コールバック・ハンドラー構成の設定

このページを使用して、SOAP メッセージ内の Web サービス・セキュリティー・ヘッダーに挿入される セキュリティー・トークンの取得方法を指定します。 このトークン取得は、セキュリティー・トークンを取得するために Java™ Authentication and Authorization Service (JAAS) javax.security.auth.callback.CallbackHandler インターフェースを利用するプラグ可能なフレームワークです。

セル・レベルでこのコールバック・ハンドラーの管理コンソール・ページを表示するには、 以下のステップを実行します。
  1. セキュリティー」>「JAX-WS および JAX-RPC セキュリティー・ランタイム (JAX-WS and JAX-RPC security runtime)」とクリックします。
  2. 「JAX-RPC デフォルト・ジェネレーター・バインディング (JAX-RPC Default generator bindings)」の下で、「トークン・ジェネレーター」>「token_generator_name」 とクリックします。
  3. 「追加プロパティー」の下の「コールバック・ハンドラー」をクリックします。
サーバー・レベルでこのコールバック・ハンドラーの管理コンソール・ページを表示するには、 以下のステップを実行します。
  1. 「サーバー」>「サーバー・タイプ (Server Types)」>「WebSphere アプリケーション・サーバー (WebSphere application servers)」>「server_name」をクリックします。
  2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム (JAX-WS and JAX-RPC security runtime)」をクリックします。
    混合バージョン環境: Websphere Application Server バージョン 6.1 以前を使用しているサーバーの混合ノード・セルでは、「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。mixv
  3. 「JAX-RPC デフォルト・ジェネレーター・バインディング (JAX-RPC Default generator bindings)」の下で、「トークン・ジェネレーター」>「token_generator_name」 とクリックします。
  4. 「追加プロパティー」の下の「コールバック・ハンドラー」をクリックします。
アプリケーション・レベルでこのコールバック・ハンドラーの管理コンソール・ページを表示するには、 以下のステップを実行します。
  1. 「アプリケーション」>「アプリケーション・タイプ (Application Types)」>「WebSphere エンタープライズ・アプリケーション (WebSphere enterprise applications)」>application_nameとクリックします。
  2. 「モジュール」で、「モジュールの管理」>「URI_name」をクリックします。
  3. 「Web サービス・セキュリティー・プロパティー」の下で、以下のバインディングのコールバック・ハンドラー情報にアクセスできます。
    • 要求ジェネレーター (送信側) バインディングについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。「要求ジェネレーター (送信側)・バインディング」の下の「カスタムの編集」をクリックします。 「追加プロパティー」の下の「トークン・ジェネレーター」をクリックします。 「新規」をクリックして新規トークン・ジェネレーター構成を作成するか、既存の構成の名前をクリックして、その設定を変更します。 「追加プロパティー」の下の「コールバック・ハンドラー」をクリックします。
    • 応答ジェネレーター (送信側)・バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「応答ジェネレーター (送信側)・バインディング」の下の「カスタムの編集」をクリックします。 「追加プロパティー」の下の「トークン・ジェネレーター」をクリックします。 「新規」をクリックして新規トークン・ジェネレーター構成を作成するか、既存の構成の名前をクリックして、その設定を変更します。 「追加プロパティー」の下の「コールバック・ハンドラー」をクリックします。
コールバック・ハンドラーのクラス名 [Version 6 only]

