配置标识声明

标识声明是其中一项 WebSphere® Application Server V6 增强功能,但是必须在受保护的环境(如虚拟专用网(VPN)或 HTTPS)中使用此功能。在安全环境中,发送不具有凭证而具有其他可信凭证的请求方标识(如服务器标识)是可能的。借助标识声明,WebSphere Application Server 支持下列类型的信任方式:
指定可信凭证未连接到简单对象访问协议(SOAP)消息
BasicAuth
指定具有用户名和密码的用户名令牌用作可信凭证
签名
指定数字签名中使用 X.509 证书安全性令牌

标识声明的特定配置仅在服务配置的使用者端上是必需的。在生成者端上,您需要在客户机配置内配置两个令牌生成者:一个用于请求者令牌,另一个用于可信方的令牌。

完成下列步骤来配置应用程序以进行标识声明。您必须配置使用者和生成者来完成该配置。

  1. 单击窗口 > 打开透视图 > J2EE
  2. 展开“项目资源管理器”中的“Web Service > 服务”部分,并双击 Web Service 的名称。
  3. 单击扩展选项卡,并展开“响应使用者服务配置详细信息 > 调用者部件”部分来配置调用者令牌。
  4. 为使用者配置调用者令牌。 完成下列步骤来配置使用者的调用者令牌:
    1. 单击添加以配置调用者部件。 显示“调用者部分”对话窗口。在此窗口中,配置用作调用者(请求者)凭证的令牌和用于可信一方的令牌。
    2. 在“名称”字段中指定调用者令牌的名称。
    3. 在“令牌类型”字段中选择调用者令牌的类型。 例如,如果用户名令牌用作调用者令牌,则可选择用户名。当您选择令牌类型时,将自动指定局部名。
    4. 可选: 如果您在“令牌类型”字段中选择定制令牌,则必须指定定制令牌的局部名和统一资源标识(URI)。该 URI 字段仅用于定制令牌。
    5. 可选: 如果调用者令牌还用作必需完整性或机密性部分的证书,则在“完整性部分”或“机密性部分“字段中选择部分名。 该列表包含完整性和机密性部分的名称,在“必需完整性”和“必需机密性”部分中为使用者定义这些名称。 例如,当 X.509 证书令牌用于主体元素的调用者令牌和签名证书时,您可以在“令牌类型”字段中选择 X.509 证书令牌,在“完整性部分”或“机密性部分”字段中选择 reqint_body1。此示例假设 reqint_body1 是必需的完整性配置。
  5. 为使用者配置可信方令牌。 完成下列步骤来配置可信方令牌:
    1. 选择使用 IDAssertion 选项将信任方法与此调用者相关联来验证调解人(调用者)声明的标识。
    2. 在“信任方法名”字段中选择信任方法的名称。 支持以下选择:
      选择此选项指定可信凭证未连接到 SOAP 消息。
      BasicAuth
      选择此选项指定具有用户名和密码的用户名令牌用作可信凭证。
      签名
      选择此选项指定数字签名中使用 X.509 证书安全性令牌。

      当选择 BasicAuth 或“签名”时,将自动指定 URI 和“局部名”字段。

    3. 可选: 如果您需要可信方令牌的数字签名或加密,则在“完整性部分”或“机密性部分”字段中选择完整性或机密性部分的名称。 例如,如果您在“信任方法名称”字段中选择签名,并且您要求可信方令牌签署主体元素,则在“完整性和机密性部分”字段中选择 reqint_body2。此示例假设 reqint_body2 是必需的完整性配置。
  6. 可选: 如果您在“信任方法名”字段中选择 BasicAuth签名,则在绑定配置的“令牌使用者对话”窗口中指定可信标识鉴别程序。 完成以下步骤以指定可信标识鉴别程序:
    1. 在 Web Service 编辑器中单击绑定配置
    2. 展开“令牌使用者”部分并单击添加
    3. 单击使用可信标识鉴别程序选项。
    4. 在“可信标识鉴别程序类”字段中指定类名。 该类实现 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator 接口并验证可信方令牌。WebSphere Application Server 提供了 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl 类,这个类是 TrustedIDEvaluator 接口的样本实现。如果您使用此类,则在“可信标识鉴别程序类”字段中指定 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl 并单击添加以添加以下可信标识鉴别程序属性:
      • 在“名称”字段中,指定 trustedid
      • 在“值”字段中,指定 CN=Alice,O=IBM,C=US
      属性值为用户名的专有名称(DN)或可信方令牌的 X.509 证书令牌。
    5. 单击确定以保存配置。
  7. 展开“项目资源管理器”中的“Web Service > 客户机”部分,并双击 Web Service 的名称。
  8. 单击 WS 扩展选项卡,并展开“请求生成者配置 > 安全性令牌”部分。
  9. 为生成者指定调用者令牌。 如果令牌用于签名或加密,则不要在“必需令牌”中指定令牌。 然而,您必须在“必需令牌”中为单机令牌指定一个令牌。单机令牌不是用于签名或加密的令牌。 当调用者令牌的类型是用户名令牌或 X.509 证书令牌且不用于签名或加密时,为此调用者令牌指定安全性令牌。
    1. 单击添加以配置安全性令牌。
    2. 在“名称”字段中指定调用者令牌的名称。
    3. 在“令牌类型”字段中选择用户名X.509 证书令牌选项。 在选择这两个选项之一后,将自动定义“局部名”字段的值。
    4. 单击确定以保存配置。
    5. 单击 WS 绑定选项卡并展开“安全性请求生成者绑定配置 > 令牌生成者”部分。
    6. 单击添加来为调用者令牌添加令牌生成者配置。
    7. 单击确定以保存配置。
  10. 配置可信方令牌。 当信任方式(先前指定的)为“无”时,仅连接调用者令牌并且您不必指定可信方的安全性令牌。信任方式为 BasicAuth 或“签名” 时,您需要指定可信方令牌的用户名令牌或 X.509 证书令牌。然而,如果可信方的 X.509 证书令牌也用于数字签名或加密时,您不必指定可信方的安全性令牌。 完成下列步骤来配置可信方令牌:
    1. 展开“项目资源管理器”中的“Web Service > 客户机”部分,并双击 Web Service 的名称。
    2. 单击 WS 扩展选项卡,并展开“请求生成者配置 > 安全性令牌”部分。
    3. 单击添加以配置安全性令牌。
    4. 在“名称”字段中指定可信方令牌的名称。
    5. 在“令牌类型”字段中选择用户名X.509 证书令牌选项。 在选择这两个选项之一后,将自动定义“局部名”字段的值。
    6. 单击确定以保存配置。
    7. 单击 WS 绑定选项卡并展开“安全性请求生成者绑定配置 > 令牌生成者”部分。
    8. 单击添加,并为可信方令牌添加令牌生成者配置。
    9. 单击确定以保存配置。
为标识声明配置环境。
相关任务
使用组装工具配置令牌生成者

反馈