Angepasste Eigenschaften des Web Services Security-SAML-Tokens
Wenn Sie ein WS-Security-SAML-Token konfigurieren, können Sie Name/Wert-Paare konfigurieren, in denen der Name für einen Eigenschaftsschlüssel und der Wert für einen Zeichenfolgewert steht, mit denen Sie interne Systemkonfigurationseigenschaften definieren können. Sie können diese Konfigurationseigenschaften zusammen mit den in der Administrationskonsole bereitgestellten Optionen verwenden, um zu bestimmen, wie der SAML-Token generiert oder konsumiert wird.
Führen Sie zum Konfigurieren dieser angepassten SAML-Eigenschaften in der Administrationskonsole entweder diese Schritte aus:
- Erweitern Sie Services.
- Wählen Sie Service-Provider oder Service-Client aus.
- Klicken Sie auf die entsprechende Anwendung in der Spalte Name.
- Klicken Sie auf die entsprechende Bindung in der Spalte Bindung.
Sie müssen vorher einen Richtliniensatz zugeordnet und eine Bindung zugewiesen haben.
oder
- Klicken Sie auf WebSphere-Unternehmensanwendungen. , und klicken Sie dann auf
- Wählen Sie eine Anwendung aus, die Web-Services enthält. Die Anwendung muss einen Service-Provider oder einen Service-Client enthalten.
- Klicken Sie unter der Überschrift Web-Service-Eigenschaften auf Richtliniensätze und Bindungen für Service-Provider oder auf Richtliniensätze und Bindungen für Service-Clients.
- Wählen Sie eine Bindung aus. Sie müssen vorher einen Richtliniensatz zugeordnet und eine anwendungsspezifische Bindung zugewiesen haben.
Führen Sie anschließend die folgenden Schritte aus:
- Klicken Sie in der Tabelle "Richtlinien" auf WS-Security.
- Klicken Sie unter der Überschrift Hauptrichtlinienbindungen für Nachrichtensicherheit auf Authentifizierung und Zugriffsschutz.
- Klicken Sie unter
Authentifizierungstoken auf den Namen des Authentifizierungstokens.
Unterstützte Konfigurationen: Sie können das Token, das vom Anmeldemodul für generische Sicherheitstoken verarbeitet wird, nur für die Authentifizierung verwenden. Sie können dieses Token nicht als Schutztoken verwenden. sptcfg
- Klicken Sie unter Zusätzliche Bindungen auf Callback-Handler.
- Geben Sie unter Angepasste Eigenschaften die Name/Wert-Paare ein.
In den folgenden Abschnitten werden die angepassten Eigenschaften aufgelistet und es wird angegeben, wie jede angepasste Eigenschaft verwendet wird.
- Angepasste Eigenschaften für SAML-Tokengenerator
- Angepasste Eigenschaften für SAML-Tokenkonsumenten
- Angepasste Eigenschaften für SAML-Token für Tokengeneratorbindungen und Tokenkonsumentenbindungen
- Eigenschaften des SAML-Tokengenerators für selbst ausgestellte Token
- Angepasste Eigenschaften für den Trust-Client
Angepasste Eigenschaften für SAML-Tokengenerator
In der folgenden Tabelle werden die angepassten Eigenschaften für den Callback-Handler aufgeführt, die nur für die Konfiguration von SAML-Tokengeneratorbindungen verwendet werden können.
