セキュリティー・カスタム・プロパティー

このプロパティーは、 IBM がセキュリティー監査機能用に提供する SMF エミッター・インプリメンテーションにのみ適用されます。 このプロパティーを使用して、可変長監査データが切り捨てられる長さをバイト単位で指定できます。 このカスタム・プロパティーが指定されていない場合、しきい値制限の 20480 を超えると、デフォルトで可変長監査データ・フィールドは 128 バイトに切り捨てられます。

SMF 再配置データには、20480 バイトのサイズ制限のしきい値があります。 監査データがこの制限を超えた場合、監査データは、監査レコードの損失を防ぐために切り捨てられます。

デフォルト値は 20480です。

タイプは、 1 と 512の間の整数です。

このプロパティーを使用して、各イベント・タイプで監査データが記録される量を 指定します。 イベントに関する基本的な情報 (誰がどのリソースに対してどんな操作をいつ行ったかというような情報) の記録のみが必要な場合、このプロパティーを high に設定すると、アプリケーション・サーバーのパフォーマンスが向上する可能性があります。

このプロパティーには、 high、 medium、または low の値を指定できます。 デフォルト値は lowです。

このプロパティーは、 SECURITY_FORM_LOGIN セキュリティー監査イベントを有効にします。 この監査イベントに含める結果を value パラメーターに指定します。

バージョン 9.0.5.8 以降では、 com.ibm.audit.terse.form.login プロパティーによって SECURITY_FORM_LOGIN、 SECURITY_KERBEROS_LOGIN、および SECURITY_SPNEGO_LOGIN の監査イベントが有効になります。 これらの監査イベントに含める結果を value パラメーターで指定します。 このプロパティーを audit.xml ファイルに追加すると、 Kerberos または SPNEGO が構成されている環境への Web ログインで生成される監査データの量が最小になります。

このプロパティーは、 audit.xml ファイルで手動で指定する必要があり、管理コンソールまたはスクリプトを使用して構成することはできません。 詳しくは、 Terse 監査レコードのカスタム・プロパティーを参照してください。

デフォルト値は Noneです。

タイプは、有効な結果のスペース区切りリストです。

このプロパティーは、 SECURITY_FORM_LOGOUT セキュリティー監査イベントを有効にします。 この監査イベントに含める結果を value パラメーターに指定します。

バージョン 9.0.5.8 以降では、 com.ibm.audit.terse.form.logout プロパティーによって SECURITY_FORM_LOGOUT、 SECURITY_KERBEROS_LOGOUT、および SECURITY_SPNEGO_LOGOUT の監査イベントが有効になります。 これらの監査イベントに含める結果を value パラメーターで指定します。 このプロパティーを audit.xml ファイルに追加すると、 Kerberos または SPNEGO が構成されている環境からの Web ログアウトにより、最小限の量の監査データが生成されます。

このプロパティーは、 audit.xml ファイルで手動で指定する必要があり、管理コンソールまたはスクリプトを使用して構成することはできません。 詳しくは、 Terse 監査レコードのカスタム・プロパティーを参照してください。

デフォルト値は Noneです。

タイプは、有効な結果のスペース区切りリストです。

このプロパティーが trueに設定されている場合、ログインおよびログアウトされるアプリケーションの名前が簡潔な監査レコードに含まれます。 有効値はtrueまたはfalseです。 デフォルトでは、アプリケーション名は簡潔監査レコードに含まれません。

このプロパティーは、 audit.xml ファイルで手動で指定する必要があり、管理コンソールまたはスクリプトを使用して構成することはできません。 詳しくは、 Terse 監査レコードのカスタム・プロパティーを参照してください。

デフォルト値は falseです。

タイプは Booleanです。

このプロパティーは、サーバーをカスタマイズして Java セキュリティー・プロパティーを無効にするために使用されます。

WebSphere Application Server は、Java セキュリティー・プロパティー jdk.certpath.disabledAlgorithms を設定して、証明書パスの検証に使用できるアルゴリズムを使用不可にします。

このカスタム・プロパティーが com.ibm.websphere.certpath.disabledAlgorithms を設定しないように指示するには、値を none に設定します。

jdk.certpath.disabledAlgoriths に特定のアルゴリズムのセットを設定するには、セキュリティー・カスタム・プロパティー com.ibm.websphere.certpath.disabledAlgorithms にアルゴリズムのコンマ区切りリストを設定します。

デフォルト値は MD2, RSA keySize < 1024, MD5です。

デフォルト値は MD2, MD5, SHA1 jdkCA & usage TLSServer, RSA keySize < 1024, DSA keySize < 1024, EC keySize < 224です。

このプロパティーは、呼び出し元のリストを使用不可にし、呼び出し元リストの変更を許可しません。 このプロパティーによって、複数のセッションの作成ができなくなります。

デフォルト値は falseです。

このプロパティーは、呼び出し元リストを、最初の呼び出し元のみに限定します。 これは、呼び出し元リストを変更できないことを意味します。 このプロパティーを true に 設定すると、複数のセッション・エントリーが作成される可能性がなくなります。

このプロパティーは、セキュリティー属性の伝搬が使用可能な場合に、 スレッド上にある伝搬トークン内の最初の呼び出し元をログに記録します。 このプロパティーを設定しない場合、すべての呼び出し元のスイッチがログに記録され、パフォーマンスに影響を与えます。 通常、最初の呼び出し元のみが対象となります。

デフォルト値は trueです。

com.ibm.CSI.propagateFirstCallerOnly セキュリティー・カスタム・プロパティーのデフォルト値は true に設定されます。 このカスタム・プロパティーが true に設定されているときには、セキュリティー属性の伝搬が使用可能な場合に、スレッド上にある伝搬トークン内の最初の呼び出し元がログに記録されます。 このプロパティーが false に設定されている場合は、呼び出し元切り替えのすべてがログに記録され、パフォーマンスに影響を与える可能性があります。

このプロパティーは、インバウンドで受信されるリモート・メソッド呼び出し (RMI) 要求に使用される Java 認証・承認サービス (JAAS) ログイン構成を指定します。

ログイン構成が分かると、RMI ログインの特定の事例を処理するカスタム・ログイン・モジュールをプラグインできるようになります。

デフォルト値は system.RMI_INBOUNDです。

このプロパティーは、アプリケーション固有のプリンシパル・マッピングを実行するために使用する、 システムの JAAS ログイン構成を定義します。

デフォルト値は Noneです。

このプロパティーは、true に設定された場合、 アプリケーション固有のプリンシパル・マッピング機能を使用可能にします。

デフォルト値は falseです。

このプロパティーでは、アウトバウンド送信された RMI 要求に使用される JAAS ログイン構成を指定します。

このプロパティーは、主に、サブジェクト内の伝搬された属性がターゲット・サーバーに送信されるように準備します。 ただし、アウトバウンドのマッピングを実行するために、 カスタム・ログイン・モジュールをプラグインすることができます。

デフォルト値は system.RMI_OUTBOUNDです。

このプロパティーは、true に設定された場合、 WSSubjectWrapper オブジェクトに組み込まれた元の呼び出し元サブジェクトを復元できるようにします。

デフォルト値は falseです。

このプロパティーは、現在のレルムで認証されたクレデンシャルを「Trusted target realms」フィールドで指定されたレルムに送信できるようにします。 「Trusted target realms」フィールドは、「CSIv2 outbound authentication」パネルで使用可能です。 このプロパティーは、これらのレルムが現在のレルムからのデータのインバウンド・マッピングを実行できるようにします。

CosNamingRead ロールですべてのネーミング読み取り操作を保護したい場合は、このプロパティーを true に設定できます。 このプロパティーを true に設定することは、CosNamingRead ロールを特別な対象の Everyone に割り当てることと同じです。 このプロパティーが設定されている場合、 CosNamingRead ロールへの割り当てはすべて無視されます。

デフォルトは None です。

System Authorization Facility (SAF) 代行を SAF 許可と独立して使用できるかどうかを決定します。 このプロパティーに true が設定された場合、 ユーザー・レジストリーが統合リポジトリー・ユーザー・レジストリーであって、 SAF ユーザー・レジストリー・ブリッジで構成されている場合は常に、SAF 代行を使用することができます。

