トークン・ジェネレーター構成の設定

このページを使用して、トークン・ジェネレーターの情報を指定します。 この情報は、ジェネレーター側でセキュリティー・トークンを生成するためにのみ使用されます。

セル・レベルでこの管理コンソール・ページを表示するには、以下のステップを実行します。
  1. セキュリティー」>「JAX-WS および JAX-RPC セキュリティー・ランタイム (JAX-WS and JAX-RPC security runtime)」とクリックします。
  2. 「JAX-RPC デフォルト・ジェネレーター・バインディング (JAX-RPC Default Generator Bindings)」の下で、 「トークン・ジェネレーター」>「token_generator_name」をクリックするか、 または「新規」をクリックして、新規トークン・ジェネレーターを作成します。
サーバー・レベルでこの管理コンソール・ページを表示するには、以下のステップを実行します。
  1. 「サーバー」 > 「サーバー・タイプ」 > 「Websphere アプリケーション・サーバー (WebSphere application servers)」>「server_name」をクリックします。
  2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
    混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用しているサーバーの混合ノード・セルでは、 「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。mixv
  3. 「JAX-RPC デフォルト・ジェネレーター・バインディング (JAX-RPC Default Generator Bindings)」の下で、 「トークン・ジェネレーター」>「token_generator_name」をクリックするか、 または「新規」をクリックして、新規トークン・ジェネレーターを作成します。
  1. 「アプリケーション」>「アプリケーション・タイプ」>「WebSphere エンタープライズ・アプリケーション (WebSphere enterprise applications)」> 「application_name」とクリックします。
  2. 「モジュール」で、 「モジュールの管理」>「URI_name」 をクリックします。
  3. 「追加プロパティー」で、以下のバインディングのトークン・ジェネレーター情報にアクセスすることができます。
    • 要求ジェネレーター (送信側) バインディングについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。「要求ジェネレーター (送信側) バインディング」の下の「カスタムの編集」をクリックします。
    • 応答ジェネレーター (送信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。「応答ジェネレーター (送信側) バインディング」の下の「カスタムの編集」をクリックします。
  4. 新規」をクリックして、新規トークン・ジェネレーター作成するか、 既存のトークン・ジェネレーター名をクリックして、その設定値を指定します。
アプリケーション・レベルでこの管理コンソール・ページを表示するには、以下のステップを実行します。
  1. 「アプリケーション」>「アプリケーション・タイプ」>「WebSphere エンタープライズ・アプリケーション (WebSphere enterprise applications)」> 「application_name」とクリックします。
  2. 「モジュール」で、 「モジュールの管理」>「URI_nameとクリックします。
  3. 「Web サービス・セキュリティー・プロパティー」の下の「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。
  4. 「要求ジェネレーター (送信側) バインディング」の下の「カスタムの編集」をクリックします。
  5. 「追加プロパティー」の下で「トークン/ジェネレーター」>「新規」とクリックします。

追加プロパティーを指定する前に、「トークン・ジェネレーター名」および「トークン・ジェネレーターのクラス名」フィールドに値を指定します。

トークン・ジェネレーター名 [Version 6 only]

トークン・ジェネレーター構成の名前を指定します。

例えば、デフォルトの X509 トークン・ジェネレーター名は、暗号化の場合は gen_enctgen、 署名の場合は gen_signtgen となります。また、カスタムのトークン・ジェネレーター名は、署名の場合は sig_tgen とすることができます。

トークン・ジェネレーターのクラス名 [Version 6 only]

トークン・ジェネレーターの実装クラスの名前を指定します。

このクラスは、com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent インターフェースを実装する必要があります。

トークン・ジェネレーターのクラス名 [Version 6 only]

トークン・ジェネレーターの実装クラスの名前を指定します。

証明書パス [Version 6 only]

CRL とともに PKCS#7 トークン・タイプ内にラップされたセキュリティー・トークンの生成に使用される、 証明書失効リスト (CRL) を指定します。

トークン・ジェネレーターが PKCS#7 トークン・タイプ用でない場合は、「なし」を選択する必要があります。 トークン・ジェネレーターが PKCS#7 トークン・タイプ用であり、 かつ CRL をセキュリティー・トークン内にパッケージする必要がある場合は、 「Dedicated signing information」を選択して、コレクション証明書ストアの CRL を指定します。

以下のレベルで、以下のバインディングの証明書ストア構成を指定することができます。
表 1. 証明書パス・バインディングの設定. 証明書は、署名メッセージに使用されます。
バインディング名 サーバー・レベル、 セル・レベル、またはアプリケーション・レベル パス
デフォルト生成バインディング セル・レベル
  1. セキュリティー」>「JAX-WS および JAX-RPC セキュリティー・ランタイム (JAX-WS and JAX-RPC security runtime)」とクリックします。
  2. 「追加プロパティー」の下の「コレクション証明書ストア」をクリックします。
デフォルト生成バインディング サーバー・レベル
  1. 「サーバー」 > 「サーバー・タイプ」 > 「Websphere アプリケーション・サーバー (WebSphere application servers)」>「server_name」をクリックします。
  2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
    混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用しているサーバーの混合ノード・セルでは、 「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。mixv
  3. 「追加プロパティー」の下の「コレクション証明書ストア」をクリックします。

