令牌使用者配置设置

使用此页面来指定令牌使用者的信息。仅在使用者端使用该信息以处理安全性令牌。
要在服务器级别查看此 WebSphere® Application Server 管理控制台页,请完成下列步骤:
  1. 单击服务器 > 应用程序服务器 > server_name
  2. 在“安全性”下,单击 Web Service:Web Service 安全性的缺省绑定
  3. 在“缺省使用者绑定”下,单击令牌使用者 > token_consumer_name 或单击新建以创建新的令牌使用者。
要在应用程序级别查看此 WebSphere Application Server 管理控制台页来了解 V6.x 应用程序,请完成下列步骤:
  1. 单击应用程序 > 企业应用程序 > application_name
  2. 在“相关项”下,单击 EJB 模块Web 模块 > URI_name
  3. 在“其他属性”下,可以访问以下绑定的签名信息:
    • 对于“响应生成者(发送方)绑定”,单击 Web Service:服务器安全绑定。在“响应生成者(发送方)绑定”下,单击编辑定制。在“必需属性”下,单击令牌使用者
    • 对于“响应使用者(接收方)绑定”,单击 Web Service:客户机安全绑定。在“响应使用者(接收方)绑定”下,单击编辑定制。在“必需属性”下,单击令牌使用者
  4. 单击新建以指定新的配置,或者单击现有配置的名称以修改其设置。

在指定其他属性之前,在“令牌使用者名”、“令牌类名”和“值类型局部名”字段中指定值。

相关参考
令牌使用者集合令牌使用者名
令牌生成者集合令牌生成者名称
令牌生成者配置设置令牌生成者名称
JAAS 配置设置JAAS 配置名

令牌使用者名

指定令牌使用者配置的名称。

令牌使用者类名

指定令牌使用者实现类的名称。

此类必须实现 com.ibm.wsspi.wssecurity.token.TokenConsumerComponent 接口。

部分引用

指定部署描述符中定义的对安全性令牌名称的引用。

在应用程序级别上,未在部署描述符中指定安全性令牌时,不显示“部分引用”字段。

证书路径

指定信任锚和证书库。
可以选择以下选项:
如果选择此选项,则不指定证书路径。
信任全部
如果选择此选项,则信任全部证书。当合并接收的令牌时,不进行证书路径验证。
专用签名信息
如果您选择此选项,则可以指定信任锚和证书库。选择信任锚或可信证书的证书库时,必须在设置证书路径前配置集合证书库。

信任锚

可以为以下级别上的下列绑定指定信任锚:
绑定名 单元级别、服务器级别或应用程序级别 路径
缺省使用者绑定 单元级别
  1. 单击安全性 > Web Service
  2. 在“其他属性”下,单击信任锚
缺省使用者绑定 服务器级别

单击服务器 > 应用程序服务器 > server_name

在“安全性”下,单击 Web Service:Web Service 安全性的缺省绑定

在“其他属性”下,单击信任锚

证书库

可以为以下级别上的下列绑定指定证书路径配置:
绑定名 单元级别、服务器级别或应用程序级别 路径
缺省使用者绑定 单元级别
  1. 单击安全性 > Web Service
  2. 在“其他属性”下,单击集合证书库
缺省使用者绑定 服务器级别
  1. 单击服务器 > 应用程序服务器 > server_name
  2. 在“安全性”下,单击 Web Service:Web Service 安全性的缺省绑定
  3. 在“其他属性”下,单击集合证书库

可信标识鉴别程序引用

指定“可信标识鉴别程序”面板中定义的对可信标识鉴别程序类名的引用。可信标识鉴别程序用于确定接收的标识是否可信。
可以选择以下选项:
如果选择此选项,则不指定可信标识鉴别程序。
现有鉴别程序定义
如果选择此选项,则可以选择某个已配置的可信标识鉴别程序。
可以为以下级别上的下列绑定指定证书路径配置:
绑定名 单元级别、服务器级别或应用程序级别 路径
缺省使用者绑定 单元级别
  1. 单击安全性 > Web Service
  2. 在“其他属性”下,单击可信标识鉴别程序
缺省使用者绑定 服务器级别
  1. 单击服务器 > 应用程序服务器 > server_name
  2. 在“安全性”下,单击 Web Service:Web Service 安全性的缺省绑定
  3. 在“其他属性”下,单击可信标识鉴别程序
绑定鉴别程序定义
如果选择此选项,则可以指定新的可信标识鉴别程序及其类名。

当您选择可信标识鉴别程序引用时,必须在设置令牌使用者之前配置可信标识鉴别程序。

在缺省绑定配置和应用程序服务器绑定配置中显示“可信标识鉴别程序”字段。

验证现时标志

指定是否验证用户名令牌的现时标志。

此选项显示在单元、服务器和应用程序级别上。仅当合并的令牌的类型是用户名令牌时,此选项才有效。

验证时间戳记

指定是否验证用户名令牌的时间戳记。

此选项显示在单元、服务器和应用程序级别上。仅当合并的令牌的类型是用户名令牌时,此选项才有效。

值类型局部名

指定使用的令牌的值类型的局部名。
对于用户名令牌和 X.509 证书安全性令牌,WebSphere Application Server 提供了预定义值类型局部名。将以下局部名用于用户名令牌和 X.509 证书安全性令牌。当您指定以下局部名时,您不需要指定值类型的统一资源标识(URI)。
用户名令牌
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
X509 证书令牌
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509
# PKIPath 中的 X509 证书
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
PKCS#7 格式的 X509 证书和 CRL 列表
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
LTPA
要点: 对于轻量级第三方认证(LTPA),值类型局部名是 LTPA。如果输入局部名 LTPA,则还必须在“值类型 URI”字段中指定 http://www.ibm.com/websphere/appserver/tokentype/5.0.2 URI 值。对于其他预定义值类型(用户名令牌、X509 证书令牌、PKIPath 中的 X509 证书以及 PKCS#7 中的 X509 证书和 CRL 的列表),局部名字段的值以 http:// 开头。例如,如果您正在为值类型指定用户名令牌,则在值类型局部名字段中输入 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken,而不需要在值类型 URI 字段中输入值。

当您为定制令牌指定定制值类型时,您可以指定值类型的限定名(QName)的局部名和 URI。例如,您可以为局部名指定 Custom,并为 URI 指定 http://www.ibm.com/custom

值类型 URI

为集成令牌指定值类型的名称空间 URI。

当您为用户名令牌或 X.509 证书安全性令牌指定令牌使用者时,您不需要指定此选项。如果您想要指定另一个令牌,请指定值类型的 QName 的 URI。

WebSphere Application Server 为 LTPA 令牌提供了下列预定义值类型 URI:http://www.ibm.com/websphere/appserver/tokentype/5.0.2


反馈