Name | Werte | Beschreibung |
---|---|---|
appliesTo | Diese angepasste Eigenschaft hat keinen Standardwert. | Sie gibt den "AppliesTo"-Wert für das angeforderte SAML-Token an, wenn eine WSS-API verwendet wird. |
audienceRestriction | Die gültigen Werte sind true und false. Das Standardverhalten ist true, d. h. AudienceRestrictionCondition ist im SAML-Token enthalten. | Diese Eigenschaft gilt nur für selbst ausgestellte SAML-Token. Verwenden Sie diese angepasste Eigenschaft, um anzugeben, ob das Element AudienceRestrictionCondition im SAML-Token enthalten ist. |
authenticationMethod | Diese angepasste Eigenschaft hat keinen Standardwert. | Diese Eigenschaft gilt nur für selbst ausgestellte SAML-Token. Verwenden Sie diese angepasste Eigenschaft, um den Wert für das Attribut AuthenticationMethod im Element AuthenticationStatement im SAML-Token anzugeben. Wenn diese angepasste Eigenschaft angegeben wird, ist das Subject in einem AuthenticationStatement-Element anstatt in einem AttributeStatement-Element enthalten. |
com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath | Diese angepasste Eigenschaft hat keinen Standardwert. | Verwenden Sie diese angepasste Eigenschaft, um die erforderlichen Konfigurationsdaten für das Generieren eines selbst ausgestellten SAML-Tokens anzugeben. |
cacheCushion | Der Standardwert ist 5 Minuten. | Die Eigenschaft gibt die Zeitdauer in Minuten an, bevor die Verfallszeit eines SAML-Tokens abläuft und ein neues Token ausgestellt werden muss. Wenn für cacheCushion beispielsweise 5 Minuten festgelegt werden und das SAML-Token in 2 Minuten abläuft, wird es nicht wiederverwendet, sondern ein neues SAML-Token wird ausgestellt. Wenn die Laufzeit gerade ein SAML-Token im Cache zwischenspeichert wird ein Token jenseits der Cachezeitreserve nicht zwischengespeichert. |
cacheToken | Die gültigen Werte sind true und false. Das Standardverhalten ist true, d. h. das SAML-Token wird zur Wiederverwendung zwischengespeichert. | Verwenden sie diese angepasste Eigenschaft, um anzugeben, ob ein SAML-Token zur Wiederverwendung zwischengespeichert werden kann. |
com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath | Der Standardwert ist ${USER_INSTALL_ROOT}/config/cells/${WAS_CELL_NAME}/sts/SAMLIssuerConfig.properties | Der Dateipfad zu den Konfigurationsdaten, die zum Generieren eines selbst ausgestellten SAML-Tokens verwendet werden sollen. |
com.ibm.wsspi.wssecurity.saml.client.SamlTokenCacheEntries | Der Standardwert ist 250. | Verwenden Sie diese angepasste JVM-Eigenschaft, um die maximale Anzahl von Cacheeinträgen anzugeben, die gespeichert werden können. |
com.ibm.wsspi.wssecurity.saml.client.SamlTokenCacheTimeout | Der Standardwert ist 60 Minuten. | Diese Eigenschaft wird nur für SAML-Token verwenden, deren Verfallszeit unbekannt ist (die Token sind verschlüsselt, oder mit dem Token wird als Antwort vom STS keine Verfallszeit angegeben). Für SAML-Token, deren Verfallszeit unbekannt ist, wird SamlTokenCacheTimeout als Ersatz für die Verfallszeit verwendet. Für ein neues SAML-Token, das unter diesen Kriterien im Cache zwischengespeichert wird, wird die Verfallszeit (aktuelle_Zeit)+SamlTokenCacheTimeout festgelegt. Die für die Eigenschaft cacheCushion beschriebenen Bedingungen gelten weiterhin. Beachten Sie daher den Wert für cacheCushion, wenn Sie den Wert für SamlTokenCacheTimeout ändern. |
com.ibm.wsspi.wssecurity.saml.get.SamlToken und com.ibm.wsspi.wssecurity.saml.put.SamlToken | Die gültigen Werte sind true und false. Der Standardwert ist false. | |
confirmationMethod | Die gültigen Werte sind bearer, holder-of-key und sender-vouches. Der Standardwert ist bearer. | Die Bestätigungsmethode (ConfirmationMethod) für das SAML-Token-Subject. |
com.ibm.wsspi.wssecurity.saml.get.SamlToken | Diese angepasste Eigenschaft hat keinen Standardwert. | Verwenden Sie diese angepasste Eigenschaft, um das SAML-Token für "RequestContext" festzulegen. |
