Angepasste Eigenschaften für Web Services Security
Sie können Name/Wert-Paare von Daten konfigurieren, bei denen der Name ein Eigenschaftsschlüssel und der Wert ein Zeichenfolgewert ist und die Sie verwenden können, um interne Systemkonfigurationseigenschaften festzulegen. Durch die Definition neuer Eigenschaften können Sie Einstellungen konfigurieren, die nicht über Optionen in der Administrationskonsole verfügbar sind.
Angepasste Eigenschaften für Web Services Security können auf verschiedenen Ebenen des Anwendungsservers sowie für JAX-RPC- und JAX-WS-Anwendungen definiert werden. Die folgende Liste angepasster Eigenschaften enthält Informationen dazu, wo die einzelnen angepassten Eigenschaften definiert und wie sie verwendet werden.
Informationen zu den angepassten Eigenschaften für das generische Sicherheitstokenanmeldemodul von Web Services Security und den angepassten Eigenschaften für das SAML-Token von Web Services Security finden Sie in anderen Artikeln. Links zu diesen Artikeln finden Sie im Abschnitt mit den Referenzinformationen in diesem Artikel.
Sie können die folgenden angepassten Eigenschaften von Web Services Security definieren:
- com.ibm.websvcs.client.serializeSecurityContext
- com.ibm.ws.wssecurity.createSTR
- com.ibm.ws.wssecurity.dsig.SignatureAlgorithm
- com.ibm.ws.wssecurity.sc.FaultCode
- com.ibm.wsspi.wssecurity.Caller.assertionLoginConfig
- com.ibm.wsspi.wssecurity.config.disableWSSIfApplicationSecurityDisabled
- com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens
- com.ibm.wsspi.wssecurity.config.request.setMustUnderstand und com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne
- com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure
- com.ibm.wsspi.wssecurity.consumer.timestampRequired
- com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces
- com.ibm.wsspi.wssecurity.dsig.oldEnvelopedSignature
- com.ibm.wsspi.wssecurity.enc.MTOM.Optimize
- com.ibm.wsspi.wssecurity.generator.useWSSObject
- com.ibm.wsspi.wssecurity.krbtoken.clientRealm
- com.ibm.wsspi.wssecurity.krbtoken.loginPrompt
- com.ibm.wsspi.wssecurity.login.useSoap12FaultCodes
- com.ibm.wsspi.wssecurity.nonce.includeEncodingType
- com.ibm.wsspi.wssecurity.token.cert.useRequestorCert
- com.ibm.wsspi.wssecurity.token.enableCaptureTokenContext
- com.ibm.wsspi.wssecurity.token.enableCaptureTokenInboundMsg
- com.ibm.wsspi.wssecurity.token.forwardable
- com.ibm.wsspi.wssecurity.token.IDAssertion.isUsed
- com.ibm.wsspi.wssecurity.token.IDAssertion.useRunAsIdentity
- com.ibm.wsspi.wssecurity.token.username.addNonce und com.ibm.wsspi.wssecurity.token.username.addTimestamp
- com.ibm.wsspi.wssecurity.token.username.emitPasswordDigest
- com.ibm.wsspi.wssecurity.token.username.password.forwardable
- com.ibm.wsspi.wssecurity.token.username.verifyNonce und com.ibm.wsspi.wssecurity.token.username.verifyTimestamp
- com.ibm.wsspi.wssecurity.token.UsernameToken.digestPasswordCallbackHandler
- com.ibm.wsspi.wssecurity.token.UsernameToken.disableUserRegistryCheck
- com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule.disableUserRegistryCheck
- com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7
- com.ibm.wsspi.wssecurity.useMTOMWithCustomComponents
com.ibm.websvcs.client.serializeSecurityContext
javax.xml.ws.BindingProvider bp;
bp.getRequestContext().put("com.ibm.websvcs.client.serializeSecurityContext", "false");
Information | Wert |
---|---|
Datentyp | String |
Werte | True, False |
Standardeinstellung | True |
com.ibm.ws.wssecurity.createSTR
Bei Angabe des Werts True erstellt die Eigenschaft "com.ibm.ws.wssecurity.createSTR" eine Sicherheitstokenreferenz zu dem Sicherheitstoken im SOAP-Sicherheitsheader.
- Als Mechanismus für die Referenzierung für die Tokensignatur wird STR Dereference Transform, http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform, verwendet.
- Das Element "SignedParts" für die WS-Security-Richtlinie enthält einen "XPath"-Wert, der die Sicherheitstokenreferenz ("SecurityTokenReference") angibt.
Diese Eigenschaft wird als angepasste Eigenschaft im SAML-Tokengenerator konfiguriert. Sie wird nicht im Callback-Handler konfiguriert.
Information | Wert |
---|---|
Datentyp | String |
Werte | True, False |
Standardeinstellung | False |
Der Wert für diese Eigenschaft ist unabhängig von der Groß-/Kleinschreibung.
com.ibm.ws.wssecurity.dsig.SignatureAlgorithm
Verwenden Sie diese angepasste Eigenschaft, um eine digitale Signatur zu konfigurieren. Sie können die WS-Security-Laufzeit für die Verwendung des SHA-2-Signaturalgorithmus aktivieren.
Legen Sie für JAX-WS-Anwendungen die folgende angepasste Eigenschaft im Abschnitt mit den Signaturdaten der Anforderung oder der Antwort fest, um den SHA-2-Signaturalgorithmus zu aktivieren. Stellen Sie beim Konfigurieren dieser angepassten Eigenschaft sicher, dass für den Client und für den Provider derselbe Wert verwendet wird.
