Valores de las señales de autenticación de generador o consumidor

Las señales de autenticación se utilizan para comprobar o confirmar una identidad. Utilice la consola administrativa para añadir valores de señal de autenticación para las partes del mensaje al editar un enlace general.

Para configurar señales de autenticación, lleve a cabo los siguientes pasos:

  1. Para ver o seleccionar los enlaces generales establecidos como enlaces de conjunto de política predeterminada de seguridad global, pulse Servicios > Conjuntos de políticas > Enlaces de conjunto de políticas por omisión. Los enlaces especificados se utilizan a menos que se alteren en el punto de conexión, en el servidor o en un dominio de seguridad.
  2. Para acceder y configurar los enlaces generales, y añadir valores de señal de autenticación para partes de mensaje, pulse Servicios > Conjuntos de políticas > Enlaces generales del conjunto de políticas de proveedor.
  3. Pulse en la política WS-Security en la tabla Políticas.
  4. Pulse el enlace Autenticación y protección en la sección Enlaces de política de seguridad de mensajes principales.
  5. Pulse Nueva señal para crear un nuevo generador o consumidor de señales, o pulse un enlace de señal de consumidor o generador existente en la tabla Señales de autenticación.
Para ver y configurar enlaces específicos de la aplicación para las señales y las partes del mensaje que necesita un conjunto de políticas, siga estos pasos:
  1. Pulse Aplicaciones>Tipos de aplicación>Aplicaciones de empresa de WebSphere.
  2. Seleccione una aplicación que contenga servicios Web. La aplicación debe contener un proveedor o cliente de servicios.
  3. Pulse el enlace Conjuntos de políticas y enlaces del proveedor de servicios o Conjuntos de políticas y enlaces del cliente de servicio en la sección Propiedades de servicios Web.
  4. Seleccione un enlace. Debe tener previamente conectado un conjunto de políticas y asignado un enlace específico de aplicación.
  5. Pulse en la política WS-Security en la tabla Políticas.
  6. Pulse en el enlace Autenticación y protección en la sección Enlaces principales de la política de seguridad de mensajes.
  7. Pulse en un enlace de señal de consumidor o generador en la tabla Señales de protección.

Este panel de la consola administrativa se aplica sólo a las aplicaciones JAX-WS (Java API for XML Web Services).

Nombre

Especifica el nombre de la señal que se configura. Cuando se utilizan enlaces específicos de aplicación, este campo no se visualiza.

Tipo de señal

Especifica el tipo de señal que se configura.

Cuando utiliza enlaces específicos de aplicación, el tipo de señal se obtiene del archivo de política y es de sólo lectura. Cuando se utilicen enlaces generales, seleccione un tipo de enlace en la lista. Están disponibles los siguientes tipos:

  • X509V3 Token V1.1
  • X509V3 Token V1.0
  • Username Token V1.1
  • Username Token V1.0
  • X509PKCS7 Token V1.1
  • X509PKCS7 Token V1.0
  • X509PkiPathV1 Token V1.1
  • X509PkiPathV1 Token V1.0
  • Señal de propagación LTPA
  • X509V1 Token V1.1
  • Señal LTPA
  • LTPA Token V2.0
  • Señal personalizada
Característica nueva: El tipo de señal LTPA V2.0 sólo está disponible para los enlaces que utilizan el nuevo espacio de nombres en IBM WebSphere Application Server, Versión 7.0 o posterior. Cuando selecciona Señal LTPA V2.0 como tipo de señal para el consumidor de señales, pueden consumirse señales LTPA y señales LTPA V2.0. Para restringir el consumidor de señales a las señales LTPA V2.0, seleccione el recuadro Forzar versión de señal.

Si selecciona Señal LTPA como tipo de señal para el generador de señales, la modalidad de interoperatividad de inicio de sesión único debe estar habilitada. Este es un valor en Seguridad global, dentro de Seguridad Web y SIP. Si el distintivo de interoperatividad no está establecido en habilitado (true), se produce un error cuando se inicia la aplicación que está conectada a estos enlaces. Si desea utilizar la señal LTPA sin comprobar el estado del distintivo de interoperatividad, puede establecer la propiedad personalizada, com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7, en el generador de señales. Establezca la propiedad utilizando la consola administrativa, como se describe en el tema sobre la habilitación o inhabilitación de la modalidad de interoperatividad de inicio de sesión único para la señal LTPA. La propiedad no se puede establecer utilizando la API de Seguridad de servicios Web.

newfeat
Nombre local

Especifica el nombre local del consumidor o generador de señales de autenticación. El campo Nombre local se rellena en base al tipo de señal que se visualiza. Utilice este campo para editar únicamente los tipos de señales personalizadas.