com.ibm.wsspi.wssecurity.saml.put.SamlToken | Diese angepasste Eigenschaft hat keinen Standardwert. | Verwenden Sie diese angepasste Eigenschaft, um das SAML-Token für "RequestContext" festzulegen. |
failOverToTokenRequest | Die gültigen Werte sind true und false. Der Standardwert ist true, d. h. die WS-Security-Laufzeit gibt immer ein neues SAML-Token aus, wenn das Eingabetoken ungültig ist. | Verwenden Sie diese angepasste Eigenschaft, um anzugeben, ob die WS-Security-Laufzeit die zugeordnete Richtliniengruppe verwenden soll, um ein neues SAML-Token auszugeben, wenn das Eingabe-SAML-Token im Anforderungskontext (RequestContext) ungültig ist. |
recipientAlias | Diese angepasste Eigenschaft hat keinen Standardwert. | Der Zielservicealias für ein Zertifikat. |
signToken | Gültige Werte sind true und false. Diese angepasste Eigenschaft hat keinen Standardwert. | Verwenden Sie diese angepasste Eigenschaft, um anzugeben, ob ein SAML-Token mit einer Anwendungsnachricht signiert werden soll. |
sslConfigAlias | Wenn für diese Eigenschaft kein Wert angegeben ist, wird der in der SSL-Konfiguration des Systems definierte SSL-Standardalias verwendet. Diese Eigenschaft ist optional. |
Der Alias einer SSL-Konfiguration, die ein WS-Trust-Client verwendet, um ein SAML-Token anzufordern. |
stsURI | Diese angepasste Eigenschaft hat keinen Standardwert. | Die Adresse des SecurityTokenService (STS). |
keySize | Diese angepasste Eigenschaft hat keinen Standardwert. | Die Schlüsselgröße (KeySize), wenn ein geheimer Schlüssel (SecretKey) von STS angefordert wird. |
tokenRequest | Die gültigen Werte sind issue, propagation, issueByWSCredential und issueByWSPrincipal. Der Standardwert ist issue. | Die Anforderungsmethode des SAML-Tokens.Weitere Informationen zu den Werten, die für diese Eigenschaft angegeben werden können, finden Sie im Artikel SAML-Tokenweitergabe. |
tokenType | Diese angepasste Eigenschaft hat keinen Standardwert. | Verwenden Sie diese angepasste Eigenschaft, um den erforderlichen Tokentyp auf SAMLGenerateCallback zu setzen |
usekeyType | Diese angepasste Eigenschaft ist optional. Die gültigen Werte sind KeyValue, X509Certificate und X509IssuerSerial. | Verwenden Sie diese angepasste Eigenschaft, um den Usekey-Typ anzugeben, der den Client auffordert, einen bestimmten Schlüsseldatentyp zu generieren. |
WSSConsumingContext | Diese angepasste Eigenschaft hat keinen Standardwert. | Verwenden Sie diese angepasste Eigenschaft, um das Objekt WSSConsumingContext anzugeben, dass der WS-Trust-Client verwendet, um ein SAML-Token anzufordern. |
WSSGenerationContext | Diese angepasste Eigenschaft hat keinen Standardwert. | Verwenden Sie diese angepasste Eigenschaft, um das Objekt WSSGenerationContext anzugeben, dass der WS-Trust-Client verwendet, um ein SAML-Token anzufordern. |
NameID | Diese angepasste Eigenschaft hat keinen Standardwert. | Diese Eigenschaft legt die Namens-ID (NameID) im Subject eines selbst ausgestellten SAML-Tokens fest. Wenn der Generator so konfiguriert ist, dass er ein Token selbst ausstellt, und wenn die Eigenschaft NameID nicht angegeben ist, wird versucht, ein Token aus einem SAML-Token im runAs-Subjekt zu erstellen. Wenn im runAs-Subject kein SAML-Token vorhanden ist, wird das Token völlig neu erstellt und die NameID im Subject im Token auf UNAUTHENTICATED gesetzt. Weitere Informationen zum Generieren von selbst ausgestellten SAML-Token über Einstellungen in den WS-Security-Bindungen finden Sie im Artikel Konfigurationseigenschaften des SAML-Ausstellers. |
Angepasste Eigenschaften für SAML-Tokenkonsumenten
In der folgenden Tabelle werden die angepassten Eigenschaften für den Callback-Handler aufgeführt, die nur für die Konfiguration von SAML-Tokenkonsumentenbindungen verwendet werden können.
