Ustawienia znacznika zabezpieczeń (generator lub konsument)

Ta strona umożliwia skonfigurowanie znaczników zabezpieczeń. Znaczniki zabezpieczeń podpisują komunikaty w celu zapewnienia integralności lub szyfrują je w celu zapewnienia poufności.

Podczas edytowania ogólnych powiązań zestawu strategii dla dostawcy lub klienta można dodać ustawienia znacznika zabezpieczeń. Można także skonfigurować powiązania specyficzne dla aplikacji na potrzeby znaczników i części komunikatów wymaganych przez zestaw strategii.

Aby wyświetlić tę stronę Konsoli administracyjnej podczas edytowania ogólnego powiązania dostawcy, wykonaj następujące czynności:
  1. Kliknij opcję Usługi > Zestawy strategii > Ogólne powiązania zestawu strategii dla dostawcy.
  2. Kliknij nazwę powiązania, które ma być edytowane.
  3. W tabeli Strategie kliknij strategię WS-Security.
  4. Kliknij odsyłacz Uwierzytelnianie i zabezpieczenie w sekcji powiązań strategii bezpieczeństwa.
  5. Kliknij opcję Nowy znacznik, aby utworzyć nowy generator lub konsument znaczników albo kliknij odsyłacz istniejącego znacznika konsumenta lub generatora w tabeli Znaczniki zabezpieczeń.
Aby wyświetlić tę stronę Konsoli administracyjnej podczas edytowania ogólnego powiązania klienta, wykonaj następujące czynności:
  1. Kliknij opcję Usługi > Zestawy strategii > Ogólne powiązania zestawu strategii dla klienta.
  2. Kliknij nazwę powiązania, które ma być edytowane.
  3. W tabeli Strategie kliknij strategię WS-Security.
  4. Kliknij odsyłacz Uwierzytelnianie i zabezpieczenie w sekcji Główne powiązania strategii bezpieczeństwa komunikatów.
  5. Kliknij opcję Nowy znacznik, aby utworzyć nowy generator lub konsumenta znaczników, lub kliknij odsyłacz istniejącego znacznika konsumenta lub generatora w tabeli Znaczniki zabezpieczeń.
Aby wyświetlić tę stronę Konsoli administracyjnej podczas konfigurowania powiązań specyficznych dla aplikacji na potrzeby części komunikatów i znaczników, które są wymagane przez zestaw strategii, wykonaj następujące czynności:
  1. Kliknij opcję Aplikacje > Aplikacje korporacyjne WebSphere.
  2. Wybierz aplikację zawierającą usługi Web Service. Aplikacja musi zawierać dostawcę lub klienta usług.
  3. Kliknij odsyłacz Zestawy strategii i powiązania dostawcy usług lub Zestawy strategii i powiązania klienta usługi w sekcji Właściwości usług Web Service.
  4. Wybierz powiązanie. Konieczne jest wcześniejsze przyłączenie zestawu strategii i przypisanie powiązania.
  5. W tabeli Strategie kliknij strategię WS-Security.
  6. Kliknij odsyłacz Uwierzytelnianie i zabezpieczenie w sekcji powiązań strategii bezpieczeństwa.
  7. Kliknij odsyłacz znacznika konsumenta lub generatora w tabeli Znaczniki zabezpieczeń.

Ten panel Konsoli administracyjnej dotyczy jedynie aplikacji korzystających z interfejsu JAX-WS (Java API for XML Web Services).

Nazwa

Określa nazwę generatora lub konsumenta znaczników. Podczas tworzenia nowego znacznika wprowadź nazwę w tym polu.

Typ znacznika

Określa typ znacznika. Jeśli używane są powiązania, typ znacznika jest określany na podstawie strategii i nie może być edytowany.

Możliwe wartości to:
  • Znacznik LTPA 2.0
  • Znacznik Zabezpieczona konwersacja 1.3
  • Znacznik Zabezpieczona konwersacja 200502
  • Znacznik X509V3 1.1
  • Znacznik X509V3 1.0
  • Znacznik X509PKCS7 1.1
  • Znacznik X509PKCS7 1.0
  • Znacznik X509PkiPathV1 1.1
  • Znacznik X509PkiPathV1 1.0
  • Znacznik X509V1 1.1
  • Znacznik niestandardowy
Typ znacznika Zabezpieczona konwersacja 200502 dla strategii WS-Security reprezentuje wymaganie znacznika kontekstu zabezpieczeń zgodnie z poziomem specyfikacji WS-SecureConversation z lutego 2005 r.
Wymuszaj wersję znacznika
Nazwa lokalna

Określa lokalną nazwę niestandardowego generatora lub konsumenta znaczników. Pole Nazwa lokalna jest zapełniane na podstawie wyświetlanego typu znacznika. Tego pola należy używać tylko do edycji niestandardowych typów znaczników.