Information | Wert |
---|---|
Datentyp | String |
Werte | rsa-sha256, rsa-sha384, rsa-sha512, hmac-sha256, hmac-sha384, hmac-sha512 oder dsa-sha256 |
- Klicken Sie auf Service-Provider. oder
- Klicken Sie auf .
- Klicken Sie unter Richtlinie auf WS-Security.
- Klicken Sie unter Bindungen für Nachrichtensicherheitsrichtlinie auf Authentifizierung und Zugriffsschutz.
- Klicken Sie unter
Zugriffsschutz durch Signatur und Verschlüsselung der Anforderungsnachricht oder
Zugriffsschutz durch Signatur und Verschlüsselung der Antwortnachricht auf
signature_message_part_reference.
Wenn Sie auf den Namen von signature_message_part_reference (Referenz des zu signierenden Nachrichtenabschnitts) klicken, greifen Sie damit auf die Konfiguration für die Bindung des signierten Nachrichtenabschnitts zu.
- Legen Sie die angepasste Eigenschaft fest, z. B. com.ibm.ws.wssecurity.dsig.SignatureAlgorithm, und geben Sie als Eigenschaftswert den gewünschten Algorithmus mit einem der in der vorherigen Tabelle angegebenen Werte ein.
com.ibm.ws.wssecurity.sc.FaultCode
Verwenden Sie diese angepasste Eigenschaft in einem JAAS-Anmeldemodul, um den SOAP-Fehlercode festzulegen, der für einen Fehler verwendet werden soll. Wird diese Eigenschaft nicht angegeben, wird immer der SOAP-Fehler "wsse:FailedAuthentication" zurückgegeben.
Setzen Sie im angepassten JAAS-Anmeldemodul die Eigenschaft "com.ibm.ws.wssecurity.sc.FaultCode" im wssecurity-Kontext auf den QName des Fehlercodes, der verwendet werden soll. Beispiel:
fcQname = new QName(
"http://schemas.xmlsoap.org/ws/2003/06/secext",
"FailedCheck");
this._context = propertyCallback.getProperties();
_context.put("com.ibm.ws.wssecurity.sc.FaultCode", fcQname);
Information | Wert |
---|---|
Datentyp | String |
Standardeinstellung | ohne |
com.ibm.wsspi.wssecurity.Caller.assertionLoginConfig
Die Eigenschaft "com.ibm.wsspi.wssecurity.Caller.assertionLoginConfig", die auf der Seite des Callers konfiguriert wird, gibt den Namen der JAAS-Anmeldekonfiguration an, die von Web Services Security verwendet wird, um Berechtigungsnachweise für WebSphere Application Server abzurufen. Sie müssen diese Eigenschaft mit einem Assembliertool wie Rational Application Developer konfigurieren. Weitere Informationen finden Sie im Artikel zur Konfiguration des Callers in den Integritätsbedingungen für die Sicherheit des Konsumenten für Rational Application Developer. In diesem Artikel wird diese angepasste Eigenschaft gesetzt, wenn Sie die Identitätszusicherung konfigurieren.
Verwenden Sie diese Eigenschaft nur für JAX-RPC-Anwendungen der WS-Security Version 1.0.
Information | Wert |
---|---|
Datentyp | String |
Standardeinstellung | system.DEFAULT |
com.ibm.wsspi.wssecurity.config.disableWSSIfApplicationSecurityDisabled
Wenn Sie für die angepasste Eigenschaft "com.ibm.wsspi.wssecurity.config.disableWSSIfApplicationSecurityDisabled" den Wert true festlegen, setzt Web Services Security die konfigurierten WS-Security-Vorgaben nicht um, wenn die Anwendungssicherheit auf dem Anwendungsserver inaktiviert ist. Sie können diese angepasste Eigenschaft verwenden, um für Services in einer nicht gesicherten Umgebung eine Fehlerbehebung (Debug) durchzuführen, ohne dass Sie dazu die Sicherheitsbedingungen aus den Web-Service-Anwendung entfernen müssen.

Information | Wert |
---|---|
Datentyp | String |
Werte | true, false |
Standardeinstellung | false |
- Klicken Sie auf .
- Klicken Sie auf Allgemeine Providerrichtliniensatzbindungen oder Allgemeine Clientrichtliniensatzbindungen.
- Klicken Sie auf den Bindungsnamen.
- Klicken Sie unter "Richtlinie" auf .
- application.parameters
- application.securityinboundbinding config.properties
com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens
Die angepasste Eigenschaft "com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens" legt fest, ob "UsernameToken" laufend zwischengespeichert werden sollen (Standardverhalten) oder ob sie entsprechend eines Regelwerks zwischengespeichert werden sollen. Sie können diese angepasste Eigenschaft für den Tokengenerator oder als zusätzliche Eigenschaft konfigurieren.
- "UsernameToken" werden niemals zwischengespeichert, wenn die Anwendung auf einem Anwendungsserver ausgeführt wird.
- "UsernameToken" werden zwischengespeichert, wenn für den Tokengenerator der "UsernameToken" der folgende Callback-Handler konfiguriert ist: "com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler".
Diese angepasste Eigenschaft gilt nur für die JAX-RPC-Laufzeit. Verwenden Sie ein Assembliertool wie Rational Application Developer, um die angepasste Eigenschaft in den Bindungen für verschlüsselte Nachrichtenabschnitte festzulegen.
Information | Wert |
---|---|
Datentyp | String |
Werte | true, false |
Standardeinstellung | false |
com.ibm.wsspi.wssecurity.config.request.setMustUnderstand und com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne
Mit diesen beiden angepassten Eigenschaften kann der Administrator die Einstellung des Attributs mustUnderstand im SOAP-Sicherheitsheader steuern. Diese Eigenschaften werden als angepasste Eigenschaften für abgehende Anforderungen festgelegt.
