Einstellungen für Token für Zugriffsschutz (Generator oder Konsument)

Verwenden Sie diese Seite, um Token für den Zugriffsschutz zu konfigurieren. Mit Token für Zugriffsschutz werden Nachrichten zur Gewährleistung der Integrität signiert bzw. zur Gewährleistung der Vertraulichkeit verschlüsselt.

Sie können die Einstellungen des Tokens für Zugriffsschutz für Nachrichtenabschnitte konfigurieren, wenn Sie allgemeine Provider- oder Clientrichtliniensatzbindungen bearbeiten. Sie können auch anwendungsspezifische Bindungen für Token und Nachrichtenabschnitte konfigurieren, die für den Richtliniensatz erforderlich sind.

Wenn Sie eine allgemeine Providerbindung bearbeiten, können Sie diese Seite der Administrationskonsole wie folgt aufrufen:
  1. Klicken Sie auf Services > Richtliniensätze > Allgemeine Providerrichtliniensatzbindungen.
  2. Klicken Sie auf den Namen der Bindung, die Sie bearbeiten möchten.
  3. Klicken Sie in der Tabelle "Richtlinien" auf die Richtlinie WS-Security.
  4. Klicken Sie im Abschnitt "Bindungen für Hauptnachrichtensicherheitsrichtlinie" auf den Link Authentifizierung und Zugriffsschutz.
  5. Klicken Sie auf Neues Token, um einen neuen Tokengenerator oder Tokenkonsumenten zu erstellen, oder klicken Sie in der Tabelle "Token für Zugriffsschutz" auf den Link eines vorhandenen Konsumenten- oder Generatortokens.
Wenn Sie eine allgemeine Clientbindung bearbeiten, können Sie diese Seite der Administrationskonsole wie folgt aufrufen:
  1. Klicken Sie auf Services > Richtliniensätze > Allgemeine Clientrichtliniensatzbindungen.
  2. Klicken Sie auf den Namen der Bindung, die Sie bearbeiten möchten.
  3. Klicken Sie in der Tabelle "Richtlinien" auf die Richtlinie WS-Security.
  4. Klicken Sie im Abschnitt "Bindungen für Hauptnachrichtensicherheitsrichtlinie" auf den Link Authentifizierung und Zugriffsschutz.
  5. Klicken Sie auf Neues Token, um einen neuen Tokengenerator oder Tokenkonsumenten zu erstellen, oder klicken Sie in der Tabelle "Token für Zugriffsschutz" auf den Link eines vorhandenen Konsumenten- oder Generatortokens.
Wenn Sie anwendungsspezifische Bindungen für Token und Nachrichtenabschnitte, die der Richtliniensatz erfordert, konfigurieren, können Sie diese Seite der Administrationskonsole wie folgt aufrufen:
  1. Klicken Sie auf Anwendungen > WebSphere-Unternehmensanwendungen.
  2. Wählen Sie eine Anwendung aus, die Web-Services enthält. Die Anwendung muss einen Serviceprovider oder einen Serviceclient enthalten.
  3. Klicken Sie im Abschnitt "Web-Service-Eigenschaften" auf den Link Richtliniensätze und Bindungen für Serviceprovider oder auf den Link Richtliniensätze und Bindungen für Serviceclient.
  4. Wählen Sie eine Bindung aus. Sie müssen vorher einen Richtliniensatz zugeordnet und eine Bindung zugewiesen haben.
  5. Klicken Sie in der Tabelle "Richtlinien" auf die Richtlinie WS-Security.
  6. Klicken Sie im Abschnitt im Abschnitt "Bindungen für Hauptnachrichtensicherheitsrichtlinie" auf den Link Authentifizierung und Zugriffsschutz.
  7. Klicken Sie in der Tabelle "Token für Zugriffsschutz" auf den Link eines Konsumenten- oder Generatortokens.

Diese Anzeige der Administrationskonsole wird nur auf JAX-WS-Web-Services (Java API for XML Web Services) angewendet.

Name

Gibt den Namen des Tokengenerators bzw. Tokenkonsumenten an. Geben Sie in diesem Feld einen Namen ein, wenn Sie ein neues Token erstellen.

Tokentyp

Gibt den Typ des Tokens an. Wenn Sie Bindungen verwenden, wird der Tokentyp durch die Richtlinie bestimmt und kann nicht geändert werden.

