回呼處理常式配置設定

請利用這個頁面來指定如何取得插在 SOAP 訊息內,且在 Web 服務安全標頭中的安全記號。 記號取得作業是一種可以外掛的組織架構,它是運用 Java™ 鑑別和授權服務 (JAAS) javax.security.auth.callback.CallbackHandler 介面,來取得安全記號。

如果要檢視 Cell 層次的這個管理主控台頁面,在其中尋找回呼處理常式,請完成下列步驟:
  1. 按一下安全 > JAX-WS 和 JAX-RPC 安全執行時期
  2. 在「JAX-RPC 預設產生者連結」下,按一下記號產生者 > token_generator_name
  3. 在「其他內容」下,按一下回呼處理常式
如果要檢視伺服器層次的這個管理主控台頁面,在其中尋找回呼處理常式,請完成下列步驟:
  1. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器 > server_name
  2. 在「安全」下,按一下 JAX-WS 和 JAX-RPC 安全執行時期
    混合版本環境: 在有伺服器使用 Websphere Application Server 6.1 版或更早版本的混合節點 Cell 中,按一下 Web 服務:Web 服務安全的預設連結mixv
  3. 在「JAX-RPC 預設產生者連結」下,按一下記號產生者 > token_generator_name
  4. 在「其他內容」下,按一下回呼處理常式
如果要檢視應用程式層次的這個管理主控台頁面,在其中尋找回呼處理常式,請完成下列步驟:
  1. 按一下應用程式 > 應用程式類型 > WebSphere 企業應用程式 > application_name
  2. 在「模組」下,按一下管理模組 > URI_name
  3. 在「Web 服務安全內容」下,您可以存取下列連結的回呼處理常式資訊:
    • 如果是要求產生者(傳送端)連結,請按一下 Web 服務:用戶端安全連結。在「要求產生者(傳送端)連結」下,按一下編輯自訂。在「其他內容」下,按一下記號產生者。 接著再按一下新建,建立新的記號產生者配置,或者按一下現有配置的名稱,來修改其設定。 在「其他內容」下,按一下回呼處理常式
    • 如果是回應產生者(傳送端)連結,請按一下 Web 服務:伺服器安全連結。在「回應產生者(傳送端)連結」下,按一下編輯自訂。在「其他內容」下,按一下記號產生者。 接著再按一下新建,建立新的記號產生者配置,或者按一下現有配置的名稱,來修改其設定。 在「其他內容」下,按一下回呼處理常式
回呼處理常式類別名稱 [Version 6 only]

指定用來外掛安全記號組織架構之回呼處理常式實作類別的名稱。

所指定的回呼處理常式類別,必須實作 javax.security.auth.callback.CallbackHandler 類別。JAAS javax.security.auth.callback.CallbackHandler 介面的實作,必須提供一個採用下述語法的建構子:
MyCallbackHandler(String username, char[] password, 
    java.util.Map properties)
其中:
username
是指傳入配置的使用者名稱。
password
是指傳入配置的密碼。
properties
是指傳入配置的其他配置內容。
應用程式伺服器會提供下列預設回呼處理常式實作:
com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler [Version 6 only]
這個回呼處理常式是利用登入提示來收集使用者名稱和密碼資訊。不過,如果您是在這個畫面指定使用者名稱和密碼,畫面並不會出現提示,且如果畫面上有指定記號產生者,應用程式伺服器還會把使用者名稱和密碼傳回該記號產生者。 這個實作只適用於 Java Platform Enterprise Edition (Java EE) 應用程式用戶端。
com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler [Version 6 only]
如果是在這個畫面上指定使用者名稱和密碼,這個回呼處理常式並不會發出提示,只會傳回使用者名稱和密碼。您可以在 Web 服務當作用戶端時,使用這個回呼處理常式。
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler [Version 6 only]
這個回呼處理常式是利用標準輸入的提示,來收集使用者名稱和密碼。不過,如果是在這個畫面上指定使用者名稱和密碼,應用程式伺服器並不會發出提示,只會將使用者名稱和密碼傳回記號產生者。 這個實作只適用於 Java Platform Enterprise Edition (Java EE) 應用程式用戶端。
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler [Version 6 only]
這個回呼處理常式是利用標準輸入的提示,來收集使用者名稱和密碼。不過,如果是在這個畫面上指定使用者名稱和密碼,應用程式伺服器並不會發出提示,只會將使用者名稱和密碼傳回記號產生者。 這個實作只適用於 Java Platform Enterprise Edition (Java EE) 應用程式用戶端。
com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler [Version 6 only]
這個回呼處理常式用來從執行身分呼叫主體取得小型認證機構 (LTPA) 安全記號。 這個記號是插在 SOAP 訊息的 Web 服務安全標頭中,作為二進位安全記號使用。不過,如果是在這個畫面上指定使用者名稱和密碼,應用程式伺服器會鑑別使用者名稱和密碼來取得 LTPA 安全記號,而不是從執行身分主體取得記號。 只有當 Web 服務在應用程式伺服器上是作為用戶端時,才能使用這個回呼處理常式。建議不要在 Java EE 應用程式用戶端使用這個回呼處理常式。
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler [Version 6 only]
這個回呼處理常式的目的是建立 X.509 憑證,這個憑證是插在 SOAP 訊息的 Web 服務安全標頭中,作為二進位安全記號使用。這個回呼處理常式需要有金鑰儲存庫和金鑰定義。
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler [Version 6 only]
這個回呼處理常式的目的,是建立以 PKCS#7 格式編碼的 X.509 憑證。這個憑證是插在 SOAP 訊息的 Web 服務安全標頭中,作為二進位安全記號使用。這個回呼處理常式必須具備金鑰儲存庫。 您必須在集合憑證儲存庫中,指定一個憑證廢止清冊 (CRL)。CRL 是以 PKCS#7 格式的 X.509 加以編碼。
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler [Version 6 only]
這個回呼處理常式的目的,是建立以 PkiPath 格式編碼的 X.509 憑證。這個憑證是插在 SOAP 訊息的 Web 服務安全標頭中,作為二進位安全記號使用。這個回呼處理常式必須具備金鑰儲存庫。 回呼處理常式並不支援 CRL;因此,也不需要或使用集合憑證儲存庫。

