記號消費者配置設定

請利用這個頁面來指定記號消費者的資訊。這項資訊只能用在消費者,來處理安全記號。

如果要檢視 Cell 層次的這個管理主控台頁面,請完成下列步驟:
  1. 按一下安全 > JAX-WS 和 JAX-RPC 安全執行時期
  2. 在「JAX-RPC 預設消費者連結」下,按一下記號消費者 > token_consumer_name,或按一下新建來建立新的記號消費者。
如果要檢視伺服器層次的這個管理主控台頁面,請完成下列步驟:
  1. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器 > server_name
  2. 在「安全」下,按一下 JAX-WS 和 JAX-RPC 安全執行時期
    混合版本環境: 在有伺服器使用 Websphere Application Server 6.1 版或更早版本的混合節點 Cell 中,按一下 Web 服務:Web 服務安全的預設連結mixv
  3. 在「JAX-RPC 預設消費者連結」下,按一下記號消費者 > token_consumer_name,或按一下新建來建立新的記號消費者。
如果要在應用程式層次檢視第 6 版及後續版本應用程式的這個管理主控台頁面,請完成下列步驟:
  1. 按一下應用程式 > 應用程式類型 > WebSphere 企業應用程式 > application_name
  2. 按一下管理模組 > URI_name
  3. 在「Web 服務安全內容」下,您可以存取下列連結的簽章資訊:
    • 如果是回應產生者(傳送端)連結,請按一下 Web 服務:伺服器安全連結。在「回應產生者(傳送端)連結」下,按一下編輯自訂。在「必要內容」下,按一下記號消費者
    • 如果是回應消費者(接收端)連結,請按一下 Web 服務:用戶端安全連結。在「回應消費者(接收端)連結」下,按一下編輯自訂。在「必要內容」下,按一下記號消費者
  4. 按一下新建,指定新的配置,或者按一下現有配置的名稱,修改其設定。

在指定其他內容之前,請先在「記號消費者名稱」、「記號消費者類別名稱」和「值類型本端名稱」欄位中指定值。

記號消費者名稱 [Version 6 only]

是指記號消費者配置的名稱。

比方說,預設 X509 記號消費者名稱便可能是需要加密的 con_enctcon,或需要簽章的 con_signtcon。 自訂記號消費者名稱可能是需要簽章的 sig_tcon

記號消費者類別名稱 [Version 6 only]

是指記號消費者實作類別的名稱。

「Java™ 鑑別和授權服務 (JAAS) 登入模組」實作用來在消費者端驗證(鑑別)安全記號。

組件參照 [Version 6 only]

指定部署描述子中所定義之安全記號名稱的參照。

在應用程式層次,如果部署描述子中未指定安全記號,就不會顯示「組件參照」欄位。

憑證路徑 [Version 6 only]

可以指定信任錨點和憑證儲存庫。

您可以選取下列選項:
如果選取這個選項,就不會指定憑證路徑。
全部信任
如果選取這個選項,就表示所有的憑證都信任。 在納入收到的記號時,並不會處理憑證路徑驗證。
專用簽章資訊
如果您選取這個選項,就可以指定信任錨點和憑證儲存庫。當您選取信任錨點或授信憑證的憑證儲存庫時,必須先配置集合憑證儲存庫,才能設定憑證路徑。

信任錨點

您可以在下列層次,為下列連結指定一個信任錨點:
表 1. 信任錨點連結設定. 信任錨點會在簽署訊息時使用。
連結名稱 伺服器層次、Cell 層次或應用程式層次 路徑
預設消費者連結 Cell 層次
  1. 按一下安全 > JAX-WS 和 JAX-RPC 安全執行時期
  2. 在「其他內容」下,按一下信任錨點
預設消費者連結 伺服器層次
  1. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器 > server_name
  2. 在「安全」下,按一下 JAX-WS 和 JAX-RPC 安全執行時期
    混合版本環境: 在有伺服器使用 Websphere Application Server 6.1 版或更早版本的混合節點 Cell 中,按一下 Web 服務:Web 服務安全的預設連結mixv
  3. 在「其他內容」下,按一下信任錨點

憑證儲存庫

您可以在下列層次,為下列連結指定一個憑證路徑配置:
表 2. 憑證庫連結設定. 憑證會在簽署訊息時使用。
連結名稱 伺服器層次、Cell 層次或應用程式層次 路徑
預設消費者連結 Cell 層次
  1. 按一下安全 > JAX-WS 和 JAX-RPC 安全執行時期
  2. 在「其他內容」下,按一下集合憑證儲存庫
預設消費者連結 伺服器層次
  1. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器 > server_name
  2. 在「安全」下,按一下 JAX-WS 和 JAX-RPC 安全執行時期
    混合版本環境: 在有伺服器使用 Websphere Application Server 6.1 版或更早版本的混合節點 Cell 中,按一下 Web 服務:Web 服務安全的預設連結mixv
  3. 在「其他內容」下,按一下集合憑證儲存庫
授信 ID 評估器參照 [Version 6 only]

