Anforderungen an den Trust-Service mit Systemrichtliniensätzen sichern
WebSphere Application Server unterstützt den Zugriffsschutz auf Nachrichtenebene für den Sicherheitstokenservice, der auch als Trust-Service von WebSphere Application Server bezeichnet wird. Sie müssen für den Trust-Service eine spezielle Klasse von Richtliniensätzen verwenden, die so genannten Systemrichtliniensätze.
Vorbereitende Schritte
- Sie können in der Administrationskonsole einen Systemrichtliniensatz und eine Bindung definieren und diese einer Trust-Service-Operation zuweisen, die einem Endpunkt zugeordnet ist.
- Sie können mit dem Tool wsadmin, das die Scripting-Sprachen Jython und Jacl unterstützt, Systemrichtliniensätze für den Trust-Service konfigurieren. Die Richtlinien für die Servicequalität (QoS, Quality of Service) können durch das Erstellen von Richtliniensätzen und das Verwalten von zugehöriger Richtlinien verwaltet werden.
Informationen zu diesem Vorgang
Führen Sie die folgenden übergeordneten Schritte aus. Die Reihenfolge der Tasks ist nicht von Bedeutung, aber alle übergeordneten Schritte müssen ausgeführt werden, damit die Trust-Konfiguration abgeschlossen werden kann.
Vorgehensweise
- Definieren Sie einen neuen Systemrichtliniensatz, oder verwalten Sie vorhandene Systemrichtliniensätze. Zum Verwalten von Systemrichtliniensätzen können Sie die folgenden Tasks ausführen:
- Systemrichtliniensatz und Bindung definieren. Der Systemrichtliniensatz kann ein neuer oder vorhandener Richtliniensatz sein. Wenn Sie einen neuen Systemrichtliniensatz erstellen, müssen Sie die Richtlinientypen angeben und konfigurieren. Jedem Richtlinientyp wird eine Standardbindungskonfiguration zugeordnet.
- Ändern Sie bei Bedarf den Systemrichtliniensatz.
Im Folgenden sind weitere, optionale richtliniensatzbezogene Tasks aufgeführt, die Sie ausführen können:
- Richtliniensatzzuordnungen hinzufügen, bearbeiten und entfernen
- Richtlinientypen bearbeiten, aktivieren und inaktivieren
- Systemrichtliniensatz durch Auswahl und Kopieren eines vorhandenen Systemrichtliniensatzes erstellen. Wenn Sie einen vorhandenen Systemrichtliniensatz kopieren, müssen Sie auch angeben, ob die vorhandenen Zuordnungen in den neuen Systemrichtliniensatz übernommen werden sollen.
- Systemrichtliniensätze löschen. Vorkonfigurierte Systemrichtliniensätze, die standardmäßig von WebSphere Application Server bereitgestellt werden, können nicht gelöscht werden.
- Systemrichtliniensatz durch Auswahl und Exportieren eines vorhandenen Richtliniensatzes archivieren. Wenn Sie einen vorhandenen Systemrichtliniensatz exportieren, erstellen Sie damit eine Archivdatei mit der Dateierweiterung ".zip". Die Datei mit der Erweiterung ".zip" für den Export des Richtliniensatzes wird für den Download bereitgestellt. Wenn Sie beispielsweise einen Richtliniensatz mit dem Namen "ABC_ps" haben und die Archivdatei exportieren und von ServerA nach ServerB verschieben möchten, müssen Sie zuerst die Exportfunktion verwenden, um die Datei mit der Dateierweiterung ".zip" zu erstellen. Anschließend müssen Sie die Archivdatei manuell auf ServerB übertragen.
- Erstellen und verwalten Sie explizite Zuordnungen. Sie können die folgenden Zuordnungstasks für den Trust-Service ausführen:
- Systemrichtliniensatz zuordnen und einem Endpunkt eine Bindung zuweisen. Für jeden Endpunkt können Sie explizite Zuordnungen der Trust-Service-Operationen zu den entsprechenden Standardrichtliniensätzen und -bindungen des Trust-Service erstellen. Nachdem Sie die Anfangszuordnungen erstellt haben, können Sie vorhandene Richtliniensatz- und Bindungskonfigurationen anzeigen und ändern.
- Ändern Sie bei Bedarf
vorhandene Richtliniensatzzuordnungs- und Bindungskonfigurationen. Der Systemrichtliniensatz
kann ein neuer oder vorhandener Richtliniensatz sein. Wenn Sie einen neuen Systemrichtliniensatz erstellen, müssen Sie die Richtlinientypen angeben und konfigurieren.
Jedem Richtlinientyp wird eine Standardbindungskonfiguration zugeordnet.
Der Systemrichtliniensatz, der den Operationen "issue" (Ausstellen) und "renew" (Erneuern) zugeordnet wird, muss dem Bootstraprichtliniensatz von Client und Endpunkt entsprechen, und der Richtliniensatz, der den Operationen "validate" (Validieren) und "cancel" (Stornieren) zugeordnet wird, muss dem Anwendungsrichtliniensatz von Client und Endpunkt entsprechen. Der für den Endpunktservice definierte Bootstraprichtliniensatz ist nur erforderlich, wenn der Endpunktservice "issue"- und "renew"-Anforderungen an den Trust-Service absetzt.
