Über die Administrationskonsole Zuordnungen für den Trust-Service konfigurieren

Sie können die Trust-Serviceoperationen für einen Serviceendpunkt einem Systemrichtliniensatz und einer Bindung zuweisen. Jeder Endpunkt, der neu angegeben wird, hat die folgenden vier Operationen: issue, renew, cancel und validate. Standardmäßig übernehmen alle Endpunkte den Richtliniensatz und die Bindung, die der entsprechenden Trust-Serviceoperation in den Trust-Servicestandardeinstellungen zugeordnet sind. Sie können jedoch auch explizit einen anderen Richtliniensatz zuordnen.

Vorbereitende Schritte

Zuerst müssen Sie Ihre Richtliniensätze und Bindungen definieren. Richtlinien beschreiben den bereitgestellten Zugriffsschutz bzw. die unterstützte Servicequalität (QoS, Quality of Service), z. B. Nachrichtensicherheit, Transport usw. Bindungen spezifizieren einige Details zur Implementierung der Richtlinie, wie z. B. den Pfad der Keystore-Datei, den Klassennamen des Tokengenerators oder den Namen der JAAS-Konfiguration.

Wichtig: Verwenden Sie Systemrichtliniensätze nur für den Trust-Service. Der Anforderer (Client) darf nur Java™ API for XML-Based Web Services (JAX-WS) verwenden. Anforderer, die Java API for XML-based Remote Procedure Calls (JAX-RPC) verwenden, sind mit dem Richtliniensatz QOS nicht kompatibel.

Wenn die Sicherheit aktiviert ist, haben Sie je nach Rolle, die Ihnen zugeordnet ist, möglicherweise keinen Zugriff auf die Texteingabefelder oder Schaltflächen für die Erstellung oder Bearbeitung der Konfigurationsdaten. Machen Sie sich mithilfe der Dokumentation zu den Verwaltungsrollen mit den gültigen Rollen für den Anwendungsserver vertraut.

Informationen zu diesem Vorgang

Sie können die Trust-Serviceoperationen für einen neuen Endpunkt einem vorhandenen Richtliniensatz und einer Bindung zuweisen. Ändern Sie für jeden neuen Serviceendpunkt, der angegeben wird, die Einstellung der vier Trust-Serviceoperationen (cancel, renew, validate und issue) so, dass anstelle der übernommenen Zuordnungen explizite Elemente zugeordnet werden. Die vier Operationen sind dem entsprechenden Richtliniensatz und der Bindung gemäß Spezifikation in den Trust-Servicestandardeinstellungen zugeordnet. Sie können diese Zuordnung ändern, und den gewünschten vorhandenen Richtliniensatz und die gewünschte Bindung angeben.

Der Richtliniensatz eines Endpunkts setzt sich aus zwei Abschnitten zusammen: einem Bootstrapabschnitt und einem Anwendungsabschnitt. Der Systemrichtliniensatz, der den Trust-Serviceoperationen "issue" und "renew" für einen bestimmten Endpunkt zugeordnet wird, muss dem Bootstrapabschnitt des Richtliniensatzes für diesen Endpunkt entsprechen. Der Systemrichtliniensatz, der den Trust-Serviceoperationen "cancel" und "validate" für einen bestimmten Endpunkt zugeordnet wird, muss dem Anwendungsabschnitt des Richtliniensatzes für diesen Endpunkt entsprechen.

Diese Task beschreibt, wie die Trust-Serviceoperationen für Serviceendpunkt-URLs verwaltet werden, die Sie einem Systemrichtliniensatz und einer Bindung zuweisen möchten. Für die Konfiguration des Trust-Service von WebSphere Application Server müssen Sie außerdem die folgende Task ausführen:

  • Ziele erstellen oder verwalten. Sie können explizite Zuordnungen für neue Serviceendpunkte (Ziele) erstellen oder Endpunkte verwalten, denen explizit ein Sicherheitstoken zugeordnet ist oder die das Standardtoken des Trust-Service übernehmen.

