Anforderungen an den Trust-Service mit Systemrichtliniensätzen sichern

WebSphere Application Server unterstützt den Zugriffsschutz auf Nachrichtenebene für den Sicherheitstokenservice, der auch als Trust-Service von WebSphere Application Server bezeichnet wird. Sie müssen für den Trust-Service eine spezielle Klasse von Richtliniensätzen verwenden, die so genannten Systemrichtliniensätze.

Vorbereitende Schritte

Sie können für das Sichern von Anforderungen an den Trust-Service zwei verschiedene Konfigurationsmethoden verwenden:
  • Sie können in der Administrationskonsole einen Systemrichtliniensatz und eine Bindung definieren und diese einer Trust-Service-Operation zuweisen, die einem Endpunkt zugeordnet ist.
  • Sie können mit dem Tool wsadmin, das die Scripting-Sprachen Jython und Jacl unterstützt, Systemrichtliniensätze für den Trust-Service konfigurieren. Die Richtlinien für die Servicequalität (QoS, Quality of Service) können durch das Erstellen von Richtliniensätzen und das Verwalten von zugehöriger Richtlinien verwaltet werden.

Informationen zu diesem Vorgang

Für die Sicherheit des Trust-Service von WebSphere Application Server müssen Sie die Systemrichtliniensätze, die Bindungen, die Trust-Service-Zuordnungen und den Sicherheitscache konfigurieren.

Führen Sie die folgenden übergeordneten Schritte aus. Die Reihenfolge der Tasks ist nicht von Bedeutung, aber alle übergeordneten Schritte müssen ausgeführt werden, damit die Trust-Konfiguration abgeschlossen werden kann.

Vorgehensweise

  1. Definieren Sie einen neuen Systemrichtliniensatz, oder verwalten Sie vorhandene Systemrichtliniensätze. Zum Verwalten von Systemrichtliniensätzen können Sie die folgenden Tasks ausführen:
    1. Systemrichtliniensatz und Bindung definieren. Der Systemrichtliniensatz kann ein neuer oder vorhandener Richtliniensatz sein. Wenn Sie einen neuen Systemrichtliniensatz erstellen, müssen Sie die Richtlinientypen angeben und konfigurieren. Jedem Richtlinientyp wird eine Standardbindungskonfiguration zugeordnet.
    2. Ändern Sie bei Bedarf den Systemrichtliniensatz.

      Im Folgenden sind weitere, optionale richtliniensatzbezogene Tasks aufgeführt, die Sie ausführen können:

      • Richtliniensatzzuordnungen hinzufügen, bearbeiten und entfernen
      • Richtlinientypen bearbeiten, aktivieren und inaktivieren
      • Systemrichtliniensatz durch Auswahl und Kopieren eines vorhandenen Systemrichtliniensatzes erstellen. Wenn Sie einen vorhandenen Systemrichtliniensatz kopieren, müssen Sie auch angeben, ob die vorhandenen Zuordnungen in den neuen Systemrichtliniensatz übernommen werden sollen.
      • Systemrichtliniensätze löschen. Vorkonfigurierte Systemrichtliniensätze, die standardmäßig von WebSphere Application Server bereitgestellt werden, können nicht gelöscht werden.
      • Systemrichtliniensatz durch Auswahl und Exportieren eines vorhandenen Richtliniensatzes archivieren. Wenn Sie einen vorhandenen Systemrichtliniensatz exportieren, erstellen Sie damit eine Archivdatei mit der Dateierweiterung ".zip". Die Datei mit der Erweiterung ".zip" für den Export des Richtliniensatzes wird für den Download bereitgestellt. Wenn Sie beispielsweise einen Richtliniensatz mit dem Namen "ABC_ps" haben und die Archivdatei exportieren und von ServerA nach ServerB verschieben möchten, müssen Sie zuerst die Exportfunktion verwenden, um die Datei mit der Dateierweiterung ".zip" zu erstellen. Anschließend müssen Sie die Archivdatei manuell auf ServerB übertragen.
  2. Erstellen und verwalten Sie explizite Zuordnungen. Sie können die folgenden Zuordnungstasks für den Trust-Service ausführen:
    1. Systemrichtliniensatz zuordnen und einem Endpunkt eine Bindung zuweisen. Für jeden Endpunkt können Sie explizite Zuordnungen der Trust-Service-Operationen zu den entsprechenden Standardrichtliniensätzen und -bindungen des Trust-Service erstellen. Nachdem Sie die Anfangszuordnungen erstellt haben, können Sie vorhandene Richtliniensatz- und Bindungskonfigurationen anzeigen und ändern.
    2. Ändern Sie bei Bedarf vorhandene Richtliniensatzzuordnungs- und Bindungskonfigurationen. Der Systemrichtliniensatz kann ein neuer oder vorhandener Richtliniensatz sein. Wenn Sie einen neuen Systemrichtliniensatz erstellen, müssen Sie die Richtlinientypen angeben und konfigurieren. Jedem Richtlinientyp wird eine Standardbindungskonfiguration zugeordnet.

