LTPA-Token und LTPA-Version-2-Token

Web Services Security unterstützt sowohl Token der LTPA Version 1 als auch Token der LTPA Version 2 (LTPA2). Das LTPA2-Token, das sicherer ist als das der Version 1, wird nur von der JAX-WS-Laufzeitumgebung unterstützt.

Fehler vermeiden Fehler vermeiden: Die Unterstützungserklärungen in diesem Artikel gelten für die Web-Services-Security-Implementierung für WebSphere Application Server und nicht für die Sicherheitsimplementierung für Funktionen, die keine Web-Services sind. gotcha

Das LTPA-Token (Lightweight Third Party Authentication) ist ein bestimmter Typ eines binären Sicherheitstokens. Die Web-Services-Security-Implementierung für WebSphere Application Server Version 5 und höher unterstützt die Token der LTPA Version 1. WebSphere Application Server Version 7 und höher unterstützen das Token der LTPA Version 2 über die JAX-WS-Laufzeitumgebung.

Obwohl dieselbe LTPAToken-Zusicherung in den Richtlinien für LTPA Version 1 und LTPA Version 2 verwendet wird, weicht der valuetype-Wert für das Token der Version 2 von dem der Version 1 ab. Der valuetype-Wert setzt sich aus dem URI und dem lokalen Namen zusammen. In der folgenden Tabelle sind die valuetype-Werte für die LTPA-Tokenversionen aufgelistet, wenn diese als Tokentyp für Richtliniensatzbindungen ausgewählt werden. Diese Werte sind nicht editierbar.
Tabelle 1. LTPA-Tokenversionen und die zugehörigen valuetype-Werte. In dieser Tabelle sind die valuetype-Werte für LTPA-Token (Version 1) und LTPA2-Token aufgelistet.
Version des LTPA-Tokens Valuetype-Wert
LTPA (Version 1) http://www.ibm.com/websphere/appserver/tokentype/5.0.2/LTPA
LTPA2 http://www.ibm.com/websphere/appserver/tokentype/LTPAv2

Für die Unterstützung der Interoperabilität zwischen Servern, auf denen verschiedene Versionen von WebSphere Application Server ausgeführt werden, kann die Web-Services-Security-Laufzeitumgebung von JAX-WS in Version 7.0 und höher ein Token der LTPA Version 1 standardmäßig erfolgreich konsumieren, wenn die Bindung laut Konfiguration ein LTPA2-Token erwartet. Die Bindung für die JAX-WS-Laufzeitumgebung kann jedoch nur für LTPA2-Token konfiguriert werden. Weitere Informationen finden Sie in der Dokumentation zu den Einstellungen für den Authentifizierungsgenerator und die Konsumententoken.

Wenn die Web-Services-Security-Laufzeitumgebung ein Token mit einem unbekannten valuetype-Wert empfängt und der SOAP-Sicherheitsheader den Wert '1' für das Attribut "mustUnderstand" enthält, gibt die Web-Services-Security-Laufzeitumgebung einen Fehler des Typs "SOAPFaultException" aus. Hat das Attribut "mustUnderstand" den Wert '0', wird das Token ignoriert.

Wenn ein LTPA2-Token mit dem mustUnderstand-Attributwert '1' an eine Web-Services-Security-Laufzeitumgebung gesendet wird, in der das LTPA2-Token nicht unterstützt wird, erkennt die Laufzeitumgebung den LTPAv2-valuetype-Wert nicht. Deshalb gibt die empfangende Laufzeitumgebung einen Fehler des Typs "SOAPFaultException" aus. In der folgenden Tabelle sind diese unterschiedlichen Konfigurationen und die potenziellen Fehlernachrichten aufgelistet.
Tabelle 2. LTPA-Tokenkonfigurationen. Diese Tabelle gibt Aufschluss darüber, ob das Token der LTPA Version 1 optional oder erforderlich ist, listet den zugehörigen Wert des Attributs "mustUnderstand2, die zugehörige Laufzeitumgebung und den gegebenenfalls ausgegebenen SOAPFaultException-Fehler auf.
Laufzeitumgebung Status des Token der LTPA Version 1 Wert des Attributs MustUnderstand SOAPFaultException-Fehler
JAX-RPC Erforderlich 1
com.ibm.wsspi.wssecurity.SoapSecurityException: 
WSEC5509E: Es ist ein Sicherheitstoken des Typ
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA]
erforderlich.
JAX-RPC Erforderlich 0
com.ibm.wsspi.wssecurity.SoapSecurityException: 
WSEC5509E: Es ist ein Sicherheitstoken des Typ
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA]
erforderlich.
JAX-RPC Optional 1
com.ibm.wsspi.wssecurity.SoapSecurityException: 
WSEC5502E: Unerwartetes Element als Zielelement:
s:BinarySecurityToken.
JAX-RPC Optional 0 Ohne.
JAX-RPC Nicht konfiguriert 1
com.ibm.wsspi.wssecurity.SoapSecurityException: 
WSEC5502E: Unerwartetes Element als Zielelement:
s:BinarySecurityToken.
JAX-RPC Nicht konfiguriert 0 Ohne.
JAX-WS (Version 6.1 Feature Pack for Web Services) Nicht konfiguriert 1
CWWSS5502E: Das Zielelement
s:BinarySecurityToken wurde nicht erwartet.
JAX-WS (Version 6.1 Feature Pack for Web Services) Nicht konfiguriert 0 Ohne.
JAX-WS (Version 6.1 Feature Pack for Web Services) Konfiguriert 1
CWWSS5509E: Es ist ein Sicherheitstoken des Typ
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA]
erforderlich.
JAX-WS (Version 6.1 Feature Pack for Web Services) Konfiguriert 0
CWWSS5509E: Es ist ein Sicherheitstoken des Typ
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA]
erforderlich.
Sie können die JAX-WS-Laufzeitumgebung so konfigurieren, dass LTPA-Token (Version 1) oder LTPA2-Token generiert werden. Wenn Sie den LTPA-Tokengenerator in einer Richtlinienbindung konfigurieren, um ein LTPA-Token der Version 1 zu generieren, müssen Sie eine der folgenden Aktionen ausführen:
  • Aktivieren Sie den SSO-Interoperabilitätsmodus (Single Sign-on) in der SSO-Anzeige in der Administrationskonsole. Weitere Informationen zu dieser Option finden Sie in der Dokumentation zu den SSO-Einstellungen.
  • Setzen Sie die angepasste Eigenschaft com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 für den LTPA-Tokengenerator auf "true".
Wenn Sie nicht mindestens einen der oben genannten Schritte ausführen, tritt ein Fehler auf, wenn die Anwendung, die diesen Bindungen zugeordnet ist, gestartet wird.

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_ltpatokens
Dateiname:cwbs_ltpatokens.html