Im Folgenden sind weitere optionale Tasks aufgelistet, die mit der Zuordnung in Zusammenhang stehen:
- Systemrichtliniensatz- und Bindungskonfigurationen ändern.
- Angepasste Systemrichtliniensätze und Bindungen erstellen.
- Die vier Standardoperationen des Trust-Service einem Systemrichtliniensatz und einer Bindung zuweisen.
- Die vier Operationen des Trust-Service, die einem bestimmten Endpunkt zugeordnet sind, einem Systemrichtliniensatz und einer Bindung zuweisen.
- Angeben, dass die ausgewählten Trust-Service-Operationen für einen Endpunkt den entsprechenden Standardrichtliniensatz und die Standardbindung des Trust-Service übernehmen sollen.
- Der ausgewählten Richtliniensatzzuordnung die Standardbindungs- oder eine angepasste Bindungskonfiguration zuordnen.
- Laufzeitkonfiguration des Trust-Service aktualisieren.
- Verwalten Sie den Sicherheitskontexttokenprovider des Trust-Service. Sie können die folgenden Token-Providertasks des Trust-Service ausführen:
- Konfiguration
des Sicherheitskontexttokenproviders bei Bedarf ändern.
Im Folgenden sind weitere, optionale providerbezogene Tasks aufgeführt, die Sie ausführen können:
- Laufzeitkonfiguration des Trust-Service nach Änderungen an der Token-Providerkonfiguration aktualisieren.
- Konfiguration
des Sicherheitskontexttokenproviders bei Bedarf ändern.
- Verwalten Sie den Standardtokenprovider für den Trust-Service und alle Endpunkte, die ein explizit
zugeordnetes Token (und kein aus der Standardbindung übernommenes Token) haben. Ziele sind Endpunkte, die einem bestimmten Token-Provider zugeordnet sind.
Sie können die folgenden Tasks für Trust-Service-Ziele ausführen:
- Neues Trust-Service-Ziel durch explizite Zuordnung eines Serviceendpunkt-URL zum Standardtokenprovider erstellen.. Wenn Sie diese Task ausführen, wird eine explizite Zuordnung zum Standardtokenprovider des Trust-Service, dem Standardkontexttoken (SCt, Security Context Token) erstellt. Alle anderen Endpunkte übernehmen den Standardtokenprovider des Trust-Service.
- Ziel konfigurieren. WebSphere Application Server
definiert einen unterstützten Standardtokenprovider, das Sicherheitskontexttoken (SCT, Security Context Token).
Im Folgenden sind weitere optionale Tasks aufgelistet, die Sie für vorhandene Ziele ausführen können:
- Endpunkte ändern, denen explizit ein SCT-Provider zugeordnet ist.
- Token-Provider für einen Endpunkt von "Übernommen" in "Explizit zugeordnet" ändern. Deshalb ändert sich der Token-Provider für den Endpunkt nicht, wenn sich der Standardtokenprovider des Trust-Service ändert.
- Token-Provider für einen Endpunkt von "Explizit zugeordnet" in "Übernommen" ändern. Deshalb ist der Token-Provider für den Endpunkt der Standardtokenprovider des Trust-Service und ändert sich, wenn sich der Standardtokenprovider ändert.
- Laufzeitkonfiguration des Trust-Service aktualisieren.
- Konfigurieren Sie den Sicherheitscache.. Sie können das Verhalten des clientseitigen Sicherheits-Cachings ändern.
- Aktualisieren Sie
die Laufzeitkonfiguration des Trust-Service. Sie müssen die Laufzeitkonfiguration
aktualisieren, wenn die folgenden Trust-bezogenen Elemente erstellt oder geändert werden:
- Trust-Service-Zuordnungen
- Token-Provider
- Ziele
Ergebnisse
Nach Fertigstellung der Konfigurationen und Aktualisierung der Laufzeitkonfiguration des Trust-Service haben Sie über die Administrationskonsole Anforderungen an den Trust-Service mit Systemrichtliniensätzen gesichert.
