Einstellungen für Authentifizierungstokengeneratoren oder -konsumenten

Authentifizierungstoken werden verwendet, um eine Identität zu bestätigen oder zuzusichern. Verwenden Sie die Administrationskonsole, um Authentifizierungstokeneinstellungen für Nachrichtenabschnitte hinzuzufügen, wenn Sie eine allgemeine Bindung bearbeiten.

Führen Sie zum Konfigurieren von Authentifizierungstoken die folgenden Schritte aus:

  1. Zum Anzeigen und Auswählen der allgemeinen Bindungen, die als Standardrichtliniensatzbindungen für die globale Sicherheit definiert wurden, klicken Sie auf Services > Richtliniensätze > Standardrichtliniensatzbindungen. Die angegebenen Bindungen werden verwendet, sofern sie bei der Zuordnung, auf dem Server oder in einer Sicherheitsdomäne nicht überschrieben werden.
  2. Zum Aufrufen und Konfigurieren der allgemeinen Bindungen und zum Hinzufügen von Authentifizierungstokeneinstellungen für Nachrichtenabschnitte klicken Sie auf Services > Richtliniensätze > Allgemeine Providerrichtliniensatzbindungen.
  3. Klicken Sie in der Tabelle "Richtlinien" auf die Richtlinie WS-Security.
  4. Klicken Sie im Abschnitt "Bindungen für Hauptnachrichtensicherheitsrichtlinie" auf den Link Authentifizierung und Zugriffsschutz.
  5. Klicken Sie auf Neues Token, um einen neuen Tokengenerator oder Tokenkonsumenten zu erstellen, oder klicken Sie in der Liste "Authentifizierungstoken" auf den Link eines vorhandenen Konsumenten- oder Generatortokens.
Führen Sie die folgenden Schritte aus, um anwendungsspezifische Bindungen für Token und Nachrichtenabschnitte anzuzeigen und zu konfigurieren, die ein Richtliniensatz erfordert:
  1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen.
  2. Wählen Sie eine Anwendung aus, die Web-Services enthält. Die Anwendung muss einen Serviceprovider oder einen Serviceclient enthalten.
  3. Klicken Sie im Abschnitt "Web-Service-Eigenschaften" auf den Link Richtliniensätze und Bindungen für Serviceprovider oder auf den Link Richtliniensätze und Bindungen für Serviceclients.
  4. Wählen Sie eine Bindung aus. Sie müssen vorher einen Richtliniensatz zugeordnet und eine anwendungsspezifische Bindung zugewiesen haben.
  5. Klicken Sie in der Tabelle "Richtlinien" auf die Richtlinie WS-Security.
  6. Klicken Sie im Abschnitt "Bindungen für Hauptnachrichtensicherheitsrichtlinie" auf den Link Authentifizierung und Zugriffsschutz.
  7. Klicken Sie in der Tabelle "Token für Zugriffsschutz" auf den Link eines Konsumenten- oder Generatortokens.

Diese Anzeige der Administrationskonsole bezieht sich nur auf JAX-WS-Anwendungen (Java API for XML Web Services).

Name

Gibt den Namen des Tokens an, das konfiguriert wird. Bei der Verwendung anwendungsspezifischer Bindungen wird dieses Feld nicht angezeigt.

Tokentyp

Gibt den Typ des Tokens an, das konfiguriert wird.

Wenn Sie anwendungsspezifische Bindungen verwenden, wird der Tokentyp aus der Richtliniendatei entnommen und ist schreibgeschützt. Wenn Sie allgemeine Bindungen verwenden, wählen Sie in der Liste einen Tokentyp aus. Die folgenden Tokentypen sind verfügbar:

