Configurações do Gerador de Autenticação ou do Token do Consumidor

Tokens de autenticação são utilizados para provar ou fazer asserção de uma identidade. Utilize o console administrativo para incluir configurações do token de autenticação para partes da mensagem quando estiver editando uma ligação geral.

Para configurar os tokens de autenticação, execute estas etapas:

  1. Para visualizar e selecionar as ligações gerais definidas como as ligações do conjunto de política padrão de segurança global, clique em Serviços > Conjuntos de Políticas > Ligações do Conjunto de Política Padrão. As ligações especificadas serão utilizadas, a menos que sejam substituídas no ponto de conexão, no servidor ou em um domínio de segurança.
  2. Para acessar e configurar as ligações gerais e para incluir as configurações do token de autenticação para as partes da mensagem, clique em Serviços > Conjuntos de Política > Ligações Gerais do Conjunto de Política do Provedor.
  3. Clique na política WS-Security na tabela Políticas.
  4. Clique no link Autenticação e Proteção na seção de ligações da política de segurança da Mensagem Principal.
  5. Clique em Novo Token para criar um novo gerador ou consumidor de token ou clique em um link de token consumidor ou gerador na tabela de Tokens de Autenticação.
Para visualizar e configurar ligações específicas do aplicativo para tokens e partes da mensagem que são necessárias ao conjunto de política, execute as seguintes etapas:
  1. Clique em Aplicativos>Tipos de Aplicativos>Aplicativos Corporativos do WebSphere.
  2. Selecione um aplicativo que contenha serviços da Web. O aplicativo deve conter um provedor de serviços ou um cliente de serviço.
  3. Clique no link Conjuntos de Política e Ligações do Provedor de Serviços ou no link Conjuntos de Política e Ligações do Cliente de Serviço na seção Propriedades de Serviços da Web.
  4. Selecione uma ligação. Você deve ter conectado um conjunto de política e designado uma ligação específica do aplicativo.
  5. Clique na política WS-Security na tabela Políticas.
  6. Clique no link Autenticação e Proteção na seção de ligações da política de segurança da Mensagem Principal.
  7. Clique em um link de token do consumidor ou do gerador a partir da tabela Tokens de Proteção.

Esse painel do console administrativo se aplica apenas a aplicativos JAX-WS (Java API for XML Web Services).

Nome

Especifica o nome do token que está sendo configurado. Ao utilizar ligações específicas do aplicativo, esse campo não será exibido.

Tipo de Token

Especifica o tipo de token que está sendo configurado.

Quando você estiver utilizando ligações específicas do aplicativo, o tipo de token será obtido do arquivo de políticas e será de leitura. Ao utilizar ligações gerais, selecione um tipo de token na lista. Os seguintes tipos de token estão disponíveis:

  • X509V3 Token V1.1
  • X509V3 Token V1.0
  • Username Token V1.1
  • Username Token V1.0
  • X509PKCS7 Token V1.1
  • X509PKCS7 Token V1.0
  • X509PkiPathV1 Token V1.1
  • X509PkiPathV1 Token V1.0
  • Token de Propagação do LTPA
  • X509V1 Token V1.1
  • Token LTPA
  • Token LTPA V2.0
  • Token Customizado
Novo Recurso: O tipo de token LTPA Token V2.0 está disponível apenas para ligações que utilizam o novo espaço de nomes no IBM WebSphere Application Server, Versão 7.0 ou posterior. Quando você seleciona LTPA Token V2.0 como o tipo de token para o consumidor de token, os tokens LTPA e LTPA V2.0 podem ser consumidos. Para restringir o consumidor de token apenas para tokens LTPA V2.0, selecione a caixa de opção Aplicar Versão do Token.

Se você selecionar o Token LTPA como o tipo de token para o gerador de tokens, o modo de interoperabilidade de conexão única deverá ser ativado. Essa é uma configuração de segurança global da segurança da Web e SIP. Se o sinalizador de interoperabilidade não estiver definido como ativado (true), ocorrerá um erro quando o aplicativo que está conectado a essas ligações for iniciado. Se você quiser utilizar o token LTPA sem verificar o estado do sinalizador de interoperabilidade, poderá definir a propriedade customizada com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 no gerador de tokens. Configure essa propriedade usando o console administrativo, conforme descrito no tópico Ativando ou Desativando o Modo de Interoperabilidade de Conexão Única para o token LTPA. A propriedade não pode ser configurada usando a API de Segurança de Serviços da Web.

newfeat
Nome Local

Especifica o nome local do gerador ou consumidor de tokens de autenticação. O campo Nome Local é preenchido com base no tipo de token exibido. Utilize este campo para editar os tipos de token customizados apenas.

