使用组装工具配置令牌使用者

完成此任务之前,您必须完成以下步骤:

安全性令牌代表客户机做出的一组声明。这组声明可能包括名称、密码、标识、密钥、证书、组、特权等等。安全性令牌嵌入在 SOAP 头的简单对象访问协议(SOAP)消息中。SOAP 头中的安全性令牌从消息发送方传播到期望的消息接收方。在接收端,WebSphere® Application Server 的安全性处理程序对该安全性令牌进行认证并在运行线程中设置调用者标识。

完成以下步骤,以在步骤 2 中配置客户端绑定或在步骤 3 中配置服务器端绑定的令牌使用者:

  1. 单击窗口 > 打开透视图 > J2EE
  2. 可选: 使用“项目资源管理器”窗口找到客户端绑定。 显示“客户机部署描述符”窗口。此 Web Service 包含需要配置的绑定。完成下列步骤以找到客户端绑定:
    1. 展开“Web Service > 客户机”部分,并双击 Web Service 的名称。
    2. 单击 WS 绑定选项卡并展开“安全性响应使用者配置”部分。
  3. 可选: 使用“项目资源管理器”窗口找到服务器端绑定。 显示“Web Service 编辑器”窗口。此 Web Service 包含需要配置的绑定。 完成以下步骤找到服务器端绑定:
    1. 展开“Web Service > 服务”部分,并双击 Web Service 的名称。
    2. 单击绑定配置选项卡,并展开“请求使用者绑定配置详细信息”部分。
  4. 可选: 如果您正在为 X.509 安全性令牌配置此令牌使用者,则配置信任锚。 请完成下列步骤来配置信任锚:
    1. 展开“信任锚”部分并单击添加以添加新条目或单击编辑以编辑所选条目。 显示“信任锚”对话窗口。
    2. 在“信任锚名称”字段中为信任锚配置指定名称。
    3. 在“密钥库存储护照”字段中指定密钥库密码。 密钥库存储护照是访问密钥库文件所需的密码。
    4. 在“密钥库路径”字段中指定到密钥库文件的路径。 密钥库路径是密钥库驻留的目录。确保无论您在哪里部署应用程序,服务器都可以找到您的密钥库文件。
    5. 从“密钥库类型”字段选择密钥库类型。 您选择的密钥库类型必须与“密钥库路径”字段中指定的密钥库文件相匹配。
    6. 单击确定以保存信任锚配置。
  5. 展开“令牌使用者”部分并单击添加以添加新条目或单击编辑以编辑所选条目。 显示“令牌使用者对话”窗口。
  6. 在“令牌使用者名称”字段中指定名称。 如果此令牌使用者是针对 X.509 证书并用于签名验证或解密,则在“密钥信息”对话窗口的“令牌”字段中引用令牌使用者名称。
  7. 在“令牌使用者类”字段中选择令牌使用者类。 选择与您正在配置的令牌类型匹配的令牌使用者类。例如,如果您正在配置处理已接收消息中的 X.509 安全性令牌的令牌使用者,则选择 com.ibm.wsspi.wssecurity.token.X509TokenConsumer 令牌使用者类。
  8. 在“安全性令牌”字段中选择安全性令牌引用。 此字段中的值引用扩展文件中配置的安全性令牌。如果您正在为 X.509 安全性令牌配置此令牌使用者,其中令牌使用者类是 com.ibm.wsspi.wssecurity.token.X509tokenConsumer,则将此字段保留为空白。
  9. 选择使用值类型选项并在“值类型”字段中选择值类型。 选择与您正在配置的令牌使用者类型匹配的安全性令牌的值类型。当您选择值类型时,组装工具根据值类型所指定的安全性令牌的类型自动在“局部名和 URI”字段中输入正确值。
  10. 可选: 如果安全性令牌需要 JAAS 配置,则选择使用 jaas.config 选项,并在 jaas.config.name 字段中指定 Java™ 认证和授权服务(JAAS)配置名称。 您所指定的 JAAS 配置名称必须是用于为此令牌使用者指定的安全性令牌的。下表列出值类型所指定的不同安全性令牌的 JAAS 配置名称。
    表 1. JAAS 配置名称和相应的值类型
    jaas.config name 值类型
    system.wssecurity.UsernameToken 用户名令牌
    system.wssecurity.IDAssertionUsernameToken 用户名令牌(用于 IDAssertion)
    system.wssecurity.X509BST X509 证书令牌
    system.wssecurity.PkiPath PKIPath 中的 X509 证书
    system.wssecurity.PKCS7 PKCS#7 中的 X509 证书和 CRL
  11. 可选: 如果此令牌使用者需要可信标识鉴别程序,则选择使用可信标识鉴别程序选项来定义新的可信标识鉴别程序,或选择使用可信标识鉴别程序引用选项来选择在缺省绑定文件中定义的现有可信标识鉴别程序。 可信标识鉴别程序通常由多跳跃环境中的目标 Web Service 使用,以确定是否信任中间 Web Service 的标识。如果您选择使用可信标识鉴别程序选项,则完成以下步骤:
    1. 在“可信标识鉴别程序类”字段中指定可信标识鉴别程序实现。 通过指定实现 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator 接口的类来实现可信标识鉴别程序。WebSphere Application Server V6 提供了可信标识鉴别程序的 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl 缺省实现。

