Impostazioni token di protezione (generatore o consumatore)

Utilizzare questa pagina per configurare i token di protezione. I token di protezione firmano i messaggi per proteggere l'integrità o codificano gli stessi per fornire riservatezza.

È possibile aggiungere le impostazioni token di protezione per le parti di messaggio quando si modifica il provider generale o i bind della serie di politiche client. È possibile anche configurare dei bind specifici per l'applicazione per i token e le parti di messaggio richiesti dalla serie di politiche.

Per visualizzare la pagina della console di gestione quando si modifica un bind provider generale, completare le seguenti azioni:
  1. Fare clic su Servizi > Serie di politiche > Bind serie di politiche del provider generale.
  2. Fare clic sul nome del bind che si desidera modificare.
  3. Fare clic sulla politica WS-Security nella tabella delle politiche.
  4. Fare clic sul link Autenticazione e protezione nella sezione dei bind della politica di sicurezza.
  5. Fare clic su Nuovo token per creare un nuovo generatore o consumatore token o fare clic su un link generatore o consumatore esistente dalla tabella Token di protezione.
Per visualizzare la pagina della console di gestione quando si modifica un bind client generale, completare le seguenti azioni:
  1. Fare clic su Servizi > Serie di politiche > Bind serie di politiche del client generale.
  2. Fare clic sul nome del bind che si desidera modificare.
  3. Fare clic sulla politica WS-Security nella tabella delle politiche.
  4. Fare clic sul bind Autenticazione e protezione nella sezione sul bind della politica di sicurezza del messaggio principale.
  5. Fare clic su Nuovo token per creare un nuovo generatore o consumatore di token o fare clic su un bind token del consumatore o generatore dalla tabella dei token di protezione.
Per visualizzare questa pagina della console di gestione quando si configurano bind specifici dell'applicazioni per i token e le parti di messaggio richiesti dal set di politiche, completare le seguenti azioni:
  1. Fare clic su Applicazioni > Applicazioni enterprise WebSphere .
  2. Selezionare un'applicazione che contiene servizi Web. L'applicazione deve contenere un provider o un client del servizio.
  3. Fare clic sul bind Serie di politiche e bind del provider del servizio o Serie di politiche e bind del client del servizio nella sezione delle proprietà dei servizi Web.
  4. Selezionare un bind. Il bind deve avere una serie di politiche precedentemente allegata ed assegnarvi un bind.
  5. Fare clic sulla politica WS-Security nella tabella delle politiche.
  6. Fare clic sul link Autenticazione e protezione nella sezione dei bind della politica di sicurezza.
  7. Fare clic sul bind del token generatore o consumatore dalla tabella dei token di protezione.

Questo pannello della console di gestione si applica solo ai servizi Web Java API for XML Web Services (JAX-WS).

Nome servlet

Specifica il nome del generatore o consumatore di token. Immettere il nome in questo campo quando si crea un nuovo token.

Tipo token

Specifica il tipo di token. Quando si utilizzano i bind, il tipo di token viene determinato dalla politica e non può essere modificato.

I valori validi sono:
  • LPTA Token V2.0
  • SCT (Secure Conversation Token) V1.3
  • SCT (Secure Conversation Token) V200502
  • X509V3 Token V1.1
  • X509V3 Token V1.0
  • X509PKCS7 Token V1.1
  • X509PKCS7 Token V1.0
  • X509PkiPathV1 Token V1.1
  • X509PkiPathV1 Token V1.0
  • X509V1 Token V1.1
  • Token personalizzato
Il tipo di token SCT (Secure Conversation Token) v200502 per la politica WS-Security rappresenta il requisito per il token SCT definito nel livello del febbraio 2005 della specifica WS-SecureConversation.
Applicare la versione del token
Nome locale

Specifica il nome locale di un generatore o consumatore di token personalizzato. Il campo Nome locale viene riempito in base al tipo di token visualizzato. Utilizzare questo campo per modificare solo tipi di token personalizzati.

Se il tipo di token personalizzato viene utilizzato per generare un token Kerberos come definito in OASIS Web Services Security Specification for Kerberos Token Profile V1.1, utilizzare uno dei valori riportati di seguito per il nome locale. Il valore da selezionare dipende dal livello di specifica del token Kerberos generato dal centro di distribuzione chiavi. La seguente tabella elenca i valori e il livello di specifica associato con ogni valore. Per una maggiore interoperabilità, lo standard Basic Security Profile V1.1 richiede l'uso del nome locale http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ.