Jeśli niestandardowy typ znacznika jest używany do generowania znacznika Kerberos zgodnie z definicją w specyfikacji OASIS Web Services Security Specification for Kerberos Token Profile 1.1, należy użyć jednej z poniższych wartości dla nazwy lokalnej. Wybór wartości zależy od poziomu specyfikacji znacznika protokołu Kerberos wygenerowanego przez centrum dystrybucji kluczy (Key Distribution Center, KDC). W poniższej tabeli przedstawiono wartości oraz poziomy specyfikacji powiązane z każdą wartością. Standard Basic Security Profile 1.1 (Podstawowy profil zabezpieczeń 1.1) wymaga używania nazwy lokalnej http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ w celu zapewnienia współdziałania.

Wartość nazwy lokalnej znacznika protokołu Kerberos Powiązany poziom specyfikacji
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ Element AP-REQ protokołu Kerberos w wersji 5 zdefiniowany w specyfikacji protokołu Kerberos. Tej wartości należy użyć, gdy biletem protokołu Kerberos jest żądanie aplikacji.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ Znacznik mechanizmu GSS-API protokołu Kerberos w wersji 5 zawierający komunikat KRB_AP_REQ zdefiniowany w dokumencie RFC-1964 [1964] (sekcja 1.1) oraz w zastępującym go dokumencie RFC-4121 (sekcja 4.1). Tej wartości należy użyć, gdy biletem protokołu Kerberos jest żądanie aplikacji (bilet usługi + element uwierzytelniający).
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510 Element AP-REQ protokołu Kerberos w wersji 5 zdefiniowany w dokumencie RFC1510. Tej wartości należy użyć, gdy biletem protokołu Kerberos jest żądanie aplikacji (zgodnie z dokumentem RFC1510).
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510 Znacznik mechanizmu GSS-API protokołu Kerberos w wersji 5 zawierający komunikat KRB_AP_REQ zdefiniowany w dokumencie RFC-1964 (sekcja 1.1) oraz w zastępującym go dokumencie RFC-4121 (sekcja 4.1). Tej wartości należy użyć, gdy biletem protokołu Kerberos, zgodnie z dokumentem RFC1510, jest żądanie aplikacji (bilet usługi + element uwierzytelniający).
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120 Element AP-REQ protokołu Kerberos w wersji 5 zdefiniowany w dokumencie RFC4120. Tej wartości należy użyć, gdy biletem protokołu Kerberos jest żądanie aplikacji (zgodnie z dokumentem RFC4120).
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120 Znacznik mechanizmu GSS-API protokołu Kerberos w wersji 5 zawierający komunikat KRB_AP_REQ zdefiniowany w dokumencie RFC-1964 (sekcja 1.1) oraz w zastępującym go dokumencie RFC-4121 (sekcja 4.1). Tej wartości należy użyć, gdy biletem protokołu Kerberos, zgodnie z dokumentem RFC4120, jest żądanie aplikacji (bilet usługi + element uwierzytelniający).
Identyfikator URI

Określa identyfikator URI niestandardowego generatora lub konsumenta znaczników. Pole Identyfikator URI jest zapełniane na podstawie wyświetlanego typu znacznika. Tego pola należy używać tylko do edycji niestandardowych typów znaczników.

Jeśli niestandardowy typ znacznika jest używany do generowania znacznika Kerberos zgodnie z definicją w specyfikacji OASIS Web Services Security Specification for Kerberos Token Profile 1.1, należy pozostawić to pole puste.

Logowanie JAAS

Określa informacje dotyczące logowania JAAS (Java Authentication and Authorization Service). Aby dodać nowy wpis logowania do aplikacji lub systemu JAAS, należy kliknąć opcję Nowy.

Jeśli serwer znajduje się w domenie zabezpieczeń obejmującej konkretne logowania systemu lub aplikacji, są one wyświetlane w menu logowania JAAS oprócz logowania globalnego.

Nowe logowanie do aplikacji
Właściwości niestandardowe - Nazwa

Określa nazwę właściwości niestandardowej. Właściwości niestandardowe początkowo nie są wyświetlane w tej kolumnie, dopóki nie zostaną dodane.

