Client für die Authentifizierung mit Signatur konfigurieren: Authentifizierungsdaten erfassen

Bei der Authentifizierung mit Signatur wird ein X.509-Zertifikat vom Client an den Server gesendet. Das Zertifikat wird für die Authentifizierung bei der auf dem Server konfigurierten Benutzerregistry verwendet. Der Client erfasst die Authentifizierungsdaten für die Signaturauthentifizierung.

Informationen zu diesem Vorgang

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der Version 6.0.x und höher. Die Informationen in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher verwendet werden. Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.

Sie können die Signaturauthentifizierung konfigurieren. Eine Signatur verweist auf die Verwendung eines X.509-Zertifikats für die Anmeldung beim Zielserver.

Legen Sie wie folgt fest, wie der Client die Authentifizierungsdaten für die Authentifizierung mit Signatur erfassen soll:

Vorgehensweise

  1. Starten Sie ein Assembliertool. Weitere Informationen finden Sie in den zugehörigen Informationen zu Assembliertools.
  2. Wechseln Sie in die Java™ EE-Perspektive (Java Platform, Enterprise Edition). Klicken Sie auf Fenster > Perspektive öffnen > J2EE.
  3. Klicken Sie auf Anwendungsclientprojekte > Anwendungsname > appClientModule > META-INF.
  4. Klicken Sie mit der rechten Maustaste auf die Datei application-client.xml, und wählen Sie anschließend Öffnen mit > Editor für Implementierungsdeskriptor aus.
  5. Klicken Sie im Assembliertool unten im Editor für Implementierungsdeskriptor auf das Register "WS-Bindung".
  6. Erweitern Sie den Abschnitt Sicherheitskonfiguration des Anforderungssenderbinding > Signaturdaten, und klicken Sie auf Bearbeiten, um den Namen des Signierschlüssels und den Key-Locator für die Signatur zu ändern. Wenn Sie neue Signaturdaten erstellen möchten, klicken Sie auf Aktivieren. Das Zertifikat, dass an die Anmeldung beim Server gesendet wird, ist das im Abschnitt "Signaturdaten" konfigurierte Zertifikat. Lesen Sie die Informationen über Key Locator, um die Zuordnung zwischen dem für die Signatur verwendeten Schlüsselnamen und einem Schlüssel im Key-Locator-Eintrag zu verstehen.
    Die Informationen sind in der folgenden Liste erläutert. Einige dieser Definitionen basieren auf der Spezifikation "XML-Signature", die Sie unter der folgenden Webadresse finden: http://www.w3.org/TR/xmldsig-core.
    Algorithmus der Kanonisierungsmethode
    Kanonisiert das Element <SignedInfo>, bevor es im Rahmen der Signaturoperation verarbeitet wird.
    Algorithmus der Digestmethode
    Stellt den Algorithmus dar, der, sofern angegeben, nach der Umsetzung auf die Daten angewendet wird, um das Element <DigestValue> zu erzeugen. Die Signatur des Elements <DigestValue> bindet den Ressourceninhalt an den Unterzeichnerschlüssel. Der Algorithmus, der für die Konfiguration des Senders der Clientanforderung ausgewählt wurde, muss mit dem Algorithmus, der in der Konfiguration des Empfängers der Serveranforderung ausgewählt wurde, übereinstimmen.
    Algorithmus der Signaturmethode
    Gibt den Algorithmus an, der verwendet wird, um den kanonisierten Wert des Elements <SignedInfo> in den <SignatureValue>-Wert zu konvertieren. Der Algorithmus, der für die Konfiguration des Senders der Clientanforderung ausgewählt wurde, muss mit dem Algorithmus, der in der Konfiguration des Empfängers der Serveranforderung ausgewählt wurde, übereinstimmen.
    Name des Signierschlüssels
    Der Name des Signierschlüssels ist der Schlüsseleintrag, der dem Key Locator für Signatur zugeordnet ist. Der Schlüsseleintrag verweist auf einen Alias des Schlüssels, der für die Unterzeichnung der Anforderung verwendet wird.
    Suchfunktion des Signierschlüssels
    Verweist auf eine Key-Locator-Implementierung.
  7. Erweitern Sie den Abschnitt Sicherheitskonfiguration des Anforderungssenderbinding > Anmeldebinding.
  8. Klicken Sie auf Bearbeiten, um die Bindungsdaten für die Anmeldung anzuzeigen. Geben Sie die folgenden Informationen ein:
    Authentifizierungsmethode
    Gibt den Typ der durchzuführenden Authentifizierung an. Wählen Sie Signatur aus, wenn Sie die Authentifizierung mit Signatur verwenden möchten.
    Tokenwerttypen "URI" und "Lokaler Name"
    Wenn Sie Signature auswählen, können Sie die Werte der Tokenwerttypen "URI" und "Lokaler Name" nicht bearbeiten. Gibt angepasste Authentifizierungstypen an. Für die Authentifizierung mit Signatur lassen Sie diese Felder leer.
    Callback-Handler
    Gibt die JAAS-Callback-Handler-Implementierung für die Erfassung der Signaturdaten an. Geben Sie für die Authentifizierung mit Signatur den folgenden Callback-Handler ein: com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler.

    Dieser Callback-Handler wird verwendet, weil bei der Authentifizierungsmethode "Signature" keine Benutzerinteraktion erforderlich ist.

    Benutzer-ID und Kennwort für Basisauthentifizierung
    Lassen Sie die Felder für die Basisauthentifizierung (BasicAuth) leer, wenn Sie die Authentifizierung mit Signatur ausgewählt haben.
    Eigenschaftsname und Eigenschaftswert
    In diesem Feld können Sie Eigenschaften und Name/Wert-Paare für eigene Callback-Handler eingeben. Für die Authentifizierung durch Signatur müssen Sie keine Informationen eingeben.

Nächste Schritte

Weitere Anpassungseinträge:: Der Abschnitt "Details für die portqualifizierte Namensbindung" enthält einen Eintrag für die Basisauthentifizierung. Dieser Eintrag wird für die Authentifizierung von HTTP-Transporten verwendet, die erforderlich sein kann, wenn das Router-Servlet geschützt ist.

Die Angaben im Abschnitt Web Services Security-Signaturauthentifizierung setzen Sie Angaben zur Basisauthentifizierung außer Kraft, die im Abschnitt "Details für die portqualifizierte Namensbindung" für die Berechtigung des Web-Service enthalten sind.

Wenn Sie die Authentifizierungsmethode mit Signatur verwenden möchten, müssen Sie die Authentifizierungsmethode im Abschnitt "Anmeldekonfiguration" eines Assembliertools angeben.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confclsignauthcoll
Dateiname:twbs_confclsignauthcoll.html