認証ジェネレーターまたはコンシューマーのトークン設定

認証トークンは、ID の証明またはアサーションに使用されます。 汎用バインディングを編集しているときに、管理コンソールを使用して、 メッセージ・パーツに対して認証トークン設定を追加します。

認証トークンを構成するには、以下のステップを完了します。

  1. グローバル・セキュリティーのデフォルト・ポリシー・セット・バインディングとして設定されている汎用バインディングを表示して選択するには、「サービス」>「ポリシー・セット」 >「デフォルト・ポリシー・セットのバインディング (Default policy set bindings)」とクリックします。指定されたバインディングは、 接続ポイント、サーバー、またはセキュリティー・ドメインでオーバーライドされるまで使用されます。
  2. 汎用バインディングへのアクセスと構成、およびメッセージ・パーツの認証トークン設定の追加を行うには、 「サービス」>「ポリシー・セット」>「汎用プロバイダーのポリシー・セット・バインディング (General provider policy set bindings)」とクリックします。
  3. 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
  4. 「メイン・メッセージ・セキュリティー・ポリシー・バインディング (Main message security policy bindings)」セクションで、「認証と保護 (Authentication and protection)」リンクをクリックします。
  5. 「新規トークン (New token)」をクリックして新規のトークン・ジェネレーターまたはコンシューマーを作成するか、 「認証トークン (Authentication tokens)」テーブルから既存のコンシューマーまたは ジェネレーターのトークン・リンクをクリックします。
ポリシー・セットが必要とするトークンおよびメッセージ・パーツのアプリケーション固有のバインディングを表示して構成するには、 次のステップを完了します。
  1. 「アプリケーション」>「アプリケーション・タイプ」>「WebSphere エンタープライズ・アプリケーション (WebSphere enterprise applications)」とクリックします。
  2. Web サービスを含むアプリケーションを選択します。 このアプリケーションには、サービス・プロバイダーまたはサービス・クライアントが含まれている必要があります。
  3. 「Web サービス・プロパティー」セクションで「サービス・プロバイダーのポリシー・セットおよびバインディング (Service provider policy sets and bindings)」リンクまたは「サービス・クライアントのポリシー・セットおよびバインディング (Service client policy sets and bindings)」リンクをクリックします。
  4. バインディングを選択します。 事前にポリシー・セットを添付し、アプリケーション固有のバインディングを割り当てておく必要があります。
  5. 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
  6. 「メイン・メッセージ・セキュリティー・ポリシー・バインディング (Main message security policy bindings)」セクションで、「認証と保護 (Authentication and protection)」リンクをクリックします。
  7. 「保護トークン (Protection tokens)」テーブルから、 コンシューマーまたはジェネレーターのトークン・リンクをクリックします。

この管理コンソール・パネルは、Java™ API for XML Web Services (JAX-WS) の Web サービスにのみ適用されます。

名前

構成するトークンの名前を指定します。アプリケーション固有のバインディングを使用する場合には、 このフィールドは表示されません。

トークン・タイプ

構成するトークンのタイプを指定します。

アプリケーション固有のバインディングを使用している場合、 トークン・タイプはポリシー・ファイルから取得され、読み取り専用となります。汎用バインディングを使用している場合、 トークン・タイプはこのリストから選択します。以下のトークン・タイプが使用できます。

  • X509V3 トークン V1.1
  • X509V3 トークン V1.0
  • ユーザー名トークン V1.1
  • ユーザー名トークン V1.0
  • X509PKCS7 トークン V1.1
  • X509PKCS7 トークン V1.0
  • X509PkiPathV1 トークン V1.1
  • X509PkiPathV1 トークン V1.0
  • LTPA 伝搬トークン
  • X509V1 トークン V1.1
  • LTPA トークン
  • LTPA トークン V2.0
  • カスタム・トークン
新機能: LTPA トークン V2.0 トークン・タイプは、 IBM® WebSphere® Application Server バージョン 7.0 以降 の新規名前空間を使用するバインディングでのみ使用可能です。トークン・コンシューマーのトークン・タイプとして LTPA トークン V2.0 を選択すると、 LTPA トークンと LTPA V2.0 トークンの両方を使用できます。トークン・コンシューマーを LTPA V2.0 トークンのみに制限する場合は、「トークン・バージョンを有効にする」チェック・ボックスをオンにします。

トークン・ジェネレーターのトークン・タイプとして LTPA トークンを選択する場合、 「シングル・サインオン・インターオペラビリティー・モード (single sign-on interoperability mode)」を有効にする必要があります。これは、Web および SIP セキュリティーからのグローバル・セキュリティーの設定です。 インターオペラビリティー・フラグが有効 (true) に設定されなければ、 これらのバインディングに添付されたアプリケーションを開始するとエラーが発生します。インターオペラビリティーのフラグの状態を確認せずに LTPA トークンを使用する場合、 トークン・ジェネレーターのカスタム・プロパティー「com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7」を設定できます。

newfeat
ローカル名

認証トークンのジェネレーターまたはコンシューマーのローカル名を指定します。 「ローカル名」フィールドには、表示されるトークン・タイプに応じてデータが取り込まれます。 このフィールドでは、カスタム・トークン・タイプだけを編集することができます。