  • X509V3 Token V1.1
  • X509V3 Token V1.0
  • Username Token V1.1
  • Username Token V1.0
  • X509PKCS7 Token V1.1
  • X509PKCS7 Token V1.0
  • X509PkiPathV1 Token V1.1
  • X509PkiPathV1 Token V1.0
  • LTPA-Weitergabetoken
  • X509V1 Token V1.1
  • LTPA-Token
  • LTPA Token V2.0
  • Angepasstes Token
Neues Feature: Der Tokentyp "LTPA Token V2.0" ist nur für Bindungen verfügbar, die den neuen Namespace in IBM WebSphere Application Server Version 7.0 oder höher verwenden. Wenn Sie "LTPA Token V2.0" als Tokentyp für den Tokenkonsumenten verwenden, können LTPA-Token und Token vom Typ "LTPA V2.0" konsumiert werden. Wenn Sie den Tokenkonsumenten auf Token vom Typ "LTPA V2.0" beschränken möchten, wählen Sie das Kontrollkästchen Tokenversion erzwingen auswählen.

Wenn Sie "LTPA-Token" als Tokentyp für den Tokengenerator auswählen, muss der Interoperabilitätsmodus "Single Sign-on (SSO)" aktiviert werden. Dies ist eine Einstellung in der globalen Sicherheit aus der Web- und SIP-Sicherheit. Wenn das Interoperabilitäts-Flag nicht aktiviert ist, tritt ein Fehler auf, wenn die Anwendung gestartet wird, die diesen Bindungen zugeordnet ist. Wenn Sie das LTPA-Token verwenden möchten, ohne den Status des Interoperabilitäts-Flags zu prüfen, können Sie die angepasste Eigenschaft "com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7" im Tokengenerator setzen. Definieren Sie die Eigenschaft gemäß der Beschreibung im Artikel "SSO-Interoperabilitätsmodus für das LTPA-Token aktivieren oder inaktivieren" über die Administrationskonsole. Die Eigenschaft kann nicht mit der API "Web Services Security" definiert werden.

newfeat
Lokaler Name

Gibt den lokalen Namen für den Authentifizierungstokengenerator bzw. -konsumenten an.Der in das Feld Lokaler Name eingetragene Wert basiert auf dem angezeigten Tokentyp. Verwenden Sie dieses Feld nur, um angepasste Tokentypen zu bearbeiten.

URI

Gibt den URI (Uniform Resource Identifier) des Generators bzw. Konsumenten für Authentifizierungstoken an. Der in das URI eingetragene Wert basiert auf dem angezeigten Tokentyp. Verwenden Sie dieses Feld nur, um angepasste Tokentypen zu bearbeiten.

Lassen Sie dieses Feld leer, wenn der Typ "Angepasstes Token" verwendet wird, um ein Kerberos-Token gemäß OASIS Web Services Security Specification for Kerberos Token Profile v1.1 zu generieren.

Referenz des Sicherheitstokens

Gibt die Referenz des Sicherheitstokens an. Das Feld "Referenz des Sicherheitstokens" wird nur für Authentifizierungstoken in anwendungsspezifischen Bindungen angezeigt. Dieses Feld ist für Standardbindungen nicht verfügbar.

JAAS-Anmeldung

Gibt eine Liste mit JAAS-Anwendungs- und Systemanmeldungen an, die für die Domäne gültig sind, der die Bindung zugeordnet ist.

Wenn eine Anwendung der globalen Sicherheit oder einer Domäne zugeordnet ist, die ihre eigenen JAAS-Anmeldungen nicht anpasst, wird die Liste globaler Anmeldungen in der Menüliste angezeigt. Klicken Sie auf Neue Anwendungsanmeldung, um auf die Sammlung globaler JAAS-Anwendungsanmeldungen zuzugreifen. Die Menüliste mit den JAAS-Anmeldungen und das Verhalten der Schaltfläche Neue Anwendungsanmeldung richten sich danach, ob die Bindung zusammen mit einem Anhang erstellt wird. Gehen Sie beim Ändern von Sicherheitsdomänen mit Vorsicht vor, da eine zuvor referenzierte Sicherheitskonfiguration, wie z. B. JAAS-Anmeldungen, in einer anderen Sicherheitsdomäne möglicherweise nicht zugänglich ist.