- com.ibm.wsspi.wssecurity.config.request.setMustUnderstand
Die angepasste Eigenschaft com.ibm.wsspi.wssecurity.config.request.setMustUnderstand gibt die mustUnderstand-Einstellung in abgehenden Konsumentenanforderungen an. Wenn die Eigenschaft den Wert "0" (null), "no" oder "false" hat, wird das Attribut "mustUnderstand" nicht im WS-Security-Header in abgehenden Konsumentenanforderungen gesetzt.
Information Wert Datentyp String Wert 0, no, false Standardeinstellung true In SOAP-Nachrichten ist der Standardwert für das Attribut "mustUnderstand" 0 (null). Gemäß der SOAP-Spezifikation darf das Attribut nicht in der Nachricht enthalten sein, wenn das Attribut den Wert 0 hat.
Fehler vermeiden: Die Anweisungen für das Festlegen der Eigenschaft com.ibm.wsspi.wssecurity.config.request.setMustUnderstand sind mit den Anweisungen für die Eigenschaft com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne identisch und unten aufgelistet.gotcha
- com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne
Die angepasste Eigenschaft com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne gibt an, dass der Provider immer mit eine Attribut mustUnderstand="1" im SOAP-Sicherheitsheader antworten muss. Wenn die Eigenschaft den Wert "1", "yes" oder "true" hat, antwortet der Provider mit dem Attribut mustUnderstand="1" im WS-Security-Header. Der Standardwert des Attributs ist "false".
Information Wert Datentyp String Wert 1, yes, true Standardeinstellung false Standardmäßig enthält die Antwort dasselbe Attribut "mustUnderstand" wie die Anforderung. Wenn die eingehende Anforderung beispielsweise "mustUnderstand="1"" enthält, enthält auch die Antwort "mustUnderstand="1"". Wenn eine Anforderung kein Attribut "mustUnderstand" enthält, enthält auch die Antwort kein Attribut "mustUnderstand".
Für JAX-WS-Anwendungen können die angepassten Eigenschaften com.ibm.wsspi.wssecurity.config.request.setMustUnderstand und com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne als angepasste Eigenschaften für eingehende, für abgehende oder für eingehende und abgehende Nachrichten festgelegt werden. Führen Sie in der Administrationskonsole die folgenden Schritte aus, um die angepasste Eigenschaften anzugeben:- Klicken Sie auf .
- Klicken Sie auf Allgemeine Providerrichtliniensatzbindungen oder Allgemeine Clientrichtliniensatzbindungen.
- Klicken Sie auf den Bindungsnamen.
- Klicken Sie unter "Richtlinie" auf .
Die angepassten Eigenschaften com.ibm.wsspi.wssecurity.config.request.setMustUnderstand und com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne können auch mit dem Tool "wsadmin" als Parameter oder als Bindungseigenschaften für abgehende Anforderungen in Ihrer Anwendung festgelegt werden. Die folgenden Eigenschaftsnamen für den WS-Security-Richtlinientyp werden in der Funktion "setBinding" verwendet:- application.parameters
- application.securityinboundbindingconfig.properties
Für JAX-RPC-Anwendungen können Sie beide Eigenschaften an den folgenden Positionen in der Administrationskonsole definieren:- Klicken Sie auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.Klicken Sie unter "JAX-RPC-Standardgeneratorbindungen" auf Eigenschaften. . Klicken Sie unter "Sicherheit" auf
- Klicken Sie auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.Klicken Sie unter "Angepasste Eigenschaften" auf Angepasste Eigenschaften. . Klicken Sie unter "Sicherheit" auf
Wenn Sie in Assembliertool für eine JAX-RPC-Anwendung der WS-Security Version 1.0 verwenden, können Sie die angepasste Eigenschaft com.ibm.wsspi.wssecurity.config.request.setMustUnderstand in der Erweiterung oder Bindung des Sicherheitsanforderungsgenerators definieren. Sie können die angepasste Eigenschaft com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne in der Erweiterung oder Bindung des Antwortgenerators definieren. Eine Einstellung in der Bindung hat Vorrang vor einer Einstellung in der Erweiterung.
Wenn Sie ein Assembliertool für eine JAX-RPC-Anwendung der Stufe WS-Security Specification Draft 13 verwenden, können Sie die angepasste Eigenschaft com.ibm.wsspi.wssecurity.config.request.setMustUnderstand als Parameter in der portqualifizierten Namensbindung definieren. Sie können die angepasste Eigenschaft com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne als Parameter in der Portkomponentenbindung definieren.
com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure
Die angepasste Eigenschaft "com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure" gibt an, ob ein Truststore nach dem Starten eines Anwendungsservers erneut geladen werden kann.
Ein Truststore ist ein Keystore (Schlüsselspeicher). JAX-WS WS-Security erkennt die Aktualisierung eines Keystores standardmäßig nicht, wenn der Anwendungsserver aktiv ist. Aus Leistungsaspekten werden Keystores im Hauptspeicher zwischengespeichert, wenn eine Anwendung gestartet wird. Da der Cache von Anwendungen gemeinsam genutzt wird, selbst wenn eine einzelne Anwendung gestoppt wird, bleiben die Keystores dieser Anwendung im Cache. Wenn ein anerkanntes Zertifikat, das von einem X.509-Tokenkonsumenten verwendet wird, einem Truststore nach dem Start des Anwendungsservers hinzugefügt wird, schlägt die Trustvalidierung deshalb fehl.