URI

認証トークンのジェネレーターまたはコンシューマーの URI を指定します。「URI」フィールドには、表示されるトークン・タイプに応じてデータが取り込まれます。 このフィールドでは、カスタム・トークン・タイプだけを編集することができます。

OASIS Web Services Security Specification for Kerberos Token Profile v1.1 で定義されているように、カスタム・トークン・タイプを使用して Kerberos トークンを 生成する場合、このフィールドはブランクのままにします。

セキュリティー・トークン参照

セキュリティー・トークン参照を指定します。 「セキュリティー・トークン参照」フィールドが表示されるのは、 アプリケーション固有のバインディングの認証トークンの場合だけです。このフィールドは、デフォルト・バインディングでは使用できません。

JAAS ログイン

バインディングの有効範囲とするドメインに有効な、アプリケーションおよびシステムの Java Authentication and Authorization Service (JAAS) ログインのリストを指定します。

アプリケーションがグローバル・セキュリティーを有効範囲とする場合、 または自身の JAAS ログインをカスタマイズしないドメインを有効範囲とする場合、 メニュー・リストにグローバル・ログインのリストが表示されます。「新規アプリケーション・ログイン」をクリックして、 グローバル JAAS アプリケーション・ログイン・コレクションにアクセスします。JAAS ログイン・メニュー・リストおよび 「新規アプリケーション・ログイン」ボタンの動作は、 バインディングが添付に関連して作成されているかどうかによって決定されます。 セキュリティー・ドメインを変更するときには注意が必要です。 JAAS ログインなど、すでに参照されたセキュリティー構成は、 別のセキュリティー・ドメインでアクセスできない場合があるためです。

Kerberos バイナリー・セキュリティー・トークンの生成にカスタム・トークン・タイプが使用されている場合、 トークン生成の JAAS ログイン・モジュールとして wss.generate.KRB5BST を、 トークン・コンシューマーに wss.consume.KRB5BST をそれぞれ選択し、 そのトークン・コンシューマーでローカル・ユーザー・レジストリーに Kerberos プリンシパル ID をデフォルトでマッピングさせるために wss.consume.KRB5BSTDefaultIdMapping を選択します。

カスタム・プロパティー - 名前

カスタム・プロパティーの名前を指定します。

カスタム・プロパティーは、最初のうちはこの列で表示されません。 以下のボタンのいずれかをクリックすると、説明にあるアクションが使用可能になります。

ボタン 結果のアクション
新規 新規のカスタム・プロパティー・エントリーを作成します。 カスタム・プロパティーを追加するには、その名前と値を入力してください。
編集 選択したカスタム・プロパティーを編集することができます。 このボタンをクリックすると、入力フィールドが表示され、編集するセル値のリストが作成されます。 「編集」ボタンは、カスタム・プロパティーが 1 つ以上追加されるまで使用できません。
削除 選択したカスタム・プロパティーを削除します。
カスタム・プロパティー - 値

使用するカスタム・プロパティーの値を指定します。「値」フィールドを使用して、 カスタム・プロパティーの値を入力、編集、または削除します。

Kerberos トークンの生成にカスタム・トークン・タイプを使用する場合、 com.ibm.wsspi.wssecurity.krbtoken.targetServiceName ターゲット・サービス名、 ターゲット・サービスに関連付ける com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost ホスト名、 およびターゲット・サービスに関連付ける com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Kerberos レルムで カスタム・プロパティーを指定します。com.ibm.wsspi.wssecurity.krbtoken.targetServiceName および com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost カスタム・プロパティーは必須です。com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm カスタム・プロパティーはオプションです。 トークン・ジェネレーターの場合、ターゲット・サービス名とターゲット・ホスト名を組み合わせて、 ターゲット Kerberos のサービス・プリンシパル名を表すサービス・プリンシパル名 (SPN) が形成されます。Kerberos クライアントは、 SPN の初期 Kerberos AP_REQ トークンを要求します。

コールバック・ハンドラー

コールバック・ハンドラーを構成できる「コールバック・ハンドラー」ページにリンクします。 コールバック・ハンドラーの設定によって、メッセージ・ヘッダーからセキュリティー・トークンを取得する方法が決まります。

デフォルト・バインディングを使用しているユーザー名トークンまたは LTPA トークンを扱う場合、ユーザー名とパスワードがサンプルとして提供されていることがあります。 これらのトークン・タイプの値は、更新する必要があります。




マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連タスク
関連資料
コールバック・ハンドラー設定
保護トークンの設定 (ジェネレーターまたはコンシューマー)
アプリケーション・ポリシー・セットのコレクション
WS セキュリティーの認証と保護


ファイル名: uwbs_wsspsbat.html