Angepasste Eigenschaften des Web Services Security-SAML-Tokens

Wenn Sie ein WS-Security-SAML-Token konfigurieren, können Sie Name/Wert-Paare konfigurieren, in denen der Name für einen Eigenschaftsschlüssel und der Wert für einen Zeichenfolgewert steht, mit denen Sie interne Systemkonfigurationseigenschaften definieren können. Sie können diese Konfigurationseigenschaften zusammen mit den in der Administrationskonsole bereitgestellten Optionen verwenden, um zu bestimmen, wie der SAML-Token generiert oder konsumiert wird.

Führen Sie zum Konfigurieren dieser angepassten SAML-Eigenschaften in der Administrationskonsole entweder diese Schritte aus:

  1. Erweitern Sie Services.
  2. Wählen Sie Service-Provider oder Service-Client aus.
  3. Klicken Sie auf die entsprechende Anwendung in der Spalte Name.
  4. Klicken Sie auf die entsprechende Bindung in der Spalte Bindung.

    Sie müssen vorher einen Richtliniensatz zugeordnet und eine Bindung zugewiesen haben.

oder

  1. Klicken Sie auf Anwendungen > Anwendungstypen, und klicken Sie dann auf WebSphere-Unternehmensanwendungen.
  2. Wählen Sie eine Anwendung aus, die Web-Services enthält. Die Anwendung muss einen Service-Provider oder einen Service-Client enthalten.
  3. Klicken Sie unter der Überschrift Web-Service-Eigenschaften auf Richtliniensätze und Bindungen für Service-Provider oder auf Richtliniensätze und Bindungen für Service-Clients.
  4. Wählen Sie eine Bindung aus. Sie müssen vorher einen Richtliniensatz zugeordnet und eine anwendungsspezifische Bindung zugewiesen haben.

Führen Sie anschließend die folgenden Schritte aus:

  1. Klicken Sie in der Tabelle "Richtlinien" auf WS-Security.
  2. Klicken Sie unter der Überschrift Hauptrichtlinienbindungen für Nachrichtensicherheit auf Authentifizierung und Zugriffsschutz.
  3. Klicken Sie unter Authentifizierungstoken auf den Namen des Authentifizierungstokens.
    Unterstützte Konfigurationen Unterstützte Konfigurationen: Sie können das Token, das vom Anmeldemodul für generische Sicherheitstoken verarbeitet wird, nur für die Authentifizierung verwenden. Sie können dieses Token nicht als Schutztoken verwenden. sptcfg
  4. Klicken Sie unter Zusätzliche Bindungen auf Callback-Handler.
  5. Geben Sie unter Angepasste Eigenschaften die Name/Wert-Paare ein.

In den folgenden Abschnitten werden die angepassten Eigenschaften aufgelistet und es wird angegeben, wie jede angepasste Eigenschaft verwendet wird.

Angepasste Eigenschaften für SAML-Tokengenerator

In der folgenden Tabelle werden die angepassten Eigenschaften für den Callback-Handler aufgeführt, die nur für die Konfiguration von SAML-Tokengeneratorbindungen verwendet werden können.

