认证生成者或使用者令牌设置

认证令牌用于证明或声明标识。编辑常规绑定时,使用管理控制台来添加消息部件的认证令牌设置。

要配置认证令牌,请完成以下步骤:

  1. 要查看并选择已设置为全局安全性缺省策略集绑定的常规绑定,请单击服务 > 策略集 > 缺省策略集绑定。将使用指定的绑定,除非在连接点、服务器或安全域处覆盖了这些绑定。
  2. 要访问并配置常规绑定以及添加消息部件的认证令牌设置,请单击服务 > 策略集 > 常规提供者策略集绑定
  3. 单击“策略”表中的 WS-Security 策略。
  4. 单击“主消息安全策略绑定”部分中的认证与保护链接。
  5. 单击新建令牌以创建新的令牌生成者或使用者,或者单击“认证令牌”表中的现有使用者或生成者令牌链接。
要查看并配置策略集所需的令牌和消息部件的特定于应用程序的绑定,请完成以下步骤:
  1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序
  2. 选择包含 Web Service 的应用程序。该应用程序必须包含服务提供者或服务客户机。
  3. 单击“Web Service 属性”部分中的服务提供者策略集和绑定链接或服务客户机策略集和绑定链接。
  4. 选择绑定。先前必须已连接策略集并且已指定特定于应用程序的绑定。
  5. 单击“策略”表中的 WS-Security 策略。
  6. 单击“主消息安全策略绑定”部分中的认证与保护链接。
  7. 单击“保护令牌”表中的使用者或生成者令牌链接。

此管理控制台面板仅适用于“针对基于 XML 的 Web Service 的 Java™ API”(JAX-WS)Web Service。

名称

指定所配置的令牌的名称。使用特定于应用程序的绑定时,将不显示此字段。

令牌类型

指定所配置令牌的类型。

如果使用的是特定于应用程序的绑定,那么从策略文件获取令牌类型且该令牌类型为只读。如果使用的是常规绑定,那么从列表中选择一种令牌类型。提供了以下令牌类型:

  • X509V3 令牌 V1.1
  • X509V3 令牌 V1.0
  • 用户名令牌 V1.1
  • 用户名令牌 V1.0
  • X509PKCS7 令牌 V1.1
  • X509PKCS7 令牌 V1.0
  • X509PkiPathV1 令牌 V1.1
  • X509PkiPathV1 令牌 V1.0
  • LTPA 传播令牌
  • X509V1 令牌 V1.1
  • LTPA 令牌
  • LTPA 令牌 V2.0
  • 定制令牌
新功能部件: LTPA 令牌 V2.0 令牌类型仅适用于使用 IBM® WebSphere® Application Server V7.0 或更高版本中的新名称空间的绑定。如果选择 LTPA 令牌 V2.0 作为令牌使用者的令牌类型,那么可以使用 LTPA 令牌和 LTPA V2.0 令牌。要将令牌使用者限制为仅 LTPA V2.0 令牌,请选中强制令牌版本复选框。

如果选择 LTPA 令牌作为令牌生成者的令牌类型,那么必须启用“单点登录互操作性方式”。这是 Web 和 SIP 安全性中的一项全局安全性设置。如果互操作性标志未设置为启用(true),那么当启动连接到这些绑定的应用程序时,将发生错误。如果要使用 LTPA 令牌,而不检查互操作性标志的状态,那么可以在令牌生成者上设置定制属性 com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7。

newfeat
局部名

指定认证令牌生成者或使用者的局部名。根据所显示的令牌类型填写局部名字段。使用此字段只能编辑定制令牌类型。

URI

指定认证令牌生成者或使用者的统一资源标识(URI)。根据所显示的令牌类型填写 URI 字段。使用此字段只能编辑定制令牌类型。

如果使用定制令牌类型来生成 Kerberos 令牌(在 Kerberos 令牌概要文件 V1.1 的 OASIS Web Service 安全性规范中定义),请将此字段留空。

安全性令牌引用

指定安全性令牌引用。“安全性令牌引用”字段仅对特定于应用程序的绑定中的认证令牌显示。此字段不适用于缺省绑定。

JAAS 登录

指定对于绑定作用域的域有效的应用程序和系统 Java 认证和授权服务(JAAS)登录的列表。

如果应用程序的作用域是全局安全性或者是一个未定制它自己的 JAAS 登录的域,那么将在菜单列表中显示全局登录列表。单击新建应用程序登录以访问全局 JAAS 应用程序登录集合。JAAS 登录菜单列表和新建应用程序登录按钮行为取决于是否正在创建与连接相关联的绑定。更改安全域时应小心,因为在另一安全域中可能无法访问先前引用的安全配置(如 JAAS 登录)。

如果使用定制令牌类型来生成 Kerberos 二进制安全性令牌,请选择 wss.generate.KRB5BST 作为令牌生成的 JAAS 登录模块,选择 wss.consume.KRB5BST 作为令牌使用者的JAAS 登录模块以及选择 wss.consume.KRB5BSTDefaultIdMa¬pping 作为从 Kerberos 主体标识到本地用户注册表的缺省映射(具有令牌使用者)的JAAS 登录模块。

定制属性 - 名称

指定用于定制属性的名称。

此列最初不显示定制属性。单击下列其中一个按钮以启用所描述的操作:

按钮 执行的操作
新建 创建新的定制属性条目。要添加定制属性,请输入名称和值。
编辑 使所选定制属性可编辑。单击此按钮将提供输入字段并创建可编辑的单元值列表。在至少添加一个定制属性后,“编辑”按钮才可用。
删除 除去所选定制属性。
定制属性 - 值

指定要使用的定制属性的值。使用字段输入、编辑或删除定制属性的值。

如果使用定制令牌类型来生成 Kerberos 令牌,请指定特定定制属性(具有 com.ibm.wsspi.wssecurity.krbtoken.targetServiceName 目标服务名称、与该目标服务相关联的 com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost 主机名以及与该目标服务相关联的 com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Kerberos 域)。必须指定 com.ibm.wsspi.wssecurity.krbtoken.targetServiceName 和 com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost 定制属性。com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm 定制属性为可选。对于令牌生成者,目标服务名称和目标主机名的组合构成服务主体名称(SPN),该名称表示目标 Kerberos 服务主体名称。Kerberos 客户机请求该 SPN 的初始 Kerberos AP_REQ 令牌。

回调处理程序

链接到“回调处理程序”页面,您可以在该页面中配置回调处理程序。回调处理程序设置确定如何从消息头获取安全性令牌。

如果正在处理的用户名令牌或 LTPA 令牌使用的是缺省绑定,那么可能已提供用户名和密码作为示例。需要更新这些令牌类型的值。




标有(在线)的链接要求访问因特网。

相关任务
相关参考
回调处理程序设置
保护令牌设置(生成者或使用者)
应用程序策略集集合
WS-Security 认证与保护


文件名: uwbs_wsspsbat.html