Configurações do Manipulador de Retorno de Chamada

Use essa página para definir as configurações do manipulador de retorno de chamada, que determinam como os tokens de segurança são adquiridos a partir dos cabeçalhos da mensagem.

É possível definir as configurações do manipulador de retorno de chamada quando estiver editando uma ligação geral no nível de célula ou no nível do servidor. É possível também configurar ligações específicas do aplicativo para tokens e partes da mensagem que são necessárias ao conjunto de política.

Para visualizar essa página do console administrativo ao editar uma ligação geral no nível de célula, conclua as seguintes ações:
  1. Clique em Serviços > Conjuntos de Políticas > Ligações do Conjunto de Política Padrão. O painel de ligações indica qual ligação está configurada como a ligação padrão, como por exemplo, a ligação de amostra do Provedor.
  2. Para editar essa ligação padrão, clique em Serviços > Conjuntos de Política > Ligações Gerais do Conjunto de Política do Provedor.
  3. Clique no nome da ligação padrão conforme determinado na primeira etapa. Por exemplo, Amostra do Provedor.
  4. Clique na política WS-Security na tabela Políticas.
  5. Clique no link Autenticação e Proteção na seção de ligações da política de segurança da Mensagem Principal.
  6. Clique no link name_of_token na seção Tokens de proteção ou na seção Tokens de autenticação.
  7. Clique no link Manipulador de retorno de chamada.
Para visualizar essa página do console administrativo quando estiver configurando ligações específicas do aplicativo para tokens e partes de mensagem necessárias ao conjunto de política, execute as ações a seguir:
  1. Clique em Aplicativos>Tipos de Aplicativos>Aplicativos Corporativos do WebSphere.
  2. Selecione um aplicativo que contenha serviços da Web. O aplicativo deve conter um provedor de serviços ou um cliente de serviço.
  3. Clique no link Conjuntos de política e ligações do provedor de serviços ou em Conjuntos de política e ligações do cliente de serviço na seção Propriedades de Serviços da Web.
  4. Selecione uma ligação. Você deve ter conectado um conjunto de política e designado uma ligação específica do aplicativo.
  5. Clique na política WS-Security na tabela Políticas.
  6. Clique no link Autenticação e Proteção na seção de ligações da política de segurança da Mensagem Principal.
  7. Clique no link name_of_token na seção Tokens de proteção ou na seção Tokens de autenticação.
  8. Clique no link Manipulador de retorno de chamada.

Esse painel do console administrativo se aplica apenas a aplicativos JAX-WS (Java API for XML Web Services).

O Manipulador de Retorno de Chamada exibe os campos de forma diferente para cada token que é configurado. Dependendo se você está configurando um token gerador ou consumidor para proteção ou se está configurando tokens de entrada ou saída para autenticação, as seções e campos do painel exibem alguns ou todos os campos explicados neste tópico, conforme informado na descrição de cada campo.

Nome da Classe

Os campos da seção Nome da classe estarão disponíveis para todos os tipos de configuração de token.

Selecione o nome da classe a ser utilizado para o manipulador de retorno de chamada. Selecione a opção Utilizar padrão integrado para operação normal. Utilize a opção Utilizar Customizado somente se estiver utilizando um tipo de token customizado.

Para o tipo de token customizado do Kerberos, utilize o nome de classe, com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler, para a configuração do gerador de tokens. Utilize com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler para a configuração do consumidor de tokens.

Utilize o padrão interno

Especifica se o valor padrão será utilizado para o nome da classe. Utilize o valor padrão (mostrado no campo) para o nome da classe quando selecionar este botão de rádio. Esse nome é baseado no tipo de token e em se o manipulador de retorno de chamada é para um token gerador ou consumidor. Essa opção é mutuamente exclusiva à opção Utilizar customizado.

Utilizar customizado

Especifica se um valor customizado será utilizado para o nome da classe. Selecione este botão de rádio e digite o nome no campo para utilizar um nome de classe customizado.

