コールバック・ハンドラーの構成設定

このページを使用して、Simple Object Access Protocol (SOAP) メッセージ内で Web サービス・ セキュリティー・ヘッダーに挿入されるセキュリティー・トークンの取得方法を指定します。 このトークン取得は、セキュリティー・トークンを取得するために Java™ 認証・承認サービス (JAAS) javax.security.auth.callback.CallbackHandler インターフェースを利用するプラグ可能なフレームワークです。
この WebSphere® Application Server 管理コンソール・ページをコールバック・ハンドラー用にサーバー・レベルで表示するには、以下のステップを完了します。
  1. サーバー」>「アプリケーション・サーバー」>「server_name」の順にクリックします。
  2. 「セキュリティー」の下で、「Web services: Default bindings for Web services security」をクリックします。
  3. 「Default generator bindings」の下で、「Token generators」>「token_generator_name」の順にクリックします。
  4. 「追加プロパティー」の下で、「Callback handler」をクリックします。
この WebSphere Application Server 管理コンソール・ページをコールバック・ハンドラー用にアプリケーション・レベルで表示するには、 以下のステップを完了します。
  1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
  2. 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
  3. 「追加プロパティー」の下で、以下のバインディングについて、コールバック・ハンドラー情報に アクセスできます。
    • 要求生成プログラム (送信側) バインディングについては、「Web サービス: クライアント・ セキュリティー・バインディング」をクリックします。「Request generator (sender) binding」の下で、「Edit custom 」をクリックします。「追加プロパティー」の下で、「Token generator」をクリックします。「新規」を クリックして新規トークン生成プログラム構成を作成するか、既存の構成の名前をクリックして、設定を変更します。 「追加プロパティー」の下で、「Callback handler」をクリックします。
    • 応答生成プログラム (送信側) バインディングについては、「Web services: Server security bindings」をクリックします。「Response generator (sender) binding」の下で、「Edit custom 」をクリックします。「追加プロパティー」の下で、「Token generator」をクリックします。「新規」を クリックして新規トークン生成プログラム構成を作成するか、既存の構成の名前をクリックして、設定を変更します。 「追加プロパティー」の下で、「Callback handler」をクリックします。
関連資料
トークン生成プログラム・コレクショントークン生成プログラム名
トークン生成プログラム構成の設定トークン生成プログラム名

コールバック・ハンドラーのクラス名

セキュリティー・トークン・フレームワークに接続するために使用されるコールバック・ハンドラー実装クラスの 名前を指定します。
指定したコールバック・ハンドラー・クラスは、javax.security.auth.callback.CallbackHandler クラスを実装する必要があります。JAAS javax.security.auth.callback.CallbackHandler インターフェースの実装は、 以下の構文を使用してコンストラクターを提供する必要があります。

MyCallbackHandler(String username, char[] password, java.util.Map properties)

各部の説明:
username
構成に渡されるユーザー名を指定します。
password
構成に渡されるパスワードを指定します。
properties
構成に渡されるその他の構成プロパティーを指定します。
WebSphere Application Server は、以下のデフォルトのコールバック・ハンドラー実装を提供します。
com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
このコールバック・ハンドラーは、ログイン・プロンプトを使用してユーザー名およびパスワード情報を収集します。 ただし、このパネルでユーザー名およびパスワードを指定する場合、プロンプトは 表示されず、WebSphere Application Server は、このパネルで指定されている場合は、ユーザー名と パスワードをトークン生成プログラムに戻します。 ただし、この実装を使用するのは、Java 2 Platform, Enterprise Edition (J2EE) アプリケーション・クライアント のみです。
com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
このコールバック・ハンドラーはプロンプトを発行せず、このパネル上で指定されている場合は、ユーザー名とパスワードを戻します。このコールバック・ハンドラーは、Web サービスがクライアントとして機能している場合に使用できます。
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
このコールバック・ハンドラーは、standard-in プロンプトを使用して、ユーザー名およびパスワードを収集します。ただし、 このパネルでユーザー名とパスワードが指定された場合、WebSphere Application Server はプロンプトを表示しませんが、トークン生成プログラムに ユーザー名とパスワードを戻します。 ただし、この実装を使用するのは、Java 2 Platform, Enterprise Edition (J2EE) アプリケーション・クライアント のみです。
com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
このコールバック・ハンドラーは、Run As 呼び出しサブジェクトから Lightweight Third Party Authentication (LTPA) セキュリティー・トークンを取得するために使用されます。 このトークンは、バイナリー・セキュリティー・ トークンとして SOAP メッセージ内で Web サービス・セキュリティー・ヘッダーに挿入されます。 ただし、ユーザー名とパスワードがこのパネルで指定されている場合、WebSphere Application Server は、Run As サブジェクトから LTPA セキュリティー・トークンを 取得するのではなく、ユーザー名とパスワードを認証してこれを取得します。このコールバック・ハンドラーは、Web サービスがアプリケーション・サーバー上でクライアントとして機能している場合のみ使用してください。 このコールバック・ハンドラーを J2EE アプリケーション・クライアント上で使用することはお勧めしません。
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
このコールバック・ハンドラーは、バイナリー・セキュリティー・トークンとして SOAP メッセージ内の Web サービス・ セキュリティー・ヘッダーに挿入される X.509 証明書を作成するために使用されます。 このコールバック・ハンドラーには、鍵ストアと鍵の定義が必要です。
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
このコールバック・ハンドラーは、PKCS#7 フォーマットでエンコードされる X.509 証明書を作成するために使用されます。証明書は、バイナリー・セキュリティー・トークンとして SOAP メッセージ内の Web サービス・セキュリティー・ヘッダーに挿入されます。 このコールバック・ ハンドラーには鍵ストアが必要です。コレクション証明書ストアで証明書失効リスト (CRL) を指定する必要があります。 CRL は、PKCS#7 形式で X.509 証明書と共にエンコードされます。
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
このコールバック・ハンドラーは、PkiPath 形式でエンコードされた X.509 証明書を 作成するために使用されます。証明書は、バイナリー・セキュリティー・トークンとして SOAP メッセージ内の Web サービス・セキュリティー・ヘッダーに挿入されます。 このコールバック・ ハンドラーには鍵ストアが必要です。CRL はコールバック・ハンドラーでサポートされていないため、 コレクション証明書ストアの必要性はなく、使用しません。

