OpenID Connect Client
このフィーチャーにより、Web アプリケーションが、構成されているユーザー・レジストリーの代わりとして、またはそれに加えて、ユーザーの認証のために OpenID Connect クライアント 1.0 を統合できるようになります。
このフィーチャーの使用可能化
OpenID Connect Client フィーチャーを有効にするには、
server.xml ファイルの featureManager エレメント内に次のエレメント宣言を追加します。
<feature>openidConnectClient-1.0</feature>
Supported Java™ バージョン
- JavaSE-1.6
- JavaSE-1.7
- JavaSE-1.8
このフィーチャーに依存するフィーチャーの開発
OpenID Connect Client フィーチャーに依存するフィーチャーを作成している場合は、新しいフィーチャーのためにフィーチャー・マニフェスト・ファイルの Subsystem-Content ヘッダーに次の項目を含めます。
com.ibm.websphere.appserver.openidConnectClient-1.0; type="osgi.subsystem.feature"
このフィーチャーが使用可能にするフィーチャー
フィーチャーの構成エレメント
server.xml ファイルの次のエレメントを使用して、OpenID Connect Client フィーチャーを構成することができます。
- administrator-role
- authCache
- authFilter
- authentication
- authorization-roles
- basicRegistry
- classloading
- jaasLoginContextEntry
- jaasLoginModule
- library
- ltpa
- openidConnectClient
- quickStartSecurity
- trustAssociation
- administrator-role
- サーバー管理者ロールを割り当てられているユーザーまたはグループ (あるいはその両方) の集まり。
- authCache
- 認証キャッシュの操作を制御します。
属性名 データ型 デフォルト値 説明 allowBasicAuthLookup boolean true ユーザー ID およびハッシュ・パスワードによる検索を許可します。 initialSize int 最小: 1
50 認証キャッシュによってサポートされるエントリーの初期数。 maxSize int 最小: 1
25000 認証キャッシュによってサポートされるエントリーの最大数。 timeout 期間 (精度: ミリ秒) 600s キャッシュ内のエントリーが除去される場合にそれまでの経過時間。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。 - authFilter
- HTTP 要求ヘッダーに突き合わせて、認証に HTTP 要求を選択するかどうかを決定する条件を表す、選択ルールを指定します。
属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 - authFilter > host
説明: 固有の構成 ID。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 matchType - equals
- contains
- notContain
contains マッチング・タイプを指定します。 - equals
- 等しい
- contains
- 含む
- notContain
- 含まない
name string 名前を指定します。
- authFilter > remoteAddress
説明: 固有の構成 ID。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 ip string IP アドレスを指定します。 matchType - lessThan
- equals
- greaterThan
- contains
- notContain
contains マッチング・タイプを指定します。 - lessThan
- より小
- equals
- 等しい
- greaterThan
- より大
- contains
- 含む
- notContain
- 含まない
- authFilter > requestUrl
説明: 固有の構成 ID。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 matchType - equals
- contains
- notContain
contains マッチング・タイプを指定します。 - equals
- 等しい
- contains
- 含む
- notContain
- 含まない
urlPattern string URL パターンを指定します。
- authentication
- 組み込み認証サービス構成を制御します。
属性名 データ型 デフォルト値 説明 allowHashtableLoginWithIdOnly boolean false アプリケーションのハッシュ・テーブル・プロパティー内の ID だけによるログインを許可します。 このオプションは、これを必要とするアプリケーションがあって、他に ID を検証する手段がある場合のみに使用してください。 cacheEnabled boolean true 認証キャッシュを使用可能にします。 - authorization-roles
- %authorizationRoles.desc
属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 - authorization-roles > security-role
説明: 固有の構成 ID。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 name string %roleName.desc - authorization-roles > security-role > group
説明: 固有の構成 ID。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 access-id string %groupAccessId.desc id string 固有の構成 ID。 name string %groupName.desc
- basicRegistry
- 単純な XML ベース・ユーザー・レジストリー。
