保护令牌设置(生成者或使用者)

使用此页面来配置保护令牌。保护令牌对消息进行签名以保护完整性或对消息进行加密以提供机密性。

编辑常规提供者或客户机策略集绑定时,可以添加消息部件的保护令牌设置。另外,还可以配置策略集所需的令牌和消息部件的特定于应用程序的绑定。

要在编辑常规提供程序绑定时查看此管理控制台页面,请完成以下操作:
  1. 单击服务 > 策略集 > 常规提供程序策略集绑定
  2. 单击要编辑的绑定的名称。
  3. 单击“策略”表中的 WS-Security 策略。
  4. 单击“安全策略绑定”部分中的认证与保护链接。
  5. 单击新建令牌以创建新的令牌生成者或使用者,或者单击“保护令牌”表中的现有使用者或生成者令牌链接。
要在编辑常规客户机绑定时查看此管理控制台页面,请完成以下操作:
  1. 单击服务 > 策略集 > 常规客户机策略集绑定
  2. 单击要编辑的绑定的名称。
  3. 单击“策略”表中的 WS-Security 策略。
  4. 单击“主消息安全策略绑定”部分中的认证与保护链接。
  5. 单击新建令牌以创建新的令牌生成者或使用者,或者单击“保护令牌”表中的现有使用者或生成者令牌链接。
要在配置策略集所需的令牌和消息部件的特定于应用程序的绑定时查看此管理控制台页面,请完成以下操作:
  1. 单击应用程序 > Websphere 企业应用程序
  2. 选择包含 Web Service 的应用程序。该应用程序必须包含服务提供者或服务客户机。
  3. 单击“Web Service 属性”部分中的服务提供程序策略集和绑定链接或服务客户机策略集和绑定
  4. 选择绑定。先前必须已连接策略集并且已指定绑定。
  5. 单击“策略”表中的 WS-Security 策略。
  6. 单击“安全策略绑定”部分中的认证与保护链接。
  7. 单击“保护令牌”表中的使用者或生成者令牌链接。

此管理控制台面板仅适用于“针对基于 XML 的 Web Service 的 Java™ API”(JAX-WS) 应用程序。

名称

指定令牌生成者或使用者名称。创建新的令牌时在此字段中输入名称。

令牌类型

指定令牌类型。如果使用的是绑定,那么根据策略确定令牌类型且该令牌类型不可编辑。

有效值为:
  • LPTA 令牌 V2.0
  • 安全对话令牌 V1.3
  • 安全对话令牌 V200502
  • X509V3 令牌 V1.1
  • X509V3 令牌 V1.0
  • X509PKCS7 令牌 V1.1
  • X509PKCS7 令牌 V1.0
  • X509PkiPathV1 令牌 V1.1
  • X509PkiPathV1 令牌 V1.0
  • X509V1 令牌 V1.1
  • 定制令牌
WS-Security 策略的安全对话令牌 V200502 令牌类型表示 WS-SecureConversation 规范 2005 年 2 月级别中定义的安全上下文令牌的需求。
强制令牌版本
局部名

指定定制令牌生成者或使用者的局部名。根据所显示的令牌类型填写局部名字段。使用此字段只能编辑定制令牌类型。

如果使用定制令牌类型来生成 Kerberos 令牌(在 Kerberos 令牌概要文件 V1.1 的 OASIS Web Service 安全性规范中定义),那么请使用下面所列示的其中一个值作为局部名。您选择的值取决于密钥分发中心(KDC)所生成的 Kerberos 令牌的规范级别。下表列出了这些值以及与各个值相关联的规范级别。出于互操作性的考虑,基本安全概要文件 V1.1 标准要求使用局部名 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ。