Tabelle 1. Angepasste Eigenschaften für Callback-Handler für Tokengeneratorbindungen. Diese Tabelle enthält den Namen der angepasste Eigenschaft, die zugehörigen Werte und eine Kurzbeschreibung.
Name Werte Beschreibung
appliesTo Diese angepasste Eigenschaft hat keinen Standardwert. Sie gibt den "AppliesTo"-Wert für das angeforderte SAML-Token an, wenn eine WSS-API verwendet wird.
audienceRestriction Die gültigen Werte sind true und false. Das Standardverhalten ist true, d. h. AudienceRestrictionCondition ist im SAML-Token enthalten. Diese Eigenschaft gilt nur für selbst ausgestellte SAML-Token. Verwenden Sie diese angepasste Eigenschaft, um anzugeben, ob das Element AudienceRestrictionCondition im SAML-Token enthalten ist.
authenticationMethod Diese angepasste Eigenschaft hat keinen Standardwert. Diese Eigenschaft gilt nur für selbst ausgestellte SAML-Token. Verwenden Sie diese angepasste Eigenschaft, um den Wert für das Attribut AuthenticationMethod im Element AuthenticationStatement im SAML-Token anzugeben. Wenn diese angepasste Eigenschaft angegeben wird, ist das Subject in einem AuthenticationStatement-Element anstatt in einem AttributeStatement-Element enthalten.
com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath Diese angepasste Eigenschaft hat keinen Standardwert. Verwenden Sie diese angepasste Eigenschaft, um die erforderlichen Konfigurationsdaten für das Generieren eines selbst ausgestellten SAML-Tokens anzugeben.
cacheCushion Der Standardwert ist 5 Minuten. Die Eigenschaft gibt die Zeitdauer in Minuten an, bevor die Verfallszeit eines SAML-Tokens abläuft und ein neues Token ausgestellt werden muss. Wenn für cacheCushion beispielsweise 5 Minuten festgelegt werden und das SAML-Token in 2 Minuten abläuft, wird es nicht wiederverwendet, sondern ein neues SAML-Token wird ausgestellt. Wenn die Laufzeit gerade ein SAML-Token im Cache zwischenspeichert wird ein Token jenseits der Cachezeitreserve nicht zwischengespeichert.
cacheToken Die gültigen Werte sind true und false. Das Standardverhalten ist true, d. h. das SAML-Token wird zur Wiederverwendung zwischengespeichert. Verwenden sie diese angepasste Eigenschaft, um anzugeben, ob ein SAML-Token zur Wiederverwendung zwischengespeichert werden kann.
com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath Der Standardwert ist ${USER_INSTALL_ROOT}/config/cells/${WAS_CELL_NAME}/sts/SAMLIssuerConfig.properties Der Dateipfad zu den Konfigurationsdaten, die zum Generieren eines selbst ausgestellten SAML-Tokens verwendet werden sollen.
com.ibm.wsspi.wssecurity.saml.client.SamlTokenCacheEntries Der Standardwert ist 250. Verwenden Sie diese angepasste JVM-Eigenschaft, um die maximale Anzahl von Cacheeinträgen anzugeben, die gespeichert werden können.
com.ibm.wsspi.wssecurity.saml.client.SamlTokenCacheTimeout Der Standardwert ist 60 Minuten. Diese Eigenschaft wird nur für SAML-Token verwenden, deren Verfallszeit unbekannt ist (die Token sind verschlüsselt, oder mit dem Token wird als Antwort vom STS keine Verfallszeit angegeben). Für SAML-Token, deren Verfallszeit unbekannt ist, wird SamlTokenCacheTimeout als Ersatz für die Verfallszeit verwendet. Für ein neues SAML-Token, das unter diesen Kriterien im Cache zwischengespeichert wird, wird die Verfallszeit (aktuelle_Zeit)+SamlTokenCacheTimeout festgelegt. Die für die Eigenschaft cacheCushion beschriebenen Bedingungen gelten weiterhin. Beachten Sie daher den Wert für cacheCushion, wenn Sie den Wert für SamlTokenCacheTimeout ändern.
com.ibm.wsspi.wssecurity.saml.get.SamlToken und com.ibm.wsspi.wssecurity.saml.put.SamlToken Die gültigen Werte sind true und false. Der Standardwert ist false.  
confirmationMethod Die gültigen Werte sind bearer, holder-of-key und sender-vouches. Der Standardwert ist bearer. Die Bestätigungsmethode (ConfirmationMethod) für das SAML-Token-Subject.
com.ibm.wsspi.wssecurity.saml.get.SamlToken Diese angepasste Eigenschaft hat keinen Standardwert. Verwenden Sie diese angepasste Eigenschaft, um das SAML-Token für "RequestContext" festzulegen.
com.ibm.wsspi.wssecurity.saml.put.SamlToken Diese angepasste Eigenschaft hat keinen Standardwert. Verwenden Sie diese angepasste Eigenschaft, um das SAML-Token für "RequestContext" festzulegen.
failOverToTokenRequest Die gültigen Werte sind true und false. Der Standardwert ist true, d. h. die WS-Security-Laufzeit gibt immer ein neues SAML-Token aus, wenn das Eingabetoken ungültig ist. Verwenden Sie diese angepasste Eigenschaft, um anzugeben, ob die WS-Security-Laufzeit die zugeordnete Richtliniengruppe verwenden soll, um ein neues SAML-Token auszugeben, wenn das Eingabe-SAML-Token im Anforderungskontext (RequestContext) ungültig ist.
recipientAlias Diese angepasste Eigenschaft hat keinen Standardwert. Der Zielservicealias für ein Zertifikat.
signToken Gültige Werte sind true und false. Diese angepasste Eigenschaft hat keinen Standardwert. Verwenden Sie diese angepasste Eigenschaft, um anzugeben, ob ein SAML-Token mit einer Anwendungsnachricht signiert werden soll.
sslConfigAlias Wenn für diese Eigenschaft kein Wert angegeben ist, wird der in der SSL-Konfiguration des Systems definierte SSL-Standardalias verwendet.

