Angepasste Eigenschaften des Anmeldemoduls des generischen WS-Security-Sicherheitstokens

Wenn Sie ein Anmeldemodul für generische Sicherheitstoken konfigurieren, können Sie Name/Wert-Paare konfigurieren, in denen der Name für einen Eigenschaftsschlüssel und der Wert für einen Zeichenfolgewert steht, mit denen Sie interne Systemkonfigurationseigenschaften definieren können. Sie können diese Konfigurationseigenschaften zusammen mit den in der Administrationskonsole bereitgestellten Optionen verwenden, um zu bestimmen, wie das Token generiert oder konsumiert wird.

Führen Sie die folgenden Schritte aus, um diese angepassten Eigenschaften für den Callback-Handler in der Administrationskonsole zu konfigurieren:

  1. Erweitern Sie Services.
  2. Wählen Sie Service-Provider oder Service-Client aus.
  3. Klicken Sie auf die entsprechende Anwendung in der Spalte Name.
  4. Klicken Sie auf die entsprechende Bindung in der Spalte Bindung.

    Sie müssen vorher einen Richtliniensatz zugeordnet und eine Bindung zugewiesen haben.

oder

  1. Klicken Sie auf Anwendungen > Anwendungstypen, und klicken Sie dann auf WebSphere-Unternehmensanwendungen.
  2. Wählen Sie eine Anwendung aus, die Web-Services enthält. Die Anwendung muss einen Service-Provider oder einen Service-Client enthalten.
  3. Klicken Sie unter der Überschrift Web-Service-Eigenschaften auf Richtliniensätze und Bindungen für Service-Provider oder auf Richtliniensätze und Bindungen für Service-Clients.
  4. Wählen Sie eine Bindung aus. Sie müssen vorher einen Richtliniensatz zugeordnet und eine anwendungsspezifische Bindung zugewiesen haben.

Führen Sie anschließend die folgenden Schritte aus:

  1. Klicken Sie in der Tabelle "Richtlinien" auf WS-Security.
  2. Klicken Sie unter der Überschrift Hauptrichtlinienbindungen für Nachrichtensicherheit auf Authentifizierung und Zugriffsschutz.
  3. Klicken Sie unter Authentifizierungstoken auf den Namen des Authentifizierungstokens.
    Unterstützte Konfigurationen Unterstützte Konfigurationen: Sie können das Token, das vom Anmeldemodul für generische Sicherheitstoken verarbeitet wird, nur für die Authentifizierung verwenden. Sie können dieses Token nicht als Schutztoken verwenden. sptcfg
  4. Klicken Sie unter Zusätzliche Bindungen auf Callback-Handler.
  5. Geben Sie unter Angepasste Eigenschaften die Name/Wert-Paare ein.

Angepasste Eigenschaften für Callback-Handler für Tokengenerator- und Tokenkonsumentenbindungen

In der folgenden Tabelle werden die angepassten Eigenschaften für den Callback-Handler aufgeführt, die sowohl für die Konfiguration von Tokengeneratorbindungen und Tokenkonsumentenbindungen verwendet werden können.

Tabelle 1. Angepasste Eigenschaften für Callback-Handler für Tokengenerator- und Tokenkonsumentenbindungen. Diese Tabelle enthält den Namen der angepasste Eigenschaft, die zugehörigen Werte und eine Kurzbeschreibung.
Name Werte Beschreibung

clockSkew

Diese angepasste Eigenschaft hat keinen Standardwert.

Verwenden Sie diese angepasste Eigenschaft, um eine zeitliche Anpassung (in Minuten) für die Zeiten in selbst ausgestellten SAML-Token festzulegen, die vom SAMLGenerateLoginModule erstellt werden.

Die angepasste Eigenschaft "clockSkew" wird im Callback-Handler des SAML-Tokengenerators definiert, der die Klasse "SAMLGenerateLoginModule" verwendet. Der für diese angepasste Eigenschaft angegebene Wert muss numerisch sein und wird in Minuten angegeben.

