Impostazioni del token del consumer o del generatore di autenticazione

I token di autenticazione sono utilizzati per provare o asserire un'identità. Utilizzare la console di gestione per aggiungere le impostazioni del token di autenticazione per le parti di messaggio quando si modifica un bind generale.

Per configurare i token di autenticazione, completare i seguenti punti:

  1. Per visualizzare e selezionare i bind generali che sono impostati come bind della serie di politiche predefinite, fare clic su Servizi > Serie di politiche > Bind serie di politiche predefinite. I bind specificati sono utilizzati tranne se ignorati nel punto di bind, nel server, o in un dominio di sicurezza.
  2. Per accedere e configurare i bind generali e per aggiungere le impostazioni token di autenticazione per le parti di messaggio, fare clic su Servizi > Serie di politiche > Bind serie di politiche generali del provider.
  3. Fare clic sulla politica WS-Security nella tabella delle politiche.
  4. Fare clic sul bind Autenticazione e protezione nella sezione sul bind della politica di sicurezza del messaggio principale.
  5. Fare clic su Nuovo token per creare un nuovo generatore o consumatore token o fare clic su un link generatore o consumatore esistente dalla tabella Token di autenticazione.
Per visualizzare e configurare i bind specifici dell'applicazione per i token e le parti di messaggio che sono richieste da una serie di politiche, completare i seguenti punti:
  1. Fare clic su Applicazioni > Tipi di applicazione > Applicazioni enterprise WebSphere.
  2. Selezionare un'applicazione che contiene servizi Web. L'applicazione deve contenere un provider o un client del servizio.
  3. Fare clic sul link Serie di politiche e bind del provider del servizio o il link Serie di politiche e bind di servizio nella sezione Proprietà dei servizi Web.
  4. Selezionare un bind. Occorre aver precedentemente allegato una serie di politiche ed aver assegnato un bind specifico per l'applicazione.
  5. Fare clic sulla politica WS-Security nella tabella delle politiche.
  6. Fare clic sul bind Autenticazione e protezione nella sezione sul bind della politica di sicurezza del messaggio principale.
  7. Fare clic sul bind del token generatore o consumatore dalla tabella dei token di protezione.

Questo pannello della console di gestione si applica solo ai servizi Web Java API for XML Web Services (JAX-WS).

Nome servlet

Specifica il nome del token configurato. Quando si utilizzano i bind specifici dell'applicazione, questo campo non viene visualizzato.

Tipo token

Specifica il tipo di token configurato.

Quando si utilizzano bind specifici dell'applicazione, il tipo di token viene ottenuto dal file della politica ed è di sola lettura. Quando si stanno utilizzando bind generali, selezionare un tipo di token dall'elenco. Sono disponibili i seguenti tipi di token:

  • X509V3 Token V1.1
  • X509V3 Token V1.0
  • Nome utente Token V1.1
  • Nome utente Token V1.0
  • X509PKCS7 Token V1.1
  • X509PKCS7 Token V1.0
  • X509PkiPathV1 Token V1.1
  • X509PkiPathV1 Token V1.0
  • LTPA Propagation Token
  • X509V1 Token V1.1
  • Token LTPA
  • LTPA Token V2.0
  • Token personalizzato
Nuova funzione: Il tipo di token LTPA Token V2.0 è disponibile solo per i bind che utilizzano il nuovo spazio dei nomi in IBM WebSphere Application Server, Versione 7.0 o successive. Quando si seleziona LTPA Token V2.0 come tipo di token per il consumatore token, è possibile utilizzare sia i token LTPA che i token LTPA V2.0. Per limitare il consumatore token all'utilizzo solo dei token LTPA V2.0, selezionare la casella di spunta Applica versione token.

Se si seleziona il token LTPA come il tipo di token per il generatore di token, è necessario abilitare la modalità di interoperabilità single sign-on. Questa è una impostazione in sicurezza globale, in Sicurezza Web e SIP. Se l'indicatore di interoperabilità non è impostato su abilitato (vero), si verifica un errore quando l'applicazione che è collegata a questi bind viene avviata. Se si desidera utilizzare il token LTPA senza controllare lo stato dell'indicatore di interoperabilità, è possibile impostare la proprietà personalizzata, com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7, sul generatore token.

newfeat
Nome locale

Specifica il nome della locale per il generatore o il consumatore del token di autenticazione. Il campo Nome locale viene riempito in base al tipo di token visualizzato. Utilizzare questo campo per modificare solo tipi di token personalizzati.