URI

Especifica el Identificador universal de recursos (URI) del consumidor o generador de señales de autenticación. El campo URI se rellena en base al tipo de señal que se visualiza. Utilice este campo para editar únicamente los tipos de señales personalizadas.

Deje este campo en blanco si el tipo de señal personalizada se utiliza para generar una señal Kerberos tal como se define en la especificación de seguridad de servicios Web de OASIS para el perfil de señal Kerberos v1.1.

Referencia de señal de seguridad

Especifica la referencia de la señal de seguridad. La referencia de la señal de seguridad sólo se muestra para las señales de autenticación en enlaces específicos de aplicación. Este campo no está disponible para los enlaces predeterminados.

Inicio de sesión JAAS

Especifica una lista de inicios de sesión Java Authentication and Authorization Service (JAAS) de aplicación y sistema que tienen efecto para el dominio al que se circunscribe el enlace.

Si una aplicación tiene como ámbito la seguridad global o un dominio que no personaliza sus propios inicios de sesión JAAS, en la lista de menú se visualiza la lista de inicios de sesión global. Pulse Nuevo inicio de sesión de aplicación para acceder a la colección de inicio de sesión de aplicación JAAS global. El comportamiento de lista de menú de inicio de sesión JAAS y del botón Nuevo inicio de sesión de aplicación depende de si el enlace se crea asociado a una conexión. Tenga cuidado cuando cambie dominios de seguridad, ya que la configuración de seguridad a la que se ha hecho referencia previamente, como inicios de sesión JAAS, podría no estar accesible en un dominio de seguridad distinto.

Propiedades personalizadas - Nombre

Especifica el nombre utilizado para la propiedad personalizada.

Las propiedades personalizadas al principio no se visualizan en esta columna. Pulse uno de los siguientes botones para habilitar las acciones descritas:

Botón Acción resultante
Nuevo Crea una entrada de propiedad personalizada nueva. Para añadir una propiedad personalizada, especifique el nombre y el valor:
Editar Habilita la propiedad personalizada seleccionada que se desea editar. Pulse este botón proporciona campos de entrada y crea el listado de valores de célula que se debe editar. Para visualizar el botón Editar se debe añadir como mínimo una propiedad personalizada.
Suprimir Elimina la propiedad personalizada seleccionada.
Propiedades personalizadas - Valor

Especifica el valor de la propiedad personalizada que se va a utilizar. Utilice el campo Valor para entrar, editar o suprimir el valor de una propiedad personalizada.

Si se utiliza el tipo de señal personalizada para generar una señal Kerberos, especifique las propiedades personalizadas siguientes:

Nombre de propiedad personalizada Valor
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Especifica el nombre del servicio de destino.

Esta propiedad es
obligatoria.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Especifica el nombre de host que está asociado con el servicio de destino en el formato siguiente: myhost.mycompany.com.

Esta propiedad es
obligatoria.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Especifica el nombre del reino asociado al servicio de destino.

Esta
propiedad es opcional para un solo reino Kerberos. Si no se especifica
la propiedad targetServiceRealm, se utiliza como nombre de reino
el nombre de reino predeterminado del archivo de
configuración de Kerberos.En un entorno de reinos cruzados o fiables, debe proporcionar
un valor para la propiedad targetServiceRealm.

Para el generador de señales, la combinación del nombre de servicio de destino y el nombre de host de destino forman un Nombre principal de servicio (SPN), que representa el nombre principal del servicio Kerberos de destino. El cliente Kerberos hace la solicitud inicial de la señal AP_REQ de Kerberos para el SPN.

Si una aplicación genera o consume una señal Kerberos V5 AP_REQ para cada mensaje de solicitud de servicios Web, establezca la propiedad personalizada com.ibm.wsspi.wssecurity.kerberos.attach.apreq en true en el generador de señales y los enlaces de consumidor de señales para la aplicación. Para obtener más información, consulte el tema de consejos para la resolución de problemas de seguridad de los servicios Web.

Manejador de retorno de llamada

Enlaces con la página del Manejador de retorno de llamada donde se pueden configurar manejadores de retorno de llamada. Los valores del manejador de retorno de llamada determinan cómo se adquieren las señales de seguridad de las cabeceras de mensajes.

Si trabaja con una señal de nombre de usuario o una señal LTPA que utiliza enlaces predeterminados, es posible que los nombres de usuario y las contraseñas se hayan proporcionado como ejemplos. Es necesario actualizar los valores para estos tipos de señales.




Los enlaces marcados (en línea) requieren acceso a Internet.

Tareas relacionadas
Referencia relacionada
Valores del manejador de retorno de llamada
Valores de señales de protección (generador o consumidor)
Colección de conjuntos de políticas de aplicación
Autenticación y protección de WS-Security


Nombre de archivo: uwbs_wsspsbat.html