コールバック・ハンドラーの実装は、必要なセキュリティー・トークンを取得し、それをトークン生成プログラムに渡します。トークン生成プログラムは、セキュリティー・トークンを SOAP メッセージ内の Web サービス・セキュリティー・ヘッダーに挿入します。トークン生成プログラムは、 プラグ可能セキュリティー・トークン・フレームワークのプラグイン・ポイントでもあります。 サービス・プロバイダーは独自の実装を提供できますが、実装は com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent インターフェースを使用する必要があります。

ID アサーションの使用

IBM® 拡張デプロイメント記述子で定義された ID 表明がある場合は、このオプションを選択します。

このオプションは、初期送信側の ID のみが必要で、SOAP メッセージ内の Web サービス・セキュリティー・ヘッダーに挿入されることを示します。例えば、WebSphere Application Server は Username TokenGenerator の元の呼び出し元のユーザー名のみを送信します。 X.509 トークン生成プログラムの場合、 アプリケーション・サーバーはオリジナルの署名者認証のみを送信します。

Use RunAs identity

IBM 拡張デプロイメント記述子で 定義された ID 表明を持ち、ダウンストリーム呼び出しの ID 表明について、初期呼び出し元 ID の 代わりに Run As ID を使用する場合は、このオプションを選択します。

このオプションは、Username TokenGenerator をトークン生成プログラムとして構成した場合にのみ有効です。

基本認証ユーザー ID

コールバック・ハンドラー実装のコンストラクターに渡されるユーザー名を指定します。
基本認証ユーザー名およびパスワードは、WebSphere Application Server が提供する以下のデフォルトのコールバック・ハンドラー実装の いずれかを選択する場合に使用します。
  • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler

これらの実装の詳細は、この項の『コールバック・ハンドラーのクラス名』のフィールド説明に説明されています。

基本認証パスワード

コールバック・ハンドラーのコンストラクターに渡されるパスワードを指定します。
鍵ストアおよび関連構成は、WebSphere Application Server が提供する以下のデフォルトのコールバック・ハンドラー実装の いずれかを選択する場合に使用します。
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
この鍵ストアは、証明書パスで X.509 証明書を作成するために使用されます。
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
この鍵ストアは、証明書パスで X.509 証明書を作成するために使用されます。
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
この鍵ストアは、X.509 証明書を検索するために使用されます。

鍵ストア・パスワード

鍵ストア・ファイルにアクセスするために使用するパスワードを指定します。

鍵ストア・パス

鍵ストア・ファイルのロケーションを指定します。

パス名に ${USER_INSTALL_ROOT} を使用します。この変数は、マシン上の WebSphere Application Server パスに展開するためです。この変数が使用するパスを変更するには、「環境」> 「WebSphere 変数」をクリックし、さらに 「USER_INSTALL_ROOT」をクリックします。

鍵ストア・タイプ

鍵ストア・ファイル形式のタイプを指定します。
このフィールドで、以下の値のいずれかを選択することができます。
JKS
鍵ストアが Java Keystore (JKS) 形式を使用する場合は、このオプションを使用します。
JCEKS
Java Cryptography Extension が Software Development Kit (SDK) で構成されている場合は、このオプションを使用します。デフォルトの IBM JCE は、WebSphere Application Server で構成されています。このオプションは、Triple DES 暗号化を使用することにより、保管された秘密鍵の保護をより強化します。
PKCS11KS (PKCS11)
鍵ストア・ファイルが PKCS#11 ファイル形式を使用する場合は、このオプションを使用します。このフォーマットを使用する鍵ストア・ファイルには、暗号ハードウェア上に Rivest Shamir Adleman (RSA) 鍵が含まれているか、 暗号ハードウェアを使用する鍵を暗号化して保護を実行している可能性があります。
PKCS12KS (PKCS12)
鍵ストア・ファイルが PKCS#12 ファイル形式を使用する場合は、このオプションを使用します。

フィードバック