属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 ignoreCaseForAuthentication boolean false 大/小文字を区別しないユーザー名認証を許可します。 realm string BasicRegistry レルム名はユーザー・レジストリーを表します。 - basicRegistry > group
説明: 固有の構成 ID。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 name string 基本ユーザー・レジストリー内のグループの名前。
- basicRegistry > user
説明: 固有の構成 ID。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 name string 基本ユーザー・レジストリー内のユーザーの名前。 password 一方向ハッシュ可能、またはリバース・エンコードされたパスワード (ストリング) 基本ユーザー・レジストリー内のユーザーのパスワード。 値は、平文形式またはエンコード形式で保管することができます。 パスワードはエンコードするようにお勧めします。 エンコードするためには、securityUtility ツールでエンコード・オプションを指定します。
- classloading
- グローバル・クラス・ロード
属性名 データ型 デフォルト値 説明 useJarUrls boolean false アーカイブ内のファイルを参照するために jar: または wsjar: の URL を使用するかどうか - jaasLoginContextEntry
- JAAS ログイン・コンテキスト・エントリー構成。
属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 loginModuleRef 最上位の jaasLoginModule エレメント (コンマ区切りのストリング) の参照のリスト。 hashtable,userNameAndPassword,certificate,token JAAS ログイン・モジュールの ID の参照。 name string JAAS 構成エントリーの名前。 - jaasLoginModule
- JAAS 構成内のログイン・モジュール。
属性名 データ型 デフォルト値 説明 className string JAAS ログイン・モジュール・クラスの完全修飾パッケージ名。 controlFlag - SUFFICIENT
- REQUISITE
- REQUIRED
- OPTIONAL
REQUIRED ログイン・モジュールのコントロール・フラグ。 有効な値は REQUIRED、REQUISITE、SUFFICIENT、OPTIONAL です。 - SUFFICIENT
- この LoginModule は JAAS 仕様ごとに SUFFICIENT です。 正常に実行されるには、LoginModule モジュールは不要です。 認証が成功した場合、他の LoginModules が呼び出されることなく、制御権が呼び出し元に戻されます。
- REQUISITE
- この LoginModule は JAAS 仕様による REQUISITE です。 正常に実行されるには、LoginModule が必要です。 認証が失敗した場合、他の LoginModules が呼び出されることなく、制御権が呼び出し元に戻されます。
- REQUIRED
- この LoginModule は JAAS 仕様ごとに REQUIRED です。 正常に実行されるには、LoginModule が必要です。
- OPTIONAL
- この LoginModule は JAAS 仕様ごとに OPTIONAL です。 正常に実行されるには、LoginModule モジュールは不要です。
id string 固有の構成 ID。 libraryRef 最上位の library エレメント (ストリング) の参照。 共有ライブラリー構成の ID の参照。 - jaasLoginModule > library
説明: 共有ライブラリー構成の ID の参照。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 apiTypeVisibility string spec,ibm-api,api このライブラリーのクラス・ローダーから参照可能になる API パッケージのタイプ。spec、ibm-api、api、third-party を任意に組み合わせたコンマ区切りリストで示されます。 description string 管理者用の共有ライブラリーの説明 filesetRef 最上位の fileset エレメント (コンマ区切りのストリング) の参照のリスト。 参照されるファイル・セットの ID name string 管理者用の共有ライブラリーの名前 - jaasLoginModule > library > file
説明: 参照されるファイルの ID必須: falseデータ型: 属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 name ファイルのパス 完全修飾ファイル名
- jaasLoginModule > library > fileset
説明: 参照されるファイル・セットの ID必須: falseデータ型: 属性名 データ型 デフォルト値 説明 caseSensitive boolean true 検索で大/小文字を区別するかどうかを指示するブール値 (デフォルト: true)。 dir ディレクトリーのパス ${server.config.dir} ファイルを検索するベース・ディレクトリー。 excludes string 検索結果から除外するファイル名パターンのコンマ区切りリストまたはスペース区切りリスト。デフォルトでは、除外されるファイルがありません。 id string 固有の構成 ID。 includes string * 検索結果に組み込むファイル名パターンのコンマ区切りリストまたはスペース区切りリスト (デフォルト: *)。 scanInterval 期間 (精度: ミリ秒) 0 long と時間単位のサフィックス (h - 時間、m - 分、s - 秒、ms - ミリ秒 (例: 2ms、5s)) で表した、ファイル・セットの変更をチェックするスキャン間隔。 デフォルトでは使用不可です (scanInterval=0)。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
- library
- 共有ライブラリー
属性名 データ型 デフォルト値 説明 apiTypeVisibility string spec,ibm-api,api このライブラリーのクラス・ローダーから参照可能になる API パッケージのタイプ。spec、ibm-api、api、third-party を任意に組み合わせたコンマ区切りリストで示されます。 description string 管理者用の共有ライブラリーの説明 filesetRef 最上位の fileset エレメント (コンマ区切りのストリング) の参照のリスト。 参照されるファイル・セットの ID id string 固有の構成 ID。 name string 管理者用の共有ライブラリーの名前 - library > file