Valore del nome locale per il token Kerberos Livello di specifica associato
http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerb erosv5_AP_REQ Kerberos v5 AP-REQ come definito nella specifica Kerberos. Utilizzare questo valore quando il ticket Kerberos è una richiesta AP.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ Token del meccanismo GSS-API Kerberos V5 che contiene un messaggio KRB_AP_REQ come definito in RFC-1964 [1964], Sec. 1.1 e il suo successore RFC-4121, Sec. 4.1. Utilizzare questo valore quando il ticket Kerberos è una richiesta AP (ST + Authenticator).
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510 Kerberos v5 AP-REQ come definito in RFC1510. Utilizzare questo valore quando il ticket Kerberos è una richiesta AP per RFC1510.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510 Token del meccanismo GSS-API Kerberos V5 che contiene un messaggio KRB_AP_REQ come definito in RFC-1964, Sec. 1.1 e il suo successore RFC-4121, Sec. 4.1. Utilizzare questo valore quando il ticket Kerberos è una richiesta AP (ST + Authenticator) per RFC1510.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120 Kerberos v5 AP-REQ come definito in RFC4120. Utilizzare questo valore quando il ticket Kerberos è una richiesta AP per RFC4120.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120 Token del meccanismo GSS-API Kerberos V5 che contiene un messaggio KRB_AP_REQ come definito in RFC-1964, Sec. 1.1 e il successivo, RFC-4121, Sec. 4.1. Utilizzare questo valore quando il ticket Kerberos è una richiesta AP (ST + Authenticator) per RFC4120.
URI

Specifica l'URI (uniform resource identifier) del generatore o consumatore di token personalizzati. Il campo URI viene riempito in base al tipo di token visualizzato. Utilizzare questo campo per modificare solo tipi di token personalizzati.

Lasciare vuoto questo campo se il tipo di token personalizzato è utilizzato per generare un token Kerberos come definito in OASIS Web Services Security Specification for Kerberos Token Profile V1.1.

Login JAAS

Specifica le informazioni sul login di applicazione JAAS (Java Authentication and Authorization Service). Fare clic su Nuovo per aggiungere un nuovo login di applicazione JAAS o una voce di login di sistema JAAS.

Se il server si trova in un dominio di sicurezza che include specifici login del sistema o dell'applicazione, tali login sono elencati nel menu Login JAAS, in aggiunta ai login globali.

Se il tipo di token personalizzato viene utilizzato per generare un token di sicurezza binario Kerberos, selezionare wss.generate.KRB5BST come il modulo di login JAAS per la generazione del token, wss.consume.KRB5BST per il consumatore del token e wss.consume.KRB5BSTDefaultIdMapping per l'associazione predefinita dell'ID principale Kerberos nel registro utente locale con il consumatore token.

Proprietà personalizzate - Nome

Specifica il nome della proprietà personalizzata. Le proprietà personalizzate non vengono visualizzate inizialmente in questa colonna, fino a quando non vengono aggiunte.

Selezionare una delle seguenti azioni per le proprietà personalizzate:

Pulsante Azione risultante
Nuovo Crea una nuova voce di proprietà personalizzata. Per aggiungere una proprietà personalizzata, immettere il nome e il valore:
Modifica Specifica che è possibile modificare la proprietà personalizzata selezionata. Selezionare questa azione per fornire campi di immissione e creare l'elenco dei valori della cella per la modifica. Il pulsante Modifica non è disponibile finché non si è aggiunta almeno una proprietà personalizzata.
Elimina Rimuove la proprietà selezionata.
Se il tipo di token personalizzato viene utilizzato per generare un token Kerberos, specificare le seguenti proprietà personalizzate:
Nome proprietà personalizzato Valore
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Specifica il nome del servizio di destinazione.
com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Specifica il nome host che è associato con il servizio di destinazione.
com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Specifica il nome del realm che è associato con il servizio di destinazione.
Per il generatore token, la combinazione del nome del servizio target e il nome host di destinazione forma un SPN (Service Principal Name), che rappresenta il nome principale del servizio Kerberos di destinazione. Il client Kerberos richiede il token Kerberos AP_REQ per SPN.
Proprietà personalizzate - Valore

Specifica il valore della proprietà personalizzata. Utilizzare il campoValore per inserire, modificare o eliminare il valore per la proprietà personalizzata.

Gestore callback

Dopo aver applicato e salvato tutte le configurazioni nella pagina dei token di protezione, si visualizza questa sezione e si collega alle impostazioni di configurazione per il gestore delle richiamate. Fare clic su questo bind per specificare le impostazioni del gestore delle richiamate che determinano come vengono acquisiti i token di protezione dalle intestazioni di messaggio.

Tollerare la SCT (secure conversation token) V200502

Il tipo di token SCT (secure conversation token) V200502 per la politica WS-Security rappresenta il requisito per il token SCT definito nel livello del febbraio 2005 della specifica WS-SecureConversation. Questa opzione specifica se il provider gestisce entrambi secure conversation token V1.3 e secure conversation token V200502. Per impostazione predefinita, il provider gestisce entrambi le versioni. È possibile modificare questo funzionamento deselezionando la casella di spunta in modo tale che il provider gestirà solo il token V1.3.

Nota: Questa casella di controllo viene visualizzata solo nel riquadro del consumatore del token del provider del servizio.
Tipo dati Casella di controllo
Intervallo Selezionato o cancellato
Valore predefinito Selezionato



I collegamenti contrassegnati (online) richiedono un accesso a Internet.

Attività correlate
Riferimenti correlati
Impostazioni gestore richiamate
Raccolta serie di politiche applicazione
Impostazioni serie di politiche applicazione
Ricerca raccolta applicazioni allegate
Impostazioni bind serie di politiche


Nome file: uwbs_wsspsbpt.html