Wenn Sie einen Wert für diese angepasste Eigenschaft angeben, werden die folgenden Zeitanpassungen in dem selbst ausgestellten SAML-Token vorgenommen, das von SAMLGenerateLoginModule erstellt wird:
  • Die neue Zeiteinstellung "NotBefore" entspricht der anfänglichen Zeiteinstellung "NotBefore" abzüglich der Zeit, die Sie für die angepasste Eigenschaft "clockSkew" festlegen.
  • Die neue Zeiteinstellung "NotAfter" entspricht der anfänglichen Zeiteinstellung "NotAfter" zuzüglich der Zeit, die Sie für die angepasste Eigenschaft "clockSkew" festlegen.
stsURI

Diese angepasste Eigenschaft hat keinen Standardwert.

Legen Sie mit dieser angepassten Eigenschaft das die Adresse des Sicherheitstokenservice (STS) fest.

Diese angepasste Eigenschaft ist für den Tokenkonsumenten erforderlich. Diese angepasste Eigenschaft ist jedoch für den Tokengenerator optional, wenn das angeforderte Token in RunAs Subject vorhanden und dessen Prüfung nicht erforderlich ist.

wstrustClientBinding

Diese angepasste Eigenschaft hat keinen Standardwert.

Legen Sie mit dieser angepassten Eigenschaft den Bindungsnamen für den WS-Trust-Client fest.

wstrustClientBindingScope Sie können den Wert application (Anwendung) oder domain (Domäne) angeben. Legen Sie mit dieser angepassten Eigenschaft den Typ der für den WS-Trust-Client verwendeten Bindungen fest.
Es gelten die folgenden Bedingungen:
  • Bei Angabe des Werts domain (Domäne) werden allgemeine Bindungen verwendet.
  • Bei Angabe des Werts application (Anwendung) werden angepasste Bindungen verwendet.
  • Wenn Sie keinen Wert angeben und die Anwendungsbindung existiert, werden diese Anwendungsbindungen verwendet.
  • Wenn Sie keinen Wert angeben und allgemeine Bindungen existieren, werden diese allgemeinen Bindungen verwendet.
  • Wenn weder die Anwendungsbindungen noch die allgemeinen Bindungen existieren, werden die Standardbindungen verwendet.

Diese angepasste Eigenschaft ist optional.

wstrustClientPolicy

Diese angepasste Eigenschaft hat keinen Standardwert.

Legen Sie mit dieser angepassten Eigenschaft den Richtliniensatznamen für den WS-Trust-Client fest.

wstrustClientSoapVersion

Sie können den Wert 1.1 oder 1.2 angeben.

Legen Sie mit dieser angepassten Eigenschaft die SOAP-Nachrichtenversion fest, die der Trust-Client zum Generieren der SOAP-Nachricht verwendet. Die SOAP-Nachricht wird an den Sicherheitstokenservice (STS) gesendet. Wenn Sie diese angepasste Eigenschaft nicht definieren, verwendet das Anmeldemodul für generische Sicherheitstoken beim Generieren der SOAP-Nachricht für die Trust-Clientanforderung die SOAP-Version der Anwendung.

Der Standardwert entspricht der vom Anwendungsclient verwendeten SOAP-Version.

Diese angepasste Eigenschaft ist optional.

wstrustClientWSTNamespace
Geben Sie einen der folgenden Werte an:
Trust Version 1.3 (Standardwert)

Geben Sie 1.3 ein, um Trust Version 1.3 (Standardwert) zu verwenden.

http://docs.oasis-open.org/ws-sx/ws-trust/200512
Trust Version 1.2

Geben Sie 1.2 an, um Trust Version 1.2 zu verwenden.

http://schemas.xmlsoap.org/ws/2005/02/trust

Legen Sie mit dieser angepassten Eigenschaft fest, welchen Trust-Client-Namespace das Anmeldemodul für generische Sicherheitstoken verwendet, wenn es die WS-Trust-Anforderung ausführt.

wstrustValidateClientBinding

Der Wert für diese angepasste Eigenschaft entspricht standardmäßig dem für die angepasste Eigenschaft wstrustClientBinding angegebenen Wert.

