Konfigurationseinstellungen für Tokengenerator
Verwenden Sie diese Seite, um die Informationen für den Tokengenerator festzulegen. Diese Informationen werden nur auf der Generatorseite verwendet, um das Sicherheitstoken zu generieren.
- Klicken Sie auf .
- Klicken Sie unter "JAX-RPC-Standardgeneratorbindungen" auf Neu, um einen neuen Tokengenerator zu erstellen. oder auf
- Klicken Sie auf .
- Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web Services Security.mixv
- Klicken Sie unter "JAX-RPC-Standardgeneratorbindungen" auf oder auf Neu, um einen neuen Tokengenerator zu erstellen.
- Klicken Sie auf .
- Klicken Sie unter "Module" auf .
- Unter "Weitere Eigenschaften" können Sie auf die Tokengeneratorinformationen für die folgenden Bindungen zugreifen:
- Klicken Sie für die Anforderungsgeneratorbindung (Sender) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anforderungsgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie für die Antwortgeneratorbindung (Sender) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anwortgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie auf Neu, um einen neuen Tokengenerator zu erstellen, oder klicken Sie auf den Namen eines vorhandenen Tokengenerators, um die Einstellungen festzulegen.
- Klicken Sie auf .
- Klicken Sie unter "Module" auf .
- Klicken Sie unter "Web-Services-Security-Eigenschaften" auf Web-Services: Clientsicherheitsbindungen.
- Klicken Sie unter "Anforderungsgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie unter "Weitere Eigenschaften" auf .
Damit Sie weitere Eigenschaften angeben können, müssen Sie die Felder Name des Tokengenerators und Klassenname des Tokengenerators ausfüllen.
Name des Tokengenerators
Gibt den Namen der Konfiguration für den Tokengenerator an.
Die Standardnamen für den X509-Tokengenerator sind beispielsweise gen_enctgen für die Verschlüsselung und gen_signtgen für die Signatur. Der Name eines angepassten Tokengenerators kann für die Signatur beispielsweise sig_tgen lauten.
Klassenname für Tokengenerator
Gibt den Namen für die Implementierungsklasse des Tokengenerators an.
Diese Klasse muss die Schnittstelle com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent implementieren.
Klassenname für Tokengenerator
Gibt den Namen für die Implementierungsklasse des Tokengenerators an.
Zertifikatspfad
Gibt die Zertifikatswiderrufsliste (CRL, Certificate Revocation List) an, die für die Generierung eines Sicherheitstokens in einem Tokentyp PKCS#7 mit CRL verwendet wird.
Wenn der Tokengenerator nicht für den Tokentyp PKCS#7 bestimmt ist, müssen Sie Ohne auswählen. Wenn der Tokengenerator für den Tokentyp PKCS#7 bestimmt ist und Sie Zertifikatswiderruflisten in das Sicherheitstoken aufnehmen möchten, wählen Sie Dedizierte Signaturdaten aus und geben Sie die Zertifikatswiderruflisten für den Zertifikatssammelspeicher an.
Name der Bindung | Serverebene, Zellenebene oder Anwendungsebene | Pfad |
---|---|---|
Standardgeneratorbindungen | Zellenebene |
|
Standardgeneratorbindungen | Serverebene |
|
Mit dem Zertifikatssammelspeicher können Sie eine Zertifikatswiderrufliste konfigurieren. Klicken Sie unter "Weitere Eigenschaften" auf Zertifikatswiderrufliste.
Nonce hinzufügen
Gibt an, ob ein Nonce-Element in das Benutzernamenstoken für den Tokengenerator aufgenommen wird. Ein Nonce ist eine eindeutige verschlüsselte Nummer, die in eine Nachricht eingebettet wird, um wiederholte, unbefugte Hackerattacken auf Benutzernamenstoken zu verhindern.
Wenn Sie auf Anwendungsebene die Option Nonce hinzufügen auswählen, können Sie unter "Weitere Eigenschaften" die folgenden Eigenschaften angeben:
Eigenschaftsname | Standardwert | Erläuterung |
---|---|---|
com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.cacheTimeout | 600 Sekunden | Das Zeitlimit (in Sekunden) für den auf dem Server zwischengespeicherten Nonce-Wert. |
com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.clockSkew | 0 Sekunden | Verfallsdatum für Nonce-Zeitmarke. |
com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.maxAge | 300 Sekunden | Gibt die zeitliche Abweichung an, die der Anwendungsserver berücksichtigen muss, wenn die Aktualität der Nachricht geprüft wird. |
Diese Eigenschaften sind in der Administrationskonsole auf Zellen- und Serverebene verfügbar. Auf der Anwendungsebene können Sie die Eigenschaften unter "Weitere Eigenschaften" konfigurieren.
Diese Option wird auf Zellen-, Server- und Anwendungsebene angezeigt. Sie ist nur für Benutzernamenstoken gültig.
Zeitmarke hinzufügen
Gibt an, ob die Zeitmarke in das Benutzernamenstoken eingefügt wird.
Diese Option wird auf Zellen-, Server- und Anwendungsebene angezeigt. Sie ist nur für Benutzernamenstoken gültig.
Lokaler Name des Wertetyps
Gibt den lokalen Namen des Wertetyps für das generierte Token an.
- Benutzernamenstoken
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
- X509-Zertifikatstoken
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- X509-Zertifikate im Format PKIPath
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- Liste von X509-Zertifikaten und CRLs im Format PKCS#7
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
- LTPA (Lightweight Third Party Authentication)
- LTPA_PROPAGATION
Wenn Sie für angepasste Token einen eigenen Wertetyp angeben, können Sie den lokalen Namen und den URI des QName für den Wertetyp angeben. Sie könnten beispielsweise für den lokalen Namen Custom und für den URI http://www.ibm.com/custom angeben.
URI des Tokentyps
Gibt den Namespace-URI für den Wertetyp des generierten Tokens an.
Wenn Sie den Tokengenerator für Benutzernamenstoken oder Sicherheitstoken im X.509-Format angeben, müssen Sie diese Option nicht angeben. Falls Sie ein anderes Token angeben möchten, geben Sie als Wertetyp den Qname-URI an.
- Für LTPA-Token: http://www.ibm.com/websphere/appserver/tokentype/5.0.2
- Für die Weitergabe von LTPA-Token: http://www.ibm.com/websphere/appserver/tokentype