Ustawienia procedury obsługi wywołania zwrotnego

Ta strona umożliwia skonfigurowanie ustawień procedury obsługi wywołania zwrotnego, które określają sposób uzyskiwania znaczników bezpieczeństwa z nagłówków komunikatów.

Podczas edycji ogólnych powiązań na poziomie komórki lub serwera można skonfigurować ustawienia procedury obsługi wywołania zwrotnego. Można także skonfigurować powiązania specyficzne dla aplikacji na potrzeby znaczników i części komunikatów wymaganych przez zestaw strategii.

Aby wyświetlić tę stronę Konsoli administracyjnej podczas edytowania ogólnego powiązania na poziomie komórki, wykonaj następujące czynności:
  1. Kliknij opcję Usługi > Zestawy strategii > Domyślne powiązania zestawu strategii. Panel powiązań wskazuje, które powiązanie jest ustawione jako domyślne, na przykład przykładowe powiązanie dostawcy.
  2. Aby edytować to powiązanie domyślne, kliknij opcję Usługi > Zestawy strategii > Ogólne powiązania zestawu strategii dla dostawcy.
  3. Kliknij nazwę domyślnego powiązania określonego w pierwszym kroku, np. Przykład dostawcy.
  4. W tabeli Strategie kliknij strategię WS-Security.
  5. Kliknij odsyłacz Uwierzytelnianie i zabezpieczenie w sekcji Główne powiązania strategii bezpieczeństwa komunikatów.
  6. Kliknij odsyłacz nazwa_znacznika w sekcji Znaczniki bezpieczeństwa lub w sekcji Znaczniki uwierzytelniania.
  7. Kliknij odsyłacz Procedura obsługi wywołania zwrotnego.
Aby wyświetlić tę stronę Konsoli administracyjnej podczas konfigurowania powiązań specyficznych dla aplikacji na potrzeby części komunikatów i znaczników, które są wymagane przez zestaw strategii, wykonaj następujące czynności:
  1. Kliknij opcję Aplikacje>Typy aplikacji>Aplikacje korporacyjne WebSphere.
  2. Wybierz aplikację zawierającą usługi Web Service. Aplikacja musi zawierać dostawcę lub klienta usług.
  3. Kliknij odsyłacz Zestawy strategii i powiązania dostawcy usług lub Zestawy strategii i powiązania klienta usługi w sekcji Właściwości usług Web Service.
  4. Wybierz powiązanie. Wcześniej należy przyłączyć zestaw strategii i przypisać powiązanie specyficzne dla aplikacji.
  5. W tabeli Strategie kliknij strategię WS-Security.
  6. Kliknij odsyłacz Uwierzytelnianie i zabezpieczenie w sekcji Główne powiązania strategii bezpieczeństwa komunikatów.
  7. Kliknij odsyłacz nazwa_znacznika w sekcji Znaczniki bezpieczeństwa lub w sekcji Znaczniki uwierzytelniania.
  8. Kliknij odsyłacz Procedura obsługi wywołania zwrotnego.

Ten panel Konsoli administracyjnej dotyczy jedynie aplikacji korzystających z interfejsu JAX-WS (Java API for XML Web Services).

Panel Procedura obsługi wywołania zwrotnego wyświetla pola w odmienny sposób dla różnych znaczników, które są konfigurowane. W zależności od tego, czy konfigurowane są znaczniki generatora lub konsumenta na potrzeby zabezpieczenia bądź znaczniki przychodzące lub wychodzące na potrzeby uwierzytelniania, sekcje i pola w tym panelu wyświetlają niektóre lub wszystkie pola przedstawione w tej sekcji, zgodnie z opisem każdego pola.

Nazwa klasy

Pola w sekcji Nazwa klasy są dostępne dla wszystkich typów konfiguracji znaczników.

