Einstellungen für Token für Zugriffsschutz (Generator oder Konsument)

Verwenden Sie diese Seite, um Token für den Zugriffsschutz zu konfigurieren. Mit Token für Zugriffsschutz werden Nachrichten zur Gewährleistung der Integrität signiert bzw. zur Gewährleistung der Vertraulichkeit verschlüsselt.

Sie können die Einstellungen des Tokens für Zugriffsschutz für Nachrichtenabschnitte konfigurieren, wenn Sie allgemeine Provider- oder Clientrichtliniensatzbindungen bearbeiten. Sie können auch anwendungsspezifische Bindungen für Token und Nachrichtenabschnitte konfigurieren, die vom Richtliniensatz gefordert werden.

Führen Sie die folgenden Aktionen aus, um diese Seite der Administrationskonsole bei der Bearbeitung einer allgemeinen Providerbindung anzuzeigen:
  1. Klicken Sie auf Services > Richtliniensätze > Allgemeine Providerrichtliniensatzbindungen.
  2. Klicken Sie auf den Namen der zu bearbeitenden Bindung.
  3. Klicken Sie in der Tabelle "Richtlinien" auf die Richtlinie WS-Security.
  4. Klicken Sie im Abschnitt für die Sicherheitsrichtlinienbindungen auf den Link drücken und Zugriffsschutz.
  5. Klicken Sie auf Neues Token, um einen neuen Tokengenerator oder Tokenkonsumenten zu erstellen, oder klicken Sie in der Tabelle "Token für Zugriffsschutz" auf den Link eines vorhandenen Konsumenten- oder Generatortokens.
Führen Sie die folgenden Aktionen aus, um diese Seite der Administrationskonsole bei der Bearbeitung einer allgemeinen Clientbindung anzuzeigen:
  1. Klicken Sie auf Services > Richtliniensätze > Allgemeine Clientrichtliniensatzbindungen.
  2. Klicken Sie auf den Namen der zu bearbeitenden Bindung.
  3. Klicken Sie in der Tabelle "Richtlinien" auf die Richtlinie WS-Security.
  4. Klicken Sie im Abschnitt "Bindungen für Hauptnachrichtensicherheitsrichtlinie" auf den Link Authentifizierung und Zugriffsschutz.
  5. Klicken Sie auf Neues Token, um einen neuen Tokengenerator oder Tokenkonsumenten zu erstellen, oder klicken Sie in der Tabelle "Token für Zugriffsschutz" auf den Link eines vorhandenen Konsumenten- oder Generatortokens.
Wenn Sie anwendungsspezifische Bindungen für Token und Nachrichtenabschnitte, die der Richtliniensatz erfordert, konfigurieren, können Sie diese Seite der Administrationskonsole wie folgt aufrufen:
  1. Klicken Sie auf Anwendungen > WebSphere-Unternehmensanwendungen.
  2. Wählen Sie eine Anwendung aus, die Web-Services enthält. Die Anwendung muss einen Serviceprovider oder einen Serviceclient enthalten.
  3. Klicken Sie im Abschnitt "Web-Service-Eigenschaften" auf den Link Richtliniensätze und Bindungen des Serviceproviders oder auf den Link Richtliniensätze und Bindungen des Serviceclients.
  4. Wählen Sie eine Bindung aus. Sie müssen vorher einen Richtliniensatz zugeordnet und eine Bindung zugewiesen haben.
  5. Klicken Sie in der Tabelle "Richtlinien" auf die Richtlinie WS-Security.
  6. Klicken Sie im Abschnitt für die Sicherheitsrichtlinienbindungen auf den Link drücken und Zugriffsschutz.
  7. Klicken Sie in der Tabelle "Token für Zugriffsschutz" auf den Link eines Konsumenten- oder Generatortokens.

Diese Anzeige der Administrationskonsole bezieht sich nur auf JAX-WS-Anwendungen (Java API for XML Web Services).

Name

Gibt den Namen des Tokengenerators bzw. Tokenkonsumenten an. Geben Sie in diesem Feld einen Namen ein, wenn Sie ein neues Token erstellen.

Tokentyp

Gibt den Typ des Tokens an. Wenn Sie Bindungen verwenden, wird der Tokentyp durch die Richtlinie bestimmt und kann nicht geändert werden.

