保護トークンの設定 (ジェネレーターまたはコンシューマー)

このページを使用して、保護トークンを構成します。 保護トークンは、保全性を確保するためにメッセージに署名を行い、 機密性を確保するためにメッセージを暗号化します。

メッセージ・パーツに対して保護トークンの設定を追加できるのは、汎用のプロバイダーまたはクライアントのポリシー・セット・バインディングを編集しているときです。 ポリシー・セットが必要とするトークンおよびメッセージ・パーツの、 アプリケーション固有のバインディングも構成できます。

汎用プロバイダーのバインディングを編集中にこの管理コンソール・ページを表示するには、 以下のアクションを実行します。
  1. 「サービス」 > 「ポリシー・セット」 > 「汎用プロバイダーのポリシー・セット・バインディング (General provider policy set bindings)」とクリックします。
  2. 編集するバインディングの名前をクリックします。
  3. 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
  4. セキュリティー・ポリシー・バインディングのセクションで、「認証と保護 (Authentication and protection)」リンクをクリックします。
  5. 新規トークン (New token)」をクリックして、 新規のトークン・ジェネレーターまたはトークン・コンシューマーを作成するか、 「保護トークン (Protection tokens)」テーブルから既存のコンシューマーまたはジェネレーターのトークン・リンクをクリックします。
汎用クライアント・バインディングを編集中にこの管理コンソール・ページを表示するには、以下のアクションを実行します。
  1. 「サービス」 > 「ポリシー・セット」 > 「汎用クライアントのポリシー・セット・バインディング (General client policy set bindings)」とクリックします。
  2. 編集するバインディングの名前をクリックします。
  3. 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
  4. 「メイン・メッセージ・セキュリティー・ポリシー・バインディング (Main message security policy bindings)」セクションで、「認証と保護 (Authentication and protection)」リンクをクリックします。
  5. 新規トークン (New token)」をクリックして、 新規のトークン・ジェネレーターまたはトークン・コンシューマーを作成するか、 「保護トークン (Protection tokens)」テーブルから 既存のコンシューマーまたはジェネレーターのトークン・リンクをクリックします。
ポリシー・セットが必要とするトークンおよびメッセージ・パーツのアプリケーション固有のバインディングの構成中にこの管理コンソール・ページを表示するには、 以下のアクションを実行します。
  1. アプリケーション」>「WebSphere エンタープライズ・アプリケーション (Websphere enterprise applications)」をクリックします。
  2. Web サービスを含むアプリケーションを選択します。 このアプリケーションには、サービス・プロバイダーまたはサービス・クライアントが含まれている必要があります。
  3. 「Web サービス・プロパティー」セクションで「サービス・プロバイダーのポリシー・セットおよびバインディング (Service provider policy sets and bindings)」リンクまたは「サービス・クライアントのポリシー・セットおよびバインディング (Service client policy sets and bindings)」をクリックします。
  4. バインディングを選択します。 事前にポリシー・セットを添付し、バインディングを割り当てておく必要があります。
  5. 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
  6. セキュリティー・ポリシー・バインディングのセクションで、「認証と保護 (Authentication and protection)」リンクをクリックします。
  7. 「保護トークン (Protection tokens)」テーブルから、 コンシューマーまたはジェネレーターのトークン・リンクをクリックします。

この管理コンソール・パネルは、Java™ API for XML Web Services (JAX-WS) アプリケーションにのみ適用されます。

名前

トークン・ジェネレーターまたはトークン・コンシューマーの名前を指定します。新規のトークンを作成したときは、このフィールドに名前を入力してください。

トークン・タイプ

トークンのタイプを指定します。バインディングを使用している場合、トークン・タイプはポリシーに基づいて決定されます。編集することはできません。

有効な値は以下のとおりです。
  • LPTA Token V2.0
  • Secure Conversation Token V1.3
  • Secure Conversation Token V200502
  • X509V3 トークン V1.1
  • X509V3 トークン V1.0
  • X509PKCS7 トークン V1.1
  • X509PKCS7 トークン V1.0
  • X509PkiPathV1 トークン V1.1
  • X509PkiPathV1 トークン V1.0
  • X509V1 トークン V1.1
  • カスタム・トークン
WS-Security ポリシーの Secure Conversation Token v200502 トークン・タイプは、 WS-SecureConversation 仕様の 2005 年 2 月のレベルで定義されたとおりに、 セキュリティー・コンテキスト・トークンの要件を示します。
トークン・バージョンを有効にする
ローカル名

