Ustawienia generatora lub konsumenta znaczników uwierzytelniania

Znaczniki uwierzytelniania są używane w celu potwierdzenia tożsamości. Za pomocą Konsoli administracyjnej można dodać ustawienia znaczników uwierzytelniania dla części komunikatu podczas edytowania powiązania ogólnego.

Aby skonfigurować znaczniki uwierzytelniania, wykonaj następujące kroki:

  1. Aby wyświetlić i wybrać powiązania ogólne ustawiane jako domyślne powiązania zestawu strategii zabezpieczeń globalnych, kliknij opcję Usługi > Zestawy strategii > Domyślne powiązania zestawu strategii. Podane powiązania są używane, dopóki nie zostaną przesłonięte w punkcie przyłączenia, na serwerze lub w domenie zabezpieczeń.
  2. Aby uzyskać dostęp do powiązań ogólnych i je skonfigurować, a także aby dodać ustawienia znaczników uwierzytelniania dla części komunikatów, kliknij opcję Usługi > Zestawy strategii > Ogólne powiązania zestawu strategii dla dostawcy.
  3. Kliknij strategię WS-Security w tabeli Strategie.
  4. Kliknij odsyłacz Uwierzytelnianie i zabezpieczenie w sekcji Główne powiązania strategii bezpieczeństwa komunikatów.
  5. Kliknij opcję Nowy znacznik, aby utworzyć nowy generator lub konsument znaczników, albo kliknij istniejący odsyłacz znacznika konsumenta lub generatora w tabeli Znaczniki uwierzytelniania.
Aby wyświetlić i skonfigurować powiązania specyficzne dla aplikacji na potrzeby znaczników i części komunikatu wymaganych przez zestaw strategii, wykonaj następujące czynności:
  1. Kliknij opcję Aplikacje > Typy aplikacji > Aplikacje korporacyjne WebSphere.
  2. Wybierz aplikację zawierającą usługi Web Service. Aplikacja musi zawierać dostawcę lub klienta usług.
  3. Kliknij odsyłacz Zestawy strategii i powiązania dostawcy usług lub Zestawy strategii i powiązania klienta usługi w sekcji Właściwości usług Web Service.
  4. Wybierz powiązanie. Wcześniej należy przyłączyć zestaw strategii i przypisać powiązanie specyficzne dla aplikacji.
  5. Kliknij strategię WS-Security w tabeli Strategie.
  6. Kliknij odsyłacz Uwierzytelnianie i zabezpieczenie w sekcji Główne powiązania strategii bezpieczeństwa komunikatów.
  7. Kliknij odsyłacz znacznika konsumenta lub generatora w tabeli Znaczniki zabezpieczeń.

Ten panel Konsoli administracyjnej dotyczy jedynie aplikacji korzystających z interfejsu JAX-WS (Java API for XML Web Services).

Nazwa

Służy do określania nazwy konfigurowanego znacznika. W przypadku stosowania powiązań specyficznych dla aplikacji to pole nie jest wyświetlane.

Typ znacznika

Służy do określania typu konfigurowanego znacznika.

W przypadku korzystania z powiązań specyficznych dla aplikacji typ znacznika jest uzyskiwany z pliku strategii i jest dostępny tylko do odczytu. W przypadku korzystania z powiązań ogólnych należy wybrać typ znacznika z listy. Dostępne są następujące typy znaczników:

  • Znacznik X509V3 1.1
  • Znacznik X509V3 1.0
  • Znacznik Username 1.1
  • Znacznik Username 1.0
  • Znacznik X509PKCS7 1.1
  • Znacznik X509PKCS7 1.0
  • Znacznik X509PkiPathV1 1.1
  • Znacznik X509PkiPathV1 1.0
  • Znacznik propagowania LTPA
  • Znacznik X509V1 1.1
  • Znacznik LTPA
  • Znacznik LTPA 2.0
  • Znacznik niestandardowy
Nowa funkcja: Typ Znacznik LTPA 2.0 jest dostępny tylko dla powiązań używających nowej przestrzeni nazw produktu IBM WebSphere Application Server w wersji 7.0 lub nowszej. Jeśli jako typ znacznika dla konsumenta znaczników zostanie wybrana wartość Znacznik LTPA 2.0, możliwe będzie użycie zarówno znaczników LTPA, jak i LTPA 2.0. Aby ograniczyć konsument znaczników tylko do znaczników LTPA 2.0, należy zaznaczyć pole wyboru Wymuszaj wersję znacznika.

Jeśli jako typ znacznika dla generatora znaczników zostanie wybrana wartość Znacznik LTPA, należy włączyć tryb współdziałania pojedynczego logowania. To ustawienie jest dostępne w ramach zabezpieczeń globalnych w sekcji zabezpieczeń WWW i SIP. Jeśli opcja współdziałania nie zostanie włączona (wartość true), przy uruchamianiu aplikacji przyłączonej do tych powiązań będzie generowany błąd. Aby korzystać ze znacznika LTPA bez sprawdzania stanu opcji współdziałania, w generatorze znaczników można ustawić właściwość niestandardową com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7. Przy użyciu Konsoli administracyjnej należy ustawić właściwość według opisu podanego w temacie Włączanie lub wyłączanie trybu współdziałania pojedynczego logowania dla znacznika LTPA. Właściwości tej nie można ustawić przy użyciu interfejsu API zabezpieczeń usług Web Service.

newfeat
Nazwa lokalna

Określa nazwę lokalną generatora lub konsumenta znaczników uwierzytelniania. Pole Nazwa lokalna jest zapełniane na podstawie wyświetlanego typu znacznika. Tego pola należy używać tylko do edycji niestandardowych typów znaczników.

