Einstellungen für Callback-Handler

Verwenden Sie diese Seite, um die Einstellungen für Callback-Handler zu konfigurieren. Diese Einstellungen bestimmen, wie die Sicherheitstoken aus Nachrichten-Headern übernommen werden.

Sie können die Einstellungen für Callback-Handler konfigurieren, wenn Sie eine Standardzellen- oder Standardserverbindung bearbeiten. Sie können auch anwendungsspezifische Bindungen für Token und Nachrichtenabschnitte konfigurieren, die für den Richtliniensatz erforderlich sind.

Wenn Sie eine Standardzellenbindung bearbeiten, können Sie diese Seite der Administrationskonsole wie folgt aufrufen:
  1. Klicken Sie auf Services > Richtliniensätze > Standardbindungen des Richtliniensatzes.
  2. Klicken Sie in der Tabelle "Richtlinien" auf die Richtlinie WS-Security.
  3. Klicken Sie im Abschnitt "Bindungen für Hauptnachrichtensicherheitsrichtlinie" auf den Link Authentifizierung und Zugriffsschutz.
  4. Klicken Sie im Abschnitt "Token für Zugriffsschutz" bzw. im Abschnitt "Authentifizierungstoken" auf den Link Name_des_Tokens.
  5. Klicken Sie auf den Link Callback-Handler.
Wenn Sie anwendungsspezifische Bindungen für Token und Nachrichtenabschnitte, die der Richtliniensatz erfordert, konfigurieren, können Sie diese Seite der Administrationskonsole wie folgt aufrufen:
  1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen.
  2. Wählen Sie eine Anwendung aus, die Web-Services enthält. Die Anwendung muss einen Serviceprovider oder einen Serviceclient enthalten.
  3. Klicken Sie im Abschnitt "Web-Service-Eigenschaften" auf den Link Richtliniensätze und Bindungen für Serviceprovider oder auf den Link Richtliniensätze und Bindungen für Serviceclient.
  4. Wählen Sie eine Bindung aus. Sie müssen vorher einen Richtliniensatz zugeordnet und eine anwendungsspezifische Bindung zugewiesen haben.
  5. Klicken Sie in der Tabelle "Richtlinien" auf die Richtlinie WS-Security.
  6. Klicken Sie im Abschnitt "Bindungen für Hauptnachrichtensicherheitsrichtlinie" auf den Link Authentifizierung und Zugriffsschutz.
  7. Klicken Sie im Abschnitt "Token für Zugriffsschutz" bzw. im Abschnitt "Authentifizierungstoken" auf den Link Name_des_Tokens.
  8. Klicken Sie auf den Link Callback-Handler.

Diese Anzeige der Administrationskonsole wird nur auf JAX-WS-Web-Services (Java API for XML Web Services) angewendet.

Auf der Seite "Callback-Handler" werden je nach Token, das konfiguriert wird, unterschiedliche Felder angezeigt. Je nachdem, ob Sie Generator- oder Konsumententoken für den Zugriffsschutz oder eingehende oder abgehende Token für die Authentifizierung konfigurieren, werden in den Abschnitten in dieser Anzeige alle oder einige der Felder angezeigt, die in diesem Artikel beschrieben werden. Diesbezügliche Informationen können Sie den Beschreibungen der Felder entnehmen.

Klassenname

Die Felder im Abschnitt "Klassenname" sind für alle Tokenkonfigurationstypen verfügbar.

Wählen Sie den für den Callback-Handler zu verwendenden Klassennamen aus. Wählen Sie für den normalen Betrieb die Option Integrierte Standardklasse verwenden aus. Verwenden Sie die Option Angepasste Klasse verwenden nur aus, wenn Sie einen angepassten Tokentyp verwenden.

Verwenden Sie beim Kerberos-Token vom Typ Angepasst den Klassennamen com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler für die Konfiguration des Tokengenerators. Verwenden Sie com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler für die Konfiguration des Tokenkonsumenten.

