Tokenkonsumenten zum Schutz der Nachrichtenauthentizität auf Anwendungsebene mit JAX-RPC konfigurieren

Sie können den Tokenkonsumenten auf Anwendungsebene angeben. Die Informationen zum Tokenkonsumenten werden auf Konsumentenseite verwendet, um das Sicherheitstoken einzubinden.

Vorbereitende Schritte

Machen Sie sich bewusst, dass die Keystore- und Aliasinformationen, die Sie für den Generator angeben, sowie die Keystore- und Aliasinformationen, die Sie für den Konsumenten angeben, für verschiedene Zwecke verwendet werden. Der Hauptunterschied liegt beim Alias für einen X.509-Callback-Handler.

Wenn diese Information zusammen mit einem Verschlüsselungskonsumenten verwendet wird, wird der für den Konsumenten angegebene Alias verwendet, um den privaten Schlüssel für die Entschlüsselung der Nachricht abzurufen. Es ist ein Kennwort erforderlich. Wenn diese Information einem Signaturkonsumenten zugeordnet wird, wird der für den Konsumenten angegebene Alias nur verwendet, um den öffentlichen Schlüssel abzurufen, der verwendet wird, um ein X.509-Zertifikat, das im SOAP-Sicherheitsheader nicht als BinarySecurityToken übergeben wird, aufzulösen. Ein Kennwort ist nicht erforderlich.

Informationen zu diesem Vorgang

Führen Sie die folgenden Schritte aus, um den Tokenkonsumenten auf Anwendungsebene zu konfigurieren.

Vorgehensweise

  1. Rufen Sie in der Administrationskonsole die Anzeige "Tokenkonsumenten" auf.
    1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
    2. Klicken Sie unter "Module" auf Module verwalten > URI-Name.
    3. Unter "Web-Services-Security-Eigenschaften" können Sie auf den Tokenkonsumenten für die folgenden Bindungen zugreifen:
      • Klicken Sie für die Anforderungskonsumentenbindung (Empfänger) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anforderungskonsumentenbindung (Empfänger)" auf Angepasste Bindungen bearbeiten.
      • Klicken Sie für die Antwortkonsumentenbindung (Empfänger) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anwortkonsumentenbindung (Empfänger)" auf Angepasste Bindungen bearbeiten.
    4. Klicken Sie unter "Erforderliche Eigenschaften" auf Tokenkonsument.
    5. Klicken Sie auf Neu, um eine Konfiguration für einen Tokenkonsumenten zu erstellen, klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration für einen Tokenkonsumenten, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld Name des Tokenkonsumenten einen eindeutigen Namen ein. Beispielsweise können Sie den Namen con_signtcon angeben.
  2. Geben Sie im Feld Klassenname für Tokenkonsumenten einen Klassennamen ein. Die JAAS-Anmeldemodulimplementierung (Java™ Authentication and Authorization Service) wird verwendet, um das Sicherheitstoken auf Konsumentenseite zu validieren (authentifizieren).

    Der Name der Tokenkonsumentenklasse für den Anforderungskonsumenten und den Antwortkonsumenten muss dem Namen der Tokengeneratorklasse für den Anforderungsgenerator und den Antwortgenerator gleichen. Wenn Ihre Anwendung beispielsweise einen Konsumenten für Benutzernamenstoken erfordert, können Sie in der Anzeige "Tokengenerator" auf Anwendungsebene den Klassennamen "com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator" und den Klassennamen "com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer" in diesem Feld eingeben.