Diese Eigenschaft ist optional.

Der Alias einer SSL-Konfiguration, die ein WS-Trust-Client verwendet, um ein SAML-Token anzufordern.
stsURI Diese angepasste Eigenschaft hat keinen Standardwert. Die Adresse des SecurityTokenService (STS).
keySize Diese angepasste Eigenschaft hat keinen Standardwert. Die Schlüsselgröße (KeySize), wenn ein geheimer Schlüssel (SecretKey) von STS angefordert wird.
tokenRequest Die gültigen Werte sind issue, propagation, issueByWSCredential und issueByWSPrincipal. Der Standardwert ist issue. Die Anforderungsmethode des SAML-Tokens.Weitere Informationen zu den Werten, die für diese Eigenschaft angegeben werden können, finden Sie im Artikel SAML-Tokenweitergabe.
tokenType Diese angepasste Eigenschaft hat keinen Standardwert. Verwenden Sie diese angepasste Eigenschaft, um den erforderlichen Tokentyp auf SAMLGenerateCallback zu setzen
usekeyType Diese angepasste Eigenschaft ist optional. Die gültigen Werte sind KeyValue, X509Certificate und X509IssuerSerial. Verwenden Sie diese angepasste Eigenschaft, um den Usekey-Typ anzugeben, der den Client auffordert, einen bestimmten Schlüsseldatentyp zu generieren.
WSSConsumingContext Diese angepasste Eigenschaft hat keinen Standardwert. Verwenden Sie diese angepasste Eigenschaft, um das Objekt WSSConsumingContext anzugeben, dass der WS-Trust-Client verwendet, um ein SAML-Token anzufordern.
WSSGenerationContext Diese angepasste Eigenschaft hat keinen Standardwert. Verwenden Sie diese angepasste Eigenschaft, um das Objekt WSSGenerationContext anzugeben, dass der WS-Trust-Client verwendet, um ein SAML-Token anzufordern.
NameID Diese angepasste Eigenschaft hat keinen Standardwert. Diese Eigenschaft legt die Namens-ID (NameID) im Subject eines selbst ausgestellten SAML-Tokens fest. Wenn der Generator so konfiguriert ist, dass er ein Token selbst ausstellt, und wenn die Eigenschaft NameID nicht angegeben ist, wird versucht, ein Token aus einem SAML-Token im runAs-Subjekt zu erstellen. Wenn im runAs-Subject kein SAML-Token vorhanden ist, wird das Token völlig neu erstellt und die NameID im Subject im Token auf UNAUTHENTICATED gesetzt. Weitere Informationen zum Generieren von selbst ausgestellten SAML-Token über Einstellungen in den WS-Security-Bindungen finden Sie im Artikel Konfigurationseigenschaften des SAML-Ausstellers.
   

Angepasste Eigenschaften für SAML-Tokenkonsumenten

In der folgenden Tabelle werden die angepassten Eigenschaften für den Callback-Handler aufgeführt, die nur für die Konfiguration von SAML-Tokenkonsumentenbindungen verwendet werden können.