Gültige Werte:
  • LPTA Token V2.0
  • Secure Conversation Token V1.3
  • Secure Conversation Token V200502
  • X509V3 Token V1.1
  • X509V3 Token V1.0
  • X509PKCS7 Token V1.1
  • X509PKCS7 Token V1.0
  • X509PkiPathV1 Token V1.1
  • X509PkiPathV1 Token V1.0
  • X509V1 Token V1.1
  • Angepasstes Token
Der Tokentyp "Secure Conversation Token v200502" für die WS-Security-Richtlinie stellt die Anforderung eines Sicherheitskontexttokens (SCT, Security Context Token) laut Definition in der WS-SecureConversation-Spezifikation vom Februar 2005 dar.
Tokenversion erzwingen
Lokaler Name

Gibt den lokalen Namen des angepassten Tokengenerators bzw. Tokenkonsumenten an. Der in das Feld Lokaler Name eingetragene Wert basiert auf dem angezeigten Tokentyp. Verwenden Sie dieses Feld nur, um angepasste Tokentypen zu bearbeiten.

Wenn Sie das angepasste Token verwenden, um ein Kerberos-Token laut OASIS-Spezifikation "Web Services Security for Kerberos Token Profile V1.1" zu generieren, müssen Sie einen der nachfolgend aufgelisteten Werte als lokalen Namen verwenden. Der Wert, den Sie auswählen, ist von der Spezifikationsstufe des vom Key Distribution Center (KDC) generierten Kerberos-Tokens abhängig. In der Tabelle unten sind die Werte und die Spezifikationsstufe aufgeführt, die den einzelnen Werten zugeordnet sind. Zur Gewährleistung der Interoperabilität erfordert der Standard Basic Security Profile V1.1 die Verwendung den lokalen Namens http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ.

Lokaler Name für Kerberos-Token Zugeordnete Spezifikationsstufe
http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerb erosv5_AP_REQ Kerberos v5 AP-REQ laut Kerberos-Spezifikation. Verwenden Sie diesen Wert, wenn das Kerberos-Ticket eine AP-Anforderung ist.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ Kerberos-V5-Token mit GSS-API-Mechanismus, das eine KRB_AP_REQ-Nachricht laut RFC-1964 [1964], Sec. 1.1, und Nachfolger RFC-4121, Sec. 4.1, enthält. Verwenden Sie diesen Wert, wenn das Kerberos-Ticket eine AP-Anforderung (ST + Authentifikator) ist.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510 Kerberos v5 AP-REQ laut RFC1510. Verwenden Sie diesen Wert, wenn das Kerberos-Ticket eine AP-Anforderung laut RFC1510 ist.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510 Kerberos-V5-Token mit GSS-API-Mechanismus, das eine KRB_AP_REQ-Nachricht laut RFC-1964 [1964], Sec. 1.1, und Nachfolger RFC-4121, Sec. 4.1, enthält. Verwenden Sie diesen Wert, wenn das Kerberos-Ticket eine AP-Anforderung (ST + Authentifikator) laut RFC1510 ist.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120 Kerberos v5 AP-REQ laut RFC4120. Verwenden Sie diesen Wert, wenn das Kerberos-Ticket eine AP-Anforderung laut RFC4120 ist.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120 Kerberos-V5-Token mit GSS-API-Mechanismus, das eine KRB_AP_REQ-Nachricht laut RFC-1964, Sec. 1.1, und Nachfolger RFC-4121, Sec. 4.1, enthält. Verwenden Sie diesen Wert, wenn das Kerberos-Ticket eine AP-Anforderung (ST + Authentifikator) laut RFC4120 ist.
URI

Gibt den URI (Uniform Resource Identifier) des angepassten Tokengenerators bzw. Tokenkonsumenten an. Der in das URI eingetragene Wert basiert auf dem angezeigten Tokentyp. Verwenden Sie dieses Feld nur, um angepasste Tokentypen zu bearbeiten.

Lassen Sie dieses Feld leer, wenn Sie das angepasste Token verwenden, um ein Kerberos-Token laut OASIS-Spezifikation "Web Services Security for Kerberos Token Profile V1.1" zu generieren.

JAAS-Anmeldung

Gibt die Anmeldeinformationen für JAAS-Anwendungen (Java Authentication and Authorization Service) an. Klicken Sie auf Neu, um eine neue JAAS-Anwendungsanmeldung oder einen JAAS-Systemanmeldeeintrag hinzuzufügen.

