Sie können die Laufzeitumgebung von Web Services Security so konfigurieren, dass der verteilte Sicherheitscache zum Speichern von
Sicherheitstoken verwendet wird.
Informationen zu diesem Vorgang
Die Funktionen von Web Services Security, wie z. B. SecureConversation, Trust und Nonce,
verwenden den verteilten Cache, um Sicherheitstoken zu speichern, wenn der verteilte Cache aktiviert ist.
Wenn die Option für den verteilten Cache nicht ausgewählt ist, wird ein lokaler Cache zum Speichern der Token verwendet.
WebSphere Application Server unterstützt
das verteilte Caching von Token in Clusterumgebungen und Umgebungen ohne Cluster.
In einer Clusterumgebung können Sie den Sicherheitscache als verteilten Cache konfigurieren.
Wenn der Cache verteilt ist, verwenden alle Server im Cluster dieselben Informationen zu ausgestellten Token.
Vorgehensweise
- Klicken Sie zum Konfigurieren des SecureConversation-Clientcaches auf .
- Ändern Sie den Wert (Minuten) im Feld Verbleib des Tokens im Cache nach Ablauf des Zeitlimit. Der Standardwert ist 120 Minuten. Der zulässige Mindestwert sind 10 Minuten, d. h., Sie können keinen Wert eingeben, der
kleiner ist als 10 Minuten. In diesem Feld wird angegeben, wie lange (in Minuten) das Token
nach Ablauf der Tokenverfallszeit (Cachepersistenzzeit) im Cache verbleibt.
- Ändern Sie den Wert (Minuten) im Feld
Zeitraum für Erneuerung vor Ablauf des Tokenzeitlimits. Der Standardwert und gleichzeitig der zulässige Mindestwert sind 10 Minuten. Sie können keinen Wert eingeben,
der kleiner ist als 10 Minuten. Dieses Feld gibt an, wie lange vor dem Verfall des Tokens der Client versuchen kann,
das Token zu erneuern. Dieses Zeitfenster liegt direkt vor dem Tokenverfall. Wenn auf das Token zugegriffen wird, versucht der Client, das
Token zu erneuern, damit ein Downstream-Aufruf fertig gestellt werden kann.
Diese Einstellung muss unbedingt auf einen Wert gesetzt werden, der höher ist als die Dauer der potenziell längsten Transaktion.
Der Wert muss die Zeit beinhalten, die für den Transport zum Server und vom Server benötigt wird,
die Zeit, die der Server benötigt, um die Anforderung zu verarbeiten, und die für
Reliable Messaging erforderliche Cachezeit. Wenn Sie für diese Einstellung einen zu niedrigen Wert festlegen, ist es möglich, dass das Token mitten in einer Transaktion
verfällt, was zur Folge hat, dass die Transaktion nicht fertig gestellt werden kann.
Wenn das Sicherheitskontexttoken zu oft erneuert wird, kann Web Services Secure Conversation (WS-SecureConversation)
fehlschlagen. Es ist sogar möglich, dass eine abnormale Speicherbedingung eintritt. Als Wert für den
"Zeitraum für die Erneuerung vor Ablauf des Tokenzeitlimits"
für den Secure-Conversation-Clientcache muss ein
Wert festgelegt werden, der niedriger ist als der Wert für das
Tokenzeitlimit für den Sicherheitskontexttoken.
Außerdem sollte der Wert für das Tokenzeitlimit mindestens
doppelt so hoch sein wie der Wert für den "Zeitraum für die Erneuerung vor Ablauf des Tokenzeitlimits".
- Wählen Sie das Kontrollkästchen Verteiltes Caching aktivieren aus, wenn die Token im Cluster gemeinsam genutzt werden sollen. Wenn das Kontrollkästchen zum Aktivieren des verteilten Cachings ausgewählt ist, wählen Sie eine der folgenden Einstellungen für die Aktualisierung
der Caches aus.
- Synchrone Aktualisierung der Cluster-Member: Führt eine synchrone Aktualisierung
von Cacheobjekten auf Cluster-Membern durch (Standardeinstellung).
- Asynchrone Aktualisierung der Cluster-Member: Führt eine asynchrone
Aktualisierung des Caches auf den Cluster-Member durch. Diese Einstellung unterstützt die Interoperabilität
mit Cluster-Membern, die den älteren Aktualisierungsstil verwenden, der in den Versionen
von WebSphere Application
Server vor Version 7.0 implementiert wird.
- Unterstützung der Tokenwiederherstellung: Ordnet eine gemeinsam genutzte Datenquelle als verteilten Cache zu.
Wenn Sie die Unterstützung der Tokenwiederherstellung als Aktualisierungsmethode auswählen, müssen Sie in der Dropdown-Liste
eine Datenquelle auf Zellenebene auswählen.
Die Statusdaten für Token werden in der als Datenquelle definierten Datenbank gespeichert.
Wenn keine verfügbaren Datenquellen in der Liste enthalten sind, klicken Sie auf "Datenquellen verwalten", um
ein oder mehrere neue Datenquellenobjekte hinzuzufügen.
Das Datenquellenobjekt gibt eine Anwendung mit Verbindungen für den Zugriff auf die Datenbank an.
- Wenn Sie eine neue angepasste Eigenschaft erstellen möchten, klicken Sie auf Neu. Sie könnten beispielsweise
die angepasste Eigenschaft cancelActionRST
mit dem Wert http://schemas.xmlsoap.org/ws/2005/02/trust/RST/SCT/Cancel hinzufügen.
- Wenn Sie eine vorhandene angepasste Eigenschaft bearbeiten möchten, wählen Sie das Kontrollkästchen für den Namen der vorhandenen angepassten Eigenschaft aus, und klicken
Sie anschließend auf Bearbeiten. Sie könnten beispielsweise den Namen oder den Wert der angepassten Eigenschaft "cancelActionRST" ändern.
- Klicken Sie auf Anwenden, um die Änderungen zu speichern und anzuwenden.
Ergebnisse
Sie haben die Basisinformationen für die Konfiguration des verteilten Caches von Web Services Security
angegeben.
Verwenden Sie die Administrationskonsole oder das Tool "wsadmin", um die Konfiguration des Sicherheitscaches zu ändern.
Nächste Schritte
Mit dem Tool "wsadmin" können Sie außerdem angepasste Eigenschaften für den Trust-Service hinzufügen und löschen.
Die wsadmin-Toolbeispiele
sind in der Scripting-Sprache Jython geschrieben.