Zweck dieser Authentifizierungsmethode ist, dass ein Web-Service einem Downstream-Web-Service
die authentifizierte Identität des ursprünglichen Clients zusichert.
Sie können die Authentifizierung durch Zusicherung der Identität (IdentityAssertion) für den Server konfigurieren.
Versuchen Sie nicht, die Zusicherung der Identität für einen reinen Client zu konfigurieren.
Informationen zu diesem Vorgang
Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der Version 6.0.x und höher. Die Informationen
in diesem Artikel
gelten nur für Anwendungen der Version 5.x, die in
WebSphere Application Server Version 6.0.x und höher verwendet werden.
Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Damit der Downstream-Web-Service die Identität des ursprünglichen Clients (den Benutzernamen)
akzeptiert, müssen Sie einen speziellen BasicAuth-Berechtigungsnachweis übergeben,
dem der Downstream-Web-Server vertrauen und den er authentifizieren kann.
Sie müssen die Benutzer-ID
des speziellen BasicAuth-Berechtigungsnachweises in einem Trusted-ID-Evaluator in der Konfiguration
des Downstream-Web-Service angeben.
Weitere Informationen finden Sie im Artikel zum Trusted-ID-Evaluator. Der Server übergibt den BasicAuth-Sonderberechtigungsnachweis
an den Trusted-ID-Evaluator, der, sofern die ID vertrauenswürdig ist, true (wahr) oder
andernfalls false (falsch) zurückgibt. Wenn die ID vertrauenswürdig ist, wird der Benutzername des Clients dem Berechtigungsnachweis zugeordnet, der dann für die
Berechtigung verwendet wird.
Führen Sie die folgenden Schritte aus, um den Server für die Behandlung der Authentifizierungsdaten für die
Zusicherung der Identität zu konfigurieren:
Vorgehensweise
- Starten Sie ein Assembliertool. Weitere Informationen finden Sie in den zugehörigen Informationen
zu Assembliertools.
- Wechseln Sie in die Java™ EE-Perspektive (Java Platform,
Enterprise Edition).
Klicken Sie auf .
- Klicken Sie auf .
- Klicken Sie mit der rechten Maustaste auf die Datei webservices.xml, und klicken Sie anschließend
auf .
- Klicken Sie auf das Register Erweiterungen, das sich im Assembliertool unten im Web-Services-Editor befindet.
- Erweitern Sie den Abschnitt . Sie können zwischen den folgenden Optionen wählen:
- BasicAuth
- Signature
- ID assertion
- LTPA (Lightweight
Third Party Authentication)
- Wählen Sie IDAssertion aus, wenn der Client mit der zugesicherten Identität authentifiziert
werden soll.
Die Benutzer-ID
des Clients muss in der Zielbenutzerregistry bzw. im Zielrepository vorhanden sein, die bzw. das
in der Anzeige der
Administrationskonsole für WebSphere Application Server konfiguriert wurde. Sie können mehrere Anmeldekonfigurationen auswählen.
Auf dem Server können demzufolge verschiedene Arten von Sicherheitsinformationen empfangen werden.
Die Reihenfolge, in der die Anmeldekonfigurationen hinzugefügt werden, entscheidet darüber,
in welcher Reihenfolge sie beim Empfang einer Anforderung verarbeitet
werden. Es können Fehler auftreten, wenn mehrere Anmeldekonfigurationen hinzugefügt werden,
die gemeinsame Sicherheitstoken verwenden. "IDAssertion" enthält beispielsweise ein BasicAuth-Token. Dieses Token ist das anerkannte Token.
"IDAssertion" funktioniert nur ordnungsgemäß, wenn Sie "IDAssertion" in der Liste vor BasicAuth
angeben oder die BasicAuth-Verarbeitung die IDAssertion-Verarbeitung außer Kraft setzt.
- Erweitern Sie den Abschnitt IDAssertion, und wählen Sie ID-Typ und
Trust-Modus aus.
- Die gültigen Optionen für ID-Typ sind:
- Username
- DN (definierter Name)
- X509certificate
Diese Optionen sind lediglich Einstellungen und nicht garantiert.
Meistens wird die Option
Username verwendet. Sie müssen denselben ID-Typ wie auf dem Client auswählen.
- Die Optionen für Trust-Modus sind:
Trust-Modus bezieht sich auf die Informationen, die der Client unter der
anerkannten ID sendet.
- Wenn Sie BasicAuth ausgewählt haben, sendet der Client Daten für die Basisauthentifizierung
(Benutzer-ID und Kennwort). Die BasicAuth-Daten werden anhand der konfigurierten Benutzerregistry authentifiziert. Nach
der erfolgreichen Authentifizierung muss die Benutzer-ID in der anerkannten Liste der Trusted-ID-Evaluator
enthalten sein.
- Wenn Sie Signature ausgewählt haben, wird das signierte Zertifikat des Clients gesendet.
Dieses Zertifikat muss der konfigurierten Benutzerregistry zugeordnet werden können.
Bei Lokales Betriebssystem wird der allgemeine Name (CN, Common Name) des definierten Namens (DN, Distinguished Name)
einer Benutzer-ID in der Registry zugeordnet. Bei Lightweight Directory Access Protocol (LDAP) wird der
DN der Registry für den Modus ExactDN zugeordnet. Für den Modus CertificateFilter
werden die Attribute entsprechend zugeordnet. Zusätzlich muss der Benutzername des generierten Berechtigungsnachweises
in der anerkannten Liste der Trusted-ID-Evaluator enthalten sein.
Nächste Schritte
Weitere Informationen zu den ersten Schritten mit dem Editor für Web-Services in einem Assembliertool finden Sie im Artikel
Serversicherheitsbindungen mit einem Assembliertool konfigurieren.
Nachdem Sie angegeben haben, wie der Server die Informationen der
Authentifizierung durch Zusicherung der Identität
handhaben soll, müssen Sie angeben, wie der Server die Authentifizierungsdaten validieren soll. Weitere Informationen finden Sie in der Task, die beschreibt, wie Sie den Server
für die Validierung der Informationen für die Authentifizierung durch Zusicherung der Identität konfigurieren.