指定在「授信 ID 評估器」畫面中,所定義之授信 ID 評估器類別名稱的參照。授信 ID 評估器係用來判斷所收到的 ID 是否授信。

您可以選取下列選項:
如果選取這個選項,就不會指定授信 ID 評估器。
現有的評估器定義
如果選取這個選項,就可以選取其中一個配置的授信 ID 評估器。
您可以在下列層次,為下列連結指定一個憑證路徑配置:
表 3. 授信 ID 評估器連結設定. 授信 ID 評估器用來判斷收到的 ID 是否為授信 ID。
連結名稱 伺服器層次、Cell 層次或應用程式層次 路徑
預設消費者連結 Cell 層次
  1. 按一下安全 > JAX-WS 和 JAX-RPC 安全執行時期
  2. 在「其他內容」下,按一下授信 ID 評估器
預設消費者連結 伺服器層次
  1. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器 > server_name
  2. 在「安全」下,按一下 JAX-WS 和 JAX-RPC 安全執行時期
    混合版本環境: 在有伺服器使用 Websphere Application Server 6.1 版或更早版本的混合節點 Cell 中,按一下 Web 服務:Web 服務安全的預設連結mixv
  3. 在「其他內容」下,按一下授信 ID 評估器
連結評估器定義
如果選取這個選項,就可以指定新的授信 ID 評估器及其類別名稱。

當您選取授信 ID 評估器參照時,必須先配置授信 ID 評估器,才能設定記號消費者。

「授信 ID 評估器」欄位會顯示在預設連結配置以及應用程式伺服器連結配置中。

驗證 Nonce [Version 6 only]

指定是否要驗證使用者名稱記號的 Nonce。

這個選項會顯示在 Cell、伺服器和應用程式層次。只有當納入的記號類型是使用者名稱記號時,這個選項才有效。

驗證時間戳記 [Version 6 only]

指定是否要驗證使用者名稱記號的時間戳記。

這個選項會顯示在 Cell、伺服器和應用程式層次。只有當納入的記號類型是使用者名稱記號時,這個選項才有效。

值類型本端名稱 [Version 6 only]

針對耗用的記號,指定值類型的本端名稱。

這個產品預先定義了使用者名稱記號和 X.509 憑證安全記號的值類型本端名稱。 請針對使用者名稱記號和 X.509 憑證安全記號,使用下列本端名稱。當您指定下列本端名稱時,不需指定值類型的統一資源識別碼 (URI):
使用者名稱記號
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
X509 憑證記號
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
PKIPath 中的 # X509 憑證
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
PKCS#7 中的 X509 憑證和 CRL 清單
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
小型認證機構 (LTPA)
LTPA_PROPAGATION
重要: 如果是小型認證機構 (LTPA),值類型本端名稱為 LTPA。如果您輸入 LTPA 作為本端名稱,您也必須在「值類型 URI」欄位中指定 http://www.ibm.com/websphere/appserver/tokentype/5.0.2 的 URI 值。如果是 LTPA 記號傳送,值類型本端名稱為 LTPA_PROPAGATION。 如果您輸入 LTPA_PROPAGATION 作為本端名稱,您也必須在「值類型 URI」欄位中指定 http://www.ibm.com/websphere/appserver/tokentype 的 URI 值。如果是其他預先定義的值類型(使用者名稱記號、X509 憑證記號、PKIPath 中的 X509 憑證,以及 PKCS#7 中 X509 憑證和 CRL 的清單),則「本端名稱」欄位的值會以 http:// 開頭。比方說,如果您指定使用者名稱記號作為值類型,請在「值類型本端名稱」欄位中輸入 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken,且不需在「值類型 URI」欄位中輸入值。

當您對自訂記號指定自訂值類型時,您可以指定值類型之完整名稱的本端名稱和 URI。例如,您可以指定 Custom 作為本端名稱,並指定 http://www.ibm.com/custom 作為 URI。

值類型 URI [Version 6 only]

指定整合記號之值類型的名稱空間 URI。

當您指定使用者名稱記號或 X.509 憑證安全記號的記號消費者時,不需指定這個選項。如果您要指定另一個記號,請指定值類型之完整名稱的 URI。

應用程式伺服器會提供以下預先定義的值類型 URI:
  • LTPA 記號:http://www.ibm.com/websphere/appserver/tokentype/5.0.2
  • LTPA 記號傳送:http://www.ibm.com/websphere/appserver/tokentype



標示(線上)的鏈結表示需要存取網際網路。

相關工作
相關參考
記號消費者集合
記號產生者集合
記號產生者配置設定
[AIX Solaris HP-UX Linux Windows] [z/OS] JAAS 配置設定


檔名: uwbs_tokenconsumern.html