Propiedades personalizadas de seguridad de servicios web

Puede configurar los pares de datos de nombre-valor arbitrarios, en los que el nombre es una clave de propiedad y el valor es un valor de serie que se puede utilizar para establecer propiedades internas de configuración del sistema. Cuando se define una nueva propiedad, esto permite configurar un valor que no está disponible a través de las opciones de la consola administrativa.

Las propiedades personalizadas para la seguridad de servicios web se pueden establecer en distintos niveles del servidor de aplicación y para aplicaciones JAX-RPC versus JAX-WS. En la lista siguiente de propiedades personalizadas se proporciona información sobre el lugar en el que se define la propiedad y cómo se utiliza.

Las propiedades personalizadas del módulo de inicio de sesión de la señal de seguridad genérica de los servicios web y las propiedades personalizadas de la señal SAML de seguridad de servicios web se describen en otros temas de información. Los enlaces a estos temas se proporcionan en el apartado de referencias relacionadas de este tema.

Puede definir las siguientes propiedades personalizadas de seguridad de servicios web:

com.ibm.websvcs.client.serializeSecurityContext

Cuando un cliente JAX-WS se ejecuta en un servidor de aplicaciones, las llamadas de servicio pueden ser más lentas cuando se habilita la seguridad base que cuando la seguridad base no está habilitada. Para ajustar la velocidad de llamada de servicio, puede utilizar la propiedad com.ibm.websvcs.client.serializeSecurityContext. Cuando la propiedad com.ibm.websvcs.client.serializeSecurityContext se establece en false en el contexto de solicitud del proveedor de enlace para la llamada de servicio, el contexto de seguridad de WebSphere no se serializará en el contexto de mensajes de servicios web. El ejemplo siguiente muestra el establecimiento de esta propiedad.
javax.xml.ws.BindingProvider bp;

bp.getRequestContext().put("com.ibm.websvcs.client.serializeSecurityContext", "false");
Nota: La propiedad com.ibm.websvcs.client.serializeSecurityContext no se puede utilizar en combinación con un conjunto de políticas de mensajería fiable.
Información Valor
Tipo de datos Serie
Valores True, False
Valor predeterminado True

com.ibm.ws.wssecurity.createSTR

La propiedad com.ibm.ws.wssecurity.createSTR crea una referencia de señal de seguridad a la señal de seguridad en la cabecera de seguridad SOAP cuando se especifica un valor True.

Puede establecer esta propiedad en True, la propiedad com.ibm.ws.wssecurity.createSTR crea una referencia de señal de seguridad a la señal de seguridad en la cabecera de seguridad SOAP. Establezca esta propiedad personalizada en True si se cumplen las siguientes condiciones:
  • El mecanismo de referencia para la firma de señal es la Transformación STR Dereference, http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
  • El elemento SignedParts para la política WS-Security contiene un valor XPath que representa la SecurityTokenReference.

Esta propiedad se configura como una propiedad personalizada en el generador de señales SAML. No se configura en el manejador de devolución de llamada.

Información Valor
Tipo de datos Serie
Valores True, False
Valor predeterminado False

El valor de esta propiedad no es sensible a mayúsculas y minúsculas.

com.ibm.ws.wssecurity.dsig.SignatureAlgorithm

Utilice esta propiedad personalizada para configurar una firma digital, puede habilitar el tiempo de ejecución de seguridad de servicios web para que se utilicen los algoritmos de firma SHA-2.

Para aplicaciones JAX-WS, establezca la siguiente propiedad personalizad en la sección de información de firmas de la solicitud o respuesta para habilitar los algoritmos de firma de SHA-2. Asegúrese de que se utiliza el mismo valor tanto para el cliente como para el proveedor cuando se configure esta propiedad personalizada.

La propiedad personalizada com.ibm.ws.wssecurity.dsig.SignatureAlgorithm especifica los algoritmos de firma SHA-2 para firmas digitales XML. De forma predeterminada, WebSphere Application Server utiliza SHA1withRSA o HMACSHA1 para generar firmas digitales.
Información Valor
Tipo de datos Serie
Valores rsa-sha256, rsa-sha384, rsa-sha512, hmac-sha256, hmac-sha384, hmac-sha512 o dsa-sha256
Para aplicaciones JAX-WS, puede configurar la propiedad personalizada com.ibm.ws.wssecurity.dsig.SignatureAlgorithm a partir de la información de firmas de entrada o de salida. Para configurar com.ibm.ws.wssecurity.dsig.SignatureAlgorithm, lleve a cabo los pasos siguientes:
  1. Pulse Servicios > Clientes de servicio o Proveedores de servicio.
  2. Pulse nombre_servicio > nombre_enlace.
  3. En Política, pulse WS-Security.
  4. En Enlaces de política de seguridad de mensajes, pulse Autenticación y protección.
  5. En Protección de cifrado y firma de mensaje de petición o Protección de cifrado y firma de mensaje de respuesta, pulse signature_message_part_reference.

