プロジェクトでの HTTP バインディングコンポーネントの使用

クライアント設定 — Web サービス属性

WS Policy Attachment エディタに公開されるクライアント設定 Web サービス属性は、プロジェクトおよびサーバー設定によって決まります。

図は、本文中で説明されているとおり、「サーバー設定」の WS Policy Attachment エディタを示しています。

HTTP バインディングコンポーネントで公開される属性について、次の表で説明します。

属性 

説明 

値 

トランスポート設定

最適なエンコーディングを自動的に選択する (XML/Fast Infoset) 

XML を使用するか Fast Infoset エンコーディングを使用するかを指定します。 

Fast Infoset は、XML に代わる、より効率のよいバイナリエンコーディングです。サービスが Fast Infoset を許可するように設定されている場合、このオプションを選択して Fast Infoset を使用すると、同等の XML ドキュメントと比較して、より高速な解析、より高速な直列化、およびより小さいサイズのドキュメント作成が可能になります。 

チェックボックスが選択されている場合、有効になっていることを示します。 

最適なトランスポートを自動的に選択する (XML/Fast Infoset) 

サービスが TCP をサポートしているかどうかをクライアントランタイムで確認するかどうかを指定します。サービスが TCP をサポートしている場合、クライアントはサービスとクライアントの通信に自動的に TCP トランスポートを使用します。  

TCP を使用すると、小さいメッセージの送信時により高いパフォーマンスが得られます。パフォーマンスの向上は主に小さいメッセージで現れます。これは、HTTP プロトコルでメッセージを送信するオーバーヘッドが除去されるからです。サービスが TCP をサポートしていない場合や、クライアントに対してこのオプションが選択されていない場合は、HTTP がトランスポートとして使用されます。 

チェックボックスが選択されている場合、有効になっていることを示します。 

セキュリティー設定

開発用のデフォルトを使用する 

ただちに開発に使用できるように GlassFish のキーストアとトラストストアに証明書をインポートするかどうかを指定します。セキュリティー機構では、v3 証明書を使用する必要があります。デフォルトの GlassFish のキーストアとトラストストアには、この時点で v3 証明書は含まれていません。GlassFish でメッセージセキュリティー機構を使用するには、v3 証明書の入ったキーストアファイルとトラストストアファイルを入手し、適切な証明書をデフォルトの GlassFish ストアにインポートする必要があります。  

証明書のインポートに加え、このオプションを選択すると、「wsitUser」というユーザー名のデフォルトユーザーが file レルムに作成されます。  

本稼働環境にはユーザー独自の証明書とユーザー設定を指定してください。 

チェックボックスが選択されている場合、有効になっていることを示します。 

キーストア 

「キーストア」ボタンをクリックすると、キーストア設定エディタが開きます。 

このエディタでは、次の情報を指定します。

  • 場所: クライアントを認証するための証明書キーが格納されているディレクトリとファイル名を指定します。場所と名前を指定するには、参照ボタンを使用します。

  • キーストアパスワード: クライアントで使用されるキーストアのパスワードを指定します。デフォルトの GlassFish パスワードは changeit です。

  • 別名: 認証に使用する指定されたキーストア内の証明書の別名を指定します。

  • 別名の読み込み: このボタンをクリックすると、選択したキーストアで使用可能なすべての証明書が「別名」リストに入力されます。このオプションは、キーストアの場所とパスワードが正しい場合にのみ機能します。

  • キーパスワード: キーストア内のキーのパスワードを指定します。デフォルトでは、キーパスワードにはストアのパスワードが使用されます。キーパスワードが異なっている場合のみ、このフィールドにパスワードを指定してください。

  • 別名セレクタクラス: 別名のセレクタクラスを指定します。

キーストア設定エディタからキーストアを設定します。

トラストストア 

「トラストストア」ボタンをクリックすると、トラストストア設定エディタが開きます。 

このエディタでは、次の情報を指定します。

  • 場所: サーバーの証明書キーが格納されているクライアントトラストストアのディレクトリとファイル名を指定します。場所とファイル名を選択するには、参照ボタンを使用します。

  • トラストストアパスワード: クライアントで使用されるトラストストアのパスワードを指定します。GlassFish の下で実行している場合、GlassFish のパスワードは changeit です。

  • 別名: クライアントが暗号化したデータを送信する必要があるときに使用する、トラストストア内の証明書のピア別名を指定します。

  • 別名の読み込み: 「別名の読み込み」ボタンをクリックすると、トラストストアファイルに格納されている別名が「別名」フィールドに入力されます。このオプションが機能するためには、「場所」フィールドと「トラストストアパスワード」フィールドに正しく入力する必要があります。

  • 証明書セレクタ: 0 個以上の証明書の識別情報を指定する文字列を指定します。指定子は X.509 命名規則に準拠することができます。証明書セレクタでは、各種のショートカットを使用して、被認証者の代替名、ファイル名、または発行者と照合することもできます。

