アセンブリー・ツールによるトークン・コンシューマーの構成

このタスクを実行する前に、以下のステップを実行する必要があります。

セキュリティー・トークンは、クライアントによって作成された要求のセットを表します。 この一連の要求には、名前、パスワード、ID、鍵、証明書、グループ、特権などが含まれています。 セキュリティー・トークンは、SOAP ヘッダー内の Simple Object Access Protocol (SOAP) メッセージに組み込まれます。 SOAP ヘッダー内のセキュリティー・トークンは、メッセージの送信側から対象のメッセージ受信側に伝搬されます。 受信側では、WebSphere® Application Server のセキュリティー・ハンドラーによってセキュリティー・トークンが認証され、実行中のスレッド上で呼び出し元の ID がセットアップされます。

以下のステップを実行して、 ステップ 2 でクライアント・サイドのバインディングまたはステップ 3 でサーバー・サイドのバインディングのいずれかのトークン・コンシューマーを構成するように設定します。

  1. ウィンドウ」>「パースペクティブを開く」>「J2EE」の順にクリックします。
  2. オプション: 「プロジェクト・エクスプローラー」ウィンドウを使用して、クライアント・サイドのバインディングを見つけます。 「Client Deployment Descriptor」ウィンドウが表示されます。 この Web サービスには、ユーザーが構成する必要があるバインディングが含まれています。 以下のステップを実行して、クライアント・サイドのバインディングを検索します。
    1. 「Web サービス」>「クライアント」セクションの順に展開して、 Web サービスの名前をダブルクリックします。
    2. WS Binding」タブをクリックして、「Security Response Consumer Configuration」セクションを展開します。
  3. オプション: 「プロジェクト・エクスプローラー」ウィンドウを使用して、サーバー・サイドのバインディングを検索します。 「Web Services Editor」ウィンドウが表示されます。 この Web サービスには、ユーザーが構成する必要があるバインディングが含まれています。 以下のステップを実行して、サーバー・サイドのバインディングを検索します。
    1. 「Web サービス」>「サービス」セクションの順に展開して、 Web サービスの名前をダブルクリックします。
    2. Binding Configurations」タブをクリックして、「Request Consumer Binding Configuration Details」セクションを展開します。
  4. オプション: X.509 セキュリティー・トークン用にこのトークン・コンシューマーを構成する場合は、 トラスト・アンカーを構成します。 以下のステップを実行して、トラスト・アンカーを構成します。
    1. 「Trust anchor」セクションを展開し、 「追加」をクリックして新規項目を追加するか、「編集」をクリックして選択した項目を編集します。 「Trust anchor」ダイアログ・ウィンドウが表示されます。
    2. 「Trust anchor name」フィールドにトラスト・アンカー構成の名前を指定します。
    3. 「Key store storepass」フィールドに鍵ストアのパスワードを指定します。 鍵ストアの storepass は、鍵ストア・ファイルへのアクセスに必要なパスワードです。
    4. 「Key store path」フィールドで、鍵ストア・ファイルへのパスを指定します。 鍵ストア・パスは、鍵ストアが置かれているディレクトリーです。アプリケーションをどこにデプロイする場合でも、サーバーが鍵ストア・ファイルを検出できるようにしておいてください。
    5. 「Key store type」フィールドから、鍵ストアのタイプを選択します。 選択する鍵ストア・タイプは、「Key store path」フィールドで指定された鍵ストア・ファイルと一致している必要があります。
    6. OK」をクリックして、トラスト・アンカー構成を保管します。
  5. 「Token Consumer」セクションを展開し、 「追加」をクリックして新規項目を追加するか、「編集」をクリックして選択した項目を編集します。 「Token Consumer」ダイアログ・ウィンドウが表示されます。
  6. 「Token consumer name」フィールドに名前を指定します。 このトークン・コンシューマーが X.509 証明書用で、 シグニチャーの検証や暗号化解除に使用される場合、 トークン・コンシューマー名は「Key Information」ダイアログ・ウィンドウの「トークン」フィールドで参照されます。
  7. 「Token consumer class」フィールドでトークン・コンシューマー・クラスを選択します。 構成するトークンのタイプに一致するトークン・コンシューマー・クラスを選択します。 例えば、受信メッセージで X.509 セキュリティー・トークンを処理するトークン・コンシューマーを構成する場合は、 トークン・コンシューマー・クラス com.ibm.wsspi.wssecurity.token.X509TokenConsumer を選択します。
  8. 「Security token」フィールドでセキュリティー・トークン参照を選択します。 このフィールドのこの値は、拡張ファイルで構成されたセキュリティー・トークンを参照します。 X.509 セキュリティー・トークン用にこのトークン・コンシューマーを構成する場合 (この場合、 トークン・コンシューマー・クラスは com.ibm.wsspi.wssecurity.token.X509tokenConsumer)、 このフィールドはブランクのままにします。
  9. Use value type」オプションを選択して、 「Value type」フィールドで値タイプを選択します。 構成するトークン・コンシューマーのタイプに一致するセキュリティー・トークンの値タイプを選択します。 値タイプを選択すると、アセンブリー・ツールは、値タイプで指定されたセキュリティー・トークンのタイプによって、 「Local name」フィールドと「URI」フィールドに正しい値を自動的に入力します。
  10. オプション: セキュリティー・トークン用の JAAS 構成が必要な場合は、 「Use jaas.config」オプションを使用して、 「jaas.config.name」フィールドに Java™ Authentication and Authorization Service (JAAS) 構成名を指定します。 指定する JAAS 構成名は、 このトークン・コンシューマー向けに指定されたセキュリティー・トークン用でなければなりません。 次の表は、値タイプで指定されたさまざまなセキュリティー・トークン用の JAAS 構成名のリストです。
    表 1. JAAS 構成名と対応する値タイプ
    jaas.config.name 値のタイプ
    system.wssecurity.UsernameToken ユーザー名トークン
    system.wssecurity.IDAssertionUsernameToken ユーザー名トークン (IDAssertion 用)
    system.wssecurity.X509BST X509 証明書トークン
    system.wssecurity.PkiPath PKIPath 内の X509 証明書
    system.wssecurity.PKCS7 PKCS#7 内の X509 証明書と CRL
  11. オプション: このトークン・コンシューマー用にトラステッド ID エバリュエーターが必要な場合は、 「Use trusted ID evaluator」オプションを選択して、新規のトラステッド ID エバリュエーターを定義するか、 「Use trusted ID evaluator reference」オプションを選択して、 デフォルト・バインディング・ファイルで定義された既存のトラステッド ID エバリュエーターを選択します。 トラステッド ID エバリュエーターは通常、 中間 Web サービスの ID の信頼性を判別するために、ターゲットの Web サービスによってマルチ・ホップ環境で使用されます。 「Use trusted ID evaluator」オプションを選択した場合は、以下のステップを実行します。
    1. 「Trusted ID evaluator class」フィールドでトラステッド ID エバリュエーターの実装を指定します。 トラステッド ID エバリュエーターは、com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator インターフェースを実装するクラスを指定することによって実装されます。WebSphere Application Server バージョン 6 は、com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl という、 デフォルトのトラステッド ID エバリュエーターの実装を提供します。