このプロパティーにはデフォルト値がありません。

このプロパティーを使用して、APPL プロファイル、特に、サーバーの始動中に実行される 2 つの RACROUTE 呼び出しの値をオーバーライドすることができます。 これらの呼び出しの許可検査プロセスで APPL 値は使用されませんが、インストール・システム出口ルーチンで使用可能にすることはできます。 許可検査に使用する APPL プロファイル値は、このプロパティーによって制御されず、代わりに CBS390 または SAF プロファイル・プレフィックスの値のいずれかに設定されます。

デフォルトは None です。

このカスタム・プロパティーは、 WebSphere Application Serverへのアクセスを制限するために APPL プロファイルを使用するかどうかを指定します。

SAF プロファイル・プレフィックスが定義されている場合は、使用している APPL プロファイルがプロファイル・プレフィックスになります。 それ以外の場合、APPL プロファイル名は CBS390 です。 WebSphere サービスを使用するすべての z/OS ID に、APPL プロファイルの読み取り権限が必要です。 これには、すべての WebSphere Application Server ID、 WebSphere Application Server 非認証 ID、 WebSphere Application Server 管理 ID、役割とユーザーのマッピングに基づくユーザー ID、およびシステム・ユーザーのすべてのユーザー ID が含まれます。 APPL クラスが z/OS システム上でアクティブな状態でない場合、その値に関係なく、このプロパティーによる影響はありません。

デフォルト値は trueです。

連邦情報処理標準 (FIPS) アルゴリズムを使用することを指定します。 アプリケーション・サーバーは、IBMJCE 暗号プロバイダーではなく IBMJCEFIPS 暗号プロバイダーを使用します。

デフォルト値は falseです。

この監査プロパティーは、監査モニター用に通知 E メールの 送信元アドレス をカスタマイズするために使用されます。

このプロパティーに割り当てる値は、Notification@abc-company.com などの インターネット・アドレスでなければなりません。 このプロパティーが設定されていない場合、アプリケーション・サーバーは E メールの fromAddress に WebSphereNotification@ibm.com を使用します。

デフォルト値は WebSphereNotification@ibm.comです。

このセキュリティー・プロパティーは、証明書の有効期限の通知 E メールの 件名 をカスタマイズするために使用されます。

このプロパティーに割り当てる値は、 North America Certification Monitor Notificationなどのカスタム E メールの件名行です。 特に複数のセルまたは管理有効範囲がある環境では、詳細を向上させるために、選択した E メールの件名の値に _addManagementScope を追加することができます。 例えば、E メールの件名行を North America Certification Monitor Notification_addManagementScope と設定して、追加の管理有効範囲情報を使用することができます。

_addManagementScope は、このプロパティーで使用される唯一の接尾部です。 この接尾部は単なるラベルではなく機能し、E メールの件名にセルとノードの情報を追加します。 例えば、 North America Certification Monitor Notification_addManagementScopeと設定した場合、E メールの件名行は North America Certification Monitor Notification-cells: IBM-PF3SQ87FCell01 node:IBM-PF3SQ87FNode01のようになります。 この組み込みにより、より高いレベルの詳細が提供されます。これは、通知内のさまざまな管理有効範囲を区別するために特に役立ちます。

デプロイメント・マネージャーでは、 _addManagementScope 接尾部には、件名行にセルとノードの両方の情報が含まれます。

単一サーバーでは、 _addManagementScope サフィックスにはノード情報のみが含まれます。

このプロパティーのデフォルト値は、 _addManagementScope サフィックスの有無にかかわらず、 カスタム E メールの件名に置き換えることを意図したプレースホルダーです。

このセキュリティー・プロパティーは、証明書有効期限通知 E メールの「From (差出人) アドレス」をカスタマイズする場合に使用します。

このプロパティーに割り当てる値は、Notification@abc-company.com などの インターネット・アドレスでなければなりません。 このプロパティーが設定されていない場合、アプリケーション・サーバーは E メールの fromAddress に WebSphereNotification@ibm.com を使用します。

デフォルト値は Noneです。

このセキュリティー・プロパティーは、証明書有効期限通知 E メールのテキスト・エンコード文字セットをカスタマイズする場合に使用します。

WebSphere Application Server は、証明書の有効期限に関する通知 E メールを米国英語またはマシンのデフォルト文字セット (英語以外のロケールが指定されている場合) で送信します。 証明書有効期限通知 E メールに別のテキスト・エンコード文字セットを設定する場合は、このプロパティーを使用してテキスト・エンコード文字セットをカスタマイズできます。

デフォルト値は Noneです。

レルム・レジストリー検索がリモート・サーバー上の MBean を使用して実行され、レルムがローカル OS セキュリティーである場合、このプロパティーを設定できます。

デフォルトでは、ユーザー・レジストリー・タスクの listRegistryUsers および listRegistryGroups が現行プロセスから検索を行います。 Network Deployment (ND) の場合は、デプロイメント・マネージャーが行います。

ローカル OS ユーザー・レジストリーを処理する場合は、レジストリーがある実際のサーバーで検索を行う必要があります。 ND 環境 の場合は、サーバーはリモート・マシンである可能性があります。 レジストリーがあるサーバーのプロセスで 検索を実行するには、com.ibm.websphere.lookupRegistryOnProcess カスタム・プロパティー を true に設定します。

com.ibm.websphere.lookupRegistryOnProcess を設定していない、または false に設定している場合は、現行のプロセスで検索が行われます。 このカスタム・プロパティーは、グローバル・セキュリティーの場合は setAdminActiveSecuritySettings タスク、セキュリティー・ドメインの場合は setAppActiveSecuritySettings タスクを使用して設定することができます。

このプロパティーは、パーティション属性を LTPA Cookie および TAI Cookie に追加するために使用します。 Cookie および OAuth プロバイダーを書き込むトラスト・アソシエーション・インターセプター (TAI) は、このセキュリティー・プロパティーの値を受け入れます。 TAI には、 OpenID Connect (OIDC)、 OpenID、および SAML Web SSO が含まれます。

このプロパティーの true 値は、Cookie の SameSite 属性が Noneに設定されている場合に、Partitioned 属性が Cookie に追加されることを指定します。

このプロパティーはブラウザーに依存します。 詳しくは、 サポートされるブラウザーのリストを参照してください。

このプロパティーを使用して、Lightweight Third Party Authentication (LTPA) Cookie と関連付けられたシングル・サインオン (SSO) の SameSite 属性値を指定します。 Cookie を書き込むトラスト・アソシエーション・インターセプター (TAI)、および OAuth プロバイダーは、このコア・セキュリティー・プロパティーの値を受け入れます。 TAI には、 OpenID Connect (OIDC)、 OpenID、および SAML Web SSO が含まれます。

ヒント: Cookie がクロスサイト要求で共有される場合、 com.ibm.websphere.security.addPartitionedAttributeToCookie カスタム・プロパティーを trueに設定する必要が生じることがあります。

このカスタム・プロパティーが使用可能になっている場合、サーバーによって生成されるすべての証明書に、デフォルトの Subject Alternate Names (SAN) エレメントが自動的に組み込まれます。

このカスタム・プロパティーでは、コミットされた HTTP 応答が許可されるかどうかを指定します。

アプリケーション・サーバーは、コミットされた HTTP 応答を検出すると、 403 の汎用エラー・メッセージを表示します。 このプロパティーを true に設定すると、コミットされた HTTP 応答を許可して 403 のエラー・メッセージを抑止します。 カスタム・ログイン・モジュールを使用する構成で、モジュールは HTTP 応答をコミットしてカスタム・エラー・メッセージを表示することができます。

デフォルト値は falseです。

アプリケーション・フォームを使用してログインおよびログアウトを行っている場合は、カスタム・ログアウト・ページの URL を指定することができます。 デフォルトでは、この URL は要求の実行対象のホスト、またはそのドメインを指している必要があります。 それ以外の場合は、カスタム・ログアウト・ページではなく、汎用ログアウト・ページが表示されます。 任意のホストを指せるようにする場合は、security.xml ファイル内のこのプロパティーの値を true に設定する必要があります。

