セキュリティー・トークンがアプリケーション・レベルで定義されていない場合、
サーバー・レベルまたはセル・レベルでトークン・コンシューマーを使用して、
セキュリティー・トークンを処理するために必要な情報を指定します。
WebSphere
® Application Server には、バインディングのデフォルト値が用意されています。ユーザーは、実稼働環境に合わせてデフォルトを変更する必要があります。
以下の手順を実行して、サーバー・レベルでトークン・コンシューマーを構成します。
- サーバー・レベルのデフォルト・バインディングにアクセスします。
- 「サーバー」>「アプリケーション・サーバー」>「server_name」の順にクリックします。
- 「セキュリティー」の下で、「Web services: Default bindings for Web services security」をクリックします。
- 「Default consumer bindings」の下で、「Token consumers」をクリックします。
- 「新規」をクリックしてトークン・コンシューマー構成を作成し、「削除」をクリックして既存の構成を削除するか、既存のトークン・コンシューマー構成の名前をクリックしてその設定を編集します。 新規構成を作成する場合は、「Token consumer name」フィールドに
トークン・コンシューマー構成の固有の名前を入力します。
例えば、sig_cgen のように指定してください。
このフィールドは、トークン・コンシューマー要素の名前を指定します。
- 「Token consumer class name」フィールドでクラス名を指定します。 トークン・コンシューマー・クラスは com.ibm.wsspi.wssecurity.token.TokenConsumerComponent インターフェースを実装する必要があります。
トークン・コンシューマー・クラス名は、トークン生成プログラムのクラス名と類似している必要があります。
例えば、アプリケーションが X.509 証明書トークン・コンシューマーを必要とする場合、
「Token generator」パネルで com.ibm.wsspi.wssecurity.token.X509TokenGenerator クラス名を、
このフィールドで com.ibm.wsspi.wssecurity.token.X509TokenConsumer クラス名を指定することができます。
WebSphere Application Server は、以下のデフォルトのトークン・コンシューマー・クラス実装を提供します。
- com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer
- この実装は、ユーザー名トークンを統合します。
- com.ibm.wsspi.wssecurity.token.X509TokenConsumer
- この実装は、X.509 証明書トークンを統合します。
- com.ibm.wsspi.wssecurity.token.LTPATokenConsumer
- この実装は、Lightweight Third Party Authentication (LTPA) トークンを統合します。
- com.ibm.wsspi.wssecurity.token.IDAssertionUsernameTokenConsumer
- この実装は、IDAssertionUsername トークンを統合します。
この実装用の、対応するトークン生成プログラム・クラスは存在しません。
- 証明書パス・オプションを選択します。 証明書パスは、証明書失効リスト (CRL) とともに PKCS#7 内にラップされたセキュリティー・トークンの生成に使用される、CRL を指定します。WebSphere Application Server には、
以下の証明書パス・オプションが用意されています。
- なし
- このオプションを選択すると、証明書パスは指定されません。
- すべてを信頼
- このオプションを選択すると、すべての証明書が信頼されます。受け取ったトークンが消費されるとき、証明書パスの妥当性検査は行われません。
- 専用署名情報
- このオプションを選択した場合、トラスト・アンカーおよび証明書ストアを指定することができます。
トラステッド証明書のトラスト・アンカーまたは証明書ストアを
選択する場合、証明書パスを設定する前に、コレクション証明書ストアを構成する
必要があります。サーバーまたはセル・レベルでコレクション証明書ストアを定義するには、
サーバーまたはセル・レベルのバインディングでのコレクション証明書ストアの構成を参照してください。
- 「Trust anchor」フィールドでトラスト・アンカーを選択します。 WebSphere Application Server には、2 つのサンプル・トラスト・アンカーが用意されています。ただし、実稼働環境用に
独自のトラスト・アンカーを構成することをお勧めします。
トラスト・アンカーの構成に関する詳細については、サーバー・レベルまたはセル・レベルのトラスト・アンカーの構成を参照してください。
- 「証明書ストア」フィールドでコレクション証明書ストアを選択します。 WebSphere Application Server には、
コレクション証明書ストアの例が用意されています。
「なし」を選択する場合、コレクション証明書ストアは指定されません。
妥当性検査を待つ、非トラステッドの中間証明書ファイルを含む証明書ストアのリストの指定に関する詳細については、サーバーまたはセルのレベルでのトラステッド ID エバリュエーターの構成を参照してください。
- 「Trusted ID evaluation reference」フィールドからトラステッド ID エバリュエーターを選択します。 このフィールドは、「Trusted ID evaluators」パネルで定義されるトラステッド ID エバリュエーター・クラス名の参照を指定します。
トラステッド ID エバリュエーターは、受信した ID が信頼できるかどうか評価するために使用されます。
「なし」を選択した場合、トラステッド ID エバリュエーターはこのトークン・コンシューマー構成で参照されません。
