ログイン・マッピング構成の設定

このページを使用して、着信メッセージ内のセキュリティー・トークンの検証に 使用する Java™ Authentication and Authorization Service (JAAS) ログイン構成の設定を指定します。

重要: バージョン 5.x とバージョン 6 以降のアプリケーションには重要な相違点があります。 この資料の情報は、WebSphere® Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。この情報は、バージョン 6.0.x 以降のアプリケーションには該当しません。
セル・レベルでこの管理コンソール・ページを表示するには、以下のステップを実行します。
  1. 「セキュリティー」>「JAX-WS および JAX-RPC セキュリティー・ランタイム (JAX-WS and JAX-RPC security runtime)」とクリックします。
  2. 「追加プロパティー」の下の「Login mappings」をクリックします。
  3. 新規」をクリックして新規ログイン・マッピング構成を作成するか、既存の構成の名前をクリックします。
サーバー・レベルでこの管理コンソール・ページを表示するには、以下のステップを実行します。
  1. 「サーバー」>「サーバー・タイプ (Server Types)」>「WebSphere アプリケーション・サーバー (WebSphere application servers)」>「server_name」をクリックします。
  2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム (JAX-WS and JAX-RPC security runtime)」をクリックします。
    混合バージョン環境: Websphere Application Server バージョン 6.1 以前を使用しているサーバーの混合ノード・セルでは、「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。mixv
  3. 「追加プロパティー」の下の「Login mappings」をクリックします。
  4. 新規」をクリックして新規ログイン・マッピング構成を作成するか、既存の構成の名前をクリックします。
アプリケーション・レベルでこの管理コンソール・ページを使用するには、以下のステップを実行します。
  1. 「アプリケーション」>「アプリケーション・タイプ (Application Types)」>「WebSphere エンタープライズ・アプリケーション (WebSphere enterprise applications)」>application_nameとクリックします。
  2. 「モジュール」で、「モジュールの管理」>「URI_nameとクリックします。
  3. 「Web サービス・セキュリティー・プロパティー」の下の「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。
  4. 「要求受信側のバインディング」の下の「編集」をクリックします。
  5. Login mappings」をクリックします。
  6. 新規」をクリックして新規ログイン・マッピング構成を作成するか、既存の構成の名前をクリックします。
重要: ログイン・マッピング構成がアプリケーション・レベルにない場合、 Web サービス・ランタイムは、そのログイン・マッピング構成をサーバー・レベルで検索します。 この構成がサーバー・レベルで検出されない場合、Web サービス・ランタイムはセルを検索します。
認証メソッド [Version 5 only]

認証メソッドを指定します。

任意のストリングを使用できますが、使用するストリングはサービス・レベルの構成内のエレメントに一致する必要があります。 以下のワードは予約済みで、特殊な意味を持ちます。
BasicAuth
ユーザー名およびパスワードの両方を使用します。
IDAssertion
ユーザー名のみを使用しますが、受信側のサーバーで、TrustedIDEvaluator メカニズムを使用して追加のトラストが確立されることが必要です。
Signature
署名者の識別名 (DN) を使用します。
LTPA
トークンを検証します。
JAAS 構成名 [Version 5 only]

