トークン生成プログラム構成の設定

このページを使用して、トークン生成プログラムの情報を指定します。 この情報は、セキュリティー・トークンを生成するためだけに、生成プログラム側で使用されます。
この WebSphere® Application Server 管理コンソール・ページをサーバー・レベルで表示するには、以下のステップを実行します。
  1. サーバー」>「アプリケーション・サーバー」>「server_name」の順にクリックします。
  2. 「セキュリティー」の下で、「Web services: Default bindings for Web services security」をクリックします。
  3. 「Default generator bindings」の下で「Token generators」>「token_generator_name」 の順にクリックするか、「新規」をクリックして新規トークン生成プログラムを作成します。
  1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
  2. 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
  3. 「追加プロパティー」の下で、以下のバインディングについて、 トークン生成プログラム情報にアクセスできます。
    • 要求生成プログラム (送信側) バインディングについては、「Web サービス: クライアント・ セキュリティー・バインディング」をクリックします。「Request generator (sender) binding」の下で、「Edit custom」をクリックします。
    • 応答生成プログラム (送信側) バインディングについては、「Web services: Server security bindings」をクリックします。「Response generator (sender) binding」の下で、「Edit custom 」をクリックします。
  4. 新規」をクリックして新規トークン生成プログラムを作成するか、 既存のトークン生成プログラム名をクリックして、設定を指定します。
この WebSphere Application Server 管理コンソール・ページをアプリケーション・レベルで表示するには、 以下のステップを実行します。
  1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
  2. 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
  3. 「追加プロパティー」の下で、「Web サービス: クライアント・セキュリティー・バインディング」をクリックします。
  4. 「Request generator (sender) binding」の下で、「Edit custom」をクリックします。
  5. 「追加プロパティー」の下で「Token generators」>「新規」の順にクリックします。

追加プロパティーを指定する前に、「Token generator name」および「Token generator class name」フィールドで値を指定します。

関連資料
トークン・コンシューマー・コレクショントークン・コンシューマー名
トークン・コンシューマーの構成設定トークン・コンシューマー名
トークン生成プログラム・コレクショントークン生成プログラム名

トークン生成プログラム名

トークン生成プログラム構成の名前を指定します。

トークン生成プログラム・クラス名

トークン生成プログラムの実装クラスの名前を指定します。

このクラスは、com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent インターフェース を実装する必要があります。

証明書パス

CRL を使用して PKCS#7 トークン・タイプでラップされたセキュリティー・トークンの 生成に使用される証明書失効リスト (CRL) を指定します。

トークン生成プログラムが PKCS#7 トークン・タイプ用でない場合は、「なし」を選択する必要があります。 トークン生成プログラムが PKCS#7 トークン・タイプで、セキュリティー・トークンで CRL を パッケージする場合、「Dedicated Signing information」を選択し、コレクション証明書ストアの CRL を指定します。

以下のレベルで、以下のバインディングの証明書ストア構成を指定することができます。
バインディング名 セル・レベル、サーバー・レベル、またはアプリケーション・レベル パス
デフォルト生成プログラム・バインディング セル・レベル
  1. セキュリティー」>「Web サービス」の順にクリックします。
  2. 「追加プロパティー」の下で、「Collection certificate store」をクリックします。
デフォルト生成プログラム・バインディング サーバー・レベル
  1. サーバー」>「アプリケーション・サーバー」>「server_name」の順にクリックします。
  2. 「セキュリティー」の下で、「Web services: Default bindings for Web services security」をクリックします。
  3. 「追加プロパティー」の下で、「Collection certificate store」をクリックします。

コレクション証明書ストアを使用して、「追加プロパティー」の下にある 「Certificate revocation list」をクリックすることで、関連した証明書失効リストを 構成することができます。

nonce の追加

トークン生成プログラムのユーザー名トークンに nonce を組み込むかどうかを示します。 nonce は、メッセージに組み込まれた固有の暗号数値で、ユーザー名トークンの未許可のアタックが繰り返されるのを防ぐために役立ちます。
アプリケーション・レベルで、「Add nonce」オプションを選択する場合、 「追加プロパティー」の下で以下のプロパティーを指定できます。
表 1. 追加の nonce プロパティー
プロパティー名 デフォルト値 説明
com.ibm.ws.wssecurity.config.token.
BasicAuth.Nonce.cacheTimeout
600 秒 サーバー上でキャッシュされる nonce 値のタイムアウト値を秒単位で指定します。
com.ibm.ws.wssecurity.config.token.
BasicAuth.Nonce.clockSkew
0 秒 nonce タイム・スタンプの有効期限が切れるまでの時間を秒単位で指定します。
com.ibm.ws.wssecurity.config.token.
BasicAuth.Nonce.maxAge
300 秒 WebSphere Application Server がメッセージの適時性を確認する際に考慮するためのクロック・スキュー値を秒単位で指定します。
これらのプロパティーは、セルおよびサーバー・レベルで管理コンソールにおいて 使用可能です。ただし、アプリケーション・レベルでは、「追加プロパティー」の下で プロパティーを構成することができます。

このオプションは、セル、サーバー、およびアプリケーション・レベルで表示されます。このオプションは、生成されたトークン・タイプがユーザー名トークンである場合にのみ有効です。

タイム・スタンプを追加

タイム・スタンプをユーザー名トークンに挿入するかどうかを指定します。

このオプションは、セル、サーバー、およびアプリケーション・レベルで表示されます。このオプションは、生成されたトークン・タイプがユーザー名トークンである場合にのみ有効です。

値タイプ・ローカル名

生成済みトークンの値タイプのローカル名を指定します。
ユーザー名トークンおよび X.509 証明書セキュリティー・トークンの場合、WebSphere Application Server は事前定義値タイプを提供します。以下のローカル名を指定する場合、 値タイプの URI を指定する必要はありません。
ユーザー名トークン
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
X509 証明書トークン
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509
PKIPath 内の X509 証明書
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
PKCS#7 内の X509 証明書および CRL のリスト
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
LTPA
重要: LTPA の場合、値タイプのローカル名は LTPA です。ローカル名に LTPA を入力する場合、「Value type URI」フィールドでも http://www.ibm.com/websphere/appserver/tokentype/5.0.2 URI 値を指定する必要があります。 その他の事前定義値タイプ (ユーザー名トークン、X509 証明書トークン、PKIPath 内の X509 証明書、 および PKCS#7 内の X509 証明書および CRL のリスト) については、「local name」フィールドの値は、 http:// で始まります。例えば、値タイプのユーザー名トークンを指定する場合、「Value type local name」フィールドに http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken と入力すると、「Value type URI」フィールドに値を入力する必要はありません。

カスタム・トークンのカスタム値タイプを指定する場合、値タイプの品質名 (QName) のローカル名および URI を指定することができます。 例えば、ローカル名に Custom を指定し、 URI に http://www.ibm.com/custom を指定します。

値タイプ URI

生成済みトークンの値タイプのネームスペース URI を指定します。

ユーザー名トークンまたは X.509 証明書セキュリティー・トークンのトークン生成プログラムを 指定する場合、このオプションを指定する必要はありません。別のトークンを指定する場合、 値タイプの QName の URI を指定します。

WebSphere Application Server は、LTPA トークンの以下の事前定義値タイプ URI を提供します (http://www.ibm.com/websphere/appserver/tokentype/5.0.2)。


フィードバック