトラストストア・パス。
trustStoreRef このカスタム・プロパティーに、デフォルト値はありません。 SAML コンシューマー・トークンのトラストストア参照。

例:

name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode
trustStoreType このカスタム・プロパティーに、デフォルト値はありません。 トラストストアの鍵ストア・タイプ。
validateAudienceRestriction 有効な値は、true または false です。 デフォルト値は false であり、この場合、AudienceRestriction アサーションの妥当性検査が不要です。 このカスタム・プロパティーを使用して、AudienceRestriction アサーションを検証する必要があるかどうかを指定します。
validateOneTimeUse 有効な値は、true または false です。 デフォルト値は true であり、この場合、OneTimeUse アサーション妥当性検査が必要になります。 このカスタム・プロパティーを使用して、SAML 2.0 の OneTimeUse アサーションまたは SAML 1.1 の DoNotCacheCondition を検証する必要があるかどうかを指定します。
CRLPATH このカスタム・プロパティーに、デフォルト値はありません。 SAML コンシューマー・トークンの、取り消された証明書リストのファイル・パス。
X509PATH このカスタム・プロパティーに、デフォルト値はありません。 SAML コンシューマー・トークンの中間 X509 証明書ファイル・パス。
CRLPATH_ 指定する値の形式は、trustedSubjectDN_n でなければなりません (n は整数)。 このカスタム・プロパティーに、デフォルト値はありません。 SAML コンシューマー・トークンの、取り消された X509 証明書リストのファイル・パス。
X509PATH_ 指定する値の形式は、X509_path_n でなければなりません (n は整数)。 このカスタム・プロパティーに、デフォルト値はありません。 SAML コンシューマー・トークンの中間 X509 証明書のファイル・パス。

トークン生成プログラムとトークン・コンシューマーの両方の SAML トークンのカスタム・プロパティー

以下の表に、SAML トークン生成プログラムと SAML トークン・コンシューマーのバインディングの両方を構成するために使用できるコールバック・ハンドラーのカスタム・プロパティーをリストします。

表 3. トークン生成プログラムとトークン・コンシューマーの両方のバインディング用の SAML トークン・コールバック・ハンドラーのカスタム・プロパティー. カスタム・プロパティーの名前、値、および簡単な説明を表に示します。
名前 説明
clockSkew デフォルト値は 3 分です。 SAMLGenerateLoginModule が作成する自己発行 SAML トークンでの時間の調整 (分単位)。

clockSkew カスタム・プロパティーは、SAMLGenerateLoginModule クラスを使用する SAML トークン生成プログラムのコールバック・ハンドラーで設定されます。このカスタム・プロパティーに指定する値は、 数値で分単位で指定する必要があります。

このカスタム・プロパティーに値が指定されている場合、SAMLGenerateLoginModule が作成する 自己発行 SAML トークンで以下の時間調整が行われます。
  • 新しい NotBefore 時間設定は、初期の NotBefore 時間から、 clockSkew カスタム・プロパティーで指定された時間が差し引かれます。
  • 新しい NotAfter 時間設定は、初期の NotAfter 時間に、 clockSkew カスタム・プロパティーで指定された時間が加えられます。
clientLabel このカスタム・プロパティーに、デフォルト値はありません。 要求された SAML トークンで WSS API が使用される際に常に派生鍵に使用するクライアント・ラベル (バイト数)。
serviceLabel このカスタム・プロパティーに、デフォルト値はありません。 要求された SAML トークンで WSS API が使用される際に常に派生鍵に使用するサービス・ラベル (バイト数)。
keylength このカスタム・プロパティーに、デフォルト値はありません。 要求された SAML トークンで WSS API が使用される際に常に派生鍵に使用する派生鍵長 (バイト数)。
nonceLength デフォルト値は 128 です。 要求された SAML トークンで WSS API が使用される際に常に派生鍵に使用する派生 nonce 長 (バイト数)。
requireDKT デフォルト値は false です。 このカスタム・プロパティーを使用して、要求された SAML トークンで WSS API が使用される際に常に使用される派生鍵のオプションを指定します。
useImpliedDKT デフォルト値は false です。 このカスタム・プロパティーを使用して、要求された SAML トークンで WSS API が使用される際に常に暗黙の派生鍵で使用されるオプションを指定します。

自己発行トークンの SAML トークン生成プログラム・プロパティー

以下の表に、自己発行 SAML トークン用の SAML トークン生成プログラムのバインディングを構成するためにのみ使用できるコールバック・ハンドラーのカスタム・プロパティーをリストします。