カスタムのトークン・ジェネレーターまたはトークン・コンシューマーのローカル名を指定します。 「ローカル名」フィールドには、表示されるトークン・タイプに応じてデータが取り込まれます。 このフィールドでは、カスタム・トークン・タイプだけを編集することができます。

OASIS Web Services Security Specification for Kerberos Token Profile V1.1 で定義されているように、カスタム・トークン・タイプを使用して Kerberos トークンを 生成する場合、ローカル名として、以下のリストにある値のいずれか 1 つを使用してください。 選択する値は、鍵配布センター (KDC) で生成される Kerberos トークンの仕様レベルに 応じて決まります。以下の表には、これらの値と、各値に関連付けられた仕様レベルをリストしています。 インターオペラビリティーの目的から、Basic Security Profile V1.1 標準では、 ローカル名 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ を 使用する必要があります。

Kerberos トークンのローカル名の値 関連付けられた仕様レベル
http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerb erosv5_AP_REQ Kerberos 仕様で定義されている、Kerberos v5 AP-REQ。 この値は、Kerberos チケットが AP 要求である場合に使用してください。
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ RFC-1964 [1964] セクション 1.1 およびその後継の RFC-4121 セクション 4.1 に 定義されている、KRB_AP_REQ メッセージを含んでいる GSS-API Kerberos V5 メカニズム・トークン。 この値は、Kerberos チケットが AP 要求 (ST + オーセンティケーター) である場合に使用してください。
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510 RFC1510 に定義されている、Kerberos v5 AP-REQ。この値は、Kerberos チケットが RFC1510 準拠の AP 要求である場合に使用してください。
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510 RFC-1964 セクション 1.1 およびその後継の RFC-4121 セクション 4.1 に 定義されている、KRB_AP_REQ メッセージを含んでいる GSS-API Kerberos V5 メカニズム・トークン。 この値は、Kerberos チケットが RFC1510 準拠の AP 要求 (ST + オーセンティケーター) である場合に使用してください。
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120 RFC4120 に定義されている、Kerberos v5 AP-REQ。この値は、Kerberos チケットが RFC4120 準拠の AP 要求である場合に使用してください。
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120 RFC-1964 セクション 1.1 およびその後継の RFC-4121 セクション 4.1 に 定義されている、KRB_AP_REQ メッセージを含んでいる GSS-API Kerberos V5 メカニズム・トークン。 この値は、Kerberos チケットが RFC4120 準拠の AP 要求 (ST + オーセンティケーター) である場合に使用してください。
URI

カスタムのトークン・ジェネレーターまたはトークン・コンシューマーの URI を指定します。 「URI」フィールドには、表示されるトークン・タイプに応じてデータが取り込まれます。 このフィールドでは、カスタム・トークン・タイプだけを編集することができます。

OASIS Web Services Security Specification for Kerberos Token Profile V1.1 で定義されているように、カスタム・トークン・タイプを使用して Kerberos トークンを 生成する場合、このフィールドはブランクのままにします。

JAAS ログイン

Java Authentication and Authorization Service (JAAS) アプリケーション・ログイン情報を指定します。 JAAS アプリケーションまたは JAAS システムの新規ログイン・エントリーを追加するには、「新規」をクリックしてください。

サーバーが、特定のシステムやアプリケーションのログインを含むセキュリティー・ドメイン内にある場合は、グローバル・ログインに加えて、これらのログインが JAAS ログイン・メニューにリストされます。