Wenn Sie die Eigenschaft "com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure" auf true setzen und eine Trustvalidierung stattfindet, lädt die WS-Security-Laufzeitumgebung den konfigurierten Truststore erneut und wiederholt die Trustvalidierung. Der erneut geladene Truststore wird nur für diesen einen Versuch einer erneuten Validierung verwendet. Das Keystoreobjekt im Cache wird nicht ersetzt, weil das Ersetzen des Keystoreobjekts Probleme aufgrund der Parallelität verursachen könnte.
Schlägt auch der zweite Validierungsversuch fehl, wird ein Trustvalidierungsfehler an den Client zurückgegeben.

com.ibm.wsspi.wssecurity.consumer.timestampRequired
Die Eigenschaft "com.ibm.wsspi.wssecurity.consumer.timestampRequired" legt fest, ob im Sicherheitsheader der Antwort keine Zeitmarke (Timestamp) erwartet wird, wenn für die WS-Security-Richtlinie die Einstellung Zeitmarke in Sicherheitsheader einfügen ausgewählt ist.
Die JAX-WS-WS-Security-Laufzeit wurde aktualisiert, um die Anforderung der Spezifikation OASIS WS-SecurityPolicy 1.2 bezüglich der erforderlichen Angabe einer Zeitmarke ("Timestamp Required") zu erfüllen. Wenn Sie eine Anwendung so konfigurieren möchten, dass sie keine Zeitmarke für eingehende Nachrichten erfordert, wenn eine Zeitmarke für abgehende Nachrichten konfiguriert ist, können Sie die angepasste Eigenschaft "com.ibm.wsspi.wssecurity.consumer.timestampRequired" in Ihre WS-Security-Einstellungen aufnehmen und auf den Wert false setzen. Wird diese Eigenschaft auf false gesetzt, wird im Sicherheitsheader für eine Antwort auch dann keine Zeitmarke erwartet, wenn als Einstellung für die WS-Security-Richtlinie Zeitmarke in Sicherheitsheader einfügen ausgewählt ist.
Der Standardwert für diese Eigenschaft ist "true".

Information | Wert |
---|---|
Datentyp | Boolean |
Standardeinstellung | true |
com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces
Diese angepasste Eigenschaft, die sowohl für JAX-RPC- als auch für JAX-WS-Anwendungen gilt, gibt an, ob die inklusive Namespacepräfixliste für digitale XML-Signaturen inaktiviert werden soll. WebSphere Application Server schließt das Präfix standardmäßig in die digitale Signatur für Web Services Security ein. Sie können diese angepasste Eigenschaft auf "false" setzen, wenn inklusive Namespaces nicht als Element definiert werden sollen. Einige Implementierungen von Web Services Security können diese Präfixliste nicht verarbeiten. Sollte ein Fehler bei der Signaturvalidierung auftreten, wenn eine signierte SOAP-Nachricht gesendet wird und Sie einen anderen Anbieter in Ihrer Umgebung verwenden, suchen Sie zusammen mit Ihrem Service-Provider nach einer möglichen Korrektur der Implementierung, bevor Sie die Eigenschaft inaktivieren.
- Klicken Sie auf .
- Klicken Sie auf .
- Klicken Sie unter "Web Services Security-Eigenschaften" auf Web-Services: Clientsicherheitsbindungen oder auf Web-Services: Serversicherheitsbindungen.
- Klicken Sie unter "Bindung für Anforderungsgenerator (Sender)" bzw. "Bindung für Antwortgenerator (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie unter "Erforderliche Eigenschaften" auf .
- Geben Sie die angepasste Eigenschaft und ihren Wert an.
- Klicken Sie auf oder .
- Klicken Sie auf .
- Klicken Sie unter "Richtlinie" auf WS-Security.
- Klicken Sie unter "Bindungen für Nachrichtensicherheitsrichtlinie" auf Authentifizierung und Zugriffsschutz.
- Klicken Sie unter "Zugriffsschutz durch Signatur und Verschlüsselung der Anforderungsnachricht" oder "Zugriffsschutz durch Signatur und Verschlüsselung der Antwortnachricht" auf Referenz_des_zu_signierenden_Nachrichtenabschnitts. Wenn Sie auf den Namen der Referenz_des_zu_signierenden_Nachrichtenabschnitts klicken, greifen Sie damit auf die Konfiguration für die Bindung des signierten Nachrichtenabschnitts zu.
- Geben Sie die angepasste Eigenschaft und ihren Wert an.
com.ibm.wsspi.wssecurity.dsig.oldEnvelopedSignature
Verwenden Sie diese Eigenschaft zusammen mit der angepassten JVM-Eigenschaft com.ibm.wsspi.wssecurity.dsig.enableEnvelopedSignatureProperty, um festzulegen, dass die WS-Security-Laufzeit für die Erstellung der digitalen XML-Signatur abgehender Anforderungen oder für die Prüfung der digitalen XML-Signatur eingehender Anforderungen den Digest-Wert so berechnen soll wie in Version 7.0.0.21 und früheren Versionen. Weitere Informationen finden Sie in den Beschreibungen der angepassten JVM-Eigenschaften (Java™ Virtual Machine), in denen angegeben ist, wann die entsprechende angepasste JVM-Eigenschaft verwendet werden sollte.