  3. Optional: Wählen Sie im Feld Referenz auf Nachrichtenabschnitt eine Referenz aus. Die Referenz gibt den Namen des Sicherheitstokens an, das im Implementierungsdeskriptor definiert ist. Wenn Sie beispielsweise in der Anforderungsnachricht ein Benutzernamenstoken empfangen, können Sie im Konsumenten für Benutzernamenstoken auf das Token verweisen.
    Wichtig: Wenn Sie auf Anwendungsebene in Ihrem Implementierungsdeskriptor kein Sicherheitstoken angeben, wird das Feld Abschnittsreferenz nicht angezeigt. Sollte in Ihrem Implementierungsdeskriptor ein Sicherheitstoken mit dem Namen user_tcon definiert sein, wird user_tcon als Option im Feld Abschnittsreferenz angezeigt.
  4. Optional: Wählen Sie im Abschnitt "Zertifikatspfad" der Anzeige einen Typ für den Zertifikatsspeicher aus, und geben Sie bei Bedarf den Namen des Trust-Anchors und Zertifikatsspeichers ein. Diese Optionen und Felder sind erforderlich, wenn Sie "com.ibm.wsspi.wssecurity.token.X509TokenConsumer" als Klassennamen für den Tokenkonsumenten angeben. Die Namen des Trust-Anchors und des Zertifikatssammelspeichers werden im Zertifikatspfad unter dem Tokenkonsumenten erstellt.
    Einschränkung: Die Schnittstelle com.ibm.wsspi.wssecurity.token.TokenConsumingComponent wird für JAX-WS-Web-Services nicht verwendet. Wenn Sie JAX-RPC-Web-Services verwenden, ist diese Schnittstelle weiterhin gültig.

    Sie können zwischen den folgenden Optionen wählen:

    Ohne
    Bei dieser Option wird der Zertifikatspfad nicht angegeben.
    Jedem vertrauen
    Bei Auswahl dieser Option wird jedes Zertifikat anerkannt. Wenn das empfangene Token konsumiert wird, validiert der Anwendungsserver den Zertifikatspfad nicht.
    Dedizierte Signaturdaten
    Bei Auswahl dieser Option können Sie einen Trust-Anchor und eine Zertifikatsspeicherkonfiguration auswählen. Wenn Sie den Trust-Anchor oder den Zertifikatsspeicher eines anerkannten Zertifikats auswählen, müssen Sie vor dem Definieren des Zertifikatspfads den Zertifikatsspeicher konfigurieren.
    Trust-Anchor
    Ein Trust-Anchor enthält eine Liste der Keystore-Konfigurationen, die Trusted-Root-Zertifikate enthalten. Diese Konfigurationen werden verwendet, um den Zertifikatspfad eingehender Sicherheitstoken im X.509-Format zu validieren. Keystore-Objekte in Trust-Anchor enthalten gesicherte Stammzertifikate, die von der API CertPath verwendet werden, um die Vertrauenswürdigkeit einer Zertifizierungskette zu validieren. [AIX Solaris HP-UX Linux Windows][z/OS]Sie müssen die Keystore-Datei mit dem Dienstprogramm "keytool" erstellen, das Sie in der Datei Installationsverzeichnis/java/jre/bin/keytool finden.[IBM i]Sie müssen die Keystore-Datei mit dem Dienstprogramm "keytool" erstellen. Das Dienstprogramm "keytool" ist über den QShell Interpreter verfügbar.
    Führen Sie zum Konfigurieren der Trust-Anchors auf Anwendungsebene die folgenden Schritte aus:
    1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
    2. Klicken Sie unter "Zugehörige Elemente" auf EJB-Module bzw. Webmodule > URI-Name.
    3. Greifen Sie auf den Tokenkonsumenten in den folgenden Bindungen zu:
      • Klicken Sie für die Anforderungskonsumentenbindung (Empfänger) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anforderungskonsumentenbindung (Empfänger)" auf Angepasste Bindungen bearbeiten.
