Anmeldemodul für generische Sicherheitstoken für ein Authentifizierungstoken konfigurieren: Tokengenerator

Sie können ein Anmeldemodul für generische Sicherheitstoken für ein Authentifizierungstoken auf Tokengeneratorseite des Web Services Security-Prozesses konfigurieren.

Informationen zu diesem Vorgang

Wenn Sie auf der Seite des Tokengenerators die Anmeldemodule für generische Sicherheitstoken aufrufen, delegiert das Anmeldemodul den Prozess der Tokengenerierung über eine Anforderung vom Typ WS-Trust Issue oder WS-Trust Validate an einen Sicherheitstokenservice (STS). Der Sicherheitstokenservice (STS) verarbeitet die Anforderung und gibt eine Nachricht der Art RequestSecurityTokenResponse an das Anmeldemodul zurück. Das Anmeldemodul fügt das Token aus der STS-Antwortnachricht in den Sicherheitsheader der Web-Service-Anforderungsnachricht ein.

Um dies zu veranschaulichen wird vorausgesetzt, dass die Richtliniensätze und Bindungen konfiguriert und mit einer Anwendung verknüpft sind. Sie können z. B. den Standardrichtliniensatz "SAML11 Bearer WSSecurity" und die Bindung "SAML Bearer Client sample" verwenden. Weitere Informationen hierzu finden Sie im Artikel über die Konfiguration der Client- und Providerbindungen für das SAML-Bearer-Token.

Gehen Sie wie folgt vor, um das generische Anmeldemodul auf der Seite des Tokengenerators über die Administrationskonsole zu konfigurieren:

Vorgehensweise

  1. Konfigurieren Sie das JAAS-Anmeldemodul (Java™ Authentication and Authorization Service) wss.generate.issuedToken für Ihre Anwendung.
    1. Klicken Sie auf Anwendungen > Anwendungstypen, und klicken Sie dann auf WebSphere-Unternehmensanwendungen
    2. Klicken Sie auf die Anwendung, die die Richtliniensätze und Bindungen enthält, die Sie ändern möchten.
    3. Klicken Sie unter Web-Service-Eigenschaften auf Richtliniensätze und Bindungen für Service-Clients.
    4. Klicken Sie in der Spalte Bindungen der Anzeige "Richtliniensätze und Bindungen für Service-Clients" auf den Namen der Bindung.
    5. Klicken Sie in der Spalte Richtlinie der Bindungskonfigurationsanzeige auf WS-Security.
    6. Klicken Sie unter der Überschrift Hauptrichtlinienbindungen für Nachrichtensicherheit auf Authentifizierung und Zugriffsschutz.
    7. Wählen Sie im Abschnitt mit den Authentifizierungstoken der Anzeige "Authentifizierung und Zugriffsschutz" das Token aus, das Sie konfigurieren möchten. Wählen Sie z. B. request:SAMLToken11Bearer aus.
    8. Wählen Sie in der Anzeige "Tokengenerator" die Option wss.generate.issuedToken für die JAAS-Anmeldung aus.
    9. Klicken Sie auf Anwenden.
  2. Konfigurieren Sie den Callback-Handler.
    1. Klicken Sie unter Zusätzliche Bindungen auf Callback-Handler.
    2. Wählen Sie unter der Überschrift Klassenname in der Anzeige "Callback-Handler" den Eintrag Angepasste Klasse verwenden aus, und geben Sie com.ibm.websphere.wssecurity.callbackhandler.GenericIssuedTokenGenerateCallbackHandler als Klassennamen an.
    3. Klicken Sie auf Anwenden. Nach dem Anklicken von "Anwenden" erscheint im Abschnitt Angepasste Eigenschaften der Anzeige eine Liste mit vorhandenen angepassten Eigenschaften. Sie können in der Liste der angepassten Eigenschaften Einträge hinzufügen, bearbeiten oder löschen. Weitere Informationen zu den angepassten Eigenschaften für den Callback-Handler finden Sie in der Beschreibung der API com.ibm.wsspi.wssecurity.core.config.IssuedTokenConfigConstants. Diese Informationen finden Sie unter Referenz > Programmierschnittstellen > APIs - Anwendungsprogrammierschnittstellen in der Produktdokumentation.
    4. Klicken Sie auf Hinzufügen, um die angepasste Eigenschaft stsURI und ihren Wert hinzuzufügen. Der Wert dieser angepassten Eigenschaft ist die URL-Zieladresse des Sicherheitstokenservice. Diese Eigenschaft ist immer erforderlich, außer in den Fällen, in denen ein Sicherheitstoken aus dem RunAs-Subjekt verwendet werden soll, ohne dass ein Sicherheitstokenservice zur Validierung aufgerufen wird. Weitere Informationen finden Sie in der Beschreibung der angepassten Eigenschaften validateUseToken und useRunAsSubjectOnly in späteren Schritten.
    5. Klicken Sie auf Hinzufügen, um die angepasste Eigenschaft wstrustClientPolicy und ihren Wert hinzuzufügen. Der Wert dieser angepassten Eigenschaft ist der Name des Trust-Client-Richtliniensatzes, der für den WS-Trust-Clientaufruf gilt.
    6. Klicken Sie auf Hinzufügen, um die angepasste Eigenschaft wstrustClientBinding und ihren Wert hinzuzufügen. Der Wert der angepassten Eigenschaft sind die Trust-Client-Bindungen, die für den WS-Trust-Clientaufruf gelten. Weitere Informationen zum Erstellen von Trust-Client-Bindungen finden Sie in der Dokumentation der Konfiguration von Client- und Providerbindungen für das SAML-Bearer-Token.
    7. Optional: Geben Sie weitere angepasste Eigenschaften an. Zum Hinzufügen dieser angepassten Eigenschaften klicken Sie im Abschnitt Angepasste Eigenschaften auf Neu. Weitere Informationen zu angepassten Eigenschaften finden Sie unter Angepasste Eigenschaften für Web Services Security.
  3. Klicken Sie auf OK und Speichern, um die Bindungen zu speichern.
  4. Stoppen Sie die Anwendungen und starten Sie sie anschließend erneut.

Ergebnisse

Nach Abschluss dieser Task haben Sie ein generisches Anmeldemodul für den Tokengenerator erstellt.

Nächste Schritte

Konfigurieren Sie ein Anmeldemodul für generische Sicherheitstoken für den Tokenkonsumenten.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configgenericlmodgen
Dateiname:twbs_configgenericlmodgen.html