コールバック・ハンドラー設定

このページを使用して、メッセージ・ヘッダーからセキュリティー・トークンを取得する方法を決定する コールバック・ハンドラー設定を構成します。

コールバック・ハンドラー設定の構成は、汎用のセル・レベルまたはサーバー・レベルのバインディングを 編集しているときに行うことができます。ポリシー・セットが必要とするトークンおよびメッセージ・パーツの、 アプリケーション固有のバインディングも構成できます。

汎用のセル・レベルのバインディングを編集中にこの管理コンソール・ページを 表示するには、以下のアクションを実行します。
  1. サービス」>「ポリシー・セット」>「デフォルト・ポリシー・セットのバインディング (Default policy set bindings)」とクリックします。このバインディング・パネルには、 デフォルトのバインディングとして設定されたバインディング (例えば、プロバイダーのサンプル・バインディング) が示されます。
  2. デフォルトのこのバインディングを編集するには、「サービス」>「ポリシー・セット」 >「汎用プロバイダーのポリシー・セット・バインディング (General provider policy set bindings)」をクリックします。
  3. 最初のステップで判定したデフォルトのバインディングの名前をクリック します。例えば、Provider sample です。
  4. 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
  5. 「メイン・メッセージ・セキュリティー・ポリシー・バインディング (Main message security policy bindings)」セクションで、「認証と保護 (Authentication and protection)」リンクをクリックします。
  6. 「保護トークン (Protection tokens)」セクションまたは「認証トークン (Authentication tokens)」セクションで「name_of_token」リンクをクリックします。
  7. コールバック・ハンドラー」リンクをクリックします。
ポリシー・セットが必要とするトークンおよびメッセージ・パーツのアプリケーション固有のバインディングの構成中にこの管理コンソール・ページを表示するには、 以下のアクションを実行します。
  1. 「アプリケーション」>「アプリケーション・タイプ」 >「WebSphere エンタープライズ・アプリケーション」とクリックします。
  2. Web サービスを含むアプリケーションを選択します。 このアプリケーションには、サービス・プロバイダーまたはサービス・クライアントが含まれている必要があります。
  3. 「Web サービス・プロパティー」セクションで「サービス・プロバイダーのポリシー・セットおよびバインディング (Service provider policy sets and bindings)」リンクまたは「サービス・クライアントのポリシー・セットおよびバインディング (Service client policy sets and bindings)」をクリックします。
  4. バインディングを選択します。 事前に、ポリシー・セットを関連付け、アプリケーション固有のバインディングを割り当てておく必要があります。
  5. 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
  6. 「メイン・メッセージ・セキュリティー・ポリシー・バインディング (Main message security policy bindings)」セクションで、「認証と保護 (Authentication and protection)」リンクをクリックします。
  7. 「保護トークン (Protection tokens)」セクションまたは「認証トークン (Authentication tokens)」セクションで「name_of_token」リンクをクリックします。
  8. コールバック・ハンドラー」リンクをクリックします。

この管理コンソール・パネルは、Java™ API for XML Web Services (JAX-WS) アプリケーションにのみ適用されます。

「コールバック・ハンドラー」に表示されるフィールドは、構成されるトークンによって異なるものになります。 保護のためにジェネレーターないしコンシューマー・トークンを構成しているか、 あるいは認証のためにインバウンド・トークンまたはアウトバウンド・トークンを構成しているかに応じて、 このパネル上の各セクションや各フィールドには、 このトピックで説明されているフィールドの一部またはすべてが表示されます (各フィールドの説明を参照)。

クラス名

「クラス名」セクション内のフィールドは、あらゆるタイプのトークン構成で使用できます。

コールバック・ハンドラーに使用するクラス名を指定します。 通常の操作では、「組み込みデフォルトの使用 (Use built-in default)」 オプションを選択します。 「カスタムの使用」オプションを使用するのは、カスタム・トークン・タイプを使用する場合のみです。

Kerberos カスタム・トークン・タイプの場合、トークン・ジェネレーターの構成には、 クラス名 com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler を使用します。トークン・コンシューマーの構成には、com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler を使用します。

組み込みデフォルトの使用

クラス名にデフォルト値を使用するように指定します。 このラジオ・ボタンを選択した場合、 デフォルト値 (フィールドに表示されます) がクラス名に使用されます。 この名前は、コールバック・ハンドラーがトークン・ジェネレーター用であるか トークン・コンシューマー用であるか、およびトークン・タイプが何かによって決まります。 このオプションは「カスタムの使用」オプションと同時には使用できません。