Legen Sie mit dieser angepassten Eigenschaft die Bindungen fest, die vom der Anforderung des Typs WS-Trust Validate verwendet werden.

Wenn Sie diese angepasste Eigenschaft nicht angeben, verwendet die Anforderung WS-Trust Validate die die mit der angepassten Eigenschaft wstrustClientBinding definierten und von WS-Trust Issue verwendeten Bindungen.

wstrustValidateClientPolicy

Der Wert für diese angepasste Eigenschaft entspricht standardmäßig dem für die angepasste Eigenschaft wstrustClientPolicy angegebenen Wert.

Legen Sie mit dieser angepassten Eigenschaft die Richtliniensätze fest, die von der Anforderung des Typs WS-Trust Validate verwendet werden sollen.

Wenn Sie für diese angepasste Eigenschaft keinen Wert angeben, verwendet WS-Trust Validate den von der erforderlichen angepassten Eigenschaft wstrustClientPolicy definierten und von WS-Trust Issue verwendeten Richtliniensatz.

wstrustIssuer

Sie können einen beliebigen Zeichenfolgewert verwenden.

Legen Sie mit dieser angepassten Eigenschaft den Anforderung des Anforderungstokens fest.

Diese angepasste Eigenschaft ist optional.

wstrustValidateTargetOption

Der Standardwert ist die WS-Trust Base-Elementerweiterung.

Sie können den Wert token oder den Wert base (Basis) angeben. value.

Legen Sie mit dieser angepassten Eigenschaft fest, ob der WS-Trust-Client das Validierungstoken mit ValidateTarget oder mit der Basiselementerweiterung an den WS-Trust-Sicherheitstokenservice übergibt.

Es gelten die folgenden Bedingungen:
  • Wenn Sie für diese angepasste Eigenschaft keinen Wert angeben, wird das Token im Element RequestedSecurityToken in der Basiselementerweiterung eingeschlossen.
  • Wenn Sie den Wert token angeben, wird das Token im Element RequestedSecurityToken des Elements ValidateTarget eingeschlossen.

Angepasste Eigenschaften für Callback-Handler für Tokengeneratorbindungen

In der folgenden Tabelle werden die angepassten Eigenschaften für den Callback-Handler aufgeführt, die nur für die Konfiguration von Tokengeneratorbindungen verwendet werden können.

Tabelle 2. Angepasste Eigenschaften für Callback-Handler für Tokengeneratorbindungen. Diese Tabelle enthält den Namen der angepasste Eigenschaft, die zugehörigen Werte und eine Kurzbeschreibung.
Name Wert Beschreibung
passThroughToken

Sie können den Wert True oder False verwenden. Der Standardwert ist False.

Der Wert ist für diese angepasste Eigenschaft unabhängig von der Groß-/Kleinschreibung.

Verwenden Sie diese angepasste Eigenschaft, um zu steuern, ob das abgehende Token vom STS angefordert werden soll oder nicht. Standardmäßig wird das Token immer vom STS angefordert. Wenn diese Eigenschaft auf True gesetzt ist, wird das eingehende Token in der folgenden Reihenfolge angefordert:
  1. aus sharedState aus einem JAAS-Anmeldemodul in einem Stack
  2. aus der Liste com.ibm.wsspi.wssecurity.token.tokenHolder im Nachrichtenkontext
  3. aus den eingehenden SecurityTokens
Weitere Informationen finden Sie in der Beschreibung der folgenden Konstanten in der Java-API-Dokumentation zu com.ibm.wsspi.wssecurity.core.Constants. Diese Dokumentation finden Sie in der Information-Center-Navigationsstruktur unter Referenz > Programmierschnittstellen > APIs.
  • com.ibm.wsspi.wssecurity.token.tokenHolder
  • com.ibm.wsspi.wssecurity.token.enableCaptureTokenContext
  • com.ibm.wsspi.wssecurity.token.enableCaptureTokenInboundMsg
useRunAsSubject

Sie können den Wert True oder False verwenden. Der Standardwert ist True.

