Sie können die Trust-Serviceoperationen für einen Serviceendpunkt einem Systemrichtliniensatz
und einer Bindung zuweisen. Jeder Endpunkt, der neu angegeben wird, hat die folgenden vier Operationen: issue, renew, cancel und validate.
Standardmäßig übernehmen alle Endpunkte den Richtliniensatz und die Bindung, die der entsprechenden
Trust-Serviceoperation in den Trust-Servicestandardeinstellungen zugeordnet sind.
Sie können jedoch auch explizit einen anderen Richtliniensatz zuordnen.
Vorbereitende Schritte
Zuerst müssen Sie Ihre Richtliniensätze und Bindungen definieren. Richtlinien
beschreiben den bereitgestellten Zugriffsschutz bzw. die unterstützte Servicequalität (QoS, Quality of Service), z. B.
Nachrichtensicherheit, Transport usw. Bindungen spezifizieren einige Details zur Implementierung der Richtlinie, wie z. B.
den Pfad der Keystore-Datei, den Klassennamen des Tokengenerators oder den Namen der JAAS-Konfiguration.
Wichtig: Verwenden Sie Systemrichtliniensätze
nur für den Trust-Service. Der Anforderer (Client) darf nur
Java™ API for XML-Based Web Services (JAX-WS) verwenden. Anforderer, die
Java API for XML-based Remote Procedure Calls (JAX-RPC) verwenden, sind mit dem Richtliniensatz
QOS nicht kompatibel.
Wenn die Sicherheit aktiviert ist, haben Sie je nach Rolle, die Ihnen zugeordnet ist,
möglicherweise keinen Zugriff auf die Texteingabefelder oder Schaltflächen für die Erstellung oder Bearbeitung der Konfigurationsdaten.
Machen Sie sich mithilfe der Dokumentation zu den Verwaltungsrollen
mit den gültigen Rollen für den Anwendungsserver vertraut.
Informationen zu diesem Vorgang
Sie können die Trust-Serviceoperationen für einen neuen Endpunkt einem vorhandenen Richtliniensatz
und einer Bindung zuweisen. Ändern Sie für jeden neuen Serviceendpunkt, der angegeben wird,
die Einstellung der vier Trust-Serviceoperationen (cancel, renew, validate und issue) so, dass anstelle
der übernommenen Zuordnungen explizite Elemente zugeordnet werden. Die vier Operationen sind dem
entsprechenden Richtliniensatz und der Bindung gemäß Spezifikation in den Trust-Servicestandardeinstellungen
zugeordnet. Sie können diese Zuordnung ändern, und den gewünschten vorhandenen Richtliniensatz und die gewünschte Bindung
angeben.
Der Richtliniensatz eines Endpunkts setzt sich aus zwei Abschnitten zusammen:
einem Bootstrapabschnitt und einem Anwendungsabschnitt.
Der Systemrichtliniensatz, der den Trust-Serviceoperationen "issue" und "renew" für einen
bestimmten Endpunkt zugeordnet wird, muss dem Bootstrapabschnitt des Richtliniensatzes für diesen Endpunkt entsprechen.
Der Systemrichtliniensatz, der den Trust-Serviceoperationen "cancel" und "validate"
für einen bestimmten Endpunkt zugeordnet wird, muss dem Anwendungsabschnitt des Richtliniensatzes für diesen Endpunkt
entsprechen.
Diese Task beschreibt, wie die Trust-Serviceoperationen
für Serviceendpunkt-URLs verwaltet werden, die Sie einem Systemrichtliniensatz und einer Bindung zuweisen möchten.
Für die Konfiguration des Trust-Service von WebSphere Application Server müssen Sie außerdem
die folgende Task ausführen:
- Ziele erstellen oder verwalten. Sie können explizite Zuordnungen für neue Serviceendpunkte (Ziele) erstellen
oder Endpunkte verwalten, denen explizit ein Sicherheitstoken zugeordnet ist oder die das Standardtoken des Trust-Service
übernehmen.
Die mit dem Produkt bereitgestellten allgemeinen Beispielbindungen
werden zunächst als globale Standardsicherheitsbindungen (Zellenebene) definiert. Die Standardbindungen
für den Service-Provider und die Standardbindungen für den Service-Client
werden verwendet, wenn einer Richtliniensatzzuordnung keine anwendungsspezifischen Bindungen oder Trust-Servicebindungen
zugeordnet sind. Für Trust-Servicezuordnungen werden die Standardbindungen verwendet, wenn keine trustspezifischen Bindungen
zugewiesen sind. Wenn Sie das bereitgestellte Providerbeispiel nicht als Standard-Service-Provider-Bindung verwenden möchten,
können Sie eine vorhandene allgemeine Providerbindung auswählen oder eine neue allgemeine
Providerbindung für Ihre Geschäftsanforderungen erstellen. Wenn Sie das bereitgestellte Clientbeispiel nicht als Service-Client-Standardbindung verwenden möchten,
können Sie eine vorhandene allgemeine Clientbindung auswählen oder eine neue allgemeine
Clientbindung erstellen. Wenn Sie Ihre Standardbindungen für die globale Sicherheit (Zelle) festlegen möchten, klicken Sie in der Administrationskonsole auf
. Für Umgebungen mit mehreren
Sicherheitsdomänen können Sie die allgemeinen Providerbindungen und die allgemeinen Clientbindungen auswählen, die Sie als Standardbindungen für eine Domäne verwenden möchten.