Die mit dem Produkt bereitgestellten allgemeinen Beispielbindungen werden zunächst als globale Standardsicherheitsbindungen (Zellenebene) definiert. Die Standardbindungen für den Service-Provider und die Standardbindungen für den Service-Client werden verwendet, wenn einer Richtliniensatzzuordnung keine anwendungsspezifischen Bindungen oder Trust-Servicebindungen zugeordnet sind. Für Trust-Servicezuordnungen werden die Standardbindungen verwendet, wenn keine trustspezifischen Bindungen zugewiesen sind. Wenn Sie das bereitgestellte Providerbeispiel nicht als Standard-Service-Provider-Bindung verwenden möchten, können Sie eine vorhandene allgemeine Providerbindung auswählen oder eine neue allgemeine Providerbindung für Ihre Geschäftsanforderungen erstellen. Wenn Sie das bereitgestellte Clientbeispiel nicht als Service-Client-Standardbindung verwenden möchten, können Sie eine vorhandene allgemeine Clientbindung auswählen oder eine neue allgemeine Clientbindung erstellen. Wenn Sie Ihre Standardbindungen für die globale Sicherheit (Zelle) festlegen möchten, klicken Sie in der Administrationskonsole auf Service > Richtliniensätze > Standardrichtliniensatzbindungen. Für Umgebungen mit mehreren Sicherheitsdomänen können Sie die allgemeinen Providerbindungen und die allgemeinen Clientbindungen auswählen, die Sie als Standardbindungen für eine Domäne verwenden möchten. Weitere Informationen zu Standardbindungen finden Sie im Artikel "Standardrichtliniensatzbindungen festlegen".

Vorgehensweise

  1. Zum Verwalten der Systemrichtliniensatzzuordnungen für Trust-Serviceoperationen klicken Sie auf Services > Trust-Service > Trust-Servicezuordnungen. In der Liste werden alle Endpunkte, die mindestens eine Operation mit zugeordnetem Richtliniensatz haben, und Tust-Service-Standardeinstellungen angezeigt. Außerdem werden der Systemrichtliniensatz und die Bindung für jede Operation angezeigt.
  2. Wählen Sie eine oder mehrere der folgenden Aktionen aus, um die Trust-Servicezuordnungen zu konfigurieren:
    Neue Zuordnung
    Öffnet eine neue Anzeige, in der Sie den Serviceendpunkt-URL angeben können. Ändern Sie für jeden neuen Serviceendpunkt, der angegeben wird, die Einstellung der vier Trust-Serviceoperationen (cancel, renew, validate und issue) so, dass anstelle der übernommenen Zuordnungen explizite Elemente zugeordnet werden. Die vier Operationen sind dem entsprechenden Richtliniensatz und der Bindung gemäß Spezifikation in den Trust-Servicestandardeinstellungen zugeordnet. Diese anfänglichen Zuordnungen können geändert werden.
    Zuordnen
    Zeigt eine Liste mit vorhandenen Systemrichtliniensätzen, einschließlich der Trust-bezogenen Systemrichtliniensätze, an, denen jede der vier Trust-Serviceoperationen für einen Serviceendpunkt zugeordnet werden kann. Wählen Sie zunächst die Operation (z. B. "Token stornieren") aus, und klicken Sie anschließend auf Zuordnen, um die Liste der verfügbaren Systemrichtliniensätze anzuzeigen. Wählen Sie einen Standardrichtliniensatz oder einen angepassten Systemrichtliniensatz aus, den Sie zuordnen möchten. Wenn Sie die Richtliniensatzzuordnung ändern, wird die Bindung automatisch in Standard geändert. Wählen Sie die Operation aus, und klicken Sie auf Bindung zuweisen, um die Bindung zu ändern.
    Im Folgenden sind die vorkonfigurierten Systemrichtliniensätze aufgeführt, die ausgewählt werden können:
    • TrustServiceSecurityDefault

      Dieser Trustrichtliniensatz legt den asymmetrischen Algorithmus und die öffentlichen und privaten Schlüssel für die Unterstützung der Nachrichtensicherheit fest. Die Nachrichtenintegrität wird durch die digitale Signatur von Hauptteil, Zeitmarke und WS-Addressing-Headern über RSA gewährleistet. Die Nachrichtenvertraulichkeit wird durch die Verschlüsselung von Hauptteil und Signatur über RSA gewährleistet. Dieser Richtliniensatz folgt der Spezifikation WS-Security für Anforderungen der Trustoperationen "issue" und "renew".

    • TrustServiceSymmetricDefault

      Dieser Trustrichtliniensatz legt den symmetrischen Algorithmus und die abgeleiteten Schlüsselalgorithmen für die Gewährleistung der Nachrichtensicherheit fest. Die Nachrichtenintegrität wird durch die digitale Signatur von Hauptteil, Zeitmarke und WS-Addressing-Headern über HMAC-SHA1 gewährleistet. Die Nachrichtenvertraulichkeit wird durch die Verschlüsselung von Hauptteil und Signatur über AES gewährleistet. Dieser Richtliniensatz folgt den Spezifikationen WS-Security und WS-SecureConversation für die Validierung und das Abbrechen von Anforderungen von Trust-Operationen.

    • SystemWSSecurityDefault

      Dieser Systemrichtliniensatz legt den asymmetrischen Algorithmus und die öffentlichen und privaten Schlüssel für die Unterstützung der Nachrichtensicherheit fest. Die Nachrichtenintegrität wird durch die digitale Signatur von Hauptteil, Zeitmarke und WS-Addressing-Headern über RSA-Verschlüsselung gewährleistet. Die Nachrichtenvertraulichkeit wird durch die Verschlüsselung von Hauptteil und Signatur über RSA-Verschlüsselung gewährleistet.

