[V5.0.2 以降]DataPower Gateway のみvalidate-usernametoken

Validate Username Token ポリシーは、保護リソースへのアクセスを許可する前に、SOAP ペイロード内の Web サービス・セキュリティー (WS-Security) UsernameToken を検証するために使用します。

validate-usernametoken ポリシーの形式は次のとおりです。
- validate-usernametoken:
    title: title
    description: description
    auth-type: Authentication URL_or_LDAP Registry
    auth-url: authentication_url_to_use
    tls-profile: tls_profile_to_use
    ldap-registry: name_of_the_ldap_user_registry
    ldap-search-attribute: name_of_the_ldap_user_password_attribute

以下の表に、このポリシーのプロパティーを示します。

表 1. Validate Username Token ポリシーのプロパティー
プロパティー・ラベル プロパティー名 必須 説明 データ型
タイトル title はい ポリシーのタイトル。

デフォルト値は、validate-usernametoken です。

 ストリング
説明 description いいえ ポリシーの説明。 ストリング
認証タイプ auth-type はい UsernameToken の検証に使用する認証タイプ。
有効は値は以下のとおりです。
  • Authentication URL: ユーザー資格情報を認証 URL に照らして検証するには、この値を選択します。
  • LDAP registry: ユーザー資格情報を LDAP ユーザー・レジストリーに照らして検証するには、この値を選択します。
デフォルト値は、Authentication URL です。
 ストリング
認証 URL auth-url はい UsernameToken ユーザー資格情報の検証の対照として使用する認証 URL。
注: このプロパティーが必要となるのは、「認証タイプ」Authentication URL に設定されている場合のみです。
 ストリング
TLS プロファイル (TLS profile) tls-profile いいえ 認証 URL へのデータ伝送をセキュアにするために使用する TLS プロファイル。
注: このプロパティーが使用できるのは、「認証タイプ」Authentication URL と設定されている場合のみです。
 ストリング
LDAP レジストリー名 ldap-registry はい UsernameToken ユーザー資格情報の検証の対照である LDAP ユーザー・レジストリーの名前。ドロップダウン・リストから名前を選択することも、手動で名前を入力することもできます。
注: このプロパティーが必要となるのは、「認証タイプ」LDAP registry に設定されている場合のみです。
 ストリング
LDAP 検索属性1 ldap-search-attribute はい LDAP ユーザー・パスワード属性の名前。
注: このプロパティーが必要となるのは、「認証タイプ」LDAP registry に設定されている場合のみです。
 ストリング

以下の例は、LDAP ユーザー・レジストリー認証を示しています。 
- validate-usernametoken:
    title: "validate-usernametoken"
    auth-type: "LDAP Registry"
    ldap-registry: "wstest"
    ldap-search-attribute: "userPassword"
以下の例は、認証 URL 定義を示しています。 
- validate-usernametoken:
    title: "validate-usernametoken"
    auth-type: "Authentication URL"
    auth-url: "https://www.google.com"
    tls-profile: "default-ssl-profile"

validate-usernametoken セキュリティー・ポリシーの使用方法について詳しくは、『組み込みポリシー』セクションの Validate Username Token (validate-usernametoken) を参照してください。

1 LDAP と passwordText で認証する際、ポリシーはユーザー名およびパスワードを LDAP バインド資格情報として使用します。しかし、LDAP と passwordDigest で認証する際、そのダイジェスト自体は認証に使用できません。 代わりに、ユーザー名の LDAP 検索は管理者の識別名 (DN) およびパスワードを使用することで実行され、ldap-search-attribute のコンテンツに対応する属性が取得されます。そして、(WS-Security UsernameToken プロファイル仕様内のように Nonce 属性および Created 属性と共に) この属性のコンテンツのハッシュは、passwordDigest と比較されます。
タイム・スタンプ・アイコン 最終更新: 2017 年 10 月 31 日