Einstellungen für Authentifizierungstokengeneratoren oder -konsumenten
Authentifizierungstoken werden verwendet, um eine Identität zu bestätigen oder zuzusichern. Verwenden Sie die Administrationskonsole, um Authentifizierungstokeneinstellungen für Nachrichtenabschnitte hinzuzufügen, wenn Sie eine allgemeine Bindung bearbeiten.
Führen Sie zum Konfigurieren von Authentifizierungstoken die folgenden Schritte aus:
- Zum Anzeigen und Auswählen der allgemeinen Bindungen, die als Standardrichtliniensatzbindungen für die globale Sicherheit definiert wurden, klicken Sie auf . Die angegebenen Bindungen werden verwendet, sofern sie bei der Zuordnung, auf dem Server oder in einer Sicherheitsdomäne nicht überschrieben werden.
- Zum Aufrufen und Konfigurieren der allgemeinen Bindungen und zum Hinzufügen von Authentifizierungstokeneinstellungen für Nachrichtenabschnitte klicken Sie auf .
- Klicken Sie in der Tabelle "Richtlinien" auf die Richtlinie WS-Security.
- Klicken Sie im Abschnitt "Bindungen für Hauptnachrichtensicherheitsrichtlinie" auf den Link Authentifizierung und Zugriffsschutz.
- Klicken Sie auf Neues Token, um einen neuen Tokengenerator oder Tokenkonsumenten zu erstellen, oder klicken Sie in der Liste "Authentifizierungstoken" auf den Link eines vorhandenen Konsumenten- oder Generatortokens.
- Klicken Sie auf .
- Wählen Sie eine Anwendung aus, die Web-Services enthält. Die Anwendung muss einen Service-Provider oder einen Service-Client enthalten.
- Klicken Sie im Abschnitt "Web-Service-Eigenschaften" auf den Link Richtliniensätze und Bindungen für Service-Provider oder auf den Link Richtliniensätze und Bindungen für Service-Clients.
- Wählen Sie eine Bindung aus. Sie müssen vorher einen Richtliniensatz zugeordnet und eine anwendungsspezifische Bindung zugewiesen haben.
- Klicken Sie in der Tabelle "Richtlinien" auf die Richtlinie WS-Security.
- Klicken Sie im Abschnitt "Bindungen für Hauptnachrichtensicherheitsrichtlinie" auf den Link Authentifizierung und Zugriffsschutz.
- Klicken Sie in der Tabelle "Token für Zugriffsschutz" auf den Link eines Konsumenten- oder Generatortokens.
Diese Seite der Administrationskonsole bezieht sich nur auf JAX-WS-Anwendungen (Java™ API for XML Web Services).
Name
Gibt den Namen des Tokens an, das konfiguriert wird. Bei der Verwendung anwendungsspezifischer Bindungen wird dieses Feld nicht angezeigt.
Tokentyp
Gibt den Typ des Tokens an, das konfiguriert wird.
Wenn Sie anwendungsspezifische Bindungen verwenden, wird der Tokentyp aus der Richtliniendatei entnommen und ist schreibgeschützt. Wenn Sie allgemeine Bindungen verwenden, wählen Sie in der Liste einen Tokentyp aus. Die folgenden Tokentypen sind verfügbar:
- X509V3 Token V1.1
- X509V3 Token V1.0
- Username Token V1.1
- Username Token V1.0
- X509PKCS7 Token V1.1
- X509PKCS7 Token V1.0
- X509PkiPathV1 Token V1.1
- X509PkiPathV1 Token V1.0
- LTPA-Weitergabetoken
- X509V1 Token V1.1
- LTPA-Token
- LTPA Token V2.0
- Angepasstes Token
Wenn Sie "LTPA-Token" als Tokentyp für den Tokengenerator auswählen, muss der Interoperabilitätsmodus "Single Sign-on (SSO)" aktiviert werden. Dies ist eine Einstellung in der globalen Sicherheit aus der Web- und SIP-Sicherheit. Wenn das Interoperabilitäts-Flag nicht aktiviert ist, tritt ein Fehler auf, wenn die Anwendung gestartet wird, die diesen Bindungen zugeordnet ist. Wenn Sie das LTPA-Token verwenden möchten, ohne den Status des Interoperabilitätsflags zu prüfen, können Sie die angepasste Eigenschaft "com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7" im Tokengenerator setzen. Definieren Sie die Eigenschaft gemäß der Beschreibung im Artikel "SSO-Interoperabilitätsmodus für das LTPA-Token aktivieren oder inaktivieren" über die Administrationskonsole. Die Eigenschaft kann nicht mit der API "Web Services Security" definiert werden.
Lokaler Name
Gibt den lokalen Namen für den Authentifizierungstokengenerator bzw. -konsumenten an.Der in das Feld Lokaler Name eingetragene Wert basiert auf dem angezeigten Tokentyp. Verwenden Sie dieses Feld nur, um angepasste Tokentypen zu bearbeiten.
URI
Gibt den URI (Uniform Resource Identifier) des Generators bzw. Konsumenten für Authentifizierungstoken an. Der in das URI eingetragene Wert basiert auf dem angezeigten Tokentyp. Verwenden Sie dieses Feld nur, um angepasste Tokentypen zu bearbeiten.
