Nastavení tokenu ochrany (generátor nebo spotřebitel)

Na této stránce můžete konfigurovat tokeny ochrany. Tokeny ochrany podepisují zprávy a zabezpečují integritu nebo šifrování zpráv. Cílem je utajení informací.

Při úpravě obecných vazeb sady zásad poskytovatele nebo klienta můžete přidat nastavení tokenu ochrany pro části zpráv. Můžete také konfigurovat vazby specifické pro aplikace pro tokeny a části zpráv, které jsou vyžadovány sadou zásad.

Chcete-li zobrazit tuto stránku konzoly pro správu při úpravě obecné vazby poskytovatele, postupujte podle následujících kroků:
  1. Klepněte na volbu Služby > Sady zásad > Obecné vazby sady zásad poskytovatele.
  2. Klepněte na název vazby, kterou chcete upravovat.
  3. Na kartě Zásady klepněte na zásadu WS-Security.
  4. V části týkající se vazeb zásad zabezpečení klepněte na odkaz Ověřování a ochrana.
  5. Klepnutím na tlačítko Nový token vytvořte nový generátor nebo spotřebitele tokenů nebo klepněte na odkaz na existující token generátoru nebo spotřebitele v tabulce Tokeny ochrany.
Chcete-li zobrazit tuto stránku konzoly pro správu při úpravě obecné vazby klienta, postupujte podle následujících kroků:
  1. Klepněte na volbu Služby > Sady zásad > Obecné vazby sady zásad klienta.
  2. Klepněte na název vazby, kterou chcete upravovat.
  3. Na kartě Zásady klepněte na zásadu WS-Security.
  4. V části Vazby zásad zabezpečení pro hlavní zprávu klepněte na odkaz Ověřování a ochrana.
  5. Klepnutím na tlačítko Nový token vytvořte nový generátor nebo spotřebitele tokenů nebo klepněte na odkaz na existující token generátoru nebo spotřebitele v tabulce Tokeny ochrany.
Chcete-li zobrazit tuto stránku konzoly pro správu při konfiguraci aplikačních vazeb pro tokeny a části zprávy, které jsou vyžadovány sadou zásad, postupujte podle následujících kroků:
  1. Klepněte na volbu Aplikace > Podnikové aplikace produktu Websphere.
  2. Vyberte aplikaci, která obsahuje webové služby. Aplikace musí obsahovat poskytovatele služby nebo klienta služby.
  3. V části Vlastnosti webových služeb klepněte na odkaz Sady zásad a vazby poskytovatele služeb nebo Sady zásad a vazby klienta služeb.
  4. Vyberte vazbu. Musíte mít nejdříve připojenou sadu zásad a přiřazenu vazbu.
  5. Na kartě Zásady klepněte na zásadu WS-Security.
  6. V části týkající se vazeb zásad zabezpečení klepněte na odkaz Ověřování a ochrana.
  7. V tabulce Token ochrany klepněte na odkaz na token generátoru nebo spotřebitele.

Tento panel administrativní konzoly se vztahuje pouze na aplikace rozhraní JAX-WS (Java API for XML Web Services).

Název

Určuje název generátoru nebo spotřebitele tokenu. Při vytváření tokenu zadejte do tohoto pole název.

Typ tokenu

Určuje typ tokenu. Při použití vazeb je typ tokenu určený zásadou a nelze jej upravovat.

Platné hodnoty:
  • LPTA Token V2.0
  • Token zabezpečené konverzace V1.3
  • Token zabezpečené konverzace V200502
  • X509V3 Token V1.1
  • X509V3 Token V1.0
  • X509PKCS7 Token V1.1
  • X509PKCS7 Token V1.0
  • X509PkiPathV1 Token V1.1
  • X509PkiPathV1 Token V1.0
  • X509V1 Token V1.1
  • Vlastní token
Typ tokenu zabezpečené konverzace verze 200502 pro zásadu WS-Security představuje požadavek na token kontextu zabezpečení definovaného na úrovni specifikace WS-SecureConversation z února 2005.
Vynutit verzi tokenu
Lokální název

Určuje lokální název generátoru nebo spotřebitele vlastního tokenu. Pole Lokální název je vyplněno na základě zobrazeného typu tokenu. Prostřednictvím tohoto pole upravujte pouze vlastní typy tokenu.