Der Wert ist für diese angepasste Eigenschaft unabhängig von der Groß-/Kleinschreibung.

Legen Sie mit dieser angepassten Eigenschaft fest, ob die Anmeldemodule für generische Sicherheitstoken für abgehende Anforderungen das Token aus dem RunAs Subject verwenden. Standardmäßig verwendet das Anmeldemodul zuerst die validierten Token im RunAs Subject.

Es gelten die folgenden Bedingungen:
  • Wenn Sie für die angepasste Eigenschaft den Wert false angeben, verwendet das Anmeldemodul für generische Sicherheitstoken nicht WS-Trust Validate, um das Token für die abgehende Anforderung auszutauschen. Stattdessen verwendet es WS-Trust Issue, um ein Token anzufordern.
  • Wenn Sie diese angepasste Eigenschaft nicht angeben, versucht das Anmeldemodul für generische Sicherheitstoken, ein Token aus dem RunAs Subject und WS-Trust Validate für den Austausch des Tokens zu verwenden.
  • Wenn ein Token im RunAs Subject nicht existiert, verwendet das Anmeldemodul für generische Sicherheitstoken WS-Trust Issue und wird durch die Richtliniensätze des Trust-Client geschützt.
useRunAsSubjectOnly

Sie können den Wert True oder False verwenden. Der Standardwert ist False.

Der Wert ist für diese angepasste Eigenschaft unabhängig von der Groß-/Kleinschreibung.

Verwenden Sie diese angepasste Eigenschaft, um WS-Trust Issue im Anmeldemodul für generische Sicherheitstoken zu inaktivieren oder zu aktivieren. Wenn Sie für diese angepasste Eigenschaft den Wert true angeben, verwendet das Anmeldemodul für generische Sicherheitstoken das Token aus dem RunAs Subject und WS-Trust Validate für den Austausch der Token. Wenn WS-Trust Validate scheitert oder kein passendes Token im RunAs Subject findet, verwendet Anmeldemodul für generische Sicherheitstoken nicht WS-Trust Issue.

useToken

Sie können einen beliebigen Zeichenfolgewert des Werts ValueType für den Sicherheitstoken verwenden.

Wenn Sie ein Sicherheitstoken in einem RunAs Subject verwenden, um Token für eine abgehende Anforderung zu validieren und auszutauschen, können Sie mit dieser angepassten Eigenschaft angeben, welcher ValueType-Tokenwert im RunAs Subject für das angeforderte Token validiert und ausgetauscht werden soll.

Beispiel: Sie verwenden ein Token mit dem ValueType-Wert Token_1 im RunAs Subject. Allerdings ist der ValueType-Wert Token_2 das erforderliche Token. Sie können diese angepasste Eigenschaft auf den Wert Token_1 setzen.

Wenn Sie diese angepasste Eigenschaft nicht definieren, wird als Validierungstoken das Token aus dem RunAs Subject verwendet, das denselben ValueType-Wert hat wie das erforderliche Token.

Diese angepasste Eigenschaft ist optional.

validateUseToken

Sie können den Wert True oder False verwenden. Der Standardwert ist True.

Der Wert ist für diese angepasste Eigenschaft unabhängig von der Groß-/Kleinschreibung.

Legen Sie mit dieser angepassten Eigenschaft fest, ob der Tokengenerator WS-Trust Validate zum Validieren des Tokens aus dem RunAs Subject verwendet.

Standardmäßig validiert das Anmeldemodul für generische Sicherheitstoken ein Token aus dem RunAs Subject anhand des Sicherheitstokenservice (STS), bevor das Token in der SOAP-Nachricht an den Service-Provider gesendet wird.

