Angepasste Eigenschaften des Anmeldemoduls des generischen WS-Security-Sicherheitstokens
Wenn Sie ein Anmeldemodul für generische Sicherheitstoken konfigurieren, können Sie Name/Wert-Paare konfigurieren, in denen der Name für einen Eigenschaftsschlüssel und der Wert für einen Zeichenfolgewert steht, mit denen Sie interne Systemkonfigurationseigenschaften definieren können. Sie können diese Konfigurationseigenschaften zusammen mit den in der Administrationskonsole bereitgestellten Optionen verwenden, um zu bestimmen, wie das Token generiert oder konsumiert wird.
Führen Sie die folgenden Schritte aus, um diese angepassten Eigenschaften für den Callback-Handler in der Administrationskonsole zu konfigurieren:
- Erweitern Sie Services.
- Wählen Sie Service-Provider oder Service-Client aus.
- Klicken Sie auf die entsprechende Anwendung in der Spalte Name.
- Klicken Sie auf die entsprechende Bindung in der Spalte Bindung.
Sie müssen vorher einen Richtliniensatz zugeordnet und eine Bindung zugewiesen haben.
oder
- Klicken Sie auf WebSphere-Unternehmensanwendungen. , und klicken Sie dann auf
- Wählen Sie eine Anwendung aus, die Web-Services enthält. Die Anwendung muss einen Service-Provider oder einen Service-Client enthalten.
- Klicken Sie unter der Überschrift Web-Service-Eigenschaften auf Richtliniensätze und Bindungen für Service-Provider oder auf Richtliniensätze und Bindungen für Service-Clients.
- Wählen Sie eine Bindung aus. Sie müssen vorher einen Richtliniensatz zugeordnet und eine anwendungsspezifische Bindung zugewiesen haben.
Führen Sie anschließend die folgenden Schritte aus:
- Klicken Sie in der Tabelle "Richtlinien" auf WS-Security.
- Klicken Sie unter der Überschrift Hauptrichtlinienbindungen für Nachrichtensicherheit auf Authentifizierung und Zugriffsschutz.
- Klicken Sie unter
Authentifizierungstoken auf den Namen des Authentifizierungstokens.
Unterstützte Konfigurationen: Sie können das Token, das vom Anmeldemodul für generische Sicherheitstoken verarbeitet wird, nur für die Authentifizierung verwenden. Sie können dieses Token nicht als Schutztoken verwenden. sptcfg
- Klicken Sie unter Zusätzliche Bindungen auf Callback-Handler.
- Geben Sie unter Angepasste Eigenschaften die Name/Wert-Paare ein.
Angepasste Eigenschaften für Callback-Handler für Tokengenerator- und Tokenkonsumentenbindungen
In der folgenden Tabelle werden die angepassten Eigenschaften für den Callback-Handler aufgeführt, die sowohl für die Konfiguration von Tokengeneratorbindungen und Tokenkonsumentenbindungen verwendet werden können.