新規アプリケーション・ログイン
カスタム・プロパティー – 名前

カスタム・プロパティーの名前を指定します。カスタム・プロパティーは 最初はこの列には表示されず、プロパティーの追加後に表示されます。

カスタム・プロパティーに対するアクションを、以下の中から選んでください。

ボタン 結果のアクション
新規 新規のカスタム・プロパティー・エントリーを作成します。 カスタム・プロパティーを追加するには、その名前と値を入力してください。
編集 選択したカスタム・プロパティーを編集できるように指定します。このアクションを選択すると、入力フィールドが提供され、編集するセル値のリストを作成できます。 「編集」ボタンは、カスタム・プロパティーが 1 つ以上追加されるまで使用できません。
削除 選択したプロパティーを削除します。
カスタム・トークン・タイプを使用して Kerberos トークンを生成するには、以下のカスタム・プロパティーを指定します。
カスタム・プロパティー名
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName ターゲット・サービスの名前を指定します。

このプロパティーは必須です。

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost ターゲット・サービスに関連付けられるホスト名を myhost.mycompany.com という形式で指定します。

このプロパティーは必須です。

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm ターゲット・サービスに関連付けられたレルムの名前を指定します。

このプロパティーは、単一の Kerberos レルムの場合はオプションです。
targetServiceRealm プロパティーが指定されていない場合は、Kerberos 構成ファイルのデフォルトのレルム名がレルム名として使用されます。
クロス・レルム環境またはトラステッド・レルム環境では、targetServiceRealm プロパティーに値を指定する必要があります。

トークン・ジェネレーターの場合、ターゲット・サービス名とターゲット・ホスト名を組み合わせてサービス・プリンシパル名 (SPN) とし、これによりターゲット Kerberos のサービス・プリンシパル名を表します。Kerberos クライアントは、この SPN の初期の Kerberos AP_REQ トークンを要求します。

Web サービスの要求メッセージごとに Kerberos V5 AP_REQ トークンをアプリケーションで生成または使用する場合は、アプリケーション用のトークン・ジェネレーター・バインディングとトークン・コンシューマー・バインディングの com.ibm.wsspi.wssecurity.kerberos.attach.apreq カスタム・プロパティーを true に設定してください。詳しくは、トピックの『Web サービス・セキュリティーのトラブルシューティングのヒント』を参照してください。

カスタム・プロパティー – 値

カスタム・プロパティーの値を指定します。「」フィールドを使用して、カスタム・プロパティーの値を入力、編集、または削除します。

コールバック・ハンドラー

保護トークン・ページでのその他の構成が、すべて適用されるか保存されると、 このセクションが表示され、コールバック・ハンドラーの構成設定にリンクできます。 メッセージ・ヘッダーからセキュリティー・トークンを取得する方法を判別する、 コールバック・ハンドラー設定を指定するには、このリンクをクリックしてください。

Secure Conversation Token V200502 を許容

WS-Security ポリシーの Secure Conversation Token V200502 トークン・タイプは、WS-SecureConversation 仕様の 2005 年 2 月のレベルで定義されているように、Secure Conversation Token の要件を示します。 このオプションは、プロバイダーが Secure Conversation Token V1.3 と Secure Conversation Token V200502 の両方を処理するかどうかを指定します。デフォルトでは、プロバイダーは両方のバージョンを処理します。チェック・ボックスをクリックして選択をオフにすると、プロバイダーが V1.3 トークンのみを処理するようにこの動作を変更できます。

注: このチェック・ボックスは、サービス・プロバイダーのトークン・コンシューマー・パネルにのみ表示されます。
データ型 チェック・ボックス
範囲 「選択」または「クリア」
デフォルト値 選択



マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連タスク
関連資料
コールバック・ハンドラー設定
アプリケーション・ポリシー・セットのコレクション
アプリケーション・ポリシー・セットの設定
添付アプリケーションのコレクションの検索
ポリシー・セット・バインディングの設定


ファイル名: uwbs_wsspsbpt.html