サービス・エンドポイントのトラスト・サービス操作をシステム・ポリシー・セットおよびバインディングに添付できます。
初めに指定される各新規エンドポイントには、
実行、更新、取り消し、検証の 4 つの操作が含まれています。デフォルトでは、
すべてのエンドポイントは、トラスト・サービスのデフォルトで行われるそれぞれのトラスト・サービス操作に添付されているポリシー・セットおよびバインディングを継承します。
ただし、別のポリシー・セットを明示的に添付することもできます。
始める前に
初めに、ポリシー・セットおよびバインディングを定義する必要があります。
ポリシー には、提供されるサービスの保護または品質を記述します (メッセージ・セキュリティーやトランスポートなど)。
バインディング には、ポリシーの実装方法についての詳細を指定します。それには、鍵ストア・ファイルのパス、トークン・ジェネレーターのクラス名、JAAS 構成名などがあります。
重要: トラスト・サービスが付いたシステム・ポリシー・セットのみを使用します。
要求側 (クライアント) は、
Java API for XML-Based Web Services (JAX-WS) のみを使用する必要があります。
Java API for XML-based remote procedure call (JAX-RPC) を使用する要求側は、
ポリシー・セット QOS と互換性がありません。
このタスクについて
新規エンドポイントのトラスト・サービス操作を既存ポリシー・セットおよびバインディングに添付できます。
指定する新規サービス・エンドポイントごとに、
4 つのトラスト・サービス操作 (取り消し、更新、検証、実行) が
継承添付から明示的添付に変更されます。
この 4 つの操作は、トラスト・サービスのデフォルトで指定されているように、それぞれのポリシー・セットおよびバインディングに添付されます。
次に、添付を、希望する既存ポリシーセットおよびバインディングに変更することができます。
エンドポイント・ポリシー・セットは、ブートストラップ・セクションとアプリケーション・セクションの 2 つのセクションから構成されています。
特定エンドポイントについて実行および更新トラスト・サービス操作に添付されているシステム・ポリシーは、
そのエンドポイントに関するポリシー・セットのブートストラップ・セクションに対応している必要があります。
特定エンドポイントについて取り消しおよび検証トラスト・サービス操作に添付されているシステム・ポリシーは、
そのエンドポイントに関するポリシー・セットのアプリケーション・セクションに対応している必要があります。
このタスクでは、システム・ポリシー・セットおよびバインディングに添付する、サービス・エンドポイント URL のトラスト・サービス操作を管理する方法について説明します。
WebSphere Application Server トラスト・サービスの構成を完了するには、
次のタスクも完了する必要があります。
- ターゲットを作成または管理します。
新規サービス・エンドポイント (ターゲット) の明示的割り当てを作成することも、
セキュリティー・トークンが明示的に割り当てられたエンドポイントまたはトラスト・サービス・デフォルト・トークンを継承するエンドポイントを管理することもできます。
明示的バインディングが添付されていない場合、
WebSphere Application Server は、セル・レベルのデフォルト・バインディングを使用します。
バインディング Default は、セルのデフォルト・バインディングを参照します。
プロシージャー
- トラスト・サービス操作のシステム・ポリシー・セット添付を管理するには、
「サービス」>「トラスト・サービス」>「トラスト・サービス添付」をクリックします。
リストには、トラスト・サービスのデフォルトのほかにポリシー・セットが添付された操作が 1 つ以上含まれている、すべてのエンドポイントが表示されます。
このリストには、システム・ポリシー・セットと各操作のバインディングも表示されます。
- 以下のアクションを 1 つ以上選択して、トラスト・サービス添付を構成します。
- 新規添付
- サービス・エンドポイント URL を指定するための新規パネルを開きます。指定する新規サービス・エンドポイントごとに、
4 つのトラスト・サービス操作 (取り消し、更新、検証、実行) が
継承添付から明示的添付に変更されます。
この 4 つの操作は、トラスト・サービスのデフォルトで指定されているように、それぞれのポリシー・セットおよびバインディングに添付されます。
これらの初期添付は変更できます。
- 添付
- トラスト関連の 2 つのデフォルト・システム・ポリシー・セットを含む、既存システム・ポリシー・セットのリストを表示します。
これらのポリシー・セットには、サービス・エンドポイントの 4 つのトラスト・サービス操作のそれぞれを添付できます。
初めに、操作 (例えば、取り消しトークン) を選択し、次に「添付」をクリックして、
使用可能なシステム・ポリシー・セットを表示します。
添付するデフォルトまたはカスタムのシステム・ポリシー・セットを選択します。
ポリシー・セット添付を変更すると、バインディングが自動的に Default に変更されます。
操作を選択し、さらに「バインディングの割り当て」をクリックしてバインディングを変更します。
選択可能な事前定義システム・ポリシー・セットには、以下のものがあります。
