認証ジェネレーターまたはコンシューマーのトークン設定

認証トークンは、ID の証明または表明に使用されます。 汎用バインディングを編集しているときに、管理コンソールを使用して、 メッセージ・パーツに対して認証トークン設定を追加します。

認証トークンを構成するには、以下のステップを完了します。

  1. グローバル・セキュリティーのデフォルト・ポリシー・セット・バインディングとして設定されている汎用バインディングを表示して選択するには、「サービス」>「ポリシー・セット」 >「デフォルト・ポリシー・セットのバインディング (Default policy set bindings)」とクリックします。指定されたバインディングは、 接続ポイント、サーバー、またはセキュリティー・ドメインでオーバーライドされるまで使用されます。
  2. 汎用バインディングへのアクセスと構成、およびメッセージ・パーツの認証トークン設定の追加を行うには、 「サービス」>「ポリシー・セット」>「汎用プロバイダーのポリシー・セット・バインディング (General provider policy set bindings)」とクリックします。
  3. 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
  4. 「メイン・メッセージ・セキュリティー・ポリシー・バインディング (Main message security policy bindings)」セクションで、「認証と保護 (Authentication and protection)」リンクをクリックします。
  5. 「新規トークン (New token)」をクリックして新規のトークン・ジェネレーターまたはコンシューマーを作成するか、 「認証トークン (Authentication tokens)」テーブルから既存のコンシューマーまたは ジェネレーターのトークン・リンクをクリックします。
ポリシー・セットが必要とするトークンおよびメッセージ・パーツのアプリケーション固有のバインディングを表示して構成するには、 次のステップを完了します。
  1. 「アプリケーション」>「アプリケーション・タイプ」 >「WebSphere エンタープライズ・アプリケーション」とクリックします。
  2. Web サービスを含むアプリケーションを選択します。 このアプリケーションには、サービス・プロバイダーまたはサービス・クライアントが含まれている必要があります。
  3. 「Web サービス・プロパティー」セクションで、「サービス・プロバイダーのポリシー・セットおよびバインディング」リンク、または「サービス・クライアントのポリシー・セットおよびバインディング」リンクをクリックします。
  4. バインディングを選択します。 事前に、ポリシー・セットを関連付け、アプリケーション固有のバインディングを割り当てておく必要があります。
  5. 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
  6. 「メイン・メッセージ・セキュリティー・ポリシー・バインディング (Main message security policy bindings)」セクションで、「認証と保護 (Authentication and protection)」リンクをクリックします。
  7. 「保護トークン (Protection tokens)」テーブルから、 コンシューマーまたはジェネレーターのトークン・リンクをクリックします。

この管理コンソール・パネルは、Java™ API for XML Web Services (JAX-WS) アプリケーションにのみ適用されます。

名前

構成するトークンの名前を指定します。アプリケーション固有のバインディングを使用する場合には、 このフィールドは表示されません。

トークン・タイプ

構成するトークンのタイプを指定します。

アプリケーション固有のバインディングを使用している場合、 トークン・タイプはポリシー・ファイルから取得され、読み取り専用となります。汎用バインディングを使用している場合、 トークン・タイプはこのリストから選択します。以下のトークン・タイプが使用できます。

  • X509V3 トークン V1.1
  • X509V3 トークン V1.0
  • ユーザー名トークン V1.1
  • ユーザー名トークン V1.0
  • X509PKCS7 トークン V1.1
  • X509PKCS7 トークン V1.0
  • X509PkiPathV1 トークン V1.1
  • X509PkiPathV1 トークン V1.0
  • LTPA 伝搬トークン
  • X509V1 トークン V1.1
  • LTPA トークン
  • LTPA トークン V2.0
  • カスタム・トークン
新フィーチャー: LTPA トークン V2.0 トークン・タイプは、 IBM® WebSphere® Application Server バージョン 7.0 以降 の新規名前空間を使用するバインディングでのみ使用可能です。トークン・コンシューマーのトークン・タイプとして LTPA トークン V2.0 を選択すると、 LTPA トークンと LTPA V2.0 トークンの両方を使用できます。トークン・コンシューマーを LTPA V2.0 トークンのみに制限する場合は、「トークン・バージョンを有効にする」チェック・ボックスをオンにします。

トークン・ジェネレーターのトークン・タイプとして LTPA トークンを選択する場合、 「シングル・サインオン・インターオペラビリティー・モード (single sign-on interoperability mode)」を有効にする必要があります。これは、Web および SIP セキュリティーからのグローバル・セキュリティーの設定です。 インターオペラビリティー・フラグが有効 (true) に設定されなければ、 これらのバインディングに添付されたアプリケーションを開始するとエラーが発生します。インターオペラビリティーのフラグの状態を確認せずに LTPA トークンを使用する場合、 トークン・ジェネレーターのカスタム・プロパティー「com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7」を設定できます。『LTPA トークンに対するシングル・サインオン・インターオペラビリティーの使用可能化または使用不可化』のトピック に記述されているように、管理コンソールを使用してこのプロパティーを設定してください。Web サービス・セキュリティー API を使用して このプロパティーを設定することはできません。

newfeat
ローカル名

認証トークンのジェネレーターまたはコンシューマーのローカル名を指定します。 「ローカル名」フィールドには、表示されるトークン・タイプに応じてデータが取り込まれます。 このフィールドでは、カスタム・トークン・タイプだけを編集することができます。

