Client- und Providerbindungen für das SAML-Hok-Token mit symmetrischem Schlüssel
Konfigurieren Sie Client- und Providerrichtliniensatzzuordnungen und -bindungen für das SAML-HoK-Token (HoK = holder-of-key). Dieses Konfigurationsszenario verwendet einen symmetrischen Schlüssel.
Vorbereitende Schritte
Informationen zu diesem Vorgang
Die SAML-Tokenrichtlinie wird durch eine Erweiterung des Typs "CustomToken" im Anwendungsserver definiert. Zum Erstellen der Erweiterung "CustomToken" definieren Sie die SAML-Tokenkonfigurationsparameter als angepasste Eigenschaften im Dokument mit den Client- und Providerbindungen. Die Beispiele für allgemeine Bindungen, "Saml HoK Symmetric Client sample" und "Saml HoK Symmetric Provider sample", enthalten die erforderliche Konfiguration für die angepassten Eigenschaften. Die Client- und Providerbeispielbindungen enthalten Konfigurationsinformationen sowohl für den SAML11- als auch für den SAML20-Tokentyp und können daher sowohl mit SAML11- als auch mit SAML20-Richtliniensätzen verwendet werden. Die Eigenschaftswerte in den installierten Bindungsbeispielen müssen je nach Art der Implementierung, die für die SAML-Token geplant ist, geändert werden. Beispiele für Eigenschaften und Eigenschaftswerte werden in der Prozedur bereitgestellt.
Die Prozedur zum Ändern des Bindungsbeispiels beginnt mit der Konfiguration der Richtliniensatzzuordnung des Web-Service-Clients und konfiguriert dann die Richtliniensatzzuordnung des Web-Service-Providers. Das in der Prozedur enthaltene Beispiel verwendet die Web-Service-Anwendung "JaxWSServicesSamples".
Vorgehensweise
- Importieren Sie zwei
Standardrichtliniensätze:
"SAML20 HoK Symmetric WSSecurity
default" und "Username WSHTTPS default".
- Klicken Sie auf Services > Richtliniensätze > Anwendungsrichtliniensätze.
- Klicken Sie auf Importieren.
- Wählen Sie Aus Standardrepository aus.
- Wählen Sie die beiden Standardrichtliniensätze aus.
- Klicken Sie auf OK, um die Richtliniensätze zu importieren.
- Ordnen Sie einen Richtliniensatz für den Trust-Client zu.
Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > JaxWSServicesSamples >
Richtliniensätze und Bindungen für Service-Clients. Die Schritte für das Zuordnen und Freigeben des Richtliniensatzes sowie das Konfigurieren der Trust-Client-Bindung
müssen nur ausgeführt werden, wenn eine anwendungsspezifische Bindung für den Zugriff
auf den externen STS (Security Token Service) verwendet wird. Sie können diese Schritte überspringen und mit dem Schritt fortfahren,
in dem die Konfiguration der Kommunikation mit dem STS beschrieben wird, wenn Sie eine allgemeine Bindung für den Zugriff
auf die externe STS verwenden.
- Wählen Sie das Kontrollkästchen für die Web-Service-Clientressource aus.
- Klicken Sie auf Clientrichtliniensatz zuordnen.
- Wählen Sie den Richtliniensatz Username WSHTTPS default aus.
- Konfigurieren Sie die Trust-Client-Bindung.
- Wählen Sie die Web-Service-Clientressource erneut aus.
- Klicken Sie in der Anzeige "Richtliniensätze und Bindungen für Service-Client" auf Bindung zuweisen.
- Klicken Sie auf Neue anwendungsspezifische Bindung, um eine anwendungsspezifische Bindung zu erstellen.
- geben Sie einen Bindungskonfigurationsnamen für die neue anwendungsspezifische Bindung an. In diesem Beispiel ist der Bindungsname SamlTCSample.
- Fügen Sie der Bindung den Richtlinientyp SSL-Transport hinzu. Optional können Sie die NodeDefaultSSLSettings-Einstellungen ändern. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > SSL-Konfigurationen > NodeDefaultSSLSettings.
- Fügen Sie der Bindung den Richtlinientyp WS-Security hinzu, und ändern Sie anschließend
die Authentifizierungseinstellungen.
- Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > JaxWSServicesSamples > Richtliniensätze und Bindungen für Service-Client > SamlTCSample > Hinzufügen > WS-Security > Authentifizierung und Zugriffsschutz > request:uname_token.
- Klicken Sie auf Anwenden.
- Wählen Sie Callback-Handler aus.
- Geben Sie einen Benutzernamen und ein Kennwort (das Sie danach nochmal bestätigen) ein, um den Web-Service-Client beim externen STS zu authentifizieren.
- Klicken Sie auf OK und Speichern.
- Nachdem Sie die Bindungseinstellungen gespeichert haben, kehren Sie in die Anzeige "Richtliniensätze und Bindungen für Service-Client"
zurück, um die Zuordnung des Richtliniensatzes und der Bindungen aufzuheben.
- Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > JaxWSServicesSamples > Richtliniensätze und Bindungen für Service-Clients.
- Klicken Sie auf das Kontrollkästchen für die Web-Service-Clientressource.
- Klicken Sie auf Zuordnung des Clientrichtliniensatzes aufheben.
- Laden Sie die nicht eingeschränkte Standortrichtliniendatei herunter. Die Sicherheitsrichtlinie "SAML20 HoK Symmetric WSSecurity default" verwendet den 256-Bit-Chiffrierschlüssel, für den die nicht eingeschränkte JCE-Richtliniendatei (Java Cryptography Extension) erforderlich ist. Weitere Informationen hierzu finden Sie im Abschnitt "Nicht eingeschränkte JCE-Richtliniendateien verwenden" im Artikel "Web Services Security optimieren".
- Ordnen Sie den Richtliniensatz
"SAML20 HoK Symmetric WSSecurity default" zu und weisen Sie die Bindung
"Saml HoK Symmetric Client sample" der Clientressource zu.
- Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > JaxWSServicesSamples > Richtliniensätze und Bindungen für Service-Clients.
- Wählen Sie die Web-Service-Clientressource aus.
- Klicken Sie auf Clientrichtliniensatz zuordnen.
- Wählen Sie den Richtliniensatz SAML20 HoK Symmetric WSSecurity default aus.
- Wählen Sie die Web-Service-Clientressource erneut aus.
- Klicken Sie in der Anzeige "Richtliniensätze und Bindungen für Service-Client" auf Bindung zuweisen.
- Wählen Sie die allgemeine Bindung Saml HoK Symmetric Client sample aus.
- Klicken Sie auf Speichern.
- Konfigurieren Sie den
STS-Endpunkt-URL sowie den Benutzernamen und das Kennwort, um den STS zu authentifizieren.
- Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > JaxWSServicesSamples > Richtliniensätze und Bindungen für Service-Clients > Saml HoK Symmetric Client sample > WS-Security > Authentifizierung und Zugriffsschutz.
- Klicken Sie in der Tabelle der Token für Zugriffsschutz auf gen_saml20token.
- Klicken Sie auf Callback-Handler.
- Ändern Sie die Eigenschaft stsURI, und geben Sie den STS-Endpunkt an. Wenn Sie keinen externen STS verwenden und der Anwendungsserver selbst eine Hok-Zusicherung mit einem symmetrischen Schlüssel ausstellen soll, führen Sie diesen Schritt nicht aus, und fahren Sie mit Schritt 8i fort.
- Falls erforderlich, ändern Sie die Eigenschaft wstrustClientPolicy und legen Sie als Wert Username WSHTTPS default fest.
- Ändern Sie die Eigenschaft wstrustClientBinding, indem Sie den Wert in die anwendungsspezifische Bindung ändern, die in den vorherigen Schritten erstellt wurde. In diesem Beispiel ist der Wert SamlTCSample. In diesem Schritt wird der WS-Trust-Clientrichtliniensatz zugeordnet. Sie können diesen Schritt überspringen, wenn der Server nicht automatisch über den WS-Trust-Client ein SAML-Token aus dem STS anfordern soll.