      • Klicken Sie für die Antwortkonsumentenbindung (Empfänger) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anwortkonsumentenbindung (Empfänger)" auf Angepasste Bindungen bearbeiten.
    4. Klicken Sie unter "Weitere Eigenschaften" auf Trust-Anchor.
    Zertifikatssammelspeicher
    Ein Zertifikatssammelspeicher enthält eine Liste nicht anerkannter, temporärer Zertifikate und Zertifikatswiderruflisten (CRLs). Der Zertifikatssammelspeicher wird verwendet, um den Zertifikatspfad eingehender Sicherheitstoken im X.509-Format zu validieren. Führen Sie zum Konfigurieren des Zertifikatssammelspeichers auf Anwendungsebene die folgenden Schritte aus:
    1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
    2. Klicken Sie unter "Zugehörige Elemente" auf EJB-Module bzw. Webmodule > URI-Name.
    3. Greifen Sie auf den Tokenkonsumenten in den folgenden Bindungen zu:
      • Klicken Sie für die Anforderungskonsumentenbindung (Empfänger) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anforderungskonsumentenbindung (Empfänger)" auf Angepasste Bindungen bearbeiten.
      • Klicken Sie für die Antwortkonsumentenbindung (Empfänger) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anwortkonsumentenbindung (Empfänger)" auf Angepasste Bindungen bearbeiten.
    4. Klicken Sie unter "Weitere Eigenschaften" auf Zertifikatssammelspeicher.
  5. Optional: Geben Sie einen Trusted-ID-Evaluator an. Mit dem Trusted-ID-Evaluator wird festgestellt, ob die empfangene ID vertrauenswürdig ist. Sie können zwischen den folgenden Optionen wählen:
    Ohne
    Bei dieser Option wird der Trusted-ID-Evaluator nicht angegeben.
    Vorhandene Evaluator-Definition
    Bei Auswahl dieser Option können Sie einen der konfigurierten Trusted-ID-Evaluator auswählen. Sie können beispielsweise den SampleTrustedIDEvaluator auswählen, der von WebSphere Application Server als Beispiel bereitgestellt wird.
    Bindende Evaluator-Definition
    Bei Auswahl dieser Option können Sie einen neuen Trusted-ID-Evaluator mit Namen und Klassennamen konfigurieren.
    Name des Trusted-ID-Evaluators
    Der Name, den die Anwendungsbindung verwendet, um auf einen Trusted-ID-Evaluator zu verweisen, der in den Standardbindungen definiert ist.
    Klassenname des Trusted-ID-Evaluators
    Gibt den Klassennamen des Trusted-ID-Evaluator an. Die angegebene Trusted-ID-Evaluator-Klasse muss die Schnittstelle "com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator" implementieren. Die TrustedIDEvaluator-Standardklasse ist "com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl". Wenn Sie diese TrustedIDEvaluator-Klasse verwenden, müssen Sie den Namen und den Wert für den standardmäßig zu verwendenden Trusted-ID-Evaluator angeben, um die Liste der gesicherten IDs (Trusted IDs) für die Auswertung zu erstellen. Gehen Sie zum Festlegen von Name und Wert wie folgt vor:
    1. Klicken Sie unter "Weitere Eigenschaften" auf Eigenschaften > Neu.
    2. Geben Sie den Namen des Trusted-ID-Evaluator im Feld Eigenschaft an. Sie müssen den Namen im Format trustedId_n angeben, wobei _n für eine ganze Zahl zwischen 0 und n steht.
    3. Geben Sie im Feld Wert die anerkannte ID (Trusted ID) an.
    Beispiel:
    property name="trustedId_0", value="CN=Bob,O=ACME,C=US"
    property name="trustedId_1, value="user1"