Dla właściwości niestandardowych można wybrać jedno z następujących działań:

Przycisk Wynik działania
Nowa Służy do tworzenia nowej pozycji właściwości niestandardowej. Aby dodać właściwość niestandardową, należy wprowadzić nazwę i wartość.
Edytuj Umożliwia edycję wybranej właściwości niestandardowej. Wybierz to działanie, aby uzyskać dostęp do pól wejściowych i utworzyć listę wartości komórek w celu edycji. Przycisk Edytuj nie jest dostępny do momentu dodania co najmniej jednej właściwości niestandardowej.
Usuń Służy do usuwania wybranej właściwości.
Jeśli do generowania znacznika Kerberos używany jest niestandardowy typ znacznika, należy określić następujące właściwości niestandardowe:
Nazwa właściwości niestandardowej Wartość
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Określa nazwę usługi docelowej.

Ta właściwość jest wymagana.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Określa nazwę hosta powiązanego z usługą docelową w następującym formacie: moj_host.moja_firma.com.

Ta właściwość jest wymagana.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Określa nazwę dziedziny powiązanej z usługą docelową.

Ta
właściwość jest opcjonalna w przypadku pojedynczej dziedziny protokołu
Kerberos. Jeśli właściwość targetServiceRealm nie zostanie określona, jako
nazwa dziedziny zostanie użyta domyślna nazwa dziedziny z pliku
konfiguracyjnego protokołu Kerberos. W środowisku
dziedziny zaufanej lub w środowisku międzydziedzinowym należy podać wartość
właściwości targetServiceRealm.

W przypadku generatora znaczników kombinacja nazwy usługi docelowej i nazwy hosta docelowego tworzy nazwę użytkownika usługi (Service Principal Name - SPN), która reprezentuje nazwę użytkownika docelowej usługi Kerberos. Klient Kerberos żąda początkowego znacznika AP_REQ Kerberos dla nazwy użytkownika usługi.

Jeśli aplikacja generuje lub konsumuje znacznik AP_REQ protokołu Kerberos 5 dla każdego komunikatu żądania usług Web Service, właściwości niestandardowej com.ibm.wsspi.wssecurity.kerberos.attach.apreq należy nadać wartość true w generatorze znaczników i powiązaniach konsumenta znaczników dla aplikacji. Więcej informacji na ten temat zawierają wskazówki dotyczące rozwiązywania problemów z zabezpieczeniami usług Web Service.

Właściwości niestandardowe - Wartość

Określa wartość właściwości niestandardowej. W polu Wartość można wprowadzić, zmodyfikować lub usunąć wartość właściwości niestandardowej.

Procedura obsługi wywołania zwrotnego

Po zastosowaniu lub zapisaniu wszystkich innych ustawień konfiguracyjnych na stronie znaczników zabezpieczeń wyświetlana jest ta sekcja, która łączy z ustawieniami konfiguracyjnymi procedury obsługi wywołania zwrotnego. Należy kliknąć ten odsyłacz, aby określić ustawienia procedury obsługi wywołania zwrotnego w celu określenia, w jaki sposób znaczniki bezpieczeństwa są uzyskiwane z nagłówków komunikatów.

Toleruj znacznik Zabezpieczona konwersacja 200502

Typ znacznika Zabezpieczona konwersacja 200502 dla strategii WS-Security reprezentuje wymaganie znacznika zabezpieczonej konwersacji zgodnie z poziomem specyfikacji WS-SecureConversation z lutego 2005 r. Ta opcja określa, czy dostawca obsługuje zarówno znacznik Zabezpieczona konwersacja 1.3, jak i znacznik Zabezpieczona konwersacja 200502. Domyślnie dostawca obsługuje obie wersje. Można zmienić to zachowanie, klikając pole wyboru w celu usunięcia jego zaznaczenia, tak aby dostawca obsługiwał tylko znacznik w wersji 1.3.

Uwaga: To pole wyboru jest wyświetlane tylko na panelu konsumenta znaczników dostawcy usług.
Typ danych Pole wyboru
Zakres Wybrane lub wyzerowane
Wartość domyślna Wybrane



Zaznaczone odsyłacze (online) wymagają dostępu do Internetu.

Zadania pokrewne
Odsyłacze pokrewne
Ustawienia procedury obsługi wywołania zwrotnego
Kolekcja zestawów strategii aplikacji
Ustawienia zestawu strategii aplikacji
Kolekcja wyszukiwania przyłączonych aplikacji
Ustawienia powiązań zestawu strategii


Nazwa pliku: uwbs_wsspsbpt.html