このプロパティーを使用して、カスタム・フォーム・ログイン処理プログラムの使用時に、値が WASReqURL の Cookie を受け入れるかどうかを指示します。

このプロパティーを true に設定すると、WASReqURL という値が現在の URL よりも優先され、WASReqURL Cookie が後続の要求から削除されます。

このプロパティーを false に設定すると、現在の URL の値が優先され、WASReqURL Cookie が後続の要求から削除されません。

このプロパティーは、監査レコードにホスト名情報を組み込むかどうかを指定します。 監査レコードにリモート・ホスト名情報が含まれている場合、DNS ルックアップが必要になります。 DNS ルックアップが低速の場合、サーバーが監査レコードを書き込むのに長時間かかる場合があります。 このプロパティーが false に設定されている場合、監査レコードにリモート・ホストの IP アドレスが含まれますが、リモート・ホスト名情報は含まれません。

データ複製サービス (DRS) が DRSbootstrap 機能を使用可能にするかどうかを指定します。

大量のデータを扱う環境では、動的キャッシュ・データ複製によって、サーバーの始動にかかる時間 が長くなる場合があります。 データ複製が原因でサーバー始動が遅くなる 場合、このプロパティーをサーバー・セキュリティー設定に 追加し、false に設定します。 このプロパティーが false に設定されている 場合、データ複製サービスは DRSbootstrap 機能を使用不可にします。

このプロパティーのデフォルトの設定値は true です。

証明書ログインのために認証キャッシュをより広範囲に検索するためのオプションを指定します。

このプロパティーのデフォルト設定は false です。

WebSphere Application Server を使用して生成された新規 CMS 鍵ストア用に CMSProvider のデフォルトのバージョンを z/OS 上で v4 から v3 に変更するかどうかを指定します。

CMSProvider バージョン 2.50 では、デフォルト指定バージョンは v4 です。 生成される新規鍵ストアは v4 レベルになりますが、 z/OS は現在は v4 CMS 鍵ストアを使用できません。 生成されるこれらの v4 CMS 鍵ストア用に com.ibm.websphere.security.cms.use.default=true を設定すると、 CMSProvider のデフォルト・バージョンが z/OS 上で v4 から v3 に変更されます。 これらの Java バージョンよりも前に鍵ストアが生成された場合、それらは既に v3 であり、z/OS 上で CMSProvider 2.50 と共に正常に機能します。

このプロパティーは、ドメイン内のグローバル・セキュリティー構成から、グローバルなトラステッド・レルム設定を継承 するために使用されます。

セキュリティー構成のインバウンドおよびアウトバウンドのトラステッド・レルムは、 デフォルトでは継承されません。 しかし、ドメイン内のグローバル・セキュリティー設定構成から の設定を構成で使用 (継承) したい場合があります。

このプロパティーの値は、true または false のいずれかに設定できます。

このプロパティーは、大規模なトポロジー構成の応答時間を改善するために使用します。

このプロパティーを true に設定すると、SSL ポートのエンドポイント状況は管理コンソールの「エンドポイント・ セキュリティー構成の管理」ページに表示されません。 SSL ポートのエンドポイント状況を表示すると、予想以上に応答時間が長くなるため、管理コンソールが機能していないように見える場合があります。

このプロパティーは、カスタム TAI がエラーを返した場合、ユーザーを自動的にログイン・ページに誘導します。

ブラウザーに URL を入力する必要なく、もう一度ログインを試みることができます。 この振る舞いを有効にするには、このプロパティーを true に設定する必要があります。

このプロパティーは、Lightweight Third Party Authentication (LTPA) トークンに使用される Cookie の名前をカスタマイズするために使用されます。

WebSphere Application Server バージョン 8.0 では、LTPA および LTPA2 トークンに使用される Cookie の名前をカスタマイズできます。 カスタム Cookie 名により、シングル・サインオン (SSO) ドメイン間の認証を論理的に区別することができ、カスタマイズした認証を特定の環境に使用可能にすることができます。

この機能を活用するには、カスタム・プロパティーを設定する必要があります。 LTPA トークンの場合、カスタム・プロパティー com.ibm.websphere.security.customLTPACookieName を LTPA トークン Cookie として、com.ibm.websphere.security.customSSOCookieName を LTPA2 (SSO) トークン Cookie として、それぞれ有効な任意のストリング (特殊文字およびスペースは使用不可) に設定することができます。 各プロパティーには、大/小文字の区別があります。

このプロパティーの値は、有効なストリングです。

このプロパティーは、Lightweight Third Party Authentication Version 2 (LTPA2) トークンに使用される Cookie の名前をカスタマイズするために使用されます。

WebSphere Application Server バージョン 8.0 では、LTPA および LTPA2 トークンに使用される Cookie の名前をカスタマイズできます。 カスタム Cookie 名により、シングル・サインオン (SSO) ドメイン間の認証を論理的に区別することができ、カスタマイズした認証を特定の環境に使用可能にすることができます。

この機能を活用するには、カスタム・プロパティーを設定する必要があります。 LTPA トークンの場合、カスタム・プロパティー com.ibm.websphere.security.customLTPACookieName を LTPA トークン Cookie として、com.ibm.websphere.security.customSSOCookieName を LTPA2 (SSO) トークン Cookie として、それぞれ有効な任意のストリング (特殊文字およびスペースは使用不可) に設定することができます。 各プロパティーには、大/小文字の区別があります。

このプロパティーの値は、有効なストリングです。

このプロパティーは、 Single Sign On (SSO) の前と後の両方で呼び出すトラスト・アソシエーション・インターセプター (TAI) のコンマ区切りリストを指定します。

このプロパティーが TAI クラスに対してアクションを実行するには、そのクラスが com.ibm.websphere.security.DeferTAItoSSO プロパティーと com.ibm.websphere.security.InvokeTAIbeforeSSO プロパティーの両方で指定されている必要があります。 リスト内の TAI の呼び出し順序は保証されません。

このプロパティーは、インターオペラビリティー・モードが無効になっている場合に、ログアウト時にサーバーがすべての LTPAToken Cookie を削除するかどうかを指定します。

値が true に設定されていて、インターオペラビリティー・モードが false に設定されている場合、サーバーはログアウト時に LTPAToken2 Cookie のみを削除します。 それ以外の場合、サーバーは LTPAToken Cookie と LTPAToken2 Cookie の両方を削除します。

このプロパティーは、HTTP 基本認証ログイン・ウィンドウに、 アプリケーションの web.xml ファイルで定義されていないレルム名を表示するかどうかを指定します。

このプロパティーは、シングル・サインオンが使用可能になっているときに、アウトバウンド SOAP 呼び出しが発信元サーバーからサブジェクトを取得しないようにする場合に使用します。

通常、シングル・サインオンが使用可能になっていて、インバウンド要求を認証する必要がある場合、受信側サーバーは発信元のサーバーから認証を取り出そうとします。 このコールバック・プロセスの間は、送信サーバーと受信サーバーとの接続がタイムアウトになることはありません。

このプロパティーを使用して、Java 認証・承認サービス (JAAS) 構成情報を First Failure Data Capture (FFDC) ファイルに書き込むかどうかを指示します。

FFDC 機能は、障害につながる可能性のあるイベントおよび状態に関する情報を即時に収集するので、機密性の高い JAAS 構成情報が FFDC ファイルに書き込まれることがあります。

機密性の高い JAAS 構成情報が FFDC ファイルに書き込まれないようにするには、com.ibm.websphere.security.dumpJaasConfig プロパティーを false に設定します。

このプロパティーを使用して、isCallerInRole メソッド呼び出しの監査を有効にします。

このプロパティーを false に設定すると、isCallerInRole の呼び出しの監査が無効になります。 z/OSでは、呼び出しに対して SMF レコードは発行されません。

