鑑別產生者或消費者記號設定

鑑別記號用來證明或主張身分。 在編輯一般連結時,請利用管理主控台來新增訊息組件的鑑別記號設定。

如果要配置鑑別記號,請完成下列步驟:

  1. 如果要檢視和選取設為廣域安全預設原則集連結的一般連結,請按一下服務 > 原則集 > 預設原則集連結。 除非指定的連結在連接點、伺服器或安全網域遭到置換,否則會使用該指定連結。
  2. 如果要存取和配置一般連結,以及新增訊息組件的鑑別記號設定,請按一下服務 > 原則集 > 一般提供者原則集連結
  3. 按一下「原則」表格中的 WS-Security 原則。
  4. 按一下「主要訊息安全原則連結」區段中的鑑別和保護鏈結。
  5. 按一下新建記號來建立新的記號產生者或消費者,或從「鑑別記號」表格中按一下現有的消費者或產生者記號鏈結。
如果要檢視和配置原則集所需之記號和訊息組件的應用程式特定連結,請完成下列步驟:
  1. 按一下應用程式 > 應用程式類型 > WebSphere 企業應用程式
  2. 選取包含 Web 服務的應用程式。該應用程式必須包含服務提供者或服務用戶端。
  3. 按一下「Web 服務內容」區段中的服務提供者原則集和連結鏈結或 服務用戶端原則集和連結鏈結。
  4. 選取一個連結。您先前必須已附加了原則集且指派了應用程式特定連結。
  5. 按一下「原則」表格中的 WS-Security 原則。
  6. 按一下「主要訊息安全原則連結」區段中的鑑別和保護鏈結。
  7. 從「保護記號」表格中,按一下消費者或產生者記號鏈結。

這個管理主控台畫面只適用於 Java™ API for XML Web Services (JAX-WS) 應用程式。

名稱

指定正在進行配置的記號名稱。當使用應用程式特定連結時,不會顯示這個欄位。

記號類型

指定正在進行配置的記號類型。

當使用應用程式特定連結時,記號類型是從原則檔取得且是唯讀的。如果使用一般連結,請從清單中選取記號類型。 以下是可用的記號類型:

  • X509V3 Token V1.1
  • X509V3 Token V1.0
  • Username Token V1.1
  • Username Token V1.0
  • X509PKCS7 Token V1.1
  • X509PKCS7 Token V1.0
  • X509PkiPathV1 Token V1.1
  • X509PkiPathV1 Token V1.0
  • LTPA Propagation Token
  • X509V1 Token V1.1
  • LTPA Token
  • LTPA Token V2.0
  • Custom Token
新增特性: LTPA Token 2.0 版記號類型只適用於使用 IBM® WebSphere® Application Server 7.0 或更新版本中新名稱空間的連結。 如果選取 LTPA Token 2.0 版作為記號消費者的記號類型,則可同時使用 LTPA 記號和 LTPA 2.0 版記號。 如果要限制記號消費者只能使用 LTPA 2.0 版記號,請選取強制執行記號版本勾選框。

如果選取 LTPA Token 作為記號產生者的記號類型,則必須啟用單一登入交互作業能力模式。 這是「Web 和 SIP 安全」中的一項廣域安全設定。如果交互作業能力旗標未設定為啟用 (true),則在啟動附加到這些連結的應用程式時會發生錯誤。如果要使用 LTPA 記號而不檢查交互作業能力旗標的狀態,您可以在記號產生者中設定 com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 自訂內容。請按照「啟用或停用 LTPA 記號的單一登入交互作業能力模式」主題的說明,使用管理主控台來設定內容。您無法使用「Web 服務安全 API」來設定內容。

newfeat
本端名稱

指定鑑別記號產生者或消費者的本端名稱。本端名稱欄位的輸入資料取決於顯示的記號類型。 這個欄位只用來編輯自訂記號類型。

URI

指定鑑別記號產生者或消費者的統一資源識別碼 (URI)。URI 欄位的輸入資料取決於顯示的記號類型。 這個欄位只用來編輯自訂記號類型。

如果使用自訂記號類型來產生 OASIS Web Services Security Specification for Kerberos Token Profile 1.1 版定義的 Kerberos 記號,請將這個欄位保留空白。

安全記號參照

指定安全記號參照。「安全記號參照」欄位只針對應用程式特定連結中的鑑別記號顯示。這個欄位不適用於預設連結。

JAAS 登入

指定應用程式和系統 Java 鑑別和授權服務 (JAAS) 登入清單,它們適用於連結所屬範圍的網域。

如果應用程式以廣域安全為範圍,或以未自訂其本身 JAAS 登入的網域為範圍,則功能表清單中會顯示廣域登入清單。 請按一下新建應用程式登入來存取廣域 JAAS 應用程式登入集合。 JAAS 登入功能表清單和新建應用程式登入按鈕行為,取決於所建立的連結是否與附件相關聯。變更安全網域時要特別小心,因為在不同的安全網域中可能無法存取先前參照的安全配置,如 JAAS 登入。

自訂內容 – 名稱

指定自訂內容所用的名稱。

自訂內容一開始不會在這個直欄中顯示。請按下列其中一個按鈕來啟用說明的動作:

按鈕 得出的動作
新建 建立新的自訂內容項目。如果要新增自訂內容,請輸入名稱和值。
編輯 使所選的自訂內容能夠進行編輯。按一下這個按鈕會提供輸入欄位,並建立所要編輯的 Cell 值清單。 在至少新增一個自訂內容後,「編輯」按鈕才會有作用。
刪除 移除所選的自訂內容。
自訂內容 – 值

指定所要使用自訂內容的值。 請使用欄位來輸入、編輯或刪除自訂內容的值。

如果使用自訂記號類型來產生 Kerberos 記號,請指定下列自訂內容:

自訂內容名稱
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName 指定目標服務的名稱。

這個內容是必要的。

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost 以下列格式指定與目標服務相關聯的主機名稱:myhost.mycompany.com

這個內容是必要的。

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm 指定與目標服務相關聯的網域範圍名稱。

這個內容是單一 Kerberos 網域範圍可選用的。如果未指定 targetServiceRealm 內容,系統會使用 Kerberos 配置檔中的預設網域範圍名稱作為網域範圍名稱。在交叉或授信網域範圍環境中,您必須提供 targetServiceRealm 內容的值。

如果是記號產生者,目標服務名稱與目標主機名稱的組合會構成「服務主體名稱 (SPN)」,它代表目標 Kerberos 服務主體名稱。Kerberos 用戶端會針對 SPN 來要求起始 Kerberos AP_REQ 記號。

如果某應用程式對每一個 Web 服務要求訊息各產生或耗用一個 Kerberos V5 AP_REQ 記號,請在記號產生者及記號消費者連結中,將該應用程式的 com.ibm.wsspi.wssecurity.kerberos.attach.apreq 自訂內容設為 true。如需相關資訊,請參閱「Web 服務安全疑難排解提示」主題。

回呼處理常式

鏈結到「回呼處理常式」頁面,您可以在其中配置回呼處理常式。回呼處理常式設定可決定如何從訊息標頭取得安全記號。

如果您所用的「使用者名稱」記號或 LTPA 記號是使用預設連結,則可能已提供使用者名稱和密碼作為範例。您必須更新這些記號類型的值。




標示(線上)的鏈結表示需要存取網際網路。

相關工作
相關參考
回呼處理常式設定
保護記號設定(產生者或消費者)
應用程式原則集集合
WS-Security 鑑別和保護


檔名: uwbs_wsspsbat.html