Name | Werte | Beschreibung |
---|---|---|
allowUnencKeyInHok | Die gültigen Werte sind true und false. Der Standardwert ist true, d. h., unverschlüsselte Schlüssel sind zulässig. | Verwenden Sie diese Eigenschaft, um den SAML-Tokenkonsumenten anzuweisen, einen unverschlüsselten Schlüssel in einem SAML-HoK-Token (Holder-of-Key) zu akzeptieren. |
com.ibm.wsspi.wssecurity.saml.signature.SignatureCacheEntries | Ein Integer. Der Standardwert ist 1000. | Die Anzahl der Signaturcacheeinträge, die für ein SAML-Konsumententoken gespeichert werden können. |
com.ibm.wsspi.wssecurity.saml.signature.SignatureCacheTimeout | Ein Integer. Der Standardwert ist 60 Minuten. | Gibt an, wie viele Minuten ein SAML-Token zwischengespeichert werden soll. Eine Signaturvalidierung muss nicht wiederholt werden, während der SAML-Token zwischengespeichert ist. |
keyAlias | Diese angepasste Eigenschaft hat keinen Standardwert. | Der Alias des privaten Schlüssels zur Entschlüsselung wie im Keystore definiert. |
keyName | Diese angepasste Eigenschaft hat keinen Standardwert. | Der Name des privaten Schlüssels zur Entschlüsselung wie im Keystore definiert. Dieser Name wird für Referenzzwecke verwendet und von der Laufzeit nicht ausgewertet. |
keyPassword | Diese angepasste Eigenschaft hat keinen Standardwert. | Das Kennwort des privaten Schlüssels zur Entschlüsselung gemäß Definition in der Keystore-Datei (das Kennwort muss mit XOR verschlüsselt sein). Weitere Informationen finden Sie im Artikel, der sich mit der Kennwortcodierung in Dateien befasst. |
keyStorePassword | Diese angepasste Eigenschaft hat keinen Standardwert. | Das Kennwort für die Keystore-Datei. Das Kennwort kann mit XOR verschlüsselt sein. Weitere Informationen finden Sie im Artikel, der sich mit der Kennwortcodierung in Dateien befasst. |
keyStorePath | Diese angepasste Eigenschaft hat keinen Standardwert. | Der Dateipfad der Keystore-Datei, die den Schlüssel zur Entschlüsselung enthält. |
keyStoreRef | Diese angepasste Eigenschaft hat keinen Standardwert. | Eine Referenz auf einen verwalteten Keystore in security.xml, der den Schlüssel zur Entschlüsselung enthält.
Beispiel: name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode |
keyStoreType | Diese angepasste Eigenschaft hat keinen Standardwert. | Der Keystore-Typ der Keystore-Datei. |
signatureRequired | Der Standardwert ist true. | Verwenden Sie diese angepasste Eigenschaft, um anzugeben, ob eine Signatur für eine SAML-Zusicherung erforderlich ist. |
trustAnySigner | Der Standardwert ist false. | Verwenden Sie diese angepasste Eigenschaft, um anzugeben, ob ein Empfänger allen Zertifikaten vertrauen kann, die eine SAML-Zusicherung enthalten. |
trustedAlias | Diese angepasste Eigenschaft hat keinen Standardwert. | Der Alias des vertrauenswürdigen STS-Zertifikats für ein SAML-Konsumententoken. |
trustedIssuer_ | Der Name wird als trustedIssuer_n angegebene. n ist eine ganze Zahl. Diese angepasste Eigenschaft hat keinen Standardwert. | Der Name eines vertrauenswürdigen Ausstellers. |
trustedSubjectDN_ | Der angegebene Wert muss im Format trustedSubjectDN_n angegeben werden. n ist eine ganze Zahl. Diese angepasste Eigenschaft hat keinen Standardwert. | Der X509Certificate-SubjectDN-Name für den vertrauenswürdigen Aussteller. |
trustStorePassword | Diese angepasste Eigenschaft hat keinen Standardwert. | Das Truststore-Kennwort für ein SAML-Konsumententoken. |
trustStorePath | Diese angepasste Eigenschaft hat keinen Standardwert. | Der Truststore-Pfad für ein SAML-Konsumententoken. |
trustStoreRef | Diese angepasste Eigenschaft hat keinen Standardwert. | Die Truststore-Referenz für ein SAML-Konsumententoken.
