Bei der Authentifizierung durch Signatur wird ein X.509-Zertifikat vom Client an den Server gesendet.
Das Zertifikat wird für die Authentifizierung bei der auf dem Server konfigurierten Benutzerregistry verwendet.
Wenn der Server eine Anforderung empfängt, die das Zertifikat enthält, muss sich der Server anmelden, um einen Berechtigungsnachweis zu erstellen.
Der Berechtigungsnachweis wird für die Berechtigung verwendet.
Sie können die Signaturauthentifizierung auf dem Server validieren.
Informationen zu diesem Vorgang
Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der Version 6.0.x und höher. Die Informationen
in diesem Artikel
gelten nur für Anwendungen der Version 5.x, die in
WebSphere Application Server Version 6.0.x und höher verwendet werden.
Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Kann das bereitgestellte Zertifikat keinem Eintrag in der Benutzerregistry zugeordnet
werden, wird eine Ausnahme ausgelöst und die Anforderung ohne das Aufrufen der Ressource
beendet.
Vorgehensweise
- Starten Sie ein Assembliertool. Weitere Informationen finden Sie in den zugehörigen Informationen
zu Assembliertools.
- Wechseln Sie in die Java EE-Perspektive
(Java™ Platform,
Enterprise Edition), indem Sie auf klicken.
- Klicken Sie auf .
- Klicken Sie mit der rechten Maustaste auf die Datei webservices.xml, und klicken Sie anschließend
auf .
- Klicken Sie auf das Register Erweiterungen, das sich unten im Web-Service-Editor im Assembliertool
befindet.
- Erweitern Sie den Abschnitt . Folgende Optionen stehen zur Auswahl:
- Basisauthentifizierung (BasicAuth)
- Signatur (Signature)
- Zusicherung der Identität (ID assertion)
- LTPA (Lightweight Third Party Authentication)
- Wählen Sie Signature aus, um den Client mit einem X509-Zertifikat zu authentifizieren. Das vom Client gesendete Zertifikat ist das Zertifikat, das für die Unterzeichnung der Nachricht ausgestellt wurde.
Sie müssen dieses Zertifikat der konfigurierten Benutzerregistry zuordnen können.
Für Registrys des lokalen Betriebssystems (LocalOS=) wird der allgemeine Name (cn) des definierten Namens (DN) einer Benutzer-ID in der
Registry zugeordnet.
Für Lightweight Directory Access Protocol (LDAP) können mehrere Zuordnungsmodi konfiguriert werden:
- EXACT_DN ist der Standardmodus, der den DN des Zertifikats direkt einem Eintrag im LDAP-Server
zuordnet.
- CERTIFICATE_FILTER ist der Modus, in dem die erweiterte LDAP-Konfiguration einen Filter angeben kann,
der bestimmte Attribute des Zertifikats bestimmten Attributen des LDAP-Servers zuordnet.
Nächste Schritte
Weitere Informationen zu den ersten Schritten mit dem Web-Service-Editor im Assembliertool finden Sie im Artikel
Serversicherheitsbindungen mit einem Assembliertool konfigurieren.
Nachdem Sie angegeben haben, wie der Server die
Informationen zur Authentifizierung durch Signatur handhaben soll, müssen Sie angeben, wie der Server die Authentifizierungsdaten validieren soll. Sehen
Sie sich die Task zum Konfigurieren des Servers für die Validierung der Signaturauthentifizierung an.