    Bei der Verwendung des definierten Namens (DN) wird das Leerzeichen zu Vergleichszwecken entfernt. Informationen zum Implementieren der Schnittstelle "com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator" finden Sie in der Dokumentation zum Programmiermodell. Weitere Informationen finden Sie im Artikel Standardimplementierungen der Programmierschnittstellen des Service-Providers von Web Services Security.

    Anmerkung: Definieren Sie den Trusted-ID-Evaluator auf Server- und nicht auf Anwendungsebene. Führen Sie zum Definieren des Trusted-ID-Evaluator auf Serverebene die folgenden Schritte aus:
    1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
    2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
      Heterogene Umgebung Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web Services Security.mixv
    3. Klicken Sie unter "Weitere Eigenschaften" auf Trusted-ID-Evaluator.
    4. Klicken Sie auf Neu, um einen neuen Trusted-ID-Evaluator zu definieren.

    Die Konfiguration des Trusted-ID-Evaluator ist nur für den Tokenkonsumenten auf der Anwendungsebene des Servers verfügbar.

  6. Optional: Wählen Sie die Option Nonce prüfen aus. Diese Option gibt an, ob ein Nonce im Benutzernamenstoken geprüft wird, wenn er für den Tokenkonsumenten angegeben ist. "Nonce" ist eine eindeutige verschlüsselte Nummer, die in eine Nachricht eingebettet wird, um wiederholte, unbefugte Hacker-Attacken auf Benutzernamenstoken zu verhindern. Die Option Zeitmarke prüfen ist nur gültig, wenn das eingebettete Token ein Benutzernamenstoken ist.
  7. Optional: Wählen Sie die Option Zeitmarke prüfen aus. Diese Option gibt an, ob eine Zeitmarke im Benutzernamenstoken geprüft wird. Die Option Zeitmarke prüfen ist nur gültig, wenn das eingebettete Token ein Benutzernamenstoken ist.
  8. Geben Sie im Feld Lokaler Name den lokalen Namen des Wertetyps an. Dieses Feld gibt den lokalen Namen des Wertetyps für das konsumierte Token an. Für die Sicherheitstoken des Typs Benutzernamenstoken und X.509-Zertifikat stellt WebSphere Application Server vordefinierte lokale Namen für Wertetypen bereit.
    Tabelle 1. Kombinationen von Uniform Resource Identifier (URI) und lokalem Namen. Der lokale Namenswert gibt den Typ des konsumierten Tokens an.
    URI Lokaler Name Beschreibung
    Es ist kein Namespace-URI verfügbar. Geben Sie http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 als lokalen Namen an. Gibt den Namen eines X.509-Zertifikatstokens an.
    Es ist kein Namespace-URI verfügbar. Geben Sie http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1 als lokalen Namen an. Gibt die Namen der X.509-Zertifikate in einem PKI-Pfad an.
    Es ist kein Namespace-URI verfügbar. Geben Sie http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7 als lokalen Namen an. Gibt eine Liste mit X509-Zertifikaten und Zertifikatswiderruflisten (CRLs) in PKCS#7 an.
    Geben Sie http://www.ibm.com/websphere/appserver/tokentype/5.0.2 als URI an. Geben Sie LTPA als lokalen Namen an. Gibt ein binäres Sicherheitstoken an, das ein eingebettetes LTPA-Token (Lightweight Third Party Authentication) enthält.
  9. Optional: Geben Sie den URI für den Wertetyp im Feld URI an. Dieser Eintrag gibt den Namespace-URI des Wertetyps für das konsumierte Token an.
    Hinweis: Wenn Sie den Tokenkonsumenten für ein Benutzernamenstoken oder ein Sicherheitstoken mit X.509-Zertifikat angeben, müssen Sie keinen URI für den Wertetyp angeben.

    Wenn Sie ein anderes Token angeben möchten, müssen Sie den lokalen Namen und den URI angeben. Sollten Sie beispielsweise eine Implementierung eines eigenen Token besitzen, können Sie im Feld Lokaler Name den Wert CustomToken und im Feld "URI" den Wert http://www.ibm.com/custom angeben.

