ログイン・マッピング構成の設定

このページを使用して、着信メッセージ内のセキュリティー・トークンの検証に 使用する Java™ Authentication and Authorization Service (JAAS) ログイン構成の設定を指定します。

重要: バージョン 6 とそれより後のアプリケーションの間には重要な相違点があります。 この情報は、WebSphere® Application Server バージョン 6.x 以降で使用されるバージョン 6.x アプリケーションのみをサポートしています。 この情報はバージョン 6.0.x 以降のアプリケーションには適用されません。
セル・レベルでこの管理コンソール・ページを表示するには、以下のステップを実行します。
  1. 「セキュリティー」 > 「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
  2. 「追加プロパティー」の下の「Login mappings」をクリックします。
  3. 新規」をクリックして新規ログイン・マッピング構成を作成するか、既存の構成の名前をクリックします。
サーバー・レベルでこの管理コンソール・ページを表示するには、以下のステップを実行します。
  1. 「サーバー」 > 「サーバー・タイプ」 > 「WebSphere Application Server」 > server_name とクリックします。
  2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
    混合バージョン環境 (Mixed-version environment) 混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv
  3. 「追加プロパティー」の下の「Login mappings」をクリックします。
  4. 新規」をクリックして新規ログイン・マッピング構成を作成するか、既存の構成の名前をクリックします。
アプリケーション・レベルでこの管理コンソール・ページを使用するには、以下のステップを実行します。
  1. 「アプリケーション」 > 「アプリケーション・タイプ」 > 「WebSphere エンタープライズ・アプリケーション」 > application_nameとクリックします。
  2. 「モジュール」の下で、「モジュールの管理」 > URI_nameとクリックします。
  3. 「Web Services Security プロパティー」の下の「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。
  4. 「要求受信側のバインディング」の下の「編集」をクリックします。
  5. Login mappings」をクリックします。
  6. 新規」をクリックして新規ログイン・マッピング構成を作成するか、既存の構成の名前をクリックします。
重要: ログイン・マッピング構成がアプリケーション・レベルにない場合、 Web サービス・ランタイムは、そのログイン・マッピング構成をサーバー・レベルで検索します。 この構成がサーバー・レベルで検出されない場合、Web サービス・ランタイムはセルを検索します。

認証方式

認証方式を指定します。

任意のストリングを使用できますが、使用するストリングはサービス・レベルの構成内のエレメントに一致する必要があります。 以下のワードは予約済みで、特殊な意味を持ちます。
BasicAuth
ユーザー名およびパスワードの両方を使用します。
IDAssertion
ユーザー名のみを使用しますが、受信側のサーバーで、TrustedIDEvaluator メカニズムを使用して追加のトラストが確立されることが必要です。
Signature
署名者の識別名 (DN) を使用します。
LTPA
トークンを検証します。