- Ändern Sie den Wert der Eigenschaft wstrustClientBindingScope. Diese Eigenschaft legt fest, wie der Anwendungsserver nach der Bindung sucht. Setzen Sie den Eigenschaftswert auf application oder domain. Wird die Eigenschaft auf den Wert "domain" (Domäne) gesetzt, sucht der Anwendungsserver die Bindung "wstrustClientBinding" in der Dateisystemposition, die die Dokumente mit allgemeinen Bindungen enthält. Wird die Eigenschaft auf den Wert "application" (Anwendung) gesetzt, sucht der Anwendungsserver die Bindung "wstrustClientBinding" in der Dateisystemposition, die die Dokumente mit anwendungsspezifischen Bindungen enthält. Wird die Eigenschaft "wstrustClientBindingScope" nicht angegeben, ist das Standardverhalten für den Anwendungsserver wie folgt festgelegt: zunächst sucht der Anwendungsserver nach anwendungsspezifischen Bindungen und anschließend nach allgemeinen Bindungen. Wenn die Bindung "wstrustClientBinding" nicht lokalisiert werden kann, verwendet der Anwendungsserver die Standardbindungen.
- Prüfen Sie, ob für die Eigenschaft confirmationMethod der Wert Holder-of-Key angegeben ist.
- Prüfen Sie, ob für die Eigenschaft keyType der Wert http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey bzw. der Alias symmetrickey angegeben ist. Die Eigenschaft wstrustClientWSTNamespace bestimmt, wie der Alias symmetrickey zu interpretieren ist. Im vorliegenden Fall wird für den Alias der Namespace von WS-Trust 1.3 festgelegt. Hätte der Alias symmetrickey den entsprechenden Wert von WS-Trust 1.2, würde er als http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey interpretiert werden.
- Optional: Sie können die SOAP-Version des Standard-Trust-Clients ändern, die der des Anwendungsclients entspricht. Setzen Sie die angepasste Eigenschaft wstrustClientSoapVersion auf den Wert 1.1, um zu SOAP Version 1.1 zu wechseln, oder setzen Sie die Eigenschaft auf den Wert 1.2, um zu SOAP Version 1.2 zu wechseln.
- Optional: Wenn Sie keinen externen STS verwenden und der Anwendungsserver
selbst eine Hok-Zusicherung mit einem symmetrischen Schlüssel ausstellen soll,
setzen Sie die angepasste Eigenschaft recipientAlias auf den Wert
des Schlüsselalias des Zielservice. Durch die Definition dieser Eigenschaft wird der symmetrische Schlüssel für den Zielservice geschützt.
Dieser Alias muss ein gültiger Schlüsselalias sein, der im konfigurierten Truststore des SAML-Ausstellers
enthalten ist.
Die Eigenschaft "TrustStorePath" gibt die Position der Truststoredatei an.
Die Eigenschaft "TrustStorePath" ist in der Datei SAMLIssuerConfig.properties für den Anwendungsserver definiert. Beispielsweise hat die Datei
SAMLIssuerConfig.properties auf Serverebene in
WebSphere Application Server die folgende Position:
Auf Zellenebene hat diese Datei in WebSphere Application Server folgende Position:Stammverzeichnis_des_Anwendungsservers/profiles/$PROFILE/config/cells/$CELLNAME/nodes/$NODENAME/servers/$SERVERNAME/SAMLIssuerConfig.properties
Stammverzeichnis_des_Anwendungsservers/profiles/$PROFILE/config/cells/$CELLNAME/sts/SAMLIssuerConfig.properties
- Klicken Sie auf Anwenden und Speichern.
- Optional: Wenn weitere Änderungen an der wstrustClientBinding-Konfiguration erforderlich sind und die Eigenschaft "wstrustClientBinding" auf eine anwendungsspezifische Bindung zeigt, müssen Sie die anwendungsspezifische Bindung dem Web-Service-Client zuordnen, bevor Sie die Änderungen vornehmen können. Die Zuordnung ist temporär. Wie im vorherigen Schritt erläutert, können Sie die Zuordnung der geänderten anwendungsspezifischen Bindung zum Web-Service-Client aufheben, nachdem die Änderungen abgeschlossen sind.
- Importieren Sie das SSL-Zertifikat aus dem externen STS.
- Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Sicherheitskonfigurationen für Endpunkte verwalten > Server-_oder_Knotenendpunkt > Keystores und Zertifikate > NodeDefaultTrustStore > Unterzeichnerzertifikate.
- Klicken Sie auf Von Port abrufen.
- Geben Sie den Hostnamen und die Portnummer des externen STS-Servers an, und ordnen Sie dem Zertifikat einen Alias zu. Verwenden Sie den SSL-STS-Port.
- Klicken Sie auf Unterzeichnerdaten abrufen.
- Klicken Sie auf Anwenden und Speichern, um das angerufene Zertifikat in das NodeDefaultTrustStore-Objekt zu kopieren.
- Starten Sie die Web-Service-Clientanwendung erneut, damit die Änderungen, die an der Richtliniensatzzuordnung vorgenommen wurden, wirksam werden.
- Ordnen Sie den Richtliniensatz SAML20 HoK Symmetric WSSecurity default dem Web-Service-Provider zu.
- Laden Sie die nicht eingeschränkte Standortrichtliniendatei herunter. Die Sicherheitsrichtlinie "SAML20 HoK Symmetric WSSecurity default" verwendet den 256-Bit-Chiffrierschlüssel, für den die nicht eingeschränkte JCE-Richtliniendatei (Java Cryptography Extension) erforderlich ist. Weitere Informationen hierzu finden Sie im Abschnitt "Nicht eingeschränkte JCE-Richtliniendateien verwenden" im Artikel "Web Services Security-Anwendungen optimieren".
- Ordnen sie die allgemeine Bindung Saml HoK Symmetric Provider sample zu.
- Klicken Sie auf
Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > JaxWSServicesSamples > Richtliniensätze und Bindungen für Service-Provider > Saml HoK Symmetric
Provider sample > WS-Security > Authentifizierung und Zugriffsschutz.
- Klicken Sie in der Tabelle der Authentifizierungstoken auf con_saml20token.
- Klicken Sie auf den Link Callback-Handler.
- Verwenden Sie diese Anzeige, um wie im folgenden Schritt gezeigt die Konfiguration für die Verschlüsselung des integrierten symmetrischen Schlüssels zu definieren und die Validierung der digitalen Signatur des SAML-Tokenausstellers für den externen STS zu konfigurieren.
- Konfigurieren Sie die Bindungsdaten für die Entschlüsselung des integrierten geheimen Schlüssels
oder die SAML-Zusicherung, die durch den öffentlichen Schlüssel des Empfängers geschützt wird.
Der STS muss Zugriff auf den öffentlichen Schlüssel des Empfängers haben.
Es gibt zwei Optionen, um die Schlüssel für die Entschlüsselung zu konfigurieren:
- Option 1: Konfigurieren Sie wie folgt
den Keystore und einen privaten Schlüssel:
- Prüfen Sie, ob im Feld Name des Keystores der Wert Angepasst angezeigt wird.
- Klicken Sie auf Konfiguration angepasster Keystores, um die Keystore-Konfiguration anzuzeigen und zu bearbeiten.
- Prüfen Sie, ob als Anfangswert für die Schlüsseldatei Stammverzeichnis_des_Anwendungsservers/etc/ws-security/samples/enc-service.jceks festgelegt ist.
- Option 2: Legen Sie wie folgt die angepassten
Eigenschaften im Callback-Handler fest:
Angepasste Eigenschaft Wert keyStorePath Position des Keystore. keyStoreType Passender Keystore-Typ. Unterstützte Keystore-Typen sind jks, jceks und pkcs12.
keyStorePassword Kennwort für den Keystore. keyAlias Der Alias des für die SAML-Verschlüsselung verwendeten öffentlichen Schlüssels. keyName Der Name des für die SAML-Verschlüsselung verwendeten öffentlichen Schlüssels. keyPassword Das Kennwort für den Schlüsselnamen.
- Option 1: Konfigurieren Sie wie folgt
den Keystore und einen privaten Schlüssel:
- Fügen Sie das Signaturzertifikat
des externen STS zum Truststore hinzu.