Weitere Informationen zu Standardbindungen finden Sie im Artikel "Standardrichtliniensatzbindungen festlegen".
Vorgehensweise
- Zum Verwalten der Systemrichtliniensatzzuordnungen für Trust-Serviceoperationen klicken Sie auf
. In der Liste
werden alle Endpunkte, die mindestens eine Operation mit zugeordnetem Richtliniensatz haben,
und Tust-Service-Standardeinstellungen angezeigt. Außerdem werden der Systemrichtliniensatz
und die Bindung für jede Operation angezeigt.
- Wählen Sie eine oder mehrere der folgenden Aktionen aus, um die Trust-Servicezuordnungen
zu konfigurieren:
- Neue Zuordnung
- Öffnet eine neue Anzeige, in der Sie den Serviceendpunkt-URL angeben können.
Ändern Sie für jeden neuen Serviceendpunkt, der angegeben wird,
die Einstellung der vier Trust-Serviceoperationen (cancel, renew, validate und issue) so, dass anstelle
der übernommenen Zuordnungen explizite Elemente zugeordnet werden. Die vier Operationen sind dem
entsprechenden Richtliniensatz und der Bindung gemäß Spezifikation in den Trust-Servicestandardeinstellungen
zugeordnet. Diese anfänglichen Zuordnungen können geändert werden.
- Zuordnen
- Zeigt eine Liste mit vorhandenen Systemrichtliniensätzen, einschließlich der
Trust-bezogenen Systemrichtliniensätze, an, denen jede der vier Trust-Serviceoperationen für einen
Serviceendpunkt zugeordnet werden kann. Wählen Sie zunächst die Operation
(z. B. "Token stornieren") aus, und klicken Sie anschließend auf Zuordnen, um die Liste der verfügbaren
Systemrichtliniensätze anzuzeigen. Wählen Sie einen Standardrichtliniensatz oder einen angepassten
Systemrichtliniensatz aus, den Sie zuordnen möchten. Wenn Sie die
Richtliniensatzzuordnung ändern, wird die Bindung automatisch in Standard geändert.
Wählen Sie die Operation aus, und klicken Sie auf Bindung zuweisen, um die Bindung zu ändern.
Im Folgenden sind die vorkonfigurierten Systemrichtliniensätze aufgeführt, die ausgewählt werden können:
- TrustServiceSecurityDefault
Dieser Trustrichtliniensatz
legt den asymmetrischen Algorithmus und die öffentlichen und privaten Schlüssel für die Unterstützung der Nachrichtensicherheit fest. Die Nachrichtenintegrität wird durch die digitale Signatur von Hauptteil,
Zeitmarke und WS-Addressing-Headern über RSA gewährleistet. Die Nachrichtenvertraulichkeit wird durch die Verschlüsselung von Hauptteil und Signatur über RSA gewährleistet. Dieser
Richtliniensatz folgt der Spezifikation
WS-Security für Anforderungen der Trustoperationen "issue" und "renew".
- TrustServiceSymmetricDefault
Dieser
Trustrichtliniensatz legt den symmetrischen Algorithmus und die abgeleiteten Schlüsselalgorithmen für die Gewährleistung der Nachrichtensicherheit
fest.
Die Nachrichtenintegrität wird durch die digitale Signatur von Hauptteil, Zeitmarke und WS-Addressing-Headern über HMAC-SHA1 gewährleistet. Die Nachrichtenvertraulichkeit wird durch die Verschlüsselung von Hauptteil und Signatur über AES gewährleistet. Dieser
Richtliniensatz folgt den Spezifikationen WS-Security und WS-SecureConversation für die Validierung und das Abbrechen von Anforderungen von Trust-Operationen.
- SystemWSSecurityDefault
Dieser Systemrichtliniensatz
legt den asymmetrischen Algorithmus und die öffentlichen und privaten Schlüssel für die Unterstützung der Nachrichtensicherheit fest. Die Nachrichtenintegrität wird durch die digitale Signatur von Hauptteil,
Zeitmarke und WS-Addressing-Headern über RSA-Verschlüsselung gewährleistet. Die Nachrichtenvertraulichkeit wird durch die Verschlüsselung von Hauptteil und Signatur über RSA-Verschlüsselung gewährleistet.
