Konfigurationseinstellungen für Tokenkonsumenten

Auf dieser Seite können Sie die Informationen für den Tokenkonsumenten angeben. Diese Informationen werden nur auf der Konsumentenseite für die Verarbeitung des Sicherheitstoken verwendet.

Führen Sie zum Anzeigen dieser Seite der Administrationskonsole für die Zellenebene die folgenden Schritte aus:
  1. Klicken Sie auf Sicherheit > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
  2. Klicken Sie unter "JAX-RPC-Standardkonsumentenbindungen" auf Tokenkonsumenten > Name_des_Tokenkonsumenten, oder klicken Sie auf Neu, um einen neuen Tokenkonsumenten zu erstellen.
Führen Sie zum Anzeigen dieser Seite der Administrationskonsole für die Serverebene die folgenden Schritte aus:
  1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
  2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
    Heterogene Umgebung: Klicken Sie in einer Zelle mit heterogenen Knoten mit einem Server, der WebSphere Application Server Version 6.1 oder früher verwendet, auf Web-Services: Standardbindungen für die Web-Service-Sicherheit.mixv
  3. Klicken Sie unter "JAX-RPC-Standardkonsumentenbindungen" auf Tokenkonsumenten > Name_des_Tokenkonsumenten, oder klicken Sie auf Neu, um einen neuen Tokenkonsumenten zu erstellen.
Führen Sie zum Anzeigen der Administrationskonsolseite für Anwendungen der Version 6 und höher auf Anwendungsebene die folgenden Schritte aus:
  1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-UnternehmensanwendungenAnwendungsname.
  2. Klicken Sie auf Module verwalten > URI-Name.
  3. Unter "Eigenschaften der Web-Service-Sicherheit" können Sie auf die Signaturdaten für die folgenden Bindungen zugreifen:
    • Klicken Sie für die Bindung des Antwortgenerators (Sender) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Bindung für Antwortgenerator (Sender)" auf Angepasste Bindung bearbeiten. Klicken Sie unter "Erforderliche Eigenschaften" auf Tokenkonsumenten.
    • Klicken Sie für die Bindung des Antwortkonsumenten (Empfänger) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Bindung für Antwortkonsumenten (Empfänger)" auf Angepasste Bindung bearbeiten. Klicken Sie unter "Erforderliche Eigenschaften" auf Tokenkonsumenten.
  4. Klicken Sie auf Neu, um eine neue Konfiguration anzugeben, oder klicken Sie auf den Namen einer vorhandenen Konfiguration, um deren Einstellungen zu modifizieren.

Vor der Angabe weiterer Eigenschaften müssen Sie in den Feldern Name des Tokenkonsumenten, Klassenname des Tokenkonsumenten und Lokaler Name des Tokentyps einen Wert angeben.

Name des Tokenkonsumenten [nur Version 6]

Gibt den Namen der Tokenkonsumentenkonfiguration an.

Die Standardnamen für den X509-Tokenkonsumenten sind beispielweise con_enctcon für die Verschlüsselung und con_signtcon für die Signatur. Der Name des angepassten Tokenkonsumenten kann für die Signatur beispielsweise sig_tcon lauten.

Klassenname des Tokenkonsumenten [nur Version 6]

Gibt den Namen der Implementierungsklasse für Tokenkonsumenten an.

Diese Klasse muss das Interface com.ibm.wsspi.wssecurity.token.TokenConsumerComponent implementieren.

Klassenname des Tokenkonsumenten [nur Version 6]

Gibt den Namen der Implementierungsklasse für Tokenkonsumenten an.

Die JAAS-Anmeldemodulimplementierung (Java Authentication and Authorization Service) wird verwendet, um das Sicherheitstoken auf Konsumentenseite zu validieren (authentifizieren).

Referenz auf Nachrichtenabschnitt [nur Version 6]

Gibt eine Referenz auf den Namen des im Implementierungsdeskriptor definierten Sicherheitstoken an.

Wenn das Sicherheitstoken nicht im Implementierungsdeskriptor angegeben ist, wird das Feld Abschnittsreferenz auf der Anwendungsebene nicht angezeigt.

