Einstellungen für Token für Zugriffsschutz (Generator oder Konsument)
Verwenden Sie diese Seite, um Token für den Zugriffsschutz zu konfigurieren. Mit Token für Zugriffsschutz werden Nachrichten zur Gewährleistung der Integrität signiert bzw. zur Gewährleistung der Vertraulichkeit verschlüsselt.
Sie können die Einstellungen des Tokens für Zugriffsschutz für Nachrichtenabschnitte konfigurieren, wenn Sie allgemeine Provider- oder Clientrichtliniensatzbindungen bearbeiten. Sie können auch anwendungsspezifische Bindungen für Token und Nachrichtenabschnitte konfigurieren, die vom Richtliniensatz gefordert werden.
- Klicken Sie auf .
- Klicken Sie auf den Namen der zu bearbeitenden Bindung.
- Klicken Sie in der Tabelle "Richtlinien" auf die Richtlinie WS-Security.
- Klicken Sie im Abschnitt für die Sicherheitsrichtlinienbindungen auf den Link Authentifizierung und Zugriffsschutz.
- Klicken Sie auf Neues Token, um einen neuen Tokengenerator oder Tokenkonsumenten zu erstellen, oder klicken Sie in der Tabelle "Token für Zugriffsschutz" auf den Link eines vorhandenen Konsumenten- oder Generatortokens.
- Klicken Sie auf .
- Klicken Sie auf den Namen der zu bearbeitenden Bindung.
- Klicken Sie in der Tabelle "Richtlinien" auf die Richtlinie WS-Security.
- Klicken Sie im Abschnitt "Bindungen für Hauptnachrichtensicherheitsrichtlinie" auf den Link Authentifizierung und Zugriffsschutz.
- Klicken Sie auf Neues Token, um einen neuen Tokengenerator oder Tokenkonsumenten zu erstellen, oder klicken Sie in der Tabelle "Token für Zugriffsschutz" auf den Link eines vorhandenen Konsumenten- oder Generatortokens.
- Klicken Sie auf .
- Wählen Sie eine Anwendung aus, die Web-Services enthält. Die Anwendung muss einen Service-Provider oder einen Service-Client enthalten.
- Klicken Sie im Abschnitt "Web-Service-Eigenschaften" auf den Link Richtliniensätze und Bindungen des Service-Providers oder auf den Link Richtliniensätze und Bindungen des Service-Clients.
- Wählen Sie eine Bindung aus. Sie müssen vorher einen Richtliniensatz zugeordnet und eine Bindung zugewiesen haben.
- Klicken Sie in der Tabelle "Richtlinien" auf die Richtlinie WS-Security.
- Klicken Sie im Abschnitt für die Sicherheitsrichtlinienbindungen auf den Link Authentifizierung und Zugriffsschutz.
- Klicken Sie in der Tabelle "Token für Zugriffsschutz" auf den Link eines Konsumenten- oder Generatortokens.
Diese Seite der Administrationskonsole bezieht sich nur auf JAX-WS-Anwendungen (Java™ API for XML Web Services).
Name
Gibt den Namen des Tokengenerators bzw. Tokenkonsumenten an. Geben Sie in diesem Feld einen Namen ein, wenn Sie ein neues Token erstellen.
Tokentyp
Gibt den Typ des Tokens an. Wenn Sie Bindungen verwenden, wird der Tokentyp durch die Richtlinie bestimmt und kann nicht geändert werden.
- LPTA Token V2.0
- Secure Conversation Token V1.3
- Secure Conversation Token V200502
- X509V3 Token V1.1
- X509V3 Token V1.0
- X509PKCS7 Token V1.1
- X509PKCS7 Token V1.0
- X509PkiPathV1 Token V1.1
- X509PkiPathV1 Token V1.0
- X509V1 Token V1.1
- Angepasstes Token
Tokenversion erzwingen
Wenn "LTPA Token v2.0" als Tokentyp ausgewählt ist, können Token der LTPA Version 1 und der LTPA Version 2 konsumiert werden. Wählen Sie dieses Kontrollkästchen aus, um den Tokenkonsum auf den Tokentyp "LTPA Token v2.0" zu beschränken.