TAI で提供されたユーザーがユーザー・レジストリーに見つからないときに、エラー・ページではなくログイン・ページが表示されるようにする場合に、 このプロパティーを使用します。

TAI で提供されたユーザーがユーザー・レジストリーに見つからない場合、 WebSphere Application Server はエラー・ページを表示します。 この動作を調整するには、このプロパティーに true を設定します。 これにより、ログイン・ページが表示されます。 このプロパティーのデフォルト設定は false で、 WebSphere Application Server の通常動作ではエラー・ページを表示します。

証明書の有効期限切れモニターの実行後に、ジョブ・マネージャー環境または管理エージェント環境で高い CPU 使用率が確認された場合は、ノードを複数のサーバーに分散して、1 つのサーバーでの CPU 負荷を削減する必要がある場合があります。

このプロパティーを「false」に設定すると、WebSphere は RSA トークンに関連した SSL プロパティーの再初期設定を実行しません。 このプロパティーを false に設定する前に、ご使用の環境でジョブ・マネージャーまたは管理エージェントが使用されていないことを確認してください。 これらのフィーチャーには RSA トークンが必要であり、このプロパティーは使用すべきではありません。

このプロパティーは、 Single Sign On (SSO) の前に呼び出すトラスト・アソシエーション・インターセプター (TAI) のコンマ区切りリストを指定します。 デフォルトでは、すべての TAI が SSO の後に呼び出されます。 リスト内の TAI の呼び出し順序は保証されません。

デフォルトでは、製品は IOR 内でホスト名ではなく IP アドレスを使用します。 IOR は、リモート CORBA サーバー上のオブジェクトを一意的に識別する、CORBA または RMI-IIOP 参照です。 このカスタム・プロパティーが true に設定されている場合、製品は IOR 内でホスト名を使用します。

デフォルトでは、JAAS 認証データ・エントリーがドメイン・セキュリティー・レベル で作成されるとき、エントリーの別名の形式は aliasName です。 以下のプロパティーをドメイン・セキュリティー・レベルで設定 すると、別名にノード名を追加して nodeName/aliasName 形式でエントリーの別名を作成 できるようになります。

グローバル・セキュリティー・レベルで com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain=true を設定することで、すべてのセキュリティー・ドメインの JAAS 認証データ・エントリーの別名にノード名を追加することができます。

デフォルトでは、JAAS 認証データ・エントリーがグローバル・セキュリティー・レベルで作成されると、エントリーの別名の形式は nodeName/aliasName になります。 エントリーの別名にノード名を追加できないようにするには、グローバル・セキュリティー・レベルでこのプロパティーの値を true に設定してください。

このカスタム・プロパティーは、アプリケーション・サーバーが クライアントの認証で正規形式の URL/HTTP ホスト名を使用するかどうかを 指定します。 このプロパティーは、SPNEGO TAI と SPNEGO Web の両方で使用できます。

CWSPN0011E: An invalid SPNEGO token has been encountered while authenticating a HttpServletRequest

このカスタム・プロパティーは、SPNEGO Web 認証の制約付き委任を有効にするかどうかを指定します。 このプロパティーは、 WebSphere Application Server がユーザーの代わりにトラステッド・サービスへのサービス・チケットを取得できるようにします。 このカスタム・プロパティーを true に設定し、SPNEGO Web 認証用の Kerberos 資格情報の委任を有効にすると、 WebSphere Application Server は、クライアントの制約付き委任 S4U2proxy 資格情報を鍵配布センター (KDC) から取得します。 その後、SPNEGO Web 認証プロセス中にクライアント・サブジェクトに配置されます。 サービスは、KDC 管理者によって制約されます。

このプロパティーには、 true または false の値を指定できます。 デフォルト値はfalseです。

制約付き委任フィーチャーには、Java 8 以降が必要です。

このカスタム・プロパティーは、SPNEGO Web 認証以外の認証メカニズムに対して制約付き委任を有効にするかどうかを指定します。 このプロパティーにより、 WebSphere Application Server は、ユーザーの代わりにそれ自体へのサービス・チケットを取得できます。 認証を処理するカスタム TAI があり、クライアント制約付き委任 S4U2self 資格情報が必要な場合は、このカスタム・プロパティーを trueに設定します。 さらに、 S42self API を呼び出して、クライアント制約付き委任 S4U2self 資格情報を KDC から取得し、それをクライアント・サブジェクトに入れることができます。

このプロパティーには、 true または false の値を指定できます。 デフォルト値はfalseです。

制約付き委任フィーチャーには、Java 8 以降が必要です。

このカスタム・プロパティーは、Kerberos レルム名を Subject の KRBAuthnToken 内の uniqueId に追加するかどうかを指定します。

このカスタム・プロパティーを trueに設定すると、 WebSphere Application Server は、サブジェクト内の KRBAuthnToken の uniqueId に Kerberos レルム名を追加します。 このカスタム・プロパティーは、ユーザー名が同じだが Kerberos レルムが異なるユーザー (例えば、"mytester@REALM1" と "mytester@REALM2") を区別するのに役立ちます。

このカスタム・プロパティーを使用して、トークンに入れられたレルムの名前を変更することができます。

このカスタム・プロパティーを使用して、インターオペラビリティーと後方互換性を実現するために、セルごとに独自の LDAP ホストを構成することができます。 また、LDAP ホストの動的追加や除去を柔軟に実行できるようにします。 前のインストールをマイグレーションする場合、この変更されたレルム名は、 管理セキュリティーが再び使用可能になるまで有効になりません。 論理レルムをサポートしない前のリリースとの互換性を確保するために、 名前は前のインストールで使用したものと同じである必要があります。 末尾のコロンおよびポート番号を含む LDAP ホスト名を使用してください。

アプリケーション・サーバーが javax.naming.Naming 例外を空の結果として処理するように、このプロパティーを true に設定します。 例外は、 RACF が有効になっている LDAP サーバーから送信されます。

この場合、LDAP サーバーは z/OS オペレーティング・システム上にありますが、アプリケーション・サーバーはサポートされる任意のオペレーティング・システム上にあります。

LDAP サーバーの RACF 構成に応じて、LDAP サーバーは、 ICH31005I RACF メッセージが組み込まれた javax.naming.NamingException 例外を返します。 このメッセージは、LDAP ユーザー検索でユーザーが見つからない場合に、例外の一部として返されます。 この結果、この com.ibm.websphere.security.ldap.suppressICH31005I プロパティーが falseに設定されている場合、 SystemOut.log ファイル内の多くの SECJ0352E メッセージがトリガーされる可能性があります。

デフォルト値は falseです。

このプロパティーを使用して、LDAP サーバーで SSL が有効になっている 場合に、Java 仮想マシン (JVM) がソケット接続を最大どれだけ待機したらタイムアウトを発行するのかを 示す時間をミリ秒単位で指定します。

サーバー・プロセスの開始時に 1 つ以上のスタンドアロン LDAP サーバーが オフラインであり、LDAP-SSL が有効になっている場合、 com.sun.jndi.ldap.connect.timeout カスタム・プロパティーに値を指定しても、 開始プロシージャーで最大 3 分の遅延が発生する可能性があります。 LDAP-SSL が 有効になっている場合、com.sun.jndi.ldap.connect.timeout プロパティー に指定された値は無視されます。

このプロパティーに値が指定されている場合、JVM はソケット接続を実行しようとするときに、ディレクトリー・コンテキストの確立を試行する代わりに、 この接続タイムアウト値を使用しようとします。 このプロパティーに 値が指定されていない場合、JVM はディレクトリー・コンテキスト の確立を試行します。

このプロパティーにはデフォルト値がありません。

アプリケーション・フォームを使用してログインおよびログアウトを行っている場合は、カスタム・ログアウト・ページの URL を指定することができます。 デフォルトでは、この URL は要求の実行対象のホスト、またはそのドメインを指している必要があります。 それ以外の場合は、カスタム・ログアウト・ページではなく、汎用ログアウト・ページが表示されます。 別のホストを指すようにする必要がある場合は、security.xml ファイル内のこのプロパティーに、ログアウト・ページで使用可能な URL のパイプ (|) で区切られたリストを取り込むことができます。