Wybierz nazwę klasy, która ma zostać użyta dla procedury obsługi wywołania zwrotnego. Wybierz opcję Użyj wbudowanej wartości domyślnej dla normalnego działania. Wybierz opcję Użyj niestandardowej tylko w przypadku, gdy używany jest niestandardowy typ znacznika.

W przypadku niestandardowego typu znacznika Kerberos użyj nazwy klasy com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler na potrzeby konfiguracji generatora znaczników. Użyj nazwy klasy com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler dla konfiguracji konsumenta znaczników.

Użyj wbudowanej wartości domyślnej

Określa, że jako nazwa klasy ma zostać użyta wartość domyślna. Powoduje użycie wartości domyślnej jako nazwy klasy (przedstawionej w polu) po wybraniu tego przełącznika. Nazwa ta jest oparta na typie znacznika oraz zależy od tego, czy procedura obsługi wywołania zwrotnego jest przeznaczona dla generatora lub konsumenta znaczników. Opcja ta wyklucza się wzajemnie z opcją Użyj niestandardowej.

Użyj niestandardowej

Określa, że jako nazwa klasy ma zostać użyta wartość niestandardowa. Wybierz ten przełącznik i wprowadź nazwę w polu, aby użyć niestandardowej nazwy klasy.

Brak dostępnej wartości domyślnej dla tego pola wprowadzania. Aby określić wartość, użyć informacji w poniższej tabeli:

Tabela 1. Nazwy klas niestandardowych dla procedury obsługi wywołania zwrotnego i powiązanych typów znaczników. Procedura obsługi wywołania zwrotnego określa, w jaki sposób znaczniki bezpieczeństwa są pobierane z nagłówków komunikatów.
Typ znacznika Konsument lub generator Nazwa klasy procedury obsługi wywołania zwrotnego
UsernameToken konsument com.ibm.websphere.wssecurity.callbackhandler.UNTConsumeCallbackHandler
UsernameToken generator com.ibm.websphere.wssecurity.callbackhandler.UNTGenerateCallbackHandler
X509Token konsument com.ibm.websphere.wssecurity.callbackhandler.X509ConsumeCallbackHandler
X509Token generator com.ibm.websphere.wssecurity.callbackhandler.X509GenerateCallbackHandler
LTPAToken/LTPAPropagationToken konsument com.ibm.websphere.wssecurity.callbackhandler.LTPAConsumeCallbackHandler
LTPAToken/LTPAPropagationToken generator com.ibm.websphere.wssecurity.callbackhandler.LTPAGenerateCallbackHandler
SecureConversationToken konsument com.ibm.ws.wssecurity.impl.auth.callback.SCTConsumeCallbackHandler
SecureConversationToken generator com.ibm.ws.wssecurity.impl.auth.callback.WSTrustCallbackHandler

Ten przycisk wyklucza się wzajemnie z opcją Użyj wbudowanej wartości domyślnej.

Certyfikaty (generator)

Pola w sekcji Certyfikaty są dostępne podczas konfigurowania znacznika zabezpieczeń. W przypadku znacznika generatora można kliknięciem wybrać bazę certyfikatów z listy lub kliknąć przycisk Nowa, aby dodać bazę certyfikatów.

Certyfikaty (konsument)

Pola w sekcji Certyfikaty są dostępne podczas konfigurowania znacznika zabezpieczeń. W przypadku znacznika konsumenta można użyć opcji Ufaj wszystkim certyfikatom lub Baza certyfikatów, aby skonfigurować bazę certyfikatów.

Certyfikaty - Ufaj wszystkim certyfikatom (konsument)

Tę opcję można zastosować tylko dla znacznika konsumenta. Wskazuje ona, że system będzie traktował wszystkie certyfikaty jako zaufane, i nie definiuje konkretnej bazy certyfikatów. Opcja ta wyklucza się wzajemnie z opcją Baza certyfikatów.

