Web Services Security unterstützt sowohl Token der LTPA
Version 1 als auch Token der LTPA Version 2 (LTPA2).
Das LTPA2-Token, das sicherer ist als das der Version 1, wird nur von der JAX-WS-Laufzeitumgebung unterstützt.
Fehler vermeiden: Die Unterstützungserklärungen in diesem Artikel
gelten für die Web-Services-Security-Implementierung für WebSphere Application
Server und nicht für die Sicherheitsimplementierung für Funktionen, die keine Web-Services sind.
gotcha
Das LTPA-Token (Lightweight Third Party Authentication) ist ein bestimmter Typ eines
binären Sicherheitstokens. Die Web-Services-Security-Implementierung für
WebSphere Application Server Version 5
und höher unterstützt die Token der LTPA Version 1. WebSphere Application
Server Version 7 und höher unterstützen das Token der LTPA Version 2 über die
JAX-WS-Laufzeitumgebung.
Obwohl dieselbe LTPAToken-Zusicherung in den Richtlinien für
LTPA Version 1 und LTPA Version 2 verwendet wird, weicht der valuetype-Wert für das Token der
Version 2 von dem der Version 1 ab. Der valuetype-Wert setzt sich aus dem URI und dem lokalen Namen zusammen.
In der folgenden Tabelle sind die valuetype-Werte für die LTPA-Tokenversionen aufgelistet, wenn diese als Tokentyp für Richtliniensatzbindungen
ausgewählt werden.
Diese Werte sind nicht editierbar.
Tabelle 1. LTPA-Tokenversionen und die zugehörigen valuetype-Werte. In dieser Tabelle sind die valuetype-Werte für
LTPA-Token (Version 1) und LTPA2-Token aufgelistet.Version des LTPA-Tokens |
Valuetype-Wert |
LTPA (Version 1) |
http://www.ibm.com/websphere/appserver/tokentype/5.0.2/LTPA |
LTPA2 |
http://www.ibm.com/websphere/appserver/tokentype/LTPAv2 |
Für die Unterstützung der Interoperabilität zwischen Servern, auf denen verschiedene Versionen von
WebSphere Application Server ausgeführt werden, kann die Web-Services-Security-Laufzeitumgebung von
JAX-WS in Version 7.0 und höher ein Token der LTPA Version 1 standardmäßig erfolgreich konsumieren, wenn die Bindung
laut Konfiguration ein LTPA2-Token erwartet. Die Bindung für die JAX-WS-Laufzeitumgebung
kann jedoch nur für LTPA2-Token konfiguriert werden. Weitere Informationen finden Sie in der Dokumentation
zu den Einstellungen für den Authentifizierungsgenerator und die Konsumententoken.
Wenn die Web-Services-Security-Laufzeitumgebung ein Token mit einem unbekannten
valuetype-Wert empfängt und der SOAP-Sicherheitsheader den Wert '1' für das Attribut "mustUnderstand" enthält,
gibt die Web-Services-Security-Laufzeitumgebung einen Fehler des Typs "SOAPFaultException" aus.
Hat das Attribut "mustUnderstand" den Wert '0', wird das Token ignoriert.
Wenn ein LTPA2-Token mit dem mustUnderstand-Attributwert
'1' an eine Web-Services-Security-Laufzeitumgebung gesendet wird, in der das
LTPA2-Token nicht unterstützt wird, erkennt die Laufzeitumgebung den
LTPAv2-valuetype-Wert nicht. Deshalb gibt die empfangende Laufzeitumgebung einen Fehler des Typs
"SOAPFaultException" aus. In der folgenden Tabelle sind diese unterschiedlichen Konfigurationen und die potenziellen
Fehlernachrichten aufgelistet.
Tabelle 2. LTPA-Tokenkonfigurationen. Diese Tabelle gibt Aufschluss darüber, ob das Token der LTPA Version 1 optional oder erforderlich ist,
listet den zugehörigen Wert des Attributs "mustUnderstand2, die zugehörige Laufzeitumgebung und den gegebenenfalls ausgegebenen
SOAPFaultException-Fehler auf.Laufzeitumgebung |
Status des Token der LTPA Version 1 |
Wert des Attributs MustUnderstand |
SOAPFaultException-Fehler |
JAX-RPC |
Erforderlich |
1 |
com.ibm.wsspi.wssecurity.SoapSecurityException:
WSEC5509E: Es ist ein Sicherheitstoken des Typ
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA]
erforderlich.
|
JAX-RPC |
Erforderlich |
0 |
com.ibm.wsspi.wssecurity.SoapSecurityException:
WSEC5509E: Es ist ein Sicherheitstoken des Typ
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA]
erforderlich.
|
JAX-RPC |
Optional |
1 |
com.ibm.wsspi.wssecurity.SoapSecurityException:
WSEC5502E: Unerwartetes Element als Zielelement:
s:BinarySecurityToken.
|
JAX-RPC |
Optional |
0 |
Ohne. |
JAX-RPC |
Nicht konfiguriert |
1 |
com.ibm.wsspi.wssecurity.SoapSecurityException:
WSEC5502E: Unerwartetes Element als Zielelement:
s:BinarySecurityToken.
|
JAX-RPC |
Nicht konfiguriert |
0 |
Ohne. |
JAX-WS (Version 6.1 Feature Pack for Web
Services) |
Nicht konfiguriert |
1 |
CWWSS5502E: Das Zielelement
s:BinarySecurityToken wurde nicht erwartet.
|
JAX-WS (Version 6.1 Feature Pack for Web
Services) |
Nicht konfiguriert |
0 |
Ohne. |
JAX-WS (Version 6.1 Feature Pack for Web
Services) |
Konfiguriert |
1 |
CWWSS5509E: Es ist ein Sicherheitstoken des Typ
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA]
erforderlich.
|
JAX-WS (Version 6.1 Feature Pack for Web
Services) |
Konfiguriert |
0 |
CWWSS5509E: Es ist ein Sicherheitstoken des Typ
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA]
erforderlich.
|
Sie können die JAX-WS-Laufzeitumgebung so konfigurieren, dass LTPA-Token (Version
1) oder LTPA2-Token generiert werden. Wenn Sie den LTPA-Tokengenerator in einer Richtlinienbindung konfigurieren, um ein LTPA-Token der Version 1 zu generieren,
müssen Sie eine der folgenden Aktionen ausführen:
- Aktivieren Sie den SSO-Interoperabilitätsmodus (Single Sign-on) in der SSO-Anzeige in der Administrationskonsole.
Weitere Informationen zu dieser Option finden Sie in der Dokumentation zu den SSO-Einstellungen.
- Setzen Sie die angepasste Eigenschaft
com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 für den LTPA-Tokengenerator auf "true".
Wenn Sie nicht mindestens einen der oben genannten Schritte ausführen,
tritt ein Fehler auf, wenn die Anwendung, die diesen Bindungen zugeordnet ist, gestartet wird.