表 4. 自己発行 SAML トークンを生成するための、SAML トークン・コールバック・ハンドラーのカスタム・プロパティー。. カスタム・プロパティーの名前、値、および簡単な説明を表に示します。
ポリシー・バインディング・プロパティー名 サンプルのプロパティー値 プロパティーの説明
com.ibm.wsspi.wssecurity.saml.config.issuer.oldEnvelopedSignature true com.ibm.wsspi.wssecurity.dsig.enableEnvelopedSignatureProperty JVM カスタム・プロパティーを true に設定する場合にのみ使用します。この JVM カスタム・プロパティーを使用する場合は、トピック「Java 仮想マシン (JVM) のカスタム・プロパティー」の説明を参照してください。
com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerFormat urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName SAML トークンの Issuer エレメントの Format 属性の値。
注: Issuer エレメントに Format 属性を追加する場合は、 このプロパティーを指定する必要があります。
com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI http://www.websphere.ibm.com/SAML/SelfIssuer 発行者の URI。
com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds 3600000 トークンの有効期限までの時間。このプロパティーを使用して、トークンの NotOnOrAfter 属性を設定します。NotOnOrAfter は、(currentTime)+TimeToLive+(currentClockSkew) に設定されます。
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreRef name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode 署名鍵を格納している管理対象鍵ストアへの security.xml での参照。
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePath app_server_root/etc/ws-security/samples/dsig-receiver.ks 署名鍵を格納している鍵ストア・ファイルの場所。
注: この値を デフォルト値から変更して、ご使用のシステムのパス・ロケーションに一致させる 必要があります。
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreType JKS 鍵ストア・タイプ。
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePassword password 鍵ストア・ファイルのパスワード (パスワードは XOR でエンコード する必要があります)。 詳しくは、ファイル内のパスワードのエンコードに関する 説明を参照してください。
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias soapprovider 鍵ストアで定義されている署名秘密鍵の別名。
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName CN=SOAPProvider, OU=TRL, O=IBM, ST=Kanagawa, C=JP 鍵ストア・ファイルで定義されている署名秘密鍵の名前。この名前は参照用であり、ランタイムでは評価されません。
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword password 鍵ストア・ファイルで定義される秘密鍵のパスワード (パスワードは XOR でエンコードする必要があります)。
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreRef name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode 暗号化証明書を格納している管理対象鍵ストアへの security.xml での参照。
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePath app_server_root/etc/ws-security/samples/dsig-receiver.ks 暗号化証明書を格納している保管ファイルの場所。
注: この値を デフォルト値から変更して、ご使用のシステムのパス・ロケーションに一致させる 必要があります。
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreType JKS 暗号化証明書を格納している保管ファイルの保管タイプ。
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePassword password 暗号化証明書を格納している保管ファイルのパスワード。
com.ibm.wsspi.wssecurity.saml.config.issuer.AttributeProvider com.mycompany.SAML.AttributeProviderImpl 属性プロバイダーの実装クラス。
注: このクラスは、javax.security.auth.callback.CallbackHandler を実装する必要があります。 このクラスは、com.ibm.websphere.wssecurity.callbackhandler.Saml11AttributeCallback または com.ibm.websphere.wssecurity.callbackhandler.Saml20AttributeCallback コールバック・オブジェクトを受け取り、そのオブジェクトから呼び出された getSAMLAttributes メソッドから受け取った SAMLAttribute リストを更新します。

詳しくは、『API を使用した自己発行 SAML トークンへの属性の追加』を参照してください。

com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptingAlias soaprecipient SAML トークンの暗号化に使用されるパブリック証明書を含む、TrustStore プロパティーに指定された保管ファイル内の項目。API を使用して自己発行トークンを生成する場合、このプロパティーに指定された値よりも、setKeyAliasForAppliesTo メソッドを使用して RequesterConfig に設定された別名が優先されます。
com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptSAML true

暗号化された SAML トークンを生成する場合は、このプロパティーを true に設定します。このプロパティーのデフォルト値は false です。

API を使用して自己発行トークンを生成する場合、 RequesterConfig オブジェクトで setEncryptSAML(true) メソッドを使用して、SAML トークンを暗号化したいことを示すこともできます。RequesterConfig オブジェクトで setEncryptSAML=true であるか、または EncryptSAML カスタム・プロパティーが true に設定されている場合、SAML トークンは暗号化されます。

com.ibm.wsspi.wssecurity.saml.config.issuer.NameIDProvider com.mycompany.SAML.NameIDProviderImpl 名前 ID プロバイダーの実装クラス。
注: このクラスは、javax.security.auth.callback.CallbackHandler を実装する必要があります。 このクラスは、com.ibm.websphere.wssecurity.callbackhandler.NameIDCallback コールバック・オブジェクトを受け取り、そのオブジェクトの setSAMLNameID メソッドを呼び出して NameID を更新します。

詳しくは、『API を使用した自己発行 SAML トークンの NameID のカスタマイズ』を参照してください。

com.ibm.wsspi.wssecurity.saml.config.issuer.UseSha2ForSignature true このプロパティーを true に設定すると、SAML トークンの署名時に SHA-2 署名アルゴリズム (http://www.w3.org/2001/04/xmldsig-more#rsa-sha256) が使用されます。

トラスト・クライアントのカスタム・プロパティー

以下の表に、 トラスト・クライアントを構成するために使用できるカスタム・プロパティーをリストします。これらのカスタム・プロパティーは、SAML トークン生成プログラムと共に使用されると、SAML トークン生成プログラムのコールバック・ハンドラーに追加されます。