カスタムの使用

クラス名にカスタム値を使用するように指定します。 カスタム・クラス名を使用するには、このラジオ・ボタンを選択し、フィールドに名前を入力してください。

この入力フィールドで使用できるデフォルト値はありません。 次のテーブル内の情報を使用すると、この値が決まります。

表 1. コールバック・ハンドラーのカスタム・クラス名および関連トークン・タイプ. コールバック・ハンドラーは、セキュリティー・トークンがメッセージ・ヘッダーからどのように取得されるのかを 決定します。
トークン・タイプ コンシューマー (consumer) またはジェネレーター (generator) コールバック・ハンドラーのクラス名
UsernameToken コンシューマー (consumer) com.ibm.websphere.wssecurity.callbackhandler.UNTConsumeCallbackHandler
UsernameToken ジェネレーター (generator) com.ibm.websphere.wssecurity.callbackhandler.UNTGenerateCallbackHandler
X509Token コンシューマー (consumer) com.ibm.websphere.wssecurity.callbackhandler.X509ConsumeCallbackHandler
X509Token ジェネレーター (generator) com.ibm.websphere.wssecurity.callbackhandler.X509GenerateCallbackHandler
LTPAToken/LTPAPropagationToken コンシューマー (consumer) com.ibm.websphere.wssecurity.callbackhandler.LTPAConsumeCallbackHandler
LTPAToken/LTPAPropagationToken ジェネレーター (generator) com.ibm.websphere.wssecurity.callbackhandler.LTPAGenerateCallbackHandler
SecureConversationToken コンシューマー (consumer) com.ibm.ws.wssecurity.impl.auth.callback.SCTConsumeCallbackHandler
SecureConversationToken ジェネレーター (generator) com.ibm.ws.wssecurity.impl.auth.callback.WSTrustCallbackHandler

このボタンは「組み込みデフォルトの使用 (Use built-in default)」オプションと同時には使用できません。

証明書 (ジェネレーター)

「証明書」セクション内の各フィールドは、保護トークンを構成している場合に使用できます。 ジェネレーター・トークンの場合は、リストからいずれかの証明書ストアをクリックして選択するか、 「新規」ボタンをクリックして証明書ストアを追加することができます。

証明書 (コンシューマー)

「証明書」セクション内の各フィールドは、保護トークンを構成している場合に使用できます。 コンシューマー・トークンの場合は、「任意証明書のトラスト」オプション または「証明書ストア」オプションを使用して、証明書ストアを 構成できます。

証明書 - 任意証明書のトラスト (コンシューマー)

このオプションは、トークン・コンシューマーにのみ適用されます。このオプション は、システムがすべての証明書を信頼し、特定の証明書ストアを定義しない ことを示します。このオプションは 「証明書ストア」オプションと同時には使用できません。

証明書 - 証明書ストア (コンシューマー)

このオプションは、トークン・コンシューマーにのみ適用されます。 このオプションを使用して、中間証明書を含む 証明書ストア・コレクションを指定します。これには証明書取り消しリスト (CRL) を含むこともできます。入力フィールドに指定された 証明書ストアをトラストするには、このオプションを選択してください。このオプションは「任意証明書のトラスト」オプションと同時には使用できません。 「証明書ストア」オプションを選択すると、「新規」ボタンが使用可能になり、新しい証明書ストア およびトラステッド・アンカー・ストアを構成できるようになります。

証明書ストアのフィールドの値は デフォルト値 None に設定することができます。しかし、トラステッド・アンカー・ストア値は特定の値に設定 しなければなりません。デフォルト値はありません。「任意証明書のトラスト」オプションが選択されていない場合、 トラステッド・アンカーが必要です。

基本認証

「基本認証」セクション内の各フィールドは、 LTPA 伝搬トークンではない認証トークンを構成する場合に使用できます。

Kerberos カスタム・トークン・タイプの場合、Kerberos にログインするには、 「基本認証」セクションを完了する必要があります。

ユーザー名

認証したいユーザー名を指定します。

パスワード

認証されるパスワードを指定します。 この入力フィールドに、認証用のパスワードを入力します。

確認パスワード

確認したいパスワードを入力します。

鍵ストア

「鍵ストア」セクション内の各フィールドは、保護トークンを構成する場合に使用できます。

「鍵ストア名」リスト内では、「カスタム」をクリックして、カスタム鍵ストアを定義することもできますし、外部で定義された鍵ストア名のいずれかをクリックすることもできます。 鍵ストアが必要ないときは、「なし」をクリックしてください。