Kerberos 令牌的局部名值 关联的规范级别
http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerb erosv5_AP_REQ 在 Kerberos 规范中定义的 Kerberos V5 AP-REQ。Kerberos 凭单是 AP 请求时使用此值。
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 包含 KRB_AP_REQ 消息的 GSS-API Kerberos V5 机制令牌(在 RFC-1964 [1964], Sec. 1.1 及后续版本 RFC-4121, Sec. 4.1 中定义)。Kerberos 凭单是 AP 请求(ST + 鉴别程序)时使用此值。
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510 在 RFC1510 中定义的 Kerberos V5 AP-REQ。Kerberos 凭单是 AP 请求(根据 RFC1510)时使用此值。
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510 包含 KRB_AP_REQ 消息的 GSS-API Kerberos V5 机制令牌(在 RFC-1964, Sec. 1.1 及后续版本 RFC-4121, Sec. 4.1 中定义)。Kerberos 凭单是 AP 请求(ST + 鉴别程序,根据 RFC1510)时使用此值。
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120 在 RFC4120 中定义的 Kerberos V5 AP-REQ。Kerberos 凭单是 AP 请求(根据 RFC4120)时使用此值。
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120 包含 KRB_AP_REQ 消息的 GSS-API Kerberos V5 机制令牌(在 RFC-1964, Sec. 1.1 及后续版本 RFC-4121, Sec. 4.1 中定义)。Kerberos 凭单是 AP 请求(ST + 鉴别程序,根据 RFC4120)时使用此值。
URI

指定定制令牌生成者或使用者的统一资源标识 (URI)。根据所显示的令牌类型填写 URI 字段。使用此字段只能编辑定制令牌类型。

如果使用定制令牌类型来生成 Kerberos 令牌(在 Kerberos 令牌概要文件 V1.1 的 OASIS Web Service 安全性规范中定义),请将此字段留空。

JAAS 登录

指定 Java 认证和授权服务 (JAAS) 应用程序登录信息。单击新建以添加新的 JAAS 应用程序登录或 JAAS 系统登录条目。

如果服务器处于一个包含特定系统或应用程序登录的安全域中,这些登录将与全局登录一起列示在 JAAS 登录菜单中。

新建应用程序登录
定制属性 - 名称

指定定制属性的名称。此列最初不显示定制属性,直到添加定制属性为止。

选择定制属性的下列其中一个操作:

按钮 执行的操作
新建 创建新的定制属性条目。要添加定制属性,请输入名称和值。
编辑 指定您可以编辑所选定制属性。选择此操作以提供输入字段并创建单元值列表以进行编辑。在至少添加一个定制属性后,编辑按钮才可用。
删除 除去所选属性。
如果定制令牌类型用于生成 Kerberos 令牌,请指定以下定制属性:
定制属性名
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName 指定目标服务的名称。

此属性是必需的。

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost 使用以下格式指定与目标服务相关联的主机名:myhost.mycompany.com.

此属性是必需的。

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm 指定与目标服务相关联的域的名称。

此属性对单个 Kerberos 域是可选的。如果未指定 targetServiceRealm 属性,那么使用来自 Kerberos 配置文件的缺省域名作为域名。在交叉域或受信域环境中,必须为 targetServiceRealm 属性提供值。

对于令牌生成者,目标服务名称和目标主机名的组合构成服务主体名称 (SPN),该名称表示目标 Kerberos 服务主体名称。Kerberos 客户机请求该 SPN 的初始 Kerberos AP_REQ 令牌。

如果应用程序为每个 Web Service 请求消息生成或使用 Kerberos V5 AP_REQ 令牌,请在应用程序的令牌生成器和令牌使用者绑定中将 com.ibm.wsspi.wssecurity.kerberos.attach.apreq 定制属性设置为 true。有关更多信息,请参阅“Web Service 安全性故障诊断提示”主题。

定制属性 - 值

指定定制属性的值。使用字段输入、编辑或删除定制属性的值。

回调处理程序

在应用或保存“保护令牌”页面上的所有其他配置后,此部分将显示并链接到回调处理程序的配置设置。单击此链接以指定回调处理程序设置,这些设置可确定如何从消息头获取安全性令牌。

容许安全对话令牌 V200502

WS-Security 策略的安全对话令牌 V200502 令牌类型表示 WS-SecureConversation 规范 2005 年 2 月级别中定义的安全上下文令牌的需求。此选项指定提供者是否处理安全对话令牌 V1.3 和安全对话令牌 V200502。缺省情况下,提供程序处理两个版本。可通过单击取消选中该复选框以便提供程序仅处理 V1.3 令牌,来更改此行为。

注: 此复选框仅显示在“服务提供者令牌使用者”面板中。
数据类型 复选框
范围 已选中或已清除
缺省值 已选中



标有(在线)的链接要求访问因特网。

相关任务
相关参考
回调处理程序设置
应用程序策略集集合
应用程序策略集设置
搜索已连接应用程序集合
策略集绑定设置


文件名: uwbs_wsspsbpt.html