表 5. トラスト・クライアントのカスタム・プロパティー. カスタム・プロパティーの名前、値、および簡単な説明を表に示します。
名前 説明
com.ibm.wsspi.wssecurity.trust.client.TrustServiceCacheEntries デフォルト値は 1000 です。 維持できる STS サービス・インスタンスのキャッシュ・エントリーの最大数。
com.ibm.wsspi.wssecurity.trust.client.TrustServiceCacheTimeout デフォルト値は 60 分です。 STS サービスをクライアント・サイドのキャッシュ内に保持できる時間 (分単位)。
keyType WS-Trust 1.2 では、以下の keyType を指定できます。
  • http://schemas.xmlsoap.org/ws/2005/02/trust/PublicKey
  • http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey

WS-Trust 1.3 では、以下の keyType を指定できます。

  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/PublicKey
  • ttp://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
STS への WS-Trust 要求を行う時に使用する keyType。
wstrustActAsRequired 有効な値は、true および false です。デフォルト値は false です。 SAML トークンを STS 要求の ActAs エレメントに挿入する場合は、このプロパティーを true に設定します。SAML トークンは、現行の runAs サブジェクトまたは JAAS ログイン共有状態オブジェクトに存在している必要があります。JAAS ログイン共有状態内のトークンは、runAs サブジェクト内のトークンに優先します。onBehalfOfRequired と actAsRequired の両方が true に設定されている場合は、OnBehalfOf エレメントのみが STS 要求に挿入されます。詳しくは、『スタックされた JAAS ログイン・モジュールを使用した SAML トークンの生成およびコンシューム』を参照してください。
wstrustActAsTokenType 有効な値は、http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 および http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0 です。デフォルト値は、SAML 生成プログラム・コールバック・ハンドラーで生成されているトークンのタイプです。 このプロパティーは、STS 要求の ActAs エレメントでメッセージに挿入する SAML トークンのタイプに設定します。
wstrustActAsReIssue 有効な値は、true および false です。デフォルト値は false です。 STS 要求内にある ActAsReIssue エレメントに SAML トークンを挿入する場合、または、 SAML 生成プログラム・コールバック・ハンドラー内にシグニチャーおよび暗号化の設定を指定して再発行される runAs サブジェクトから SAML トークンを挿入する場合は、 このプロパティーを true に設定します。JAAS ログイン共有状態オブジェクトから取得した SAML トークンは再発行できません。
wstrustClientBinding このカスタム・プロパティーに、デフォルト値はありません。 WS-trust クライアントのバインディング名。
wstrustClientBindingScope このカスタム・プロパティーに、デフォルト値はありません。 WS-Trust クライアントに関連付けられたポリシー・セットのバインディング有効範囲。
wstrustClientCollectionRequest 有効な値は、true または false です。 デフォルト値は false であり、この場合、RequestSecurityTokenCollection ではなく、RequestSecurityToken が使用されます。 このカスタム・プロパティーを使用して、WS-Trust 要求で RequestSecurityTokenCollection が必要かどうかを指定します。
wstrustClientPolicy このカスタム・プロパティーに、デフォルト値はありません。 WS-Trust クライアントのポリシー・セット名。
wstrustClientSoapVersion 有効な値は、1.1 および 1.2 です。 値を指定しなかった場合は、SOAP バージョンは、デフォルトで、アプリケーション・クライアントが使用している SOAP バージョンになります。 WS-Trust 要求の SOAP バージョン。
wstrustClientWSTNamespace デフォルト値は trust13 です。 有効な値は trust12 および trust13 です。 WS-Trust 要求の WS-Trust 名前空間。
wstrustOnBehalfOfRequired 有効な値は、true および false です。 デフォルト値は false です。 SAML トークンを STS 要求の OnBehalfOf エレメントに挿入する場合は、このプロパティーを true に設定します。SAML トークンは、現行の runAs サブジェクトまたは JAAS ログイン共有状態オブジェクトに存在している必要があります。JAAS ログイン共有状態内のトークンは、runAs サブジェクト内のトークンに優先します。詳しくは、twbs_gen_con_token_JAAS_mod を参照してください。
wstrustOnBehalfOfTokenType 有効な値は、http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 および http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0 です。デフォルト値は、SAML 生成プログラム・コールバック・ハンドラーで生成されているトークンのタイプです。 このプロパティーは、STS 要求の OnBehalfOf エレメントでメッセージに挿入する SAML トークンのタイプに設定します。
wstrustOnBehalfOfReIssue 有効な値は、true および false です。デフォルト値は false です。 SAML トークンを STS 要求の OnBehalfOf エレメントに挿入する場合、または SAML 生成プログラム・コールバック・ハンドラー内にシグニチャーおよび暗号化の設定を指定して再発行される runAs サブジェクトから SAML トークンを挿入する場合は、このプロパティーを true に設定します。JAAS ログイン共有状態オブジェクトから取得した SAML トークンは再発行できません。

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_saml_customproperties
ファイル名:rwbs_saml_customproperties.html