- TrustServiceSecurityDefault
このトラスト・ポリシー・セットは、メッセージのセキュリティーを提供する公開鍵と秘密鍵、および非対称アルゴリズムを指定します。RSA を使用して、本文、タイム・スタンプ、WS-Addressing ヘッダーをデジタル署名することにより、メッセージの保全性を保持します。
メッセージの機密性は、RSA を使用して本文と署名を暗号化することで守られます。このポリシー・セットは、トラスト操作要求の実行と更新に関し、WS-Security の仕様に準じます。
- TrustServiceSymmetricDefault
このトラスト・ポリシー・セットは、メッセージのセキュリティーを提供する、派生するキー・アルゴリズム、および対称アルゴリズムを指定します。HMAC-SHA1 を使用して、本文、タイム・スタンプ、WS-Addressing ヘッダーをデジタル署名することにより、メッセージの保全性を提供します。
メッセージの機密性は、AES を使用して本文と署名を暗号化することで守られます。このポリシー・セットは、トラスト操作要求の検証と取り消しに対し、WS-Security および WS-SecureConversation の仕様に準じます。
- 操作のデフォルトを継承
- それぞれのトラスト・サービスのデフォルト・トラスト・サービス・ポリシー・セット添付およびバインディングを継承するように操作を設定します。
変更する添付を選択して「操作のデフォルトを継承」をクリックすると、
ポリシー・セットとバインディングの両方に関する明示的添付が除去されます。
したがって、操作は、デフォルトのトラスト・サービス・ポリシー・セットおよびバインディングに対して行われたすべての変更を継承します。
- バインディングの割り当て (Assign Binding)
- 既存バインディングを変更します。選択したトラスト・サービス添付に、新規バインディングを作成して割り当てることも、デフォルト・バインディングを割り当てることも、既存のカスタム・バインディングを割り当てることもできます。
- ランタイムの更新
- トラスト・サービス・ランタイムは、トラスト・サービス添付、トークン・プロバイダー、およびターゲットに対して行われた構成変更の内容を使用して更新します。
- オプション: リストのカスタム・ポリシー・セットの名前をクリックして、カスタム・ポリシー・セットを変更します。
必要に応じて、カスタム・ポリシー・セットの設定を編集します。
デフォルトのトラスト・サービス・ポリシー・セット情報は、表示のみできます。
TrustServiceSecurityDefault と TrustServiceSymmetricDefault の 2 つのデフォルト・トラスト・ポリシー・セットは編集できません。TrustServiceSecurityDefault は、
実行操作と更新操作用のデフォルトです。TrustServiceSymmetricDefault は、
取り消し操作と検証操作用のデフォルトです。
エンドポイント・サービス URL 用のトラスト・サービス操作を、表示するエンドポイント・サービス URL 用に少なくとも 1 つは明示的に添付する必要があります。
ある操作を明示的に添付すると、システム・ポリシー・セット名が表示されます。
ポリシー・セットを明示的に添付しない場合、
それぞれのデフォルト・トラスト・サービス・ポリシー・セットが表示され、
その後にテキスト (inherited) が続きます。
- オプション: 必要に応じて、リスト内のカスタム・バインディングの名前をクリックして、カスタム・バインディングを変更します。
必要に応じて、カスタム・バインディングの設定を編集します。
デフォルトのバインディング情報は、表示のみ行うことができます。
デフォルトのバインディングである Default は、編集できません。
トラスト・サービス・バインディングに対してなんらかの変更を行うと、
そのバインディングを参照するすべてのトラスト・サービス添付がその影響を受けます。
リソースにポリシー・セットが直接添付されている場合は、
バインディング名が表示されるか、Default が表示されます。
- トラスト・サービス・ランタイム構成に変更内容を適用する前に、その変更内容を保管します。
- 「ランタイムの更新」をクリックして、
トークン・プロバイダー、トラスト・サービス添付、およびターゲットに対するすべてのデータ変更内容でトラスト・サービス・ランタイム構成を更新します。
確認ウィンドウが表示されるかどうかは、
「ランタイム・コマンドの更新時に確認を表示」チェック・ボックスを選択したかどうかによって決まります。
「設定」を展開して、チェック・ボックスを表示します。
- オプション: 確認ウィンドウが表示されたら、確認するか、取り消します。
「ランタイム・コマンドの更新時に確認を表示」チェック・ボックスを選択解除すると、
確認ウィンドウを表示することなく、すべての変更が即時に実行されます。
結果
トラスト・サービス添付を作成または更新するために基本情報を提供しました。
システム・ポリシー・セットおよびバインディングに対するトラスト・サービス操作添付を構成しました。
次の作業
また、WebSphere Application Server トラスト・サービスの
新規添付を wsadmin ツールを使用して作成することも可能です。wsadmin ツールの例は、
Jython スクリプト言語で書かれています。