このプロパティーを使用して、メッセージ SECJ0371W のロギングを使用不可にします。

このカスタム・プロパティーが true に設定されている場合、証明書有効期限モニターのためにユーザーが Websphere メール・セッション・リソースを使用することが許可されます。 証明書有効期限モニターがメール・セッションを使用するには、構成が必要です。 構成方法については、メール・プロバイダーおよびメール・セッションの構成に関するトピックを参照してください。 構成されたメール・セッションで使用される JDNI 名をメモしておいてください。 管理コンソールで証明書有効期限モニターの E メール通知を構成するには、 セキュリティー > 「SSL 証明書および鍵管理」 > 「証明書有効期限の管理」 > 「通知」 > 通知をクリックしてから、 「通知リストに送信する E メール」を選択します。 「追加する E メール・アドレス」フィールドに E メール・アドレスを追加します。 「発信メール (SMTP) サーバー」フィールドに、メール・セッションの JDNI 名を追加します。

このプロパティーは、 管理コンソールで「無保護の URI にアクセスした場合に使用可能な認証データを使用する」が 選択されている場合の TAI 呼び出し動作を指定するために使用されます。

このプロパティーを使用すると、サブジェクトが AuthCacheから削除されるたびに z/OS PlatformCredential オブジェクトを強制的に削除することにより、 z/OS localOS レジストリー許可の変更がランタイムに素早く反映されます。

このプロパティーが true に設定されている場合、何らかの理由で認証キャッシュからサブジェクトが排除されると、プラットフォーム資格情報が削除されます。 このプロパティーを true に設定することの欠点は、ワークロードが大量の場合に、プラットフォーム資格情報が作成され、急速に削除されることで、マルチスレッド問題が生じる可能性があることです。 こういったスレッド競合の結果、認証エラーが発生することがあります。 そのような許可エラーが発生した場合、SECJ0129E エラー・メッセージが発行されます。

このカスタム・プロパティーを true に設定すると、ユーザーが認証局から証明書を再受信することが許可されます。

このプロパティーは、Web サービスまたは非同期 Bean 用の非同期セキュリティー処理の一部として 以前に保存されたセキュリティー・コンテキストを非直列化する際の動作に影響します。

このプロパティーが true に設定されている場合、 セキュリティー・コンテキストは、コンテキストが直列化されて以降に LTPA 鍵が変更 された場合であっても、非直列化されることができます。 セキュリティー・コンテキストのデシリアライゼーションが次のメッセージを含む WSSecurityException で失敗した場合は、このプロパティーを true に設定する必要があります。Validation of LTPA token failed due to invalid keys or token type.

このプロパティーは、メモリー使用率の改善に役立ちます。

値が true に設定されている場合、セキュリティー・コードはセキュリティー関連の EJB データへの参照を保持しますが、セキュリティーに関連しない EJB データを解放します。

デフォルト値は falseです。

このプロパティーは、別名キャッシュのサイズを制御するために使用されます。

デフォルト値は 5000 で、大規模なデプロイメントのために増やすことができます。 ジョブ・マネージャーのトポロジーが 5000 件の登録ノードを超えない限り、このプロパティーを追加する必要はありません。

値は 1 から N の範囲で入力する必要があります。ここで、Nジョブ・マネージャーに登録されているノードの数以上の有効な正の整数です。

WASReqURL Cookie が生成されるたびに固有のパス名を設定する場合に、このプロパティーを使用します。

ブラウザーは、WASReqURL Cookie がそれぞれ固有のパス名を持つ限り、複数の WASReqURL Cookie を保持することができます。 このプロパティーが true に設定されると、WASReqURL Cookie が生成されるたびに固有のパス名が設定されます。 そのため、同じアプリケーション・サーバーにインストールされたログイン方法としてフォーム・ログインを使用するアプリケーションが複数ある場合。 このプロパティーは、そのアプリケーション・サーバーのセキュリティー設定の 1 つとして指定し、プロパティーを trueに設定する必要があります。

このカスタム・プロパティーが指定されている場合、Kerberos 認証が有効になっていない場合でも、WebSphere はキャッシュ内で Kerberos 認証トークン (KRBAuthnToken) を探します。 KRBAuthnToken が存在する場合、このプロパティーはそれをサブジェクトに追加します。

このカスタム・プロパティーの結果は、ltpaToken のタイムアウト値および Kerberos チケットのタイムアウト値によって異なります。 このプロパティーは、サブジェクトの内容を変更します。 Kerberos トークンを使用する loginModule インターフェースまたは TrustAssociation インターセプターは、このプロパティーが設定された後は異なる動作をするようになる可能性があります。

このプロパティーが true に設定されている場合、証明書は deleted.p12 に保存されることなく削除されます。 このプロパティーのデフォルト値は false です。

鍵ストア証明書またはトラストストア証明書のいずれかを削除すると、 WebSphere Application Server は、後でリカバリーできるように、 deleted.p12という名前の鍵ストアにバックアップを保存します。 deleted.p12 鍵ストアが見つからないか、有効な鍵ストアでない場合、 WebSphere Application Server は証明書を削除しません。 このプロパティーが trueに設定されている場合、 WebSphere Application Server は証明書を deleted.p12に保存せずに削除します。 このプロパティーのデフォルト値は false です。

このプロパティーが true に設定されると、SPNEGO 認証から作成された LTPA トークンに、関連する Kerberos 資格情報から派生したカスタム・キャッシュ・キーが組み込まれます。 このプロパティーのデフォルト値は false です。

サーバーがカスタム・キャッシュ・キーを含む LTPA トークンを受信し、認証キャッシュが空の場合、サーバーは新しい SPNEGO 認証を開始して、新しい Kerberos 資格情報を取得します。

このプロパティーを使用して、SPNEGO Web 認証で、Kerberos プリンシパルから RACF ID へのマッピングが確実に実行されるようにします。

このプロパティーをセキュリティー設定に追加 して true に設定しない場合、SPNEGO Web 認証のための Kerberos プリンシパル から RACF ID へのマッピングは実行されません。

ローカル Enterprise JavaBeans (EJB) 呼び出し に対してクレデンシャルの期限切れ検査が実行されるかどうかを指定します。 通常、ある EJB がローカル・マシン内の別の EJB を呼び出す場合、ローカルの EJB 呼び出しが発生する前に元の呼び出し側のクレデンシャルが有効期限切れになっていた場合でも、直接メソッド起動が実行されます。

このプロパティーを true に設定していた場合、EJB がローカル・マシン上で呼び出される前に、クレデンシャルの期限切れ検査がこのローカルの EJB 呼び出しに対して実行されます。 クレデンシャルが有効期限切れになっていた場合、この EJB 呼び出しは拒否されます。

このプロパティーを false に設定していた場合、ローカルの EJB 呼び出しに対してクレデンシャルの期限切れ検査は実行されません。

このプロパティーを使用して、シングル・サインオンが使用可能になっている場合に、アウトバウンド SOAP 呼び出しが発信サーバーから適切な認証を取り出すまで、受信サーバーが待機する時間を指定します。

このプロパティーにはデフォルト値がありません。 値が指定されない場合、グローバル SOAP タイムアウト値は SOAP 接続のタイムアウト値として使用されます。

このプロパティーは、新しいデフォルトのシングル・サインオン (SSO) トークンの作成時にアクティブ・ユーザー・レジストリーを使用する必要があることを指示するために使用します。

通常、着信 SSO 認証トークンのアクセス ID と許可トークンのプリンシパル名の間に不一致がある場合に、デフォルトの SSO トークンが必ず作成されます。 この不一致の考えられる原因は、レルムが異なることです。 例えば、管理ドメインが LocalOS レジストリーを使用していて、アクティブ・レジストリーが LDAP である場合などに不一致が発生します。

このプロパティーを true に設定すると、新規 SSO トークンは LDAP レジストリーを使用して作成されるようになります。

このプロパティーのデフォルト値は false です。

このプロパティーが true に設定されている場合、製品は、以下のカスタム・プロパティーに指定されている名前を持つ Cookie のみを検索します。

デフォルトでは、サーバーは、LtpaToken2 および LtpaToken 値で指定されたデフォルト名で LtpaToken2 および LtpaToken Cookie を評価します。