Certyfikaty - Baza certyfikatów (konsument)

Tę opcję można zastosować tylko dla znacznika konsumenta. Opcja ta pozwala określać kolekcję bazy certyfikatów zawierającą certyfikaty pośrednie, które mogą zawierać listy odwołań certyfikatów. Wybierz tę opcję, aby ufać bazie lub bazom certyfikatów określonym w polu wprowadzania. Opcja ta wyklucza się wzajemnie z opcją Ufaj wszystkim certyfikatom. Po wybraniu opcji Baza certyfikatów przycisk Nowa staje się aktywny, dzięki czemu można skonfigurować nową bazę certyfikatów i składnicę bazy zaufania.

Wartość w polu bazy certyfikatów można ustawić na wartość domyślną, czyli Brak. Jednak dla składnicy bazy zaufania należy wybrać konkretną wartość. Brak wartości domyślnej. Baza zaufania jest wymagana, jeśli nie wybrano opcji Ufaj wszystkim certyfikatom.

Podstawowe uwierzytelnianie

Pola w sekcji Podstawowe uwierzytelnianie są dostępne w przypadku konfigurowania znacznika uwierzytelniania, który nie jest znacznikiem propagowania LTPA.

W przypadku niestandardowego typu znacznika Kerberos należy wypełnić sekcję Podstawowe uwierzytelnianie, aby zapewnić logowanie Kerberos.

Nazwa użytkownika

Określa nazwę użytkownika, która ma zostać użyta do uwierzytelniania.

Hasło

Określa hasło do uwierzytelnienia. Wprowadź w tym polu wprowadzania hasło do uwierzytelnienia.

Potwierdzenie hasła

Określa hasło, które ma zostać potwierdzone.

Plik kluczy

Pola w sekcji Plik kluczy są dostępne podczas konfigurowania znacznika zabezpieczeń.

Na liście Nazwa pliku kluczy można kliknąć pozycję Niestandardowy, aby zdefiniować niestandardowy plik kluczy, kliknąć nazwę jednego ze zdefiniowanych zewnętrznie plików kluczy lub kliknąć pozycję Brak, jeśli plik kluczy nie jest wymagany.

Plik kluczy - Nazwa

Określa nazwę pliku kluczy zarządzanego centralnie, który ma zostać użyty.

Kliknij nazwę pliku kluczy zarządzanego centralnie w tym menu lub wprowadź jedną z następujących wartości:
NodeDefaultKeyStore
NodeDefaultTrustStore
NodeLTPAKeys
Brak
Określa, że plik kluczy zarządzany centralnie nie będzie używany.
Niestandardowe
Określa, że plik kluczy zarządzany centralnie będzie używany. Kliknij odsyłacz Konfiguracja niestandardowa pliku kluczy, aby skonfigurować niestandardowe ustawienia pliku kluczy oraz kluczy.
Plik kluczy - Konfiguracja niestandardowa pliku kluczy

Określa odsyłacz służący do tworzenia niestandardowego pliku kluczy. Kliknij ten odsyłacz, aby otworzyć panel, w którym można skonfigurować niestandardowy plik kluczy.

Klucz

Pola w sekcji Klucz są dostępne podczas konfigurowania znacznika zabezpieczeń.

Nazwa

Określa nazwę klucza, który ma zostać użyty. W tym wymaganym polu wprowadź nazwę klucza, który ma zostać użyty.

Alias

Określa nazwę aliasu klucza, który ma zostać użyty. W tym wymaganym polu wprowadź alias nazwy klucza, który ma zostać użyty.

Hasło

Określa hasło dla klucza, który ma zostać użyty.

Nie można ustawić hasła dla kluczy publicznych dla generatora szyfrowania asymetrycznego i konsumenta podpisów asymetrycznych.

Potwierdzenie hasła

Określa potwierdzenie hasła dla klucza, który ma zostać użyty. Aby potwierdzić, wprowadź hasło wpisane w polu Hasło.

Nie należy podawać hasła potwierdzenia dla kluczy publicznych dla asymetrycznego szyfrowania wyjściowego lub podpisów przychodzących.