Java Authentication and Authorization Service (JAAS) の構成の名前を指定します。

使用可能な事前定義のシステム・ログイン構成には、以下のようなものがあります。
system.wssecurity.IDAssertion
バージョン 5.x アプリケーションが ID アサーションを使用して ユーザー名を WebSphere Application Server クレデンシャル・プリンシパルにマップできるようにします。
system.wssecurity.Signature
バージョン 5.x アプリケーションが署名済み証明書内の識別名 (DN) を WebSphere Application Server クレデンシャル・プリンシパルにマップできるようにします。
system.LTPA_WEB
サーブレット、JavaServer Pages (JSP) ファイルなどの Web コンテナーによって使用されるログイン要求を処理します。
system.WEB_INBOUND
サーブレットおよび JavaServer Pages を含む Web アプリケーション要求のログインを処理します。 このログイン構成は、WebSphere Application Server バージョン 5.1.1 によって使用されます。
system.RMI_INBOUND
インバウンド・リモート・メソッド呼び出し (RMI) 要求のログインを処理します。このログイン構成は、WebSphere Application Server バージョン 5.1.1 によって使用されます。
system.DEFAULT
内部認証、および Web アプリケーションおよび RMI 要求を除く他のほとんどのプロトコルによって作成されるインバウンド要求のログインを処理します。 このログイン構成は、WebSphere Application Server バージョン 5.1.1 によって使用されます。
system.RMI_OUTBOUND
com.ibm.CSIOutboundPropagationEnabled プロパティー が true である場合に、 別のサーバーにアウトバウンド送信される RMI 要求を処理します。 このプロパティーは、「CSIv2 authentication」パネルで設定されます。このパネルにアクセスするには、 「セキュリティー」>「グローバル・セキュリティー」をクリックします。「RMI/IIOP セキュリティー」を展開してから、「CSIv2 アウトバウンド認証」をクリックします。com.ibm.CSIOutboundPropagationEnabled プロパティーを設定するには、「セキュリティー属性の伝搬」を選択します。
system.wssecurity.X509BST [Version 6 only]
証明書および証明書パスの妥当性を検査することによって、X.509 バイナリー・セキュリティー・トークン (BST) を検査します。
system.wssecurity.PKCS7 [Version 6 only]
PKCS7 オブジェクトの証明書取り消しリストで、X.509 証明書を検査します。
system.wssecurity.PkiPath [Version 6 only]
Public Key Infrastructure (PKI) パスで X.509 証明書を検査します。
system.wssecurity.UsernameToken [Version 6 only]
基本認証 (ユーザー名およびパスワード) を検査します。
これらのシステム・ログイン構成は、以下のステップを実行することによってアクセス可能な システム・ログイン・パネルで定義されます。
  1. 「セキュリティー」>「グローバル・セキュリティー」をクリックします。
  2. 「Java 認証・承認サービス」を展開してから、「システム・ログイン」をクリックします。
重要: 事前定義システム・ログイン構成は、システム接頭部なしで、 「システム・ログイン構成」パネルにリストされます。 例えば、 「Java Authentication and Authorization Service (JAAS) 構成名」オプションにリストされている system.wssecurity.UsernameToken 構成は、「システム・ログイン構成」パネル上の wssecurity.UsernameToken 構成に対応しています。
以下の事前定義アプリケーション・ログイン構成を使用することができます。
ClientContainer
クライアント・コンテナー・アプリケーションが使用するログイン構成を指定します。 この構成は、クライアント・コンテナーのデプロイメント記述子に定義された CallbackHandler API を使用します。
WSLogin
すべてのアプリケーションが WSLogin 構成を使用して WebSphere Application Server セキュリティー・ランタイムの認証を実行できるかどうかを指定します。
DefaultPrincipalMapping
Java 2 コネクター (J2C) 認証データ・エントリーに定義されたプリンシパルにユーザーをマップするために J2C が使用するログイン構成を指定します。
これらのアプリケーション・ログイン構成は、以下のステップを実行することによってアクセス可能な 「アプリケーション・ログイン」パネルで定義されます。
  1. 「セキュリティー」>「グローバル・セキュリティー」をクリックします。
  2. 「Java Authentication and Authorization Service」を展開してから、 「アプリケーション・ログイン」をクリックします。

これらの事前定義システムまたはアプリケーション・ログイン構成は除去しないでください。 これらの構成内では、モジュール・クラス名の追加、 および WebSphere Application Server が各モジュールをロードする順序の指定を行うことができます。

コールバック・ハンドラー・ファクトリーのクラス名 [Version 5 only]

CallbackHandler クラスのファクトリー名を指定します。

このフィールドでは、com.ibm.wsspi.wssecurity.auth.callback.CallbackHandlerFactory クラス を実装する必要があります。

トークン・タイプ URI [Version 5 only]

受け入れたセキュリティー・トークンのタイプを表す、名前空間 Uniform Resource Identifiers (URI) を指定します。

バイナリー・セキュリティー・トークンが受け入れられた場合は、その値はエレメント内の ValueType 属性を表します。 ValueType エレメントは、セキュリティー・トークンのタイプとその名前空間を識別します。 Extensible Markup Language (XML) トークンが受け入れられた場合は、 その値は XML トークンの最上位のエレメント名を表します。

予約語がすでに「認証メソッド」フィールドで指定されている場合は、このフィールドは無視されます。

データ型: Unicode 文字。ただし、番号記号 (#)、パーセント記号 (%)、および大括弧 ([ ]) 以外の非 ASCII 文字は除きます。
トークン・タイプのローカル名 [Version 5 only]

セキュリティー・トークンのタイプのローカル名 (例えば、X509v3) を指定します。

バイナリー・セキュリティー・トークンが受け入れられた場合は、その値はエレメント内の ValueType 属性を表します。 ValueType 属性は、セキュリティー・トークンのタイプとその名前空間を識別します。 Extensible Markup Language (XML) トークンが受け入れられた場合は、 その値は XML トークンの最上位のエレメント名を表します。

