ポリシー内の複数の X.509 シグネチャ

は、複数のアイデンティティが含まれるメッセージ内で複数のシグネチャを作成するか検証できます。
gateway83
Layer7 API Gateway
は、複数のアイデンティティが含まれるメッセージ内で複数のシグネチャを作成するか検証できます。
Layer7 API Gateway
- XML VPN クライアントは、メッセージ内の複数のシグネチャをサポートしません。 レスポンス/リクエストに複数のシグネチャがあるとき、サービスの利用は常に失敗します。
複数のシグネチャが使用されている場合、メッセージの内容に対して責任を負う複数のアイデンティティがあります。 メッセージのさまざまな部分に署名するアイデンティティを示すようにポリシーを構築する必要があります。 署名するアイデンティティは、異なるアイデンティティ プロバイダによって生成されることがあります。以下に例を示します。
At least one assertion must evaluate to true: User: Alice [Internal Identity Provider] User: Bob [Internal Identity Provider] Member of Group: Service Users [My Federated Provider]
上記の例では、ポリシーは、任意のアイデンティティ(「Alice」、「Bob」、または「Service Users」)が署名するアイデンティティとして許可されることを示しています。
複数の署名するアイデンティティを区別できない場合、またはアイデンティティの 1 つが既存のグループまたはアイデンティティ プロバイダに対応しない場合があります。 この場合、アイデンティティ タグの付加は認証中に使用できます。
At least one assertion must evaluate to true: User: Alice [Internal Identity Provider] as "user" User: Bob [Internal Identity Provider] as "user" Member of Group: Service Users [My Federated Provider] as "user"
上記の例では、アイデンティティ タグは「user」です。 別の例を以下に示します。
Authenticate against: My Federated Provider as "identity1" Authenticate against: My Federated Provider as "identity2"
ここで、「identity1」および「identity2」はアイデンティティ タグです。 アイデンティティ タグの使用の詳細については、「アイデンティティ タグ」を参照してください。
複数のシグネチャを許可する方法
ポリシー内の複数の X.509 シグネチャを許可するには、Require WS-Security Signature Credentials アサーションで説明されている
[Allow multiple signatures]
チェック ボックスをオンにする必要があります。
クラスタ プロパティ wss.processor.allowMultipleTimestampSignatures を「true」に設定する必要もあります。
メッセージに複数の X.509 シグネチャが含まれているが、[Allow multiple signatures]チェック ボックスがオンになっていない場合、Require WS-Security Signature Credentials アサーションは失敗します。��