このプロパティーは、CSIv2 セッションが削除される前にアイドルであることが可能な時間をミリ秒単位で指定します。 com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled カスタム・プロパティー が true に設定されていて、CSIv2 セッション・キャッシュの最大サイズを超えると、 セッションは削除されます。

このカスタム・プロパティーの値の範囲は、60,000 から 86,400 ®、000 ミリ秒です。 デフォルトでは、値は設定されていません。

このカスタム・プロパティーは、CSIv2 セッション・キャッシュのサイズを制限するかどうかを指定します。

このカスタム・プロパティーの値に true を設定した場合には、 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime と com.ibm.websphere.security.util.csiv2SessionCacheMaxSize のカスタム・プロパティーに値を設定する必要があります。 このカスタム・プロパティーに false を設定すると、 CSIv2 セッション・キャッシュは制限されません。 デフォルトのプロパティー値は false です。

ご使用の環境で Kerberos 認証を使用していて、 構成されている鍵配布センター (KDC) のクロック・スキューが小さい場合、このカスタム・プロパティーに true を設定することを検討してください。 このシナリオでは、小さいクロック・スキューは 20 分未満に定義されています。 クロック・スキューが小さいと、拒否される CSIv2 セッションの数が増える可能性があります。 ただし、com.ibm.websphere.security.util.csiv2SessionCacheIdleTime カスタム・プロパティーの値が小さいと、 アプリケーション・サーバーは、拒否されたこれらのセッションをより頻繁にクリーンアップして、リソース不足を削減できる可能性があります。

このプロパティーは、セッション・キャッシュの最大サイズを指定します。これを超えると、期限切れセッションがキャッシュから削除されます。

期限切れセッションとは、アイドルの状態で com.ibm.websphere.security.util.csiv2SessionCacheIdleTime カスタム・プロパティーで指定された時間を超えたセッションとして定義されます。 com.ibm.websphere.security.util.csiv2SessionCacheMaxSize カスタム・プロパティーを使用する場合、100 エントリーから 1000 エントリーでその値を設定するように検討します。

ご使用の環境で Kerberos 認証を使用していて、 構成されている鍵配布センター (KDC) のクロック・スキューが小さい場合に、このカスタム・プロパティー値の指定を検討してください。 このシナリオでは、小さいクロック・スキューは 20 分未満に定義されています。 キャッシュ・サイズが小さいためにガーベッジ・コレクションが頻繁に実行されて、アプリケーション・サーバーのパフォーマンスに影響する場合には、 このカスタム・プロパティーの値を増やすことを検討してください。

ステートフル・セッションを使用可能に設定し、 com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled カスタム・プロパティーに true を設定し、 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime カスタム・プロパティーに値を設定した場合にのみ、このカスタム・プロパティーが適用されます。

このカスタム・プロパティーの値の範囲は、100 エントリーから 1000 エントリーです。 デフォルトでは、値は設定されていません。

このプロパティーでは、セキュリティー・コードが生成する WASPostParam Cookie の サイズ制限を設定します。

「無保護の URI にアクセスした場合に使用可能な認証データを使用する」オプションが 有効になっていて、フォーム・ベースの認証が使用されていると、ターゲット URL が 保護されていなくても、HTTP POST 要求の認証プロシージャーで WASPOSTParam が 生成されます。 WASPOSTParam Cookie は、HTTP POST パラメーターの保管に使用される 一時的な Cookie です。 これが生成されると、HTTP 応答と一緒に 不要な Cookie が Web クライアントに送信されます。 その結果、 Cookie のサイズがブラウザーの制限を超えた場合に、予期しない振る舞いを 引き起こすことがあります。 この振る舞いを回避するには、com.ibm.websphere.security.util.postParamMaxCookieSize を 設定して、Cookie がこのプロパティーで指定する最大サイズを超えた場合に、セキュリティー・コードが Cookie の生成を 停止するようにします。 このプロパティーの値は、 正の整数でなければなりません。またこの値は、Cookie の最大サイズを バイトで表しています。

デフォルト値は 16384 です。

このプロパティーは、リダイレクト時に POST パラメーターが保管される場所を指定します。

デフォルト値は cookieです。

このカスタム・プロパティーを使用して、フォーム・ログアウトが起こったときに、キャッシュに入れられた オブジェクトが認証キャッシュおよび動的キャッシュから削除されるかどうかを 指定します。 フォーム・ログアウトは、ユーザーがすべての Web ブラウザー・セッションを閉じる必要なく、アプリケーションを ログアウトすることを可能にする仕組みです。

このプロパティーが false に設定されている場合、フォーム・ログアウトが発生したときに、対応するキャッシュ・エントリーは 認証キャッシュおよび動的キャッシュから削除されません。 結果として、フォーム・ログアウト の後に同じユーザーがもう一度ログインすると、キャッシュに入れられたオブジェクトは再使用されます。

このプロパティーが true に設定されている場合、フォーム・ログアウトが発生すると、 キャッシュ・エントリーは認証キャッシュおよび動的キャッシュから削除されます。

デフォルト値は true です。

このカスタム・プロパティーでは、インバウンドの Web リソース要求に対する Lightweight Third Party Authentication (LTPA) トークンの Cookie 生成に関する動作を指定します。

このプロパティーが true の場合、要求の対象が保護された Web リソースであるか、無保護の Web リソースであるかに関係なく、 アプリケーション・サーバーは、正常に認証されたすべてのリソース要求について、LTPAToken Cookie を生成して設定します。 この動作は、 WebSphere Application Server バージョン 6.1 の動作とは異なり、バージョン 6.1 用に開発された一部のアプリケーションが以降のバージョンで動作しない可能性があります。

このプロパティーに false を設定すると、保護された Web リソースについてのみ LTPAToken Cookie を生成します。 この動作は、 WebSphere Application Server バージョン 6.1と互換性があります。

デフォルト値は trueです。

このプロパティーは、ID が既に認証済みの場合に、login() メソッドが例外をスローするかどうかを指定します。 このプロパティーに true を設定することにより、この動作を上書きできます。

このカスタム・プロパティーは、JVM が SSL 接続でクライアント・サイドの暗号スイート順序を優先するか、サーバー・サイドの暗号スイート順序を優先するかを指定します。

このカスタム・プロパティーが設定されていないか、 falseに設定されている場合、JVM は SSL 接続でクライアント・サイドの暗号スイート順序を優先します。 JVM がサーバー・サイドの暗号スイート順序を優先するようにするには、このカスタム・プロパティーを trueに設定します。

このカスタム・プロパティーは、 WebSphere Application Server がデフォルトの暗号スイートに Elliptical Curve Cryptography (ECC) 暗号を含めるかどうかを指定します。

このプロパティーが設定されていないか、または false に設定されている場合、 アプリケーション・サーバーはデフォルトでは ECC 暗号を含みません。 デフォルト暗号スイートのリストに ECC 暗号を含めるには、このプロパティーを true に設定します。 SP800-131a または Suite B が有効にされている場合、ECC 暗号は常にデフォルトで含まれます。

このカスタム・プロパティーは、「ポートからの取得」機能によってルート証明書ではなくリーフ証明書を取得できるようにします。

「ポートからの取得」では、ルート証明書ではなくリーフ証明書が取得されます。 リーフ証明書を取得するためには、カスタム・プロパティー com.ibm.websphere.ssl.retrieveLeafCert を true に設定する必要があります。

このプロパティーが設定されていない場合、または false に設定されている場合は、ポートからの取得機能はルート証明書を取得します。 ポートからの取得機能でルート証明書ではなく、リーフ証明書を取得する場合は、このプロパティーを true に設定します。

このプロパティーは、サーバーをカスタマイズして Java セキュリティー・プロパティーを無効にするために使用されます。

WebSphere Application Server は、Java セキュリティー・プロパティー jdk.tls.disabledAlogrithms を設定して、TLS ハンドシェークで使用できるアルゴリズムを使用不可にします。

