Plug-in-fähige Token mit der Administrationskonsole konfigurieren

Sie können den clientseitigen Anforderungssender (Datei ibm-webservicesclient-bnd.xmi) oder den serverseitigen Empfänger (Datei ibm-webservices-bnd.xmi) über die Administrationskonsole von WebSphere Application Server konfigurieren.

Vorbereitende Schritte

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der Version 6 und höher. Die Informationen in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher verwendet werden. Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Für die Ausführung dieser Schritte wird vorausgesetzt, dass Sie einen Web-Service erstellt haben, der auf der Spezifikation Java™ Platform, Enterprise Edition (Java EE) basiert. Die folgenden Artikel enthalten eine Einführung in die Verwaltung der Serverbindungen für Web Services Security.

Informationen zu diesem Vorgang

Dieses Dokument beschreibt, wie ein Plug-in-fähiges Token im Anforderungssender (Dateien ibm-webservicesclient-ext.xmi und ibm-webservicesclient-bnd.xmi) und der Anforderungsempfänger (Dateien ibm-webservices-ext.xmi und ibm-webservices-bnd.xmi) konfiguriert wird.
Wichtig: Das Plug-in-fähige Token muss für Anforderungssender und Anforderungsempfänger konfiguriert werden, weil diese beiden ein Paar bilden. Der Anforderungssender und der Anforderungsempfänger müssen übereinstimmende Konfigurationseinstellungen haben, damit eine Anforderung vom Empfänger akzeptiert wird.

In den folgenden Schritten wird davon ausgegangen, dass Sie bereits eine Unternehmensanwendung mit Unterstützung für Web-Services in WebSphere Application Server implementiert haben.

