Gibt den Namen der Implementierungsklasse für den Callback-Handler an, mit der ein Sicherheitstoken-Framwork implementiert
wird.
Die angegebene Callback-Handler-Klasse muss die Klasse "javax.security.auth.callback.CallbackHandler"
implementieren. Die Implementierung der JAAS-Schnittstelle "javax.security.auth.callback.CallbackHandler"
muss mit der folgenden Syntax einen Konstruktor bereitstellen:
MyCallbackHandler(String Benutzername, char[] Kennwort, java.util.Map Eigenschaften)
Für diese Angaben gilt Folgendes:
- Benutzername
- Gibt den Benutzernamen an, der an die Konfiguration übergeben wird.
- Kennwort
- Gibt das Kennwort an, das an die Konfiguration übergeben wird.
- Eigenschaften
- Gibt die übrigen Konfigurationseigenschaften an, die an die Konfiguration übergeben werden.
Der Anwendungsserver stellt die folgenden Standardimplementierungen für Callback-Handler bereit:
- com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
- Dieser Callback-Handler fordert den Benutzernamen und das Kennwort in einem Anmeldedialog an. Wenn Sie in dieser Anzeige den Benutzernamen und das Kennwort angeben, wird jedoch keine
Eingabeaufforderung angezeigt. Der Anwendungsserver gibt den in dieser Anzeige angegebenen Benutzernamen und das Kennwort
an den Tokengenerator zurück.
Sie sollten
diese Implementierung nur für einen Java-EE-Anwendungsclient (Java Platform, Enterprise Edition) verwenden.
- com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
- Dieser Callback-Handler setzt keine Eingabeaufforderung ab und gibt den in dieser Anzeige angegebenen Benutzernamen und das
Kennwort zurück. Diesen Callback-Handler können Sie verwenden, wenn der Web-Service die Rolle eines Clients
hat.
- com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
- Dieser Callback-Handler fordert den Benutzernamen und das Kennwort mit einer Stdin-Eingabeaufforderung an. Wenn der Benutzername und das Kennwort in dieser Anzeige angegeben sind,
setzt der Anwendungsserver jedoch keine Eingabeaufforderung ab, sondern gibt den Benutzernamen und das Kennwort an den Tokengenerator
zurück. Sie sollten
diese Implementierung nur für einen Java-EE-Anwendungsclient (Java Platform, Enterprise Edition) verwenden.
- com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
- Dieser Callback-Handler fordert den Benutzernamen und das Kennwort mit einer Stdin-Eingabeaufforderung an. Wenn der Benutzername und das Kennwort in dieser Anzeige angegeben sind,
setzt der Anwendungsserver jedoch keine Eingabeaufforderung ab, sondern gibt den Benutzernamen und das Kennwort an den Tokengenerator
zurück. Sie sollten
diese Implementierung nur für einen Java-EE-Anwendungsclient (Java Platform, Enterprise Edition) verwenden.
- com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
- Mit diesem Callback-Handler können Sie das LTPA-Sicherheitstoken aus dem
Subjekt des RunAs-Aufrufs anfordern. Dieses Token wird als binäres Sicherheitstoken in den Sicherheits-Header für
Web-Services einer SOAP-Nachricht eingefügt. Wenn der Benutzername und das Kennwort jedoch in dieser Anzeige angegeben sind,
authentifiziert der Anwendungsserver diese beiden Angaben, um
das LTPA-Sicherheitstoken anzufordern. Verwenden Sie diesen Callback-Handler nur, wenn der Web-Service für den Anwendungsserver
die Rolle eines Clients
hat. Sie sollten diesen Callback-Handler nicht für einen
Java-EE-Anwendungsclient verwenden.
- com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
- Mit diesem Callback-Handler können Sie das X.509-Zertifikat erstellen,
das als binäres Sicherheitstoken in den Sicherheits-Header für
Web-Services einer SOAP-Nachricht eingefügt wird. Für diesen Callback-Handler sind ein Keystore und eine Schlüsseldefinition erforderlich.
- com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
- Mit diesem Callback-Handler werden X.509-Zertifikate erstellt, die mit Format
PKCS#7 codiert sind. Das Zertifikat wird als binäres Sicherheitstoken in den Sicherheits-Header für
Web-Services einer SOAP-Nachricht eingefügt. Für diesen Callback-Handler ist ein Keystore erforderlich. Sie müssen im
Zertifikatssammelspeicher eine Liste der entzogenen Zertifikate (CRL, Certificate Revocation List) angeben. Die CRL wird mit dem X.509-Zertifikat
im Format PKCS#7 codiert.
- com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
- Mit diesem Callback-Handler werden X.509-Zertifikate erstellt, die mit Format
PkiPath codiert sind. Das Zertifikat wird als binäres Sicherheitstoken in den Sicherheits-Header für
Web-Services einer SOAP-Nachricht eingefügt. Für diesen Callback-Handler ist ein Keystore erforderlich. Der Callback-Handler unterstützt keine CRL. Deshalb wird auch
kein Zertifikatssammelspeicher benötigt oder verwendet.
Die Callback-Handler-Implementierung ruft das erforderliche Sicherheitstoken ab und übergibt es an den
Tokengenerator. Der Tokengenerator fügt das Sicherheitstoken in den Sicherheits-Header für
Web-Services einer SOAP-Nachricht ein. Der Tokengenerator ist gleichzeitig der Plug-in-Punkt für das modular aufgebaute Sicherheitstoken-Framwork. Serviceprovider können ihre eigene Implementierung bereitstellen. Diese muss jedoch das die Schnittstelle
"com.ibm.websphere.wssecurity.wssapi.token.SecurityToken" verwenden. Die Implementierung des JAAS-Anmeldemoduls (Java Authentication and
Authorization Service) wird verwendet, um das Sicherheitstoken auf Generatorseite zu erstellen bzw.
das Sicherheitstoken auf Konsumentenseite zu validieren (authentifizieren).