URI

Especifica o URI (Identificador Uniforme de Recursos) do token de autenticação gerador ou consumidor. O campo URI é preenchido com base no tipo de token exibido. Utilize este campo para editar os tipos de token customizados apenas.

Deixe esse campo em branco se o tipo de token customizado for utilizado para gerar um token Kerberos, conforme definido no OASIS Web Services Security Specification for Kerberos Token Profile v1.1.

Referência do Token de Segurança

Especifica a referência do token de segurança. O campo de referência do token de segurança é exibido apenas para tokens de autenticação em ligações específicas do aplicativo. Esse campo não está disponível para ligações padrão.

Login JAAS

Especifica uma lista de logins do JAAS (Java Authentication and Authorization Service) de aplicativo e sistema que são efetivos para o domínio para o qual o escopo da ligação é definido.

Se um aplicativo tiver o escopo definido para a segurança global ou se tiver o escopo definido para um domínio que não customize seus próprios logins do JAAS, a lista de logins globais será exibida na lista de menu. Clique em Login do Novo Aplicativo para acessar a coleta de login do aplicativo JAAS global. O comportamento da lista de menu e do botão Login do Novo Aplicativo do login JAAS depende de a ligação ser criada associada ou não a uma conexão. Tome cuidado ao alterar os domínios de segurança, visto que a configuração de segurança com referência anterior, como logins JAAS, podem não estar acessível em um domínio de segurança diferente.

Propriedades Customizadas – Nome

Especifica o nome utilizado para a propriedade customizada.

As propriedades customizadas não são exibidas inicialmente nesta coluna. Clique em um dos seguintes botões para ativar as ações descritas:

Botão Ação Resultante
Novo Cria uma nova entrada de propriedade customizada. Para incluir uma propriedade customizada, digite o nome e o valor.
Editar Ativa a propriedade customizada selecionada a ser editada. Clicar neste botão oferece campos de entrada e cria a listagem de valores de célula a serem editados. O botão Editar não está disponível até que pelo menos uma propriedade customizada tenha sido incluída.
Excluir Remove a propriedade customizada selecionada.
Propriedades Customizadas – Valor

Especifica o valor da propriedade customizada a ser utilizada. Utilize o campo Valor para inserir, editar ou excluir o valor de uma propriedade customizada.

Se o tipo de token customizado for utilizado para gerar um token Kerberos, especifique as seguintes propriedades customizadas:

Nome da propriedade customizada Valor
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Especifica o nome do serviço de destino.

Essa propriedade é requerida.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Especifica o nome do host associado com o serviço de destino no seguinte formato: myhost.mycompany.com.

Essa propriedade é requerida.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Especifica o nome da região associada ao serviço de destino.

Esta propriedade é opcional para
uma única região do Kerberos. Se a propriedade targetServiceRealm não estiver especificada, o nome da região
padrão do arquivo de configuração do Kerberos é usado como o nome da região. Em um
ambiente de região cruzada ou confiável, você deve fornecer um valor para a propriedade
targetServiceRealm.

Para o gerador de tokens, a combinação do nome de serviço de destino e o nome do host de destino forma o SPN (Service Principal Name), que representa o nome principal do serviço Kerberos de destino. O cliente Kerberos solicita o token do Kerberos AP_REQ inicial para o SPN.

Se um aplicativo gera ou consome um token Kerberos V5 AP_REQ para cada mensagem de pedido de serviços da Web, defina a propriedade customizada com.ibm.wsspi.wssecurity.kerberos.attach.apreq para true no gerador de token e nas ligações do consumidor de token para o aplicativo. Para obter informações adicionais, consulte o tópico de dicas de resolução de problemas de segurança dos serviços da Web.

Manipulador do Retorno de Chamada

Links para a página Manipulador de Retorno de Chamada em que é possível configurar manipuladores de retorno de chamada. As configurações do manipulador de retorno de chamada determinam como os tokens de segurança são adquiridos dos cabeçalhos de mensagem.

Se você estiver trabalhando com um token do Nome do usuário ou um token LTPA que esteja utilizando ligações padrão, os nomes de usuário e senhas podem ter sido fornecidos como exemplos. É necessário atualizar os valores desses tipos de token.




Links marcados (on-line) requerem acesso à Internet.

Tarefas relacionadas
Referências relacionadas
Configurações do Manipulador de Retorno de Chamada
Configurações do Token de Proteção (Gerador ou Consumidor)
Coleta de Conjuntos de Política de Aplicativo
Autenticação e Proteção WS-Security


Nome do arquivo: uwbs_wsspsbat.html