Identyfikator URI

Określa identyfikator URI generatora lub konsumenta znaczników uwierzytelniania. Pole Identyfikator URI jest zapełniane na podstawie wyświetlanego typu znacznika. Tego pola należy używać tylko do edycji niestandardowych typów znaczników.

Jeśli niestandardowy typ znacznika jest używany do generowania znacznika Kerberos zgodnie z definicją w specyfikacji OASIS Web Services Security Specification for Kerberos Token Profile 1.1, należy pozostawić to pole puste.

Odwołanie do znacznika zabezpieczeń

Określa odwołanie do znacznika bezpieczeństwa. Pole Odwołanie do znacznika bezpieczeństwa jest wyświetlane tylko w przypadku znaczników uwierzytelniania w powiązaniach specyficznych dla aplikacji. To pole jest niedostępne w przypadku powiązań domyślnych.

Logowanie JAAS

Określa listę logowań JAAS (Java Authentication and Authorization Service) dla aplikacji i systemu, które mają zastosowanie w domenie objętej zasięgiem danego powiązania.

Jeśli zasięg aplikacji obejmuje zabezpieczenia globalne lub domenę, w ramach której nie są dostosowywane odrębne logowania JAAS, wówczas na liście menu jest wyświetlana lista logowań globalnych. Aby uzyskać dostęp do globalnej kolekcji logowań JAAS aplikacji, należy kliknąć przycisk Nowe logowanie do aplikacji. Działanie listy menu logowania JAAS i przycisku Nowe logowanie do aplikacji zależy od tego, czy powiązanie jest tworzone razem z załącznikiem. Podczas zmieniania domen zabezpieczeń należy zachować ostrożność, ponieważ przywoływana wcześniej konfiguracja zabezpieczeń, na przykład logowania JAAS, może nie być dostępna w innej domenie zabezpieczeń.

Właściwości niestandardowe - Nazwa

Określa nazwę używaną dla właściwości niestandardowej.

Początkowo właściwości niestandardowe nie są wyświetlane w tej kolumnie. Aby aktywować opisane działania, należy kliknąć jeden z następujących przycisków:

Przycisk Wynik działania
Nowa Służy do tworzenia nowej pozycji właściwości niestandardowej. Aby dodać właściwość niestandardową, należy wprowadzić nazwę i wartość.
Edytuj Umożliwia edytowanie wybranej właściwości niestandardowej. Kliknięcie tego przycisku powoduje udostępnienie pól wejściowych i utworzenie listy wartości komórki do edytowania. Przycisk Edytuj nie jest dostępny do momentu dodania co najmniej jednej właściwości niestandardowej.
Usuń Służy do usuwania wybranej właściwości niestandardowej.
Właściwości niestandardowe - Wartość

Określa wartość właściwości niestandardowej, która ma zostać użyta. W polu Wartość można wprowadzić, zmodyfikować lub usunąć wartość właściwości niestandardowej.

Jeśli do generowania znacznika Kerberos używany jest niestandardowy typ znacznika, należy określić następujące właściwości niestandardowe:

Nazwa właściwości niestandardowej Wartość
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Określa nazwę usługi docelowej.

Ta właściwość jest wymagana.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Określa nazwę hosta powiązanego z usługą docelową w następującym formacie: moj_host.moja_firma.com.

Ta właściwość jest wymagana.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Określa nazwę dziedziny powiązanej z usługą docelową.

Ta
właściwość jest opcjonalna w przypadku pojedynczej dziedziny protokołu
Kerberos. Jeśli właściwość targetServiceRealm nie zostanie określona, jako
nazwa dziedziny zostanie użyta domyślna nazwa dziedziny z pliku
konfiguracyjnego protokołu Kerberos. W środowisku
dziedziny zaufanej lub w środowisku międzydziedzinowym należy podać wartość
właściwości targetServiceRealm.

W przypadku generatora znaczników połączenie nazwy usługi docelowej i nazwy hosta docelowego tworzy nazwę użytkownika usługi reprezentującą nazwę użytkownika docelowej usługi Kerberos. Klient Kerberos żąda początkowego znacznika AP_REQ Kerberos dla nazwy użytkownika usługi.

Jeśli aplikacja generuje lub konsumuje znacznik AP_REQ protokołu Kerberos 5 dla każdego komunikatu żądania usług Web Service, właściwości niestandardowej com.ibm.wsspi.wssecurity.kerberos.attach.apreq należy nadać wartość true w generatorze znaczników i powiązaniach konsumenta znaczników dla aplikacji. Więcej informacji na ten temat zawierają wskazówki dotyczące rozwiązywania problemów z zabezpieczeniami usług Web Service.

Procedura obsługi wywołania zwrotnego

Odsyłacz do strony Procedura obsługi wywołania zwrotnego, która umożliwia konfigurowanie procedur obsługi wywołania zwrotnego. Ustawienia procedury obsługi wywołania zwrotnego określają sposób uzyskiwania znaczników bezpieczeństwa z nagłówków komunikatów.

W przypadku używania znacznika nazwy użytkownika lub znacznika LTPA korzystającego z powiązań domyślnych nazwy użytkowników i hasła mogły zostać podane jako przykłady. Należy zaktualizować wartości dla tych typów znaczników.




Zaznaczone odsyłacze (online) wymagają dostępu do Internetu.

Zadania pokrewne
Odsyłacze pokrewne
Ustawienia procedury obsługi wywołania zwrotnego
Ustawienia znacznika zabezpieczeń (generator lub konsument)
Kolekcja zestawów strategii aplikacji
Uwierzytelnianie i zabezpieczenie strategii WS-Security


Nazwa pliku: uwbs_wsspsbat.html