Wenn der Server sich in einer Sicherheitsdomäne befindet, die system- oder anwendungsspezifische Anmeldungen umfasst, werden diese Anmeldungen im Menü für JAAS-Anmeldungen zusätzlich zu den globalen Anmeldungen aufgelistet.

Wenn der angepasste Tokentyp verwendet wird, um ein binäres Kerberos-Sicherheitstoken zu generieren, wählen Sie wss.generate.KRB5BST als JAAS-Anmeldemodul für die Tokengenerierung, wss.consume.KRB5BST als Tokenkonsumenten und wss.consume.KRB5BSTDefaultIdMapping als Standardzuordnung der Kerberos-Principal-ID zur lokalen Benutzer-Registry mit dem Tokenkonsumenten aus.

Angepasste Eigenschaften – Name

Gibt den Namen der angepassten Eigenschaft an. Angepasste Eigenschaften werden erst dann in dieser Spalte angezeigt, wenn sie hinzugefügt werden.

Wählen Sie eine der folgenden Aktionen für angepasste Eigenschaften aus:

Schaltfläche Ausgeführte Aktion
Neu Erstellt einen neuen Eintrag für eine angepasste Eigenschaft. Wenn Sie eine angepasste Eigenschaft hinzufügen möchten, geben Sie den Namen und den Wert ein.
Bearbeiten Gibt an, dass Sie die ausgewählte angepasste Eigenschaft bearbeiten können. Wählen Sie diese Aktion aus, um die Eingabefelder anzuzeigen und die Liste der zu bearbeitenden Zellenwerte zu erstellen. Die Schaltfläche Bearbeiten ist erst verfügbar, wenn Sie mindestens eine angepasste Eigenschaft hinzugefügt haben.
Löschen Entfernt die angepasste Eigenschaft.
Wenn der angepasste Tokentyp verwendet wird, um ein Kerberos-Token zu generieren, geben Sie die folgenden angepassten Eigenschaften an:
Name der angepassten Eigenschaft Wert
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Gibt den Namen des Zielservice an.
com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Gibt den Namen des Hosts an, der dem Zielservice zugeordnet ist.
com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Gibt den Namen des Realm an, der dem Zielservice zugeordnet ist.
Für den Tokengenerator bildet die Kombination aus dem Namen des Zielservice und dem Namen des Zielhosts einen SPN (Service Principal Name), der der Kerberos-Ziel-SPN ist. Der Kerberos-Client fordert das anfängliche Kerberos-AP_REQ-Token für den SPN an.
Angepasste Eigenschaften – Wert

Gibt den Wert der angepassten Eigenschaft an. Verwenden Sie das Feld Wert, um den Wert für eine angepasste Eigenschaft einzugeben, zu bearbeiten oder zu löschen.

Callback-Handler

Nachdem Sie alle anderen Konfigurationen auf der Seite "Token für Zugriffsschutz" angewendet oder gespeichert haben, erscheint dieser Abschnitt, über den Sie zu den Konfigurationseinstellungen für den Callback-Handler gelangen. Klicken Sie auf diesen Link, um die Einstellungen für den Callback-Handler festzulegen, die bestimmen, wie Sicherheitstoken aus Nachrichten-Headern übernommen werden.

Secure Conversation Token 200502 tolerieren

Der Tokentyp "Secure Conversation Token 200502" für die WS-Security-Richtlinie stellt die Anforderung eines Sicherheitskontexttokens (SCT, Secure Conversation Token) laut Definition in der WS-SecureConversation-Spezifikation vom Februar 2005 dar. Diese Option gibt an, ob der Provider sowohl Secure Conversation Token 1.3 als auch Secure Conversation Token 200502 verarbeiten soll. Standardmäßig verarbeitet der Provider beide Versionen. Sie können dieses Verhalten ändern, indem Sie das Markierungsfeld inaktivieren, was zur Folge hat, dass der Provider nur das Secure Conversation Token 1.3 verarbeitet.

Anmerkung: Dieses Markierungsfeld wird nur in der Anzeige für den Tokenkonsumenten des Serviceproviders angezeigt.
Datentyp Markierungsfeld
Bereich Ausgewählt oder nicht ausgewählt
Standardeinstellung Ausgewählt



Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Tasks
Zugehörige Verweise
Einstellungen für Callback-Handler
Anwendungsrichtliniensätze
Einstellungen für Anwendungsrichtliniensatz
Zugeordnete Anwendungen suchen
Einstellungen für Richtliniensatzbindungen


Dateiname: uwbs_wsspsbpt.html