Beispiel: name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode |
trustStoreType | Diese angepasste Eigenschaft hat keinen Standardwert. | Der Keystore-Typ für den Truststore. |
validateAudienceRestriction | Die gültigen Werte sind true und false. Der Standardwert ist false, d. h. eine AudienceRestriction-Zusicherungsvalidierung ist nicht erforderlich. | Verwenden Sie diese angepasste Eigenschaft, um anzugeben, ob eine AudienceRestriction-Zusicherung validiert werden muss. |
validateOneTimeUse | Die gültigen Werte sind true und false. Der Standardwert ist true, d. h. die Zusicherungsvalidierung "OneTimeUse" erforderlich ist. | Verwenden Sie diese angepasste Eigenschaft, um anzugeben, ob eine OneTimeUse-Zusicherung SAML 2.0 oder DoNotCacheCondition in SAML 1.1 validiert werden muss. |
CRLPATH | Diese angepasste Eigenschaft hat keinen Standardwert. | Der Dateipfad der Liste mit den widerrufenen Zertifikaten für ein SAML-Konsumententoken. |
X509PATH | Diese angepasste Eigenschaft hat keinen Standardwert. | Der Dateipfad zur X509-Zwischenzertifikatsdatei für ein SAML-Konsumententoken. |
CRLPATH_ | Der angegebene Wert muss im Format trustedSubjectDN_n angegeben werden. n ist eine ganze Zahl. Diese angepasste Eigenschaft hat keinen Standardwert. | Der Dateipfad der Liste mit den widerrufenen X509-Zertifikaten für ein SAML-Konsumententoken. |
X509PATH_ | Der angegebene Wert muss im Format X509_path_n angegeben werden. n ist eine ganze Zahl. Diese angepasste Eigenschaft hat keinen Standardwert. | Der Dateipfad der Liste mit den widerrufenen X509-Zwischenzertifikaten für ein SAML-Konsumententoken. |
Angepasste Eigenschaften für SAML-Token für Tokengeneratorbindungen und Tokenkonsumentenbindungen
In der folgenden Tabelle werden die angepassten Eigenschaften für den Callback-Handler aufgeführt, die sowohl für die Konfiguration von SAML-Tokengeneratorbindungen und SAML-Tokenkonsumentenbindungen verwendet werden können.
Name | Werte | Beschreibung |
---|---|---|
clockSkew | Der Standardwert ist 3 Minuten. | Eine zeitliche
Anpassung (in Minuten) für die Zeiten in selbst ausgestellten SAML-Token, die vom
SAMLGenerateLoginModule erstellt werden. Die angepasste Eigenschaft "clockSkew" wird im Callback-Handler des SAML-Tokengenerators definiert, der die Klasse "SAMLGenerateLoginModule" verwendet. Der für diese angepasste Eigenschaft angegebene Wert muss numerisch sein und wird in Minuten angegeben. Wenn Sie einen Wert für diese angepasste Eigenschaft angeben,
werden die folgenden Zeitanpassungen in dem selbst ausgestellten SAML-Token vorgenommen, das von
SAMLGenerateLoginModule erstellt wird:
|
clientLabel | Diese angepasste Eigenschaft hat keinen Standardwert. | Der Clientkennsatz in Byte, der für die abgeleiteten Schlüssel verwendet werden soll, wenn eine WSS-API mit dem angeforderten SAML-Token verwendet wird. |
serviceLabel | Diese angepasste Eigenschaft hat keinen Standardwert. | Der Servicekennsatz in Byte, der für die abgeleiteten Schlüssel verwendet werden soll, wenn eine WSS-API mit dem angeforderten SAML-Token verwendet wird. |
keylength | Diese angepasste Eigenschaft hat keinen Standardwert. | Die Schlüssellänge in Byte, die für die abgeleiteten Schlüssel verwendet werden soll, wenn eine WSS-API mit dem angeforderten SAML-Token verwendet wird. |
nonceLength | Der Standardwert ist 128. | Die Noncelänge in Byte, die für die abgeleiteten Schlüssel verwendet werden soll, wenn eine WSS-API mit dem angeforderten SAML-Token verwendet wird. |
requireDKT | Der Standardwert ist false. | Verwenden Sie diese angepasste Eigenschaft, um eine Option für die abgeleiteten Schlüssel anzugeben, wenn eine WSS-API mit dem angeforderten SAML-Token verwendet wird. |
useImpliedDKT | Der Standardwert ist false. | Verwenden Sie diese angepasste Eigenschaft, um eine Option anzugeben, die mit implizierten abgeleiteten Schlüsseln verwendet wird, wenn eine WSS-API mit dem angeforderten SAML-Token verwendet wird. |
Eigenschaften des SAML-Tokengenerators für selbst ausgestellte Token
In der folgenden Tabelle werden die angepassten Eigenschaften für den Callback-Handler aufgeführt, die nur für die Konfiguration von SAML-Tokengeneratorbindungen für selbst ausgestellte Token verwendet werden können.