Tabelle 2. Angepasste Eigenschaften für Callback-Handler für Tokenkonsumentenbindungen. Diese Tabelle enthält den Namen der angepasste Eigenschaft, die zugehörigen Werte und eine Kurzbeschreibung.
Name Werte Beschreibung
allowUnencKeyInHok Die gültigen Werte sind true und false. Der Standardwert ist true, d. h., unverschlüsselte Schlüssel sind zulässig. Verwenden Sie diese Eigenschaft, um den SAML-Tokenkonsumenten anzuweisen, einen unverschlüsselten Schlüssel in einem SAML-HoK-Token (Holder-of-Key) zu akzeptieren.
com.ibm.wsspi.wssecurity.saml.signature.SignatureCacheEntries Ein Integer. Der Standardwert ist 1000. Die Anzahl der Signaturcacheeinträge, die für ein SAML-Konsumententoken gespeichert werden können.
com.ibm.wsspi.wssecurity.saml.signature.SignatureCacheTimeout Ein Integer. Der Standardwert ist 60 Minuten. Gibt an, wie viele Minuten ein SAML-Token zwischengespeichert werden soll. Eine Signaturvalidierung muss nicht wiederholt werden, während der SAML-Token zwischengespeichert ist.
keyAlias Diese angepasste Eigenschaft hat keinen Standardwert. Der Alias des privaten Schlüssels zur Entschlüsselung wie im Keystore definiert.
keyName Diese angepasste Eigenschaft hat keinen Standardwert. Der Name des privaten Schlüssels zur Entschlüsselung wie im Keystore definiert. Dieser Name wird für Referenzzwecke verwendet und von der Laufzeit nicht ausgewertet.
keyPassword Diese angepasste Eigenschaft hat keinen Standardwert. Das Kennwort des privaten Schlüssels zur Entschlüsselung gemäß Definition in der Keystore-Datei (das Kennwort muss mit XOR verschlüsselt sein). Weitere Informationen finden Sie im Artikel, der sich mit der Kennwortcodierung in Dateien befasst.
keyStorePassword Diese angepasste Eigenschaft hat keinen Standardwert. Das Kennwort für die Keystore-Datei. Das Kennwort kann mit XOR verschlüsselt sein. Weitere Informationen finden Sie im Artikel, der sich mit der Kennwortcodierung in Dateien befasst.
keyStorePath Diese angepasste Eigenschaft hat keinen Standardwert. Der Dateipfad der Keystore-Datei, die den Schlüssel zur Entschlüsselung enthält.
keyStoreRef Diese angepasste Eigenschaft hat keinen Standardwert. Eine Referenz auf einen verwalteten Keystore in security.xml, der den Schlüssel zur Entschlüsselung enthält.

Beispiel:

name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode
keyStoreType Diese angepasste Eigenschaft hat keinen Standardwert. Der Keystore-Typ der Keystore-Datei.
signatureRequired Der Standardwert ist true. Verwenden Sie diese angepasste Eigenschaft, um anzugeben, ob eine Signatur für eine SAML-Zusicherung erforderlich ist.
trustAnySigner Der Standardwert ist false. Verwenden Sie diese angepasste Eigenschaft, um anzugeben, ob ein Empfänger allen Zertifikaten vertrauen kann, die eine SAML-Zusicherung enthalten.
trustedAlias Diese angepasste Eigenschaft hat keinen Standardwert. Der Alias des vertrauenswürdigen STS-Zertifikats für ein SAML-Konsumententoken.
trustedIssuer_ Der Name wird als trustedIssuer_n angegebene. n ist eine ganze Zahl. Diese angepasste Eigenschaft hat keinen Standardwert. Der Name eines vertrauenswürdigen Ausstellers.
trustedSubjectDN_ Der angegebene Wert muss im Format trustedSubjectDN_n angegeben werden. n ist eine ganze Zahl. Diese angepasste Eigenschaft hat keinen Standardwert. Der X509Certificate-SubjectDN-Name für den vertrauenswürdigen Aussteller.
trustStorePassword Diese angepasste Eigenschaft hat keinen Standardwert. Das Truststore-Kennwort für ein SAML-Konsumententoken.
trustStorePath Diese angepasste Eigenschaft hat keinen Standardwert. Der Truststore-Pfad für ein SAML-Konsumententoken.
trustStoreRef Diese angepasste Eigenschaft hat keinen Standardwert. Die Truststore-Referenz für ein SAML-Konsumententoken.

Beispiel:

name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode
trustStoreType Diese angepasste Eigenschaft hat keinen Standardwert. Der Keystore-Typ für den Truststore.
validateAudienceRestriction Die gültigen Werte sind true und false. Der Standardwert ist false, d. h. eine AudienceRestriction-Zusicherungsvalidierung ist nicht erforderlich. Verwenden Sie diese angepasste Eigenschaft, um anzugeben, ob eine AudienceRestriction-Zusicherung validiert werden muss.
validateOneTimeUse Die gültigen Werte sind true und false. Der Standardwert ist true, d. h. die Zusicherungsvalidierung "OneTimeUse" erforderlich ist. Verwenden Sie diese angepasste Eigenschaft, um anzugeben, ob eine OneTimeUse-Zusicherung SAML 2.0 oder DoNotCacheCondition in SAML 1.1 validiert werden muss.
CRLPATH Diese angepasste Eigenschaft hat keinen Standardwert. Der Dateipfad der Liste mit den widerrufenen Zertifikaten für ein SAML-Konsumententoken.
X509PATH Diese angepasste Eigenschaft hat keinen Standardwert. Der Dateipfad zur X509-Zwischenzertifikatsdatei für ein SAML-Konsumententoken.
CRLPATH_ Der angegebene Wert muss im Format trustedSubjectDN_n angegeben werden. n ist eine ganze Zahl. Diese angepasste Eigenschaft hat keinen Standardwert. Der Dateipfad der Liste mit den widerrufenen X509-Zertifikaten für ein SAML-Konsumententoken.
X509PATH_ Der angegebene Wert muss im Format X509_path_n angegeben werden. n ist eine ganze Zahl. Diese angepasste Eigenschaft hat keinen Standardwert. Der Dateipfad der Liste mit den widerrufenen X509-Zwischenzertifikaten für ein SAML-Konsumententoken.