Name | Werte | Beschreibung |
---|---|---|
clockSkew |
Diese angepasste Eigenschaft hat keinen Standardwert. |
Verwenden Sie diese angepasste Eigenschaft, um eine zeitliche Anpassung (in Minuten) für die Zeiten in selbst ausgestellten SAML-Token festzulegen, die vom SAMLGenerateLoginModule erstellt werden. Die angepasste Eigenschaft "clockSkew" wird im Callback-Handler des SAML-Tokengenerators definiert, der die Klasse "SAMLGenerateLoginModule" verwendet. Der für diese angepasste Eigenschaft angegebene Wert muss numerisch sein und wird in Minuten angegeben. Wenn Sie einen Wert für diese angepasste Eigenschaft angeben,
werden die folgenden Zeitanpassungen in dem selbst ausgestellten SAML-Token vorgenommen, das von
SAMLGenerateLoginModule erstellt wird:
|
stsURI | Diese angepasste Eigenschaft hat keinen Standardwert. |
Legen Sie mit dieser angepassten Eigenschaft das die Adresse des Sicherheitstokenservice (STS) fest. Diese angepasste Eigenschaft ist für den Tokenkonsumenten erforderlich. Diese angepasste Eigenschaft ist jedoch für den Tokengenerator optional, wenn das angeforderte Token in RunAs Subject vorhanden und dessen Prüfung nicht erforderlich ist. |
wstrustClientBinding | Diese angepasste Eigenschaft hat keinen Standardwert. |
Legen Sie mit dieser angepassten Eigenschaft den Bindungsnamen für den WS-Trust-Client fest. |
wstrustClientBindingScope | Sie können den Wert application (Anwendung) oder domain (Domäne) angeben. | Legen Sie mit dieser angepassten Eigenschaft
den Typ der für den
WS-Trust-Client verwendeten Bindungen fest. Es gelten die folgenden Bedingungen:
Diese angepasste Eigenschaft ist optional. |
wstrustClientPolicy | Diese angepasste Eigenschaft hat keinen Standardwert. |
Legen Sie mit dieser angepassten Eigenschaft den Richtliniensatznamen für den WS-Trust-Client fest. |
wstrustClientSoapVersion | Sie können den Wert 1.1 oder 1.2 angeben. |
Legen Sie mit dieser angepassten Eigenschaft die SOAP-Nachrichtenversion fest, die der Trust-Client zum Generieren der SOAP-Nachricht verwendet. Die SOAP-Nachricht wird an den Sicherheitstokenservice (STS) gesendet. Wenn Sie diese angepasste Eigenschaft nicht definieren, verwendet das Anmeldemodul für generische Sicherheitstoken beim Generieren der SOAP-Nachricht für die Trust-Clientanforderung die SOAP-Version der Anwendung. Der Standardwert entspricht der vom Anwendungsclient verwendeten SOAP-Version. Diese angepasste Eigenschaft ist optional. |
wstrustClientWSTNamespace | Geben Sie einen der folgenden
Werte an:
|
Legen Sie mit dieser angepassten Eigenschaft fest, welchen Trust-Client-Namespace das Anmeldemodul für generische Sicherheitstoken verwendet, wenn es die WS-Trust-Anforderung ausführt. |
wstrustValidateClientBinding | Der Wert für diese angepasste Eigenschaft entspricht standardmäßig dem für die angepasste Eigenschaft wstrustClientBinding angegebenen Wert. |
Legen Sie mit dieser angepassten Eigenschaft die Bindungen fest, die vom der Anforderung des Typs WS-Trust Validate verwendet werden. Wenn Sie diese angepasste Eigenschaft nicht angeben, verwendet die Anforderung WS-Trust Validate die die mit der angepassten Eigenschaft wstrustClientBinding definierten und von WS-Trust Issue verwendeten Bindungen. |
wstrustValidateClientPolicy | Der Wert für diese angepasste Eigenschaft entspricht standardmäßig dem für die angepasste Eigenschaft wstrustClientPolicy angegebenen Wert. |
Legen Sie mit dieser angepassten Eigenschaft die Richtliniensätze fest, die von der Anforderung des Typs WS-Trust Validate verwendet werden sollen. Wenn Sie für diese angepasste Eigenschaft keinen Wert angeben, verwendet WS-Trust Validate den von der erforderlichen angepassten Eigenschaft wstrustClientPolicy definierten und von WS-Trust Issue verwendeten Richtliniensatz. |
wstrustIssuer | Sie können einen beliebigen Zeichenfolgewert verwenden. |
Legen Sie mit dieser angepassten Eigenschaft den Anforderung des Anforderungstokens fest. Diese angepasste Eigenschaft ist optional. |
wstrustValidateTargetOption | Der Standardwert ist die WS-Trust Base-Elementerweiterung. Sie können den Wert token oder den Wert base (Basis) angeben. value. |
Legen Sie mit dieser angepassten Eigenschaft fest, ob der WS-Trust-Client das Validierungstoken mit ValidateTarget oder mit der Basiselementerweiterung an den WS-Trust-Sicherheitstokenservice übergibt. Es gelten die folgenden Bedingungen:
|
Angepasste Eigenschaften für Callback-Handler für Tokengeneratorbindungen
In der folgenden Tabelle werden die angepassten Eigenschaften für den Callback-Handler aufgeführt, die nur für die Konfiguration von Tokengeneratorbindungen verwendet werden können.