      使用可信标识名称的列表来初始化此实现。指定可信标识作为绑定文件中的 trustedIDEvaluator 属性。当鉴别名称时,根据可信标识名称的列表来检查此名称。如果此名称在列表中,则它是可信的,而如果此名称不在列表中,则它不是可信的。

    2. 在“可信标识鉴别程序属性”部分下单击添加以添加新条目,或单击除去以删除所选条目。 每个属性条目代表可信标识。
    3. 在“名称”字段中指定 trustedId_trustmode,并在“值”字段中指定中介的标识。
    如果您选择使用可信标识鉴别程序引用选项,则在“可信标识鉴别程序引用”字段中指定现有可信标识鉴别程序的名称。
  12. 可选: 在“属性”下单击添加来为此令牌使用者添加新属性,或单击除去以删除所选属性。 如果此令牌使用者需要处理包含在用户名令牌中的现时标志和时间戳记,则在下表中定义属性。
    表 2. 现时标志和时间戳记属性
    名称
    com.ibm.wsspi.wssecurity.token.Username.verifyNonce true
    com.ibm.wsspi.wssecurity.token.Username.verifyTimestamp true
  13. 可选: 如果您正在为 X.509 安全性令牌配置此令牌使用者,则选择使用证书路径设置选项。
  14. 如果您正在为 X.509 安全性令牌配置此令牌使用者,则选择证书路径引用选项或信任任何证书选项。
    要点: 当您为 X.509 证书令牌配置令牌使用者时,要谨慎选择信任任何证书选项。由于允许使用任何证书来标记或加密 SOAP 消息,此选项可能危及您的 Web Service 应用程序的安全性。建议您使用信任锚和证书库列表来验证嵌入在已接收的 SOAP 消息中的 X.509 证书。

    如果您选择证书路径引用选项,请完成以下步骤:

    1. 从“信任锚引用”字段中的列表中选择信任锚引用。 此引用是指定密钥库的信任锚的名称,它包含可信根认证中心(CA)证书。
    2. 从“证书库引用”字段中选择证书库。 证书库列表包含非根 CA 证书(或中间证书)和证书撤销列表(CRL)。
  15. 单击确定以保存配置。
如果此令牌使用者配置是用于 X.509 安全性令牌的,则配置密钥信息。有关更多信息,请参阅为使用者绑定配置密钥信息
相关概念
可信标识鉴别程序
相关任务
在使用者安全性约束中配置安全性令牌需求
在生成者安全性约束中配置安全性令牌
为使用者绑定配置密钥信息

反馈