Configurações do Token de Proteção (Gerador ou Consumidor)

Utilize essa página para configurar os tokens de proteção. Os tokens de proteção assinam as mensagens para proteger a integridade ou criptografam as mensagem para proporcionar sigilo.

Você pode incluir as configurações do token de proteção para as partes da mensagem ao editar ligações gerais do conjunto de política do provedor ou do cliente. Também pode configurar ligações específicas do aplicativo para tokens e partes de mensagem necessárias pelo conjunto de política.

Para visualizar essa página do console administrativo ao editar uma ligação de provedor geral, execute as seguintes ações:
  1. Clique em Serviços > Conjuntos de Política > Gerar Ligações Gerais do Conjunto de Política.
  2. Clique no nome da ligação que você deseja editar.
  3. Clique na política WS-Security na tabela Políticas.
  4. Clique no link Autenticação e Proteção na seção de ligações de política de segurança.
  5. Clique em Novo Token para criar um novo gerador ou consumidor de token ou clique em um link de token consumidor ou gerador existente na tabela de Tokens de Autenticação.
Para visualizar essa página do console administrativo ao editar uma ligação geral de provedor, execute as seguintes ações:
  1. Clique em Serviços > Conjuntos de Política > Ligações Gerais do Conjunto de Política do Cliente.
  2. Clique no nome da ligação que você deseja editar.
  3. Clique na política WS-Security na tabela Políticas.
  4. Clique no link Autenticação e Proteção na seção de ligações da política de segurança da Mensagem Principal.
  5. Clique em Novo Token para criar um novo gerador ou consumidor de token ou clique em um link de token do gerador ou consumidor existente a partir da tabela Tokens de Proteção.
Para visualizar essa página do console administrativo quando estiver configurando ligações específicas do aplicativo para tokens e partes de mensagem necessárias ao conjunto de política, execute as ações a seguir:
  1. Clique em Aplicativos > WebSphere Enterprise Applications.
  2. Selecione um aplicativo que contenha serviços da Web. O aplicativo deve conter um provedor de serviços ou um cliente de serviço.
  3. Clique no link Conjuntos de política e ligações do provedor de serviços ou em Conjuntos de política e ligações do cliente de serviço na seção Propriedades de Serviços da Web.
  4. Selecione uma ligação. Você deve ter conectado um conjunto de política e atribuído uma ligação anteriormente.
  5. Clique na política WS-Security na tabela Políticas.
  6. Clique no link Autenticação e Proteção na seção de ligações de política de segurança.
  7. Clique em um link de token do consumidor ou do gerador a partir da tabela Tokens de Proteção.

Esse painel do console administrativo se aplica apenas a aplicativos JAX-WS (Java API for XML Web Services).

Nome

Especifica o nome do gerador ou do consumidor do token. Digite um nome nesse campo ao criar um novo token.

Tipo de Token

Especifica o tipo de token. Ao utilizar as ligações, o tipo de token é determinado a partir da política e não pode ser editado.

Os valores válidos são:
  • LPTA Token V2.0
  • Secure Conversation Token V1.3
  • Secure Conversation Token V200502
  • X509V3 Token V1.1
  • X509V3 Token V1.0
  • X509PKCS7 Token V1.1
  • X509PKCS7 Token V1.0
  • X509PkiPathV1 Token V1.1
  • X509PkiPathV1 Token V1.0
  • X509V1 Token V1.1
  • Token Customizado
O tipo de token Secure Conversation Token v200502 para a política WS-Security representa o requisito para um Token de Contexto de Segurança conforme definido no nível Fevereiro de 2005 da especificação WS-SecureConversation.
Impingir Versão do Token
Nome Local

Especifica o nome local do gerador ou consumidor de token customizado. O campo Nome Local é preenchido com base no tipo de token exibido. Utilize este campo para editar os tipos de token customizados apenas.

Se o tipo de token customizado for utilizado para gerar um token Kerberos, conforme definido no OASIS Web Services Security Specification for Kerberos Token Profile V1.1, utilize um dos valores listados abaixo para o nome local. O valor que você escolhe depende do nível de especificação do token Kerberos gerado pelo KDC (Key Distribution Center). A tabela lista os valores e o nível de especificação associado a cada valor. Para fins de interoperabilidade, o padrão Basic Security Profile V1.1 requer o uso do nome local http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ.

Valor de Nome Local para Token Kerberos Nível de Especificação Associado
http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerb erosv5_AP_REQ Kerberos v5 AP-REQ conforme definido na especificação do Kerberos. Utilize esse valor quando o tíquete Kerberos for um Pedido AP.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ O token de mecanismo GSS-API Kerberos V5 contendo uma mensagem KRB_AP_REQ conforme definido em RFC-1964 [1964], Sec. 1.1 e seu sucessor RFC-4121, Sec. 4.1. Utilize esse valor quando o tíquete Kerberos for um Pedido AP (ST + Authenticator).
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510 Kerberos v5 AP-REQ, conforme definido no RFC1510. Utilize esse valor quando o tíquete Kerberos for um Pedido AP, conforme o RFC1510.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510 O token de mecanismo GSS-API Kerberos V5 contendo uma mensagem KRB_AP_REQ conforme definido em RFC-1964, Sec. 1.1 e seu sucessor RFC-4121, Sec. 4.1. Utilize esse valor quando o tíquete Kerberos for um Pedido AP (ST + Authenticator), conforme o RFC1510.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120 Kerberos v5 AP-REQ, conforme definido no RFC4120. Utilize esse valor quando o tíquete Kerberos for um Pedido AP, conforme o RFC4120.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120 O token de mecanismo GSS-API Kerberos V5 contendo uma mensagem KRB_AP_REQ conforme definido em RFC-1964, Sec. 1.1 e seu sucessor, RFC-4121, Seç. 4.1. Utilize esse valor quando o tíquete Kerberos for um Pedido AP (ST + Authenticator), conforme o RFC4120.
URI

