Standardbindung

Die Standardbindungsinformationen sind in der Datei ws-security.xml definiert und können mit der Administrationskonsole oder Scripts verwaltet werden. Es werden nur Standardbindungen für JAX-RPC-Anwendungen unterstützt. Standardbindungen für JAX-WS-Anwendungen werden nicht unterstützt.

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und der Version 6 und höher. Die Informationen in diesem Artikel gelten nur für solche Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher ausgeführt werden. Diese Informationen gelten nicht für Anwendungen der Version 6 und höher. Richtliniensätze können nur für JAX-WS-Anwendungen verwendet werden. Für JAX-RPC-Anwendungen können keine Richtliniensätze verwendet werden.
Gewisse Anwendungen können gewisse Bindungsinformationen mit andere Anwendungen gemeinsam benutzen. Zu diesen Informationen gehören Truststores, Keystores und Authentifizierungsmethoden (Tokenvalidierung). WebSphere Application Server unterstützt Standardbindungsinformationen. Administratoren können Bindungsinformationen auf den folgenden Ebenen definieren:
  • Serverebene
  • Zellenebene
Anwendungen können auf diese Bindungsinformationen verweisen.

Sie können die folgenden Bindungsinformationen in der Datei ws-security.xml definieren:

Trust-Anchor (Truststore)
  • Trust-Anchor enthalten Keystore-Informationen mit Trusted-Root-Zertifikaten. Sie werden für die Validierung der Zertifikatpfade eingehender Sicherheitstoken im X.509-Format verwendet.
  • Der Trust-Anchor-Name wird in der Bindungsdatei (ibm-webservices-bnd.xmi und ibm-webservicesclient-bnd-xmi, wenn Web-Services als Client ausgeführt werden) verwendet, um auf den in den Standardbindungsinformationen definierten Trust-Anchor zu verweisen. Der Name des Trust-Anchor muss in der Sammlung der Trust-Anchor eindeutig sein.
Zertifikatssammelspeicher
  • Der Zertifikatssammelspeicher umfasst eine Liste ungesicherter Zwischenzertifikate und wird für die Validierung der Zertifikatpfade eingehender Sicherheitstoken im X.509-Format verwendet. Der Standardprovider ist IBMCertPath.
  • Der Name des Zertifikatsspeichers wird in der Bindungsdatei (ibm-webservices-bnd.xmi und ibm-webservicesclient-bnd.xmi, wenn Web-Services als Client ausgeführt werden) verwendet, um auf den in den Standardbindungsinformationen definierten Zertifikatsspeicher zu verweisen. Der Name des Zertifikatsspeichers muss in der Sammlung der Zertifikatssammelspeicher eindeutig sein.
Key-Locator
  • Key-Locator sind eine Implementierung der Schnittstelle "com.ibm.wsspi.wssecurity.config.KeyLocator". Die Schnittstelle wird verwendet, um Schlüssel für Signatur oder Verschlüsselung abzurufen. Kundenimplementierungen können die Key-Locator-Schnittstelle erweitern, um Schlüssel mit anderen Methoden abrufen zu können. WebSphere Application Server stellt Implementierungen bereit, um einen Schlüssel aus dem Keystore abzurufen, eine authentifizierte Identität einem Schlüssel im Keystore zuzuordnen oder einen Schlüssel aus dem Unterzeichnerzertifikat abzurufen (Zuordnung und Abruf von Aktionen werden für die Verschlüsselung der Antwort verwendet).
  • Der Key-Locator-Name wird in der Bindungsdatei (ibm-webservices-bnd.xmi und ibm-webservicesclient-bnd.xmi, wenn Web-Services als Client ausgeführt werden) verwendet, um auf den in den Standardbindungsinformationen definierten Key-Locator zu verweisen. Der Key-Locator-Name muss in der Sammlung der Key Locator in den Standardbindungsinformationen eindeutig sein.
Trusted-ID-Evaluator