- Standardeinstellungen für Operation übernehmen
- Stellt die Operation so ein, dass die entsprechende
Standardrichtliniensatzzuordnung und die Standardbindung des Trust-Service übernommen werden. Wenn
Sie die zu ändernden Zuordnungen auswählen und anschließend auf
Standardeinstellungen für Operation übernehmen klicken, wird die explizite Zuordnung für Richtliniensatz
und Bindung entfernt. Danach übernimmt die Operation alle Änderungen, die am Standardrichtliniensatz und an der Standardbindung
des Trust-Service vorgenommen werden.
- Bindung zuweisen
- Ändert die vorhandene Bindung. Sie können für jede der ausgewählten Trust-Servicezuordnungen
eine neue Bindung erstellen und zuordnen, die Standardbindung
zuweisen oder eine vorhandene Trust-Service-spezifische Bindung zuweisen.
- Laufzeitumgebung aktualisieren
- Aktualisiert die Laufzeitumgebung des Trust-Service mit allen Konfigurationsänderungen, die an den
Zuordnungen, Token-Providern und Zielen des Trust-Service vorgenommen werden.
- Optional: Ändern Sie den angepassten Richtliniensatz, indem Sie in der Liste
auf den Namen eines angepassten Richtliniensatzes klicken. Ändern Sie bei Bedarf die Einstellungen
für die angepassten Richtliniensätze. Die Informationen zu den
Standardrichtliniensätzen des Trust-Service können nur angezeigt werden.
Die Standardrichtliniensätze "TrustServiceSecurityDefault" und "TrustServiceSymmetricDefault" bzw. "SystemWSSecurityDefault" können nicht geändert werden.
TrustServiceSecurityDefault
ist der Standardrichtliniensatz für die Operationen "issue" und "renew".
TrustServiceSymmetricDefault
ist der Standardrichtliniensatz für die Operationen "cancel" und "validate".
Es muss mindestens eine Trust-Serviceoperation für den Endpunktservice-URL
explizit zugeordnet sein, damit der Endpunktservice-URL angezeigt wird. Wenn eine Operation explizit zugeordnet ist,
erscheint der Name des Systemrichtliniensatzes. Wenn kein Richtliniensatz explizit zugeordnet ist,
wird der entsprechende Standardrichtliniensatz des Trust-Service, gefolgt vom Text
(übernommen) angezeigt.
- Optional: Ändern Sie die Trust-Service-spezifische Bindung, indem Sie bei Bedarf in der Liste auf den Namen
einer Bindung klicken. Ändern Sie bei Bedarf die Einstellungen für eine Trust-Service-spezifische Bindung.
Alle Änderungen, die an einer Trust-Servicebindung
vorgenommen werden, wirken sich auf alle Trust-Servicezuordnungen aus, die auf die Bindung verweisen.
Wenn der Ressource
ein Richtliniensatz direkt zugeordnet ist, wird entweder der Bindungsname oder der Eintrag
Standard angezeigt.
- Speichern Sie Ihre Änderungen, bevor Sie die Änderungen auf die Laufzeitkonfiguration
des Trust-Service anwenden.
- Klicken Sie auf Laufzeit aktualisieren, um die Laufzeitkonfiguration des Trust-Service
mit allen Datenänderungen für Token-Provider, Trust-Servicezuordnungen und Ziele zu aktualisieren. Ob das Bestätigungsfenster angezeigt wird, hängt davon ab, ob Sie das Kontrollkästchen
Bestätigung für Befehl zur Laufzeitaktualisierung anzeigen ausgewählt haben. Klicken Sie auf Vorgaben, um das Kontrollkästchen anzuzeigen.
- Optional: Bestätigen Sie die Eingabe, oder klicken Sie auf Abbrechen, wenn das Bestätigungsfenster erscheint. Wenn Sie das Kontrollkästchen Bestätigung für Befehl zur Laufzeitaktualisierung anzeigen
abgewählt haben, werden alle Änderungen unverzüglich, d. h. ohne Anzeige des Bestätigungsfensters, vorgenommen.
Ergebnisse
Sie haben die Basisinformationen zum Erstellen bzw. Aktualisieren einer Trust-Servicezuordnung angegeben.
Sie haben die Zuordnungen zu Systemrichtliniensätzen und Bindungen für die Trust-Serviceoperationen konfiguriert.
Nächste Schritte
Sie können eine neue Zuordnung für den Trust-Service von WebSphere Application Server auch mit dem Tool "wsadmin" erstellen.
Die Beispiele für das Tool "wsadmin" sind in der Scripting-Sprache Jython geschrieben.