Konfigurationseinstellungen für Tokengenerator

Verwenden Sie diese Seite, um die Informationen für den Tokengenerator festzulegen. Diese Informationen werden nur auf der Generatorseite verwendet, um das Sicherheitstoken zu generieren.

Führen Sie zum Anzeigen dieser Seite der Administrationskonsole für die Zellenebene die folgenden Schritte aus:
  1. Klicken Sie auf Sicherheit > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
  2. Klicken Sie unter "JAX-RPC-Standardgeneratorbindungen" auf Tokengeneratoren > Name_des_Tokengenerators, oder klicken Sie auf Neu, um einen neuen Tokengenerator zu erstellen.
Führen Sie zum Anzeigen dieser Seite der Administrationskonsole für die Serverebene die folgenden Schritte aus:
  1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
  2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
    Heterogene Umgebung: Klicken Sie in einer Zelle mit heterogenen Knoten mit einem Server, der WebSphere Application Server Version 6.1 oder früher verwendet, auf Web-Services: Standardbindungen für die Web-Service-Sicherheit.mixv
  3. Klicken Sie unter "JAX-RPC-Standardgeneratorbindungen" auf Tokengeneratoren > Name_des_Tokengenerators, oder klicken Sie auf Neu, um einen neuen Tokengenerator zu erstellen.
  1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-UnternehmensanwendungenAnwendungsname.
  2. Klicken Sie unter "Module" auf Module verwalten > URI-Name.
  3. Unter "Weitere Eigenschaften" können Sie auf die Tokengeneratorinformationen für die folgenden Bindungen zugreifen:
    • Klicken Sie für die Bindung des Anforderungsgenerators (Sender) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Bindung für Anforderungsgenerator (Sender)" auf Angepasste Bindung bearbeiten.
    • Klicken Sie für die Bindung des Antwortgenerators (Sender) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Bindung für Antwortgenerator (Sender)" auf Angepasste Bindung bearbeiten.
  4. Klicken Sie auf Neu, um einen neuen Tokengenerator zu erstellen, oder klicken Sie auf den Namen eines vorhandenen Tokengenerators, um die Einstellungen festzulegen.
Führen Sie zum Anzeigen dieser Seite der Administrationskonsole für die Anwendungsebene die folgenden Schritte aus:
  1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-UnternehmensanwendungenAnwendungsname.
  2. Klicken Sie unter "Module" auf Module verwalten > URI-Name.
  3. Klicken Sie unter "Eigenschaften der Web-Service-Sicherheit" auf Web-Services: Clientsicherheitsbindungen.
  4. Klicken Sie unter "Bindung für Anforderungsgenerator (Sender)" auf Angepasste Bindung bearbeiten.
  5. Klicken Sie unter "Weitere Eigenschaften" auf Tokengeneratoren > Neu.

Damit Sie weitere Eigenschaften angeben können, müssen Sie die Felder Name des Tokengenerators und Klassenname des Tokengenerators ausfüllen.

Name des Tokengenerators [nur Version 6]

Gibt den Namen der Konfiguration für den Tokengenerator an.

Die Standardnamen für den X.509-Tokengenerator sind beispielweise gen_enctgen für die Verschlüsselung und gen_signtgen für die Signatur. Der Name eines angepassten Tokengenerators kann für die Signatur beispielsweise sig_tgen lauten.

Klassenname für Tokengenerator [nur Version 6]

Gibt den Namen für die Implementierungsklasse des Tokengenerators an.

Diese Klasse muss das Interface com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent implementieren.

Klassenname für Tokengenerator [nur Version 6]

Gibt den Namen für die Implementierungsklasse des Tokengenerators an.

Zertifikatpfad [nur Version 6]

Gibt die Zertifikatswiderrufsliste (CRL, Certificate Revocation List) an, die für die Generierung eines Sicherheitstokens in einem Tokentyp PKCS#7 mit CRL verwendet wird.

Wenn der Tokengenerator nicht für den Tokentyp PKCS#7 bestimmt ist, müssen Sie Ohne auswählen. Wenn der Tokengenerator für den Tokentyp PKCS#7 bestimmt ist und Sie Zertifikatswiderrufslisten in das Sicherheitstoken aufnehmen möchten, wählen Sie Dedizierte Signaturdaten aus und geben Sie die Zertifikatswiderrufslisten für den Zertifikatssammelspeicher an.

Sie können eine Zertifikatsspeicherkonfiguration für die folgenden Bindungen auf den folgenden Ebenen definieren:
Name der Bindung Serverebene, Zellenebene oder Anwendungsebene Pfad
Standardgeneratorbindungen Zellenebene
  1. Klicken Sie auf Sicherheit > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
  2. Klicken Sie unter "Weitere Eigenschaften" auf Zertifikatssammelspeicher.
Standardgeneratorbindungen Serverebene
  1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
  2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
    Heterogene Umgebung: Klicken Sie in einer Zelle mit heterogenen Knoten mit einem Server, der WebSphere Application Server Version 6.1 oder früher verwendet, auf Web-Services: Standardbindungen für die Web-Service-Sicherheit.mixv
  3. Klicken Sie unter "Weitere Eigenschaften" auf Zertifikatssammelspeicher.

