Impostazioni token di protezione (generatore o consumer)

Utilizzare questa pagina per configurare i token di protezione. I token di protezione firmano i messaggi per proteggere l'integrità o codificano gli stessi per fornire riservatezza.

È possibile aggiungere le impostazioni token di protezione per le parti di messaggio quando si modifica il provider generale o i collegamenti della serie di politiche client. È possibile anche configurare dei collegamenti specifici per l'applicazione per i token e le parti di messaggio richiesti dalla serie di politiche.

Per visualizzare la pagina della console di gestione quando si modifica un collegamento provider generale, completare le seguenti azioni:
  1. Fare clic su Servizi > Serie di politiche > Bind serie di politiche del provider generale .
  2. Fare clic sul nome del collegamento che si desidera modificare.
  3. Fare clic sulla politica WS-Security nella tabella delle politiche.
  4. Fare clic sul link Autenticazione e protezione nella sezione dei collegamenti della politica di sicurezza.
  5. Fare clic su Nuovo token per creare un nuovo generatore o consumer token o fare clic su un link generatore o consumer esistente dalla tabella Token di protezione.
Per visualizzare la pagina della console di gestione quando si modifica un collegamento client generale, completare le seguenti azioni:
  1. Fare clic su Servizi > Serie di politiche > Bind delle serie di politiche client generale .
  2. Fare clic sul nome del collegamento che si desidera modificare.
  3. Fare clic sulla politica WS-Security nella tabella delle politiche.
  4. Fare clic sul collegamento Autenticazione e protezione nella sezione sul collegamento della politica di sicurezza del messaggio principale.
  5. Fare clic su Nuovo token per creare un nuovo generatore o consumer di token o fare clic su un collegamento token del consumer o generatore dalla tabella dei token di protezione.
Per visualizzare questa pagina della console di gestione quando si configurano collegamenti specifici dell'applicazioni per i token e le parti di messaggio richiesti dal set di politiche, completare le seguenti azioni:
  1. Fare clic su Applicazioni > Applicazioni enterprise WebSphere .
  2. Selezionare un'applicazione che contiene servizi Web. L'applicazione deve contenere un provider o un client di servizi.
  3. Fare clic sul collegamento Serie di politiche e collegamenti del provider di servizi o Serie di politiche e collegamenti del client di servizi nella sezione delle proprietà dei servizi Web.
  4. Selezionare un collegamento. Il collegamento deve avere una serie di politiche precedentemente allegata ed assegnarvi un collegamento.
  5. Fare clic sulla politica WS-Security nella tabella delle politiche.
  6. Fare clic sul link Autenticazione e protezione nella sezione dei collegamenti della politica di sicurezza.
  7. Fare clic sul collegamento del token generatore o consumer dalla tabella dei token di protezione.

Questo pannello della console di gestione è valido solo per applicazioni JAX-WS (Java API for XML Web Services).

Nome servlet

Specifica il nome del generatore o consumer di token. Immettere il nome in questo campo quando si crea un nuovo token.

Tipo token

Specifica il tipo di token. Quando si utilizzano i collegamenti, il tipo di token viene determinato dalla politica e non può essere modificato.

I valori validi sono:
  • LPTA Token V2.0
  • SCT (Secure Conversation Token) V1.3
  • SCT (Secure Conversation Token) V200502
  • X509V3 Token V1.1
  • X509V3 Token V1.0
  • X509PKCS7 Token V1.1
  • X509PKCS7 Token V1.0
  • X509PkiPathV1 Token V1.1
  • X509PkiPathV1 Token V1.0
  • X509V1 Token V1.1
  • Token personalizzato
Il tipo di token SCT (Secure Conversation Token) v200502 per la politica WS-Security rappresenta il requisito per il token SCT definito nel livello del febbraio 2005 della specifica WS-SecureConversation.
Applicare la versione del token
Nome locale

Specifica il nome locale di un generatore o consumer di token personalizzato. Il campo Nome locale viene riempito in base al tipo di token visualizzato. Utilizzare questo campo per modificare solo tipi di token personalizzati.

Se il tipo di token personalizzato viene utilizzato per generare un token Kerberos come definito in OASIS Web Services Security Specification for Kerberos Token Profile V1.1, utilizzare uno dei valori riportati di seguito per il nome locale. Il valore da selezionare dipende dal livello di specifica del token Kerberos generato dal centro di distribuzione chiavi. La seguente tabella elenca i valori e il livello di specifica associato con ogni valore. Per una maggiore interoperabilità, lo standard Basic Security Profile V1.1 richiede l'uso del nome locale http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ.

