配置应用程序级别的令牌使用者

此任务描述指定应用程序级别的令牌使用者所需的步骤。使用者端使用该信息来合并安全性令牌。

完成以下步骤在应用程序级别上配置令牌使用者:

  1. 在 WebSphere® Application Server 管理控制台中找到令牌使用者面板。
    1. 单击应用程序 > 企业应用程序 > application_name
    2. 在“相关项”下,单击 EJB 模块Web 模块 > URI_name
    3. 在“其他属性”下,可以访问以下绑定的令牌使用者信息:
      • 对于“请求使用者(接收方)绑定”,单击 Web Service:服务器安全绑定。在“请求使用者(接收方)绑定”下,单击编辑定制
      • 对于“响应使用者(接收方)绑定”,单击 Web Service:客户机安全绑定。在“响应使用者(接收方)绑定”下,单击编辑定制
    4. 在“必需属性”下,单击令牌使用者
    5. 单击新建以创建令牌使用者配置,单击删除以删除现有配置,或者单击现有令牌使用者配置的名称以编辑其设置。 如果正在创建新配置,则在“令牌使用者名称”字段中输入唯一的名称。例如,您可以指定 con_signtgen
  2. 在“令牌使用者类名”字段中指定类名。 该令牌使用者类必须实现 com.ibm.wsspi.wssecurity.token.TokenConsumerComponent 接口。请求使用者和响应使用者的令牌使用者类名必须分别类似请求生成者和响应生成者的令牌生成者类名。例如,如果您的应用程序需要用户名令牌使用者,则可以在应用程序级别的令牌使用者面板上指定 com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator 类名,并在此字段中指定 com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer 类名。
  3. 可选: 在“部分引用”字段中选择部分引用。 该部分引用表明在部署描述符中定义的安全性令牌的名称。例如,如果您在请求消息中接收用户名令牌,则您可能要在用户名令牌使用者中引用令牌。
    要点: 在应用程序级别上,未在部署描述符中指定安全性令牌时,将不显示“部分引用”字段。如果在部署描述符中定义了称为 user_tcon 的安全性令牌,则 user_tcon 在“部分引用”字段中将作为可选项显示。
  4. 可选: 在面板的证书路径部分中,选择证书库类型并指出信任锚和证书库名称(如果需要)。 当您将 com.ibm.wsspi.wssecurity.token.X509TokenConsumer 指定为令牌使用者类名时,这些选项和字段是必要的。在令牌使用者的证书路径中创建了信任锚和集合证书库的名称。您可以选择以下某个选项:
    如果选择此选项,则不指定证书路径。
    信任全部
    如果选择此选项,则信任全部证书。使用接收到的令牌时,应用程序服务器将不验证证书路径。
    专用签名信息
    如果选择此选项,则可以选择信任锚和证书库配置。选择信任锚或可信证书的证书库时,必须在设置证书路径前配置信任锚和证书库。
    信任锚
    信任锚指定包含可信根证书的密钥库配置列表。这些配置用于入局 X.509 格式的安全性令牌的证书路径验证。信任锚中的密钥库对象包含 CertPath API 用于验证证书链的信任的可信根证书。您必须使用密钥工具实用程序创建密钥库文件,它位于 install_dir/java/jre/bin/keytool 文件中。
    您可以通过完成下列步骤来配置应用程序级别的信任锚:
    1. 单击应用程序 > 企业应用程序 > application_name
    2. 在“相关项”下,单击 EJB 模块Web 模块 > URI_name
    3. 从以下绑定访问令牌使用者:
      • 对于“请求使用者(接收方)绑定”,单击 Web Service:服务器安全绑定。在“请求使用者(接收方)绑定”下,单击编辑定制
      • 对于“响应使用者(接收方)绑定”,单击 Web Service:客户机安全绑定。在“响应使用者(接收方)绑定”下,单击编辑定制
    4. 在“其他属性”下,单击信任锚
    集合证书库
    集合证书库包含不可信的中间证书的列表和证书撤销列表(CRL)。该集合证书库用于入局 X.509 格式的安全性令牌的证书路径验证。您可以通过完成下列步骤来配置应用程序级别的集合证书库:
    1. 单击应用程序 > 企业应用程序 > application_name
    2. 在“相关项”下,单击 EJB 模块Web 模块 > URI_name
    3. 从以下绑定访问令牌使用者:
      • 对于“请求使用者(接收方)绑定”,单击 Web Service:服务器安全绑定。在“请求使用者(接收方)绑定”下,单击编辑定制
      • 对于“响应使用者(接收方)绑定”,单击 Web Service:客户机安全绑定。在“响应使用者(接收方)绑定”下,单击编辑定制
    4. 在“其他属性”下,单击集合证书库
  5. 可选: 指定可信标识鉴别程序。 该可信标识鉴别程序用于评估接收的标识是否可信。您可以选择以下某个选项:
    如果选择此选项,则不指定可信标识鉴别程序。
    现有鉴别程序定义
    如果选择此选项,则可以选择某个已配置的可信标识鉴别程序。例如,可以选择 SampleTrustedIDEvaluator,它是由 WebSphere Application Server 以示例形式提供的。
    绑定鉴别程序定义
    如果选择此选项,则可以通过指定可信标识鉴别程序名和类名配置新的可信标识鉴别程序。
    可信标识鉴别程序名
    指定应用程序绑定使用的名称以引用缺省绑定中定义的可信标识(标识)鉴别程序。
    可信标识鉴别程序类名
    指定可信标识鉴别程序的类名。指定的可信标识鉴别程序类名必须实现 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator 接口。缺省 TrustedIDEvaluator 类是 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl。使用此缺省 TrustedIDEvaluator 类时,必须指定缺省可信标识鉴别程序的名称和值属性以创建用于鉴别的可信标识列表。要指定名称和值属性,完成下列步骤:
    1. 在“其他属性”下面,单击属性 > 新建
    2. 在“属性”字段中指定可信标识鉴别程序名。必须以格式 trustedId_n(其中,_n 是 0 到 n 的整数)指定名称。
    3. 在“值”字段中指定可信标识。
    例如:
    property name="trustedId_0", value="CN=Bob,O=ACME,C=US"
    property name="trustedId_1, value="user1"

