Richtliniensatz und Bindungen für ein eigenständiges Sicherheitstoken (Benutzernamenstoken oder LTPA-Token) konfigurieren

Zum Sichern von Web-Services können Sie auf Nachrichtenebene einen WS-Security-Richtliniensatz und die zugehörigen Bindungen für ein eigenständiges Sicherheitstoken konfigurieren. Dieses eigenständige Sicherheitstoken kann ein LTPA-Token (Lightweight Third Party Authentication) oder ein Benutzernamenstoken sein.

Vorbereitende Schritte

Diese Task setzt voraus, dass der Service-Provider und der Service-Client, die Sie konfigurieren, in der Anwendung JaxWSServicesSamples enthalten sind. Informationen dazu, wie Sie diese Anwendung erhalten und installieren, finden Sie in der Dokumentation unter "Zugriff auf die Beispiele". Geben Sie die folgende Tracespezifikation auf Ihrem Server an, damit Sie künftige Konfigurationsprobleme, die eventuell auftreten können, beheben können.

*=info:com.ibm.wsspi.wssecurity.*=all:com.ibm.ws.webservices.wssecurity.*=all: 
com.ibm.ws.wssecurity.*=all: com.ibm.xml.soapsec.*=all: com.ibm.ws.webservices.trace.*=all: 
com.ibm.ws.websvcs.trace.*=all:com.ibm.ws.wssecurity.platform.audit.*=off:

Wenn LTPA-Token verwenden werden, müssen Sie auf den Anwendungsservern, die für den Client und den Service verwendet werden, die Anwendungssicherheit aktivieren.

Informationen zu diesem Vorgang

In diesem Artikel wird beschrieben, wie ein WS-Security-Richtliniensatz und Providerbindungen für ein Benutzernamenstoken oder ein LTPA-Token konfiguriert werden. Aus Gründen der Vereinfachung werden in dieser Prozedur die Zeitmarke, digitale Signatur und Verschlüsselung aus der Richtlinie entfernt. Sie sollten diese Attribute jedoch in Ihre endgültige Konfiguration aufnehmen. Weitere Informationen finden Sie in der Dokumentation, die beschreibt, wie Sie einen Richtliniensatz und Bindungen für die asymmetrische digitale XML-Signatur und/oder XML-Verschlüsselung mit client- und provideranwendungsspezifischen Bindungen konfigurieren.

In dieser Task werden für die Provideranwendung allgemeine Standardproviderbindungen zum Konsumieren der Token verwendet. Wenn eine Caller-Konfiguration erforderlich ist, wird für den Provider eine anwendungsspezifische Bindung hinzugefügt.

Vorgehensweise

  1. Erstellen Sie den angepassten Richtliniensatz.
    1. Klicken Sie in der Administrationskonsole auf Services > Richtliniensätze > Anwendungsrichtliniensätze.
    2. Klicken Sie auf Neu.
    3. Geben Sie Name = OneTokenPolicy an.
    4. Klicken Sie auf Anwenden.
    5. Klicken Sie unter Richtlinien auf Hinzufügen > WS-Security.
  2. Bearbeiten Sie den angepassten Richtliniensatz.
    1. Entfernen Sie die digitale Signatur, Verschlüsselung und Zeitmarke.
      1. Klicken Sie in der Administrationskonsole auf WS-Security > Hauptrichtlinie.
      2. Wählen Sie den Zugriffsschutz auf Nachrichtenebene ab.
      3. Klicken Sie auf Anwenden.
    2. Fügen Sie das Benutzernamenstoken oder das LTPA-Token hinzu.
      1. Klicken Sie unter Richtliniendetails auf Richtlinien für Anforderungstoken.
      2. Wählen Sie Tokentyp hinzufügen aus.
      3. Wenn Sie ein Benutzernamenstoken verwenden möchten, wählen Sie UserName aus. Wenn Sie ein LTPA-Token verwenden möchten, wählen Sie LTPA aus.

        Token name=myToken.

      4. Klicken Sie auf OK.
  3. Konfigurieren Sie den Client für die Verwendung des Richtliniensatzes OneTokenPolicy.
    1. Klicken Sie in der Administrationskonsole auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen >JaxWSServicesSamples> Richtliniensätze und Bindungen für Service-Clients.
    2. Wählen Sie die Web-Service-Clientressource aus.
    3. Klicken Sie auf Richtliniensatz zuordnen.
    4. Wählen Sie OneTokenPolicy aus.
  4. Erstellen Sie eine angepasste Bindung für den Client.
    1. Wählen Sie die Web-Service-Ressource erneut aus.
    2. Klicken Sie auf Bindung zuweisen.
    3. Klicken Sie auf Neue anwendungsspezifische Bindung, um eine anwendungsspezifische Bindung zu erstellen.
    4. Geben Sie den Namen der Bindungskonfiguration an. Name: oneTokenClientBinding
    5. Klicken Sie auf Hinzufügen > WS-Security.
    6. Wenn die Anzeige Hauptrichtlinienbindungen für Nachrichtensicherheit nicht erscheint, wählen Sie WS-Security aus.
  5. Bearbeiten Sie die angepasste Bindung für den Client.
    1. Klicken Sie auf Authentifizierung und Zugriffsschutz.
    2. Bearbeiten Sie den Identitätstokengenerator, sodass er den Benutzernamen der Identität sendet.
      1. Klicken Sie auf request:myToken.
      2. Klicken Sie auf Anwenden.
      3. Klicken Sie auf Callback-Handler.Benutzername=(IhreBenutzer-ID) Kennwort=(IhrKennwort)
      Fehler vermeiden Fehler vermeiden: Diese Angaben sind ein Benutzername und ein Kennwort, die in der Benutzerregistry auf dem Provider-System gültig sind. Wenn Sie LTPA-Token verwenden, müssen Benutzername und Kennwort sowohl in der Registry des Konsumenten als auch in der Registry des Providers gültig sein.gotcha
    3. (Optional) Wenn Sie ein Benutzernamenstoken konfigurieren, fügen Sie die folgenden angepassten WS-Security-Eigenschaften hinzu:
      *com.ibm.wsspi.wssecurity.token.username.addNonce=true
      *com.ibm.wsspi.wssecurity.token.username.addTimestamp=true

