Plug-in-fähige Token mit der Administrationskonsole konfigurieren
Sie können den clientseitigen Anforderungssender (Datei ibm-webservicesclient-bnd.xmi) oder den serverseitigen Empfänger (Datei ibm-webservices-bnd.xmi) über die Administrationskonsole von WebSphere Application Server konfigurieren.
Vorbereitende Schritte
Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der
Version 6 und höher. Die Informationen
in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in
WebSphere Application Server Version 6.0.x und höher verwendet werden.
Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Für die Ausführung dieser Schritte wird
vorausgesetzt, dass Sie einen Web-Service erstellt haben, der auf der Spezifikation
Java™ Platform, Enterprise Edition
(Java EE) basiert.
Die folgenden Artikel enthalten eine Einführung in die Verwaltung der Serverbindungen für Web Services Security.
Informationen zu diesem Vorgang
Dieses Dokument beschreibt, wie ein Plug-in-fähiges Token im Anforderungssender (Dateien ibm-webservicesclient-ext.xmi und
ibm-webservicesclient-bnd.xmi) und der Anforderungsempfänger (Dateien ibm-webservices-ext.xmi und
ibm-webservices-bnd.xmi) konfiguriert wird.
Wichtig: Das Plug-in-fähige Token muss für Anforderungssender und Anforderungsempfänger
konfiguriert werden, weil diese beiden ein Paar bilden. Der Anforderungssender und der Anforderungsempfänger müssen übereinstimmende Konfigurationseinstellungen haben, damit
eine Anforderung vom Empfänger akzeptiert wird.
In den folgenden Schritten wird davon ausgegangen, dass Sie bereits eine Unternehmensanwendung mit Unterstützung für Web-Services in WebSphere Application Server implementiert haben.
Gehen Sie wie folgt vor, um
den clientseitigen Anforderungssender (Datei ibm-webservicesclient-bnd.xmi)
oder den serverseitigen Empfänger (Datei ibm-webservices-bnd.xmi) über die Administrationskonsole von
WebSphere Application Server zu konfigurieren.
- Klicken Sie auf .
- Klicken Sie unter "Module" auf
- Klicken Sie unter "Web-Services-Security-Eigenschaften" auf Web-Services:
Clientsicherheitsbindungen, um die Antwortsenderbindung zu bearbeiten, wenn Web-Services als Client auftreten.
- Klicken Sie unter "Antwortsenderbindung" auf Bearbeiten.
- Klicken Sie unter "Weitere Eigenschaften" auf Anmeldebindung.
- Wählen Sie die Option Dedizierte Anmeldebindung aus, um eine neue Anmeldebindung zu definieren.
- Geben Sie die Authentifizierungsmethode an, die mit der im erweiterten IBM Implementierungsdeskriptor definierten Authentifizierung übereinstimmen muss. Die Authentifizierungsmethode muss in der Bindungsdatei eindeutig sein.
- Geben Sie eine Implementierung der JAAS-Schnittstelle javax.security.auth.callback.CallbackHandler ein.
- Geben Sie die Informationen für die Basisauthentifizierung (Benutzer-ID und Kennwort) ein. Diese Informationen werden an die CallbackHandler-Implementierung übergeben. Ob die Informationen für die Basisauthentifizierung verwendet werden, liegt in der Hand der CallbackHandler-Implementierung.
- Geben Sie den Wertetyp des Tokens ein. Die Angabe dieser Informationen ist für die Authentifizierungsmethoden BasicAuth, Signature und IDAssertion optional, für andere Authentifizierungsmethoden jedoch erforderlich. Der Wertetyp des Tokens wird für binäre Sicherheitstoken in "<wsse:BinarySecurityToken>@ValueType" eingefügt und als Namespace des XML-basierten Tokens verwendet.
- Klicken Sie auf Eigenschaften. Definieren Sie die Eigenschaft mit Name/Wert-Paaren. Diese Paar werden als java.util.Map an das Konstrukt der CallbackHandler-Implementierung weitergegeben.
