保護記號設定(產生者或消費者)

請利用這個頁面來配置保護記號。保護記號藉由簽署訊息來保護完整性,或藉由加密訊息來提供機密性。

在編輯一般提供者或用戶端原則集連結時,您可以新增訊息組件的保護記號設定。 此外,您也可以配置原則集所需之記號和訊息組件的應用程式特定連結。

在編輯一般提供者連結時,如果要檢視這個管理主控台頁面,請完成下列動作:
  1. 按一下服務 > 原則集 > 一般提供者原則集連結
  2. 按一下要編輯的連結名稱。
  3. 按一下「原則」表格中的 WS-Security 原則。
  4. 按一下「安全原則連結」區段中的鑑別和保護鏈結。
  5. 按一下新建記號來建立新的記號產生者或消費者,或從「保護記號」表格中按一下現有的消費者或產生者記號鏈結。
在編輯一般用戶端連結時,如果要檢視這個管理主控台頁面,請完成下列動作:
  1. 按一下服務 > 原則集 > 一般用戶端原則集連結
  2. 按一下要編輯的連結名稱。
  3. 按一下「原則」表格中的 WS-Security 原則。
  4. 按一下「主要訊息安全原則連結」區段中的鑑別和保護鏈結。
  5. 按一下新建記號來建立新的記號產生者或消費者,或從「保護記號」表格中按一下現有的消費者或產生者記號鏈結。
在配置原則集所需之記號和訊息組件的應用程式特定連結時,如果要檢視這個管理主控台頁面,請完成下列動作:
  1. 按一下應用程式 > Websphere 企業應用程式
  2. 選取包含 Web 服務的應用程式。該應用程式必須包含服務提供者或服務用戶端。
  3. 按一下「Web 服務內容」區段中的服務提供者原則集和連結鏈結或服務用戶端原則集和連結鏈結。
  4. 選取一個連結。您先前必須已附加了原則集且指派了連結。
  5. 按一下「原則」表格中的 WS-Security 原則。
  6. 按一下「安全原則連結」區段中的鑑別和保護鏈結。
  7. 從「保護記號」表格中,按一下消費者或產生者記號鏈結。

這個管理主控台畫面只適用於 Java™ API for XML Web Services (JAX-WS) 應用程式。

名稱

指定記號產生者或消費者名稱。在建立新的記號時,請在這個欄位中輸入名稱。

記號類型

指定記號的類型。當使用連結時,記號類型取決於原則且無法加以編輯。

有效值如下:
  • LPTA Token V2.0
  • Secure Conversation Token V1.3
  • Secure Conversation Token V200502
  • X509V3 Token V1.1
  • X509V3 Token V1.0
  • X509PKCS7 Token V1.1
  • X509PKCS7 Token V1.0
  • X509PkiPathV1 Token V1.1
  • X509PkiPathV1 Token V1.0
  • X509V1 Token V1.1
  • Custom Token
WS-Security 原則的 Secure Conversation Token 200502 版記號類型,代表如 WS-SecureConversation 規格(2005 年 2 月層次)所定義的「安全環境定義記號」之需求。
強制執行記號版本
本端名稱

指定自訂記號產生者或消費者的本端名稱。本端名稱欄位的輸入資料取決於顯示的記號類型。 這個欄位只用來編輯自訂記號類型。

如果使用自訂記號類型來產生 OASIS Web Services Security Specification for Kerberos Token Profile 1.1 版定義的 Kerberos 記號,請使用下面所列的其中一個本端名稱值。 您選擇的值視「金鑰配送中心 (KDC)」所產生的 Kerberos 記號規格層次而定。下表列出值以及與每個值相關聯的規格層次。 基於交互作業能力目的,基本安全設定檔 1.1 版標準需要使用本端名稱 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ。

Kerberos 記號的本端名稱值 關聯的規格層次
http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerb erosv5_AP_REQ Kerberos 規格所定義的 Kerberos v5 AP-REQ。 如果 Kerberos 通行證是 AP Request,請使用這個值。
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ GSS-API Kerberos V5 機制記號,其中包含 RFC-1964 [1964], Sec. 1.1 及其後續版本 RFC-4121, Sec. 4.1 所定義的 KRB_AP_REQ 訊息。如果 Kerberos 通行證是 AP Request (ST + Authenticator),請使用這個值。
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510 RFC1510 所定義的 Kerberos v5 AP-REQ。根據 RFC1510,如果 Kerberos 通行證是 AP Request,則使用這個值。
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510 GSS-API Kerberos V5 機制記號,其中包含 RFC-1964, Sec. 1.1 及其後續版本 RFC-4121, Sec. 4.1 所定義的 KRB_AP_REQ 訊息。根據 RFC1510,如果 Kerberos 通行證是 AP Request (ST + Authenticator),則使用這個值。
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120 RFC4120 所定義的 Kerberos v5 AP-REQ。根據 RFC4120,如果 Kerberos 通行證是 AP Request,則使用這個值。
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120 GSS-API Kerberos V5 機制記號,其中包含 RFC-1964, Sec. 1.1 及其後續版本 RFC-4121, Sec. 4.1 所定義的 KRB_AP_REQ 訊息。根據 RFC4120,如果 Kerberos 通行證是 AP Request (ST + Authenticator),則使用這個值。
URI