セキュリティー・トークン・フレームワークにプラグインするために使用する コールバック・ハンドラー実装クラスの名前を指定します。

指定したコールバック・ハンドラー・クラスは、javax.security.auth.callback.CallbackHandler クラスを実装しなければなりません。 JAAS javax.security.auth.callback.CallbackHandler インターフェースの実装は、 以下の構文を使用してコンストラクターを提供しなければなりません。
MyCallbackHandler(String username, char[] password, 
    java.util.Map properties)
各部の意味は、次のとおりです。
username
構成に渡されるユーザー名を指定します。
password
構成に渡されるパスワードを指定します。
properties
構成に渡される他の構成プロパティーを指定します。
アプリケーション・サーバーは、以下のデフォルトのコールバック・ハンドラー実装を提供します。
com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler [Version 6 only]
このコールバック・ハンドラーは、ユーザー名およびパスワード情報を収集するためのログイン・プロンプトを使用します。 ただし、このパネルでユーザー名およびパスワードを指定した場合、 プロンプトは表示されず、このパネルでトークン・ジェネレーターが指定されていれば、 アプリケーション・サーバーはユーザー名およびパスワードをトークン・ジェネレーターに戻します。 この実装は、Java Platform, Enterprise Edition (Java EE) アプリケーション・クライアントの場合にのみ使用してください。
com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler [Version 6 only]
このコールバック・ハンドラーはプロンプトを発行せず、 このパネル上で指定されている場合は、ユーザー名とパスワードを戻します。 Web サービスがクライアントとして機能している場合は、 このコールバック・ハンドラーを使用することができます。
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler [Version 6 only]
このコールバック・ハンドラーは、ユーザー名およびパスワードを収集するための標準プロンプトを使用します。 ただし、このパネルでユーザー名およびパスワードを指定した場合は、 アプリケーション・サーバーはプロンプトを出しませんが、トークン・ジェネレーターにユーザー名およびパスワードを戻します。この実装は、Java Platform, Enterprise Edition (Java EE) アプリケーション・クライアントの場合にのみ使用してください。
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler [Version 6 only]
このコールバック・ハンドラーは、ユーザー名およびパスワードを収集するための標準プロンプトを使用します。 ただし、このパネルでユーザー名およびパスワードを指定した場合は、 アプリケーション・サーバーはプロンプトを出しませんが、トークン・ジェネレーターにユーザー名およびパスワードを戻します。この実装は、Java Platform, Enterprise Edition (Java EE) アプリケーション・クライアントの場合にのみ使用してください。
com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler [Version 6 only]
このコールバック・ハンドラーは、RunAs 起動 Subject から Lightweight Third Party Authentication (LTPA) セキュリティー・トークンを取得するために使用されます。 このトークンは、バイナリー・セキュリティー・トークンとして、SOAP メッセージ内で Web サービス・セキュリティー・ヘッダーに挿入されます。 ただし、このパネルでユーザー名およびパスワードを指定した場合は、 アプリケーション・サーバーは RunAs サブジェクトから LTPA セキュリティー・トークンを取得するのではなく、 ユーザー名およびパスワードを認証してこれを取得します。このコールバック・ハンドラーは、Web サービスがアプリケーション・サーバー上でクライアントとして機能している場合のみ使用してください。 このコールバック・ハンドラーは、Java EE アプリケーション・クライアントでは使用しないことをお勧めします。
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler [Version 6 only]
このコールバック・ハンドラーは、バイナリー・セキュリティー・トークンとして SOAP メッセージ内の Web サービス・ セキュリティー・ヘッダーに挿入される X.509 証明書を作成するために使用されます。 このコールバック・ハンドラーには、鍵ストアおよび鍵定義が必要です。
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler [Version 6 only]
このコールバック・ハンドラーは、 PKCS#7 フォーマットでエンコードされる X.509 証明書を作成するために使用されます。 この証明書は、バイナリー・セキュリティー・トークン として、SOAP メッセージで Web サービス・セキュリティー・ヘッダーに挿入されます。 このコールバック・ハンドラーには鍵ストアが必要です。 コレクション証明書ストアで証明書取り消しリスト (CRL) を指定する必要があります。 CRL は、PKCS#7 フォーマットの X.509 証明書でエンコードされています。
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler [Version 6 only]
このコールバック・ハンドラーは、 PkiPath フォーマットでエンコードされた X.509 証明書を作成するために使用されます。 この証明書は、バイナリー・セキュリティー・トークン として SOAP メッセージ内で Web サービス・セキュリティー・ヘッダーに挿入されます。 このコールバック・ハンドラーには鍵ストアが必要です。 CRL はコールバック・ハンドラーによってサポートされていないため、 コレクション証明書ストアは不要で使用されません。

このコールバック・ハンドラー実装は、必要なセキュリティー・トークンを取得し、 それをトークン・ジェネレーターに渡します。 トークン・ジェネレーターは、SOAP メッセージ内の Web サービス・セキュリティー・ヘッダーにセキュリティー・トークンを挿入します。 また、トークン・ジェネレーターは、 プラグ可能なセキュリティー・トークン・フレームワークのプラグイン・ポイントです。 サービス・プロバイダーは固有の実装を提供することができますが、 この実装は com.ibm.websphere.wssecurity.wssapi.token.SecurityToken インターフェースを使用する必要があります。 Java Authentication and Authorization Service (JAAS) ログイン・モジュール実装を使用して、 ジェネレーター側でセキュリティー・トークンを作成し、 コンシューマー側でセキュリティー・トークンを検証 (認証) します。

