Web サービス: Web サービス・セキュリティーのデフォルト・バインディング・コレクションこのページを使用して、サーバー・レベルの nonce に対する設定を構成し、トラスト・アンカー、コレクション証明書ストア、鍵ロケーター、 トラステッド ID エバリュエーター、およびログイン・マッピングのデフォルトのバインディングを 管理します。
この管理コンソール・ページを表示するには、「サーバー」>「アプリケーション・サーバー」>「server_name」をクリックします。「追加プロパティー」の下の「Web Services: Default bindings for Web Services Security」をクリックします。
Web サービス・セキュリティーにデフォルトのバインディングを定義する前に、Web サービスの文書をお読みください。
サーバーのバインディングを構成するには、以下のステップを完了します。
クライアントのバインディングを構成するには、以下のステップを完了します。
nonce は、メッセージに埋め込まれた固有の暗号番号であり、
ユーザー名トークンの未許可のアタックが繰り返されることを防止するために役立ちます。
基本の WebSphere Application Server 環境では、
サーバー・レベルの「Nonce Cache Timeout」、「Nonce Maximum Age」、
および「Nonce Clock Skew」フィールドに値を指定する必要があります。
デフォルトのバインディング構成では、再使用可能なバインディング情報が定義されている 中央設置場所が作成されます。アプリケーションのバインディング・ファイルは、デフォルトのバインディング構成に 含まれている情報を参照することができます。
![[リリース 5.1 以降]](v51.gif)
「Nonce Cache Timeout」フィールドには、少なくとも 300 秒を指定する必要があります。値を指定しない場合には、デフォルトで 600 秒になります。
「Nonce Cache Timeout」フィールドは、基本の WebSphere Application Server 環境では必須です。
nonce キャッシュ・タイムアウト値を変更する場合、WebSphere Application Server を再始動して変更を有効にする必要があります。
| デフォルト | 600 秒 |
| 最小 | 300 秒 |
![[リリース 5.1 以降]](v51.gif)
「Nonce Maximum Age」フィールドには、少なくとも 300 秒を指定する必要があります。ただし、最大値として、 サーバー・レベルの「Nonce Cache Timeout」フィールドに指定した以上の秒数を指定することはできません。値を指定しない場合には、デフォルトで 300 秒になります。このサーバー・レベルの「Nonce Maximum Age」フィールドに設定する値は、セル・レベルに設定する「Nonce Maximum Age」の値を超えてはなりません。 この値には、「Security」>「Web Services」>「Properties」をクリックしてアクセスできます。
「Nonce Maximum Age」フィールドは、基本の WebSphere Application Server 環境では必須です。
| デフォルト | 300 秒 |
| 範囲 | 300 〜「Nonce Cache Timeout」に指定した値 (秒) |
![[リリース 5.1 以降]](v51.gif)
「Nonce Clock Skew」フィールドには、少なくとも 0 秒を指定する必要があります。ただし、最大値として、 「Nonce Maximum Age」フィールドに指定した以上の秒数を指定することはできません。値を指定しない場合には、デフォルトで 0 秒になります。
「Nonce Clock Skew」フィールドは、基本の WebSphere Application Server 環境では必須です。
| デフォルト | 0 秒 |
| 範囲 | 0 〜「Nonce Maximum Age」に指定した値 (秒) |
![[修正パッケージ 5.0.2 以降]](v502.gif)
認証局は、ユーザーを認証し、証明書を発行します。 証明書が発行されると、これらの証明書を含む鍵ストア・オブジェクトは、着信する X.509 形式のセキュリティー・トークンの証明書パスまたは証明書チェーンの検証にこの証明書を使用します。
![[修正パッケージ 5.0.2 以降]](v502.gif)
コレクション証明書ストアには、信頼されていない、中間証明書のチェーンが含まれています。CertPath API は、トラスト・アンカーに基づいているこれらの証明書を検証します。
![[修正パッケージ 5.0.2 以降]](v502.gif)
![[修正パッケージ 5.0.2 以降]](v502.gif)
トラステッド ID エバリュエーターは、あるサーバーから別のサーバーに追加された ID を認証するために使用されます。例えば、あるクライアントが、認証を行うためにユーザー A の識別をサーバー 1 に送信したとします。サーバー 1 は、ダウンストリームでサーバー 2 を呼び出し、ユーザー A の ID を表明し、サーバー 1 のユーザー ID とパスワードを組み込みます。サーバー 2 は、そのユーザー ID とパスワードを認証し、TrustedIDEvaluator のインプリメンテーションに基づく信頼をチェックすることにより、サーバー 1 との信頼を確立しようとします。認証プロセスと信頼チェックが正常に行われると、サーバー 2 は、サーバー 1 で認証済みのユーザー A を信頼し、ユーザー A がサーバー 2 で要求を起動するための信任状が作成されます。
![[修正パッケージ 5.0.2 以降]](v502.gif)
ログイン・マッピングは、認証メソッドを Java Authentication and Authorization Service (JAAS) 構成にマップします。
JAAS を構成するには、管理コンソールを使用して、「セキュリティー」>「JAAS Configuration」をクリックします。