Eigenschaftsname in den Richtlinienbindungen | Beispieleigenschaftswert | Eigenschaftsbeschreibung |
---|---|---|
com.ibm.wsspi.wssecurity.saml.config.issuer.oldEnvelopedSignature | true | Verwenden Sie diese Eigenschaft nur dann, wenn Sie die angepasste JVM-Eigenschaft com.ibm.wsspi.wssecurity.dsig.enableEnvelopedSignatureProperty auf true setzen. Informationen dazu, wann diese angepasste JVM-Eigenschaft verwendet werden sollte, finden Sie unter Angepasste JVM-Eigenschaften. |
com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerFormat | urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName | Wert für das Attribut Format des Elements Issuer
im SAML-Token. Anmerkung: Wenn Sie das Attribut
Format dem Element
Issuer hinzufügen möchten, müssen Sie diese Eigenschaft angeben.
|
com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI | http://www.websphere.ibm.com/SAML/SelfIssuer | Der URI des Ausstellers. |
com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds | 3600000 | Verfallszeit des Tokens. Diese Eigenschaft wird verwendet, um die NotOnOrAfter-Attribute im Token festzulegen. NotOnOrAfter wird auf (currentTime)+TimeToLive+(currentClockSkew) gesetzt. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreRef | name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode | Eine Referenz auf einen verwalteten Keystore in security.xml, der den Signierschlüssel enthält. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePath | Stammverzeichnis_des_Anwendungsservers/etc/ws-security/samples/dsig-receiver.ks | Die Position der Keystore-Datei, die den Signierschlüssel enthält.
Anmerkung: Sie müssen anstelle der Pfadangabe im Standardwert die Pfadposition für Ihr System angeben.
|
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreType | JKS | Der Keystore-Typ. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePassword | Kennwort | Das Kennwort der Keystore-Datei (das Kennwort für mit XOR verschlüsselt werden). Weitere Informationen finden Sie im Artikel, der sich mit der Kennwortcodierung in Dateien befasst. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias | SOAP-Provider | Der Alias des privaten Signierschlüssels wie im Keystore definiert. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName | CN=SOAPProvider, OU=TRL, O=IBM, ST=Kanagawa, C=JP | Der Name des privaten Signierschlüssels wie in der Keystore-Datei definiert. Dieser Name wird für Referenzzwecke verwendet und von der Laufzeit nicht ausgewertet. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword | Kennwort | Das Kennwort des privaten Schlüssels gemäß Definition in der Keystore-Datei (das Kennwort muss mit XOR verschlüsselt werden). |
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreRef | name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode | Eine Referenz auf einen verwalteten Keystore in security.xml, der das Verschlüsselungszertifikat enthält. |
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePath | Stammverzeichnis_des_Anwendungsservers/etc/ws-security/samples/dsig-receiver.ks | Die Position der Speicherdatei, die das Verschlüsselungszertifikat enthält.
Anmerkung: Sie müssen anstelle der Pfadangabe im Standardwert die Pfadposition für Ihr System angeben.
|
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreType | JKS | Der Speichertyp der Speicherdatei, die das Verschlüsselungszertifikat enthält. |
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePassword | Kennwort | Das Kennwort für die Speicherdatei, die das Verschlüsselungszertifikat enthält. |
com.ibm.wsspi.wssecurity.saml.config.issuer.AttributeProvider | com.mycompany.SAML.AttributeProviderImpl | Implementierungsklasse des Attributproviders. Anmerkung: Die Klasse muss die Schnittstelle
"javax.security.auth.callback.CallbackHandler" implementieren.
Die Klasse sollte das Callback-Objekt
"com.ibm.websphere.wssecurity.callbackhandler.Saml11AttributeCallback" oder
"com.ibm.websphere.wssecurity.callbackhandler.Saml20AttributeCallback" erhalten und anschließend
die SAMLAttribute-Liste aktualisieren. Diese Liste wird mit der Methode "getSAMLAttributes" vom betreffenden Objekt abgerufen.
