validate-usernametoken
Validate Username Token ポリシーは、保護リソースへのアクセスを許可する前に、SOAP ペイロード内の Web サービス・セキュリティー (WS-Security) UsernameToken を検証するために使用します。
validate-usernametoken ポリシーの形式は次のとおりです。
- validate-usernametoken:
title: title
description: description
auth-type: Authentication URL_or_LDAP Registry
auth-url: authentication_url_to_use
tls-profile: tls_profile_to_use
ldap-registry: name_of_the_ldap_user_registry
ldap-search-attribute: name_of_the_ldap_user_password_attribute
以下の表に、このポリシーのプロパティーを示します。
プロパティー・ラベル | プロパティー名 | 必須 | 説明 | データ型 |
---|---|---|---|---|
タイトル | title | はい | ポリシーのタイトル。 デフォルト値は、validate-usernametoken です。 |
ストリング |
説明 | description | いいえ | ポリシーの説明。 | ストリング |
認証タイプ | auth-type | はい | UsernameToken の検証に使用する認証タイプ。 有効は値は以下のとおりです。
|
ストリング |
認証 URL | auth-url | はい | UsernameToken ユーザー資格情報の検証の対照として使用する認証 URL。 注: このプロパティーが必要となるのは、「認証タイプ」が Authentication URL に設定されている場合のみです。
|
ストリング |
TLS プロファイル (TLS profile) | tls-profile | いいえ | 認証 URL へのデータ伝送をセキュアにするために使用する TLS プロファイル。 注: このプロパティーが使用できるのは、「認証タイプ」が Authentication URL と設定されている場合のみです。
|
ストリング |
LDAP レジストリー名 | ldap-registry | はい | UsernameToken ユーザー資格情報の検証の対照である LDAP ユーザー・レジストリーの名前。ドロップダウン・リストから名前を選択することも、手動で名前を入力することもできます。 注: このプロパティーが必要となるのは、「認証タイプ」が LDAP registry に設定されている場合のみです。
|
ストリング |
LDAP 検索属性1 | ldap-search-attribute | はい | LDAP ユーザー・パスワード属性の名前。 注: このプロパティーが必要となるのは、「認証タイプ」が LDAP registry に設定されている場合のみです。
|
ストリング |
例
以下の例は、LDAP ユーザー・レジストリー認証を示しています。
- validate-usernametoken:
title: "validate-usernametoken"
auth-type: "LDAP Registry"
ldap-registry: "wstest"
ldap-search-attribute: "userPassword"
以下の例は、認証 URL 定義を示しています。
- validate-usernametoken:
title: "validate-usernametoken"
auth-type: "Authentication URL"
auth-url: "https://www.google.com"
tls-profile: "default-ssl-profile"
validate-usernametoken セキュリティー・ポリシーの使用方法について詳しくは、『組み込みポリシー』セクションの Validate Username Token (validate-usernametoken) を参照してください。
1 LDAP と passwordText で認証する際、ポリシーはユーザー名およびパスワードを LDAP バインド資格情報として使用します。しかし、LDAP と passwordDigest で認証する際、そのダイジェスト自体は認証に使用できません。
代わりに、ユーザー名の LDAP 検索は管理者の識別名 (DN) およびパスワードを使用することで実行され、ldap-search-attribute のコンテンツに対応する属性が取得されます。そして、(WS-Security UsernameToken プロファイル仕様内のように Nonce 属性および Created 属性と共に) この属性のコンテンツのハッシュは、passwordDigest と比較されます。