使用组装工具配置令牌生成者

完成此任务之前,您必须完成以下步骤:

安全性令牌代表客户机做出的一组声明。这组声明可能包括名称、密码、标识、密钥、证书、组、特权等等。安全性令牌嵌入在 SOAP 头的简单对象访问协议(SOAP)消息中。SOAP 头中的安全性令牌从消息发送方传播到期望的消息接收方。

请完成下列步骤,以在步骤 2 中为令牌生成者配置客户端绑定或在步骤 3 中为令牌生成者配置服务器端绑定:

  1. 单击窗口 > 打开透视图 > J2EE
  2. 可选: 使用“项目资源管理器”窗口找到客户端绑定。 显示“客户机部署描述符”窗口。此 Web Service 包含需要配置的绑定。
    1. 展开“Web Service > 客户机”部分,并双击 Web Service 的名称。
    2. 单击 WS 绑定选项卡并展开“安全请求生成者绑定配置”部分。
  3. 可选: 使用“项目资源管理器”窗口找到服务器端绑定。 显示“Web Service 编辑器”窗口。此 Web Service 包含需要配置的绑定。
    1. 展开“Web Service > 服务”部分,并双击 Web Service 的名称。
    2. 单击绑定配置选项卡,并展开“响应生成者绑定配置详细信息”部分。
  4. 可选: 如果您正在为 X.509 安全性令牌配置此令牌使用者,则配置信任锚。
    1. 展开“信任锚”部分并单击添加以添加新条目或单击编辑以编辑所选条目。 显示“信任锚”对话窗口。
    2. 在“信任锚名称”字段中为信任锚配置指定名称。
    3. 在“密钥库存储护照”字段中指定密钥库密码。 密钥库存储护照是访问密钥库文件所需的密码。
    4. 在“密钥库路径”字段中指定到密钥库文件的路径。 密钥库路径是密钥库驻留的目录。确保无论您在哪里部署应用程序,都可以找到您的密钥库文件。
    5. 从“密钥库类型”字段选择密钥库类型。 您选择的密钥库类型必须与“密钥库路径”字段中指定的密钥库文件相匹配。
  5. 展开“令牌生成者”部分并单击添加以添加新条目或单击编辑以编辑所选条目。 显示“令牌生成者对话”窗口。
  6. 在“令牌生成者名称”字段中指定唯一名称。 例如,您可以指定 gen_signtgen。如果此令牌生成者是针对 X.509 证书并用于签名生成或加密,则在“密钥信息”对话窗口的“令牌”字段中引用令牌生成者名称。
  7. 在“令牌生成者类”字段中选择令牌生成者类。 选择与您正在配置的令牌类型匹配的令牌生成者类。此类必须实现 com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent 接口。支持以下缺省令牌生成者实现:
    • com.ibm.wsspi.wssecurity.token.LTPATokenGenerator
    • com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator
    • com.ibm.wsspi.wssecurity.token.X509TokenGenerator
  8. 在“安全性令牌”字段中选择安全性令牌引用。 此字段中的值引用扩展文件中配置的安全性令牌。
  9. 选择使用值类型选项并在“值类型”字段中选择值类型。 选择与您正在配置的令牌生成者类型匹配的安全性令牌的值类型。当您选择值类型时,组装工具根据值类型所指定的安全性令牌的类型自动在“局部名和 URI”字段中输入正确值。如果您选择定制令牌,则必须为已生成令牌的值类型指定局部名和名称空间 URI。支持以下值类型:
    • 用户名令牌
    • X509 证书令牌
    • PKIPath 中的 X509 证书
    • PKCS#7 格式的 X509 证书和 CRL 列表
    • LTPA 令牌
    • 定制令牌
  10. 在“回调处理程序”字段中指定回调处理程序类名。 此名称是用于插入安全性令牌框架的回调处理程序实现类。指定的回调处理程序类必须实现 javax.security.auth.callback.CallbackHandler 接口。Java™ 认证和授权服务(JAAS)javax.security.auth.callback.CallbackHandler 接口的实现必须使用以下语法来提供构造函数:
    MyCallbackHandler(String username, char[] password, java.util.Map properties)
    其中:
    • username 指定传递到配置的用户名。
    • password 指定传递到配置的密码。
    • properties 指定传递到配置的其他配置属性。
    支持以下缺省回调处理程序实现:
    com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
    此回调处理程序使用登录提示收集用户名和密码信息。但是,如果在此面板上指定了用户名和密码,就不会显示提示;并且,如果在此面板上指定了用户名和密码,WebSphere® Application Server 会将该用户名和密码返回给令牌生成者。只应该对 Java 2 Platform, Enterprise Edition(J2EE)应用程序客户机使用此实现。
    com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
    如果在此面板上指定了用户名和密码,则此回调处理程序不发出提示并返回用户名和密码。当 Web Service 作为客户机时可以使用此回调处理程序。
    com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
    此回调处理程序使用标准提示符收集用户名和密码。但是,如果在此面板上指定了用户名和密码,则 WebSphere Application Server 不发出提示,而是将该用户名和密码返回给令牌生成者。此实现仅用于 J2EE Application Client。
    com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
    此回调处理程序用于从“运行方式调用主体集”获取轻量级第三方认证(LTPA)安全性令牌。此令牌作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。但是,如果在此面板上指定了用户名和密码,则 WebSphere Application Server 将对该用户名和密码进行认证以获取 LTPA 安全性令牌,而不是从“运行方式主体集”中获取该安全性令牌。仅当 Web Service 作为应用程序服务器上的客户机时使用此回调处理程序。建议您不要在 J2EE Application Client 上使用此回调处理程序。
    com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
    此回调处理程序用于创建 X.509 证书,此证书作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。密钥库和密钥定义对于此回调处理程序来说是必需的。
    com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
    此回调处理程序用于创建以 PKCS#7 格式编码的 X.509 证书。该证书作为二进制安全性令牌插入在 SOAP 消息中的 Web Service 安全性头中。此回调处理程序需要密钥库。必须在集合证书库中指定证书撤销列表(CRL)。CRL 是用 PKCS#7 格式的 X.509 证书编码的。
    com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
    此回调处理程序用于创建以 PkiPath 格式编码的 X.509 证书。该证书作为二进制安全性令牌插入在 SOAP 消息中的 Web Service 安全性头中。此回调处理程序需要密钥库。此回调处理程序不支持 CRL;因此,不需要或不使用集合证书库。