    如果使用了专有名称(DN),则除去空格以进行比较。请参阅文档中的编程模型信息以获取如何实现 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator 接口的说明。有关更多信息,请参阅Web Service 安全性服务提供者编程接口的缺省实现

    注: 定义服务器级别而不是应用程序级别的可信标识鉴别程序。要定义服务器级别的可信标识鉴别程序,完成以下步骤:
    1. 单击服务器 > 应用程序服务器 > server_name
    2. 在“安全性”下,单击 Web Service:Web Service 安全性的缺省绑定
    3. 在“其他属性”下,单击可信标识鉴别程序
    4. 单击新建以定义新的可信标识鉴别程序。

    该可信标识鉴别程序配置仅可用于服务器端应用程序级别的令牌使用者。

  6. 可选: 选择验证现时标志选项。 此选项表明在用户名令牌内为令牌使用者指定现时标志时是否对其进行验证。现时标志是一个嵌入在消息中的唯一的加密数字,以帮助停止用户名令牌的重复、未授权的攻击。仅当合并的令牌类型是用户名令牌时,验证现时标志选项才有效。
  7. 可选: 选择验证时间戳记选项。 此选项表明是否验证用户名令牌中的时间戳记。仅当合并的令牌类型是用户名令牌时,验证现时标志选项才有效。
  8. 在“局部名”字段中指定值类型局部名。 此字段指定使用的令牌的值类型的局部名。对于用户名令牌和 X.509 证书安全性令牌,WebSphere Application Server 为值类型提供了预定义的局部名。指定以下局部名时,不需要指定值类型的 URI:
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
    此局部名指定用户名令牌。
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509
    此局部名指定 X.509 证书令牌。
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    此局部名用公共密钥基础结构(PKI)路径指定 X.509 证书。
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    此局部名指定 PKCS#7 格式的 X.509 证书列表和证书撤销列表。
    LTPA
    此局部名指定轻量级第三方认证(LTPA)令牌。
    要点: 当为值类型局部名指定 LTPA 时,不需要指定值类型统一资源标识(URI),即 http://www.ibm.com/websphere/appserver/tokentype/5.0.2。
  9. 可选: 在 URI 字段中指定值类型 URI。 此条目指定使用的令牌的值类型的名称空间 URI。
    切记: 如果您指定用户名令牌或 X.509 证书安全性令牌的令牌使用者时,不需要指定值类型 URI。

    如果要指定另一个令牌,则必须指定局部名和 URI。例如,如果拥有您自己的定制令牌的实现,则可以在“局部名”字段和 http://www.ibm.com/custom 中指定 CustomToken