トラステッド ID エバリュエーターを構成する場合は、サーバーまたはセルのレベルでのトラステッド ID エバリュエーターの構成を参照してください。
- 生成プログラム側でユーザー名トークンに nonce が含まれている場合、
「Verify nonce」オプションを選択します。 nonce は、メッセージに組み込まれた固有の暗号数値で、ユーザー名トークンの未許可のアタックが繰り返されるのを防ぐために役立ちます。トークン・コンシューマーのユーザー名トークンを指定し、
生成プログラム側でユーザー名トークンに nonce が追加されている場合、
「Verify nonce」オプションが使用可能になります。
- 生成プログラム側でユーザー名トークンにタイム・スタンプが含まれている場合、「Verify timestamp」オプションを選択します。 トークン・コンシューマーのユーザー名トークンを指定し、
生成プログラム側でユーザー名トークンにタイム・スタンプが追加されている場合、
「Verify Timestamp」オプションが使用可能になります。
- 統合されたトークンの値タイプのローカル名を指定します。 この項目は、鍵 ID によって参照されるセキュリティー・トークンの値タイプのローカル名を指定します。
この属性は、「Key identifier」が鍵情報タイプとして選択されている場合に有効です。
鍵情報タイプを指定するには、サーバー・レベルまたはセル・レベルでのコンシューマー・バインディングの鍵情報構成を参照してください。WebSphere Application Server には、ユーザー名トークンおよび X.509 証明書セキュリティー・トークン用の事前定義値タイプのローカル名があります。ユーザー名トークンおよび X.509 証明書セキュリティー・トークンの、
以下のローカル名のいずれかを入力します。
以下のローカル名を指定する場合、値タイプの URI を指定する必要はありません。
- ユーザー名トークン
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
- X.509 証明書トークン
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- PKIPath 内の X.509 証明書
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- PKCS#7 内の X.509 証明書および CRL のリスト
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
注: Lightweight Third Party Authentication (LTPA) を指定するには、
値タイプのローカル名と URI の両方を指定する必要があります。
ローカル名に LTPA を、URI に http://www.ibm.com/websphere/appserver/tokentype/5.0.2 を指定します。
例えば、X.509 証明書トークンが指定される場合、
ローカル名に http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 を使用することができます。
別のトークンのローカル名を指定する場合、値タイプ Qname を指定する必要があります。
例えば、uri=http://www.ibm.com/custom、
localName=CustomToken のようになります。
- 「URI」フィールドで値タイプの URI を指定します。 この項目は、鍵 ID によって参照されるセキュリティー・トークンの値タイプのネームスペース URI を指定します。
この属性は、デフォルトの生成プログラムの「Key information」パネルで、
鍵情報タイプとして「Key identifier」が選択されている場合に有効です。
ユーザー名トークンまたは X.509 証明書セキュリティー・トークンのトークン・コンシューマーを指定する場合、
このオプションを指定する必要はありません。
別のトークンを指定する場合、値タイプの QName の URI を指定する必要があります。
- 「OK」をクリックし、次に「保管」をクリックして構成を保管します。 トークン生成プログラム構成を保管した後、トークン・コンシューマーの Java™ 認証・承認サービス (JAAS) 構成を指定することができます。
- トークン生成プログラム構成の名前をクリックします。
- 「追加プロパティー」の下で、「JAAS 構成」をクリックします。
- 「JAAS configuration name」フィールドで JAAS 構成を選択します。 このフィールドは、アプリケーション・ログイン構成の JAAS システムの名前を指定します。
「セキュリティー」>「グローバル・セキュリティー」とクリックして、
追加の JAAS システムおよびアプリケーション構成を指定することができます。
「認証」の下で、「JAAS 構成」をクリックし、「アプリケーション・ログイン」>「新規」または「システム・ログイン」>「新規」のいずれかをクリックします。
事前定義システムまたはアプリケーション・ログイン構成は除去しないでください。
ただし、これらの構成内では、モジュール・クラス名の追加、および WebSphere
Application Server が各モジュールをロードする順序の指定を行うことができます。
WebSphere Application Server には、以下の定義済み JAAS 構成が用意されています。
- ClientContainer
- この選択は、クライアント・コンテナー・アプリケーションが使用するログイン構成を指定します。
この構成は、クライアント・コンテナーのデプロイメント記述子内で定義される CallbackHandler アプリケーション・プログラミング・インターフェース (API) を使用します。この構成を変更するには、アプリケーション・ログイン用の「JAAS 構成」パネルを参照してください。
- WSLogin
- この選択は、すべてのアプリケーションが、セキュリティー・ランタイムの認証を実行するために、WSLogin 構成を使用できるかどうかを指定します。この構成を変更するには、アプリケーション・ログイン用の「JAAS 構成」パネルを参照してください。