Nenhum valor padrão está disponível para este campo de entrada. Utilize as informações contidas na tabela a seguir para determinar esse valor:

Tabela 1. Nomes de Classes Customizadas para o Manipulador de Retorno de Chamada e Tipos de Token Associados. O manipulador de retorno de chamada determina como os tokens de segurança são adquiridos a partir dos cabeçalhos da mensagem.
Tipo de Token Consumidor ou Gerador Nome da Classe do Manipulador de Retorno de Chamada
UsernameToken consumidor com.ibm.websphere.wssecurity.callbackhandler.UNTConsumeCallbackHandler
UsernameToken gerador com.ibm.websphere.wssecurity.callbackhandler.UNTGenerateCallbackHandler
X509Token consumidor com.ibm.websphere.wssecurity.callbackhandler.X509ConsumeCallbackHandler
X509Token gerador com.ibm.websphere.wssecurity.callbackhandler.X509GenerateCallbackHandler
LTPAToken/LTPAPropagationToken consumidor com.ibm.websphere.wssecurity.callbackhandler.LTPAConsumeCallbackHandler
LTPAToken/LTPAPropagationToken gerador com.ibm.websphere.wssecurity.callbackhandler.LTPAGenerateCallbackHandler
SecureConversationToken consumidor com.ibm.ws.wssecurity.impl.auth.callback.SCTConsumeCallbackHandler
SecureConversationToken gerador com.ibm.ws.wssecurity.impl.auth.callback.WSTrustCallbackHandler

Esse botão é mutuamente exclusivo à opção Utilizar padrão integrado.

Certificados (gerador)

Os campos da seção Certificados estarão disponíveis se você estiver configurando um token de proteção. Para um token de gerador, você pode clicar para selecionar um armazenamento de certificado a partir da listagem ou clicar no botão Novo para incluir um armazenamento de certificado.

Certificados (consumidor)

Os campos da seção Certificados estarão disponíveis se você estiver configurando um token de proteção. Para um token de consumidor, você pode usar a opção Confiar Qualquer Certificado ou a opção Armazenamento de Certificado para configurar o armazenamento de certificado.

Certificados - Confiar Qualquer Certificado (consumidor)

Essa opção é aplicável apenas para o consumidor de token. Essa opção indica que o sistema confiará todos os certificados e não definirá um armazenamento de certificado específico. Essa opção é mutuamente exclusiva para a opção Armazenamento de Certificado.

Certificados - Armazenamento de Certificado (consumidor)

Essa opção é aplicável apenas para o consumidor de token. Use essa opção para especificar uma coleta de armazenamento de certificados que contém certificados intermediários, que pode incluir listas de revogação de certificados (CRLs). Selecione essa opção para confiar o armazenamento de certificado ou os armazenamentos especificados no campo de entrada. Essa opção é mutuamente exclusiva à opção Confiar em todos os certificados. Quando você seleciona a opção Armazenamento de Certificado, o botão Novo é ativado para que você possa configurar um novo armazenamento de certificado e um armazenamento de âncora confiável.

É possível configurar o valor para o campo de armazenamento de certificado para o valor-padrão, que é Nenhum. Entretanto, o valor do armazenamento de âncora confiável deve ser configurado para um valor específico. Não há valor padrão. A âncora confiável é necessária se a opção Confiar Qualquer Certificado não for selecionada.

Autenticação Básica

Os campos da seção Autenticação Básica estarão disponíveis se você estiver configurando um token de autenticação que não seja um token de propagação LTPA.

Para o tipo de token customizado Kerberos, você deve preencher a seção Autenticação Básica para o login Kerberos.

Nome do Usuário

Especifica o nome de usuário que você deseja autenticar.

Senha

Especifica a senha a ser autenticada. Digite uma senha a ser autenticada neste campo de entrada.

Confirmar senha

Especifica a senha que você deseja confirmar.

Armazenamento de chaves

Os campos da seção Armazenamento de chaves estarão disponíveis se você estiver configurando um token de proteção.

Na lista de Nomes de armazenamento de chaves, você pode clicar em Customizado para definir um armazenamento de chaves customizado, clicar em um dos nomes de armazenamento de chaves definidos externamente ou clicar emNenhum se não for necessário armazenamento de chaves.

Armazenamento de Chaves - Nome

Especifica o arquivo de armazenamento de chaves gerenciado centralmente que você deseja utilizar.

Clique no nome de um armazenamento de chaves gerenciado centralmente neste menu ou digite um dos seguintes valores:
NodeDefaultKeyStore
NodeDefaultTrustStore
NodeLTPAKeys
Nenhum
Especifica para não utilizar um arquivo de armazenamento de chaves gerenciado centralmente.
Customizado
Especifica para utilizar o arquivo de armazenamento de chaves gerenciado centralmente. Clique no link Configuração do armazenamento de chaves customizado para definir o armazenamento de chaves customizado e as configurações principais.
Armazenamento de Chaves - Configuração do Armazenamento de Chaves Customizado

Especifica um link para criar um armazenamento de chaves customizado. Clique neste link para abrir um painel em que é possível configurar um armazenamento de chaves customizado.