Dieser Schritt ist erforderlich, wenn die SAML-Zusicherungen
vom STS signiert sind und die angepasste Eigenschaft
signatureRequired nicht angegeben ist oder
den Wert true hat. Dieser
Truststore wird für den Service-Provider konfiguriert.
- Legen Sie den Wert der angepassten Eigenschaft trustStoreType so fest, dass er mit dem Typ des Keystore übereinstimmt. Die unterstützten Keystores sind jks, jceks und pkcs12.
- Geben Sie als Wert für die angepasste Eigenschaft trustStorePath die Position der Keystore-Datei an. Beispiel: Stammverzeichnis_des_Anwendungsservers/etc/ws-security/samples/dsig-issuer.jceks. Die Datei "dsig_issuer.jceks" wird mit der Installation von WebSphere Application Server nicht bereitgestellt und muss daher erstellt werden.
- Geben Sie als Wert für die angepasste Eigenschaft trustStorePassword den verschlüsselten Wert des gespeicherten Kennworts an. Das Kennwort wird als angepasste Eigenschaft in der Administrationskonsole gespeichert und verschlüsselt.
- Optional: Sie können die angepasste Eigenschaft trustedAlias auf einen Wert wie samlissuer setzen. Die Eigenschaft "trustedAlias" darf nicht festgelegt werden, wenn das SAML-Token von unterschiedlichen Unterzeichnern signiert wird, z. B. wenn der STS Tokenanforderungen an unterschiedliche Token-Provider delegiert und jeder Provider mit einem Zertifikat signiert. Wird diese angepasste Eigenschaft nicht angegeben, verwendet die Web-Service-Laufzeitumgebung das Signaturzertifikat in den SAML-Zusicherungen, um die Signatur zu prüfen und verifiziert das Zertifikat anschließend anhand des konfigurierten Truststore.
- Optional: Sie können für die angepasste Eigenschaft trustAnySigner den Wert true festlegen, damit keine Validierung von Unterzeichnerzertifikaten durchgeführt wird. Die Konfigurationseinstellung "Jedes Zertifikat anerkennen" wird für die Validierung der SAML-Signatur ignoriert.
- Optional: Sie können für die angepasste Eigenschaft signatureRequired den Wert false festlegen, um auf die Validierung der digitalen Signaturen zu verzichten. Bewährte Sicherheitsverfahren setzen jedoch voraus, dass SAML-Zusicherungen signiert werden und, und erfordern immer eine Validierung der digitalen Signatur des Ausstellers.
- Optional: Sie können den Empfänger so konfigurieren, dass er
den Namen des Ausstellers und/oder
den registrierten Name des Zertifikatsinhabers ("SubjectDN"), der
für den Aussteller in der SAML-Zusicherung angegeben ist, prüft. Erstellen Sie eine Liste mit Namen von anerkannten Ausstellern oder eine Liste mit anerkannten SubjectDNs für Zertifikate
oder beide Arten von Listen.
Wenn Sie sowohl Listen mit Namen der Aussteller als auch Listen mit SubjectDNs
erstellen, werden sowohl die Namen der Aussteller als auch die SubjectDNs geprüft.
Wenn der empfangene Name des SAML-Ausstellers oder SubjectDN des Unterzeichners
nicht in der Liste der anerkannten Namen enthalten ist, scheitert die SAML-Validierung, und eine Ausnahme wird ausgegeben. Dieses Beispiel zeigt, wie eine Liste mit anerkannten Ausstellern und anerkannten
SubjectDNs erstellt wird.
Verwenden Sie für jeden Namen eines anerkannten Ausstellers trustedIssuer_n, wobei n eine positive ganze Zahl ist. Verwenden Sie für jeden anerkannten SubjectDN trustedSubjectDN_n, wobei n eine positive ganze Zahl ist. Wenn Sie beide Arten von Listen erstellen, muss die ganze Zahl n in beiden Listen für dieselbe SAML-Zusicherung identisch sein. Die ganze Zahl n beginnt bei 1 und steigt um jeweils 1.