Weitere Informationen finden Sie im Artikel "Attribute für selbst ausgestellte SAML-Token über die API hinzufügen". |
com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptingAlias | soaprecipient | Der Eintrag in der Speicherdatei, der in der TrustStore-Eigenschaft mit dem öffentlichen Zertifikat bereitgestellt wird, das für die Verschlüsselung des SAML-Tokens verwendet wird. Wenn ein selbst ausgestelltes Token mit APIs generiert wird, hat ein Alias, der im Objekt RequesterConfig mit der Methode setKeyAliasForAppliesTo festgelegt wird, Vorrang vor dem für diese Eigenschaft festgelegten Wert. |
com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptSAML | true | Setzen Sie diese Eigenschaft auf true, wenn Sie ein verschlüsseltes SAML-Token generieren möchten. Der Standardwert für diese Eigenschaft ist "false". Wenn Sie ein selbst ausgestelltes Token mit APIs generieren, können Sie auch angeben, dass Sie das SAML-Token mit der Methode setEncryptSAML(true) im Objekt RequesterConfig verschlüsseln möchten. Das SAML-Token wird verschlüsselt, wenn entweder die Einstellung setEncryptSAML=true im Objekt RequesterConfig festgelegt oder die angepasste Eigenschaft EncryptSAML auf true gesetzt wurde. |
com.ibm.wsspi.wssecurity.saml.config.issuer.NameIDProvider | com.mycompany.SAML.NameIDProviderImpl | Implementierungsklasse des Namens-ID-Providers. Anmerkung: Die Klasse muss die Schnittstelle
"javax.security.auth.callback.CallbackHandler" implementieren.
Die Klasse sollte das Callback-Objekt
"com.ibm.websphere.wssecurity.callbackhandler.NameIDCallback" erhalten und anschließend die Methode
"setSAMLNameID" für dieses Objekt aufrufen, um die Namens-ID ("NameID") zu aktualisieren.
Weitere Informationen finden Sie im Artikel "Namens-ID für selbst ausgestellte SAML-Token über die API anpassen". |
com.ibm.wsspi.wssecurity.saml.config.issuer.UseSha2ForSignature | true | Setzen Sie diese Eigenschaft auf true, um den SHA-2-Signaturalgorithmus (http://www.w3.org/2001/04/xmldsig-more#rsa-sha256) beim Signieren der SAML-Token zu verwenden. |
Angepasste Eigenschaften für den Trust-Client
In der folgenden Tabelle werden die angepassten Eigenschaften aufgeführt, die für die Konfiguration des Trust-Clients verwendet werden können. Werden diese angepassten Eigenschaften zusammen mit dem SAML-Tokengenerator verwendet, werden sie dem Callback-Handler des SAML-Tokengenerators hinzugefügt.
Name | Werte | Beschreibung |
---|---|---|
com.ibm.wsspi.wssecurity.trust.client.TrustServiceCacheEntries | Der Standardwert ist 1000. | Die maximale Anzahl von Cacheeinträgen der STS-Serviceinstanz, die gespeichert werden können. |
com.ibm.wsspi.wssecurity.trust.client.TrustServiceCacheTimeout | Der Standardwert ist 60 Minuten. | Die Zeit in Minuten, während der eine STS-Serviceinstanz in einem clientseitigen Cache zwischengespeichert wird. |
keyType | Die folgenden Schlüsseltypen (keyTypes) können für WS-Trust 1.2 angegeben werden:
Die folgenden Schlüsseltypen (keyTypes) können für WS-Trust 1.3 angegeben werden:
|
Der Schlüsseltyp, der verwendet wird, wenn Sie eine WS-Trust-Anforderung an STS richten. |
wstrustActAsRequired | Die gültigen Werte sind true und false. Der Standardwert ist false. | Setzen Sie diese Eigenschaft auf "true", wenn ein SAML-Token in eine STS-Anforderung im Element "ActAs" eingefügt werden soll. Das SAML-Token muss im aktuellen runAs-Subject oder im JAAS-Anmeldeobjekt mit gemeinsamem Status vorhanden sein. Ein Token in der JAAS-Anmeldung mit gemeinsamem Status hat Vorrang vor einem Token im runAs-Subjekt. Wenn sowohl das Element "onBehalfOfRequired" als auch das Element "actAsRequired" auf "true" gesetzt ist, wird nur das Element "OnBehalfOf" in die STS-anforderung eingefügt. Weitere Informationen finden Sie im Artikel "SAML-Token mittels eines JAAS-Anmeldemoduls in einem Stack generieren und konsumieren". |
