Bei der Authentifizierung durch Signatur wird ein X.509-Zertifikat vom Client an den Server gesendet.
Das Zertifikat wird für die Authentifizierung bei der auf dem Server konfigurierten Benutzerregistry verwendet.
Wenn der Server eine Anforderung empfängt, die das Zertifikat enthält, muss sich der Server anmelden, um einen Berechtigungsnachweis zu erstellen.
Der Berechtigungsnachweis wird für die Berechtigung verwendet.
Sie können die Signaturauthentifizierung auf dem Server validieren.
Informationen zu diesem Vorgang
Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der Version 6.0.x und höher. Die Informationen
in diesem Artikel
gelten nur für Anwendungen der Version 5.x, die in
WebSphere Application Server Version 6.0.x und höher verwendet werden.
Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Kann das bereitgestellte Zertifikat keinem Eintrag in der Benutzerregistry zugeordnet
werden, wird eine Ausnahme ausgelöst und die Anforderung ohne das Aufrufen der Ressource
beendet.
Führen Sie die folgenden
Schritte aus, um den Server für die Validierung der Authentifizierung durch Signatur zu konfigurieren:
Vorgehensweise
- Starten Sie ein Assembliertool. Weitere Informationen finden Sie in den zugehörigen Informationen
zu Assembliertools.
- Wechseln Sie in die Java EE-Perspektive
(Java™ Platform,
Enterprise Edition), indem Sie auf klicken.
- Klicken Sie auf .
- Klicken Sie mit der rechten Maustaste auf die Datei webservices.xml, und klicken Sie anschließend
auf .
- Klicken Sie auf das Register Bindungskonfigurationen unten im
Web-Service-Editor des Assembliertools.
- Erweitern Sie den Abschnitt .
- Klicken Sie auf Bearbeiten, um die Informationen für die Anmeldezuordnung anzuzeigen, oder
klicken Sie auf Hinzufügen, um neue Informationen für die Anmeldezuordnung hinzuzufügen. Es erscheint der Dialog für die Anmeldezuordnung, in dem Sie die folgenden Informationen auswählen (oder eingeben):
- Authentifizierungsmethode
- Gibt den Typ der Authentifizierung an. Wählen Sie Signature aus, wenn Sie die Authentifizierung mit Signatur verwenden möchten.
- Konfigurationsname
- Der Name der JAAS-Anmeldekonfiguration
(Java Authentication and Authorization Service). Für
das Signaturauthentifizierungsverfahren geben Sie system.wssecurity.Signature als Namen der JAAS-Anmeldekonfiguration ein.
Bei dieser Angabe wird die Anmeldung mit dem JAAS-Anmeldemodul com.ibm.wsspi.wssecurity.auth.module.SignatureLoginModule durchgeführt.
- Tokenwerttyp verwenden
- Mit dieser Option können Sie einen eigenen Tokentyp angeben. Für die Standardauthentifizierungsverfahren müssen Sie diese Option nicht angeben.
- URI und lokaler Name
- Wenn Sie das Verfahren "Signature" auswählen, können Sie die Werte der Tokenwerttypen "URI"
und "Lokaler Name" nicht bearbeiten. Gibt angepasste Authentifizierungstypen an. Für das Authentifizierungsverfahren "Signature"
können Sie dieses Feld leer lassen.
- Klassenname der Callback-Handler-Factory
- Erstellt eine JAAS-CallbackHandler-Implementierung, die die folgenden Callback-Handler kennt:
- javax.security.auth.callback.NameCallback
- javax.security.auth.callback.PasswordCallback
- com.ibm.wsspi.wssecurity.auth.callback.BinaryTokenCallback
- com.ibm.wsspi.wssecurity.auth.callback.XMLTokenReceiverCallback
- com.ibm.wsspi.wssecurity.auth.callback.PropertyCallback
Für die Standardauthentifizierungsmethoden (BasicAuth, IDAssertion und
Signature) können Sie die Standardimplementierung der Callback-Handler-Factory verwenden. Geben Sie
den folgenden Klassennamen für alle Standardauthentifizierungsmethoden einschließlich
"Signature" ein:
com.ibm.wsspi.wssecurity.auth.callback.WSCallbackHandlerFactoryImpl
Diese Implementierung
erstellt den richtigen Callback-Handler für die Standardimplementierungen.
- Eigenschaftsname und Eigenschaftswert für Callback-Handler-Factory
- Gibt die Eigenschaften für eigene Implementierungen der Callback-Handler-Factory an.
Für die Standardimplementierung müssen
Sie keine Eigenschaften angeben. Für das Authentifizierungsverfahren "Signature" können Sie dieses Feld leer lassen.
- Eigenschaftsname und Eigenschaftswert für Anmeldezuordnung
- Gibt Eigenschaften für eine angepasste Anmeldezuordnung an. Für die Standardimplementierungen, einschließlich "Signature", können Sie dieses Feld leer lassen.
Nächste Schritte
Sie müssen nun festlegen, wie der Server die Signaturauthentifizierungsdaten zu behandeln hat.
Lesen Sie den Artikel
Server für die Unterstützung der Authentifizierung mit Signatur konfigurieren, falls Sie diese Informationen noch nicht angegeben haben.