Angepasste Eigenschaften für SAML-Token für Tokengeneratorbindungen und Tokenkonsumentenbindungen

In der folgenden Tabelle werden die angepassten Eigenschaften für den Callback-Handler aufgeführt, die sowohl für die Konfiguration von SAML-Tokengeneratorbindungen und SAML-Tokenkonsumentenbindungen verwendet werden können.

Tabelle 3. Angepasste Eigenschaften für SAML-Token-Callback-Handler für Tokengenerator- und Tokenkonsumentenbindungen. Diese Tabelle enthält den Namen der angepasste Eigenschaft, die zugehörigen Werte und eine Kurzbeschreibung.
Name Werte Beschreibung
clockSkew Der Standardwert ist 3 Minuten. Eine zeitliche Anpassung (in Minuten) für die Zeiten in selbst ausgestellten SAML-Token, die vom SAMLGenerateLoginModule erstellt werden.

Die angepasste Eigenschaft "clockSkew" wird im Callback-Handler des SAML-Tokengenerators definiert, der die Klasse "SAMLGenerateLoginModule" verwendet. Der für diese angepasste Eigenschaft angegebene Wert muss numerisch sein und wird in Minuten angegeben.

Wenn Sie einen Wert für diese angepasste Eigenschaft angeben, werden die folgenden Zeitanpassungen in dem selbst ausgestellten SAML-Token vorgenommen, das von SAMLGenerateLoginModule erstellt wird:
  • Die neue Zeiteinstellung "NotBefore" entspricht der anfänglichen Zeiteinstellung "NotBefore" abzüglich der Zeit, die Sie für die angepasste Eigenschaft "clockSkew" festlegen.
  • Die neue Zeiteinstellung "NotAfter" entspricht der anfänglichen Zeiteinstellung "NotAfter" zuzüglich der Zeit, die Sie für die angepasste Eigenschaft "clockSkew" festlegen.
clientLabel Diese angepasste Eigenschaft hat keinen Standardwert. Der Clientkennsatz in Byte, der für die abgeleiteten Schlüssel verwendet werden soll, wenn eine WSS-API mit dem angeforderten SAML-Token verwendet wird.
serviceLabel Diese angepasste Eigenschaft hat keinen Standardwert. Der Servicekennsatz in Byte, der für die abgeleiteten Schlüssel verwendet werden soll, wenn eine WSS-API mit dem angeforderten SAML-Token verwendet wird.
keylength Diese angepasste Eigenschaft hat keinen Standardwert. Die Schlüssellänge in Byte, die für die abgeleiteten Schlüssel verwendet werden soll, wenn eine WSS-API mit dem angeforderten SAML-Token verwendet wird.
nonceLength Der Standardwert ist 128. Die Noncelänge in Byte, die für die abgeleiteten Schlüssel verwendet werden soll, wenn eine WSS-API mit dem angeforderten SAML-Token verwendet wird.
requireDKT Der Standardwert ist false. Verwenden Sie diese angepasste Eigenschaft, um eine Option für die abgeleiteten Schlüssel anzugeben, wenn eine WSS-API mit dem angeforderten SAML-Token verwendet wird.
useImpliedDKT Der Standardwert ist false. Verwenden Sie diese angepasste Eigenschaft, um eine Option anzugeben, die mit implizierten abgeleiteten Schlüsseln verwendet wird, wenn eine WSS-API mit dem angeforderten SAML-Token verwendet wird.