- Klicken Sie unter "Web-Services-Security-Eigenschaften" auf Web-Services: Serversicherheitsbindungen, um
die Anforderungsempfängerbindung zu bearbeiten.
- Klicken Sie unter "Anforderungsempfängerbindung" auf Bearbeiten.
- Klicken Sie unter "Weitere Eigenschaften" auf Anmeldezuordnungen.
- Klicken Sie auf Neu, um eine neue Anmeldezuordnung zu erstellen.
- Geben Sie die Authentifizierungsmethode an, die mit der im erweiterten IBM Implementierungsdeskriptor definierten Authentifizierung übereinstimmen muss. Die Authentifizierungsmethode muss in der Sammlung der in der Bindungsdatei definierten Anmeldezuordnungen eindeutig sein.
- Geben Sie den Namen einer JAAS-Anmeldekonfiguration ein. Die JAAS-Anmeldekonfiguration muss unter definiert werden. Klicken Sie unter "Authentifizierung" auf . Weitere Informationen finden Sie in der Dokumentation zur Konfiguration von programmgesteuerten Anmeldungen für Java Authentication and Authorization Service.
- Geben Sie eine Implementierung der Schnittstelle com.ibm.wsspi.wssecurity.auth.callback.CallbackHandlerFactory ein. Dies ist ein Musseingabefeld.
- Geben Sie den Wertetyp des Tokens ein. Die Angabe dieser Informationen ist für die Authentifizierungsmethoden BasicAuth, Signature und IDAssertion optional, für andere Authentifizierungsmethoden jedoch erforderlich. Der Wertetyp des Tokens wird für binäre Sicherheitstoken mit "<wsse:BinarySecurityToken>@ValueType" und dem Namespace des XML-basierten Tokens verglichen.
- Geben Sie die Name/Wert-Paare für die Eigenschaft "Anmeldezuordnung" ein. Klicken Sie dazu auf Eigenschaften. Diese Name/Wert-Paare sind über den JAAS-Callback com.ibm.wsspi.wssecurity.auth.callback.PropertyCallback für das JAAS-Anmeldemodule bzw. die JAAA-Anmeldemodule verfügbar. Anmerkung: Dies trifft zu, wenn Sie vorhandene Anmeldezuordnungen bearbeiten, nicht aber, wenn Sie neue Anmeldezuordnungen erstellen.
- Geben Sie die Name/Wert-Paare für die Eigenschaft "Callback-Handler-Factory" ein. Diese Name/Wert-Paare werden als java.util.Map an die Methode com.ibm.wsspi.wssecurity.auth.callback.CallbackHandlerFactory.init() übergeben. Die Verwendung dieser Name/Wert-Paare ist von der CallbackHandlerFactory-Implementierung abhängig.
- Klicken Sie auf den Link für die Authentifizierungsmethode, um die ausgewählte Anmeldezuordnung zu editieren.
- Klicken Sie auf Entfernen, um die ausgewählten Anmeldezuordnungen zu entfernen.
. Der URI ist das Web-Service-fähige Modul. - Klicken Sie unter "Web-Services-Security-Eigenschaften" auf Web-Services:
Clientsicherheitsbindungen, um die Antwortsenderbindung zu bearbeiten, wenn Web-Services als Client auftreten.
- Klicken Sie auf Speichern.
Ergebnisse
Sie können die in den Anmeldebindungen und -zuordnungen definierte Authentifizierungsmethode verwenden, um Sicherheitstoken auf der Seite des Anforderungssenders zu generieren und diese auf der Seite des Empfängers zu validieren.
Nächste Schritte
- Client für die Authentifizierung mit LTPA-Token konfigurieren: Authentifizierungsdaten für LTPA-Token angeben
- Client für die Authentifizierung mit LTPA-Token konfigurieren: Informationen zur Authentifizierungsmethode ermitteln
- Server für die Bearbeitung von Authentifizierungsdaten in LTPA-Token konfigurieren
- Server für die Validierung von Authentifizierungsdaten in LTPA-Token konfigurieren