Server für die Bearbeitung der Authentifizierung durch Zusicherung der Identität konfigurieren

Zweck dieser Authentifizierungsmethode ist, dass ein Web-Service einem Downstream-Web-Service die authentifizierte Identität des ursprünglichen Clients zusichert. Sie können die Authentifizierung durch Zusicherung der Identität (IdentityAssertion) für den Server konfigurieren. Versuchen Sie nicht, die Zusicherung der Identität für einen reinen Client zu konfigurieren.

Informationen zu diesem Vorgang

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der Version 6.0.x und höher. Die Informationen in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher verwendet werden. Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.

Damit der Downstream-Web-Service die Identität des ursprünglichen Clients (den Benutzernamen) akzeptiert, müssen Sie einen speziellen BasicAuth-Berechtigungsnachweis übergeben, dem der Downstream-Web-Server vertrauen und den er authentifizieren kann. Sie müssen die Benutzer-ID des speziellen BasicAuth-Berechtigungsnachweises in einem Trusted-ID-Evaluator in der Konfiguration des Downstream-Web-Service angeben. Weitere Informationen finden Sie im Artikel zum Trusted-ID-Evaluator. Der Server übergibt den BasicAuth-Sonderberechtigungsnachweis an den Trusted-ID-Evaluator, der, sofern die ID vertrauenswürdig ist, true (wahr) oder andernfalls false (falsch) zurückgibt. Wenn die ID vertrauenswürdig ist, wird der Benutzername des Clients dem Berechtigungsnachweis zugeordnet, der dann für die Berechtigung verwendet wird.

Führen Sie die folgenden Schritte aus, um den Server für die Behandlung der Authentifizierungsdaten für die Zusicherung der Identität zu konfigurieren:

Vorgehensweise

  1. Starten Sie ein Assembliertool. Weitere Informationen finden Sie in den zugehörigen Informationen zu Assembliertools.
  2. Wechseln Sie in die Java™ EE-Perspektive (Java Platform, Enterprise Edition). Klicken Sie auf Fenster > Perspektive öffnen > J2EE.
  3. Klicken Sie auf EJB-Projekte > Anwendungsname > ejbModule > META-INF.
  4. Klicken Sie mit der rechten Maustaste auf die Datei webservices.xml, und klicken Sie anschließend auf Öffnen mit > Web-Services-Editor.
  5. Klicken Sie auf das Register Erweiterungen, das sich im Assembliertool unten im Web-Services-Editor befindet.
  6. Erweitern Sie den Abschnitt Konfigurationsdetails zum Anforderungsempfängerservice > Anmeldekonfiguration. Sie können zwischen den folgenden Optionen wählen:
    • BasicAuth
    • Signature
    • ID assertion
    • LTPA (Lightweight Third Party Authentication)
  7. Wählen Sie IDAssertion aus, wenn der Client mit der zugesicherten Identität authentifiziert werden soll.

    Die Benutzer-ID des Clients muss in der Zielbenutzerregistry bzw. im Zielrepository vorhanden sein, die bzw. das in der Anzeige Sicherheit > Globale Sicherheit der Administrationskonsole für WebSphere Application Server konfiguriert wurde. Sie können mehrere Anmeldekonfigurationen auswählen. Auf dem Server können demzufolge verschiedene Arten von Sicherheitsinformationen empfangen werden. Die Reihenfolge, in der die Anmeldekonfigurationen hinzugefügt werden, entscheidet darüber, in welcher Reihenfolge sie beim Empfang einer Anforderung verarbeitet werden. Es können Fehler auftreten, wenn mehrere Anmeldekonfigurationen hinzugefügt werden, die gemeinsame Sicherheitstoken verwenden. "IDAssertion" enthält beispielsweise ein BasicAuth-Token. Dieses Token ist das anerkannte Token. "IDAssertion" funktioniert nur ordnungsgemäß, wenn Sie "IDAssertion" in der Liste vor BasicAuth angeben oder die BasicAuth-Verarbeitung die IDAssertion-Verarbeitung außer Kraft setzt.

  8. Erweitern Sie den Abschnitt IDAssertion, und wählen Sie ID-Typ und Trust-Modus aus.
    1. Die gültigen Optionen für ID-Typ sind:
      • Username
      • DN (definierter Name)
      • X509certificate
      Diese Optionen sind lediglich Einstellungen und nicht garantiert. Meistens wird die Option Username verwendet. Sie müssen denselben ID-Typ wie auf dem Client auswählen.
    2. Die Optionen für Trust-Modus sind:
      • BasicAuth
      • Signature
      Trust-Modus bezieht sich auf die Informationen, die der Client unter der anerkannten ID sendet.
      1. Wenn Sie BasicAuth ausgewählt haben, sendet der Client Daten für die Basisauthentifizierung (Benutzer-ID und Kennwort). Die BasicAuth-Daten werden anhand der konfigurierten Benutzerregistry authentifiziert. Nach der erfolgreichen Authentifizierung muss die Benutzer-ID in der anerkannten Liste der Trusted-ID-Evaluator enthalten sein.
      2. Wenn Sie Signature ausgewählt haben, wird das signierte Zertifikat des Clients gesendet. Dieses Zertifikat muss der konfigurierten Benutzerregistry zugeordnet werden können. Bei Lokales Betriebssystem wird der allgemeine Name (CN, Common Name) des definierten Namens (DN, Distinguished Name) einer Benutzer-ID in der Registry zugeordnet. Bei Lightweight Directory Access Protocol (LDAP) wird der DN der Registry für den Modus ExactDN zugeordnet. Für den Modus CertificateFilter werden die Attribute entsprechend zugeordnet. Zusätzlich muss der Benutzername des generierten Berechtigungsnachweises in der anerkannten Liste der Trusted-ID-Evaluator enthalten sein.

Nächste Schritte

Weitere Informationen zu den ersten Schritten mit dem Editor für Web-Services in einem Assembliertool finden Sie im Artikel Serversicherheitsbindungen mit einem Assembliertool konfigurieren.

Nachdem Sie angegeben haben, wie der Server die Informationen der Authentifizierung durch Zusicherung der Identität handhaben soll, müssen Sie angeben, wie der Server die Authentifizierungsdaten validieren soll. Weitere Informationen finden Sie in der Task, die beschreibt, wie Sie den Server für die Validierung der Informationen für die Authentifizierung durch Zusicherung der Identität konfigurieren.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confsvridassertmeth
Dateiname:twbs_confsvridassertmeth.html