Especifica o URI (Identificador Uniforme de Recursos) do gerador ou do consumidor do token customizado. O campo URI é preenchido com base no tipo de token exibido. Utilize este campo para editar os tipos de token customizados apenas.

Deixe esse campo em branco se o tipo de token customizado for utilizado para gerar um token Kerberos, conforme definido no OASIS Web Services Security Specification for Kerberos Token Profile V1.1.

Login JAAS

Especifica as informações de login do aplicativo JAAS (Java Authentication and Authorization Service). Clique em Novo para incluir um novo login de aplicativo JAAS ou uma entrada de login do sistema JAAS.

Se o servidor estiver em um domínio de segurança que inclua logins específicos do sistema ou aplicativo, esses logins serão listados no menu de login JAAS, além dos logins globais.

Novo Login do Aplicativo
Propriedades Customizadas – Nome

Especifica o nome da propriedade customizada. As propriedades customizadas não são inicialmente exibidas nessa coluna até que sejam incluídas.

Selecione uma das seguintes ações para as propriedades customizadas:

Botão Ação Resultante
Novo Cria uma nova entrada de propriedade customizada. Para incluir uma propriedade customizada, digite o nome e o valor.
Editar Especifica que é possível editar a propriedade customizada selecionada. Selecione esta ação para fornecer campos de entrada e criar a listagem dos valores de célula para edição. O botão Editar não ficará disponível até que pelo menos uma propriedade customizada tenha sido incluída.
Excluir Remova a propriedade selecionada.
Se o tipo de token customizado for utilizado para gerar um token Kerberos, especifique as seguintes propriedades customizadas:
Nome da propriedade customizada Valor
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Especifica o nome do serviço de destino.

Essa propriedade é requerida.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Especifica o nome do host associado com o serviço de destino no seguinte formato: myhost.mycompany.com.

Essa propriedade é requerida.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Especifica o nome da região associada ao serviço de destino.

Esta propriedade é opcional para
uma única região do Kerberos. Se a propriedade targetServiceRealm não estiver especificada, o nome da região
padrão do arquivo de configuração do Kerberos é usado como o nome da região. Em um
ambiente de região cruzada ou confiável, você deve fornecer um valor para a propriedade
targetServiceRealm.

Para o gerador de tokens, a combinação do nome de serviço de destino e o nome do host de destino forma o SPN (Service Principal Name), que representa o nome principal do serviço Kerberos de destino. O cliente Kerberos solicita o token do Kerberos AP_REQ inicial para o SPN.

Se um aplicativo gera ou consome um token Kerberos V5 AP_REQ para cada mensagem de pedido de serviços da Web, defina a propriedade customizada com.ibm.wsspi.wssecurity.kerberos.attach.apreq para true no gerador de token e nas ligações do consumidor de token para o aplicativo. Para obter informações adicionais, consulte o tópico de dicas de resolução de problemas de segurança dos serviços da Web.

Propriedades Customizadas – Valor

Especifica o valor da propriedade customizada. Utilize o campo Valor para inserir, editar ou excluir o valor de uma propriedade customizada.

Rotina de Tratamento do Retorno de Chamada

Depois que todas as outras configurações na página do token de proteção forem aplicadas ou salvas, esta seção será exibida e vinculada às definições de configuração para manipulador de retorno de chamada. Clique neste link para especificar as configurações do manipulador de retorno de chamada que determinam como os tokens de segurança são adquiridos a partir dos cabeçalhos da mensagem.

Tolerar Secure Conversation Token V200502

O tipo de token secure conversation token V200502 para a política WS-Security representa o requisito para um token de conversação segura, conforme definido no nível de fevereiro de 2005 da especificação WS-SecureConversation. Essa opção especifica se o provedor deve manipular ou não o secure conversation token V1.3 e o secure conversation token V200502. Por padrão, o provedor manipula ambas as versões. É possível alterar esse comportamento clicando para remover a seleção da caixa de opção para que o provedor manipule apenas o token v1.3.

Nota: Essa caixa de opção só é exibida no painel do consumidor de token do provedor de serviços.
Tipo de dados Caixa de Opções
Intervalo Selecionado ou não selecionado
Valor Padrão Selecionado



Links marcados (on-line) requerem acesso à Internet.

Tarefas relacionadas
Referências relacionadas
Configurações do Manipulador de Retorno de Chamada
Coleta de Conjuntos de Política de Aplicativo
Configurações do Conjunto de Política do Aplicativo
Procurar Coleção de Aplicativos Conectados
Configurações de Ligações de Conjunto de Política


Nome do arquivo: uwbs_wsspsbpt.html