Właściwości niestandardowe

Pola w sekcji Właściwości niestandardowe są dostępne dla wszystkich typów konfiguracji znaczników.

Używając par nazwa-wartość, można dodać właściwości niestandardowe wymagane przez procedurę obsługi wywołania zwrotnego.

Aby zaimplementować szyfrowanie certyfikatu osoby podpisującej przy korzystaniu z modelu programistycznego JAX-WS, należy dodać właściwość niestandardową com.ibm.wsspi.wssecurity.token.cert.useRequestorCert o wartości true (prawda) w procedurze obsługi wywołania zwrotnego generatora znacznika szyfrowania. Ta implementacja używa certyfikatu osoby podpisującej z żądania SOAP do zaszyfrowania odpowiedzi SOAP. Dana właściwość niestandardowa jest używana przez generator odpowiedzi.

W przypadku niestandardowych znaczników Kerberos opartych na specyfikacji OASIS Web Services Security Specification for Kerberos Token Profile 1.1 należy określić następującą właściwość na potrzeby generowania znaczników: com.ibm.wsspi.wssecurity.krbtoken.clientRealm. Dzięki temu określona zostanie nazwa dziedziny protokołu Kerberos powiązanej z klientem i dziedzina klienta Kerberos będzie mogła inicjować logowanie Kerberos. Jeśli ta właściwość nie zostanie określona, będzie używana domyślna nazwa dziedziny Kerberos. Ta właściwość jest opcjonalna dla środowiska pojedynczej dziedziny protokołu Kerberos. Podczas implementowania zabezpieczeń usług Web Service w środowisku dziedziny zaufanej lub w środowisku międzydziedzinowym protokołu Kerberos należy podać wartość właściwości clientRealm.

Właściwość niestandardowa protokołu Kerberos com.ibm.wsspi.wssecurity.krbtoken.loginPrompt umożliwia logowanie Kerberos, jeśli jej wartość to true (prawda). Wartością domyślną jest false (fałsz). Ta właściwość jest opcjonalna.

Podczas konfigurowania znacznika nazwy użytkownika dla modelu programistycznego usług JAX-WS w celu zabezpieczenia przed atakami metodą powtórzenia zaleca się dodanie następujących właściwości niestandardowych do konfiguracji procedury obsługi wywołania zwrotnego. Właściwości niestandardowe włączają i weryfikują wartość jednorazową i znacznik czasu na potrzeby uwierzytelniania komunikatów.
Nazwa właściwości (generator) Wartość właściwości
com.ibm.wsspi.wssecurity.token.username.addNonce true
com.ibm.wsspi.wssecurity.token.username.addTimestamp true
Nazwa właściwości (konsument) Wartość właściwości
com.ibm.wsspi.wssecurity.token.username.verifyNonce true
com.ibm.wsspi.wssecurity.token.username.verifyTimestamp true
Nazwa

Określa nazwę właściwości niestandardowej, która ma zostać użyta.

Początkowo właściwości niestandardowe nie są wyświetlane w tej kolumnie. Kliknij jedno z następujących działań dla właściwości niestandardowych:

Przycisk Wynik działania
Nowa Służy do tworzenia nowej pozycji właściwości niestandardowej. Aby dodać właściwość niestandardową, należy wprowadzić nazwę i wartość.
Usuń Służy do usuwania wybranej właściwości niestandardowej.
Wartość

Określa wartość właściwości niestandardowej, która ma zostać użyta. W polu wprowadzania Wartość można wprowadzić lub usunąć wartość właściwości niestandardowej.




Zaznaczone odsyłacze (online) wymagają dostępu do Internetu.

Zadania pokrewne
Odsyłacze pokrewne
Ustawienia znacznika zabezpieczeń (generator lub konsument)
Kolekcja zestawów strategii aplikacji
Ustawienia zestawu strategii aplikacji
Kolekcja wyszukiwania przyłączonych aplikacji
Ustawienia powiązań zestawu strategii


Nazwa pliku: uwbs_wsspsbch.html