回呼處理常式實作會取得必要的安全記號,將它傳遞給記號產生者。記號產生者會將安全記號插在 SOAP 訊息的 Web 服務標頭中。另外,記號產生者也是外掛安全記號組織架構的外掛點。 服務提供者可以提供他們自己的實作,但這項實作必須使用 com.ibm.websphere.wssecurity.wssapi.token.SecurityToken 介面。 「Java 鑑別和授權服務 (JAAS) 登入模組」實作,分別用來在產生者端建立安全記號,以及在消費者端驗證(鑑別)安全記號。

使用身分主張 [Version 6 only]

如果您在 IBM® 延伸部署描述子中定義了身分主張,請選取這個選項。

這個選項會指出,它只需要起始傳送端的身分,而且必須插在 SOAP 訊息的 Web 服務安全標頭中。比方說,應用程式伺服器只會傳送 Username TokenGenerator 原始呼叫端的使用者名稱。 如果是 X.509 記號產生者,應用程式伺服器只會傳送原始簽章者憑證。

使用執行身分 [Version 6 only]

如果您在 IBM 延伸部署描述子中定義了身分主張,且想要利用執行身分取代起始呼叫端身分來進行下游呼叫的身分主張,請選取這個選項。

只有當您把 Username TokenGenerator 配置為記號產生者時,這個選項才有效。

基本鑑別 (BA) 使用者 ID [Version 6 only]

請指定傳遞給回呼處理常式實作之建構子的使用者名稱。

如果您選取下列本產品所提供的其中一個預設回呼處理常式實作,就會使用基本的鑑別使用者名稱和密碼:
  • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler

這些實作將在本文回呼處理常式類別名稱欄位說明下面詳細解說。

基本鑑別 (BA) 密碼 [Version 6 only]

請指定傳遞給回呼處理常式建構子的密碼。

如果您選取下列本產品所提供的其中一個預設回呼處理常式實作,就會使用金鑰儲存庫及其相關配置:
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
金鑰儲存庫的用途是以憑證路徑建置 X.509 憑證。
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
金鑰儲存庫的用途是以憑證路徑建置 X.509 憑證。
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
金鑰儲存庫的用途是擷取 X.509 憑證。
金鑰儲存庫配置名稱 [Version 6 only]

指定安全通訊的金鑰儲存庫設定中所定義之金鑰儲存庫配置的名稱。

金鑰儲存庫密碼 [Version 6 only]

指定用來存取金鑰儲存庫檔的密碼。

金鑰儲存庫路徑 [Version 6 only]

指定金鑰儲存庫檔案的位置。

請在路徑名稱中使用 ${USER_INSTALL_ROOT},因為這個變數會展開成機器中的產品路徑。 如果要變更這個變數所用的路徑,請按一下環境 > WebSphere 變數,再按一下 USER_INSTALL_ROOT

金鑰儲存庫類型 [Version 6 only]

請指定金鑰儲存庫檔案格式的類型

請選取下列其中一個欄位值:
JKS
如果金鑰儲存庫是採用 Java 金鑰儲存庫 (JKS) 格式,請使用這個選項。
JCEKS
如果 Java Cryptography Extension 是在軟體開發套件 (SDK) 中配置,請使用這個選項。 預設 IBM JCE 是在應用程式伺服器中配置。這個選項可以使用三重 DES 加密,對儲存的私密金鑰提供更完善的保護。
JCERACFKS [z/OS]
如果憑證儲存在 SAF 金鑰環(只適用於 z/OS®)中,請使用 JCERACFKS。
PKCS11KS (PKCS11)
如果金鑰儲存庫檔是採用 PKCS#11 檔案格式,請使用這個選項。採用這種格式的金鑰儲存庫檔可能含有加密硬體的 Rivest Shamir Adleman (RSA) 金鑰,也可能將使用加密硬體的金鑰加密來加強保護。
PKCS12KS (PKCS12)
如果金鑰儲存庫檔採用 PKCS#12 檔案格式,請使用這個選項。



標示(線上)的鏈結表示需要存取網際網路。

相關工作
相關參考
記號產生者集合
記號產生者配置設定


檔名: uwbs_callback.html