JAAS 構成名

Java Authentication and Authorization Service (JAAS) の構成の名前を指定します。

使用可能な事前定義のシステム・ログイン構成には、以下のようなものがあります。
system.wssecurity.IDAssertion
バージョン 6.x アプリケーションが ID アサーションを使用して、 ユーザー名を WebSphere Application Server クレデンシャル・プリンシパルにマップできるようにします。
system.wssecurity.Signature
バージョン 6.x アプリケーションが署名済み証明書内の識別名 (DN) を WebSphere Application Server 資格情報プリンシパルにマップできるようにします。
system.LTPA_WEB
サーブレット、JavaServer Pages (JSP) ファイルなどの Web コンテナーによって使用されるログイン要求を処理します。
system.WEB_INBOUND
サーブレットおよび JavaServer Pages を含む Web アプリケーション要求のログインを処理します。
system.RMI_INBOUND
インバウンド・リモート・メソッド呼び出し (RMI) 要求のログインを処理します。
system.DEFAULT
内部認証、および Web アプリケーションおよび RMI 要求を除く他のほとんどのプロトコルによって作成されるインバウンド要求のログインを処理します。
system.RMI_OUTBOUND
com.ibm.CSIOutboundPropagationEnabled プロパティー が true である場合に、 別のサーバーにアウトバウンド送信される RMI 要求を処理します。 このプロパティーは、「CSIv2 authentication」パネルで設定されます。このパネルにアクセスするには、「セキュリティー」 > 「グローバル・セキュリティー」とクリックします。 「RMI/IIOP セキュリティー」を展開してから、「CSIv2 アウトバウンド認証」をクリックします。com.ibm.CSIOutboundPropagationEnabled プロパティーを設定するには、「セキュリティー属性の伝搬」を選択します。
system.wssecurity.X509BST
証明書および証明書パスの妥当性を検査することによって、X.509 バイナリー・セキュリティー・トークン (BST) を検査します。
system.wssecurity.PKCS7
PKCS7 オブジェクトの証明書失効リストで、X.509 証明書を検査します。
system.wssecurity.PkiPath
Public Key Infrastructure (PKI) パスで X.509 証明書を検査します。
system.wssecurity.UsernameToken
基本認証 (ユーザー名およびパスワード) を検査します。
これらのシステム・ログイン構成は、以下のステップを実行することによってアクセス可能な システム・ログイン・パネルで定義されます。
  1. 「セキュリティー」 > 「グローバル・セキュリティー」とクリックします。
  2. 「Java Authentication and Authorization Service」を展開してから、「システム・ログイン」をクリックします。
重要: 事前定義システム・ログイン構成は、システム接頭部なしで、 「システム・ログイン構成」パネルにリストされます。 例えば、 「Java Authentication and Authorization Service (JAAS) 構成名」オプションにリストされている system.wssecurity.UsernameToken 構成は、 「システム・ログイン構成」パネル上の wssecurity.UsernameToken 構成に対応しています。
以下の事前定義アプリケーション・ログイン構成を使用することができます。
ClientContainer
クライアント・コンテナー・アプリケーションが使用するログイン構成を指定します。 この構成は、クライアント・コンテナーのデプロイメント記述子に定義された CallbackHandler API を使用します。
WSLogin
すべてのアプリケーションが、 WebSphere Application Server セキュリティー・ランタイムの認証を実行するために、WSLogin 構成を使用できるかどうかを指定します。
DefaultPrincipalMapping
ユーザーを「J2C 認証データ・エントリー」に定義されたプリンシパルにマップするために Java 2 コネクター (J2C) が使用するログイン構成を指定します。
これらのアプリケーション・ログイン構成は、以下のステップを実行することによってアクセス可能な 「アプリケーション・ログイン」パネルで定義されます。
  1. 「セキュリティー」 > 「グローバル・セキュリティー」とクリックします。
  2. 「Java Authentication and Authorization Service」を展開し、 「アプリケーション・ログイン」をクリックします。

これらの事前定義システムまたはアプリケーション・ログイン構成は除去しないでください。 これらの構成内では、モジュール・クラス名の追加、 および WebSphere Application Server が各モジュールをロードする順序の指定を行うことができます。

コールバック・ハンドラー・ファクトリーのクラス名

CallbackHandler クラスのファクトリー名を指定します。

このフィールドでは、com.ibm.wsspi.wssecurity.auth.callback.CallbackHandlerFactory クラス を実装する必要があります。

トークン・タイプ URI

受け入れたセキュリティー・トークンのタイプを表す、名前空間 Uniform Resource Identifiers (URI) を指定します。

バイナリー・セキュリティー・トークンが受け入れられた場合は、その値はエレメント内の ValueType 属性を表します。 ValueType エレメントは、セキュリティー・トークンのタイプとその名前空間を識別します。 Extensible Markup Language (XML) トークンが受け入れられた場合は、 その値は XML トークンの最上位のエレメント名を表します。

予約語が既に「認証方式」フィールドで指定されている場合は、このフィールドは無視されます。

通知
データ型: Unicode 文字。ただし、番号記号 (#)、パーセント記号 (%)、および大括弧 ([ ]) 以外の非 ASCII 文字は除きます。

トークン・タイプのローカル名

セキュリティー・トークンのタイプのローカル名 (例えば、X509v3) を指定します。

バイナリー・セキュリティー・トークンが受け入れられた場合は、その値はエレメント内の ValueType 属性を表します。 ValueType 属性は、セキュリティー・トークンのタイプとその名前空間を識別します。 Extensible Markup Language (XML) トークンが受け入れられた場合は、 その値は XML トークンの最上位のエレメント名を表します。