In diesem Beispiel wird eine SAML-Zusicherung mit dem Ausstellernamen WebSphere/samlissuer anerkannt, unabhängig von dem SubjectDN des Unterzeichners. Daher wird die folgende angepasste Eigenschaft hinzugefügt:<properties value="WebSphere/samlissuer" name="trustedIssuer_1"/>
Außerdem wird eine von IBM/samlissuer ausgestellte SAML-Zusicherung anerkannt, wenn der SubjectDN des Unterzeichners ou=websphere,o=ibm,c=us ist. Daher werden die folgenden angepassten Eigenschaften hinzugefügt:<properties value="IBM/samlissuer" name="trustedIssuer_2"/> <properties value="ou=websphere,o=ibm,c=us" name="trustedSubjectDN_2"/>
Standardmäßig vertraut WebSphere Application Server allen SAML-Ausstellern, wenn Sie keinen Wert vom Typ trustedIssuer_n definieren. Wenn Ihnen dieses Standardverhalten nicht bekannt ist, könnten Sie versehentlich SAML-Zusicherungen, die von einem berechtigten STS ausgegeben werden, akzeptieren.
- Optional: Sie können eine Liste mit CA-Zertifikaten (Certificate Authority, Zertifizierungsstelle), die keine Stammzertifikate sind, hinzufügen, mit denen Sie die Signatur des SAML-Tokens validieren können. Um Zertifikate hinzuzufügen, die keine Stammzertifikate sind, müssen Sie eine angepasste Eigenschaft mit dem Namen X509PATH_n hinzufügen, wobei n eine nicht negative Ganzzahl ist, die als Wert für diese Nicht-Stammzertifikate verwendet wird.
- Optional: Sie können eine Liste mit Zertifikatswiderrufslisten hinzufügen, mit denen Sie die Signatur des SAML-Tokens prüfen können. Um Zertifikatswiderruflisten hinzuzufügen, müssen Sie eine angepasste Eigenschaft mit dem Namen CRLPATH_n hinzufügen, wobei n eine nicht negative Ganzzahl ist, die als Wert für die Zertifikatswiderruflisten verwendet wird.
- Klicken Sie auf Anwenden und Speichern.
- Optional: Sie können die Caller-Bindung so konfigurieren, dass
ein SAML-Token ausgewählt wird, das die Identität des Anforderers darstellt. Die WS-Security-Laufzeitumgebung verwendet die angegebene JAAS-Anmeldekonfiguration,
um mit dem SAML-Token "NameId" oder "NameIdentifier" als Benutzernamen
den Benutzersicherheitsnamen und die Gruppenzuordnungsdaten aus der Benutzerregistry abzurufen.
- Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > JaxWSServicesSamples > Richtliniensätze und Bindungen für Service-Provider > Saml HoK Symmetric Provider sample > WS-Security > Caller.
- Klicken Sie auf Neu, um die Caller-Konfiguration zu erstellen.
- Geben Sie einen Namen an, z. B. Caller.
- Geben Sie für Lokaler Abschnitt der Caller-Identität einen Wert ein, z. B. http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0. Dies ist der lokale Abschnitt des "CustomToken"-Elements in der zugeordneten WS-Security-Richtlinie.
- Klicken Sie auf Anwenden und Speichern.
- Starten Sie die Web-Service-Provider-Anwendung erneut, damit die Änderungen in der Richtliniensatzzuordnung in Kraft treten.
Ergebnisse
Unterartikel
Konfigurationseigenschaften des SAML-Ausstellers
Wenn Sie ein neues selbst ausgestelltes SAML-Token erstellen, können Sie Konfigurationseigenschaften angeben, um die Konfiguration des Tokens zu steuern. Die Konfigurationseigenschaften sind Name/Wert-Paare, die Informationen auf der Providerseite beschreiben, wie z. B. die Position des Ausstellers und die Dateipfade der Keystores und Truststores.Konfigurationseigenschaften des SAML-Ausstellers
Wenn Sie ein neues selbst ausgestelltes SAML-Token erstellen, können Sie Konfigurationseigenschaften angeben, um die Konfiguration des Tokens zu steuern. Die Konfigurationseigenschaften sind Name/Wert-Paare, die Informationen auf der Providerseite beschreiben, wie z. B. die Position des Ausstellers und die Dateipfade der Keystores und Truststores.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsamlhoktoken
Dateiname:twbs_configsamlhoktoken.html