Eigenschaften des SAML-Tokengenerators für selbst ausgestellte Token

In der folgenden Tabelle werden die angepassten Eigenschaften für den Callback-Handler aufgeführt, die nur für die Konfiguration von SAML-Tokengeneratorbindungen für selbst ausgestellte Token verwendet werden können.

Tabelle 4. Angepasste Eigenschaften für SAML-Token-Callback-Handler für das Generieren von selbst ausgestellten Token. Diese Tabelle enthält den Namen der angepasste Eigenschaft, die zugehörigen Werte und eine Kurzbeschreibung.
Eigenschaftsname in den Richtlinienbindungen Beispieleigenschaftswert Eigenschaftsbeschreibung
com.ibm.wsspi.wssecurity.saml.config.issuer.oldEnvelopedSignature true Verwenden Sie diese Eigenschaft nur dann, wenn Sie die angepasste JVM-Eigenschaft com.ibm.wsspi.wssecurity.dsig.enableEnvelopedSignatureProperty auf true setzen. Informationen dazu, wann diese angepasste JVM-Eigenschaft verwendet werden sollte, finden Sie unter Angepasste JVM-Eigenschaften.
com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerFormat urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName Wert für das Attribut Format des Elements Issuer im SAML-Token.
Anmerkung: Wenn Sie das Attribut Format dem Element Issuer hinzufügen möchten, müssen Sie diese Eigenschaft angeben.
com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI http://www.websphere.ibm.com/SAML/SelfIssuer Der URI des Ausstellers.
com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds 3600000 Verfallszeit des Tokens. Diese Eigenschaft wird verwendet, um die NotOnOrAfter-Attribute im Token festzulegen. NotOnOrAfter wird auf (currentTime)+TimeToLive+(currentClockSkew) gesetzt.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreRef name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode Eine Referenz auf einen verwalteten Keystore in security.xml, der den Signierschlüssel enthält.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePath Stammverzeichnis_des_Anwendungsservers/etc/ws-security/samples/dsig-receiver.ks Die Position der Keystore-Datei, die den Signierschlüssel enthält.
Anmerkung: Sie müssen anstelle der Pfadangabe im Standardwert die Pfadposition für Ihr System angeben.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreType JKS Der Keystore-Typ.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePassword Kennwort Das Kennwort der Keystore-Datei (das Kennwort für mit XOR verschlüsselt werden). Weitere Informationen finden Sie im Artikel, der sich mit der Kennwortcodierung in Dateien befasst.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias SOAP-Provider Der Alias des privaten Signierschlüssels wie im Keystore definiert.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName CN=SOAPProvider, OU=TRL, O=IBM, ST=Kanagawa, C=JP Der Name des privaten Signierschlüssels wie in der Keystore-Datei definiert. Dieser Name wird für Referenzzwecke verwendet und von der Laufzeit nicht ausgewertet.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword Kennwort Das Kennwort des privaten Schlüssels gemäß Definition in der Keystore-Datei (das Kennwort muss mit XOR verschlüsselt werden).
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreRef name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode Eine Referenz auf einen verwalteten Keystore in security.xml, der das Verschlüsselungszertifikat enthält.
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePath Stammverzeichnis_des_Anwendungsservers/etc/ws-security/samples/dsig-receiver.ks Die Position der Speicherdatei, die das Verschlüsselungszertifikat enthält.
Anmerkung: Sie müssen anstelle der Pfadangabe im Standardwert die Pfadposition für Ihr System angeben.
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreType JKS Der Speichertyp der Speicherdatei, die das Verschlüsselungszertifikat enthält.
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePassword Kennwort Das Kennwort für die Speicherdatei, die das Verschlüsselungszertifikat enthält.
com.ibm.wsspi.wssecurity.saml.config.issuer.AttributeProvider com.mycompany.SAML.AttributeProviderImpl Implementierungsklasse des Attributproviders.
Anmerkung: Die Klasse muss die Schnittstelle "javax.security.auth.callback.CallbackHandler" implementieren. Die Klasse sollte das Callback-Objekt "com.ibm.websphere.wssecurity.callbackhandler.Saml11AttributeCallback" oder "com.ibm.websphere.wssecurity.callbackhandler.Saml20AttributeCallback" erhalten und anschließend die SAMLAttribute-Liste aktualisieren. Diese Liste wird mit der Methode "getSAMLAttributes" vom betreffenden Objekt abgerufen.