Angepasste Eigenschaften – Name

Gibt den Namen an, der für die angepasste Eigenschaft verwendet wird.

Zunächst werden keine angepassten Eigenschaften in dieser Spalte angezeigt. Klicken Sie auf eine der folgenden Schaltflächen, um die beschriebenen Aktionen zu aktivieren:

Schaltfläche Ausgeführte Aktion
Neu Erstellt einen neuen angepassten Eigenschaftseintrag. Zum Hinzufügen einer angepassten Eigenschaft geben Sie den Namen und den Wert ein.
Bearbeiten Mit dieser Aktion kann die ausgewählte angepasste Eigenschaft bearbeitet werden. Wenn Sie auf diese Schaltfläche klicken, werden die Eingabefelder bereitgestellt, und es wird eine Liste mit den zu bearbeitenden Zellenwerten erstellt. Die Schaltfläche "Bearbeiten" ist erst verfügbar, wenn Sie mindestens eine angepasste Eigenschaft hinzugefügt haben.
Löschen Entfernt die ausgewählte angepasste Eigenschaft.
Angepasste Eigenschaften – Wert

Gibt den zu verwendenden Wert für die angepasste Eigenschaft an. Verwenden Sie das Feld Wert, um den Wert für eine angepasste Eigenschaft einzugeben, zu bearbeiten oder zu löschen.

Wenn der Typ "Angepasstes Token" zum Generieren eines Kerberos-Tokens verwendet wird, geben Sie die folgenden angepassten Eigenschaften an:

Name der angepassten Eigenschaft Wert
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Gibt den Namen des Zielservice an.

Diese Eigenschaft
ist erforderlich.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Gibt den Hostnamen für den Zielservice in folgendem Format an: myhost.mycompany.com.

Diese Eigenschaft
ist erforderlich.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Gibt den Namen des Realms an, der dem Zielservice zugeordnet ist.

Diese Eigenschaft ist für einen einzelnen Kerberos-Realm optional. Wenn
die Eigenschaft "targetServiceRealm" nicht angegeben ist, wird der Standard-Realm-Name
aus der Kerberos-Konfigurationsdatei als Realm-Name verwendet. In einer Realm-übergreifenden oder anerkannten Realm-Umgebung müssen Sie einen Wert für die Eigenschaft "targetServiceRealm" angeben.

Für den Tokengenerator bildet die Kombination von Zielservicename und Zielhostname einen so genannten Service Principal Name (SPN), der den Principal-Namen des Kerberos-Zielservice darstellt. Der Kerberos-Client fordert das anfängliche Kerberos-AP_REQ-Token für den SPN an.

Wenn eine Anwendung ein Kerberos-V5-AP_REQ-Token für jede Web-Service-Anforderungsnachricht generiert oder konsumiert, setzen Sie die angepasste Eigenschaft com.ibm.wsspi.wssecurity.kerberos.attach.apreq in den Tokengenerator- und Tokenkonsumentenbindungen für die Anwendung auf true. Weitere Informationen finden Sie im Artikel mit den Tipps zur Fehlerbehebung bei der Web-Service-Sicherheit.

Callback-Handler

Link zu der Seite "Callback-Handler", auf der Sie Callback-Handler konfigurieren können. Die Einstellungen des Callback-Handlers bestimmen, wie Sicherheitstoken aus Nachrichten-Headern übernommen werden.

Wenn Sie mit einem Benutzernamenstoken oder LTPA-Token arbeiten, das Standardbindungen verwendet, wurden die Benutzernamen und Kennwörter unter Umständen als Beispiele bereitgestellt. Sie müssen die Werte für diese Tokentypen aktualisieren.




Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Tasks
Zugehörige Verweise
Einstellungen für Callback-Handler
Einstellungen für Token für Zugriffsschutz (Generator oder Konsument)
Anwendungsrichtliniensätze
WS-Security-Authentifizierung und -Zugriffsschutz


Dateiname: uwbs_wsspsbat.html