Konfigurationseinstellungen für Tokenkonsumenten
Auf dieser Seite können Sie die Informationen für den Tokenkonsumenten angeben. Diese Informationen werden nur auf der Konsumentenseite für die Verarbeitung des Sicherheitstoken verwendet.
- Klicken Sie auf .
- Klicken Sie unter "JAX-RPC-Standardkonsumentenbindungen" auf Neu, um einen neuen Tokenkonsumenten zu erstellen. oder auf
- Klicken Sie auf .
- Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web Services Security.mixv
- Klicken Sie unter "JAX-RPC-Standardkonsumentenbindungen" auf Neu, um einen neuen Tokenkonsumenten zu erstellen. oder auf
- Klicken Sie auf .
- Klicken Sie auf .
- Unter "Eigenschaften von Web Services Security" können Sie auf die Signaturdaten für die folgenden Bindungen zugreifen:
- Klicken Sie für die Antwortgeneratorbindung (Sender) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anwortgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten. Klicken Sie unter "Erforderliche Eigenschaften" auf Tokenkonsumenten.
- Klicken Sie für die Antwortkonsumentenbindung (Empfänger) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anwortkonsumentenbindung (Empfänger)" auf Angepasste Bindungen bearbeiten. Klicken Sie unter "Erforderliche Eigenschaften" auf Tokenkonsumenten.
- Klicken Sie auf Neu, um eine neue Konfiguration anzugeben, oder klicken Sie auf den Namen einer vorhandenen Konfiguration, um deren Einstellungen zu modifizieren.
Vor der Angabe weiterer Eigenschaften müssen Sie in den Feldern Name des Tokenkonsumenten, Klassenname des Tokenkonsumenten und Lokaler Name des Tokentyps einen Wert angeben.
Name des Tokenkonsumenten
Gibt den Namen der Tokenkonsumentenkonfiguration an.
Die Standardnamen für den X509-Tokenkonsumenten sind beispielsweise con_enctcon für die Verschlüsselung und con_signtcon für die Signatur. Der Name des angepassten Tokenkonsumenten kann für die Signatur beispielsweise sig_tcon lauten.
Klassenname des Tokenkonsumenten
Gibt den Namen der Implementierungsklasse für Tokenkonsumenten an.
Diese Klasse muss die Schnittstelle com.ibm.wsspi.wssecurity.token.TokenConsumerComponent implementieren.
Klassenname des Tokenkonsumenten
Gibt den Namen der Implementierungsklasse für Tokenkonsumenten an.
Die JAAS-Anmeldemodulimplementierung (Java™ Authentication and Authorization Service) wird verwendet, um das Sicherheitstoken auf Konsumentenseite zu validieren (authentifizieren).
Referenz auf Nachrichtenabschnitt
Gibt eine Referenz auf den Namen des im Implementierungsdeskriptor definierten Sicherheitstoken an.
Wenn das Sicherheitstoken nicht im Implementierungsdeskriptor angegeben ist, wird das Feld Abschnittsreferenz auf der Anwendungsebene nicht angezeigt.
Zertifikatspfad
Gibt den Trust-Anchor und den Zertifikatsspeicher an.
- Ohne
- Bei dieser Option wird der Zertifikatspfad nicht angegeben.
- Jedem vertrauen
- Bei Auswahl dieser Option wird jedes Zertifikat anerkannt. Wenn das empfangene Token integriert wurde, wird der Zertifikatspfad nicht validiert.
- Dedizierte Signaturdaten
- Bei Auswahl dieser Option können Sie den Trust-Anchor und den Zertifikatsspeicher angeben. Wenn Sie den Trust-Anchor oder den Zertifikatsspeicher eines anerkannten Zertifikats auswählen, müssen Sie vor dem Definieren des Zertifikatspfads den Zertifikatssammelspeicher konfigurieren.