Zertifikatpfad [nur Version 6]

Gibt den Trust-Anchor und den Zertifikatsspeicher an.

Sie können die folgenden Optionen auswählen:
Ohne
Bei dieser Option wird der Zertifikatpfad nicht angegeben.
Jedem vertrauen
Bei Auswahl dieser Option wird jedes Zertifikat anerkannt. Wenn das empfangene Token integriert wurde, wird der Zertifikatpfad nicht validiert.
Dedizierte Signaturdaten
Bei Auswahl dieser Option können Sie den Trust-Anchor und den Zertifikatsspeicher angeben. Wenn Sie den Trust-Anchor oder den Zertifikatsspeicher eines anerkannten Zertifikats auswählen, müssen Sie vor dem Definieren des Zertifikatpfads den Zertifikatssammelspeicher konfigurieren.

Trust-Anchor

Einen Trust-Anchor können Sie für die folgenden Bindungen auf folgenden Ebenen angeben:
Name der Bindung Serverebene, Zellenebene oder Anwendungsebene Pfad
Standardkonsumentenbindung Zellenebene
  1. Klicken Sie auf Sicherheit > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
  2. Klicken Sie unter "Weitere Eigenschaften" auf Trust-Anchor.
Standardkonsumentenbindung Serverebene
  1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
  2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
    Heterogene Umgebung: Klicken Sie in einer Zelle mit heterogenen Knoten mit einem Server, der WebSphere Application Server Version 6.1 oder früher verwendet, auf Web-Services: Standardbindungen für die Web-Service-Sicherheit.mixv
  3. Klicken Sie unter "Weitere Eigenschaften" auf Trust-Anchor.

Zertifikatsspeicher

Einen Zertifikatsspeicher können Sie für die folgenden Bindungen auf folgenden Ebenen angeben:
Name der Bindung Serverebene, Zellenebene oder Anwendungsebene Pfad
Standardkonsumentenbindung Zellenebene
  1. Klicken Sie auf Sicherheit > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
  2. Klicken Sie unter "Weitere Eigenschaften" auf Zertifikatssammelspeicher.
Standardkonsumentenbindung Serverebene
  1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
  2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
    Heterogene Umgebung: Klicken Sie in einer Zelle mit heterogenen Knoten mit einem Server, der WebSphere Application Server Version 6.1 oder früher verwendet, auf Web-Services: Standardbindungen für die Web-Service-Sicherheit.mixv
  3. Klicken Sie unter "Weitere Eigenschaften" auf Zertifikatssammelspeicher.
Referenz auf Trusted-ID-Evaluator [nur Version 6]

Gibt den Verweis auf den Klassennamen des Trusted-ID-Evaluator an, der in der Anzeige "Trusted-ID-Evaluator" definiert wurde. Mit dem Trusted-ID-Evaluator wird festgestellt, ob die empfangene ID vertrauenswürdig ist.

Sie können die folgenden Optionen auswählen:
Ohne
Bei dieser Option wird der Trusted-ID-Evaluator nicht angegeben.
Vorhandene Evaluator-Definition
Bei Auswahl dieser Option können Sie einen der konfigurierten Trusted-ID-Evaluator auswählen.
Einen Zertifikatsspeicher können Sie für die folgenden Bindungen auf folgenden Ebenen angeben:
Name der Bindung Serverebene, Zellenebene oder Anwendungsebene Pfad
Standardkonsumentenbindung Zellenebene
  1. Klicken Sie auf Sicherheit > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
  2. Klicken Sie unter "Weitere Eigenschaften" auf Trusted-ID-Evaluator.
Standardkonsumentenbindung Serverebene
  1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
  2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
    Heterogene Umgebung: Klicken Sie in einer Zelle mit heterogenen Knoten mit einem Server, der WebSphere Application Server Version 6.1 oder früher verwendet, auf Web-Services: Standardbindungen für die Web-Service-Sicherheit.mixv
  3. Klicken Sie unter "Weitere Eigenschaften" auf Trusted-ID-Evaluator.
Bindende Evaluator-Definition
Bei Auswahl dieser Option können Sie einen neuen Trusted-ID-Evaluator und seinen Klassennamen angeben.

