Параметры маркеров идентификации генератора или приемника

Маркеры идентификации используются для проверки и утверждения идентификации. Добавление параметров маркеров идентификации для фрагментов сообщений выполняется с помощью административной консоли во время изменения общей привязки.

Для настройки маркеров идентификации выполните следующие действия:

Для просмотра и выбора общих привязок, настроенных в качестве привязок по умолчанию наборов стратегий глобальной защиты, выберите Службы > Наборы стратегий > Привязки по умолчанию наборов стратегий. Будут использоваться указанные привязки, если только они не переопределяются в точке прикрепления, на сервере или в домене защиты.
Для доступа к общим привязкам и для их настройки, а также для добавления параметров маркеров идентификации для фрагментов сообщений выберите Службы > Наборы стратегий > Общие привязки наборов стратегий поставщика.
Щелкните на стратегии WS-Security в таблице Стратегии.
Щелкните на ссылке Идентификация и защита в разделе Привязки стратегии защиты главного сообщения.
Выберите Создать маркер для создания нового генератора или приемника маркеров или щелкните на ссылке существующего маркера приемника или генератора в таблице Ключи идентификации.

Для просмотра и настройки привязок приложения для маркеров и фрагментов сообщений, которые требуются набору стратегий, выполните следующие действия:

Выберите Приложения > Типы приложений > Приложения WebSphere J2EE.
Выберите приложение, содержащее Web-службы. Приложение должно содержать поставщика служб или клиента служб.
В разделе Свойства Web-служб щелкните на ссылке Наборы стратегий и привязки поставщика служб или Наборы стратегий и привязки клиентов служб.
Выберите привязку. Перед этим нужно прикрепить набор стратегий и присвоить привязку приложения.
Щелкните на стратегии WS-защита в таблице Стратегии.
Щелкните на ссылке Идентификация и защита в разделе Привязки стратегии защиты главного сообщения.
Щелкните на ссылке маркера генератора или получателя в таблице Маркеры защиты.

Эта панель административной консоли применима только к Java API для Web-служб XML (JAX-WS).

Имя

Указывает имя настраиваемого маркера. При работе с привязками приложения это поле не показано.

Тип маркера

Указывает тип настраиваемого маркера.

При работе с привязками приложения тип маркера извлекается из файла стратегии и доступен только для чтения. При работе с общими привязками выберите тип маркера из списка. Доступны следующие типы маркеров:

Маркер X509V3 V1.1
Маркер X509V3 V1.0
Маркер Username V1.1
Маркер Username V1.0
Маркер X509PKCS7 V1.1
Маркер X509PKCS7 V1.0
Маркер X509PkiPathV1 V1.1
Маркер X509PkiPathV1 V1.0
Маркер распространения LTPA
Маркер X509V1 V1.1
Ключ LTPA
Ключ LTPA V2.0
Пользовательский маркер

Новая функция: Тип ключа LTPA V2.0 доступен только для привязок, использующих новое пространство имен в IBM WebSphere Application Server версии 7.0 и выше. Если в качестве типа маркера для приемника маркеров указывается Ключ LTPA V2.0, то могут использоваться как ключи LTPA, так и ключи LTPA V2.0. Для того чтобы приемник работал только с ключами LTPA V2.0, включите переключатель Применять версию ключа.

Если в качестве типа маркера для генератора маркеров выбран Ключ LTPA, то необходимо включить режим стыкуемости единого входа в систему. Это параметр глобальной защиты в разделе Защита Web и SIP. Если флаг стыкуемости не установлен (значение не равно true), то при запуске приложения, прикрепленного к этим привязкам, возникают ошибки. Если ключ LTPA должен использоваться без проверки состояния флага стыкуемости, то для генератора маркеров можно задать пользовательское свойство com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7.

newfeat

Локальное имя

Указывает локальное имя генератора или получателя маркера идентификатора. В поле Локальное имя значение задается исходя из отображаемого типа маркера. Используйте это поле только для изменения типом пользовательских маркеров.

URI

Указывает URI генератора или получателя маркера идентификации. В поле URI значение задается исходя из отображаемого типа маркера. Используйте это поле только для изменения типом пользовательских маркеров.

Если пользовательский маркер используется для создания маркера Kerberos, как определено в спецификации защиты Web-служб OASIS для профайла маркера Kerberos версии 1.1, оставьте это поле пустым.

Ссылка на маркер доступа

Указывает ссылку ключа защиты. Поле ссылки на ключ защиты отображается только для маркеров идентификации в привязках приложения. Для привязок по умолчанию это поле недоступно.

Идентификация JAAS

Задает список сеансов Java Authentication and Authorization Service (JAAS) приложения и системы, действующих для домена, который представляет собой область действия привязки.

Если область действия приложения - ячейка глобальной защиты или домен, для которых не настроены их собственные сеансы JAAS, то в меню будет показан список глобальных сеансов. Для доступа к набору сеансов приложения JAAS нажмите кнопку Создать сеанс приложения. Вид списка меню сеансов JAAS и действие кнопки Создать сеанс приложения зависят от того, создается ли привязка в связи с прикреплением. Будьте осторожны при изменении доменов защиты, поскольку указанная ранее конфигурация защиты (такая как сеансы JAAS) в другом домене защиты может оказаться недоступной.

Если для генерации двоичного ключа защиты Kerberos применяется пользовательский тип маркера, то в качестве модуля сеанса JAAS для генерации маркера выберите wss.generate.KRB5BST, для приемника маркера - wss.consume.KRB5BST, а для преобразования по умолчанию ИД субъекта Kerberos в локальный реестр пользователей с помощью приемника маркера - wss.consume.KRB5BSTDefaultIdMapping.

Пользовательские свойства - Имя

Указывает имя для пользовательского свойства.

Пользовательские свойства изначально не отображаются в этом столбце. Чтобы выполнить действие, нажмите одну из следующих кнопок:

Кнопка	Действие
Создать	Создает новую запись пользовательского свойства. Для добавления пользовательского свойства введите имя и значение.
Изменить	Позволяет изменить выбранное пользовательское свойство. При нажатии этой кнопки появляется поле ввода и создается список значений ячейки для изменения. Кнопка Изменить недоступна если не добавлено ни одного пользовательского свойства.
Удалить	Удаляет выбранное пользовательское свойство.

Пользовательские свойства - Значение

Указывает значение используемого пользовательского свойства. Поле Значение позволяет ввести, изменить или удалить значения пользовательского свойства.

Если для генерации маркера Kerberos применяется пользовательский тип маркера, укажите в пользовательском свойстве имя целевой службы com.ibm.wsspi.wssecurity.krbtoken.targetServiceName, имя связанного с целевой службой хоста com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost, и связанную с целевой службой область Kerberos com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm. Пользовательские свойства com.ibm.wsspi.wssecurity.krbtoken.targetServiceName и com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost являются обязательными, свойство com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm - не обязательное. Для генератора маркеров комбинация имени целевой службы и имени связанного с ней хоста образует Имя субъекта службы (Service Principal Name - SPN), представляющее целевое имя субъекта службы Kerberos. Клиент Kerberos запрашивает начальный маркер AP_REQ Kerberos для SPN.

Обработчик обратного вызова

Ссылается н страницу Обработчик обратного вызова, на которой можно настроить обработчики обратных вызовов. Параметры обработчика обратного вызова определяет способ получения маркеров защиты из заголовков сообщений.

При работе с маркером Имя пользователя или ключом LTPA и использовании привязок по умолчанию, имена пользователей и пароли могут быть указаны как примеры. Необходимо обновить значения для данных типов маркеров.

Имя файла: uwbs_wsspsbat.html