    Cuando se selecciona el nombre signature_message_part_reference, está accediendo a la configuración del enlace de la parte del mensaje firmada.

  6. Elimina la propiedad personalizada. Por ejemplo com.ibm.ws.wssecurity.dsig.SignatureAlgorithm y especifique el algoritmo deseado como un valor de propiedad con uno de los valores identificados en la tabla anterior.

com.ibm.ws.wssecurity.sc.FaultCode

Utilice esta propiedad personalizada en un módulo de inicio de sesión JAAS para establecer el código de error de SOAP en caso de que se produzca un error. Si no se especifica esta propiedad, siempre se devuelve el código de error de SOAP wsse:FailedAuthentication.

En el módulo de inicio de sesión personalizado de JAAS, establezca la propiedad com.ibm.ws.wssecurity.sc.FaultCode en el contexto de wssecurity en QName del código de error que desee utilizar. Por ejemplo:

fcQname = new QName(
          "http://schemas.xmlsoap.org/ws/2003/06/secext",
          "FailedCheck"); 
this._context = propertyCallback.getProperties();
 _context.put("com.ibm.ws.wssecurity.sc.FaultCode", fcQname);
Información Valor
Tipo de datos Serie
Valor predeterminado ninguno

com.ibm.wsspi.wssecurity.Caller.assertionLoginConfig

La propiedad com.ibm.wsspi.wssecurity.Caller.assertionLoginConfig, que se configura en el componente que emite la llamada, especifica el nombre de la configuración de inicio de sesión JAAS que utiliza Web Services Security para obtener las credenciales de autorización de WebSphere Application Server. Debe configurar esta propiedad utilizando una herramienta de ensamblaje como Rational Application Developer. Para obtener más información, consulte el tema Configuración del interlocutor en las restricciones de seguridad del cliente para Rational Application Developer. En este tema, esta propiedad personalizada se establece al configurar la aserción de identidad.

Utilice esta propiedad sólo con aplicaciones WS-Security V1.0 JAX-RPC.

Información Valor
Tipo de datos Serie
Valor predeterminado system.DEFAULT

com.ibm.wsspi.wssecurity.config.disableWSSIfApplicationSecurityDisabled

Cuando se establece la propiedad personalizada com.ibm.wsspi.wssecurity.config.disableWSSIfApplicationSecurityDisabled en true, Web Services Security no impone las restricciones configuradas de WS-Security si la seguridad de aplicaciones está inhabilitada en el servidor de aplicaciones. Puede utilizar esta propiedad personalizada para depurar servicios en un entorno no seguro sin necesidad de eliminar las restricciones de seguridad de aplicaciones de servicios web.

Best practice Best practice: Utilice esta propiedad personalizada solamente con fines de diagnóstico. No la utilice en un entorno de producción.bprac
Información Valor
Tipo de datos Serie
Valores true, false
Defaultfalse false
Puede establecer esta propiedad personalizada como una propiedad personalizada de entrada o una propiedad personalizada de entrada y salida para los enlaces del conjunto de políticas. Complete los pasos siguientes en la consola administrativa para establecer la propiedad personalizada:
  1. Expanda Servicios > Conjuntos de políticas.
  2. Pulse Enlaces de conjunto de políticas del proveedor general o Enlaces de conjunto de políticas del cliente general.
  3. Pulse nombre_enlace.
  4. En la cabecera Política, pulse WS-Security > Propiedades personalizadas.
También puede establecer esta propiedad personalizada como parámetro o como propiedad de enlace de entrada en la aplicación utilizando herramientas wsadmin. En setBinding se utilizan los siguientes nombres de propiedad del tipo de política WS-Security:
  • application.parameters
  • application.securityinboundbinding config.properties

com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens

La propiedad personalizada com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens especifica si se almacenarán en memoria caché los UsernameTokens todo el tiempo, lo que es el comportamiento predeterminado, o si se almacenarán en memoria caché según determine un conjunto de reglas. Puede configurar esta propiedad personalizada para el generador de señales o como una propiedad adicional.

Cuando la propiedad personalizada com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens se establece en false, las señales UsernameTokens siempre se almacenan en la memoria caché de las hebras de cliente. Si se establece esta propiedad personalizada en true, el tiempo de ejecución de Web Services Security determina si las señales UsernameTokens se almacenarán en memoria caché en función de las reglas siguientes:
  • Nunca almacenar en memoria caché UsernameTokens si la aplicación se ejecuta en un servidor de aplicaciones.
  • Almacenar en memoria caché UsernameTokens si el generador de señales para UsernameToken tiene configurado el siguiente manejador de devolución de llamada: com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler.