Gültige Werte:
  • LPTA Token V2.0
  • Secure Conversation Token V1.3
  • Secure Conversation Token V200502
  • X509V3 Token V1.1
  • X509V3 Token V1.0
  • X509PKCS7 Token V1.1
  • X509PKCS7 Token V1.0
  • X509PkiPathV1 Token V1.1
  • X509PkiPathV1 Token V1.0
  • X509V1 Token V1.1
  • Angepasstes Token
Der Tokentyp "Secure Conversation Token v200502" für die WS-Security-Richtlinie stellt die Anforderung eines Sicherheitskontexttokens (SCT, Security Context Token) gemäß Definition in der Spezifikation "WS-SecureConversation" dar.
Tokenversion erzwingen
Lokaler Name

Gibt den lokalen Namen des angepassten Tokengenerators bzw. Tokenkonsumenten an. Der in das Feld Lokaler Name eingetragene Wert basiert auf dem angezeigten Tokentyp. Verwenden Sie dieses Feld nur, um angepasste Tokentypen zu bearbeiten.

Wenn der Typ "Angepasstes Token" verwendet wird, um ein Kerberos-Token gemäß OASIS Web Services Security Specification for Kerberos Token Profile V1.1 zu generieren, verwenden Sie einen der im Folgenden aufgelisteten Werte als lokalen Namen. Der ausgewählte Wert richtet sich nach der Spezifikationsstufe des vom Key Distribution Center (KDC) generierten Kerberos-Tokens. In der folgenden Tabelle sind die Werte und zugehörigen Spezifikationsstufen aufgelistet. Aus Interoperabilitätsgründen erfordert der Standard "Basic Security Profile V1.1" die Verwendung des lokalen Namens "http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ".

Lokaler Namenswert für Kerberos-Token Zugehörige Spezifikationsstufe
http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerb erosv5_AP_REQ Kerberos v5 AP-REQ gemäß Definition in der Kerberos-Spezifikation. Verwenden Sie diesen Wert, wenn das Kerberos-Ticket eine AP-Anforderung ist.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ GSS-API-Kerberos-V5-Token mit einer KRB_AP_REQ-Nachricht gemäß Definition in RFC-1964 [1964], Sec. 1.1 und in Nachfolger RFC-4121, Sec. 4.1. Verwenden Sie diesen Wert, wenn das Kerberos-Ticket eine AP-Anforderung ist (ST + Authentifikator).
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510 Kerberos v5 AP-REQ gemäß Definition in RFC1510. Verwenden Sie diesen Wert, wenn das Kerberos-Ticket eine AP-Anforderung gemäß RFC1510 ist.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510 GSS-API-Kerberos-V5-Token mit einer KRB_AP_REQ-Nachricht gemäß Definition in RFC-1964, Sec. 1.1 und in Nachfolger RFC-4121, Sec. 4.1. Verwenden Sie diesen Wert, wenn das Kerberos-Ticket eine AP-Anforderung gemäß RFC1510 ist (ST + Authentifikator).
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120 Kerberos v5 AP-REQ gemäß Definition in RFC4120. Verwenden Sie diesen Wert, wenn das Kerberos-Ticket eine AP-Anforderung gemäß RFC4120 ist.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120 GSS-API-Kerberos-V5-Token mit einer KRB_AP_REQ-Nachricht gemäß Definition in RFC-1964, Sec. 1.1 und in Nachfolger RFC-4121, Sec. 4.1. Verwenden Sie diesen Wert, wenn das Kerberos-Ticket eine AP-Anforderung gemäß RFC4120 ist (ST + Authentifikator).
URI

Gibt den URI (Uniform Resource Identifier) des angepassten Tokengenerators bzw. Tokenkonsumenten an. Der in das URI eingetragene Wert basiert auf dem angezeigten Tokentyp. Verwenden Sie dieses Feld nur, um angepasste Tokentypen zu bearbeiten.

Lassen Sie dieses Feld leer, wenn der Typ "Angepasstes Token" verwendet wird, um ein Kerberos-Token gemäß OASIS Web Services Security Specification for Kerberos Token Profile V1.1 zu generieren.

JAAS-Anmeldung

Gibt die JAAS-Anwendungsanmeldeinformationen (Java Authentication and Authorization Service) an. Klicken Sie auf Neu, um eine neue JAAS-Anwendungsanmeldung oder einen JAAS-Systemanmeldeeintrag hinzuzufügen.

Wenn sich der Server in einer Sicherheitsdomäne befindet, die bestimmte System- oder Anwendungsanmeldungen enthält, werden diese Anmeldungen zusätzlich zu den globalen Anmeldungen im JAAS-Anmeldemenü aufgelistet.

Neue Anwendungsanmeldung
Angepasste Eigenschaften – Name

Gibt den Namen der angepassten Eigenschaft an. Angepasste Eigenschaften werden erst dann in dieser Spalte angezeigt, wenn sie hinzugefügt werden.

