Der Trust-Service verwaltet Token für Serviceendpunkte.
Jedem Serviceendpunkt wird explizit oder implizit ein Token-Provider zugeordnet. Es kann explizit ein bestimmtes Token
zugeordnet werden, das ausgestellt werden soll, wenn der Zugriff auf einen Endpunkt angefordert wird. Andernfalls
wird das Standardtoken des Trust-Service ausgestellt.
Vorbereitende Schritte
Die Spezifikation "Web Services Secure Conversation" definiert das Client, über das ein Client
eine sichere Sitzung mit einem Zielservice aufbauen kann.
Der von WebSphere Application Server bereitgestellte Sicherheitstokenservice, der so genannte
Trust-Service, stellt nur das Sicherheitskontexttoken (SCT, Security Context Token) aus.
Das Sicherheitskontexttoken wird für Web Services Secure Conversation (WS-SecureConversation) verwendet.
Informationen zu diesem Vorgang
Diese Task beschreibt, wie neue Zuordnungen erstellt bzw. vorhandene Zuordnungen von Token
verwaltet werden, die für Endpunktziele ausgestellt werden sollen. Sie können explizite Zuordnungen für neue
Serviceendpunkte (Ziele) erstellen oder vorhandene Tokenzuordnungen verwalten.
Zum Konfigurieren des Trust-Service
müssen Sie die folgenden Tasks ausgeführt haben:
- SCT-Provider verwalten.
- Serviceendpunkt-URLs erstellen oder verwalten, die Sie dem Richtliniensatz und der Bindung zuweisen möchten.
Die Reihenfolge, in der Sie diese Tasks ausführen, ist nicht von Bedeutung.
Wenn die Sicherheit aktiviert ist, haben Sie je nach Rolle, die Ihnen zugeordnet ist,
möglicherweise keinen Zugriff auf die Texteingabefelder oder Schaltflächen für die Erstellung oder Bearbeitung der Konfigurationsdaten.
Machen Sie sich mithilfe der Dokumentation zu den Verwaltungsrollen
mit den gültigen Rollen für den Anwendungsserver vertraut.
Vorgehensweise
- Klicken Sie zum Konfigurieren neuer und vorhandener Endpunktziele für den Trust-Service auf Services >
Trust-Service > Ziele. Es wird eine Liste aller Serviceendpunkte angezeigt,
für die explizit ein Sicherheitstokenprovider definiert ist. Der für die Trust-Service-Standardeinstellung zugeordnete
Token-Provider bearbeitet standardmäßig Anforderungen zum Ausstellen von Token für den Zugriff auf einen Endpunkt.
- Klicken Sie auf eine der folgenden Aktionen, um neue oder vorhandene Endpunktzielkonfigurationen
zu verwalten:
- Neue Zuweisung
- Öffnet eine neue Anzeige, in der Sie einen angepassten Serviceendpunkt-URL
angeben und den als Trust-Service-Standardeinstellung angegebenen Token-Provider, der für den Zugriff auf den Endpunkt
ausgegeben werden soll, explizit zuzuweisen.
- Token ändern
- Ändert ein explizit zugeordnetes Token, das für den Serviceendpunkt ausgestellt werden soll, in das Sicherheitskontexttoken.
Wählen Sie einen Endpunkt aus, und klicken Sie anschließend auf Token ändern. Wählen Sie das Sicherheitskontexttoken aus.
Diese Aktion entfernt auch die explizite Zuordnung eines auszustellenden Tokens. Deshalb wird das auszustellende
Token aus der Trust-Service-Standardeinstellung übernommen. Wählen Sie einen Endpunkt aus, und klicken Sie anschließend auf Token ändern. Klicken Sie auf
Standardeinstellung übernehmen, um eine Token-Provider-Zuordnung für den ausgewählten Endpunkt zu entfernen und
das ausgestellte Token auf das Token zurückzusetzen, das als Trust-Service-Standardeinstellung angegeben ist. Wenn
das ausgestellte Token übernommen wird, wird der Endpunkt nicht mehr in der Liste angezeigt, weil der Token-Provider
dem Endpunkt nicht mehr explizit zugeordnet ist.
- Klicken Sie auf den Link des Tokennamens für ein vorhandenes Endpunktziel, um die Konfigurationsdaten für den
Token-Provider zu ändern. Sie können den URI des Tokentypschemas oder angepasste Eigenschaften ändern.
- Speichern Sie Ihre Änderungen, bevor Sie die Änderungen auf die Laufzeitkonfiguration von Web Services Security anwenden.
- Klicken Sie auf Laufzeit aktualisieren, um die Laufzeitkonfiguration von Web Services Security
mit allen Datenänderungen für Token-Provider, Trust-Service-Zuordnungen und Zielen zu aktualisieren. Ob das Bestätigungsfenster angezeigt wird, hängt davon ab, ob Sie das Kontrollkästchen
Bestätigung für Befehl zur Laufzeitaktualisierung anzeigen auswählen oder nicht.
Klicken Sie auf Vorgaben, um das Kontrollkästchen anzuzeigen.
- Optional: Bestätigen Sie die Eingabe, oder klicken Sie auf Abbrechen, wenn das Bestätigungsfenster erscheint. Wenn Sie das Kontrollkästchen Bestätigung für Befehl zur Laufzeitaktualisierung anzeigen
abgewählt haben, werden alle Änderungen unverzüglich, d. h. ohne Anzeige des Bestätigungsfensters, vorgenommen.
Ergebnisse
Wenn Sie diese Schritte ausführen, wird der Serviceendpunkt-URL in der Objektgruppe
"Ziele" angezeigt, sofern Sie das Token nicht auf Übernahme des Standardwerts eingestellt haben. Mit dem Tool wsadmin
können Sie den Trust-Service auch so konfigurieren, dass Token für einzelne Endpunktziele
ausgestellt werden. Die Beispiele für das Tool "wsadmin" sind in der Scripting-Sprache Jython geschrieben.
Nächste Schritte
Sie haben die erforderlichen Schritte ausgeführt, um Trust-Service-Ziele zu erstellen oder vorhandene Trust-Service-Ziele zu verwalten,
den Sicherheitstokenprovider einem Endpunktziel zuzuweisen und die Laufzeitkonfiguration
von Web Services Security zu aktualisieren. Falls Sie diese Tasks noch nicht ausgeführt haben,
konfigurieren Sie als Nächstes den SCT-Provider, oder konfigurieren Sie Zuordnungen zum Richtliniensatz und zur Bindung,
um die Trust-Service-Konfiguration fertig zu stellen.