Wenn Sie diese angepasste Eigenschaft auf false setzen und das Anmeldemodul für generische Sicherheitstoken ein passendes Token im RunAs Subject findet, ruft das Anmeldemodul WS-Trust Validate nicht auf, um das passende Token zu validieren. Stattdessen sendet das Anmeldemodul das passende Token ohne Validierung an den nachgeordneten Service-Provider.

wstrustIncludeTokenType

Sie können den Wert True oder False verwenden. Der Standardwert ist True.

Der Wert ist für diese angepasste Eigenschaft unabhängig von der Groß-/Kleinschreibung.

Legen Sie mit dieser angepassten Eigenschaft fest, ob das Token WS-Trust RequestedSecurityToken den angeforderten ValueType-Tokenwert enthält.

Wenn Sie diese angepasste Eigenschaft nicht angeben, schließt das Anmeldemodul für generische Sicherheitstoken den angeforderten Tokentyp in das Token des Typs WS-Trust RequestedSecurityToken ein.

Diese angepasste Eigenschaft ist optional.

Angepasste Eigenschaften für Callback-Handler für Tokenkonsumentenbindungen

In der folgenden Tabelle werden die angepassten Eigenschaften für den Callback-Handler aufgeführt, die nur für die Konfiguration von Tokenkonsumentenbindungen verwendet werden können.

Tabelle 3. Angepasste Eigenschaften für Callback-Handler für Tokenkonsumentenbindungen. Diese Tabelle enthält den Namen der angepasste Eigenschaft, die zugehörigen Werte und eine Kurzbeschreibung.
Name Wert Beschreibung
alwaysGeneric

Sie können den Wert True oder False verwenden. Der Standardwert ist False.

Der Wert ist für diese angepasste Eigenschaft unabhängig von der Groß-/Kleinschreibung.

Verwenden Sie diese angepasste Eigenschaft, um anzugeben, ob das Anmeldemodul ein GenericSecurityToken erstellt.

Wenn sowohl die Eigenschaft passThroughToken als auch diese Eigenschaft auf True gesetzt sind, erstellt das Anmeldemodul immer ein GenericSecurityToken anstelle eines integrierten Tokentyps entsprechend dem für das Token konfigurierten valueType (Wertetyp).

exchangedTokenType

Der gültige Wert für diese angepasste Eigenschaft ist der Zeichenfolgewert ValueType für das von den Standardanmeldemodulen des Systems unterstützte Token.

Legen Sie mit dieser angepassten Eigenschaft das neue Token mit dem definierten Wert ValueType fest, den der Trust-Service nach erfolgreicher Validierung zurückgeben muss.

Wenn Sie für die angepasste Eigenschaft keinen Wert angeben, akzeptiert das Anmeldemodul für generische Sicherheitstoken jedes Token, das der Trust-Service zurückgibt.

Diese angepasste Eigenschaft ist optional.

passThroughToken

Sie können den Wert True oder False verwenden. Der Standardwert ist False.

Der Wert ist für diese angepasste Eigenschaft unabhängig von der Groß-/Kleinschreibung.

Verwenden Sie diese angepasste Eigenschaft, um anzugeben, ob das eingehende Token an den STS gesendet werden soll.

Standardmäßig wird das eingehende Token zwecks Validierung und/oder Austausch an den STS gesendet.

Wird diese Eigenschaft auf True gesetzt, wird das eingehende Token nicht an den STS gesendet, sondern an den Konsumenten weitergeleitet. Wird diese Eigenschaft auf True gesetzt und wird ein integriertes Token verwendet, wird das Token geparst und im WS-Security-Kontext zur späteren Verarbeitung durch das JAAS-Anmeldemodul einer Callerkonfiguration bereitgestellt.


Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_genlogin_customproperties
Dateiname:rwbs_genlogin_customproperties.html