予約語がすでに「認証メソッド」フィールドで指定されている場合は、このフィールドは無視されます。

Nonce 最大存続期間 [Version 5 only]

nonce タイム・スタンプの有効期限が切れるまでの時間 (秒) を指定します。 nonce はランダムに生成される値です。

「Nonce 最大経過時間」フィールドには、少なくとも 300 秒を指定する必要があります。 ただし、セル・レベルまたはサーバー・レベルの「Nonce キャッシュ・タイムアウト」フィールドで指定されている秒数を超える値を最大値として指定することはできません。

セル・レベルの「Nonce 最大経過時間」値を指定するには、以下のステップを実行します。
  1. 「セキュリティー」>「JAX-WS および JAX-RPC セキュリティー・ランタイム (JAX-WS and JAX-RPC security runtime)」とクリックします。
サーバー・レベルの「Nonce 最大経過時間」値を指定するには、以下のステップを実行します。
  1. 「サーバー」>「サーバー・タイプ (Server Types)」>「WebSphere アプリケーション・サーバー (WebSphere application servers)」>「server_name」をクリックします。
  2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム (JAX-WS and JAX-RPC security runtime)」をクリックします。
    混合バージョン環境: Websphere Application Server バージョン 6.1 以前を使用しているサーバーの混合ノード・セルでは、「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。mixv
重要: このパネルの「Nonce 最大経過時間」フィールドは オプションであり、BasicAuth 認証メソッドが指定されている場合のみ有効になります。他の認証方式を指定した場合にこのフィールドに値を指定しようとすると、エラー・メッセージ「Nonce is not supported for authentication methods other than BasicAuth」が表示され、値を指定し直す必要があります。

BasicAuth メソッドを指定し、「Nonce 最大経過時間」フィールドには 値を指定しない場合は、Web サービス・セキュリティー・ランタイムがサーバー・レベルの「Nonce 最大経過時間」値を検索します。サーバー・レベルで値が検出されなければ、ランタイムはセル・レベルを検索します。 サーバー・レベルまたはセル・レベルのいずれでも値が検出されなければ、デフォルトで 300 秒になります。

デフォルト 300 秒
範囲 300 から「Nonce キャッシュ・タイムアウト」に指定した値 (秒)
Nonce クロック・スキュー [Version 5 only]

WebSphere Application Server が メッセージの新しさをチェックする際に考慮するクロック・スキュー値を秒単位で指定します。 nonce はランダムに生成される値です。

セル・レベルの「Nonce クロック・スキュー」値を指定するには、以下のステップを実行します。
  1. 「セキュリティー」>「JAX-WS および JAX-RPC セキュリティー・ランタイム (JAX-WS and JAX-RPC security runtime)」とクリックします。
サーバー・レベルの「Nonce クロック・スキュー」値を指定するには、以下のステップを実行します。
  1. 「サーバー」>「サーバー・タイプ (Server Types)」>「WebSphere アプリケーション・サーバー (WebSphere application servers)」>「server_name」をクリックします。
  2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム (JAX-WS and JAX-RPC security runtime)」をクリックします。
    混合バージョン環境: Websphere Application Server バージョン 6.1 以前を使用しているサーバーの混合ノード・セルでは、「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。mixv

「Nonce クロック・スキュー」フィールドには、少なくともゼロ (0) 秒を指定する必要があります。 ただし、最大値は、この「ログイン・マッピング」パネルの「Nonce 最大経過時間」フィールドに指定した秒数を超えてはなりません。

重要: このパネルの「Nonce クロック・スキュー」フィールドは オプションであり、BasicAuth 認証メソッドが指定されている場合のみ有効になります。他の認証方式を指定した場合にこのフィールドに値を指定しようとすると、エラー・メッセージ「Nonce is not supported for authentication methods other than BasicAuth」が表示され、値を指定し直す必要があります。
注: BasicAuth を指定して、「Nonce クロック・スキュー」フィールドには 値を指定しない場合、WebSphere Application Server はサーバー・レベルで「Nonce クロック・スキュー」値を検索します。サーバー・レベルで値が検出されなければ、ランタイムはセル・レベルを検索します。 サーバー・レベルまたはセル・レベルのいずれでも値が検出されなければ、デフォルトのゼロ (0) 秒になります。
デフォルト 0 秒
範囲 0 から「Nonce 最大経過時間」に指定した値 (秒)



マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連概念
関連タスク
関連資料
ログイン・マッピング・コレクション
デフォルト・バインディングおよびセキュリティー・ランタイム・プロパティー (Default bindings and security runtime properties)


ファイル名: uwbs_logmapn.html