Параметры маркеров идентификации генератора или приемника

Маркеры идентификации используются для проверки и утверждения идентификации. Добавление параметров маркеров идентификации для фрагментов сообщений выполняется с помощью административной консоли во время изменения общей привязки.

Для настройки маркеров идентификации выполните следующие действия:

  1. Для просмотра и выбора общих привязок, настроенных в качестве привязок по умолчанию наборов стратегий глобальной защиты, выберите Службы > Наборы стратегий > Привязки по умолчанию наборов стратегий. Будут использоваться указанные привязки, если только они не переопределяются в точке прикрепления, на сервере или в домене защиты.
  2. Для доступа к общим привязкам и для их настройки, а также для добавления параметров маркеров идентификации для фрагментов сообщений выберите Службы > Наборы стратегий > Общие привязки наборов стратегий поставщика.
  3. Щелкните на стратегии WS-Security в таблице Стратегии.
  4. Щелкните на ссылке Идентификация и защита в разделе Привязки стратегии защиты главного сообщения.
  5. Выберите Создать маркер для создания нового генератора или приемника маркеров или щелкните на ссылке существующего маркера приемника или генератора в таблице Ключи идентификации.
Для просмотра и настройки привязок приложения для маркеров и фрагментов сообщений, которые требуются набору стратегий, выполните следующие действия:
  1. Выберите Приложения>Типы приложений>Приложения J2EE WebSphere.
  2. Выберите приложение, содержащее Web-службы. Приложение должно иметь провайдер службы или клиент службы.
  3. В разделе Свойства Web-служб щелкните на ссылке Наборы стратегий и привязки поставщика служб или Наборы стратегий и привязки клиентов служб.
  4. Выберите привязку. Перед этим нужно прикрепить набор стратегий и присвоить привязку приложения.
  5. Щелкните на стратегии WS-Security в таблице Стратегии.
  6. Щелкните на ссылке Идентификация и защита в разделе Привязки стратегии защиты главного сообщения.
  7. Щелкните на ссылке маркера генератора или приемника в таблице Маркеры защиты.

Эта панель административной консоли применима только к Java API для приложений XML (JAX-WS).

Имя

Указывает имя настраиваемого маркера. При работе с привязками приложения это поле не показано.

Тип маркера

Указывает тип настраиваемого маркера.

При работе с привязками приложения тип маркера извлекается из файла стратегии и доступен только для чтения. При работе с общими привязками выберите тип маркера из списка. Доступны следующие типы маркеров:

  • Маркер X509V3 V1.1
  • Маркер X509V3 V1.0
  • Маркер Username V1.1
  • Маркер Username V1.0
  • Маркер X509PKCS7 V1.1
  • Маркер X509PKCS7 V1.0
  • Маркер X509PkiPathV1 V1.1
  • Маркер X509PkiPathV1 V1.0
  • Маркер распространения LTPA
  • Маркер X509V1 V1.1
  • Ключ LTPA
  • Ключ LTPA V2.0
  • Пользовательский маркер
Новая функция: Тип ключа LTPA V2.0 доступен только для привязок, использующих новое пространство имен в IBM WebSphere Application Server версии 7.0 и выше. Если в качестве типа маркера для приемника маркеров указывается Ключ LTPA V2.0, то могут использоваться как ключи LTPA, так и ключи LTPA V2.0. Для того чтобы приемник работал только с ключами LTPA V2.0, включите переключатель Применять версию ключа.

Если в качестве типа маркера для генератора маркеров выбран Ключ LTPA, то необходимо включить режим стыкуемости единого входа в систему. Это параметр глобальной защиты в разделе Защита Web и SIP. Если флаг стыкуемости не установлен (значение не равно true), то при запуске приложения, прикрепленного к этим привязкам, возникают ошибки. Если ключ LTPA должен использоваться без проверки состояния флага стыкуемости, то для генератора маркеров можно задать пользовательское свойство com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7. Задайте свойство с помощью административной консоли в соответствии с инструкциями из раздела Включение и выключение раздела взаимодействия единого входа в систему для маркера LTPA. Это свойство нельзя задать с помощью API защиты веб-служб.

newfeat
Локальное имя

Указывает локальное имя генератора или получателя маркера идентификатора. Поле Локальное имя доступно в зависимости от показываемого типа маркера. Используйте это поле только для изменения типом пользовательских маркеров.