      Der Systemrichtliniensatz, der den Operationen "issue" (Ausstellen) und "renew" (Erneuern) zugeordnet wird, muss dem Bootstraprichtliniensatz von Client und Endpunkt entsprechen, und der Richtliniensatz, der den Operationen "validate" (Validieren) und "cancel" (Stornieren) zugeordnet wird, muss dem Anwendungsrichtliniensatz von Client und Endpunkt entsprechen. Der für den Endpunktservice definierte Bootstraprichtliniensatz ist nur erforderlich, wenn der Endpunktservice "issue"- und "renew"-Anforderungen an den Trust-Service absetzt.

      Im Folgenden sind weitere optionale Tasks aufgelistet, die mit der Zuordnung in Zusammenhang stehen:

      • Systemrichtliniensatz- und Bindungskonfigurationen ändern.
      • Angepasste Systemrichtliniensätze und Bindungen erstellen.
      • Die vier Standardoperationen des Trust-Service einem Systemrichtliniensatz und einer Bindung zuweisen.
      • Die vier Operationen des Trust-Service, die einem bestimmten Endpunkt zugeordnet sind, einem Systemrichtliniensatz und einer Bindung zuweisen.
      • Angeben, dass die ausgewählten Trust-Service-Operationen für einen Endpunkt den entsprechenden Standardrichtliniensatz und die Standardbindung des Trust-Service übernehmen sollen.
      • Der ausgewählten Richtliniensatzzuordnung die Standardbindungs- oder eine angepasste Bindungskonfiguration zuordnen.
      • Laufzeitkonfiguration des Trust-Service aktualisieren.
  3. Verwalten Sie den Sicherheitskontexttokenprovider des Trust-Service. Sie können die folgenden Token-Providertasks des Trust-Service ausführen:
    1. Konfiguration des Sicherheitskontexttokenproviders bei Bedarf ändern.

      Im Folgenden sind weitere, optionale providerbezogene Tasks aufgeführt, die Sie ausführen können:

      • Laufzeitkonfiguration des Trust-Service nach Änderungen an der Token-Providerkonfiguration aktualisieren.
  4. Verwalten Sie den Standardtokenprovider für den Trust-Service und alle Endpunkte, die ein explizit zugeordnetes Token (und kein aus der Standardbindung übernommenes Token) haben. Ziele sind Endpunkte, die einem bestimmten Token-Provider zugeordnet sind. Sie können die folgenden Tasks für Trust-Service-Ziele ausführen:
    1. Neues Trust-Service-Ziel durch explizite Zuordnung eines Serviceendpunkt-URL zum Standardtokenprovider erstellen.. Wenn Sie diese Task ausführen, wird eine explizite Zuordnung zum Standardtokenprovider des Trust-Service, dem Standardkontexttoken (SCt, Security Context Token) erstellt. Alle anderen Endpunkte übernehmen den Standardtokenprovider des Trust-Service.
    2. Ziel konfigurieren. WebSphere Application Server definiert einen unterstützten Standardtokenprovider, das Sicherheitskontexttoken (SCT, Security Context Token). Im Folgenden sind weitere optionale Tasks aufgelistet, die Sie für vorhandene Ziele ausführen können:
      • Endpunkte ändern, denen explizit ein SCT-Provider zugeordnet ist.
      • Token-Provider für einen Endpunkt von "Übernommen" in "Explizit zugeordnet" ändern. Deshalb ändert sich der Token-Provider für den Endpunkt nicht, wenn sich der Standardtokenprovider des Trust-Service ändert.
      • Token-Provider für einen Endpunkt von "Explizit zugeordnet" in "Übernommen" ändern. Deshalb ist der Token-Provider für den Endpunkt der Standardtokenprovider des Trust-Service und ändert sich, wenn sich der Standardtokenprovider ändert.
      • Laufzeitkonfiguration des Trust-Service aktualisieren.
  5. Konfigurieren Sie den Sicherheitscache.. Sie können das Verhalten des clientseitigen Sicherheits-Cachings ändern.
  6. Aktualisieren Sie die Laufzeitkonfiguration des Trust-Service. Sie müssen die Laufzeitkonfiguration aktualisieren, wenn die folgenden Trust-bezogenen Elemente erstellt oder geändert werden:
    • Trust-Service-Zuordnungen
    • Token-Provider
    • Ziele

Ergebnisse

Nach Fertigstellung der Konfigurationen und Aktualisierung der Laufzeitkonfiguration des Trust-Service haben Sie über die Administrationskonsole Anforderungen an den Trust-Service mit Systemrichtliniensätzen gesichert.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_trustwss
Dateiname:twbs_trustwss.html