Diese Eigenschaft wird für die WS-Security-Richtliniensatzbindungen als angepasste Eigenschaft für eingehende, für ausgehende oder für eingehende und ausgehende Nachrichten festgelegt.
com.ibm.wsspi.wssecurity.enc.MTOM.Optimize
Wenn Sie Message Transmission Optimization Mechanism (MTOM) für den Verschlüsselungstext der verschlüsselten Daten verwenden möchten, legen Sie für diese angepasste Eigenschaft den Wert true fest. Diese Eigenschaft wird in den WS-Security-Richtlinienbindungen der abgehenden verschlüsselten Abschnitte für Clientanforderungen bzw. Serverantworten festgelegt.
com.ibm.wsspi.wssecurity.generator.useWSSObject
Diese angepasste Eigenschaft legt fest, wie die WS-Security-Laufzeit den in einer abgehenden SOAP-Nachricht gesendeten SOAP-Sicherheitsheader erstellt. Standardmäßig verwendet die Laufzeit einen Schnellzugriffspfad, indem sie WSS-Objektdarstellungen (Web Services Security) nutzt, um den Sicherheitsheader zu erstellen. Alternativ dazu können Axis2-Laufzeit und -Objekte verwendet werden, um den Sicherheitsheader zu erstellen.
Diese Eigenschaft wird in den WS-Security-Richtliniensatzbindungen als angepasste Eigenschaft für abgehende Nachrichten oder als angepasste Eigenschaft für eingehende und abgehende Nachrichten festgelegt. Diese Eigenschaft kann auf true oder false gesetzt werden. Wenn diese Eigenschaft auf true gesetzt ist, werden WSS-Objekte verwendet, um den Sicherheitsheader zu erstellen. Wenn diese Eigenschaft auf false gesetzt ist, werden Axis2-Objekte verwendet, um den Sicherheitsheader zu erstellen.
Werden sowohl WS-Security-Richtlinien als auch WS-Addressing-Richtlinien für eingehende und abgehende Nachrichten verwendet, kann ein Fehler auftreten, bei dem das Element "Body" im Header-Element in der abgehende SOAP-Nachricht erscheint. Wenn dieser Fehler auftritt, setzen Sie die angepasste Eigenschaft "com.ibm.wsspi.wssecurity.generator.useWSSObject" auf "false".
Die Standardeinstellung ist "true".
com.ibm.wsspi.wssecurity.krbtoken.clientRealm
Diese angepasste Eigenschaft des JAX-WS-Kerberos-Tokengenerators gibt den Namen des Kerberos-Realms an, der dem Client zugeordnet ist, und ermöglicht dem Kerberos-Clientrealm, die Kerberos-Anmeldung einzuleiten.
Diese Eigenschaft ist für eine einzelne Kerberos-Realmumgebung optional, sie nimmt standardmäßig den Standardnamen des Kerberos-Realms an. Wenn Sie Web Services Security in einer das Kerberos-Realm übergreifenden Umgebung oder einer anerkannten Kerberos-Realmumgebung implementieren, müssen Sie einen Wert für diese Eigenschaft angeben.
Diese Eigenschaft wird als angepasste Eigenschaft im Callback-Handler eines Kerberos-Tokengenerators festgelegt. Um diese Eigenschaft über die Administrationskonsole festzulegen, klicken Sie auf Bindungsname > WS-Security > Authentifizierung und Zugriffsschutz > Name_des_Kerberos-Tokens > Callback-Handler. Für eine Anwendung, die die WSS-API (WS-Security) verwendet, kann diese Eigenschaft auch im Kerberos-Callback-Handler für den Tokengenerator festgelegt werden.
com.ibm.wsspi.wssecurity.krbtoken.loginPrompt
Geben Sie für diese angepasste Eigenschaft des JAX-WS-Kerberos-Tokengenerators den Wert true an, um die Kerberos-Anmeldung zu aktivieren.
Diese Eigenschaft wird als angepasste Eigenschaft im Callback-Handler eines Kerberos-Tokengenerators festgelegt. Um diese Eigenschaft über die Administrationskonsole festzulegen, klicken Sie auf Bindungsname > WS-Security > Authentifizierung und Zugriffsschutz > Name_des_Kerberos-Tokens > Callback-Handler. Für eine Anwendung, die die WSS-API (WS-Security) verwendet, kann diese Eigenschaft auch im Kerberos-Callback-Handler für den Tokengenerator festgelegt werden.
Der Standardwert für diese Eigenschaft ist false.
com.ibm.wsspi.wssecurity.login.useSoap12FaultCodes
Die angepasste Eigenschaft "com.ibm.wsspi.wssecurity.login.useSoap12FaultCodes" gibt an, ob die WS-Security-Laufzeitumgebung aktualisiert wird, um den richtigen SOAP-1.2-Fehlercode auszugeben, wenn ein Fehler in einer Antwort auf eine SOAP-1.2-Nachricht zurückgegeben wird.
Wenn Sie diese Eigenschaft auf true setzen, gibt die WS-Security-Laufzeitumgebung einen SOAP-1.2-Fehlercode in der Antwort auf eine SOAP-1.2-Nachricht zurück.
Wenn Sie diese Eigenschaft auf false setzen, gibt die WS-Security-Laufzeitumgebung einen SOAP-1.1-Fehlercode in der Antwort auf eine SOAP-1.2-Nachricht zurück.
Der Standardwert für diese Eigenschaft ist "true".
Diese Eigenschaft muss für eine bestimmte Bindung als angepasste WS-Security-Eigenschaft des Typs Inbound oder Inbound and Outbound definiert werden.