    回调处理程序实现获取必需的安全性令牌并将它传递到响应生成者。令牌生成者将安全性令牌插入在 SOAP 消息的 Web Service 安全性头中。令牌生成者也是可插入安全性令牌框架的插入点。服务提供者可以提供它们自己的实现,但是该实现必须使用 com.ibm.wsspi.wssecurity.token.TokenConsumerComponent 接口。

  11. 在“用户标识”字段中指定基本认证用户标识。 此用户名传递到回调处理程序实现的构造函数。如果您选择以下某个缺省回调处理程序实现,则使用基本认证用户名和密码,如前一步骤中所述:
    • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
    • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
    • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
    • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
  12. 在“密码”字段中指定基本认证密码。 此密码传递到回调处理程序实现的构造函数。
  13. 可选: 如果您之前选择了以下某个回调处理程序: com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler,则选择使用密钥库选项并完成以下子步骤:com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler 或 com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler。
    1. 在“密钥库存储护照”字段中指定密钥库的密码。 此密码用于访问密钥库文件。
    2. 在“密钥库路径”字段中指定密钥库的位置。
    3. 在“密钥库类型”字段中指定密钥库的类型。 支持以下密钥库类型:
      JKS
      如果密钥库使用 Java 密钥库(JKS)格式,则使用此选项。
      JCEKS
      如果在软件开发包(SDK)中配置了 Java 密码术扩展,则使用此选项。在 WebSphere Application Server 中配置了缺省 IBM® JCE。此选项通过使用三重 DES 加密为存储的专用密钥提供更强的保护。
      PKCS11
      如果密钥库使用 PKCS#11 文件格式,则使用此格式。使用此格式的密钥库可以包含加密硬件上的 RSA 密钥,或者包含使用加密硬件的加密密钥来确保安全。
      PKCS12
      如果密钥库使用 PKCS#12 文件格式,则使用此选项。
    4. 在“密钥”部分中,单击添加以添加密钥。 您还可以单击除去以除去现有密钥。
    5. 在“密钥”部分中,在“别名”字段中指定密钥的别名。 例如,您可以指定 bob。密钥定位器使用密钥别名来找到密钥库文件中的密钥。
    6. 在“密钥”部分中,在“密钥传递”字段中指定密钥的密码。 需要此密码访问密钥库文件内的密钥对象。
    7. 在“密钥”部分中,在“密钥名称”字段中指定名称。 密钥名必须是标准的专有名称。例如,您可以指定 CN=Bob,O=IBM,C=US
  14. 可选: 如果令牌生成者使用 PKCS#7 令牌类型,并且您要在安全性令牌中打包证书撤销列表(CRL),则选择使用证书路径设置选项。
    1. 选择证书路径引用选项和证书库引用。 此选择引用在“证书库列表”部分中配置的证书库。有关更多信息,请参阅为生成者绑定配置集合证书库
  15. 可选: 单击添加,并在“属性”部分中指定其他属性。
    如果令牌生成者将现时标志包括在用户名令牌中,则添加以下名称和值对:
    名称
    com.ibm.wsspi.wssecurity.token.username.addNonce
    true
    现时标志是唯一加密数字,它嵌入在消息中以帮助停止用户名令牌的重复未授权攻击。仅当已生成令牌类型是用户名令牌时,属性才有效。此选项仅可用于请求生成者绑定。
    如果令牌生成者可以将时间戳记包括在用户名令牌中,则添加以下名称和值对:
    名称
    com.ibm.wsspi.wssecurity.token.username.addTimestamp
    true
    仅当已生成令牌类型是用户名令牌并且仅可用于请求生成者绑定时,此选项才有效。
    如果在 IBM 扩展部署描述符中定义了标识声明,则添加以下名值对:
    名称
    com.ibm.wsspi.wssecurity.token.IDAssertion.isUsed
    true
    此选项表明仅需要初始发送方的标识,并且此标识将插入 SOAP 消息中的 Web Service 安全性头中。例如,对于用户名令牌生成者,WebSphere Application Server 只发送初始调用者的用户名。对于 X.509 令牌生成者,应用程序服务器仅发送原始签署者证书。
    如果在 IBM 扩展部署描述符中定义了标识声明,并且要对下游调用中的标识声明使用运行方式标识而不是初始调用者标识,则添加以下名值对:
    名称
    com.ibm.wsspi.wssecurity.token.IDAssertion.useRunAsIdentity
    true
    仅当已生成令牌类型是用户名令牌时,此选项才有效。
  16. 单击确定以保存配置。
如果此令牌生成者配置是用于 X.509 安全性令牌的,则配置密钥信息。有关更多信息,请参阅为生成者绑定配置密钥信息
相关概念
信任锚
相关任务
在生成者安全性约束中配置安全性令牌
为生成者绑定配置密钥信息
为生成者绑定配置集合证书库

反馈