      Diese angepassten Eigenschaften wurden hinzugefügt, weil sie in den allgemeinen Standardbindungen für den Benutzernamenstokenkonsumenten angegeben sind. Werden diese Eigenschaften hier nicht angegeben, müssen Sie diese Eigenschaften entweder aus den allgemeinen Standardproviderbindungen entfernen oder für den Provider anwendungsspezifische Bindungen ohne diese Eigenschaften erstellen.

    4. Klicken Sie auf OK.
    5. Klicken Sie auf Speichern.
  6. Konfigurieren Sie den Provider für die Verwendung des Richtliniensatzes OneTokenPolicy.
    1. Klicken Sie in der Administrationskonsole auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > JaxWSServicesSamples > Richtliniensätze und Bindungen für Service-Provider.
    2. Wählen Sie die Web-Service-Provider-Ressource (OneTokenPolicy) aus.
    3. Klicken Sie auf Richtliniensatz zuordnen.
    4. Wählen Sie OneTokenPolicy aus.
      Anmerkung: Weil der Provideranwendung keine Bindungen zugeordnet sind, verwendet sie die allgemeinen Standardproviderbindungen für die Tokenkonsumenten.
  7. (Optional) Wenn Sie eine Caller-Konfiguration für den Provider erstellen möchten, erstellen Sie für den Provider angepasste Bindungen.
    1. Wählen Sie die Web-Service-Provider-Ressource erneut aus.
    2. Klicken Sie auf Bindung zuweisen.
    3. Klicken Sie auf Neue anwendungsspezifische Bindung, um eine anwendungsspezifische Bindung zu erstellen.
    4. Geben Sie "Name der Bindungskonfiguration:oneTokenProvBinding" an.
    5. Klicken Sie auf Hinzufügen > WS-Security.
    6. Wenn die Anzeige Hauptrichtlinienbindungen für Nachrichtensicherheit nicht erscheint, wählen Sie WS-Security aus.
  8. (Optional) Wenn eine Caller-Konfiguration erstellt werden soll, bearbeiten Sie die angepassten Bindungen für den Provider.
    1. Klicken Sie auf Caller > Neu. Name: myCaller.
      • Wenn Sie ein Benutzernamenstoken verwenden, geben Sie Folgendes ein:
        • Lokaler Abschnitt der Caller-Identität: http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
      • Wenn Sie ein LTPA-Token verwenden, geben Sie Folgendes ein:
        • Lokaler Abschnitt der Caller-Identität: LTPAv2
        • Namespace-URI der Caller-Identität: http://www.ibm.com/websphere/appserver/tokentype
    2. Klicken Sie auf OK.
  9. Klicken Sie auf Speichern, um die Konfigurationsänderungen zu speichern.
  10. Starten Sie den Client und den Provider erneut.
    1. Stoppen Sie den Client und den Provider.
    2. Starten Sie den Client und den Provider erneut.
  11. Testen Sie den Service.
    1. Rufen Sie in Ihrem Web-Browser "JaxWSServicesSamples" auf: http://localhost:9080/wssamplesei/demo
      Fehler vermeiden Fehler vermeiden: Achten Sie darauf, den richtigen Hostnamen und Port anzugeben, falls sich ihr Profil nicht auf derselben Maschine befindet oder ein anderer Port als 9080 verwendet wird.gotcha
    2. Wählen Sie Message Type Synchronous Echo aus.
    3. Stellen Sie sicher, dass Use SOAP 1.2 nicht ausgewählt ist.
    4. Geben Sie eine Nachricht ein und klicken Sie auf Send Message. Die Beispielanwendung sollte als Antwort "JAXWS==>Message" zurückgeben.

Ergebnisse

Die Web-Service-Anwendung JaxWSServicesSamples wurde so konfiguriert, dass sie ein Benutzernamenstoken oder ein LTPA-Token in der Anforderungsnachricht generiert und konsumiert.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_stand_alone_security_token
Dateiname:twbs_stand_alone_security_token.html