このカスタム・プロパティーが com.ibm.websphere.tls.disabledAlgorithms を設定しないように指示するには、値を none に設定します。

jdk.tls.disabledAlgoriths に特定のアルゴリズムのセットを設定するには、セキュリティー・カスタム・プロパティー com.ibm.websphere.tls.disabledAlgorithms にアルゴリズムのコンマ区切りリストを設定します。

情報	値
デフォルト	SSLv3, RC4, DH keySize < 768, MD5withRSA
デフォルト	SSLv3、 RC4、DES、 MD5withRSA、DH keySize < 1024、DESede、EC keySize < 224、 3DES_EDE_CBC、anon、NULL、DES_CBC

このプロパティーは、非管理セキュリティー・ロール が security.xml ファイルの変更を許可されるかどうかを指定します。 このプロパティーを true に設定すると、非管理セキュリティー・ロールに、security.xml ファイルを変更する機能が与えられます。 バージョン 6.1 以降では、デフォルトで、非管理セキュリティー・ロールが security.xml ファイルを変更することができます。

プロパティーのオブジェクト・リクエスト・ブローカー (ORB) を検査するか検査しないかを指定します。 このプロパティーは、システム・プロパティーとして設定する必要があります。 このプロパティーを true または yes に設定すると、プロパティーの ORB が検査されます。 他のすべての設定値の場合、ORB は完全に無視されます。

このプロパティーは、プラグ可能アプリケーション・クライアントが WebSphere Application Serverに接続するときに使用されます。 具体的には、セキュリティー・プロパティーが含まれたハッシュ・マップが、新規の InitialContext(env) 呼び出しのハッシュ・マップ内で受け渡される場合は、必ずこのプロパティーが使用されます。

このリリースでは、コンテキスト・プロキシーまたは非同期 Bean から呼び出された場合、実際の LTPA トークン・データは WSCredential.getCredentialToken() 呼び出しから利用できません。 既存の構成については、com.ibm.ws.security.createTokenSubjectForAsynchLogin カスタム・プロパティーを追加し、値を true に設定すると、LTPAToken をコンテキスト・プロキシーおよび非同期 Bean に転送することができます。 このプロパティーにより、 ポートレットは LTPA トークンの転送を正常に実行できます。 このカスタム・プロパティーでは、大/小文字を区別します。 アプリケーション・サーバーは、このカスタム・プロパティーを追加してから再起動してください。

このプロパティーは WEB_INBOUND、RMI_OUTBOUND、または RMI_INBOUND ログイン構成カテゴリーに属さないログインに使用する JAAS ログイン構成です。

特定の JAAS プラグ・ポイントのない内部認証およびプロトコルは、com.ibm.ws.security.defaultLoginConfig 構成によって参照されるシステム・ログイン構成を呼び出します。

com.ibm.ws.security.failSSODuringCushion カスタム・プロパティーを使用して、LTPA トークンの カスタム JAAS サブジェクト・データを更新します。

このカスタム・プロパティーに true を設定しないと、新しい JAAS サブジェクトがカスタム JAAS サブジェクト・データを含まないことがあります。

デフォルト値は true です。

Java クライアントで PKCS11 タイプの鍵ストアを使用しようとするときに、 com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA カスタム・プロパティーを使用して、 無効なライブラリー名 エラーを修正します。

また、分散オペレーティング・システムと z/OS オペレーティング・システムではハードウェア暗号化に異なるプロバイダー・タイプが使用されるため、IBMJCECCA プロバイダーを使用する場合にもこのカスタム・プロパティーを使用してください。

ssl.client.props ファイルが構成ファイルを指し、同様に、 構成ファイルが暗号デバイスのライブラリー名を指します。 Java クライアントのコードは、正しいプロバイダー名の鍵ストア・タイプを検索します。 このカスタム・プロパティーが指定されないと、PKCS11 の鍵ストア・タイプ定数は、代わりに IBMPKCS11Impl プロバイダーを参照するため、正しく指定されません。 また、Lightweight Third Party Authentication (LTPA) コードは、プロバイダー・リストを使用して Java Cryptography Extension (JCE) プロバイダーを判別します。 このアプローチでは、Secure Sockets Layer (SSL) アクセラレーションを試行したときに、問題が発生します。 それは、java.security ファイル内で IBMJCE プロバイダーの前に IBMPKCS11Impl プロバイダーがリストされる必要があるためです。

このカスタム・プロパティーは、SSL と他の暗号メカニズムがハードウェア・アクセラレーションを使用できるように、 両方の問題を修正します。

Java クライアントで PKCS11 タイプの鍵ストアを使用する場合は、このカスタム・プロパティーを true に設定します。

com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA カスタム・プロパティーを使用して、ソフトウェアで RSA トークン検証が行われるよう強制します。

このプロパティーが true に設定されている場合、IBMJCECCA の代わりにデフォルトのソフトウェア JCE プロバイダーが、セキュリティー検証のために使用されます。

製品には、IP アドレス範囲をサポートする代替 SPNEGO フィルターが含まれています。

代替 SPNEGO フィルターを使用可能にするには、このカスタム・プロパティーを true に設定します。

このプロパティーは、Web 要求への応答で LtpaToken2 および LtpaToken Cookies を送信するかどうかを決定します (相互操作可能)。

このプロパティー値が false の場合、 アプリケーション・サーバーはより強力なほうの新規 LtpaToken2 Cookie を送信するだけであり、 他のなんらかの製品およびバージョン 5.1.1 より古いリリースの WebSphere Application Server と相互操作を行うことはできません。 ほとんどの場合、古い LtpaToken Cookie は必要ないため、このプロパティーを false に設定できます。

UserRegistry インターフェースの、リモート・アクセスから保護しないメソッドの名前 (getRealm、getUsers、および isValidUser など) を指定します。 複数のメソッド名を指定する場合には、 スペース、コンマ、セミコロン、およびセパレーター・バーのいずれかで名前を区切ります。 有効なメソッド名の全リストについては、UserRegistry インターフェース・ファイルの実装を参照してください。

このプロパティーの値として * を指定すると、 すべてのメソッドがリモート・アクセスから無保護になります。 このプロパティーに値が指定されないと、すべてのメソッドがリモート・アクセスから保護されます。

保護された UserRegistry インターフェース・メソッドにリモートでアクセスしようとすると、 リモート・プロセスが例外 CORBA NO_PERMISSION、マイナー・コード 49421098 を受け取ります。

このプロパティーにはデフォルト値がありません。

このプロパティーは、URL デコードを使用不可にするためのオプションを提供します。

SAML Web SSO が使用可能であり、SAML TAI が呼び出されると、元の要求 URL を保管するように Cookie が設定されます。 認証後、 元の URL は、リダイレクトとして送信される前にデコードされます。 このプロパティーの値が true に設定されている場合、 リダイレクト用の元の URL はデコードすることなく使用されます。 管理コンソールでこのプロパティーを設定するには、「セキュリティー」>「グローバル・セキュリティー」>「カスタム・プロパティー」とクリックします。 「新規」をクリックして新規カスタム・プロパティーおよびそれに関連する値を追加します。

このプロパティーは、シングル・サインオン LtpaToken2 ログインの振る舞いを決定します。

トークンにカスタム・キャッシュ・キーが含まれており、 カスタム・サブジェクトが見つからない場合、このプロパティーが true に設定されていると カスタム情報を再度収集する必要があるため、トークンが直接ログインに使用されます。 また、信用情報の入力が求められ、ユーザーは再度ログインするよう要求されます。 このプロパティー値が false に設定され、カスタム・サブジェクトが見つからない場合、LtpaToken2 がログインおよびすべてのレジストリー属性の収集に使用されます。 ただし、トークンは、ダウンストリームのアプリケーションが期待する特別な属性を取得しないことがあります。