Name | Wert | Beschreibung |
---|---|---|
passThroughToken | Sie können den Wert True oder False verwenden. Der Standardwert ist False. Der Wert ist für diese angepasste Eigenschaft unabhängig von der Groß-/Kleinschreibung. |
Verwenden Sie diese angepasste Eigenschaft, um zu steuern,
ob das abgehende Token vom STS angefordert werden soll oder nicht.
Standardmäßig wird das Token immer vom STS angefordert.
Wenn diese Eigenschaft auf True gesetzt ist, wird das eingehende Token in der folgenden Reihenfolge angefordert:
Weitere Informationen finden Sie in der Beschreibung der folgenden Konstanten
in der Java-API-Dokumentation zu
com.ibm.wsspi.wssecurity.core.Constants. Diese Dokumentation finden Sie in der Information-Center-Navigationsstruktur unter
Referenz > Programmierschnittstellen > APIs.
|
useRunAsSubject | Sie können den Wert True oder False verwenden. Der Standardwert ist True. Der Wert ist für diese angepasste Eigenschaft unabhängig von der Groß-/Kleinschreibung. |
Legen Sie mit dieser angepassten Eigenschaft fest, ob die Anmeldemodule für generische Sicherheitstoken für abgehende Anforderungen das Token aus dem RunAs Subject verwenden. Standardmäßig verwendet das Anmeldemodul zuerst die validierten Token im RunAs Subject. Es gelten die folgenden Bedingungen:
|
useRunAsSubjectOnly | Sie können den Wert True oder False verwenden. Der Standardwert ist False. Der Wert ist für diese angepasste Eigenschaft unabhängig von der Groß-/Kleinschreibung. |
Verwenden Sie diese angepasste Eigenschaft, um WS-Trust Issue im Anmeldemodul für generische Sicherheitstoken zu inaktivieren oder zu aktivieren. Wenn Sie für diese angepasste Eigenschaft den Wert true angeben, verwendet das Anmeldemodul für generische Sicherheitstoken das Token aus dem RunAs Subject und WS-Trust Validate für den Austausch der Token. Wenn WS-Trust Validate scheitert oder kein passendes Token im RunAs Subject findet, verwendet Anmeldemodul für generische Sicherheitstoken nicht WS-Trust Issue. |
useToken | Sie können einen beliebigen Zeichenfolgewert des Werts ValueType für den Sicherheitstoken verwenden. |
Wenn Sie ein Sicherheitstoken in einem RunAs Subject verwenden, um Token für eine abgehende Anforderung zu validieren und auszutauschen, können Sie mit dieser angepassten Eigenschaft angeben, welcher ValueType-Tokenwert im RunAs Subject für das angeforderte Token validiert und ausgetauscht werden soll. Beispiel: Sie verwenden ein Token mit dem ValueType-Wert Token_1 im RunAs Subject. Allerdings ist der ValueType-Wert Token_2 das erforderliche Token. Sie können diese angepasste Eigenschaft auf den Wert Token_1 setzen. Wenn Sie diese angepasste Eigenschaft nicht definieren, wird als Validierungstoken das Token aus dem RunAs Subject verwendet, das denselben ValueType-Wert hat wie das erforderliche Token. Diese angepasste Eigenschaft ist optional. |
validateUseToken | Sie können den Wert True oder False verwenden. Der Standardwert ist True. Der Wert ist für diese angepasste Eigenschaft unabhängig von der Groß-/Kleinschreibung. |