Pokud se vlastní typ tokenu používá při generování tokenu Kerberos definovaného ve specifikaci zabezpečení webových služeb OASIS pro profil tokenu Kerberos verze 1.1, použijte jako lokální název některou z hodnot uvedenou v dalším textu. Zvolená hodnota závisí na úrovni specifikace tokenu Kerberos generovaného centrem distribuce klíčů (KDC). V následující tabulce je uveden seznam hodnot a úrovní specifikace přidružených k jednotlivým hodnotám. Kvůli zajištění interoperability vyžaduje standard základního profilu zabezpečení verze 1.1 použití lokálního názvu http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ.

Hodnota lokálního názvu pro token Kerberos Přidružená úroveň specifikace
http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerberosv5_AP_REQ Kerberos verze 5 AP-REQ definovaný ve specifikaci Kerberos. Tuto hodnotu použijte v případě, že lístkem Kerberos je požadavek AP.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ Token mechanizmu GSS-API Kerberos V5 obsahující zprávu KRB_AP_REQ message definovanou v dokumentu RFC-1964 [1964] v části 1.1 a následném dokumentu RFC-4121 v části 4.1. Tuto hodnotu použijte v případě, že lístkem Kerberos je požadavek AP (ST + Ověřovatel).
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510 Kerberos verze 5 AP-REQ definovaný ve specifikaci RFC1510. Tuto hodnotu použijte v případě, že lístkem Kerberos je požadavek AP podle specifikace RFC1510.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510 Token mechanizmu GSS-API Kerberos V5 obsahující zprávu KRB_AP_REQ message definovanou v dokumentu RFC-1964 v části 1.1 a následném dokumentu RFC-4121 v části 4.1. Tuto hodnotu použijte v případě, že lístkem Kerberos je požadavek AP (ST + Ověřovatel) podle specifikace RFC1510.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120 Kerberos verze 5 AP-REQ definovaný ve specifikaci RFC4120. Tuto hodnotu použijte v případě, že lístkem Kerberos je požadavek AP podle specifikace RFC4120.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120 Token mechanizmu GSS-API Kerberos V5 obsahující zprávu KRB_AP_REQ message definovanou v dokumentu RFC-1964 v části 1.1 a následném dokumentu RFC-4121 v části 4.1. Tuto hodnotu použijte v případě, že lístkem Kerberos je požadavek AP (ST + Ověřovatel) podle specifikace RFC4120.
Identifikátor URI

Určuje identifikátor URI pro generátor nebo spotřebitele vlastního tokenu. Pole URI je vyplněno na základě zobrazeného typu tokenu. Prostřednictvím tohoto pole upravujte pouze vlastní typy tokenu.

Pokud se vlastní typ tokenu používá při generování tokenu Kerberos definovaného podle specifikace zabezpečení webových služeb OASIS pro profil tokenů Kerberos verze 1.1, nechte toto pole prázdné.

Služba JAAS - přihlášení

Určuje informace o přihlášení k aplikaci použitím služby Java JAAS (Authentication and Authorization Service). Klepnutím na tlačítko Nová přidáte nové přihlášení k aplikaci JAAS nebo položku pro přihlášení k systému JAAS.

Pokud se server nachází v doméně zabezpečení, která obsahuje přihlášení k určitému systému nebo aplikaci, jsou tato přihlášení uvedena v nabídce přihlášení JAAS spolu s globálním přihlášením.

Nové přihlášení k aplikaci
Přizpůsobené vlastnosti - Název

Určuje název přizpůsobené vlastnosti. Přizpůsobené vlastnosti nejsou původně v tomto sloupci zobrazeny a je nutné je nejprve přidat.