このプロパティーは、インバウンド受信した Web 要求に使用する JAAS ログイン構成です。

ログイン構成が分かると、Web ログインの特定の事例を処理するカスタム・ログイン・モジュールをプラグインできるようになります。

このプロパティーは、受信した LtpaToken2 Cookie が、トークン内で指定された元のログイン・サーバーを検索する前に、伝搬された属性をローカルに検索するかどうかを決定します。 伝搬された属性が受信されると、サブジェクトが再生成され、カスタム属性が保存されます。

データ複製サービス (DRS) を構成して、 伝搬された属性をフロントエンド・サーバーに送信し、伝搬された属性をローカル動的キャッシュ検索で 見つけられるようにできます。 そのようにしない場合、MBean 要求が元のログイン・サーバーに送信され、 これらの属性を取得します。

このプロパティーは、HTTP セッション・タイマーの満了後にユーザーをログアウトするかどうかを指定します。

このプロパティーは、セキュリティー・キャッシュ (WSSecureMap) が、動的キャッシュの一部として、セキュリティー属性伝搬での使用のために初期化されることを設定します。

このプロパティーは、セキュリティー・キャッシュ (WSSecureMap) のサイズを指定します。

このプロパティーは、サーバー ID を必要とするトランザクション・メソッド (commit () や prepare () など) を呼び出すときに、サーバーが z/OS 開始タスクのユーザー ID をサーバー ID として使用できるようにするために使用されます。 この動作は、そのサーバーのサーバー ID の設定値とは無関係に実行されます。

例えば、ユーザー・リポジトリーに格納されている実際の ID ではない、自動生成されたサーバー ID を使用するようにサーバーを構成することができます。 さらに、このサーバーは CICS® 3.2と通信する必要がある場合があり、 CICS 3.2 では System Authorization Facility (SAF) ID を使用する必要があります。 com.ibm.ws.security.zOS.useSAFidForTransaction が trueに設定されている場合、サーバーは、自動生成された ID を使用する代わりに、SAF ID を使用して CICS と通信します。

このプロパティーは、Web サービス、Concurrency Utilities for Java EE、または非同期 Bean の非同期セキュリティー処理の一部として前に保存されたセキュリティー・コンテキストをデシリアライズするときの動作に影響します。

このプロパティーが true に設定されている場合、 ユーザーと関連付けられたグループを取得するために、ユーザー・レジストリーがアクセスされます。 ユーザーが まだレジストリー内に存在する場合、セキュリティー・コンテキストで直列化されたグループの代わりに、ユーザー・レジストリーからのグループ が使用されます。 ユーザーがユーザー・レジストリー内で見つからず、verifyUser プロパティー が false に設定されている場合、セキュリティー・コンテキストからのグループ が使用されます。

このプロパティーは、Web サービスまたは非同期 Bean 用の非同期セキュリティー処理の一部として 以前に保存されたセキュリティー・コンテキストを非直列化する際の動作に影響します。

このプロパティーが true に設定されている場合、 セキュリティー・コンテキストからのユーザーがまだ存在しているかどうかを検証するため、ユーザー・レジストリー がアクセスされます。 存在していない場合、WSLoginFailedException がスローされます。

このプロパティーは、Lightweight Third Party Authentication (LTPA) トークンの検証に使用できる LTPA トークン・ファクトリーを指定します。

LTPA トークンにはトークン・タイプを指定するオブジェクト ID (OID) がないため、妥当性検査は、 トークン・ファクトリーが指定された順序で行われます。 アプリケーション・サーバーは、 妥当性検査が成功するまで各トークン・ファクトリーを使用してトークンを検証します。 このプロパティーに指定された順序として最も可能性が高いのは、受信したトークンの順序です。 複数のトークン・ファクトリーを指定する場合は、 パイプ (|) で区切ります。 パイプの前後には、スペースを入れないでください。

このプロパティーは、属性伝搬フレームワーク内で認証トークンに使用される実装を指定します。 このプロパティーは、 認証トークンとして使用するための、古い LTPA トークンの実装を提供します。

このプロパティーは、許可トークンに使用される実装を指定します。 このトークン・ファクトリーは、許可情報をエンコードします。

このプロパティーは、伝搬トークンに使用される実装を指定します。 このトークン・ファクトリーは、伝搬トークン情報をエンコードします。

伝搬トークンは実行のスレッド上にあり、特定のユーザー・サブジェクトとは関連付けられていません。 トークンは、 プロセスが先導する呼び出しダウンストリーム・フローに従います。

このプロパティーは、シングル・サインオン (SSO) トークンに使用される実装を指定します。 これは、com.ibm.ws.security.ssoInteropModeEnabled プロパティーの状態に関係なく、伝搬が使用可能の場合に設定される Cookie です。

デフォルトでは、この実装は LtpaToken2 Cookie です。

このプロパティーを使用すると、要求に対する Kerberos トークンの有効期限が切れた後に、その要求の認証をシステムでどのように処理するかを指定できます。

このプロパティーを true に設定しているときに、Kerberos トークンの有効期限切れの後そのトークンがリフレッシュできないと、要求の認証は失敗します。

このプロパティーを false に設定しているときに、たとえトークンの有効期限が切れても、この要求の認証は失敗しません。

このプロパティーのデフォルト値は false です。

このカスタム・プロパティーを使用して、カスタム HTTP メソッドを許可します。 カスタム HTTP メソッドは、標準 HTTP メソッド (DELETE、GET、HEAD、OPTIONS、POST、PUT、または TRACE) 以外のものです。

このプロパティーに false を設定すると (デフォルト)、URI パターンとカスタム HTTP メソッドの組み合わせが security-constraint 要素にリストされていない場合に、URI パターンのみを使用してセキュリティー制約の検索が実行されます。 一致があれば、<auth-constraints> エレメントの値が適用されます。 この動作により、機密漏れの可能性を最小限にすることができます。

このプロパティーに true を設定すると、カスタム HTTP メソッドが、標準 HTTP メソッドとして扱われます。 許可の判断は、URI パターンと HTTP メソッドの両方によって行われます。 ターゲット URI を適切に保護するために、<web-resource-collection> エレメントに適切な HTTP メソッドがリストされるようにしてください。

このプロパティーは、現在使用されていません。 代わりに、WEB_INBOUND ログイン構成を使用してください。

製品が正符号文字 (+) を含む複合 RDN 値を解析できるようにするには、このプロパティーを true に設定します。

NullDynamicPolicy.getPermissions メソッドでは、このプロパティーが true に設定されている場合に、デフォルトのポリシー・クラスに許可オブジェクトの作成を代行させるオプションが提供されます。 このプロパティーを false に設定すると、空の許可オブジェクトが返されます。

このプロパティーは、SSL クライアント認証を使用した SSL ハンドシェーク中にクライアントとして動作する場合に、ターゲット・サーバーによって提供されるすべての SSL 鍵タイプがクライアント証明書の選択に使用されるようにするために使用されます。

SSL クライアント認証では、 WebSphere Application Server 製品は、ターゲット・サーバーによって送信される証明書要求で提供されるすべての SSL 鍵タイプを取得するわけではありません。 製品は、最も望ましい SSL 鍵タイプのみを選択します。 SSL 鍵タイプが最も望ましい SSL 鍵タイプと一致しない場合、鍵ストアに正しい SSL クライアント証明書があっても、製品はクライアント証明書を送信しません。

9.0.5.9以降、このプロパティーのデフォルト値は trueです。 9.0.5.9より前のデフォルトは falseです。 このプロパティーを trueに設定すると、ターゲット・サーバーによって提供されるすべての SSL 鍵タイプが、クライアント証明書の選択に使用されます。 このプロパティーが falseに設定されている場合、クライアント証明書の選択にすべての SSL 鍵タイプが使用されるわけではありません。

このセキュリティー・プロパティーは、カスタム UserMapping クラスをプラグインするために使用されます。 この値がカスタム・ユーザー・マッピング・クラス名を使用して最上位セキュリティーで設定されている場合、この値は、証明書ユーザー・マッピングまたは ID アサーション・ユーザー・マッピング (あるいはその両方) のカスタマイズに使用されます。 カスタム・クラスが組み込まれた JAR ファイルを WAS_HOME/lib/ext に配置してください。