Standardbindung
Die Standardbindungsinformationen sind in der Datei ws-security.xml definiert und können mit der Administrationskonsole oder Scripts verwaltet werden. Es werden nur Standardbindungen für JAX-RPC-Anwendungen unterstützt. Standardbindungen für JAX-WS-Anwendungen werden nicht unterstützt.
- Serverebene
- Zellenebene
Sie können die folgenden Bindungsinformationen in der Datei ws-security.xml definieren:
- Trust-Anchor (Truststore)
- Trust-Anchor enthalten Keystore-Informationen mit Trusted-Root-Zertifikaten. Sie werden für die Validierung der Zertifikatpfade eingehender Sicherheitstoken im X.509-Format verwendet.
- Der Trust-Anchor-Name wird in der Bindungsdatei (ibm-webservices-bnd.xmi und ibm-webservicesclient-bnd-xmi, wenn Web-Services als Client ausgeführt werden) verwendet, um auf den in den Standardbindungsinformationen definierten Trust-Anchor zu verweisen. Der Name des Trust-Anchor muss in der Sammlung der Trust-Anchor eindeutig sein.
- Zertifikatssammelspeicher
- Der Zertifikatssammelspeicher umfasst eine Liste ungesicherter Zwischenzertifikate und wird für die Validierung der Zertifikatpfade eingehender Sicherheitstoken im X.509-Format verwendet. Der Standardprovider ist IBMCertPath.
- Der Name des Zertifikatsspeichers wird in der Bindungsdatei (ibm-webservices-bnd.xmi und ibm-webservicesclient-bnd.xmi, wenn Web-Services als Client ausgeführt werden) verwendet, um auf den in den Standardbindungsinformationen definierten Zertifikatsspeicher zu verweisen. Der Name des Zertifikatsspeichers muss in der Sammlung der Zertifikatssammelspeicher eindeutig sein.
- Key-Locator
- Key-Locator sind eine Implementierung der Schnittstelle "com.ibm.wsspi.wssecurity.config.KeyLocator". Die Schnittstelle wird verwendet, um Schlüssel für Signatur oder Verschlüsselung abzurufen. Kundenimplementierungen können die Key-Locator-Schnittstelle erweitern, um Schlüssel mit anderen Methoden abrufen zu können. WebSphere Application Server stellt Implementierungen bereit, um einen Schlüssel aus dem Keystore abzurufen, eine authentifizierte Identität einem Schlüssel im Keystore zuzuordnen oder einen Schlüssel aus dem Unterzeichnerzertifikat abzurufen (Zuordnung und Abruf von Aktionen werden für die Verschlüsselung der Antwort verwendet).
- Der Key-Locator-Name wird in der Bindungsdatei (ibm-webservices-bnd.xmi und ibm-webservicesclient-bnd.xmi, wenn Web-Services als Client ausgeführt werden) verwendet, um auf den in den Standardbindungsinformationen definierten Key-Locator zu verweisen. Der Key-Locator-Name muss in der Sammlung der Key Locator in den Standardbindungsinformationen eindeutig sein.
- Trusted-ID-Evaluator
- Trusted-ID-Evaluator sind eine Implementierung der Schnittstelle "com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator". Diese Schnittstelle wird verwendet, um sicherzustellen, dass die identitätszusichernde Instanz vertrauenswürdig ist. Sie können den Trusted-ID-Evaluator auch erweitern, um das Vertrauensverhältnis zu validieren. WebSphere Application Server stellt eine Standardimplementierung für die Validierung des Vertrauensverhältnisses bereit, die sich auf eine vordefinierte Liste von Identitäten stützt.
- Der Trusted-ID-Evaluator-Name wird in der Bindungsdatei (ibm-webservices-bnd.xmi) verwendet, um auf den in den Standardbindungsinformationen definierten Trusted-ID-Evaluator zu verweisen. Der Trusted-ID-Evaluator-Name muss in der Gruppe der Trusted-ID-Evaluator eindeutig sein.
- Anmeldezuordnungen
- Anmeldezuordnungen definieren die Zuordnung der Authentifizierungsmethode zur JAAS-Anmeldekonfiguration (Java™ Authentication and Authorization Service). Die Zuordnungen werden verwendet, um das eingehende Sicherheitstoken zu authentifizieren, das in den Nachrichtenheader der SOAP-Nachricht für Web Services Security eingebettet ist. Die JAAS-Anmeldekonfiguration wird in der Administrationskonsole unter definiert.
- WebSphere Application Server definiert die folgenden Authentifizierungsmethoden:
- BasicAuth
- Authentifiziert Benutzernamen und Kennwort.
- Signature
- Ordnet den definierten Namen (DN) des Subjekts im Zertifikat einem Berechtigungsnachweis von WebSphere Application Server zu.
- IDAssertion
- Ordnet die Identität einem Berechtigungsnachweis von WebSphere Application Server zu.
- LTPA
- Authentifiziert ein LTPA-Token (Lightweight Third Party Authentication).
- Diese Methode kann erweitert werden, damit auch angepasste Sicherheitstoken authentifiziert werden. Dazu müssen Sie eine angepasste JAAS-Anmeldekonfiguration angeben und mit dem com.ibm.wsspi.wssecurity.auth.module.WSSecurityMappingModule die von WebSphere Application Server geforderten Principals und Berechtigungsnachweise erstellen.
- Wenn LoginConfig (AuthMethod) im Implementierungsdeskriptor für IBM® Erweiterungen (ibm-webservices-ext.xmi) definiert ist, aber keine Bindungen für Anmeldezuordnungen (ibm-webservices-bnd.xmi) für die AuthMethod definiert sind, verwendet die Laufzeit von Web Services Security die in den Standardbindungsinformationen definierte Anmeldezuordnung.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
WebSphere Application Server Network Deployment
Wenn WebSphere Application Server in eine Network-Deployment-Zelle eingebunden ist, wird die Standardbindungsdatei (ws-security.xml) des Servers (zusammen mit anderen Konfigurationsdaten der Serverebene) zur neuen Zelle hinzugefügt. Wenn Sie die Standardbindung der Zellenebene verwenden, müssen die Einträge der Standardbindung auf Serverebene entfernt werden.

Die Reihenfolge für die Standardbindungsinformationen ist Bindung auf Anwendungsebene, Bindung auf Serverebene und Standardbindung auf Zellenebene.