指定自訂記號產生者或消費者的統一資源識別碼 (URI)。URI 欄位的輸入資料取決於顯示的記號類型。 這個欄位只用來編輯自訂記號類型。

如果使用自訂記號類型來產生 OASIS Web Services Security Specification for Kerberos Token Profile 1.1 版定義的 Kerberos 記號,請將這個欄位保留空白。

JAAS 登入

指定 Java 鑑別和授權服務 (JAAS) 應用程式登入資訊。請按一下新建來新增 JAAS 應用程式登入或 JAAS 系統登入項目。

如果伺服器所在安全網域包含特定的系統或應用程式登入,JAAS 登入功能表中會列出這些登入以及廣域登入。

新建應用程式登入
自訂內容 – 名稱

指定自訂內容的名稱。自訂內容一開始不會在這個直欄中顯示,新增之後才會顯示。

請選取下列其中一個自訂內容的動作:

按鈕 得出的動作
新建 建立新的自訂內容項目。如果要新增自訂內容,請輸入名稱和值。
編輯 指定您可以編輯所選的自訂內容。選取這個動作會提供輸入欄位並建立用於編輯的 Cell 值清單。 在至少新增一個自訂內容後,編輯按鈕才會有作用。
刪除 移除所選的內容。
如果使用自訂記號類型來產生 Kerberos 記號,請指定下列自訂內容:
自訂內容名稱
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName 指定目標服務的名稱。

這個內容是必要的。

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost 以下列格式指定與目標服務相關聯的主機名稱:myhost.mycompany.com

這個內容是必要的。

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm 指定與目標服務相關聯的網域範圍名稱。

這個內容是單一 Kerberos 網域範圍可選用的。如果未指定 targetServiceRealm 內容,系統會使用 Kerberos 配置檔中的預設網域範圍名稱作為網域範圍名稱。在交叉或授信網域範圍環境中,您必須提供 targetServiceRealm 內容的值。

如果是記號產生者,目標服務名稱與目標主機名稱的組合會形成「服務主體名稱 (SPN)」,它代表目標 Kerberos 服務主體名稱。Kerberos 用戶端會針對 SPN 來要求起始 Kerberos AP_REQ 記號。

如果某應用程式對每一個 Web 服務要求訊息各產生或耗用一個 Kerberos V5 AP_REQ 記號,請在記號產生者及記號消費者連結中,將該應用程式的 com.ibm.wsspi.wssecurity.kerberos.attach.apreq 自訂內容設為 true。如需相關資訊,請參閱「Web 服務安全疑難排解提示」主題。

自訂內容 – 值

指定自訂內容的值。請使用欄位來輸入、編輯或刪除自訂內容的值。

回呼處理常式

在套用或儲存保護記號頁面中的其他所有配置之後,會顯示這個區段並鏈結到回呼處理常式的配置設定。 請按一下這個鏈結來指定回呼處理常式設定,以決定如何從訊息標頭取得安全記號。

接受安全交談記號 200502 版

WS-Security 原則的 Secure Conversation Token 200502 版記號類型,代表如 WS-SecureConversation 規格(2005 年 2 月層次)所定義的安全交談記號之需求。 這個選項指定提供者是否處理 Secure Conversation Token 1.3 版和 Secure Conversation Token 200502 版。 依預設,提供者會處理這兩個版本。您可以變更這個行為,方法是按一下以移除勾選框選擇,以使提供者只處理 V1.3 記號。

註: 只有在服務提供者記號消費者畫面中,才會顯示這個勾選框。
資料類型 勾選框
範圍 已選取或已清除
預設值 已選取



標示(線上)的鏈結表示需要存取網際網路。

相關工作
相關參考
回呼處理常式設定
應用程式原則集集合
應用程式原則集設定
搜尋附加的應用程式集合
原則集連結設定


檔名: uwbs_wsspsbpt.html