  10. 单击确定保存以保存配置。
  11. 单击令牌使用者配置的名称。
  12. 在“其他属性”下,单击 JAAS 配置 Java™ 认证和授权服务(JAAS)配置指定了 JAAS 登录面板中定义的 JAAS 配置的名称。JAAS 配置指定令牌如何登录到使用者端上。
  13. 从“JAAS 配置名称”字段中选择 JAAS 配置。 该字段指定 JAAS 系统应用程序登录配置的名称。您可以通过单击安全性 > 全局安全性指定其他 JAAS 系统和应用程序配置。在“认证”下面,单击 JAAS 配置并单击应用程序登录 > 新建系统登录 > 新建。不要除去预定义的系统或应用程序登录配置。但是,在这些配置中,可以添加模块类名和指定 WebSphere Application Server 装入每个模块的顺序。WebSphere Application Server 提供了下列预定义的 JAAS 配置:
    ClientContainer
    此选择指定客户机容器应用程序使用的登录配置。该配置使用在部署描述符中为客户机容器定义的 CallbackHandler 应用程序编程接口(API)。要修改此配置,请参阅应用程序登录的 JAAS 配置面板。
    WSLogin
    此选择指定是否所有应用程序都可以使用 WSLogin 配置来执行安全运行时的认证。要修改此配置,请参阅应用程序登录的 JAAS 配置面板。
    DefaultPrincipalMapping
    此选项指定一个登录配置,Java 2 连接器(J2C)使用该登录配置来将用户映射至 J2C 认证数据条目中定义的主体。要修改此配置,请参阅应用程序登录的 JAAS 配置面板。
    system.wssecurity.IDAssertion
    此选项使 V5.x 应用程序能够使用标识声明来将用户名映射至 WebSphere Application Server 凭证主体。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.wssecurity.Signature
    此选项使 V5.x 应用程序能够将已签名的证书中的专有名称(DN)映射至 WebSphere Application Server 凭证主体。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.LTPA_WEB
    此选择处理 Web 容器使用的登录请求,例如,servlet 和 JavaServer Pages(JSP)文件。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.WEB_INBOUND
    此选择处理 Web 应用程序的登录请求,包含 servlet 和 JavaServer Pages(JSP)文件。此登录配置由 WebSphere Application Server V5.1.1 使用。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.RMI_INBOUND
    此选择处理入站远程方法调用(RMI)请求的登录。此登录配置由 WebSphere Application Server V5.1.1 使用。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.DEFAULT
    此选择处理内部认证进行的入站登录请求和大多数其他协议的请求,但不含 Web 应用程序和 RMI 请求。此登录配置由 WebSphere Application Server V5.1.1 使用。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.RMI_OUTBOUND
    当 com.ibm.CSI.rmiOutboundLoginEnabled 或 com.ibm.CSIOutboundPropagationEnabled 属性为 true 时,此选择处理发送出站到另一台服务器的 RMI 请求。在 CSIv2 认证面板中设置这些属性。

    要访问该面板,请单击安全性 > 全局安全性。在“认证”下,单击认证协议 > CSIv2 出站认证。要设置 com.ibm.CSI.rmiOutboundLoginEnabled 属性,选择定制出站映射选项。要设置 com.ibm.CSIOutboundPropagationEnabled 属性,选择安全属性传播选项。要修改此 JAAS 登录配置,请参阅系统登录的 JAAS 配置面板。

    system.wssecurity.X509BST
    此选择通过检查证书和证书路径的有效性验证 X.509 二进制安全性令牌(BST)。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.wssecurity.PKCS7
    此选择验证 PKCS7 对象内的 X.509 证书,该证书可能包含证书链和/或证书撤销列表。 要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.wssecurity.PkiPath
    此部分使用公用密钥基础结构(PKI)路径验证 X.509 证书。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.wssecurity.UsernameToken
    此选择验证基本认证(用户名和密码)数据。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.wssecurity.IDAssertionUsernameToken
    此选项支持在 V6 应用程序中使用标识声明来将用户名映射至 WebSphere Application Server 凭证主体。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    此选项表示不指定 JAAS 登录配置。
  14. 单击确定,然后单击保存保存配置。
您已配置应用程序级别的令牌使用者。
您必须为应用程序级别指定类似的令牌生成者配置。
相关概念
Web Service 安全性服务提供者编程接口的缺省实现
相关任务
在应用程序级别上配置使用者绑定的集合证书库
配置应用程序级别的令牌使用者

反馈