      この実装は、トラステッド ID 名のリストによって初期化されます。 トラステッド ID は、バインディング・ファイルの trustedIDEvaluator プロパティーとして指定されます。 名前が評価されると、その名前はトラステッド ID 名のリストに対してチェックされます。 リストにある場合はその名前が信頼され、リストにない場合は信頼されません。

    2. 「Trusted ID evaluator property」セクションの「追加」をクリックして新規項目を追加するか、 「除去」をクリックして選択した項目を削除します。 各プロパティーの項目は、トラステッド ID を表します。
    3. 「名前」フィールドに trustedId_trustmode を指定し、 「値」フィールドに中間 ID を指定します。
    Use trusted ID evaluator reference」オプションを選択した場合は、 「Trusted ID evaluator reference」フィールドに既存のトラステッド ID エバリュエーターの名前を指定します。
  12. オプション: 「プロパティー」の下の「追加」をクリックしてこのトークン・コンシューマー用に新しいプロパティーを追加するか、 「除去」をクリックして選択したプロパティーを削除します。 このトークン・コンシューマーで nonce とユーザー名トークンに含まれるタイム・スタンプを処理する必要がある場合は、 次の表のプロパティーを定義します。
    表 2. nonce とタイム・スタンプのプロパティー
    名前
    com.ibm.wsspi.wssecurity.token.Username.verifyNonce
    com.ibm.wsspi.wssecurity.token.Username.verifyTimestamp
  13. オプション: X.509 セキュリティー・トークン用にこのトークン・コンシューマーを構成する場合は、 「Use certificate path settings」オプションを選択します。
  14. X.509 セキュリティー・トークン用にこのトークン・コンシューマーを構成する場合は、 「Certificate path reference」オプションまたは「Trust any certificate」オプションのいずれかを選択します。
    重要: X.509 証明書トークン用にトークン・コンシューマーを構成する場合は、 「Trust any certificate」オプションを選択するときに注意が必要です。 このオプションでは、どの証明書を使用しても SOAP メッセージが署名され暗号化されるため、 ご使用の Web サービス・アプリケーションのセキュリティーが甘くなる場合があります。 トラスト・アンカーと証明書ストア・リストを使用して、 受信した SOAP メッセージに組み込まれた X.509 証明書を検証することをお勧めします。

    Certificate path reference」オプションを選択した場合は、以下のステップを実行します。

    1. 「Trust anchor reference」フィールド内のリストから、トラスト・アンカー参照を選択します。 この参照は、鍵ストアを指定するトラスト・アンカーの名前です。 この鍵ストアには、トラステッド・ルート認証局 (CA) の証明書が含まれています。
    2. 「Certificate store reference」フィールドから証明書ストアを選択します。 証明書ストア・リストには、 ルート以外の CA 証明書 (または中間証明書) と証明書失効リスト (CRL) が含まれています。
  15. OK」をクリックして、構成を保管します。
このトークン・コンシューマー構成が X.509 セキュリティー・トークン用である場合は、 鍵情報を構成します。 詳しくは、コンシューマー・バインディング用鍵情報の構成を参照してください。
関連概念
トラステッド ID エバリュエーター
関連タスク
コンシューマー・セキュリティー制約のセキュリティー・トークン要件の構成
生成プログラム・セキュリティー制約のセキュリティー・トークンの構成
コンシューマー・バインディング用鍵情報の構成

フィードバック