コレクション証明書ストアを使用すると、 「追加プロパティー」の下の「証明書失効リスト (Certificate revocation list)」をクリックすることにより、関連する証明書失効リストを構成することができます。

nonce の追加 [Version 6 only]

トークン・ジェネレーターのユーザー名トークンに nonce を組み込むかどうかを示します。 「Nonce」はメッセージに組み込まれる固有の暗号数値であり、ユーザー名トークンの、繰り返される未許可の攻撃を防ぐのに役立ちます。

アプリケーション・レベルでは、「Add nonce」オプションを選択すると、 「追加プロパティー」の下で以下のプロパティーを指定することができます。

表 2. 追加の nonce プロパティー. nonce は、メッセージにさらにセキュリティーを追加するために 使用されます。
プロパティー名 デフォルト値 説明
com.ibm.ws.wssecurity.config.token.
BasicAuth.Nonce.cacheTimeout
600 秒 サーバー上のキャッシュされた nonce 値に対するタイムアウト値を秒単位で指定します。
com.ibm.ws.wssecurity.config.token.
BasicAuth.Nonce.clockSkew
0 秒 nonce タイム・スタンプの有効期限が切れるまでの時間 (秒) を指定します。
com.ibm.ws.wssecurity.config.token.
BasicAuth.Nonce.maxAge
300 秒 アプリケーション・サーバーがメッセージの適時性をチェックする際に考慮する クロック・スキュー値 (秒) を指定します。

これらのプロパティーは、セルおよびサーバー・レベルで管理コンソールにおいて使用可能です。 ただし、アプリケーション・レベルでは、「追加プロパティー」の下でプロパティーを構成することができます。

このオプションは、セル、サーバー、およびアプリケーションの各レベルで表示されます。 このオプションは、生成されたトークン・タイプがユーザー名トークンである場合に限り有効です。

タイム・スタンプを追加 [Version 6 only]

ユーザー名トークンにタイム・スタンプを挿入するかどうかを指定します。

このオプションは、セル、サーバー、およびアプリケーションの各レベルで表示されます。 このオプションは、生成されたトークン・タイプがユーザー名トークンである場合に限り有効です。

値タイプ・ローカル名 [Version 6 only]

生成されるトークンの値タイプのローカル名を指定します。

ユーザー名トークンおよび X.509 証明書セキュリティー・トークンの場合、 本製品には、事前定義値タイプがあります。 以下のローカル名を指定する場合、値タイプとして URI を指定する必要はありません。
ユーザー名トークン
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
X509 証明書トークン
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
PKIPath 内の X509 証明書
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
PKCS#7 内の X509 証明書および CRL のリスト
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
Lightweight Third Party Authentication (LTPA)
LTPA_PROPAGATION
重要: LTPA の場合、値タイプのローカル名は LTPA です。 ローカル名に LTPA を入力する場合、 「Value type URI」フィールドにも http://www.ibm.com/websphere/appserver/tokentype/5.0.2 URI 値を指定する必要があります。 LTPA トークンの伝搬の場合、値のタイプのローカル名は LTPA_PROPAGATION です。 ローカル名に LTPA_PROPAGATION を入力する場合、「Value type URI」フィールドに http://www.ibm.com/websphere/appserver/tokentype URI 値も指定する必要があります。その他の事前定義値のタイプ (ユーザー名トークン、 X509 証明書トークン、PKIPath の X509 証明書、および PKCS#7 の X509 証明書および CRL のリスト) の場合、 「local name」フィールドの値の先頭は http:// です。例えば、 値タイプのユーザー名トークンを指定している場合、 「Value type local name」フィールドに http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken を入力すると、 「Value type URI」フィールドに値を入力する必要はありません。

カスタム・トークンのカスタム値のタイプを指定する場合は、 その値タイプの品質名 (QName) のローカル名と URI を指定できます。例えば、 ローカル名に Custom、URI に http://www.ibm.com/custom を指定することが可能です。

値タイプ URI [Version 6 only]

生成されるトークンの値タイプの名前空間 URI を指定します。

ユーザー名トークンまたは X.509 証明書セキュリティー・トークンのトークン・ジェネレーターを指定する場合、 このオプションを指定する必要はありません。 別のトークンを指定する場合は、その値タイプの QName の URI を指定します。

アプリケーション・サーバーには、以下の事前定義値タイプの URI が用意されています。
  • LTPA トークンの場合: http://www.ibm.com/websphere/appserver/tokentype/5.0.2
  • LTPA トークン伝搬の場合: http://www.ibm.com/websphere/appserver/tokentype



マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連タスク
関連資料
トークン・コンシューマー・コレクション
トークン・コンシューマー構成の設定
トークン・ジェネレーター・コレクション


ファイル名: uwbs_tokengeneratorn.html