<?xml version="1.0" encoding="UTF-8"?>
<soapenv:Envelope xmlns:soapenv=" http://www.w3.org/2003/05/soap-envelope">
<soapenv:Body>
<soapenv:Fault>
<soapenv:Code>
<soapenv:Value>soapenv:Sender</soapenv:Value>
<soapenv:Subcode>
<soapenv:Value xmlns:axis2ns1="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
axis2ns1:FailedAuthentication</soapenv:Value>
</soapenv:Subcode>
</soapenv:Code>
<soapenv:Reason>
<soapenv:Text>CWWSS6521E: Die Anmeldung ist wegen einer
Ausnahme fehlgeschlagen: javax.security.auth.login.LoginException:
CWWSS7062E: Fehler beim Überprüfen des Benutzernamens [user1] und des Kennworts in
der UserRegsitry: WSSUserRegistryProcessor.checkRegistry()=false
</soapenv:Text>
</soapenv:Reason>
<soapenv:Detail></soapenv:Detail>
</soapenv:Fault>
</soapenv:Body>
</soapenv:Envelope>
com.ibm.wsspi.wssecurity.nonce.includeEncodingType
Diese angepasste JAX-WS-Eigenschaft wird der WebSphere-WS-Security-Laufzeit hinzugefügt, um anzugeben, dass den Nonce-Elementen ein EncodingType-Attribut hinzugefügt werden soll. Wenn diese angepasste Eigenschaft auf true gesetzt ist, wird das Alltribut EncodingType allen Nonce-Elementen im SOAP-Sicherheitsheader hinzugefügt.
- Angepasste Eigenschaften für abgehende Nachrichten
- Angepasste Eigenschaften für eingehende und abgehende Nachrichten
com.ibm.wsspi.wssecurity.token.cert.useRequestorCert
Wenn diese angepasste JAX-WS-Eigenschaft auf true gesetzt ist, wird das Zertifikat des Unterzeichners der SOAP-Anforderung verwendet, um die SOAP-Antwort zu verschlüsseln. Dieser Prozess wird als Verschlüsselung des Unterzeichnerzertifikats bezeichnet.
Diese Eigenschaft wird als angepasste Eigenschaft im Callback-Handler des Verschlüsselungstokengenerators festgelegt. Um diese Eigenschaft über die Administrationskonsole festzulegen, klicken Sie auf Bindungsname > WS-Security > Authentifizierung und Zugriffsschutz > Tokenname > Callback-Handler. Für eine Anwendung, die die WSS-API (WS-Security) verwendet, kann diese Eigenschaft auch im Callback-Handler für den Tokengenerator festgelegt werden.
Der Standardwert für diese Eigenschaft ist false.
com.ibm.wsspi.wssecurity.token.enableCaptureTokenContext
Diese Eigenschaft gibt an, ob ein Tokenkonsument und/oder Tokengenerator sein Token aus dem tokenHolder im Nachrichtenkontext abrufen darf.
Diese Eigenschaft ist nur gültig für JAX-WS-Anwendungen.
Gültige Werte für diese Eigenschaft sind "true" und "false". Der Standardwert ist false.
- Klicken Sie auf .
- Klicken Sie auf Allgemeine Providerrichtliniensatzbindungen oder Allgemeine Clientrichtliniensatzbindungen.
- Klicken Sie auf den Bindungsnamen.
- Klicken Sie unter der Überschrift "Richtlinie" auf .
- Fügen Sie diese Eigenschaft und den zugehörigen Wert den Feldern Name und Wert hinzu.
com.ibm.wsspi.wssecurity.token.enableCaptureTokenInboundMsg
Diese Eigenschaft gibt an, ob ein Tokenkonsument und/oder Tokengenerator sein Token aus den Sicherheitstoken (SecurityToken) in der ankommenden Nachricht abrufen darf. Wenn die ankommende Nachricht mehrere Token enthält, die mit dem Wertetyp des Tokengenerators übereinstimmen, wird ein unbestimmtes Token ausgewählt.
Diese Eigenschaft ist nur gültig für JAX-WS-Anwendungen.
Gültige Werte für diese Eigenschaft sind "true" und "false". Der Standardwert ist false.
Weitere Informationen zur tokenHolder-Liste finden Sie unter "passThroughToken" in der Beschreibung von "com.ibm.wsspi.wssecurity.core.config.IssuedTokenConfigConstants".
- Klicken Sie auf .
- Klicken Sie auf Allgemeine Providerrichtliniensatzbindungen oder Allgemeine Clientrichtliniensatzbindungen.
- Klicken Sie auf den Bindungsnamen.
- Klicken Sie unter der Überschrift "Richtlinie" auf .
- Fügen Sie diese Eigenschaft und den zugehörigen Wert den Feldern Name und Wert hinzu.
com.ibm.wsspi.wssecurity.token.forwardable
Verwenden Sie diese angepasste Eigenschaft bei der Konfiguration von SecurityToken-Konsumentenbindungen für das Programmiermodell JAX-WS, um anzugeben, ob das empfangende Token an andere Server weitergegeben wird. Wenn Sie den Wert true für diese Eigenschaft angeben, aktivieren Sie das Token für die Weitergabe an andere Server. Wenn Sie den Wert false für diese Eigenschaft angeben, wird das Token nicht an andere Server weitergegeben. Der Standardwert ist true, und die Groß-/Kleinschreibung muss nicht beachtet werden.
com.ibm.wsspi.wssecurity.token.IDAssertion.isUsed
Diese Eigenschaft ist für die Verwendung in einem Szenario mit Identitätszusicherung vorgesehen. Setzen Sie diese Eigenschaft in der Callback-Handler-Konfiguration für das Identitätstoken auf "true".
Wenn diese Eigenschaft in einem Generator für Benutzernamenstoken (UsernameToken Generator) auf true gesetzt wird, kann der Generator ein Benutzernamenstoken ohne Kennwort ausgeben. Für die restliche Identitätszusicherungskonfiguration ist die Verwendung dieser Eigenschaft mit dem Generator oder Konsumenten von Benutzernamenstoken nicht erforderlich.
