SSO-Interoperabilitätsmodus für das LTPA-Token aktivieren oder inaktivieren
Sie können ein Interoperabilitäts-Flag im Tokengenerator setzen, um zu bestimmen, ob beim Empfang einer Anforderungsnachricht ein LTPA-Token der Version 1 oder ein LTPA-Token der Version 2 abgerufen wird.
Informationen zu diesem Vorgang
In WebSphere Application Server Version 7.0 und höher wird ein Flag in den globalen Sicherheitseinstellungen gesetzt, um den SSO-Interoperabilitätsmodus (Single Sign-on) für das LTPA-Token zu aktivieren. Diese Option bestimmt, ob beim Empfang einer Anforderungsnachricht ein LTPA-Token der Version 1 oder ein LTPA-Token der Version 2 abgerufen wird. Wenn das Interoperabilitäts-Flag auf true gesetzt ist, ist das Authentifizierungstoken ein LTPA-Token der Version 1, und das SSO-Token ein LTPA-Token der Version 2. Wenn das Interoperabilitäts-Flag auf false gesetzt ist, sind das Authentifizierungstoken und das SSO-Token LTPA-Token der Version 2.
Wenn der Interoperabilitätsmodus aktiviert ist (d. h., wenn das Flag auf true gesetzt ist) und die Bindungskonfiguration für Web Services Security ein LTPA-Token der Version 1 als Tokentyp festlegt, wird das Authentifizierungstoken verwendet, um das mit der Nachricht gesendete Token abzurufen. Ist der Interoperabilitätsmodus nicht aktiviert (d. h., wenn das Flag auf false gesetzt ist) und in der Bindungskonfiguration für Web Services Security das LTPA-Token der Version 1 als Tokentyp festgelegt ist, wird ein Ausnahmefehler protokolliert.
Sie können die Funktion für die Interoperabilitätsprüfung inaktivieren, indem Sie die angepasste Eigenschaft "com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7" im Tokengenerator definieren. Diese Einstellung bestimmt das LTPA-Token ohne Überprüfung des Status des Interoperabilitätsflags und gewährleistet die Kompatibilität mit Servern der WebSphere Application Server Version 6.1 und früher.
Wenn Sie die Verwendung des LTPA-Tokens der Version 2 erzwingen möchten, müssen Sie die Tokeneinstellungen ändern und die Option Tokenversion erzwingen setzen.
Vorgehensweise
- Klicken Sie auf .
- Wählen Sie eine Anwendung aus, die Web-Services enthält. Die Anwendung muss einen Service-Provider oder einen Service-Client enthalten.
- Klicken Sie im Abschnitt "Web-Service-Eigenschaften" auf den Link Richtliniensätze und Bindungen für Service-Provider oder auf den Link Richtliniensätze und Bindungen für Service-Clients.
- Wählen Sie eine Bindung aus. Sie müssen vorher einen Richtliniensatz zugeordnet und eine anwendungsspezifische Bindung zugewiesen haben.
- Klicken Sie in der Tabelle "Richtlinien" auf die Richtlinie WS-Security.
- Klicken Sie im Abschnitt "Bindungen für Hauptnachrichtensicherheitsrichtlinie" auf den Link Authentifizierung und Zugriffsschutz.
- Klicken Sie in der Tabelle "Token für Zugriffsschutz" auf den Link eines Konsumenten- oder Generatortokens.
- Wählen Sie das Kontrollkästchen Tokenversion erzwingen nach dem Feld Tokentyp aus.