Einstellungen für Authentifizierungsgenerator oder Konsumententoken

Authentifizierungstoken werden verwendet, um eine Identität nachzuweisen oder zuzusichern. Sie können die Einstellungen für Authentifizierungstoken für Nachrichtenabschnitte konfigurieren, wenn Sie eine allgemeine Bindung bearbeiten.

Gehen Sie wie folgt vor, um Authentifizierungstoken zu konfigurieren:

  1. Klicken Sie auf Services > Richtliniensätze > Standardbindungen des Richtliniensatzes, um die allgemeinen Bindungen, die als Standardbindungen des Richtliniensatzes der globalen Sicherheit festgelegt sind, anzuzeigen und auszuwählen. Die angegebenen Bindungen werden verwendet, wenn sie nicht bei der Zuordnung, auf dem Server oder in einer Sicherheitsdomäne überschrieben werden.
  2. Klicken Sie auf Services > Richtliniensätze > Allgemeine Providerrichtliniensatzbindungen, um auf die allgemeinen Bindungen zuzugreifen, diese zu konfigurieren und Einstellungen für Authentifizierungstoken für Nachrichtenabschnitte hinzuzufügen.
  3. Klicken Sie in der Tabelle "Richtlinien" auf die Richtlinie WS-Security.
  4. Klicken Sie im Abschnitt "Bindungen für Hauptnachrichtensicherheitsrichtlinie" auf den Link Authentifizierung und Zugriffsschutz.
  5. Klicken Sie auf Neues Token, um einen neuen Tokengenerator oder Tokenkonsumenten zu erstellen, oder klicken Sie in der Tabelle "Authentifizierungstoken" auf den Link eines vorhandenen Konsumenten- oder Generatortokens.
Gehen Sie wie folgt vor, um anwendungsspezifische Bindungen für Token und Nachrichtenabschnitte, die für einen Richtliniensatz erforderlich sind, anzuzeigen und zu konfigurieren:
  1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen.
  2. Wählen Sie eine Anwendung aus, die Web-Services enthält. Die Anwendung muss einen Serviceprovider oder einen Serviceclient enthalten.
  3. Klicken Sie im Abschnitt "Web-Service-Eigenschaften" auf den Link Richtliniensätze und Bindungen für Serviceprovider oder auf den Link Richtliniensätze und Bindungen für Serviceclient.
  4. Wählen Sie eine Bindung aus. Sie müssen vorher einen Richtliniensatz zugeordnet und eine anwendungsspezifische Bindung zugewiesen haben.
  5. Klicken Sie in der Tabelle "Richtlinien" auf die Richtlinie WS-Security.
  6. Klicken Sie im Abschnitt "Bindungen für Hauptnachrichtensicherheitsrichtlinie" auf den Link Authentifizierung und Zugriffsschutz.
  7. Klicken Sie in der Tabelle "Token für Zugriffsschutz" auf den Link eines Konsumenten- oder Generatortokens.

Diese Anzeige der Administrationskonsole wird nur auf JAX-WS-Web-Services (Java API for XML Web Services) angewendet.

Name

Gibt den Namen des Tokens an, das konfiguriert wird. Wenn Sie anwendungsspezifische Bindungen verwenden, wird dieses Feld nicht angezeigt.

Tokentyp

Gibt den Typ des Tokens an, das konfiguriert wird.

Wenn Sie anwendungsspezifische Bindungen verwenden, wird der Tokentyp aus der Richtliniendatei entnommen und ist schreibgeschützt. Wenn Sie allgemeine Bindungen verwenden, wählen Sie in der Liste einen Tokentyp aus. Die folgenden Tokentypen sind verfügbar:

  • X509V3 Token V1.1
  • X509V3 Token V1.0
  • Username Token V1.1
  • Username Token V1.0
  • X509PKCS7 Token V1.1
  • X509PKCS7 Token V1.0
  • X509PkiPathV1 Token V1.1
  • X509PkiPathV1 Token V1.0
  • LTPA-Weitergabetoken
  • X509V1 Token V1.1
  • LTPA-Token
  • LTPA Token V2.0
  • Angepasstes Token
Neues Feature: Der Token vom Typ LTPA Version 2.0 ist nur für Bindungen verfügbar, die den neuen Namespace in IBM WebSphere Application Server Version 7.0 oder höher verwenden. Wenn Sie für den Tokenkonsumenten Token vom Typ LTPA Version 2.0 auswählen, können sowohl LTPA-Token als auch Token vom Typ LTPA Version 2.0 konsumiert werden. Um den Tokenkonsumenten auf LTPA-Token der Version 2.0 zu beschränken, müssen Sie das Markierungsfeld Tokenversion erzwingen auswählen.

Wenn Sie "LTPA-Token" als Tokentyp für den Tokengenerator auswählen, muss der Interoperabilitätsmodus mit SSO aktiviert werden. Das ist eine Einstellung für die globale Sicherheit unter "Web- und SIP-Sicherheit". Wenn das Flag für Interoperabilität nicht auf "Aktiviert" (true) gesetzt ist, wird eine Ausnahmebedingung ausgelöst, wenn die Anwendung, die diesen Bindungen zugeordnet ist, gestartet wird. Wenn Sie das LTPA-Token verwenden möchten, ohne den Status des Interoperabilitäts-Flags zu prüfen, können Sie die angepasste Eigenschaft com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 im Tokengenerator setzen.

newfeat
Lokaler Name

Gibt den lokalen Namen des Generators bzw. Konsumenten des Authentifizierungstokens an. Der in das Feld Lokaler Name eingetragene Wert basiert auf dem angezeigten Tokentyp. Verwenden Sie dieses Feld nur, um angepasste Tokentypen zu bearbeiten.