Information | Wert |
---|---|
Datentyp | String |
Werte | true, false |
Standardeinstellung | false |
com.ibm.wsspi.wssecurity.token.IDAssertion.useRunAsIdentity
Diese Eigenschaft wird vom Generator der Benutzernamenstoken verwendet. Wird diese Eigenschaft im Callback-Handler des Generators für Benutzernamenstoken auf true gesetzt, wird der Name des Principals aus dem aktuellen RunAs-Subjekt als Benutzername im Benutzernamenstoken verwendet. Wenn diese Eigenschaft auf true gesetzt wird, muss die Bassissicherheit aktiviert sein und für den aktuellen Ausführungsthread muss ein RunAS-Subjekt definiert sein, damit im Benutzernamenstoken ein Benutzername ungleich null definiert werden kann.
Außerdem muss bei Angabe von "IDAssertion.useRunAsIdentity=true" auch "IDAssertion.isUsed=true" angegeben werden.
Information | Wert |
---|---|
Datentyp | String |
Werte | true, false |
Standardeinstellung | false |
com.ibm.wsspi.wssecurity.token.username.addNonce und com.ibm.wsspi.wssecurity.token.username.addTimestamp
Wenn Sie ein Benutzernamenstoken für das JAX-WS-Programmiermodell als Schutz vor Attacken durch Nachrichtenaufzeichnung und -wiederholung konfigurieren, wird dringend empfohlen, der Callback-Handler-Konfiguration für die Tokengenerierung die angepassten Eigenschaften com.ibm.wsspi.wssecurity.token.username.addNonce und com.ibm.wsspi.wssecurity.token.username.addTimestamp hinzuzufügen. Diese angepassten Eigenschaften aktivieren und prüfen Nonce und Zeitmarke für die Nachrichtenauthentifizierung. Die Eigenschaften müssen auf den Wert true gesetzt sein.
com.ibm.wsspi.wssecurity.token.username.emitPasswordDigest
Diese Eigenschaft ermöglicht es dem Modul "UNTGenerateLoginModule" das Kennwort zu verarbeiten und für ein Benutzernamenstokens ("UsernameToken") den Kennworttyp ("PasswordType") "#PasswordDigest" anstelle von "#PasswordText" auszugeben.
- Klicken Sie auf .
- Klicken Sie auf Allgemeine Providerrichtliniensatzbindungen oder Allgemeine Clientrichtliniensatzbindungen.
- Klicken Sie auf den Bindungsnamen.
- Klicken Sie unter der Einstellung Richtlinie auf
- Fügen Sie diese Eigenschaft und den zugehörigen Wert in den Feldern Name und Wert unter "Angepasste Eigenschaften" hinzu.
Information | Wert |
---|---|
Werte | true, false |
Standardeinstellung | false |
com.ibm.wsspi.wssecurity.token.username.password.forwardable
Wenn Sie UsernameToken-Konsumentenbindungen für das Programmiermodell JAX-WS konfigurieren, geben Sie mit dieser angepassten Eigenschaft an, ob das Kennwort während der Weitergabe des UsernameToken zusammen mit dem UsernameToken an andere Server weitergegeben wird. Wenn Sie den Wert true für diese Eigenschaft angeben, wird das Kennwort während der Weitergabe beibehalten. Wenn Sie den Wert false für diese Eigenschaft angeben, muss das Kennwort vor der Weitergabe des UsernameToken entfernt werden. Der Standardwert ist true, und die Groß-/Kleinschreibung muss nicht beachtet werden.
com.ibm.wsspi.wssecurity.token.username.verifyNonce und com.ibm.wsspi.wssecurity.token.username.verifyTimestamp
Wenn Sie ein Benutzernamenstoken für das JAX-WS-Programmiermodell als Schutz vor Attacken durch Nachrichtenaufzeichnung und -wiederholung konfigurieren, wird dringend empfohlen, der Callback-Handler-Konfiguration für den Tokenkonsumenten die angepassten Eigenschaften com.ibm.wsspi.wssecurity.token.username.verifyNonce und com.ibm.wsspi.wssecurity.token.username.verifyTimestamp hintzuzufügen. Diese angepassten Eigenschaften aktivieren und prüfen Nonce und Zeitmarke für die Nachrichtenauthentifizierung. Die Eigenschaften müssen auf den Wert true gesetzt sein.
com.ibm.wsspi.wssecurity.token.UsernameToken.digestPasswordCallbackHandler
Diese angepasste Eigenschaft definiert eine angepasste Callback-Handler-Klasse, die in einem Benutzernamenstokenkonsumenten verwendet werden kann, der den Kennworttyp #PasswordDigest verarbeitet. Der Callback-Handler muss für die Anwendung verfügbar sein und die Schnittstelle "javax.security.auth.callback.CallbackHandler" implementieren. Der Wert für das Element "Username" (Benutzername) im Benutzernamenstokenkonsumenten wird in einem Objekt des Typs "javax.security.auth.callback.NameCallback" an den Callback-Handler übermittelt. Das Kennwort, das dem Benutzername zugeordnet ist, wird in einem Objekt des Typs "javax.security.auth.callback.PasswordCallback" zurückgegeben. Das zurückgegebene Kennwort wird verarbeitet und dann mit dem Kennwortwert im Benutzernamenstokenkonsumenten verglichen.