Legen Sie mit dieser angepassten Eigenschaft fest, ob der Tokengenerator WS-Trust Validate zum Validieren des Tokens aus dem RunAs Subject verwendet. Standardmäßig validiert das Anmeldemodul für generische Sicherheitstoken ein Token aus dem RunAs Subject anhand des Sicherheitstokenservice (STS), bevor das Token in der SOAP-Nachricht an den Service-Provider gesendet wird. Wenn Sie diese angepasste Eigenschaft auf false setzen und das Anmeldemodul für generische Sicherheitstoken ein passendes Token im RunAs Subject findet, ruft das Anmeldemodul WS-Trust Validate nicht auf, um das passende Token zu validieren. Stattdessen sendet das Anmeldemodul das passende Token ohne Validierung an den nachgeordneten Service-Provider. |
wstrustIncludeTokenType | Sie können den Wert True oder False verwenden. Der Standardwert ist True. Der Wert ist für diese angepasste Eigenschaft unabhängig von der Groß-/Kleinschreibung. |
Legen Sie mit dieser angepassten Eigenschaft fest, ob das Token WS-Trust RequestedSecurityToken den angeforderten ValueType-Tokenwert enthält. Wenn Sie diese angepasste Eigenschaft nicht angeben, schließt das Anmeldemodul für generische Sicherheitstoken den angeforderten Tokentyp in das Token des Typs WS-Trust RequestedSecurityToken ein. Diese angepasste Eigenschaft ist optional. |
Angepasste Eigenschaften für Callback-Handler für Tokenkonsumentenbindungen
In der folgenden Tabelle werden die angepassten Eigenschaften für den Callback-Handler aufgeführt, die nur für die Konfiguration von Tokenkonsumentenbindungen verwendet werden können.
Name | Wert | Beschreibung |
---|---|---|
alwaysGeneric | Sie können den Wert True oder False verwenden. Der Standardwert ist False. Der Wert ist für diese angepasste Eigenschaft unabhängig von der Groß-/Kleinschreibung. |
Verwenden Sie diese angepasste Eigenschaft, um anzugeben, ob das Anmeldemodul ein GenericSecurityToken erstellt. Wenn sowohl die Eigenschaft passThroughToken als auch diese Eigenschaft auf True gesetzt sind, erstellt das Anmeldemodul immer ein GenericSecurityToken anstelle eines integrierten Tokentyps entsprechend dem für das Token konfigurierten valueType (Wertetyp). |
exchangedTokenType | Der gültige Wert für diese angepasste Eigenschaft ist der Zeichenfolgewert ValueType für das von den Standardanmeldemodulen des Systems unterstützte Token. |
Legen Sie mit dieser angepassten Eigenschaft das neue Token mit dem definierten Wert ValueType fest, den der Trust-Service nach erfolgreicher Validierung zurückgeben muss. Wenn Sie für die angepasste Eigenschaft keinen Wert angeben, akzeptiert das Anmeldemodul für generische Sicherheitstoken jedes Token, das der Trust-Service zurückgibt. Diese angepasste Eigenschaft ist optional. |
passThroughToken | Sie können den Wert True oder False verwenden. Der Standardwert ist False. Der Wert ist für diese angepasste Eigenschaft unabhängig von der Groß-/Kleinschreibung. |
Verwenden Sie diese angepasste Eigenschaft, um anzugeben, ob das eingehende Token an den STS gesendet werden soll. Standardmäßig wird das eingehende Token zwecks Validierung und/oder Austausch an den STS gesendet. Wird diese Eigenschaft auf True gesetzt, wird das eingehende Token nicht an den STS gesendet, sondern an den Konsumenten weitergeleitet. Wird diese Eigenschaft auf True gesetzt und wird ein integriertes Token verwendet, wird das Token geparst und im WS-Security-Kontext zur späteren Verarbeitung durch das JAAS-Anmeldemodul einer Callerkonfiguration bereitgestellt. |