URI

Gibt den URI (Uniform Resource Identifier) des Generators bzw. Konsumenten für Authentifizierungstoken an. Der in das URI eingetragene Wert basiert auf dem angezeigten Tokentyp. Verwenden Sie dieses Feld nur, um angepasste Tokentypen zu bearbeiten.

Lassen Sie dieses Feld leer, wenn Sie das angepasste Token verwenden, um ein Kerberos-Token laut OASIS-Spezifikation "Web Services Security for Kerberos Token Profile v1.1" zu generieren.

Referenz auf Sicherheitstoken

Gibt die Referenz des Sicherheitstokens an. Das Feld "Referenz des Sicherheitstokens" wird nur für Authentifizierungstoken in anwendungsspezifischen Bindungen angezeigt. Dieses Feld ist für Standardbindungen nicht verfügbar.

JAAS-Anmeldung

Gibt eine Liste anwendungs- und systemspezifischer JAAS-Anmeldungen (Java Authentication and Authorization Service) für die Domäne an, der die Bindung zugeordnet ist.

Wenn eine Anwendung der globalen Sicherheit oder einer Domäne, die nicht ihre eigenen JAAS-Anmeldungen anpasst, zugeordnet ist, wird die Liste mit den globalen Anmeldungen in der Menüliste angezeigt. Klicken Sie auf Neue Anwendungsanmeldung, um auf die globalen JAAS-Anwendungsanmeldungen zuzugreifen. Das Verhalten der Menüliste "JAAS-Anmeldung" und der Schaltfläche Neue Anwendungsanmeldung ist davon abhängig, ob die Bindung zusammen mit einer Zuordnung erstellt wird. Seien Sie vorsichtig beim Ändern von Sicherheitsdomänen, da eine zuvor referenzierte Sicherheitskonfiguration, z. B. JAAS-Anmeldungen, in einer anderen Sicherheitsdomäne möglicherweise nicht zugänglich ist.

Wenn der angepasste Tokentyp verwendet wird, um ein binäres Kerberos-Sicherheitstoken zu generieren, wählen Sie "wss.generate.KRB5BST" als JAAS-Anmeldemodul für die Tokengenerierung, "wss.consume.KRB5BST" als Tokenkonsumenten und "wss.consume.KRB5BSTDefaultIdMapping" als Standardzuordnung der Kerberos-Principal-ID zur lokalen Benutzer-Registry mit dem Tokenkonsumenten aus.

Angepasste Eigenschaften – Name

Gibt den Namen an, der für die angepasste Eigenschaft verwendet wird.

Zunächst werden keine angepassten Eigenschaften in dieser Spalte angezeigt. Klicken Sie auf eine der folgenden Schaltflächen, um die beschriebene Aktion zu aktivieren:

Schaltfläche Ausgeführte Aktion
Neu Erstellt einen neuen Eintrag für eine angepasste Eigenschaft. Wenn Sie eine angepasste Eigenschaft hinzufügen möchten, geben Sie den Namen und den Wert ein.
Bearbeiten Mit dieser Aktion kann die ausgewählte angepasste Eigenschaft bearbeitet werden. Wenn Sie auf diese Schaltfläche klicken, werden die Eingabefelder bereitgestellt, und es wird eine Liste mit den zu bearbeitenden Zellenwerten erstellt. Die Schaltfläche "Bearbeiten" ist erst verfügbar, wenn Sie mindestens eine angepasste Eigenschaft hinzugefügt haben.
Löschen Entfernt die ausgewählte angepasste Eigenschaft.
Angepasste Eigenschaften – Wert

Gibt den zu verwendenden Wert für die angepasste Eigenschaft an. Verwenden Sie das Feld Wert, um den Wert für eine angepasste Eigenschaft einzugeben, zu bearbeiten oder zu löschen.

Wenn der angepasste Tokentyp verwendet wird, um ein Kerberos-Token zu generieren, geben Sie eine angepasste Eigenschaft an mit dem Namen des Zielservice "com.ibm.wsspi.wssecurity.krbtoken.targetServiceName", dem Hostnamen "com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost", der dem Zielservice zugeordnet ist, und dem Kerberos-Realm "com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm", der dem Zielservice zugeordnet ist. Die angepassten Eigenschaften "com.ibm.wsspi.wssecurity.krbtoken.targetServiceName" und "com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost" sind erforderlich. Die angepasste Eigenschaft "com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm" ist optional. Für den Tokengenerator bildet die Kombination aus dem Namen des Zielservice und dem Namen des Zielhosts einen SPN (Service Principal Name), der der Kerberos-Ziel-SPN ist. Der Kerberos-Client fordert das anfängliche Kerberos-AP_REQ-Token für den SPN an.

Callback-Handler

Link zu der Seite "Callback-Handler", auf der Sie Callback-Handler konfigurieren können. Die Einstellungen des Callback-Handlers bestimmen, wie Sicherheitstoken aus Nachrichten-Headern übernommen werden.

Wenn Sie mit einem Username-Token oder LTPA-Token arbeiten, das Standardbindungen verwendet, wurden die Benutzernamen und Kennwörter unter Umständen als Beispiele bereitgestellt. Sie müssen die Werte für diese Tokentypen aktualisieren.




Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Tasks
Zugehörige Verweise
Einstellungen für Callback-Handler
Einstellungen für Token für Zugriffsschutz (Generator oder Konsument)
Anwendungsrichtliniensätze
WS-Security-Authentifizierung und -Zugriffsschutz


Dateiname: uwbs_wsspsbat.html