Lokaler Name
Gibt den lokalen Namen des angepassten Tokengenerators bzw. Tokenkonsumenten an. Der in das Feld Lokaler Name eingetragene Wert basiert auf dem angezeigten Tokentyp. Verwenden Sie dieses Feld nur, um angepasste Tokentypen zu bearbeiten.
Wenn der Typ "Angepasstes Token" verwendet wird, um ein Kerberos-Token gemäß OASIS Web Services Security Specification for Kerberos Token Profile V1.1 zu generieren, verwenden Sie einen der nachfolgend aufgelisteten Werte als lokalen Namen. Der ausgewählte Wert richtet sich nach der Spezifikationsstufe des vom Key Distribution Center (KDC) generierten Kerberos-Tokens. In der folgenden Tabelle sind die Werte und zugehörigen Spezifikationsstufen aufgelistet. Aus Interoperabilitätsgründen erfordert der Standard "Basic Security Profile V1.1" die Verwendung des lokalen Namens "http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ".
Lokaler Namenswert für Kerberos-Token | Zugehörige Spezifikationsstufe |
---|---|
http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerb erosv5_AP_REQ | Kerberos v5 AP-REQ gemäß Definition in der Kerberos-Spezifikation. Verwenden Sie diesen Wert, wenn das Kerberos-Ticket eine AP-Anforderung ist. |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ | GSS-API-Kerberos-V5-Token mit einer KRB_AP_REQ-Nachricht gemäß Definition in RFC-1964 [1964], Sec. 1.1 und in Nachfolger RFC-4121, Sec. 4.1. Verwenden Sie diesen Wert, wenn das Kerberos-Ticket eine AP-Anforderung ist (ST + Authentifikator). |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510 | Kerberos v5 AP-REQ gemäß Definition in RFC1510. Verwenden Sie diesen Wert, wenn das Kerberos-Ticket eine AP-Anforderung gemäß RFC1510 ist. |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510 | GSS-API-Kerberos-V5-Token mit einer KRB_AP_REQ-Nachricht gemäß Definition in RFC-1964, Sec. 1.1 und in Nachfolger RFC-4121, Sec. 4.1. Verwenden Sie diesen Wert, wenn das Kerberos-Ticket eine AP-Anforderung gemäß RFC1510 ist (ST + Authentifikator). |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120 | Kerberos v5 AP-REQ gemäß Definition in RFC4120. Verwenden Sie diesen Wert, wenn das Kerberos-Ticket eine AP-Anforderung gemäß RFC4120 ist. |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120 | GSS-API-Kerberos-V5-Token mit einer KRB_AP_REQ-Nachricht gemäß Definition in RFC-1964, Sec. 1.1 und in Nachfolger RFC-4121, Sec. 4.1. Verwenden Sie diesen Wert, wenn das Kerberos-Ticket eine AP-Anforderung gemäß RFC4120 ist (ST + Authentifikator). |
URI
Gibt den URI (Uniform Resource Identifier) des angepassten Tokengenerators bzw. Tokenkonsumenten an. Der in das URI eingetragene Wert basiert auf dem angezeigten Tokentyp. Verwenden Sie dieses Feld nur, um angepasste Tokentypen zu bearbeiten.
Lassen Sie dieses Feld leer, wenn der Typ "Angepasstes Token" verwendet wird, um ein Kerberos-Token gemäß OASIS Web Services Security Specification for Kerberos Token Profile V1.1 zu generieren.
JAAS-Anmeldung
Gibt die JAAS-Anwendungsanmeldeinformationen (Java Authentication and Authorization Service) an. Klicken Sie auf Neu, um eine neue JAAS-Anwendungsanmeldung oder einen JAAS-Systemanmeldeeintrag hinzuzufügen.