Chave

Os campos da seção Chave estarão disponíveis se você estiver configurando um token de proteção.

Nome

Especifica o nome da chave a ser utilizada. Digite o nome da chave a ser utilizado neste campo necessário.

Alias

Especifica o nome de alias da chave que você deseja utilizar. Digite o alias do nome da chave a ser utilizado neste campo necessário.

Senha

Especifica a senha da chave que você deseja utilizar.

Você não pode definir uma senha para chaves públicas para o gerador de criptografia assimétrica ou para o consumidor de criptografia assimétrica.

Confirmar senha

Especifica a confirmação da senha da chave que você deseja utilizar. Digite a senha especificada no campo Senha para confirmar.

Não forneça uma senha de confirmação da chave para chaves públicas para criptografia de saída assimétrica ou assinatura de entrada.

Propriedades Customizadas

Os campos da seção Propriedades customizadas estarão disponíveis para todos os tipos de configuração de token.

É possível incluir propriedades customizadas necessárias pelo manipulador de retorno de chamada usando pares nome-valor.

Para implementar a criptografia do certificado signatário durante o uso do modelo de programação JAX-WS, inclua a propriedade customizada com.ibm.wsspi.wssecurity.token.cert.useRequestorCert com o valor true no manipulador de retorno de chamada do gerador de token de criptografia. Essa implementação utiliza o certificado do signatário do pedido SOAP para criptografar da resposta SOAP. Essa propriedade customizada é utilizada pelo gerador de resposta.

Para um token customizado Kerberos baseado no OASIS Web Services Security Specification para Kerberos Token Profile V1.1, especifique a seguinte propriedade para geração de token: com.ibm.wsspi.wssecurity.krbtoken.clientRealm. Isso especifica o nome da região do Kerberos associado ao cliente e permite que a região do cliente do Kerberos inicie o login do Kerberos. Se não for especificado, o nome de região do Kerberos padrão será utilizado. Esta propriedade é opcional para um único ambiente da região do Kerberos. Ao implementar a segurança dos serviços da Web em um ambiente cruzado ou confiável da região do Kerberos, você deve fornecer um valor para a propriedade clientRealm.

A propriedade customizada do Kerberos, com.ibm.wsspi.wssecurity.krbtoken.loginPrompt, ativa o login do Kerberos quando o valor for true. O valor padrão é False. Essa propriedade é opcional.

Quando configurar um token de nome de usuário para o modelo de programação JAX-WS, para proteger contra ataques de reprodução, é fortemente recomendado incluir as seguintes propriedades customizadas na configuração do manipulador de retorno de chamada. Essas propriedades customizadas ativam e verificam o nonce e o registro de data e hora para autenticação de mensagem.
Nome da propriedade (gerador) Valor da propriedade
com.ibm.wsspi.wssecurity.token.username.addNonce true
com.ibm.wsspi.wssecurity.token.username.addTimestamp true
Nome da propriedade (consumidor) Valor da propriedade
com.ibm.wsspi.wssecurity.token.username.verifyNonce true
com.ibm.wsspi.wssecurity.token.username.verifyTimestamp true
Nome

Especifica o nome da propriedade customizada a ser utilizada.

As propriedades customizadas não são exibidas inicialmente nesta coluna. Clique em uma das ações a seguir para propriedades customizadas:

Botão Ação Resultante
Novo Cria uma nova entrada de propriedade customizada. Para incluir uma propriedade customizada, digite o nome e o valor.
Excluir Remove a propriedade customizada selecionada.
Valor

Especifica o valor da propriedade customizada a ser utilizada. Com o campo de entrada Valor, é possível inserir ou excluir o valor de uma propriedade customizada.




Links marcados (on-line) requerem acesso à Internet.

Tarefas relacionadas
Referências relacionadas
Configurações do Token de Proteção (Gerador ou Consumidor)
Coleta de Conjuntos de Política de Aplicativo
Configurações do Conjunto de Política do Aplicativo
Procurar Coleção de Aplicativos Conectados
Configurações de Ligações de Conjunto de Política


Nome do arquivo: uwbs_wsspsbch.html