  10. Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
  11. Klicken Sie auf den Namen Ihrer Tokenkonsumentenkonfiguration.
  12. Klicken Sie unter "Weitere Eigenschaften" auf JAAS-Konfiguration. Diese Eigenschaft gibt den Namen der JAAS-Konfiguration (Java Authentication and Authorization Service) an, die in der Anzeige "JAAS-Anmeldung" definiert wurde. Die JAAS-Konfiguration legt fest, wie sich das Token auf der Konsumentenseite anmeldet.
  13. Wählen Sie im Feld Name der JAAS-Konfiguration eine Konfiguration aus. Dieses Feld gibt den Namen der Konfiguration des JAAS-Systems für die Anwendungsanmeldung an. Sie können weitere JAAS-System- und -Anwendungskonfigurationen angeben, indem Sie auf Globale Sicherheit klicken. Klicken Sie unter "Authentifizierung" auf Java Authentication and Authorization Service, und klicken Sie anschließend entweder auf Anwendungsanmeldungen > Neu oder auf Systemanmeldungen > Neu. [AIX Solaris HP-UX Linux Windows][z/OS]Weitere Informationen zu JAAS-Konfigurationen finden Sie im Artikel Einstellungen für die JAAS-Konfiguration. Sie dürfen keine der vordefinierten Konfigurationen für System- oder Anwendungsanmeldungen entfernen. Sie können diesen Konfigurationen jedoch Modulklassennamen hinzufügen und die Reihenfolge festlegen, in der WebSphere Application Server die einzelnen Module lädt. WebSphere Application Server stellt die folgenden vordefinierten JAAS-Konfigurationen bereit:
    ClientContainer
    Diese Option gibt die Anmeldekonfiguration an, die von den Client-Container-Anwendungen verwendet wird. Die Konfiguration verwendet die CallbackHandler-API, die im Implementierungsdeskriptor für den Client-Container definiert ist. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Anwendungsanmeldungen auf.
    WSLogin
    Diese Option gibt an, ob alle Anwendungen die WSLogin-Konfiguration verwenden können, um die Authentifizierung für die Sicherheitslaufzeitumgebung durchzuführen. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Anwendungsanmeldungen auf.
    DefaultPrincipalMapping
    Diese Option gibt die Anmeldekonfiguration an, die von Java-2-Connectors verwendet wird, um Benutzer Principals zuzuordnen, die in den Dateneinträgen für die J2C-Authentifizierung definiert sind. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Anwendungsanmeldungen auf.
    system.LTPA_WEB
    Diese Option verarbeitet vom Web-Container verwendete Anmeldeanforderungen wie Servlets und JSP-Dateien. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    system.RMI_OUTBOUND
    Verarbeitet RMI-Anforderungen, die an einen anderen Server gesendet werden, wenn die Eigenschaft "com.ibm.CSIOutboundPropagationEnabled" den Wert true hat. Diese Eigenschaft wird in der Anzeige für CSIV2-Authentifizierung festgelegt.

    Klicken Sie zum Aufrufen dieser Anzeige auf Sicherheit > Globale Sicherheit. Klicken Sie unter "Authentifizierung" auf RMI/IIOP-Sicherheit > Authentifizierung abgehender CSIv2-Anforderungen. Wählen Sie die Option Weitergabe von Sicherheitsattributen aus, um die Eigenschaft com.ibm.CSIOutboundPropagationEnabled zu setzen. Zum Ändern dieser JAAS-Anmeldekonfiguration verwenden Sie die Anzeige für JAAS-Systemanmeldungen.

    system.wssecurity.X509BST
    Diese Option überprüft X.509 Binary Security Token (BST, binäres Sicherheitstoken), indem sie die Gültigkeit des Zertifikats und des Zertifikatspfads prüft. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    system.wssecurity.PKCS7
    Diese Option prüft ein X.509-Zertifikat in einem PKCS7-Objekt, das eine Zertifikatskette und/oder eine Zertifikatswiderrufsliste enthalten kann. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    system.wssecurity.PkiPath
    Diese Option überprüft ein X.509-Zertifikat mit einem PKI-Pfad (Public Key Infrastructure). Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    system.wssecurity.UsernameToken
    Diese Option überprüft die Basisauthentifizierung (Benutzername und Kennwort). Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    system.wssecurity.IDAssertionUsernameToken
    Diese Option unterstützt die Verwendung der Identitätszusicherung in Anwendungen der Version 6 und höher, um einen Benutzernamen einem Principal für Berechtigungsnachweise von WebSphere Application Server zuzuordnen. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    system.WSS_INBOUND
    Diese Option gibt die Anmeldekonfiguration für eingehende Anforderungen oder Konsumentenanforderungen für die Weitergabe von Sicherheitstoken mit Web Services Security an. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    system.WSS_OUTBOUND
    Diese Option gibt die Anmeldekonfiguration für abgehende Anforderungen oder Generatoranforderungen für die Weitergabe von Sicherheitstoken mit Web Services Security an. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    Ohne
    Wenn Sie diese Option auswählen, geben Sie keine JAAS-Anmeldekonfiguration an.
  14. Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.

Ergebnisse

Sie haben den Tokenkonsumenten auf Anwendungsebene konfiguriert.

Nächste Schritte

Sie müssen eine ähnliche Tokengeneratorkonfiguration auf Anwendungsebene konfigurieren.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokenconsapp
Dateiname:twbs_configtokenconsapp.html