URI

Specifica l'URI (uniform resource identifier) del generatore o consumatore di token di autenticazione. Il campo URI viene riempito in base al tipo di token visualizzato. Utilizzare questo campo per modificare solo tipi di token personalizzati.

Lasciare vuoto questo campo se viene utilizzato il tipo di token personalizzato per generare un token Kerberos come definito in OASIS Web Services Security Specification for Kerberos Token Profile v1.1.

Riferimento token di sicurezza

Specifica il riferimento del token di sicurezza. Il campo del riferimento del token di sicurezza viene visualizzato solo per i token di autenticazione nei bind specifici dell'applicazione. Questo campo non è disponibile per i bind predefiniti.

Login JAAS

Specifica un elenco di login per applicazione e sistema Java Authentication and Authorization Service (JAAS) che sono effettivi per il dominio al quale il bind mira.

Se un'applicazione mira alla sicurezza globale o a un dominio che non personalizza i login JAAS, l'elenco dei login globali è visualizzato nell'elenco dei menu. Fare clic su Nuovo login applicazione per accedere alla raccolta di login dell'applicazione JAAS globale. Il comportamento dell'elenco dei menu di accesso JAAS e il pulsante Nuovo login applicazione dipendono dal fatto se il bind viene creato in associazione con un allegato. Prestare attenzione nella modifica dei domini di sicurezza, dal momento che una configurazione di sicurezza a cui si è fatto precedentemente riferimento, come i login JAAS, potrebbero non essere accessibili in un dominio di sicurezza diverso.

Se il tipo di token personalizzato viene utilizzato per generare un token di sicurezza binario Kerberos, selezionare wss.generate.KRB5BST come il modulo di login JAAS per la generazione del token, wss.consume.KRB5BST per il consumatore di token e wss.consume.KRB5BSTDefaultIdMapping per la mappatura predefinita dell'ID principale Kerberos nel registro utente locale con il consumatore token.

Proprietà personalizzate - Nome

Specifica il nome utilizzato per la proprietà personalizzata.

Le proprietà personalizzate non vengono visualizzate inizialmente in questa colonna. Fare clic su uno dei seguenti pulsanti per abilitare le azioni descritte:

Pulsante Azione risultante
Nuovo Crea una nuova voce di proprietà personalizzata. Per aggiungere una proprietà personalizzata, immettere il nome e il valore:
Modifica Abilita la modifica della proprietà personalizzata selezionata. Facendo clic su questo pulsante, vengono forniti campi di immissione e si crea l'elenco dei valori della cella da modificare. Il pulsante Modifica non è disponibile finché non si è aggiunta almeno una proprietà personalizzata.
Elimina Rimuove la proprietà personalizzata selezionata.
Proprietà personalizzate - Valore

Specifica il valore della proprietà personalizzata da utilizzare. Utilizzare il campoValore per inserire, modificare o eliminare il valore per la proprietà personalizzata.

Se viene utilizzato il tipo di token personalizzato per generare un token Kerberos, specificare una proprietà personalizzata con il nome di servizio target com.ibm.wsspi.wssecurity.krbtoken.targetServiceName, il nome host com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost che è associato con il servizio target e il realm Kerberos com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm che è associato con il servizio target. Le proprietà personalizzate com.ibm.wsspi.wssecurity.krbtoken.targetServiceName e com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost sono necessarie. La proprietà com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm personalizzata è opzionale. Per il generatore token, la combinazione del nome di servizio target e il nome host target forma un SPN (Service Principal Name) che rappresenta il nome principale del servizio Kerberos target. Il client Kerberos richiede il token AP_REQ Kerberos per SPN.

Gestore callback

Si collega alla pagina del gestore richiamate dove è possibile configurare i gestori delle richiamate. I gestori delle richiamate determinano come vengono acquisiti i token di sicurezza dalle intestazioni di messaggio.

Se si sta utilizzando un token Username o un token LTPA che sta utilizzando bind predefiniti, i nomi utente e le password devono essere forniti come esempi. Aggiornare i valori per questi tipi di token.




I collegamenti contrassegnati (online) richiedono un accesso a Internet.

Attività correlate
Riferimenti correlati
Impostazioni gestore richiamate
Impostazioni token di protezione (generatore o consumatore)
Raccolta serie di politiche applicazione
Autenticazione e protezione WS-Security


Nome file: uwbs_wsspsbat.html