Mit dem Zertifikatssammelspeicher können Sie eine Zertifikatswiderrufsliste konfigurieren. Klicken Sie unter "Weitere Eigenschaften" auf Zertifikatswiderrufsliste.

Nonce hinzufügen [nur Version 6]

Gibt an, ob ein Nonce-Element in das UsernameToken für den Tokengenerator aufgenommen wird. Nonce ist eine eindeutige verschlüsselte Nummer, die in eine Nachricht eingebettet wird, um wiederholte, unbefugte Hacker-Attacken auf Username-Token zu verhindern.

Wenn Sie auf Anwendungsebene die Option Nonce hinzufügen auswählen, können Sie unter "Weitere Eigenschaften" die folgenden Eigenschaften angeben:

Tabelle 1. Weitere Nonce-Eigenschaften
Eigenschaftsname Standardwert Erläuterung
com.ibm.ws.wssecurity.config.token.
BasicAuth.Nonce.cacheTimeout
600 Sekunden Das Zeitlimit (in Sekunden) für den auf dem Server zwischengespeicherten Nonce-Wert.
com.ibm.ws.wssecurity.config.token.
BasicAuth.Nonce.clockSkew
0 Sekunden Verfallsdatum für Nonce-Zeitmarke.
com.ibm.ws.wssecurity.config.token.
BasicAuth.Nonce.maxAge
300 Sekunden Gibt die zeitliche Abweichung an, die der Anwendungsserver berücksichtigen muss, wenn die Aktualität der Nachricht geprüft wird.

Diese Eigenschaften sind in der Administrationskonsole auf Zellen- und Serverebene verfügbar. Auf der Anwendungsebene können Sie die Eigenschaften unter "Weitere Eigenschaften" konfigurieren.

Diese Option wird auf Zellen-, Server- und Anwendungsebene angezeigt. Sie ist nur für UsernameToken gültig.

Zeitmarke hinzufügen [nur Version 6]

Gibt an, ob die Zeitmarke in das UsernameToken eingefügt wird.

Diese Option wird auf Zellen-, Server- und Anwendungsebene angezeigt. Sie ist nur für UsernameToken gültig.

Lokaler Name des Wertetyps [nur Version 6]

Gibt den lokalen Namen des Wertetyps für das generierte Token an.

Für Username-Token und Sicherheitstoken mit X.509-Zertifikat stellt dieses Produkt vordefinierte Wertetypen bereit. Wenn Sie die folgenden lokalen Namen angeben, müssen Sie den URI des Wertetyps nicht angeben.
Username-Token
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
Token im X509-Format
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509
X509-Zertifikate im Format PKIPath
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
Eine Liste mit X.509-Zertifikaten und CRLs in PKCS#7
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
LTPA (Lightweight Third Party Authentication)
LTPA_PROPAGATION
Wichtig: Für LTPA ist der lokale Name des Wertetyps LTPA. Wenn Sie für den lokalen Namen LTPA eingeben, müssen Sie auch im Feld "URI des Wertetyps" den URI http://www.ibm.com/websphere/appserver/tokentype/5.0.2 angeben. Für die Weitergabe von LTPA-Token ist der lokale Name des Wertetyps LTPA_PROPAGATION. Wenn Sie für den lokalen Namen LTPA_PROPAGATION eingeben, müssen Sie auch im Feld "URI des Wertetyps" den URI http://www.ibm.com/websphere/appserver/tokentype angeben. Für die anderen vordefinierten Wertetypen (UsernameToken, X509-Zertifikatstoken, X509-Zertifikate in einem PKIPath und Liste mit X509-Zertifikaten und CRLs im Format PKCS#7) beginnt der Wert für den lokalen Namen mit http://. Wenn Sie beispielsweise als Wertetyp das UsernameToken angeben, müssen Sie im Feld "Lokaler Name" für den Wertetyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken eingeben. Im Feld "URI" für den Wertetyp müssen Sie keinen Wert angeben.

Wenn Sie für Token vom Typ Angepasst einen eigenen Wertetyp angeben, können Sie den lokalen Namen und den URI des QName für den Wertetyp angeben. Sie könnten beispielsweise für den lokalen Namen Custom und für den URI http://www.ibm.com/custom angeben.

URI des Tokentyps [nur Version 6]

Gibt den Namespace-URI für den Wertetyp des generierten Token an.

Wenn Sie den Tokengenerator für Username-Token oder Sicherheitstoken im X.509-Format angeben, müssen Sie diese Option nicht angeben. Falls Sie ein anderes Token angeben möchten, geben Sie als Wertetyp den Qname-URI an.

Der Anwendungsserver stellt die folgenden vordefinierten Wertetyp-URIs bereit:
  • Für LTPA-Token: http://www.ibm.com/websphere/appserver/tokentype/5.0.2
  • Für die Weitergabe von LTPA-Token: http://www.ibm.com/websphere/appserver/tokentype



Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Tasks
Zugehörige Verweise
Tokenkonsumenten
Konfigurationseinstellungen für Tokenkonsumenten
Tokengeneratoren


Dateiname: uwbs_tokengeneratorn.html