URI

Указывает URI генератора или получателя маркера идентификации. Поле URI доступно в зависимости от показываемого типа маркера. Это поле позволяет изменять только типы пользовательских маркеров.

Если пользовательский маркер используется для создания маркера Kerberos, как определено в спецификации защиты Web-служб OASIS для профайла маркера Kerberos версии 1.1, оставьте это поле пустым.

Ссылка на маркер доступа

Указывает ссылку ключа защиты. Поле ссылки на ключ защиты отображается только для маркеров идентификации в привязках приложения. Для привязок по умолчанию это поле недоступно.

Идентификация JAAS

Задает список сеансов Java Authentication and Authorization Service (JAAS) приложения и системы, действующих для домена, который представляет собой область действия привязки.

Если область действия приложения - ячейка глобальной защиты или домен, для которых не настроены их собственные сеансы JAAS, то в меню будет показан список глобальных сеансов. Для доступа к набору сеансов приложения JAAS нажмите кнопку Создать сеанс приложения. Вид списка меню сеансов JAAS и действие кнопки Создать сеанс приложения зависят от того, создается ли привязка в связи с прикреплением. Будьте осторожны при изменении доменов защиты, поскольку указанная ранее конфигурация защиты (такая как сеансы JAAS) в другом домене защиты может оказаться недоступной.

Пользовательские свойства - Имя

Указывает имя для пользовательского свойства.

Пользовательские свойства изначально не отображаются в этом столбце. Чтобы выполнить действие, нажмите одну из следующих кнопок:

Кнопка Действие
Создать Создание новой записи пользовательского свойства. Чтобы добавить пользовательское свойство, введите его имя и значение.
Изменить Позволяет изменить выбранное пользовательское свойство. При нажатии этой кнопки появляется поле ввода и создается список значений ячейки для изменения. Кнопка Изменить недоступна если не добавлено ни одного пользовательского свойства.
Удалить Удаляет выбранное пользовательское свойство.
Пользовательские свойства - Значение

Определяет значение используемого пользовательского свойства. Поле Значение позволяет ввести, изменить или удалить значения пользовательского свойства.

Если для генерации маркера Kerberos применяется пользовательский тип маркера, укажите следующие пользовательские свойства:

Имя пользовательского свойства Значение
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Задает имя целевой службы.

Это свойство является обязательным.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Задает имя хоста, связанного с целевой службой в следующем формате: myhost.mycompany.com.

Это свойство является обязательным.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Задает имя области, связанной с целевой службой.

При использовании одной
области Kerberos это свойство является необязательным. Если свойство targetServiceRealm
не задано, то в качестве имени области будет использоваться стандартное имя области из
файла конфигурации Kerberos. В среде с несколькими областями или с защищенной областью
необходимо указать значение свойства targetServiceRealm.

Для генератора маркеров комбинация имени целевой службы и имени связанного с ней хоста образует Имя субъекта службы (Service Principal Name - SPN), представляющее целевое имя субъекта службы Kerberos. Клиент Kerberos запрашивает начальный маркер AP_REQ Kerberos для SPN.

Если приложение создает или использует ключ AP_REQ Kerberos V5 для каждого запроса Web-служб, то для пользовательского свойства com.ibm.wsspi.wssecurity.kerberos.attach.apreq следует указать значение true в привязках генератора ключей и приемника ключей приложения. Дополнительная информация приведена в разделе Советы по устранению неполадок защиты Web-служб.

Обработчик обратного вызова

Ссылается н страницу Обработчик обратного вызова, на которой можно настроить обработчики обратных вызовов. Параметры обработчика обратного вызова определяет способ получения маркеров защиты из заголовков сообщений.

При работе с маркером Имя пользователя или ключом LTPA и использовании привязок по умолчанию, имена пользователей и пароли могут быть указаны как примеры. Необходимо обновить значения для данных типов маркеров.




Ссылки, помеченные как (в сети), требуют подключения к Internet.

Задачи, связанные с данной
Ссылки, связанные с данной
Параметры обработчика обратных вызовов
Настройки маркеров защиты (генератора или приемника)
Наборы стратегий приложения
Идентификация и защита WS-Security


Имя файла: uwbs_wsspsbat.html