Lassen Sie dieses Feld leer, wenn der Typ "Angepasstes Token" verwendet wird, um ein Kerberos-Token gemäß OASIS Web Services Security Specification for Kerberos Token Profile v1.1 zu generieren.
Referenz des Sicherheitstokens
Gibt die Referenz des Sicherheitstokens an. Das Feld "Referenz des Sicherheitstokens" wird nur für Authentifizierungstoken in anwendungsspezifischen Bindungen angezeigt. Dieses Feld ist für Standardbindungen nicht verfügbar.
JAAS-Anmeldung
Gibt eine Liste mit JAAS-Anwendungs- und Systemanmeldungen an, die für die Domäne gültig sind, der die Bindung zugewiesen ist.
Wenn eine Anwendung der globalen Sicherheit oder einer Domäne zugeordnet ist, die ihre eigenen JAAS-Anmeldungen nicht anpasst, wird die Liste globaler Anmeldungen in der Menüliste angezeigt. Klicken Sie auf Neue Anwendungsanmeldung, um auf die Sammlung globaler JAAS-Anwendungsanmeldungen zuzugreifen. Die Menüliste mit den JAAS-Anmeldungen und das Verhalten der Schaltfläche Neue Anwendungsanmeldung richten sich danach, ob die Bindung zusammen mit einer Zuordnung erstellt wird. Gehen Sie beim Ändern von Sicherheitsdomänen mit Vorsicht vor, da eine zuvor referenzierte Sicherheitskonfiguration, wie z. B. JAAS-Anmeldungen, in einer anderen Sicherheitsdomäne möglicherweise nicht zugänglich ist.
Angepasste Eigenschaften – Name
Gibt den Namen an, der für die angepasste Eigenschaft verwendet wird.
Zunächst werden keine angepassten Eigenschaften in dieser Spalte angezeigt. Klicken Sie auf eine der folgenden Schaltflächen, um die beschriebenen Aktionen zu aktivieren:
Schaltfläche | Ausgeführte Aktion |
---|---|
Neu | Erstellt einen neuen angepassten Eigenschaftseintrag. Wenn Sie eine angepasste Eigenschaft hinzufügen möchten, geben Sie den Namen und den Wert ein. |
Bearbeiten | Mit dieser Aktion kann die ausgewählte angepasste Eigenschaft bearbeitet werden. Wenn Sie auf diese Schaltfläche klicken, werden die Eingabefelder bereitgestellt, und es wird eine Liste mit den zu bearbeitenden Zellenwerten erstellt. Die Schaltfläche "Bearbeiten" ist erst verfügbar, wenn Sie mindestens eine angepasste Eigenschaft hinzugefügt haben. |
Löschen | Entfernt die ausgewählte angepasste Eigenschaft. |
Angepasste Eigenschaften – Wert
Gibt den zu verwendenden Wert für die angepasste Eigenschaft an. Verwenden Sie das Feld Wert, um den Wert für eine angepasste Eigenschaft einzugeben, zu bearbeiten oder zu löschen.
Wenn der Typ "Angepasstes Token" zum Generieren eines Kerberos-Tokens verwendet wird, geben Sie die folgenden angepassten Eigenschaften an:
Name der angepassten Eigenschaft | Wert |
---|---|
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName | Gibt den Namen des Zielservice an. Diese Eigenschaft |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost | Gibt den Hostnamen für den Zielservice in folgendem Format an: myhost.mycompany.com. Diese Eigenschaft |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm | Gibt den Namen des Realms an, der dem Zielservice zugeordnet ist.
Diese Eigenschaft ist für einen einzelnen Kerberos-Realm optional. Wenn |
com.ibm.wsspi.wssecurity.krbtoken.clientRealm | Gibt den Namen des Kerberos-Realms an, der dem Client zugeordnet ist. Diese |
com.ibm.wsspi.wssecurity.krbtoken.loginPrompt | Diese Eigenschaft aktiviert die Kerberos-Anmeldung, wenn sie den Wert True hat.
Der Standardwert ist False. Diese Eigenschaft |
Für den Tokengenerator bildet die Kombination von Zielservicename und Zielhostname einen sogenannten Service Principal Name (SPN), der den Principalnamen des Kerberos-Zielservice darstellt. Der Kerberos-Client fordert das anfängliche Kerberos-AP_REQ-Token für den SPN an.
Wenn eine Anwendung ein Kerberos-V5-AP_REQ-Token für jede Web-Service-Anforderungsnachricht generiert oder konsumiert, setzen Sie die angepasste Eigenschaft com.ibm.wsspi.wssecurity.kerberos.attach.apreq in den Tokengenerator- und Tokenkonsumentenbindungen für die Anwendung auf true. Weitere Informationen finden Sie im Artikel mit den Tipps zur Fehlerbehebung bei Web Services Security.
Callback-Handler
Link zu der Seite "Callback-Handler", auf der Sie Callback-Handler konfigurieren können. Die Einstellungen des Callback-Handlers bestimmen, wie Sicherheitstoken aus Nachrichten-Headern übernommen werden.
Wenn Sie mit einem Benutzernamenstoken oder LTPA-Token arbeiten, das Standardbindungen verwendet, wurden die Benutzernamen und Kennwörter unter Umständen als Beispiele bereitgestellt. Sie müssen die Werte für diese Tokentypen aktualisieren.