Wählen Sie eine der folgenden Aktionen für angepasste Eigenschaften aus:

Schaltfläche Ausgeführte Aktion
Neu Erstellt einen neuen angepassten Eigenschaftseintrag. Zum Hinzufügen einer angepassten Eigenschaft geben Sie den Namen und den Wert ein.
Bearbeiten Gibt an, dass Sie die ausgewählte angepasste Eigenschaft bearbeiten können. Wählen Sie diese Aktion aus, um die Eingabefelder anzuzeigen und die Liste der zu bearbeitenden Zellenwerte zu erstellen. Die Schaltfläche Bearbeiten ist erst verfügbar, wenn Sie mindestens eine angepasste Eigenschaft hinzugefügt haben.
Löschen Entfernt die ausgewählte angepasste Eigenschaft.
Wenn der Typ "Angepasstes Token" zum Generieren eines Kerberos-Tokens verwendet wird, geben Sie die folgenden angepassten Eigenschaften an:
Name der angepassten Eigenschaft Wert
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Gibt den Namen des Zielservice an.

Diese Eigenschaft
ist erforderlich.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Gibt den Hostnamen für den Zielservice in folgendem Format an: myhost.mycompany.com.

Diese Eigenschaft
ist erforderlich.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Gibt den Namen des Realms an, der dem Zielservice zugeordnet ist.

Diese Eigenschaft ist für einen einzelnen Kerberos-Realm optional. Wenn
die Eigenschaft "targetServiceRealm" nicht angegeben ist, wird der Standard-Realm-Name
aus der Kerberos-Konfigurationsdatei als Realm-Name verwendet. In einer Realm-übergreifenden oder anerkannten Realm-Umgebung müssen Sie einen Wert für die Eigenschaft "targetServiceRealm" angeben.

Für den Tokengenerator bildet die Kombination von Zielservicename und Zielhostname den so genannten Service Principal Name (SPN), der den Principal-Namen des Kerberos-Zielservice darstellt. Der Kerberos-Client fordert das anfängliche Kerberos-AP_REQ-Token für den SPN an.

Wenn eine Anwendung ein Kerberos-V5-AP_REQ-Token für jede Web-Service-Anforderungsnachricht generiert oder konsumiert, setzen Sie die angepasste Eigenschaft com.ibm.wsspi.wssecurity.kerberos.attach.apreq in den Tokengenerator- und Tokenkonsumentenbindungen für die Anwendung auf true. Weitere Informationen finden Sie im Artikel mit den Tipps zur Fehlerbehebung bei der Web-Service-Sicherheit.

Angepasste Eigenschaften – Wert

Gibt den Wert der angepassten Eigenschaft an. Verwenden Sie das Feld Wert, um den Wert für eine angepasste Eigenschaft einzugeben, zu bearbeiten oder zu löschen.

Callback-Handler

Nachdem Sie alle anderen Konfigurationen auf der Seite "Token für Zugriffsschutz" angewendet oder gespeichert haben, erscheint dieser Abschnitt, über den Sie zu den Konfigurationseinstellungen für den Callback-Handler gelangen. Klicken Sie auf diesen Link, um die Einstellungen für den Callback-Handler festzulegen, die bestimmen, wie Sicherheitstoken aus Nachrichtenheadern übernommen werden.

Secure Conversation Token 200502 tolerieren

Der Tokentyp "Secure Conversation Token V200502" für die WS-Security-Richtlinie stellt die Anforderung für ein SecureConversation-Token gemäß Definition in der Spezifikation WS-SecureConversation vom Februar 2005 dar. Diese Option gibt an, ob der Provider Token vom Typ "Secure Conversation Token V1.3" und "Secure Conversation Token V200502" verarbeitet. Standardmäßig werden beide Versionen vom Provider unterstützt. Sie können dieses Verhalten ändern, indem Sie das Kontrollkästchen abwählen, so dass der Provider nur Token der Version 1.3 verarbeitet.

Anmerkung: Dieses Kontrollkästchen wird nur in der Anzeige für den Tokenkonsumenten des Serviceproviders angezeigt.
Datentyp Kontrollkästchen
Einstellmöglichkeiten Ausgewählt oder nicht ausgewählt
Standardeinstellung Ausgewählt



Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Tasks
Zugehörige Verweise
Einstellungen für Callback-Handler
Anwendungsrichtliniensätze
Einstellungen für Anwendungsrichtliniensatz
Zugeordnete Anwendungen suchen
Einstellungen für Richtliniensatzbindungen


Dateiname: uwbs_wsspsbpt.html