  • Trusted-ID-Evaluator sind eine Implementierung der Schnittstelle "com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator". Diese Schnittstelle wird verwendet, um sicherzustellen, dass die identitätszusichernde Instanz vertrauenswürdig ist. Sie können den Trusted-ID-Evaluator auch erweitern, um das Vertrauensverhältnis zu validieren. WebSphere Application Server stellt eine Standardimplementierung für die Validierung des Vertrauensverhältnisses bereit, die sich auf eine vordefinierte Liste von Identitäten stützt.
  • Der Trusted-ID-Evaluator-Name wird in der Bindungsdatei (ibm-webservices-bnd.xmi) verwendet, um auf den in den Standardbindungsinformationen definierten Trusted-ID-Evaluator zu verweisen. Der Trusted-ID-Evaluator-Name muss in der Gruppe der Trusted-ID-Evaluator eindeutig sein.
Anmeldezuordnungen
  • Anmeldezuordnungen definieren die Zuordnung der Authentifizierungsmethode zur JAAS-Anmeldekonfiguration (Java™ Authentication and Authorization Service). Die Zuordnungen werden verwendet, um das eingehende Sicherheitstoken zu authentifizieren, das in den Nachrichtenheader der SOAP-Nachricht für Web Services Security eingebettet ist. Die JAAS-Anmeldekonfiguration wird in der Administrationskonsole unter Sicherheit > Globale Sicherheit > Java Authentication and Authorization Service > Anwendungsanmeldungen definiert.
  • WebSphere Application Server definiert die folgenden Authentifizierungsmethoden:
    BasicAuth
    Authentifiziert Benutzernamen und Kennwort.
    Signature
    Ordnet den definierten Namen (DN) des Subjekts im Zertifikat einem Berechtigungsnachweis von WebSphere Application Server zu.
    IDAssertion
    Ordnet die Identität einem Berechtigungsnachweis von WebSphere Application Server zu.
    LTPA
    Authentifiziert ein LTPA-Token (Lightweight Third Party Authentication).
    Nach der Authentifizierung der Identität wird der zugeordnete Berechtigungsnachweis im Downstream-Aufruf verwendet.
  • Diese Methode kann erweitert werden, damit auch angepasste Sicherheitstoken authentifiziert werden. Dazu müssen Sie eine angepasste JAAS-Anmeldekonfiguration angeben und mit dem com.ibm.wsspi.wssecurity.auth.module.WSSecurityMappingModule die von WebSphere Application Server geforderten Principals und Berechtigungsnachweise erstellen.
  • Wenn LoginConfig (AuthMethod) im Implementierungsdeskriptor für IBM® Erweiterungen (ibm-webservices-ext.xmi) definiert ist, aber keine Bindungen für Anmeldezuordnungen (ibm-webservices-bnd.xmi) für die AuthMethod definiert sind, verwendet die Laufzeit von Web Services Security die in den Standardbindungsinformationen definierte Anmeldezuordnung.
[AIX Solaris HP-UX Linux Windows][z/OS]

WebSphere Application Server Network Deployment

Wenn WebSphere Application Server in eine Network-Deployment-Zelle eingebunden ist, wird die Standardbindungsdatei (ws-security.xml) des Servers (zusammen mit anderen Konfigurationsdaten der Serverebene) zur neuen Zelle hinzugefügt. Wenn Sie die Standardbindung der Zellenebene verwenden, müssen die Einträge der Standardbindung auf Serverebene entfernt werden.

Für die Network-Deployment-Installation ist eine Standardbindung auf Zellenebene (ws-security.xml) verfügbar. Die Bindung auf Serverebene ist für Network-Deployment-Installationen optional. Klicken Sie in der Administrationskonsole auf Sicherheit > Web-Services, um zur Standardbindung der Zellenebene zu navigieren.
Abbildung 1. Standardbindungsinformationen für Web Services Security auf Anwendungs-, Zellen- und ServerebeneStandardbindungsinformationen für Web Services Security auf Anwendungs-, Zellen- und Serverebene

Die Reihenfolge für die Standardbindungsinformationen ist Bindung auf Anwendungsebene, Bindung auf Serverebene und Standardbindung auf Zellenebene.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_defbnd
Dateiname:cwbs_defbnd.html