- DefaultPrincipalMapping
- この選択は、J2C 認証データ・エントリーに定義されたプリンシパルにユーザーをマップするために
Java 2 Connectors (J2C) が使用するログイン構成を指定します。
この構成を変更するには、アプリケーション・ログイン用の「JAAS 構成」パネルを参照してください。
- system.wssecurity.IDAssertion
- この選択によって、バージョン 5.x アプリケーションが ID 表明を使用してユーザー名を WebSphere Application Server クリデンシャル・プリンシパルへマップすることが可能になります。
この構成を変更する場合は、システム・ログインの「JAAS 構成」パネルを参照してください。
- system.wssecurity.Signature
- この選択によって、バージョン 5.x アプリケーションが署名済み証明書の識別名 (DN) を WebSphere Application Server クリデンシャル・プリンシパルへマップすることが可能になります。この構成を変更する場合は、システム・ログインの「JAAS 構成」パネルを参照してください。
- system.LTPA_WEB
- この選択により、サーブレットや JavaServer Pages (JSP) ファイルなどの Web コンテナーによって使用されるログイン要求が処理されます。
この構成を変更する場合は、システム・ログインの「JAAS 構成」パネルを参照してください。
- system.WEB_INBOUND
- この選択により、サーブレットおよび JavaServer Pages (JSP) ファイルが含まれる Web アプリケーションのログイン要求が処理されます。
このログイン構成は、WebSphere Application Server バージョン 5.1.1 によって使用されます。
この構成を変更する場合は、システム・ログインの「JAAS 構成」パネルを参照してください。
- system.RMI_INBOUND
- この選択により、インバウンド・リモート・メソッド呼び出し (RMI) 要求のログインが処理されます。
このログイン構成は、WebSphere Application Server バージョン 5.1.1 によって使用されます。
この構成を変更する場合は、システム・ログインの「JAAS 構成」パネルを参照してください。
- system.DEFAULT
- この選択により、内部認証、および Web アプリケーションと RMI 要求を除く他のほとんどのプロトコルによって実行されるインバウンド要求のログインが処理されます。
このログイン構成は、WebSphere Application Server バージョン 5.1.1 によって使用されます。
この構成を変更する場合は、システム・ログインの「JAAS 構成」パネルを参照してください。
- system.RMI_OUTBOUND
- この選択により、
com.ibm.CSI.rmiOutboundLoginEnabled または com.ibm.CSIOutboundPropagationEnabled プロパティーのどちらかが
true である場合に、別のサーバーにアウトバウンド送信される RMI 要求が処理されます。
これらのプロパティーは、「CSIv2 authentication」パネルで設定されます。パネルにアクセスするには、「セキュリティー」>「グローバル・セキュリティー」とクリックします。
「認証」の下で、
「認証プロトコル」>「CSIv2 アウトバウンド認証」とクリックします。
com.ibm.CSI.rmiOutboundLoginEnabled プロパティーを設定するには、「カスタム・アウトバウンド・マッピング」オプションを選択します。
com.ibm.CSIOutboundPropagationEnabled プロパティーを設定するには、「セキュリティー属性の伝搬」オプションを選択します。
この JAAS ログイン構成を変更する場合は、システム・ログインの「JAAS 構成」パネルを参照してください。
- system.wssecurity.X509BST
- この選択は、証明書および証明書パスの妥当性をチェックすることによって、X.509 バイナリー・セキュリティー・トークン (BST) を検査します。この構成を変更する場合は、システム・ログインの「JAAS 構成」パネルを参照してください。
- system.wssecurity.PKCS7
- この選択は、PKCS7 オブジェクトの証明書失効リストで、X.509 証明書を検査します。
この構成を変更する場合は、システム・ログインの「JAAS 構成」パネルを参照してください。
- system.wssecurity.PkiPath
- この選択は、Public Key Infrastructure (PKI) パスで X.509 証明書を検査します。
この構成を変更する場合は、システム・ログインの「JAAS 構成」パネルを参照してください。
- system.wssecurity.UsernameToken
- この選択は、基本認証 (ユーザー名とパスワード) データを検証します。この構成を変更する場合は、システム・ログインの「JAAS 構成」パネルを参照してください。
- system.wssecurity.IDAssertionUsernameToken
- この選択により、バージョン 6 アプリケーションは ID 表明を使用して、
ユーザー名を WebSphere Application Server クリデンシャル・プリンシパルにマップできるようになります。
この構成を変更する場合は、システム・ログインの「JAAS 構成」パネルを参照してください。
- なし
- これを選択する場合、JAAS ログイン構成は指定しません。
- 「OK」をクリックし、次に「保管」をクリックして構成を保管します。
サーバー・レベルまたはセル・レベルのトークン・コンシューマーが構成されました。
サーバー・レベルまたはセル・レベルに対して同様のトークン生成プログラム構成を指定する必要があります。