トラストストア設定エディタからトラストストアを設定します。

認証資格 

認証資格が動的か静的かを指定します。「認証資格」の前にある関連する 2 つのプロパティーフィールドは、「認証資格」プロパティーの値によって変化します。 

  • 動的

  • 静的: この設定の場合、デフォルトのユーザー名とパスワードを指定してください。

注: 「静的」オプションでは、WSIT のクライアント側設定にプレーンテキスト文字列として格納されたパスワードが、公開されるリスクがあります。ただし、GlassFish のコンテキストで使用する場合、「静的」オプションは組み込み Web サービスクライアント (Web サービスクライアントとして機能するサーブレットや EJB など) に特に役立ちます。この場合のパスワードは、パスワード文字列を「$」文字で始めることにより、プレースホルダとして指定できます。次に、WSIT セキュリティーランタイムは SecretKeyCallback を作成し、パスワードのプレースホルダ (「$」文字を除いたもの) を渡します。SecretKeyCallback の結果として実際のパスワードが取得されます。  

詳細については、WSIT Security Configuration Demystified を参照してください。

動的 

ユーザー名コールバックハンドラまたはユーザー名

ユーザー名コールバックハンドラを指定します (「認証資格」の値が「動的」に設定されている場合)。 

CallbackHandler は javax.security.auth.callback を実装するクラスです。ユーザー名コールバックハンドラ (javax.security.auth.callback.NameCallback) の場合、NameCallback を使用してユーザー名が取得されます。これは、セキュリティー機構でクライアントがユーザー名とパスワードを指定するよう要求されている場合に必要です。CallbackHandler の呼び出しは、単純な J2SE Web サービスクライアントだけに適用されます。  

詳細については、WSIT Security Configuration Demystified を参照してください。

ユーザー名コールバックハンドラ

承認済みユーザーの名前を指定します (「認証資格」の値が「静的」に設定されている場合)。 

このオプションは開発環境での使用にのみ適しています。「デフォルトユーザー」と「デフォルトパスワード」を指定すると、ユーザー名とパスワードは wsit-client.xml ファイルに平文で保存され、それによってセキュリティーリスクが発生します。本稼働環境にはこのオプションを使用しないでください。 

ユーザー名

パスワードコールバックハンドラまたはパスワード

ユーザー名コールバックハンドラを指定します (「認証資格」の値が「動的」に設定されている場合)。 

パスワードコールバックハンドラ (javax.security.auth.callback.PasswordCallback) の場合、PasswordCallback を使用してパスワードが取得されます。これは、セキュリティー機構でクライアントがユーザー名とパスワードを指定するよう要求されている場合に必要です。CallbackHandler の呼び出しは、単純な J2SE Web サービスクライアントだけに適用されます。  

詳細については、WSIT Security Configuration Demystified を参照してください。

パスワードコールバックハンドラ

承認済みユーザーのパスワードを指定します (「認証資格」の値が「静的」に設定されている場合)。 

このオプションは開発環境での使用にのみ適しています。「デフォルトユーザー」と「デフォルトパスワード」を指定すると、ユーザー名とパスワードは wsit-client.xml ファイルに平文で保存され、それによってセキュリティーリスクが発生します。本稼働環境にはこのオプションを使用しないでください。 

パスワード

SAML コールバックハンドラ 

SAML コールバックハンドラを指定します。デフォルトの SAML コールバックハンドラはないので、SAML コールバックハンドラを使用するにはそれを作成する必要があります。 

CallbackHandler は javax.security.auth.callback を実装するクラスです。SAML コールバックハンドラ (com.sun.xml.wss.impl.callback.SAMLCallback) は、セキュリティー機構でクライアントが SAML 表明 (Sender-Vouches や Holder-of-Key など) を指定するよう要求されている場合に必要です。 

詳細については、WSIT Security Configuration Demystified を参照してください。

SAML コールバックハンドラ

詳細設定

RM 再送信間隔 (ミリ秒) 

送信側が受信側に未確認のメッセージを再送信する時間間隔を、ミリ秒単位で指定します。デフォルトでは、再送信は 2000 ミリ秒ごとに行われます。 

2000 

RM クローズタイムアウト (ミリ秒) 

クライアントが close() 呼び出しの戻りを待機する時間を、ミリ秒単位で指定します。この時間に達したあとで未確認のメッセージが受信され、close の呼び出しが戻っている場合は、失われたメッセージに関するエラーがログに記録されます。

RM Ack 要求間隔 (ミリ秒) 

送信側が受信側に Ack 要求を再度送信するまでに最小限待つべき推奨間隔を、ミリ秒単位で指定します。 

200 

セキュリティー保護されたセッションのトークンの寿命 (ミリ秒) 

セキュリティー保護されたセッションの期間 (セッションが期限切れになる間隔) を指定します。 

36000 

セキュリティー保護されたセッションの期限切れトークンを再生 

セキュリティー保護されたセッションの期限切れトークンを再生するかどうかを指定します。 

チェックボックスが選択されている場合、有効になっていることを示します。 

セキュリティー保護されたセッションの取り消しを必要とする 

セキュリティー保護されたセッションの取り消しを有効にするかどうかを指定します。 

チェックボックスが選択されている場合、有効になっていることを示します。 

最大クロックスキュー (ミリ秒) 

送信側と受信側のシステムクロックの間に許容される最大の差を、ミリ秒単位で指定します。 

300000 

タイムスタンプの新しさの制限 (ミリ秒) 

タイムスタンプの新しさの制限をミリ秒単位で指定します。受信側は、受信したタイムスタンプの作成時刻が「タイムスタンプの新しさの制限」の期間より古い場合、これらを拒否します。 

300000 

デフォルトの証明書失効機構を使用する 

このオプションが選択されている場合は、ベースとなる PKIX サービスプロバイダのデフォルトの失効検査機構が使用されます。 

チェックボックスが選択されている場合、有効になっていることを示します。