Anmeldemodul für generische Sicherheitstoken für ein Authentifizierungstoken konfigurieren: Tokenkonsument

Sie können ein Anmeldemodul für generische Sicherheitstoken für einen Authentifizierungstoken auf Tokenkonsumentenseite des Web Services Security-Providers konfigurieren.

Informationen zu diesem Vorgang

Wenn eine Web-Service-Nachricht empfangen wird, ruft die Laufzeit von Web Services Security im Rahmen des Authentifizierungsprozesses das Anmeldemodul für generische Sicherheitstoken für den Tokenkonsumenten auf. Das Anmeldemodul delegiert die Tokenvalidierung mit WS-Trust Validate an den WS-Trust-Service. Der WS-Trust-Service verarbeitet die Anforderung und gibt eine RequestSecurityTokenResponse-Nachricht an das Anmeldemodul zurück, die ein neues Sicherheitstoken oder lediglich einen Validierungsstatuscode enthalten kann. Das vom WS-Trust-Service zurückgegebene Token oder das ursprünglich empfangene Token ist das Caller-Token, falls das Caller-Token erforderlich ist.

Um dies zu veranschaulichen wird vorausgesetzt, dass die Richtliniensätze und Bindungen konfiguriert und mit einer Anwendung verknüpft sind. Sie können z. B. den Richtliniensatz SAML11 Bearer WSSecurity default und die Bindung SAML Bearer Provider sample verwenden. Weitere Informationen hierzu finden Sie im Artikel über die Konfiguration der Client- und Providerbindungen für das SAML-Bearer-Token.

Gehen Sie wie folgt vor, um das generische Anmeldemodul auf der Seite des Tokenkonsumenten über die Administrationskonsole zu konfigurieren:

Vorgehensweise

  1. Konfigurieren Sie das JAAS-Anmeldemodul (Java™ Authentication and Authorization Service) wss.consume.issuedToken für Ihre Anwendung.
    1. Klicken Sie auf Anwendungen > Anwendungstypen, und klicken Sie dann auf WebSphere-Unternehmensanwendungen.
    2. Klicken Sie auf die Anwendung, die die Richtliniensätze und Bindungen enthält, die Sie ändern möchten.
    3. Klicken Sie unter Web-Service-Eigenschaften auf Richtliniensätze und Bindungen für Service-Provider.
    4. Klicken Sie in der Spalte Bindungen der Anzeige "Richtliniensätze und Bindungen für Service-Clients" auf den Namen der Bindung.
    5. Klicken Sie in der Spalte Richtlinie in der Anzeige Bindungskonfiguration auf WS-Security.
    6. Klicken Sie unter der Überschrift Hauptrichtlinienbindungen für Nachrichtensicherheit auf Authentifizierung und Zugriffsschutz.
    7. Wählen Sie im Abschnitt mit den Authentifizierungstoken der Anzeige "Authentifizierung und Zugriffsschutz" das Token aus, das Sie konfigurieren möchten. Wählen Sie z. B. request:SAMLToken11Bearer aus.
    8. Wählen Sie in der Anzeige Tokenkonsument die Option wss.consume.issuedToken für die JAAS-Anmeldung aus.
    9. Klicken Sie auf Anwenden.
  2. Konfigurieren Sie den Callback-Handler.
    1. Klicken Sie unter Zusätzliche Bindungen auf Callback-Handler.
    2. Wählen Sie unter der Überschrift Klassenname in der Anzeige Callback-Handler den Eintrag Angepasste Klasse verwenden aus, und geben Sie com.ibm.websphere.wssecurity.callbackhandler.GenericIssuedTokenConsumeCallbackHandler als Klassennamen an.
    3. Klicken Sie auf Anwenden. Nach dem Anklicken von "Anwenden" erscheint im Abschnitt Angepasste Eigenschaften der Anzeige eine Liste mit vorhandenen angepassten Eigenschaften. Sie können in der Liste der angepassten Eigenschaften Einträge hinzufügen, bearbeiten oder löschen. Weitere Informationen zu den angepassten Eigenschaften für den Callback-Handler finden Sie in der Beschreibung der API com.ibm.wsspi.wssecurity.core.config.IssuedTokenConfigConstants. Diese Informationen finden Sie unter Referenz > Programmierschnittstellen > APIs - Anwendungsprogrammierschnittstellen in der Produktdokumentation.
    4. Klicken Sie auf Hinzufügen, um die angepasste Eigenschaft stsURI und ihren Wert hinzuzufügen. Der Wert dieser angepassten Eigenschaft ist die URL-Zieladresse des Sicherheitstokenservice. Diese Eigenschaft ist erforderlich.
    5. Klicken Sie auf Hinzufügen, um die angepasste Eigenschaft wstrustClientPolicy und ihren Wert hinzuzufügen. Der Wert dieser angepassten Eigenschaft ist der Name des Trust-Client-Richtliniensatzes, der für den WS-Trust-Clientaufruf gilt.
    6. Klicken Sie auf Hinzufügen, um die angepasste Eigenschaft wstrustClientBinding und ihren Wert hinzuzufügen. Der Wert der angepassten Eigenschaft sind die Trust-Client-Bindungen, die für den WS-Trust-Clientaufruf gelten. Weitere Informationen zum Erstellen von Trust-Client-Bindungen finden Sie in den Schritten 3, 4 und 5 in der Dokumentation der Konfiguration von Client- und Providerbindungen für das SAML-Bearer-Token.
    7. Optional: Geben Sie weitere angepasste Eigenschaften an. Zum Hinzufügen dieser angepassten Eigenschaften klicken Sie im Abschnitt Angepasste Eigenschaften auf Neu. Weitere Informationen zu angepassten Eigenschaften finden Sie unter Angepasste Eigenschaften für Web Services Security.
  3. Klicken Sie auf OK und Speichern, um die Bindungen zu speichern.
  4. Stoppen Sie die Anwendungen und starten Sie sie anschließend erneut.

Ergebnisse

Nach Abschluss dieser Task haben Sie ein generisches Anmeldemodul für den Tokenkonsumenten erstellt.

Nächste Schritte

Konfigurieren Sie ein Anmeldemodul für generische Sicherheitstoken für den Tokengenerator.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configgenericlmodcons
Dateiname:twbs_configgenericlmodcons.html