    Standardeinstellungen für Operation übernehmen
    Stellt die Operation so ein, dass die entsprechende Standardrichtliniensatzzuordnung und die Standardbindung des Trust-Service übernommen werden. Wenn Sie die zu ändernden Zuordnungen auswählen und anschließend auf Standardeinstellungen für Operation übernehmen klicken, wird die explizite Zuordnung für Richtliniensatz und Bindung entfernt. Danach übernimmt die Operation alle Änderungen, die am Standardrichtliniensatz und an der Standardbindung des Trust-Service vorgenommen werden.
    Bindung zuweisen
    Ändert die vorhandene Bindung. Sie können für jede der ausgewählten Trust-Servicezuordnungen eine neue Bindung erstellen und zuordnen, die Standardbindung zuweisen oder eine vorhandene Trust-Service-spezifische Bindung zuweisen.
    Laufzeitumgebung aktualisieren
    Aktualisiert die Laufzeitumgebung des Trust-Service mit allen Konfigurationsänderungen, die an den Zuordnungen, Token-Providern und Zielen des Trust-Service vorgenommen werden.
  3. Optional: Ändern Sie den angepassten Richtliniensatz, indem Sie in der Liste auf den Namen eines angepassten Richtliniensatzes klicken. Ändern Sie bei Bedarf die Einstellungen für die angepassten Richtliniensätze. Die Informationen zu den Standardrichtliniensätzen des Trust-Service können nur angezeigt werden.

    Die Standardrichtliniensätze "TrustServiceSecurityDefault" und "TrustServiceSymmetricDefault" bzw. "SystemWSSecurityDefault" können nicht geändert werden. TrustServiceSecurityDefault ist der Standardrichtliniensatz für die Operationen "issue" und "renew". TrustServiceSymmetricDefault ist der Standardrichtliniensatz für die Operationen "cancel" und "validate".

    Es muss mindestens eine Trust-Serviceoperation für den Endpunktservice-URL explizit zugeordnet sein, damit der Endpunktservice-URL angezeigt wird. Wenn eine Operation explizit zugeordnet ist, erscheint der Name des Systemrichtliniensatzes. Wenn kein Richtliniensatz explizit zugeordnet ist, wird der entsprechende Standardrichtliniensatz des Trust-Service, gefolgt vom Text (übernommen) angezeigt.

  4. Optional: Ändern Sie die Trust-Service-spezifische Bindung, indem Sie bei Bedarf in der Liste auf den Namen einer Bindung klicken. Ändern Sie bei Bedarf die Einstellungen für eine Trust-Service-spezifische Bindung. Alle Änderungen, die an einer Trust-Servicebindung vorgenommen werden, wirken sich auf alle Trust-Servicezuordnungen aus, die auf die Bindung verweisen.

    Wenn der Ressource ein Richtliniensatz direkt zugeordnet ist, wird entweder der Bindungsname oder der Eintrag Standard angezeigt.

  5. Speichern Sie Ihre Änderungen, bevor Sie die Änderungen auf die Laufzeitkonfiguration des Trust-Service anwenden.
  6. Klicken Sie auf Laufzeit aktualisieren, um die Laufzeitkonfiguration des Trust-Service mit allen Datenänderungen für Token-Provider, Trust-Servicezuordnungen und Ziele zu aktualisieren. Ob das Bestätigungsfenster angezeigt wird, hängt davon ab, ob Sie das Kontrollkästchen Bestätigung für Befehl zur Laufzeitaktualisierung anzeigen ausgewählt haben. Klicken Sie auf Vorgaben, um das Kontrollkästchen anzuzeigen.
  7. Optional: Bestätigen Sie die Eingabe, oder klicken Sie auf Abbrechen, wenn das Bestätigungsfenster erscheint. Wenn Sie das Kontrollkästchen Bestätigung für Befehl zur Laufzeitaktualisierung anzeigen abgewählt haben, werden alle Änderungen unverzüglich, d. h. ohne Anzeige des Bestätigungsfensters, vorgenommen.

Ergebnisse

Sie haben die Basisinformationen zum Erstellen bzw. Aktualisieren einer Trust-Servicezuordnung angegeben. Sie haben die Zuordnungen zu Systemrichtliniensätzen und Bindungen für die Trust-Serviceoperationen konfiguriert.

Nächste Schritte

Sie können eine neue Zuordnung für den Trust-Service von WebSphere Application Server auch mit dem Tool "wsadmin" erstellen. Die Beispiele für das Tool "wsadmin" sind in der Scripting-Sprache Jython geschrieben.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confwstrustattachments
Dateiname:twbs_confwstrustattachments.html