wstrustActAsTokenType | Gültige Werte sind http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 und http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0. Der Standardwert ist der Typ des Tokens, das mit dem Callback-Handler des SAML-Generators generiert wird. | Setzen Sie diese Eigenschaft auf den Tokentyp des SAML-Tokens, das in die Nachricht im Element "ActAs" der STS-Anforderung eingefügt werden soll. |
wstrustActAsReIssue | Die gültigen Werte sind true und false. Der Standardwert ist false. | Setzen Sie diese Eigenschaft auf true, um ein SAML-Token in das Element ActAsReIssue in der STS-Anforderung einzufügen oder um ein SAML-Token aus dem runAs-Subjekt einzufügen, das im SAML-Generator-Callback-Handler mit Signatur- und Verschlüsselungseinstellungen erneut ausgestellt wird. Ein SAML-Token, das aus dem JAAS-Anmeldeobjekt mit gemeinsamem Status abgerufen wird, kann nicht erneut ausgestellt werden. |
wstrustClientBinding | Diese angepasste Eigenschaft hat keinen Standardwert. | Ein Bindungsname für den WS-Trust-Client. |
wstrustClientBindingScope | Diese angepasste Eigenschaft hat keinen Standardwert. | Der Bindungsgeltungsbereich für den Richtliniensatz, der dem WS-Trust-Client zugeordnet ist. |
wstrustClientCollectionRequest | Die gültigen Werte sind true und false. Der Standardwert ist false, d. h. "RequestSecurityToken" wird anstelle von "RequestSecurityTokenCollection" verwendet. | Verwenden Sie diese angepasste Eigenschaft, um anzugeben, ob "RequestSecurityTokenCollection" in einer WS-Trust-Anforderung erforderlich ist. |
wstrustClientPolicy | Diese angepasste Eigenschaft hat keinen Standardwert. | Der Richtliniensatzname für einen WS-Trust-Client. |
wstrustClientSoapVersion | Die gültigen Werte sind 1.1 und 1.2. Ist kein Wert angegeben, wird standardmäßig die SOAP-Version verwendet, die der Anwendungsclient verwendet. | Die SOAP-Version in einer WS-Trust-Anforderung. |
wstrustClientWSTNamespace | Der Standardwert ist trust13. Gültige Werte sind trust12 und trust13. | Der WS-Trust-Namespace für eine WS-Trust-Anforderung. |
wstrustOnBehalfOfRequired | Die gültigen Werte sind true und false. Der Standardwert ist false. | Setzen Sie diese Eigenschaft auf true, wenn ein SAML-Token in eine STS-Anforderung im Element "OnBehalfOf" eingefügt werden soll. Das SAML-Token muss im aktuellen runAs-Subject oder im JAAS-Anmeldeobjekt mit gemeinsamem Status vorhanden sein. Ein Token in der JAAS-Anmeldung mit gemeinsamem Status hat Vorrang vor einem Token im runAs-Subjekt. Weitere Informationen finden Sie in der Beschreibung des Moduls "twbs_gen_con_token_JAAS_mod". |
wstrustOnBehalfOfTokenType | Gültige Werte sind http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 und http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0. Der Standardwert ist der Typ des Tokens, das mit dem Callback-Handler des SAML-Generators generiert wird. | Setzen Sie diese Eigenschaft auf den Tokentyp des SAML-Tokens, das in die Nachricht im Element "OnBehalfOf" der STS-Anforderung eingefügt werden soll. |
wstrustOnBehalfOfReIssue | Die gültigen Werte sind true und false. Der Standardwert ist false. | Setzen Sie diese Eigenschaft auf true, um ein SAML-Token in das Element "OnBehalfOf" in der STS-Anforderung einzufügen. Dies ist ein SAML-Token aus dem runAs-Subjekt, das im Callback-Handler für den Tokengenerator mit Signatur- und Verschlüsselungseinstellungen erneut ausgestellt wird. Ein SAML-Token, das aus dem JAAS-Anmeldeobjekt mit gemeinsamem Status abgerufen wird, kann nicht erneut ausgestellt werden. |