Trust-Anchor
Name der Bindung | Serverebene, Zellenebene oder Anwendungsebene | Pfad |
---|---|---|
Standardkonsumentenbindung | Zellenebene |
|
Standardkonsumentenbindung | Serverebene |
|
Zertifikatsspeicher
Name der Bindung | Serverebene, Zellenebene oder Anwendungsebene | Pfad |
---|---|---|
Standardkonsumentenbindung | Zellenebene |
|
Standardkonsumentenbindung | Serverebene |
|
Trusted-ID-Evaluator-Referenz
Gibt den Verweis auf den Klassennamen des Trusted-ID-Evaluators an, der in der Anzeige "Trusted-ID-Evaluator" definiert wurde. Mit dem Trusted-ID-Evaluator wird festgestellt, ob die empfangene ID vertrauenswürdig ist.
- Ohne
- Bei dieser Option wird der Trusted-ID-Evaluator nicht angegeben.
- Vorhandene Evaluator-Definition
- Bei Auswahl dieser Option können Sie einen der konfigurierten Trusted-ID-Evaluator auswählen. Eine Zertifikatspfadkonfiguration können Sie für die folgenden Bindungen auf folgenden Ebenen angeben:
Tabelle 3. Einstellungen für Trusted-ID-Evaluator-Bindungen. Der Trusted-ID-Evaluator wird verwendet, um festzustellen, ob eine empfangene ID vertrauenswürdig ist. Name der Bindung Serverebene, Zellenebene oder Anwendungsebene Pfad Standardkonsumentenbindung Zellenebene - Klicken Sie auf .
- Klicken Sie unter "Weitere Eigenschaften" auf Trusted-ID-Evaluator.
Standardkonsumentenbindung Serverebene - Klicken Sie auf .
- Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web Services Security.mixv
- Klicken Sie unter "Weitere Eigenschaften" auf Trusted-ID-Evaluator.
- Bindende Evaluator-Definition
- Bei Auswahl dieser Option können Sie einen neuen Trusted-ID-Evaluator und seinen Klassennamen angeben.
Wenn Sie eine Trusted-ID-Evaluator-Referenz auswählen, müssen Sie die Trusted-ID-Evaluator konfigurieren, bevor Sie den Tokenkonsumenten festlegen.
Das Feld "Trusted-ID-Evaluator" wird in der Standardbindungskonfiguration und in der Bindungskonfiguration des Anwendungsservers angezeigt.
Nonce prüfen
Gibt an, ob der Nonce des Benutzernamenstokens überprüft wird.
Diese Option wird auf Zellen-, Server- und Anwendungsebene angezeigt. Sie ist nur gültig, wenn das integrierte Token vom Typ "Benutzernamenstoken" ist.
Zeitmarke prüfen
Gibt an, ob die Zeitmarke des Benutzernamenstokens überprüft wird.
Diese Option wird auf Zellen-, Server- und Anwendungsebene angezeigt. Sie ist nur gültig, wenn das integrierte Token vom Typ "Benutzernamenstoken" ist.
Lokaler Name des Wertetyps
Gibt den lokalen Namen für den Wertetyp des konsumierten Tokens an.
- Benutzernamenstoken
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
- X509-Zertifikatstoken
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- # X509-Zertifikate in einem PKIPath
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- Liste von X509-Zertifikaten und CRLs im Format PKCS#7
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
- LTPA (Lightweight Third Party Authentication)
- LTPA_PROPAGATION
Wenn Sie für angepasste Token einen eigenen Wertetyp angeben, können Sie den lokalen Namen und den URI des QName für den Wertetyp angeben. Sie könnten beispielsweise für den lokalen Namen Custom und für den URI http://www.ibm.com/custom angeben.
URI des Tokentyps
Gibt den Namespace-URI für den Wertetyp des integrierten Tokens an.
Wenn Sie den Tokenkonsumenten für Benutzernamenstoken oder Sicherheitstoken im X.509-Format angeben, müssen Sie diese Option nicht angeben. Falls Sie ein anderes Token angeben möchten, geben Sie als Wertetyp den URI des qualifizierten Namens (QName) an.
- Für LTPA-Token: http://www.ibm.com/websphere/appserver/tokentype/5.0.2
- Für die Weitergabe von LTPA-Token: http://www.ibm.com/websphere/appserver/tokentype