Zertifikate

Die Felder im Abschnitt "Zertifikate" sind verfügbar, wenn Sie ein Token für Zugriffsschutz konfigurieren. Für ein Konsumententoken können Sie zum Konfigurieren des Zertifikats die Option "Jedes Zertifikat anerkennen" oder die Option "Zertifikatsspeicher" verwenden. Für ein Generatortoken können Sie in der Liste auf ein Zertifikat oder auf die Schaltfläche New klicken, um ein Zertifikat hinzuzufügen.

Zertifikate - Jedes Zertifikat anerkennen

Gibt an, dass jedes Zertifikat erkannt und kein Zertifikatsspeicher definiert werden soll, wenn für das Token für Zugriffsschutz ein Zertifikat konfiguriert ist. Wählen Sie diese Option aus, wenn jedes Zertifikat anerkannt werden soll. Diese Option und die Option Zertifikatsspeicher schließen sich gegenseitig aus. Außerdem ist diese Option nur für den Tokenkonsumenten anwendbar.

Zertifikate - Zertifikatsspeicher

Gibt den anzuerkennenden Zertifikatsspeicher an, wenn für das Token für Zugriffsschutz ein Zertifikat konfiguriert ist. Wählen Sie diese Option aus, wenn jeder Zertifikatsspeicher, der im Eingabefeld angegeben wird, anerkannt werden soll. Diese Option und die Option Jedes Zertifikat anerkennen schließen sich gegenseitig aus. Wenn Sie diese Option auswählen, wird die Schaltfläche Neu aktiviert, so dass Sie einen neuen Zertifikatsspeicher konfigurieren können. Wenn Sie auf Zertifikatsspeicher klicken, können Sie dem Eingabefeld Trust-Anchor-Speicher auch einen zweiten Zertifikatsspeicher hinzufügen. Das Feld Trust-Anchor-Speicher ist nur für den Tokenkonsumenten anwendbar.

Basisauthentifizierung

Die Felder im Abschnitt "Basisauthentifizierung" sind verfügbar, wenn Sie ein Authentifizierungstoken konfigurieren, das kein LTPA-Weitergabetoken ist.

Füllen Sie beim Kerberos-Token vom Typ Angepasst den Abschnitt "Basisauthentifizierung" für die richtige Kerberos-Anmeldung aus.

Keystore

Die Felder im Abschnitt "Keystore" sind verfügbar, wenn Sie ein Token für Zugriffsschutz konfigurieren.

Sie können in der Liste "Keystore-Name" auf Angepasst klicken, um einen angepassten Keystore zu definieren, auf einen der extern definierten Keystore-Namen oder auf Ohne klicken, wenn kein Keystore erforderlich ist.

Schlüssel

Die Felder im Abschnitt "Schlüssel" sind verfügbar, wenn Sie ein Token für Zugriffsschutz konfigurieren.

Angepasste Eigenschaften

Die Felder im Abschnitt "Angepasste Eigenschaften" sind für alle Tokenkonfigurationstypen verfügbar.

Hier können Sie die vom Callback-Handler benötigten angepassten Eigenschaften in Form von Name/Wert-Paaren eingeben.

Wenn Sie ein Kerberos-Token vom Typ Angepasst verwenden, das auf der OASIS-Spezifikation "Web Services Security for Kerberos Token Profile V1.1" basiert, geben Sie für die Generierung von Token die Eigenschaft com.ibm.wsspi.wssecurity.krbtoken.clientRealm an. Das ermöglicht dem Kerberos-Client-Realm, die Kerberos-Anmeldung einzuleiten. Ist die Eigenschaft nicht angegeben, wird der Name des Kerberos-Standard-Realm verwendet.




Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Tasks
Zugehörige Verweise
Einstellungen für Token für Zugriffsschutz (Generator oder Konsument)
Anwendungsrichtliniensätze
Einstellungen für Anwendungsrichtliniensatz
Zugeordnete Anwendungen suchen
Einstellungen für Richtliniensatzbindungen


Dateiname: uwbs_wsspsbch.html