Unterartikel
Sichere Dialoge aktivieren
Verwenden Sie sichere Dialoge (Secure Conversation), um die Nachrichten von Web-Service-Anwendungen zu sichern.Trust-Service
Der von WebSphere Application Server bereitgestellte Sicherheitstokenservice wird als Trust-Service bezeichnet. Der Trust-Service von WebSphere Application Server verwendet die Mechanismen für sicheres Messaging von Web Services Trust (WS-Trust), um weitere Erweiterungen für das Ausstellen, das Austauschen und das Validieren von Sicherheitstoken zu definieren.Systemrichtliniensätze über die Administrationskonsole konfigurieren
Sie können Web Services Security durch die Definition eines angepassten Richtliniensatzes oder durch die Definition von Zusicherungen bezüglich der Definition von Services konfigurieren. Sie können angepasste Richtliniensätze über die Administrationskonsole verwalten.Über die Administrationskonsole Zuordnungen für den Trust-Service konfigurieren
Sie können die Trust-Serviceoperationen für einen Serviceendpunkt einem Systemrichtliniensatz und einer Bindung zuweisen. Jeder Endpunkt, der neu angegeben wird, hat die folgenden vier Operationen: issue, renew, cancel und validate. Standardmäßig übernehmen alle Endpunkte den Richtliniensatz und die Bindung, die der entsprechenden Trust-Serviceoperation in den Trust-Servicestandardeinstellungen zugeordnet sind. Sie können jedoch auch explizit einen anderen Richtliniensatz zuordnen.Über die Administrationskonsole Sicherheitskontexttokenprovider für den Trust-Service konfigurieren
Konfigurieren Sie den Trust-Service von WebSphere Application Server so, dass für die Kommunikation mit einem Endpunkt ein bestimmtes Sicherheitstoken an den Anforderer gesendet wird. Verwenden Sie die Administrationskonsole, um den Sicherheitskontexttokenprovider zu konfigurieren, der vom Trust-Service bereitgestellt wird.Endpunktziel des Trust Service über die Administrationskonsole konfigurieren
Der Trust-Service verwaltet Token für Serviceendpunkte. Jedem Serviceendpunkt wird explizit oder implizit ein Token-Provider zugeordnet. Es kann explizit ein bestimmtes Token zugeordnet werden, das ausgestellt werden soll, wenn der Zugriff auf einen Endpunkt angefordert wird. Andernfalls wird das Standardtoken des Trust-Service ausgestellt.Laufzeitkonfiguration von Web Services Security aktualisieren
Aktualisieren Sie die Laufzeitkonfiguration von Web Services Security mit allen Datenänderungen, die Sie für Token-Provider, Trust-Service-Zuordnungen und Ziele vornehmen und speichern.Verteilten Cache von Web Services Security über die Administrationskonsole konfigurieren
Sie können die Laufzeitumgebung von Web Services Security so konfigurieren, dass der verteilte Sicherheitscache zum Speichern von Sicherheitstoken verwendet wird.Sichere Dialoge aktivieren
Verwenden Sie sichere Dialoge (Secure Conversation), um die Nachrichten von Web-Service-Anwendungen zu sichern.Trust-Service
Der von WebSphere Application Server bereitgestellte Sicherheitstokenservice wird als Trust-Service bezeichnet. Der Trust-Service von WebSphere Application Server verwendet die Mechanismen für sicheres Messaging von Web Services Trust (WS-Trust), um weitere Erweiterungen für das Ausstellen, das Austauschen und das Validieren von Sicherheitstoken zu definieren.Systemrichtliniensätze über die Administrationskonsole konfigurieren
Sie können Web Services Security durch die Definition eines angepassten Richtliniensatzes oder durch die Definition von Zusicherungen bezüglich der Definition von Services konfigurieren. Sie können angepasste Richtliniensätze über die Administrationskonsole verwalten.Über die Administrationskonsole Zuordnungen für den Trust-Service konfigurieren
Sie können die Trust-Serviceoperationen für einen Serviceendpunkt einem Systemrichtliniensatz und einer Bindung zuweisen. Jeder Endpunkt, der neu angegeben wird, hat die folgenden vier Operationen: issue, renew, cancel und validate. Standardmäßig übernehmen alle Endpunkte den Richtliniensatz und die Bindung, die der entsprechenden Trust-Serviceoperation in den Trust-Servicestandardeinstellungen zugeordnet sind. Sie können jedoch auch explizit einen anderen Richtliniensatz zuordnen.Über die Administrationskonsole Sicherheitskontexttokenprovider für den Trust-Service konfigurieren
Konfigurieren Sie den Trust-Service von WebSphere Application Server so, dass für die Kommunikation mit einem Endpunkt ein bestimmtes Sicherheitstoken an den Anforderer gesendet wird. Verwenden Sie die Administrationskonsole, um den Sicherheitskontexttokenprovider zu konfigurieren, der vom Trust-Service bereitgestellt wird.Endpunktziel des Trust Service über die Administrationskonsole konfigurieren
Der Trust-Service verwaltet Token für Serviceendpunkte. Jedem Serviceendpunkt wird explizit oder implizit ein Token-Provider zugeordnet. Es kann explizit ein bestimmtes Token zugeordnet werden, das ausgestellt werden soll, wenn der Zugriff auf einen Endpunkt angefordert wird. Andernfalls wird das Standardtoken des Trust-Service ausgestellt.Laufzeitkonfiguration von Web Services Security aktualisieren
Aktualisieren Sie die Laufzeitkonfiguration von Web Services Security mit allen Datenänderungen, die Sie für Token-Provider, Trust-Service-Zuordnungen und Ziele vornehmen und speichern.Verteilten Cache von Web Services Security über die Administrationskonsole konfigurieren
Sie können die Laufzeitumgebung von Web Services Security so konfigurieren, dass der verteilte Sicherheitscache zum Speichern von Sicherheitstoken verwendet wird.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_trustwss
Dateiname:twbs_trustwss.html