説明: 参照されるファイルの ID必須: falseデータ型: 属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 name ファイルのパス 完全修飾ファイル名
- library > fileset
説明: 参照されるファイル・セットの ID必須: falseデータ型: 属性名 データ型 デフォルト値 説明 caseSensitive boolean true 検索で大/小文字を区別するかどうかを指示するブール値 (デフォルト: true)。 dir ディレクトリーのパス ${server.config.dir} ファイルを検索するベース・ディレクトリー。 excludes string 検索結果から除外するファイル名パターンのコンマ区切りリストまたはスペース区切りリスト。デフォルトでは、除外されるファイルがありません。 id string 固有の構成 ID。 includes string * 検索結果に組み込むファイル名パターンのコンマ区切りリストまたはスペース区切りリスト (デフォルト: *)。 scanInterval 期間 (精度: ミリ秒) 0 long と時間単位のサフィックス (h - 時間、m - 分、s - 秒、ms - ミリ秒 (例: 2ms、5s)) で表した、ファイル・セットの変更をチェックするスキャン間隔。 デフォルトでは使用不可です (scanInterval=0)。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
- ltpa
- Lightweight Third Party Authentication (LTPA) トークン構成。
属性名 データ型 デフォルト値 説明 expiration 期間 (精度: 分) 120m トークンの有効期限が切れるまでの時間 (分)。. 正整数の後に時間単位 (時間 (h)、または分 (m)) を付けて指定してください。 例えば、30 分は 30m と指定します。 単一エントリーに複数の値を含めることができます。 例えば、90 分の場合、1h30m とすることができます。 keysFileName ファイルのパス ${server.output.dir}/resources/security/ltpa.keys トークン鍵を含むファイルのパス。 keysPassword リバース・エンコードされたパスワード (ストリング) {xor}CDo9Hgw= トークン鍵のパスワード。 値は、平文形式またはエンコード形式で保管することができます。 パスワードをエンコードするようにお勧めします。エンコードするためには、securityUtility ツールでエンコード・オプションを指定します。 monitorInterval 期間 (精度: ミリ秒) 0ms LTPA トークン鍵ファイルに対する更新があるかどうかをサーバーが検査するレート。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。 - openidConnectClient
- OpenID Connect クライアント。
属性名 データ型 デフォルト値 説明 authFilterRef 最上位の authFilter エレメント (ストリング) の参照。 認証フィルター参照を指定します。 authorizationEndpointUrl string 許可エンドポイント URL を指定します。 clientId string クライアントの ID。 clientSecret リバース・エンコードされたパスワード (ストリング) クライアントの秘密鍵。 hostNameVerificationEnabled boolean false ホスト名の検証を有効にするかどうかを指定します。 httpsRequired boolean true OpenID リライング・パーティーとプロバイダー・サービスの間には SSL 通信が必要です。 id string 固有の構成 ID。 includeIdTokenInSubject boolean true クライアント・サブジェクトに ID トークンを含めるかどうかを指定します。 initialStateCacheCapacity int 最小: 0
3000 状態キャッシュの最初の容量を指定します。容量は必要に応じて自動的に大きくなります。 issuerIdentifier string 発行者 ID は、スキーム、ホスト、およびオプションのポート番号とパスのコンポーネントを含む、HTTPS スキームを使用した大/小文字の区別がある URL です。 mapIdentityToRegistryUser boolean false ID をレジストリー・ユーザーにマップするかどうかを指定します。 ユーザー・サブジェクトを作成するためにユーザー・レジストリーは使用されません。 nonceEnabled boolean false 許可コード・フロー内で nonce パラメーターを有効にします。 redirectToRPHostAndPort string リダイレクト OpenID リライング・パーティーのホストとポート番号を指定します scope tokenType openid profile プロバイダーに許可されている (OpenID Connect 仕様で詳述されている) OpenID Connect 有効範囲。 signatureAlgorithm - HS256
- none
- RS256
HS256 ID トークンの署名を検証するために使用される署名アルゴリズムを指定します。 - HS256
- %tokenSignAlgorithm.HS256
- none
- %tokenSignAlgorithm.NONE
- RS256
- %tokenSignAlgorithm.RS256
sslRef string OpenID Connect プロバイダーに接続するために使用される SSL 構成の ID を指定します。 tokenEndpointUrl string トークン・エンドポイント URL を指定します。 trustAliasName string 非対称アルゴリズムを使用して署名妥当性検査を行うための公開鍵を見つける際に使用される鍵別名。 trustStoreRef string ID トークンの署名を検証するために必要な公開鍵が含まれている鍵ストア。 userIdentityToCreateSubject string sub ユーザー・サブジェクトの作成に使用されるユーザー ID を ID トークンに指定します。 - openidConnectClient > authFilter