Diese Eigenschaft wird als angepasste Eigenschaft im Callback-Handler des Benutzernamenstokens konfiguriert. Weitere Informationen finden Sie im Artikel Benutzernamenstoken mit PasswordDigest konsumieren.
com.ibm.wsspi.wssecurity.token.UsernameToken.disableUserRegistryCheck
Diese Eigenschaft ermöglicht in JAX-WS das Überspringen der Benutzerregistry-Prüfung für Identitätstoken. Das bedeutet, dass der Benutzername, der dem Identitätstoken zugeordnet ist, in einem Szenario mit Identitätszusicherung über das UNTConsumeLoginModule weitergegeben werden kann, ohne dass ein Registry-Fehler generiert wird. Gewöhnlich darf ein Identitätstoken kein Kennwort enthalten, kann aber ein Tusttoken enthalten. Es kann beispielsweise "blindes Vertrauen" herrschen.
Diese Eigenschaft hat keine Auswirkung auf Benutzernamenstoken (UsernameToken), die ein Kennwort enthalten.
Wenn Sie die Registry-Prüfung für ein Benutzernamenstoken, das ein Kennwort enthält, umgehen müssen, lesen Sie die Informationen unter "Authentifizierungsmethode des Konsumenten des Benutzernamenstokens mit einem JAAS-Anmeldemodul in einem Stack ersetzen". Wenn für das Benutzernamenstoken eine Caller-Konfiguration erforderlich ist, lesen Sie die Informationen unter "Caller-Konfiguration des Benutzernamenstokens ohne Registry-Interaktion konfigurieren".
Wenn die Eigenschaft auf "true" gesetzt wird, validiert das UNTConsumeLoginModule das eingehende Benutzernamenstoken nur dann, wenn dieses kein Kennwort enthält.
Gültige Werte für diese Eigenschaft sind "true" und "false". Der Standardwert ist false.
- Klicken Sie auf .
- Klicken Sie auf Allgemeine Providerrichtliniensatzbindungen oder Allgemeine Clientrichtliniensatzbindungen.
- Klicken Sie auf den Bindungsnamen.
- Klicken Sie unter der Überschrift "Richtlinie" auf .
- Fügen Sie diese Eigenschaft und den zugehörigen Wert den Feldern Name und Wert hinzu.
com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule.disableUserRegistryCheck
Diese Eigenschaft ermöglicht in JAX-RPC das Überspringen der Benutzerregistry-Prüfung für Benutzernamenstoken. Das bedeutet, dass der Benutzername das UsernameLoginModule durchläuft, ohne einen Registrierungsfehler zu generieren.
Gültige Werte für diese Eigenschaft sind "true" und "false". Der Standardwert ist false.
Diese Eigenschaft kann den angepassten Eigenschaften des Moduls com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule in der JAAS-Konfiguration für "wssecurity.UsernameToken" hinzugefügt werden oder den angepassten Eigenschaften in der JAAS-Konfiguration des Konsumenten von Benutzernamenstoken für die Provideranwendung.
com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7
Web Services Security unterstützt sowohl Token der LTPA Version 1 als auch Token der LTPA Version 2 (LTPA2). Das LTPA2-Token, das sicherer ist als das Token der Version 1, wird nur von der JAX-WS-Laufzeitumgebung unterstützt. Sie können die Interoperabilitätsoption Tokenversion erzwingen im Tokengenerator definieren, um festzulegen, ob ein LTPA- (Version 1) oder ein LTPA2-Token abgerufen wird, wenn eine Anforderungsnachricht empfangen wird. Wenn Sie jedoch erzwingen möchten, dass die Laufzeitumgebung nur LTPA-Token (Version 1) verwendet, können Sie die angepasste Eigenschaft "com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7" auf "true" setzen.
- Suchen Sie die Bindung, die Sie konfigurieren möchten.
- Klicken Sie in der Tabelle "Richtlinien" auf die WS-Security-Richtlinie.
- Klicken Sie im Abschnitt mit den Sicherheitsrichtlinienbindungen auf den Link "Authentifizierung und Zugriffsschutz".
- Klicken Sie auf den Tokengenerator, den Sie konfigurieren möchten.
- Geben Sie im Abschnitt "Angepasste Eigenschaften" die Eigenschaft "com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7" mit dem Wert "true" an.
Wert der angepassten Eigenschaft "com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7" | Wert für Tokenversion erzwingen | Ergebnis |
---|---|---|
false | Inaktiviert | Die Laufzeitumgebung kann LTPA- (Version 1) und LTPA2-Token verwenden. |
Nicht angegeben; impliziert den Wert "false" | Inaktiviert | Die Laufzeitumgebung kann LTPA- (Version 1) und LTPA2-Token verwenden. |
true | Inaktiviert | Die Laufzeitumgebung kann nur LTPA-Token (Version 1) verwenden. |
true | Aktiviert | Die Laufzeitumgebung kann nur LTPA-Token (Version 1) verwenden. |
Weitere Informationen finden Sie in der Dokumentation zum Aktivieren und Inaktivieren des SSO-Interoperabilitätsmodus für das LTPA-Token.
com.ibm.wsspi.wssecurity.useMTOMWithCustomComponents
Setzen Sie diese angepasste JAX-WS-Eigenschaft auf "true", wenn Nachrichten, die fälschlicherweise MTOM einschließen, base64Binary-Daten im XML-Dokument enthalten. Wenn diese Eigenschaft auf "true" gesetzt ist, wird die WS-Security-Laufzeit keine Dokumentelemente vorzeitig erweitern und zusammensetzen. Diese Eigenschaft wird entweder als angepasste Eigenschaft für abgehende Nachrichten oder für eingehende und abgehende Nachrichten in den WS-Security-Clientrichtliniensatzbindungen angegeben. Der Standardwert für diese Eigenschaft ist "false".