[リリース 5.1 以降]Web サービス: Web サービス・セキュリティーのデフォルト・バインディング・コレクション

このページを使用して、サーバー・レベルの nonce に対する設定を構成し、トラスト・アンカー、コレクション証明書ストア、鍵ロケーター、 トラステッド ID エバリュエーター、およびログイン・マッピングのデフォルトのバインディングを 管理します。

この管理コンソール・ページを表示するには、「サーバー」>「アプリケーション・サーバー」>「server_name」をクリックします。「追加プロパティー」の下の「Web Services: Default bindings for Web Services Security」をクリックします。

Web サービス・セキュリティーにデフォルトのバインディングを定義する前に、Web サービスの文書をお読みください。

サーバーのバインディングを構成するには、以下のステップを完了します。

  1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name 」をクリックします。
  2. 「Related Items」の下の「Web モジュール」>「URI_file_name 」>「Web Services: Server Security Bindings」をクリックします。

クライアントのバインディングを構成するには、以下のステップを完了します。

  1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name 」をクリックします。
  2. 「Related Items」の下の「Web モジュール」>「URI_file_name 」>「Web Services: Client Security Bindings」をクリックします。

[リリース 5.1 以降]nonce は、メッセージに埋め込まれた固有の暗号番号であり、 ユーザー名トークンの未許可のアタックが繰り返されることを防止するために役立ちます。 基本の WebSphere Application Server 環境では、 サーバー・レベルの「Nonce Cache Timeout」、「Nonce Maximum Age」、 および「Nonce Clock Skew」フィールドに値を指定する必要があります。

デフォルトのバインディング構成では、再使用可能なバインディング情報が定義されている 中央設置場所が作成されます。アプリケーションのバインディング・ファイルは、デフォルトのバインディング構成に 含まれている情報を参照することができます。

Nonce Cache Timeout   [リリース 5.1 以降]
サーバー上のキャッシュされた nonce に対するタイムアウト値を 秒単位で指定します。nonce はランダムに生成される値です。

Nonce Cache Timeout」フィールドには、少なくとも 300 秒を指定する必要があります。値を指定しない場合には、デフォルトで 600 秒になります。

Nonce Cache Timeout」フィールドは、基本の WebSphere Application Server 環境では必須です。

nonce キャッシュ・タイムアウト値を変更する場合、WebSphere Application Server を再始動して変更を有効にする必要があります。

デフォルト 600 秒
最小 300 秒
Nonce Maximum Age   [リリース 5.1 以降]
nonce タイム・スタンプの有効期限が切れるまでのデフォルト時間 (秒) を指定します。nonce はランダムに生成される値です。

Nonce Maximum Age」フィールドには、少なくとも 300 秒を指定する必要があります。ただし、最大値として、 サーバー・レベルの「Nonce Cache Timeout」フィールドに指定した以上の秒数を指定することはできません。値を指定しない場合には、デフォルトで 300 秒になります。このサーバー・レベルの「Nonce Maximum Age」フィールドに設定する値は、セル・レベルに設定する「Nonce Maximum Age」の値を超えてはなりません。 この値には、「Security」>「Web Services」>「Properties」をクリックしてアクセスできます。

Nonce Maximum Age」フィールドは、基本の WebSphere Application Server 環境では必須です。

デフォルト 300 秒
範囲 300 〜「Nonce Cache Timeout」に指定した値 (秒)
Nonce Clock Skew   [リリース 5.1 以降]
WebSphere Application Server がメッセージの日付をチェックする際に検討する デフォルトのクロック・スキュー値 (秒) を指定します。nonce はランダムに生成される値です。

Nonce Clock Skew」フィールドには、少なくとも 0 秒を指定する必要があります。ただし、最大値として、 「Nonce Maximum Age」フィールドに指定した以上の秒数を指定することはできません。値を指定しない場合には、デフォルトで 0 秒になります。

Nonce Clock Skew」フィールドは、基本の WebSphere Application Server 環境では必須です。

デフォルト 0 秒
範囲 0 〜「Nonce Maximum Age」に指定した値 (秒)
Trust Anchors   [修正パッケージ 5.0.2 以降]
認証局 (CA) が自己署名または発行したトラステッド・ルート証明書を含む鍵ストア・オブジェクトのリストを指定します。

認証局は、ユーザーを認証し、証明書を発行します。 証明書が発行されると、これらの証明書を含む鍵ストア・オブジェクトは、着信する X.509 形式のセキュリティー・トークンの証明書パスまたは証明書チェーンの検証にこの証明書を使用します。

Collection Certificate Store   [修正パッケージ 5.0.2 以降]
信頼されていない中間証明書ファイルのリストを指定します。

コレクション証明書ストアには、信頼されていない、中間証明書のチェーンが含まれています。CertPath API は、トラスト・アンカーに基づいているこれらの証明書を検証します。

Key Locators   [修正パッケージ 5.0.2 以降]
ディジタル署名および暗号化のための鍵を、鍵ストア・ファイルまたはリポジトリーから取り出す鍵ロケーター・オブジェクトのリストを指定します。 鍵ロケーターは、名前または論理名をエイリアスにマップするか、認証済みの識別を鍵にマップします。この論理名は、 鍵ロケーターのインプリメンテーションに鍵を配置するために使用されます。
Trusted ID Evaluators   [修正パッケージ 5.0.2 以降]
識別表明権限を信頼するのか、メッセージの送信側を信頼するのかを決定する、トラステッド ID エバリュエーターのリストを指定します。

トラステッド ID エバリュエーターは、あるサーバーから別のサーバーに追加された ID を認証するために使用されます。例えば、あるクライアントが、認証を行うためにユーザー A の識別をサーバー 1 に送信したとします。サーバー 1 は、ダウンストリームでサーバー 2 を呼び出し、ユーザー A の ID を表明し、サーバー 1 のユーザー ID とパスワードを組み込みます。サーバー 2 は、そのユーザー ID とパスワードを認証し、TrustedIDEvaluator のインプリメンテーションに基づく信頼をチェックすることにより、サーバー 1 との信頼を確立しようとします。認証プロセスと信頼チェックが正常に行われると、サーバー 2 は、サーバー 1 で認証済みのユーザー A を信頼し、ユーザー A がサーバー 2 で要求を起動するための信任状が作成されます。

Login Mappings   [修正パッケージ 5.0.2 以降]
着信メッセージ内のトークンを検証するための構成のリストを指定します。

ログイン・マッピングは、認証メソッドを Java Authentication and Authorization Service (JAAS) 構成にマップします。

JAAS を構成するには、管理コンソールを使用して、「セキュリティー」>「JAAS Configuration」をクリックします。

関連情報

トラスト・アンカー・コレクション
コレクション証明書ストアのコレクション
鍵ロケーターのコレクション
トラステッド ID エバリュエーター・コレクション
ログイン・マッピング・コレクション
ログイン・マッピング構成の設定