説明: 認証フィルター参照を指定します。必須: falseデータ型: - openidConnectClient > authFilter > host
説明: 固有の構成 ID。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 matchType - equals
- contains
- notContain
contains マッチング・タイプを指定します。 - equals
- 等しい
- contains
- 含む
- notContain
- 含まない
name string 名前を指定します。
- openidConnectClient > authFilter > remoteAddress
説明: 固有の構成 ID。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 ip string IP アドレスを指定します。 matchType - lessThan
- equals
- greaterThan
- contains
- notContain
contains マッチング・タイプを指定します。 - lessThan
- より小
- equals
- 等しい
- greaterThan
- より大
- contains
- 含む
- notContain
- 含まない
- openidConnectClient > authFilter > requestUrl
説明: 固有の構成 ID。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 matchType - equals
- contains
- notContain
contains マッチング・タイプを指定します。 - equals
- 等しい
- contains
- 含む
- notContain
- 含まない
urlPattern string URL パターンを指定します。
- quickStartSecurity
- 単純な管理セキュリティー構成。
属性名 データ型 デフォルト値 説明 userName string クイック・スタートのセキュリティー構成の一部として定義されている単一ユーザー。このユーザーは、管理者ロールを付与されます。 userPassword リバース・エンコードされたパスワード (ストリング) クイック・スタートのセキュリティー構成の一部として定義されている単一ユーザーのパスワード。このパスワードはエンコードするようにお勧めします。 エンコードするためには、securityUtility ツールでエンコード・オプションを指定します。 - trustAssociation
- トラスト・アソシエーション・インターセプター (TAI) の操作を制御します。
属性名 データ型 デフォルト値 説明 failOverToAppAuthType boolean false インターセプターがアプリケーション認証メカニズムにフォールバックすることを許可します。 id string 固有の構成 ID。 invokeForUnprotectedURI boolean false 無保護 URI に TAI を起動するかどうかを制御します。 - trustAssociation > interceptors
説明: 固有の構成 ID。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 className string インターセプター・クラスの完全修飾パッケージ名。 enabled boolean true インターセプターを使用可能または使用不可にします。 id string 固有の構成 ID。 invokeAfterSSO boolean true シングル・サインオン (SSO) の後にインターセプターを起動します。 invokeBeforeSSO boolean false シングル・サインオン (SSO) の前にインターセプターを起動します。 libraryRef 最上位の library エレメント (ストリング) の参照。 共有ライブラリー構成の ID の参照。 - trustAssociation > interceptors > library
説明: 共有ライブラリー構成の ID の参照。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 apiTypeVisibility string spec,ibm-api,api このライブラリーのクラス・ローダーから参照可能になる API パッケージのタイプ。spec、ibm-api、api、third-party を任意に組み合わせたコンマ区切りリストで示されます。 description string 管理者用の共有ライブラリーの説明 filesetRef 最上位の fileset エレメント (コンマ区切りのストリング) の参照のリスト。 参照されるファイル・セットの ID name string 管理者用の共有ライブラリーの名前 - trustAssociation > interceptors > library > file
説明: 参照されるファイルの ID必須: falseデータ型: 属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 name ファイルのパス 完全修飾ファイル名
- trustAssociation > interceptors > library > fileset
説明: 参照されるファイル・セットの ID必須: falseデータ型: 属性名 データ型 デフォルト値 説明 caseSensitive boolean true 検索で大/小文字を区別するかどうかを指示するブール値 (デフォルト: true)。 dir ディレクトリーのパス ${server.config.dir} ファイルを検索するベース・ディレクトリー。 excludes string 検索結果から除外するファイル名パターンのコンマ区切りリストまたはスペース区切りリスト。デフォルトでは、除外されるファイルがありません。 id string 固有の構成 ID。 includes string * 検索結果に組み込むファイル名パターンのコンマ区切りリストまたはスペース区切りリスト (デフォルト: *)。 scanInterval 期間 (精度: ミリ秒) 0 long と時間単位のサフィックス (h - 時間、m - 分、s - 秒、ms - ミリ秒 (例: 2ms、5s)) で表した、ファイル・セットの変更をチェックするスキャン間隔。 デフォルトでは使用不可です (scanInterval=0)。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。