Gehen Sie wie folgt vor, um den clientseitigen Anforderungssender (Datei ibm-webservicesclient-bnd.xmi) oder den serverseitigen Empfänger (Datei ibm-webservices-bnd.xmi) über die Administrationskonsole von WebSphere Application Server zu konfigurieren.
  1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Unternehmensanwendung.
  2. Klicken Sie unter "Module" auf Module verwalten > URI-Name. Der URI ist das Web-Service-fähige Modul.
    1. Klicken Sie unter "Web-Services-Security-Eigenschaften" auf Web-Services: Clientsicherheitsbindungen, um die Antwortsenderbindung zu bearbeiten, wenn Web-Services als Client auftreten.
      1. Klicken Sie unter "Antwortsenderbindung" auf Bearbeiten.
      2. Klicken Sie unter "Weitere Eigenschaften" auf Anmeldebindung.
      3. Wählen Sie die Option Dedizierte Anmeldebindung aus, um eine neue Anmeldebindung zu definieren.
        1. Geben Sie die Authentifizierungsmethode an, die mit der im erweiterten IBM Implementierungsdeskriptor definierten Authentifizierung übereinstimmen muss. Die Authentifizierungsmethode muss in der Bindungsdatei eindeutig sein.
        2. Geben Sie eine Implementierung der JAAS-Schnittstelle javax.security.auth.callback.CallbackHandler ein.
        3. Geben Sie die Informationen für die Basisauthentifizierung (Benutzer-ID und Kennwort) ein. Diese Informationen werden an die CallbackHandler-Implementierung übergeben. Ob die Informationen für die Basisauthentifizierung verwendet werden, liegt in der Hand der CallbackHandler-Implementierung.
        4. Geben Sie den Wertetyp des Tokens ein. Die Angabe dieser Informationen ist für die Authentifizierungsmethoden BasicAuth, Signature und IDAssertion optional, für andere Authentifizierungsmethoden jedoch erforderlich. Der Wertetyp des Tokens wird für binäre Sicherheitstoken in "<wsse:BinarySecurityToken>@ValueType" eingefügt und als Namespace des XML-basierten Tokens verwendet.
        5. Klicken Sie auf Eigenschaften. Definieren Sie die Eigenschaft mit Name/Wert-Paaren. Diese Paar werden als java.util.Map an das Konstrukt der CallbackHandler-Implementierung weitergegeben.
        Wählen Sie Ohne aus, um die Anmeldebindung abzuwählen.
    2. Klicken Sie unter "Web-Services-Security-Eigenschaften" auf Web-Services: Serversicherheitsbindungen, um die Anforderungsempfängerbindung zu bearbeiten.
      1. Klicken Sie unter "Anforderungsempfängerbindung" auf Bearbeiten.
      2. Klicken Sie unter "Weitere Eigenschaften" auf Anmeldezuordnungen.
      3. Klicken Sie auf Neu, um eine neue Anmeldezuordnung zu erstellen.
        1. Geben Sie die Authentifizierungsmethode an, die mit der im erweiterten IBM Implementierungsdeskriptor definierten Authentifizierung übereinstimmen muss. Die Authentifizierungsmethode muss in der Sammlung der in der Bindungsdatei definierten Anmeldezuordnungen eindeutig sein.
        2. Geben Sie den Namen einer JAAS-Anmeldekonfiguration ein. Die JAAS-Anmeldekonfiguration muss unter Sicherheit > Globale Sicherheit definiert werden. Klicken Sie unter "Authentifizierung" auf Java Authentication and Authorization Service > Anwendungsanmeldungen. Weitere Informationen finden Sie in der Dokumentation zur Konfiguration von programmgesteuerten Anmeldungen für Java Authentication and Authorization Service.
        3. Geben Sie eine Implementierung der Schnittstelle com.ibm.wsspi.wssecurity.auth.callback.CallbackHandlerFactory ein. Dies ist ein Musseingabefeld.
        4. Geben Sie den Wertetyp des Tokens ein. Die Angabe dieser Informationen ist für die Authentifizierungsmethoden BasicAuth, Signature und IDAssertion optional, für andere Authentifizierungsmethoden jedoch erforderlich. Der Wertetyp des Tokens wird für binäre Sicherheitstoken mit "<wsse:BinarySecurityToken>@ValueType" und dem Namespace des XML-basierten Tokens verglichen.
        5. Geben Sie die Name/Wert-Paare für die Eigenschaft "Anmeldezuordnung" ein. Klicken Sie dazu auf Eigenschaften. Diese Name/Wert-Paare sind über den JAAS-Callback com.ibm.wsspi.wssecurity.auth.callback.PropertyCallback für das JAAS-Anmeldemodule bzw. die JAAA-Anmeldemodule verfügbar. Anmerkung: Dies trifft zu, wenn Sie vorhandene Anmeldezuordnungen bearbeiten, nicht aber, wenn Sie neue Anmeldezuordnungen erstellen.
        6. Geben Sie die Name/Wert-Paare für die Eigenschaft "Callback-Handler-Factory" ein. Diese Name/Wert-Paare werden als java.util.Map an die Methode com.ibm.wsspi.wssecurity.auth.callback.CallbackHandlerFactory.init() übergeben. Die Verwendung dieser Name/Wert-Paare ist von der CallbackHandlerFactory-Implementierung abhängig.
    3. Klicken Sie auf den Link für die Authentifizierungsmethode, um die ausgewählte Anmeldezuordnung zu editieren.
    4. Klicken Sie auf Entfernen, um die ausgewählten Anmeldezuordnungen zu entfernen.
  3. Klicken Sie auf Speichern.

Ergebnisse

Die vorherigen Schritte definieren, wie der Anforderungssender konfiguriert werden muss, um Sicherheitstoken in der SOAP-Nachricht (Simple Object Access Protocol) zu erstellen, und wie der Anforderungsempfänger konfiguriert werden muss, um die in der eingehenden SOAP-Nachricht enthaltenen Sicherheitstoken zu validieren. WebSphere Application Server unterstützt Plug-in-fähige Sicherheitstoken.

Sie können die in den Anmeldebindungen und -zuordnungen definierte Authentifizierungsmethode verwenden, um Sicherheitstoken auf der Seite des Anforderungssenders zu generieren und diese auf der Seite des Empfängers zu validieren.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confplugac
Dateiname:twbs_confplugac.html