Weitere Informationen finden Sie im Artikel "Attribute für selbst ausgestellte SAML-Token über die API hinzufügen".

com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptingAlias soaprecipient Der Eintrag in der Speicherdatei, der in der TrustStore-Eigenschaft mit dem öffentlichen Zertifikat bereitgestellt wird, das für die Verschlüsselung des SAML-Tokens verwendet wird. Wenn ein selbst ausgestelltes Token mit APIs generiert wird, hat ein Alias, der im Objekt RequesterConfig mit der Methode setKeyAliasForAppliesTo festgelegt wird, Vorrang vor dem für diese Eigenschaft festgelegten Wert.
com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptSAML true

Setzen Sie diese Eigenschaft auf true, wenn Sie ein verschlüsseltes SAML-Token generieren möchten. Der Standardwert für diese Eigenschaft ist "false".

Wenn Sie ein selbst ausgestelltes Token mit APIs generieren, können Sie auch angeben, dass Sie das SAML-Token mit der Methode setEncryptSAML(true) im Objekt RequesterConfig verschlüsseln möchten. Das SAML-Token wird verschlüsselt, wenn entweder die Einstellung setEncryptSAML=true im Objekt RequesterConfig festgelegt oder die angepasste Eigenschaft EncryptSAML auf true gesetzt wurde.

com.ibm.wsspi.wssecurity.saml.config.issuer.NameIDProvider com.mycompany.SAML.NameIDProviderImpl Implementierungsklasse des Namens-ID-Providers.
Anmerkung: Die Klasse muss die Schnittstelle "javax.security.auth.callback.CallbackHandler" implementieren. Die Klasse sollte das Callback-Objekt "com.ibm.websphere.wssecurity.callbackhandler.NameIDCallback" erhalten und anschließend die Methode "setSAMLNameID" für dieses Objekt aufrufen, um die Namens-ID ("NameID") zu aktualisieren.

Weitere Informationen finden Sie im Artikel "Namens-ID für selbst ausgestellte SAML-Token über die API anpassen".

com.ibm.wsspi.wssecurity.saml.config.issuer.UseSha2ForSignature true Setzen Sie diese Eigenschaft auf true, um den SHA-2-Signaturalgorithmus (http://www.w3.org/2001/04/xmldsig-more#rsa-sha256) beim Signieren der SAML-Token zu verwenden.

Angepasste Eigenschaften für den Trust-Client

In der folgenden Tabelle werden die angepassten Eigenschaften aufgeführt, die für die Konfiguration des Trust-Clients verwendet werden können. Werden diese angepassten Eigenschaften zusammen mit dem SAML-Tokengenerator verwendet, werden sie dem Callback-Handler des SAML-Tokengenerators hinzugefügt.

Tabelle 5. Angepasste Eigenschaften für den Trust-Client . Diese Tabelle enthält den Namen der angepasste Eigenschaft, die zugehörigen Werte und eine Kurzbeschreibung.
Name Werte Beschreibung
com.ibm.wsspi.wssecurity.trust.client.TrustServiceCacheEntries Der Standardwert ist 1000. Die maximale Anzahl von Cacheeinträgen der STS-Serviceinstanz, die gespeichert werden können.
com.ibm.wsspi.wssecurity.trust.client.TrustServiceCacheTimeout Der Standardwert ist 60 Minuten. Die Zeit in Minuten, während der eine STS-Serviceinstanz in einem clientseitigen Cache zwischengespeichert wird.
keyType Die folgenden Schlüsseltypen (keyTypes) können für WS-Trust 1.2 angegeben werden:
  • http://schemas.xmlsoap.org/ws/2005/02/trust/PublicKey
  • http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey

Die folgenden Schlüsseltypen (keyTypes) können für WS-Trust 1.3 angegeben werden:

  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/PublicKey
  • ttp://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
Der Schlüsseltyp, der verwendet wird, wenn Sie eine WS-Trust-Anforderung an STS richten.
wstrustActAsRequired Die gültigen Werte sind true und false. Der Standardwert ist false. Setzen Sie diese Eigenschaft auf "true", wenn ein SAML-Token in eine STS-Anforderung im Element "ActAs" eingefügt werden soll. Das SAML-Token muss im aktuellen runAs-Subject oder im JAAS-Anmeldeobjekt mit gemeinsamem Status vorhanden sein. Ein Token in der JAAS-Anmeldung mit gemeinsamem Status hat Vorrang vor einem Token im runAs-Subjekt. Wenn sowohl das Element "onBehalfOfRequired" als auch das Element "actAsRequired" auf "true" gesetzt ist, wird nur das Element "OnBehalfOf" in die STS-anforderung eingefügt. Weitere Informationen finden Sie im Artikel "SAML-Token mittels eines JAAS-Anmeldemoduls in einem Stack generieren und konsumieren".
wstrustActAsTokenType Gültige Werte sind http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 und http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0. Der Standardwert ist der Typ des Tokens, das mit dem Callback-Handler des SAML-Generators generiert wird. Setzen Sie diese Eigenschaft auf den Tokentyp des SAML-Tokens, das in die Nachricht im Element "ActAs" der STS-Anforderung eingefügt werden soll.
wstrustActAsReIssue Die gültigen Werte sind true und false. Der Standardwert ist false. Setzen Sie diese Eigenschaft auf true, um ein SAML-Token in das Element ActAsReIssue in der STS-Anforderung einzufügen oder um ein SAML-Token aus dem runAs-Subjekt einzufügen, das im SAML-Generator-Callback-Handler mit Signatur- und Verschlüsselungseinstellungen erneut ausgestellt wird. Ein SAML-Token, das aus dem JAAS-Anmeldeobjekt mit gemeinsamem Status abgerufen wird, kann nicht erneut ausgestellt werden.
wstrustClientBinding Diese angepasste Eigenschaft hat keinen Standardwert. Ein Bindungsname für den WS-Trust-Client.
wstrustClientBindingScope Diese angepasste Eigenschaft hat keinen Standardwert. Der Bindungsgeltungsbereich für den Richtliniensatz, der dem WS-Trust-Client zugeordnet ist.
wstrustClientCollectionRequest Die gültigen Werte sind true und false. Der Standardwert ist false, d. h. "RequestSecurityToken" wird anstelle von "RequestSecurityTokenCollection" verwendet. Verwenden Sie diese angepasste Eigenschaft, um anzugeben, ob "RequestSecurityTokenCollection" in einer WS-Trust-Anforderung erforderlich ist.
wstrustClientPolicy Diese angepasste Eigenschaft hat keinen Standardwert. Der Richtliniensatzname für einen WS-Trust-Client.
wstrustClientSoapVersion Die gültigen Werte sind 1.1 und 1.2. Ist kein Wert angegeben, wird standardmäßig die SOAP-Version verwendet, die der Anwendungsclient verwendet. Die SOAP-Version in einer WS-Trust-Anforderung.
wstrustClientWSTNamespace Der Standardwert ist trust13. Gültige Werte sind trust12 und trust13. Der WS-Trust-Namespace für eine WS-Trust-Anforderung.
wstrustOnBehalfOfRequired Die gültigen Werte sind true und false. Der Standardwert ist false. Setzen Sie diese Eigenschaft auf true, wenn ein SAML-Token in eine STS-Anforderung im Element "OnBehalfOf" eingefügt werden soll. Das SAML-Token muss im aktuellen runAs-Subject oder im JAAS-Anmeldeobjekt mit gemeinsamem Status vorhanden sein. Ein Token in der JAAS-Anmeldung mit gemeinsamem Status hat Vorrang vor einem Token im runAs-Subjekt. Weitere Informationen finden Sie in der Beschreibung des Moduls "twbs_gen_con_token_JAAS_mod".
wstrustOnBehalfOfTokenType Gültige Werte sind http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 und http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0. Der Standardwert ist der Typ des Tokens, das mit dem Callback-Handler des SAML-Generators generiert wird. Setzen Sie diese Eigenschaft auf den Tokentyp des SAML-Tokens, das in die Nachricht im Element "OnBehalfOf" der STS-Anforderung eingefügt werden soll.
wstrustOnBehalfOfReIssue Die gültigen Werte sind true und false. Der Standardwert ist false. Setzen Sie diese Eigenschaft auf true, um ein SAML-Token in das Element "OnBehalfOf" in der STS-Anforderung einzufügen. Dies ist ein SAML-Token aus dem runAs-Subjekt, das im Callback-Handler für den Tokengenerator mit Signatur- und Verschlüsselungseinstellungen erneut ausgestellt wird. Ein SAML-Token, das aus dem JAAS-Anmeldeobjekt mit gemeinsamem Status abgerufen wird, kann nicht erneut ausgestellt werden.

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_saml_customproperties
Dateiname:rwbs_saml_customproperties.html