Nastavení tokenu pro generátor nebo spotřebitele ověřování

Tokeny ověřování se používají k prokazování či deklaraci identity. Prostřednictvím administrativní konzoly můžete přidávat nastavení tokenů ověřování pro části zprávy při úpravě obecné vazby.

Chcete-li konfigurovat tokeny ověřování, postupujte podle následujících kroků:

  1. Chcete-li zobrazit a vybrat obecné vazby nastavené jako výchozí vazby sady zásad globálního zabezpečení, klepněte na volbu Služby > Sady zásad > Výchozí vazby sady zásad. Určené vazby jsou použity, nejsou-li přepsány v bodu přílohy, na serveru nebo v doméně zabezpečení.
  2. Chcete-li přejít k obecným vazbám, konfigurovat je a přidat nastavení tokenů ověřování pro části zpráv, klepněte na volbu Služby > Sady zásad > Obecné vazby sady zásad poskytovatele.
  3. Na kartě Zásady klepněte na zásadu WS-Security.
  4. V části Vazby zásad zabezpečení pro hlavní zprávu klepněte na odkaz Ověřování a ochrana.
  5. Klepnutím na tlačítko Nový token vytvořte nový generátor nebo spotřebitele tokenů nebo klepněte na odkaz na existující token generátoru nebo spotřebitele v tabulce Token ověřování.
Chcete-li zobrazit nebo upravit vazby specifické pro konkrétní aplikaci pro tokeny a části zpráv, které jsou vyžadovány sadou zásad, proveďte následující kroky:
  1. Klepněte na volbu Aplikace > Typy aplikací > Podnikové aplikace WebSphere.
  2. Vyberte aplikaci, která obsahuje webové služby. Aplikace musí obsahovat poskytovatele služby nebo klienta služby.
  3. V části Vlastnosti webových služeb klepněte na odkaz Sady zásad a vazby poskytovatele služeb nebo Sady zásad a vazby klienta služeb.
  4. Vyberte vazbu. Před touto akcí je nutné mít již připojenou sadu zásad a přiřazenou vazbu specifickou pro aplikaci.
  5. Na kartě Zásady klepněte na zásadu WS-Security.
  6. V části Vazby zásad zabezpečení pro hlavní zprávu klepněte na odkaz Ověřování a ochrana.
  7. V tabulce Token ochrany klepněte na odkaz na token generátoru nebo spotřebitele.

Tento panel administrativní konzoly se vztahuje pouze na aplikace rozhraní JAX-WS (Java API for XML Web Services).

Název

Určuje název konfigurovaného tokenu. V případě použití vazeb specifických pro konkrétní aplikaci není toto pole zobrazeno.

Typ tokenu

Určuje typ konfigurovaného tokenu.

V případě použití vazeb specifických pro konkrétní aplikaci je typ tokenu načten ze souboru zásad a je určen pouze pro čtení. Pokud používáte obecné vazby, vyberte typ tokenu v seznamu. K dispozici jsou následující typy tokenů:

  • X509V3 Token V1.1
  • X509V3 Token V1.0
  • Username Token V1.1
  • Username Token V1.0
  • X509PKCS7 Token V1.1
  • X509PKCS7 Token V1.0
  • X509PkiPathV1 Token V1.1
  • X509PkiPathV1 Token V1.0
  • Token šíření ověřování LTPA
  • X509V1 Token V1.1
  • Token ověřování LTPA
  • LTPA Token V2.0
  • Vlastní token
Nová funkce: Typ tokenu LTPA Token verze 2.0 je k dispozici pouze pro vazby s použitím nového oboru názvů v produktu IBM WebSphere Application Server verze 7.0 nebo vyšší. V případě, že jako typ tokenu pro spotřebitele tokenů vyberete token LTPA verze 2.0, je možné spotřebovávat tokeny LTPA i LTPA verze 2.0. Chcete-li spotřebitele omezit pouze na tokeny LTPA verze 2.0, zaškrtněte políčko Vynutit verzi tokenu.

Pokud pro generátor tokenu vyberete jako typ token LTPA, musí být aktivován režim interoperability jednotného přihlášení. Jedná se o nastavení v globálním zabezpečení v rámci webového zabezpečení a zabezpečení SIP. Jestliže políčko interoperability není zaškrtnuto a bude spuštěna aplikace, která je přidružená k těmto vazbám, dojde k chybě. Chcete-li použít token LTPA, aniž byste kontrolovali zaškrtnutí příznaku interoperability, můžete v generátoru tokenů nastavit vlastní vlastnost com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7. Nastavte vlastnost pomocí administrativní konzoly, jak je popsáno v tématu Povolení a zakázání režimu interoperability jednotného přihlášení pro token LTPA. Vlastnost nelze nastavit pomocí rozhraní API Zabezpečení webových služeb.

newfeat
Lokální název

Určuje lokální název pro generátor nebo spotřebitele tokenu ověřování. Pole Lokální název je vyplněno na základě zobrazeného typu tokenu. Prostřednictvím tohoto pole upravujte pouze vlastní typy tokenu.