Pro přizpůsobenou vlastnost vyberte některou z těchto akcí:

Tlačítko Výsledná akce
Nový Vytvoří novou položku přizpůsobené vlastnosti. Chcete-li přidat přizpůsobenou vlastnost, zadejte název a hodnotu.
Upravit Určuje, že můžete upravit vybranou přizpůsobenou vlastnost. Po výběru této akce budete mít k dispozici vstupní pole se zobrazeným seznamem hodnot buňky, které lze upravovat. Tlačítko Upravit není k dispozici, dokud není přidána alespoň jedna přizpůsobená vlastnost.
Odstranit Odebere vybranou vlastnost.
Pokud se ke generování tokenu Kerberos používá vlastní typ tokenu, určete následující přizpůsobené vlastnosti:
Název přizpůsobené vlastnosti Hodnota
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Určuje název cílové služby.

Tato vlastnost je povinná.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Určuje název hostitele přidružený k cílové službě v následujícím formátu: myhost.mycompany.com.

Tato vlastnost je povinná.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Určuje název sféry přidružené k cílové službě.

Tato vlastnost je při použití jedné sféry ověřování Kerberos volitelná. Pokud není zadána vlastnost targetServiceRealm, jako název sféry bude použit výchozí název sféry z konfiguračního souboru ověřování Kerberos. V prostředí s důvěryhodnými sférami nebo vzájemným ověřováním je nutné zadat hodnotu vlastnosti targetServiceRealm.

Pro generátor tokenů tvoří kombinace názvu služby a cílového názvu hostitele název činitele služby (SPN), který představuje název činitele služby ověřování Kerberos. Klient ověřování Kerberos pro název SPN počáteční token AP_REQ ověřování Kerberos.

Pokud aplikace generuje nebo spotřebovává token Kerberos verze 5 AP_REQ pro každou zprávu požadavku na webové služby, nastavte přizpůsobenou vlastnost com.ibm.wsspi.wssecurity.kerberos.attach.apreq ve vazbách generátoru tokenů a spotřebitele tokenů pro danou aplikaci na hodnotu true. Další informace naleznete v tématu s radami pro odstraňování problémů se zabezpečením webových služeb.

Přizpůsobené vlastnosti - Hodnota

Určuje hodnotu přizpůsobené vlastnosti. Prostřednictvím pole Hodnota můžete zadat, upravit nebo odstranit hodnotu pro přizpůsobenou vlastnost.

Manipulátor zpětného volání

Jakmile nastavíte a uložíte veškerou konfiguraci na stránce tokenu ochrany, zobrazí se tato část, která odkazuje na nastavení manipulátoru zpětného volání. Klepnutím na tento odkaz můžete určit nastavení manipulátoru zpětného volání, který určuje způsob načítání tokenů zabezpečení ze záhlaví zpráv.

Tolerovat token zabezpečené konverzace v200502

Typ tokenu zabezpečení konverzace verze 200502 pro zásadu WS-Security představuje požadavek na token zabezpečené konverze definovaný na úrovni specifikace WS-SecureConversation z února 2005. Tato volba určuje, zda poskytovatel zpracovává token zabezpečené konverzace verze 1.3 i token zabezpečené konverzace verze 200502. Standardně poskytovatel zpracovává obě verze. Toto chování můžete změnit tak, že zrušíte zaškrtnutí tohoto políčka. Poskytovatel pak bude podporovat pouze token verze 1.3.

Poznámka: Toto zaškrtávací políčko je zobrazeno pouze na panelu spotřebitele tokenu poskytovatele služeb.
Datový typ Zaškrtávací políčko
Rozsah Zaškrtnuto nebo nezaškrtnuto
Výchozí hodnota Vybráno



Odkazy s označením (online) vyžadují přístup k Internetu.

Související úlohy
Související odkazy
Nastavení manipulátoru zpětného volání
Kolekce sady zásad aplikace
Nastavení sady zásad aplikace
Kolekce vyhledávání připojených aplikací
Nastavení vazeb sady zásad


Název souboru: uwbs_wsspsbpt.html