Verwenden Sie das Standard-SSO-Token nicht in Service-Provider-Code.
Dieses Standardtoken wird nur vom Laufzeitcode von WebSphere Application Server verwendet.
Vorgehensweise
- Ändern Sie die Konfiguration für SSO-Token-Factory so, dass eine andere Factory als die Standard-Token-Factory verwendet wird.
Wenn ein
Standard-SSO-Token generiert wird, verwendet der Anwendungsserver die
Klasse "TokenFactory", die mit der Eigenschaft "com.ibm.wsspi.security.token.singleSignonTokenFactory" angegeben wird.
Verwenden Sie zum Ändern der Eigenschaft die Administrationskonsole.
Die Token-Factory "com.ibm.ws.security.ltpa.LTPAToken2Factory" ist die Standardeinstellung für diese Eigenschaft.
Diese Token-Factory erstellt
ein SSO-Token mit dem Namen "LtpaToken2", das WebSphere
Application Server für die Weitergabe verwendet. Diese Token-Factory verwendet die Verschlüsselung "AES/CBC/PKCS5Padding".
- Öffnen Sie die Administrationskonsole.
- Klicken Sie auf Sicherheit > Globale Sicherheit.
- Klicken Sie unter "Authentifizierung" auf Angepasste Eigenschaften.
- Führen Sie Ihre eigene Prozedur für Signatur und Verschlüsselung des Standard-SSO-Tokens aus.
Wenn Sie eigene
Signatur- und Verschlüsselungsverfahren auf das Standard-SSO-Token anwenden müssen, ist eine Implementierung der
folgenden Klassen erforderlich:
- com.ibm.wsspi.security.ltpa.Token
- com.ibm.wsspi.security.ltpa.TokenFactory
Ihre Token-Factory-Implementierung instanziiert (createToken) und validiert
(validateTokenBytes) Ihre Tokenimplementierung. Sie können entweder die LTPA-Schlüssel
(Lightweight Third-Party Party Authentication) verwenden, die an die Methode
"initialize" der Token-Factory übergeben werden, oder Sie können Ihre eigenen Schlüssel verwenden.
Wenn Sie Ihre eigenen Schlüssel verwenden, müssen diese überall gleich sein, damit die Token, die mit diesen Schlüsseln generiert werden,
validiert werden können.
Nähere Informationen zum Implementieren einer eigenen, angepassten Token-Factory finden Sie in den Referenzinformationen zur API.
- Ordnen Sie dem Standard-SSO-Token Ihre eigene Token-Factory zu.
- Öffnen Sie die Administrationskonsole.
- Klicken Sie auf Sicherheit > Globale Sicherheit.
- Klicken Sie unter "Authentifizierung" auf Angepasste Eigenschaften.
- Suchen Sie die Eigenschaft "com.ibm.wsspi.security.token.singleSignonTokenFactory", und stellen Sie sicher, dass der Wert diese Eigenschaft Ihrer eigenen TokenFactory-Implementierung entspricht.
- Prüfen Sie, ob Ihre Implementierungsklassen im Verzeichnis
Stammverzeichnis_des_Anwendungsservers/classes gespeichert werden, damit
der Klassenlader von WebSphere Application Server die Klassen laden kann.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Vergewissern Sie sich, dass die Implementierungsklassen im Verzeichnis
${USER_INSTALL_ROOT}/classes enthalten sind, so dass das Klassenladeprogramm von WebSphere Application Server diese Klassen laden kann.
Vergewissern Sie sich, dass das Benutzerprofil QEJBSVR Lese-, Schreib- und Ausführungsrechte
(*RWX) das Verzeichnis "classes" besitzt. Mit dem Befehl "Work
with Authority (WRKAUT)" können Sie die Berechtigungen für das Verzeichnis anzeigen.