Identifikátor URI

Určuje identifikátor URI generátoru nebo spotřebitele ověřování. Pole URI je vyplněno na základě zobrazeného typu tokenu. Prostřednictvím tohoto pole upravujte pouze vlastní typy tokenu.

Pokud se vlastní typ tokenu používá při generování tokenu Kerberos definovaného podle specifikace zabezpečení webových služeb OASIS pro profil tokenů Kerberos verze 1.1, nechte toto pole prázdné.

Odkaz na token zabezpečení

Určuje odkaz na token zabezpečení. Pole s odkazem na token zabezpečení se zobrazí pouze pro tokeny ověřování ve vazbách specifických pro konkrétní aplikaci. Toto pole není k dispozici pro výchozí vazby.

Služba JAAS - přihlášení

Určuje seznam přihlášení služby JAAS (Java Authentication and Authorization Service) k systému a aplikaci, která se vztahují na doménu, jež je oborem vazby.

Pokud je oborem aplikace globální zabezpečení nebo doména, která nepřizpůsobuje vlastní přihlášení služby JAAS, bude v seznamu nabídky zobrazen seznam globálních přihlášení. Po klepnutí na volbu Nové přihlášení k aplikaci přejdete ke kolekci globálních přihlášení k aplikaci služby JAAS. Chování seznamu nabídky přihlášení služby JAAS a tlačítka Nové přihlášení k aplikaci závisí na tom, zda je vazba vytvářena spolu s přílohou. Při změnách domén zabezpečení postupujte opatrně, protože konfigurace zabezpečení odkazovaná dříve, například přihlášení služby JAAS, nemusí být v jiné doméně zabezpečení přístupné.

Přizpůsobené vlastnosti - Název

Určuje název použitý pro vlastní vlastnost.

Přizpůsobené vlastnosti nejsou původně v tomto sloupci zobrazeny. Klepnutím na jedno z následujících tlačítek povolíte popsané akce:

Tlačítko Výsledná akce
Nový Vytvoří novou položku přizpůsobené vlastnosti. Chcete-li přidat přizpůsobenou vlastnost, zadejte název a hodnotu.
Upravit Povolí úpravy vybrané přizpůsobené vlastnosti. Klepnutím na toto tlačítko povolíte úpravy vstupních polí a vytvoření seznamu hodnot buněk. Tlačítko Upravit není k dispozici, dokud není přidána alespoň jedna přizpůsobená vlastnost.
Odstranit Odebere vybranou přizpůsobenou vlastnost.
Přizpůsobené vlastnosti - Hodnota

Určuje použitou hodnotu přizpůsobené vlastnosti. Prostřednictvím pole Hodnota můžete zadat, upravit nebo odstranit hodnotu pro přizpůsobenou vlastnost.

Pokud se ke generování tokenu Kerberos používá vlastní typ tokenu, určete následující přizpůsobené vlastnosti:

Název přizpůsobené vlastnosti Hodnota
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Určuje název cílové služby.

Tato vlastnost je povinná.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Určuje název hostitele přidružený k cílové službě v následujícím formátu: myhost.mycompany.com.

Tato vlastnost je povinná.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Určuje název sféry přidružené k cílové službě.

Tato vlastnost je při použití jedné sféry ověřování Kerberos volitelná. Pokud není zadána vlastnost targetServiceRealm, jako název sféry bude použit výchozí název sféry z konfiguračního souboru ověřování Kerberos. V prostředí s důvěryhodnými sférami nebo vzájemným ověřováním je nutné zadat hodnotu vlastnosti targetServiceRealm.

Pro generátor tokenů tvoří kombinace názvu služby a cílového názvu hostitele název činitele služby (SPN), který představuje název činitele služby ověřování Kerberos. Klient ověřování Kerberos pro název SPN počáteční token AP_REQ ověřování Kerberos.

Pokud aplikace generuje nebo spotřebovává token Kerberos verze 5 AP_REQ pro každou zprávu požadavku na webové služby, nastavte přizpůsobenou vlastnost com.ibm.wsspi.wssecurity.kerberos.attach.apreq ve vazbách generátoru tokenů a spotřebitele tokenů pro danou aplikaci na hodnotu true. Další informace naleznete v tématu s radami pro odstraňování problémů se zabezpečením webových služeb.

Manipulátor zpětného volání

Odkazy na stránku manipulátoru zpětného volání, na které můžete konfigurovat manipulátory zpětné vazby. Nastavení manipulátoru zpětné vazby určuje způsob načtení tokenů ze záhlaví zpráv.

Pokud pracujete s tokenem jména uživatele nebo tokenem ověřování LTPA, který používá výchozí vazby, mohou být uvedena jména uživatelů a hesla, která slouží jako příklady. Pro tyto typy tokenů je zapotřebí aktualizovat hodnoty.




Odkazy s označením (online) vyžadují přístup k Internetu.

Související úlohy
Související odkazy
Nastavení manipulátoru zpětného volání
Nastavení tokenu ochrany (generátor nebo spotřebitel)
Kolekce sady zásad aplikace
Ověřování a ochrana služby WS-Security


Název souboru: uwbs_wsspsbat.html