鍵ストア - 名前

中央管理対象の鍵ストア・ファイルのうち、使用したいものの名前を指定します。

このメニューにある中央管理対象の鍵ストア・ファイルの名前をクリックするか、次の値のいずれかを入力してください。
NodeDefaultKeyStore
NodeDefaultTrustStore
NodeLTPAKeys
なし
中央管理対象の鍵ストア・ファイルを使用しないよう指定します。
カスタム
中央管理対象の鍵ストア・ファイルを使用するよう指定します。 カスタムの鍵ストアと鍵設定を構成するには、「カスタム鍵ストア構成 (Custom keystore configuration)」リンクをクリックしてください。
鍵ストア - カスタム鍵ストア構成 (Keystore - Custom keystore configuration)

カスタム鍵ストアを作成するためのリンクを指定します。 このリンクをクリックするとパネルが開き、そこでカスタム鍵ストアを構成できます。

「鍵」セクション内の各フィールドは、保護トークンを構成する場合に使用できます。

名前

使用する鍵の名前を指定します。 使用する鍵の名前を、この必須フィールドに入力します。

別名

使用する鍵の別名を指定します。 使用する鍵の名前の別名を、この必須フィールドに入力します。

パスワード

使用する鍵のパスワードを指定します。

非対称暗号ジェネレーターまたは対称シグニチャー・コンシューマーには、公開鍵のパスワードを設定できません。

確認パスワード

使用する鍵の確認パスワードを指定します。 「パスワード」フィールドに入力したパスワードを再度入力して、確認します。

非対称アウトバウンド暗号またはインバウンド・シグニチャーには、公開鍵の鍵確認パスワードを指定しないでください。

カスタム・プロパティー

「カスタム・プロパティー」セクション内のフィールドは、あらゆるタイプのトークン構成で使用できます。

コールバック・ハンドラーが必要とするカスタム・プロパティーを、名前と値のペアを使用して追加できます。

JAX-WS プログラミング・モデルの使用時に署名者証明書の暗号化を実装するには、暗号化トークン・ジェネレーターのコールバック・ハンドラーに com.ibm.wsspi.wssecurity.token.cert.useRequestorCert という名前のカスタム・プロパティーを追加して、値を true に設定します。 この実装では、SOAP 応答の暗号化を求める SOAP 要求の署名者証明書を使用します。このカスタム・プロパティーは、応答ジェネレーターによって使用されます。

OASIS Web Services Security Specification for Kerberos Token Profile V1.1 に 基づく Kerberos カスタム・トークンの場合、トークン生成用に com.ibm.wsspi.wssecurity.krbtoken.clientRealm プロパティーを指定します。これにより、 クライアントと関連付けられた Kerberos レルムの名前が指定され、Kerberos クライアント・レルムは Kerberos ログイン を開始できるようになります。指定されない場合、デフォルトの Kerberos レルム名が使用されます。 このプロパティーは、単一の Kerberos レルム環境の場合はオプションです。 Kerberos クロス・レルム環境または Kerberos トラステッド・レルム環境で Web サービス・セキュリティーを実装する際は、clientRealm プロパティーに値を指定する必要があります。

Kerberos カスタム・プロパティー com.ibm.wsspi.wssecurity.krbtoken.loginPrompt の 値が true の場合、Kerberos ログインが可能になります。 デフォルト値は False です。このプロパティーはオプションです。

JAX-WS プログラミング・モデルのユーザー名トークンを構成する際、 リプレイ・アタックから保護するために、コールバック・ハンドラー構成に以下の カスタム・プロパティーを追加することを強くお勧めします。 これらのカスタム・プロパティーは、メッセージ認証で nonce およびタイム・スタンプを 使用可能にし、検査します。
プロパティー名 (ジェネレーター) プロパティー値
com.ibm.wsspi.wssecurity.token.username.addNonce true
com.ibm.wsspi.wssecurity.token.username.addTimestamp true
プロパティー名 (コンシューマー) プロパティー値
com.ibm.wsspi.wssecurity.token.username.verifyNonce true
com.ibm.wsspi.wssecurity.token.username.verifyTimestamp true
名前

使用するカスタム・プロパティーの名前を指定します。

カスタム・プロパティーは、最初のうちはこの列で表示されません。 カスタム・プロパティーに対するアクションを、以下の中から選んでクリックしてください。

ボタン 結果のアクション
新規 新規のカスタム・プロパティー・エントリーを作成します。 カスタム・プロパティーを追加するには、その名前と値を入力してください。
削除 選択したカスタム・プロパティーを削除します。

使用するカスタム・プロパティーの値を指定します。 「」入力フィールドで、カスタム・プロパティーの値の入力または削除を行えます。




マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連タスク
関連資料
保護トークンの設定 (ジェネレーターまたはコンシューマー)
アプリケーション・ポリシー・セットのコレクション
アプリケーション・ポリシー・セットの設定
添付アプリケーションのコレクションの検索
ポリシー・セット・バインディングの設定


ファイル名: uwbs_wsspsbch.html