URI

認証トークンのジェネレーターまたはコンシューマーの URI を指定します。「URI」フィールドには、表示されるトークン・タイプに応じてデータが取り込まれます。 このフィールドでは、カスタム・トークン・タイプだけを編集することができます。

OASIS Web Services Security Specification for Kerberos Token Profile v1.1 で定義されているように、カスタム・トークン・タイプを使用して Kerberos トークンを 生成する場合、このフィールドはブランクのままにします。

セキュリティー・トークン参照

セキュリティー・トークン参照を指定します。 「セキュリティー・トークン参照」フィールドが表示されるのは、 アプリケーション固有のバインディングの認証トークンの場合だけです。このフィールドは、デフォルト・バインディングでは使用できません。

JAAS ログイン

バインディングの有効範囲となるドメインに有効な、Java Authentication and Authorization Service (JAAS) でのアプリケーション・ログインおよびシステム・ログインのリストを指定します。

アプリケーションがグローバル・セキュリティーを有効範囲とする場合、 または自身の JAAS ログインをカスタマイズしないドメインを有効範囲とする場合、 メニュー・リストにグローバル・ログインのリストが表示されます。「新規アプリケーション・ログイン」をクリックして、 グローバル JAAS アプリケーション・ログイン・コレクションにアクセスします。JAAS ログイン・メニュー・リストおよび 「新規アプリケーション・ログイン」ボタンの動作は、 バインディングが添付に関連して作成されているかどうかによって決定されます。 セキュリティー・ドメインを変更するときには注意が必要です。 JAAS ログインなど、既に参照されたセキュリティー構成は、 別のセキュリティー・ドメインでアクセスできない場合があるためです。

カスタム・プロパティー – 名前

カスタム・プロパティーの名前を指定します。

カスタム・プロパティーは、最初のうちはこの列で表示されません。 以下のボタンのいずれかをクリックすると、説明にあるアクションが使用可能になります。

ボタン 結果のアクション
新規 新規のカスタム・プロパティー・エントリーを作成します。 カスタム・プロパティーを追加するには、その名前と値を入力してください。
編集 選択したカスタム・プロパティーを編集することができます。 このボタンをクリックすると、入力フィールドが表示され、編集するセル値のリストが作成されます。 「編集」ボタンは、カスタム・プロパティーが 1 つ以上追加されるまで使用できません。
削除 選択したカスタム・プロパティーを削除します。
カスタム・プロパティー – 値

使用するカスタム・プロパティーの値を指定します。「」フィールドを使用して、カスタム・プロパティーの値を入力、編集、または削除します。

カスタム・トークン・タイプを使用して Kerberos トークンを生成するには、以下のカスタム・プロパティーを指定します。

カスタム・プロパティー名
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName ターゲット・サービスの名前を指定します。

このプロパティーは必須です。

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost ターゲット・サービスに関連付けられるホスト名を myhost.mycompany.com という形式で指定します。

このプロパティーは必須です。

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm ターゲット・サービスに関連付けられたレルムの名前を指定します。

このプロパティーは、単一の Kerberos レルムの場合はオプションです。
targetServiceRealm プロパティーが指定されていない場合は、Kerberos 構成ファイルのデフォルトのレルム名がレルム名として使用されます。
クロス・レルム環境またはトラステッド・レルム環境では、targetServiceRealm プロパティーに値を指定する必要があります。

トークン・ジェネレーターの場合、ターゲット・サービス名とターゲット・ホスト名を組み合わせて、 ターゲット Kerberos のサービス・プリンシパル名を表すサービス・プリンシパル名 (SPN) が形成されます。Kerberos クライアントは、この SPN の初期の Kerberos AP_REQ トークンを要求します。

Web サービスの要求メッセージごとに Kerberos V5 AP_REQ トークンをアプリケーションで生成または使用する場合は、アプリケーション用のトークン・ジェネレーター・バインディングとトークン・コンシューマー・バインディングの com.ibm.wsspi.wssecurity.kerberos.attach.apreq カスタム・プロパティーを true に設定してください。詳しくは、トピックの『Web サービス・セキュリティーのトラブルシューティングのヒント』を参照してください。

コールバック・ハンドラー

コールバック・ハンドラーを構成できる「コールバック・ハンドラー」ページにリンクします。 コールバック・ハンドラーの設定によって、メッセージ・ヘッダーからセキュリティー・トークンを取得する方法が決まります。

デフォルト・バインディングを使用しているユーザー名トークンまたは LTPA トークンを扱う場合、ユーザー名とパスワードがサンプルとして提供されていることがあります。 これらのトークン・タイプの値は、更新する必要があります。




マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連タスク
関連資料
コールバック・ハンドラー設定
保護トークンの設定 (ジェネレーターまたはコンシューマー)
アプリケーション・ポリシー・セットのコレクション
WS セキュリティーの認証と保護


ファイル名: uwbs_wsspsbat.html