Wenn Sie eine Trusted-ID-Evaluator-Referenz auswählen, müssen Sie die Trusted-ID-Evaluator konfigurieren, bevor Sie den Tokenkonsumenten festlegen.

Das Feld "Trusted-ID-Evaluator" wird in der Standardbindungskonfiguration und in der Bindungskonfiguration des Anwendungsservers angezeigt.

Nonce überprüfen [nur Version 6]

Gibt an, ob der Nonce des UsernameToken überprüft wird.

Diese Option wird auf Zellen-, Server- und Anwendungsebene angezeigt. Sie ist nur gültig, wenn das integrierte Token vom Typ UsernameToken ist.

Zeitmarke prüfen [nur Version 6]

Gibt an, ob die Zeitmarke des UsernameToken überprüft wird.

Diese Option wird auf Zellen-, Server- und Anwendungsebene angezeigt. Sie ist nur gültig, wenn das integrierte Token vom Typ UsernameToken ist.

Lokaler Name des Wertetyps [nur Version 6]

Gibt den lokalen Namen für den Wertetyp des konsumierten Token an.

In diesem Produkt gibt es vordefinierte lokale Namen für den Wertetyp von UsernameToken und Sicherheitstoken im X.509-Format. Verwenden Sie für Username-Token und Sicherheitstoken mit X.509-Zertifikat die nachfolgend angegebenen lokalen Namen. Wenn Sie diese lokalen Namen angeben, müssen Sie nicht den URI des Tokentyps angeben.
Username-Token
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
Token im X509-Format
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509
# X509-Zertifikate in einem PKIPath
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
Eine Liste mit X.509-Zertifikaten und CRLs in PKCS#7
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
LTPA (Lightweight Third Party Authentication)
LTPA_PROPAGATION
Wichtig: Für Lightweight Third Party Authentication ist der lokale Name des Wertetyps LTPA. Wenn Sie für den lokalen Namen LTPA eingeben, müssen Sie auch im Feld "URI des Wertetyps" den URI http://www.ibm.com/websphere/appserver/tokentype/5.0.2 angeben. Für die Weitergabe von LTPA-Token ist der lokale Name des Wertetyps LTPA_PROPAGATION. Wenn Sie für den lokalen Namen LTPA_PROPAGATION eingeben, müssen Sie auch im Feld "URI des Wertetyps" den URI http://www.ibm.com/websphere/appserver/tokentype angeben. Für die anderen vordefinierten Wertetypen (UsernameToken, X509-Zertifikatstoken, X509-Zertifikate in einem PKIPath und Liste mit X509-Zertifikaten und CRLs im Format PKCS#7) beginnt der Wert für den lokalen Namen mit http://. Wenn Sie beispielsweise als Wertetyp das UsernameToken angeben, müssen Sie im Feld "Lokaler Name" für den Wertetyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken eingeben. Im Feld "URI" für den Wertetyp müssen Sie keinen Wert angeben.

Wenn Sie für Token vom Typ Angepasst einen eigenen Wertetyp angeben, können Sie den lokalen Namen und den URI des QName für den Wertetyp angeben. Sie könnten beispielsweise für den lokalen Namen Custom und für den URI http://www.ibm.com/custom angeben.

URI des Tokentyps [nur Version 6]

Gibt den Namespace-URI für den Wertetyp des integrierten Token an.

Wenn Sie den Tokenkonsumenten für Username-Token oder Sicherheitstoken im X.509-Format angeben, müssen Sie diese Option nicht angeben. Falls Sie ein anderes Token angeben möchten, geben Sie als Wertetyp den URI des qualifizierten Namens (QName) an.

Der Anwendungsserver stellt die folgenden vordefinierten Wertetyp-URIs bereit:
  • Für LTPA-Token: http://www.ibm.com/websphere/appserver/tokentype/5.0.2
  • Für die Weitergabe von LTPA-Token: http://www.ibm.com/websphere/appserver/tokentype



Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Tasks
Zugehörige Verweise
Tokenkonsumenten
Tokengeneratoren
Konfigurationseinstellungen für Tokengenerator
[AIX Solaris HP-UX Linux Windows] [z/OS] Einstellungen für die JAAS-Konfiguration


Dateiname: uwbs_tokenconsumern.html