予約語が既に「認証方式」フィールドで指定されている場合は、このフィールドは無視されます。

Nonce 最大存続期間

nonce タイム・スタンプの有効期限が切れるまでの時間 (秒) を指定します。 nonce はランダムに生成される値です。

「Nonce 最大経過時間」フィールドには、少なくとも 300 秒を指定する必要があります。 ただし、セル・レベルまたはサーバー・レベルの「Nonce キャッシュ・タイムアウト」フィールドで指定されている秒数を超える値を最大値として指定することはできません。

セル・レベルの「Nonce 最大経過時間」値を指定するには、以下のステップを実行します。
  1. 「セキュリティー」 > 「JAX-WS および JAX-RPC セキュリティー・ランタイム (JAX-WS and JAX-RPC security runtime)」をクリックします。
サーバー・レベルの「Nonce 最大経過時間」値を指定するには、以下のステップを実行します。
  1. 「サーバー」 > 「サーバー・タイプ」 > 「WebSphere Application Server」 > server_name とクリックします。
  2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
    混合バージョン環境 (Mixed-version environment) 混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv
重要: このパネルの「Nonce 最大経過時間」フィールドは オプションであり、BasicAuth 認証メソッドが指定されている場合のみ有効になります。他の認証方式を指定した場合にこのフィールドに値を指定しようとすると、エラー・メッセージ「Nonce is not supported for authentication methods other than BasicAuth」が表示され、値を指定し直す必要があります。

BasicAuth メソッドを指定し、「Nonce 最大経過時間」フィールドには 値を指定しない場合は、Web Services Security ランタイムがサーバー・レベルの「Nonce 最大経過時間」値を検索します。サーバー・レベルで値が検出されなければ、ランタイムはセル・レベルを検索します。 サーバー・レベルまたはセル・レベルのいずれでも値が検出されなければ、デフォルトで 300 秒になります。

通知
デフォルト 300 秒
範囲 300 から「Nonce キャッシュ・タイムアウト」に指定した値 (秒)

Nonce クロック・スキュー

WebSphere Application Server がメッセージの最新度をチェックする際に検討する クロック・スキュー値 (秒) を指定します。nonce はランダムに生成される値です。

セル・レベルの「Nonce クロック・スキュー」値を指定するには、以下のステップを実行します。
  1. 「セキュリティー」 > 「JAX-WS および JAX-RPC セキュリティー・ランタイム (JAX-WS and JAX-RPC security runtime)」をクリックします。
サーバー・レベルの「Nonce クロック・スキュー」値を指定するには、以下のステップを実行します。
  1. 「サーバー」 > 「サーバー・タイプ」 > 「WebSphere Application Server」 > server_name とクリックします。
  2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
    混合バージョン環境 (Mixed-version environment) 混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv

「Nonce クロック・スキュー」フィールドには、少なくともゼロ (0) 秒を指定する必要があります。 ただし、最大値は、この「ログイン・マッピング」パネルの「Nonce 最大経過時間」フィールドに指定した秒数を超えてはなりません。

重要: このパネルの「Nonce クロック・スキュー」フィールドは オプションであり、BasicAuth 認証メソッドが指定されている場合のみ有効になります。他の認証方式を指定した場合にこのフィールドに値を指定しようとすると、エラー・メッセージ「Nonce is not supported for authentication methods other than BasicAuth」が表示され、値を指定し直す必要があります。
注: BasicAuth を指定して、「Nonce クロック・スキュー」フィールドには 値を指定しない場合、WebSphere Application Server はサーバー・レベルで「Nonce クロック・スキュー」値を検索します。サーバー・レベルで値が検出されなければ、ランタイムはセル・レベルを検索します。 サーバー・レベルまたはセル・レベルのいずれでも値が検出されなければ、デフォルトのゼロ (0) 秒になります。
通知
デフォルト 0 秒
範囲 0 から「Nonce 最大経過時間」に指定した値 (秒)

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=uwbs_logmapn
ファイル名:uwbs_logmapn.html