Wenn sich der Server in einer Sicherheitsdomäne befindet, die bestimmte System- oder Anwendungsanmeldungen enthält, werden diese Anmeldungen zusätzlich zu den globalen Anmeldungen im JAAS-Anmeldemenü aufgelistet.
Neue Anwendungsanmeldung
Klicken Sie auf diese Option, um die Sammlung gültiger JAAS-Anmeldungen für die aktuelle Sicherheitsdomäne aufzurufen.
Angepasste Eigenschaften – Name
Gibt den Namen der angepassten Eigenschaft an. Angepasste Eigenschaften werden erst dann in dieser Spalte angezeigt, wenn sie hinzugefügt werden.
Wählen Sie eine der folgenden Aktionen für angepasste Eigenschaften aus:
Schaltfläche | Ausgeführte Aktion |
---|---|
Neu | Erstellt einen neuen angepassten Eigenschaftseintrag. Wenn Sie eine angepasste Eigenschaft hinzufügen möchten, geben Sie den Namen und den Wert ein. |
Bearbeiten | Gibt an, dass Sie die ausgewählte angepasste Eigenschaft bearbeiten können. Wählen Sie diese Aktion aus, um die Eingabefelder anzuzeigen und die Liste der zu bearbeitenden Zellenwerte zu erstellen. Die Schaltfläche Bearbeiten ist erst verfügbar, wenn Sie mindestens eine angepasste Eigenschaft hinzugefügt haben. |
Löschen | Entfernt die ausgewählte angepasste Eigenschaft. |
Name der angepassten Eigenschaft | Wert |
---|---|
Namen des Zielservice angeben: com.ibm.wsspi.wssecurity.krbtoken.targetServiceName | Gibt den Namen des Zielservice an. Diese Eigenschaft |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost | Gibt den Hostnamen für den Zielservice in folgendem Format an: myhost.mycompany.com. Diese Eigenschaft |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm | Gibt den Namen des Realms an, der dem Zielservice zugeordnet ist.
Diese Eigenschaft ist für einen einzelnen Kerberos-Realm optional. Wenn |
Wenn eine Anwendung ein Kerberos-V5-AP_REQ-Token für jede Web-Service-Anforderungsnachricht generiert oder konsumiert, setzen Sie die angepasste Eigenschaft com.ibm.wsspi.wssecurity.kerberos.attach.apreq in den Tokengenerator- und Tokenkonsumentenbindungen für die Anwendung auf true. Weitere Informationen finden Sie im Artikel mit den Tipps zur Fehlerbehebung bei Web Services Security.
Angepasste Eigenschaften – Wert
Gibt den Wert der angepassten Eigenschaft an. Verwenden Sie das Feld Wert, um den Wert für eine angepasste Eigenschaft einzugeben, zu bearbeiten oder zu löschen.
Callback-Handler
Nachdem Sie alle anderen Konfigurationen auf der Seite "Token für Zugriffsschutz" angewendet oder gespeichert haben, erscheint dieser Abschnitt, über den Sie zu den Konfigurationseinstellungen für den Callback-Handler gelangen. Klicken Sie auf diesen Link, um die Einstellungen für den Callback-Handler festzulegen, die bestimmen, wie Sicherheitstoken aus Nachrichtenheadern übernommen werden.
Secure Conversation Token 200502 tolerieren
Der Tokentyp "Secure Conversation Token V200502" für die WS-Security-Richtlinie stellt die Anforderung für ein SecureConversation-Token gemäß Definition in der Spezifikation WS-SecureConversation vom Februar 2005 dar. Diese Option gibt an, ob der Provider Token vom Typ "Secure Conversation Token V1.3" und "Secure Conversation Token V200502" verarbeitet. Standardmäßig werden beide Versionen vom Provider unterstützt. Sie können dieses Verhalten ändern, indem Sie das Kontrollkästchen abwählen, so dass der Provider nur Token der Version 1.3 verarbeitet.
Information | Wert |
---|---|
Datentyp | Check box |
Einstellmöglichkeiten | Ausgewählt oder nicht ausgewählt |
Standardwert | Ausgewählt |