ID アサーションの使用 [Version 6 only]

IBM® 拡張デプロイメント記述子で ID アサーションを定義した場合は、このオプションを選択します。

このオプションは、初期送信側の ID のみが必要で、 SOAP メッセージ内の Web サービス・セキュリティー・ヘッダーに挿入されることを示します。 例えば、アプリケーション・サーバーは、 Username TokenGenerator のオリジナルの呼び出し元のユーザー名のみを送信します。 X.509 トークン・ジェネレーターの場合、 アプリケーション・サーバーはオリジナルの署名者認証のみを送信します。

RunAs ID を使用 [Version 6 only]

IBM 拡張デプロイメント記述子で ID アサーションが定義されていて、ダウンストリーム呼び出しの ID アサーションに関して初期呼び出し元 ID の代わりに Run As ID を使用したい場合、このオプションを選択します。

このオプションは、Username TokenGenerator をトークン・ジェネレーターとして構成した場合にのみ有効です。

基本認証ユーザー ID [Version 6 only]

コールバック・ハンドラー実装のコンストラクターに渡されるユーザー名を指定します。

本製品により提供される、以下のデフォルトのコールバック・ハンドラー実装のいずれかを選択する場合、 基本認証ユーザー名およびパスワードが使用されます。
  • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler

これらの実装については、この項目の「Callback handler class name」フィールド説明で詳しく説明しています。

基本認証パスワード [Version 6 only]

コールバック・ハンドラーのコンストラクターに渡されるパスワードを指定します。

本製品により提供される、以下のデフォルトのコールバック・ハンドラー実装のいずれかを選択する場合、 鍵ストアおよびその関連構成が使用されます。
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
この鍵ストアは、証明書パスで X.509 証明書を作成するために使用されます。
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
この鍵ストアは、証明書パスで X.509 証明書を作成するために使用されます。
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
この鍵ストアは、X.509 証明書をリトリーブするために使用されます。
鍵ストア構成名 [Version 6 only]

セキュア通信内の鍵ストア設定で定義された鍵ストア構成の名前を指定します。

鍵ストア・パスワード [Version 6 only]

鍵ストア・ファイルへのアクセスに使用するパスワードを指定します。

鍵ストア・パス [Version 6 only]

鍵ストア・ファイルのロケーションを指定します。

パス名には、${USER_INSTALL_ROOT} を使用してください。 この変数が、ご使用のマシンの製品のパスに展開されるためです。 この変数で使用されるパスを変更するには、 「環境」>「WebSphere 変数」 とクリックし、「USER_INSTALL_ROOT」をクリックします。

鍵ストア・タイプ [Version 6 only]

鍵ストア・ファイル・フォーマットのタイプを指定します。

このフィールドに、次の値のいずれかを選択します。
JKS
鍵ストアが Java Keystore (JKS) フォーマットを使用している場合、このオプションを使用します。
JCEKS
Java Cryptography Extension が Software Development Kit (SDK) で構成される場合には、このオプションを使用します。 デフォルトの IBM JCE が、アプリケーション・サーバー内で構成されます。このオプションは、Triple DES 暗号化を使用することによって、保管された秘密鍵の保護をより強力にします。
JCERACFKS [z/OS]
証明書が SAF 鍵リングに保管される場合は、JCERACFKS を使用します (z/OS® の場合のみ)。
PKCS11KS (PKCS11)
鍵ストア・ファイルが PKCS#11 ファイル・フォーマットを使用する場合、このオプションを使用します。 このフォーマットを使用する鍵ストア・ファイルには、暗号ハードウェア上に Rivest Shamir Adleman (RSA) 鍵が含まれているか、 暗号ハードウェアを使用する鍵を暗号化して保護を実行している可能性があります。
PKCS12KS (PKCS12)
鍵ストア・ファイルが PKCS#12 ファイル・フォーマットを使用する場合、このオプションを使用します。



マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連タスク
関連資料
トークン・ジェネレーター・コレクション
uwbs_tokengeneratorn.html


ファイル名: uwbs_callback.html