Valore del nome locale per il token Kerberos Livello di specifica associato
http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerb erosv5_AP_REQ Kerberos v5 AP-REQ come definito nella specifica Kerberos. Utilizzare questo valore quando il ticket Kerberos è una richiesta AP.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ Token del meccanismo GSS-API Kerberos V5 che contiene un messaggio KRB_AP_REQ come definito in RFC-1964 [1964], Sec. 1.1 e il suo successore RFC-4121, Sec. 4.1. Utilizzare questo valore quando il ticket Kerberos è una richiesta AP (ST + Authenticator).
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510 Kerberos v5 AP-REQ come definito in RFC1510. Utilizzare questo valore quando il ticket Kerberos è una richiesta AP per RFC1510.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510 Token del meccanismo GSS-API Kerberos V5 che contiene un messaggio KRB_AP_REQ come definito in RFC-1964, Sec. 1.1 e il suo successore RFC-4121, Sec. 4.1. Utilizzare questo valore quando il ticket Kerberos è una richiesta AP (ST + Authenticator) per RFC1510.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120 Kerberos v5 AP-REQ come definito in RFC4120. Utilizzare questo valore quando il ticket Kerberos è una richiesta AP per RFC4120.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120 Token del meccanismo GSS-API Kerberos V5 che contiene un messaggio KRB_AP_REQ come definito in RFC-1964, Sec. 1.1 e il successivo, RFC-4121, Sec. 4.1. Utilizzare questo valore quando il ticket Kerberos è una richiesta AP (ST + Authenticator) per RFC4120.
URI

Specifica l'URI (uniform resource identifier) del generatore o consumer di token personalizzati. Il campo URI viene riempito in base al tipo di token visualizzato. Utilizzare questo campo per modificare solo tipi di token personalizzati.

Lasciare vuoto questo campo se il tipo di token personalizzato è utilizzato per generare un token Kerberos come definito in OASIS Web Services Security Specification for Kerberos Token Profile V1.1.

Login JAAS

Specifica le informazioni sul login di applicazione JAAS (Java Authentication and Authorization Service). Fare clic su Nuovo per aggiungere un nuovo login di applicazione JAAS o una voce di login di sistema JAAS.

Se il server si trova in un dominio di sicurezza che include specifici login del sistema o dell'applicazione, tali login sono elencati nel menu Login JAAS, in aggiunta ai login globali.

Nuovo login dell'applicazione
Proprietà personalizzate - Nome

Specifica il nome della proprietà personalizzata. Le proprietà personalizzate non vengono visualizzate inizialmente in questa colonna, fino a quando non vengono aggiunte.

Selezionare una delle seguenti azioni per le proprietà personalizzate:

Pulsante Azione risultante
Nuovo Crea una nuova voce di proprietà personalizzata. Per aggiungere una proprietà personalizzata, immettere il nome e il valore:
Modifica Specifica che è possibile modificare la proprietà personalizzata selezionata. Selezionare questa azione per fornire campi di immissione e creare l'elenco dei valori della cella per la modifica. Il pulsante Modifica non è disponibile finché non si è aggiunta almeno una proprietà personalizzata.
Elimina Rimuove la proprietà selezionata.
Se il tipo di token personalizzato viene utilizzato per generare un token Kerberos, specificare le seguenti proprietà personalizzate:
Nome proprietà personalizzato Valore
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Specifica il nome del servizio di destinazione.
com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Specifica il nome host che è associato con il servizio di destinazione.
com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Specifica il nome del realm che è associato con il servizio di destinazione.
Per il generatore token, la combinazione del nome del servizio target e il nome host di destinazione forma un SPN (Service Principal Name), che rappresenta il nome principale del servizio Kerberos di destinazione. Il client Kerberos richiede il token Kerberos AP_REQ per SPN.

quando le applicazioni del servizio Web Microsoft richiedono dei messaggi utilizzando un token Kerberos, è necessario configurare una proprietà personalizzata nei bind della politica per il token AP_REQ Kerberos V5 per generare e utilizzare il token. Aggiungere la proprietà personalizzata com.ibm.wsspi.wssecurity.kerberos.attach.apreq ai bind consumer del token di servizio e generatore del token client. L'abilitazione di questa proprietà consente all'applicazione di generare e utilizzare il token AP_REQ Kerberos per ogni messaggio di richiesta dei servizi Web. Per ulteriori informazioni, fare riferimento all'argomento sui suggerimenti per la risoluzione dei problemi di sicurezza.

Proprietà personalizzate - Valore

Specifica il valore della proprietà personalizzata. Utilizzare il campoValore per inserire, modificare o eliminare il valore per la proprietà personalizzata.

Gestore callback

Dopo aver applicato e salvato tutte le configurazioni nella pagina dei token di protezione, si visualizza questa sezione e si collega alle impostazioni di configurazione per il gestore delle richiamate. Fare clic su questo collegamento per specificare le impostazioni del gestore delle richiamate che determinano come vengono acquisiti i token di protezione dalle intestazioni di messaggio.

Tollerare la SCT (secure conversation token) V200502

Il tipo di token SCT (secure conversation token) V200502 per la politica WS-Security rappresenta il requisito per il token SCT definito nel livello del febbraio 2005 della specifica WS-SecureConversation. Questa opzione specifica se il provider gestisce entrambi secure conversation token V1.3 e secure conversation token V200502. Per impostazione predefinita, il provider gestisce entrambi le versioni. È possibile modificare questo funzionamento deselezionando la casella di spunta in modo tale che il provider gestirà solo il token V1.3.

Nota: Questa casella di controllo viene visualizzata solo nel riquadro del consumer del token del provider di servizi.
Tipo dati Casella di controllo
Intervallo Selezionato o cancellato
Valore predefinito Selezionato



I collegamenti contrassegnati (online) richiedono un accesso a Internet.

Attività correlate
Riferimenti correlati
Impostazioni gestore richiamate
Raccolta serie di politiche applicazione
Impostazioni serie di politiche applicazione
Ricerca raccolta applicazioni allegate
Impostazioni collegamenti serie di politiche


Nome file: uwbs_wsspsbpt.html