Esta propiedad personalizada se aplica sólo al tiempo de ejecución de JAX-RPC. Utilice una herramienta de ensamblaje, como por ejemplo Rational Application Developer, para establecer la propiedad personalizada en los enlaces de parte de mensajes cifrados.

Información Valor
Tipo de datos Serie
Valores true, false
Valor predeterminado false

com.ibm.wsspi.wssecurity.config.request.setMustUnderstand y com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne

Estas dos propiedades personalizadas permiten que el administrador controle el valor del atributo mustUnderstand en la cabecera de seguridad SOAP. Estas propiedades se establecen como propiedades personalizadas de salida.

Puede configurar las siguientes propiedades personalizadas del generador de salida para la seguridad de servicios web:
Propiedad personalizada com.ibm.wsspi.wssecurity.config.request.setMustUnderstand

La propiedad personalizada com.ibm.wsspi.wssecurity.config.request.setMustUnderstand especifica el valor mustUnderstand en las solicitudes de cliente de salida. Si el valor de la propiedad se establece en cero (0), no o false, el atributo mustUnderstand no se establece en la cabecera de WS-Security en las solicitudes de cliente de salida.

Información Valor
Tipo de datos Serie
Valor Cero (0), no, false
Valor predeterminado true

En mensajes SOAP, el valor predeterminado para el atributo mustUnderstand es cero (0). De acuerdo con la especificación SOAP, si el valor previsto para el atributo es cero, el atributo no debe estar presente en el mensaje.

Avoid trouble Avoid trouble: Las instrucciones para establecer la propiedad com.ibm.wsspi.wssecurity.config.request.setMustUnderstand son las mismas que las instrucciones para establecer com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne y se muestran a continuación.gotcha
Propiedad personalizada com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne

La propiedad personalizada com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne especifica que el proveedor siempre debe responder con un atributo mustUnderstand="1" en la cabecera de seguridad SOAP. Si el valor se establece en uno (1), yes o true, el proveedor responde con el atributo mustUnderstand="1" en la cabecera de WS-Security. El valor predeterminado para el atributo es false.

Información Valor
Tipo de datos Serie
Valor Uno (1), yes o true
Valor predeterminado false

De forma predeterminada, la respuesta contiene el mismo atributo mustUnderstand que la solicitud. Por ejemplo, si la solicitud de entrada tiene mustUnderstand="1", la respuesta también incluye mustUnderstand="1". Si la solicitud de entrada no tiene ningún atributo mustUnderstand, la respuesta no incluye ningún atributo mustUnderstand.

Para aplicaciones JAX-WS, puede establecer las propiedades personalizadas com.ibm.wsspi.wssecurity.config.request.setMustUnderstand y com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne como propiedades personalizadas de salida o como propiedades personalizadas de entrada y de salida para los enlaces de conjuntos de políticas. Complete los pasos siguientes en la consola administrativa para establecer las propiedades personalizada:
  1. Expanda Servicios > Conjuntos de políticas.
  2. Pulse Enlaces de conjunto de políticas del proveedor general o Enlaces de conjunto de políticas del cliente general.
  3. Pulse el nombre_enlace.
  4. En la cabecera Política, pulse WS-Security > Propiedades personalizadas.
También puede establecer las propiedades personalizadas com.ibm.wsspi.wssecurity.config.request.setMustUnderstand y com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne como parámetros o como propiedades de enlace de salida en la aplicación utilizando la herramienta wsadmin. En setBinding se utilizan los siguientes nombres de propiedad del tipo de política WS-Security:
  • application.parameters
  • application.securityinboundbindingconfig.properties
Para aplicaciones JAX-RPC, puede especificar ambas propiedades en las siguientes ubicaciones de la consola administrativa:
  • Pulse Servidores > Tipos de servidor > Servidores de aplicaciones de WebSphere > nombre de servidor. En Seguridad, pulse Tiempo de ejecución de seguridad JAX-WS y JAX-RPC. En Enlaces de generador predeterminados JAX-RPC, pulse Propiedades.
  • Pulse Servidores > Tipos de servidor > Servidores de aplicaciones de WebSphere > nombre de servidor. En Seguridad, pulse Tiempo de ejecución de seguridad JAX-WS y JAX-RPC. En Propiedades personalizadas, pulse Propiedades personalizadas.

Si utiliza una herramienta de ensamblaje con una aplicación JAX-RPC WS-Security versión 1.0, puede establecer la propiedad personalizada com.ibm.wsspi.wssecurity.config.request.setMustUnderstand en la extensión o el enlace del generador de solicitudes de seguridad. Puede establecer la propiedad personalizada com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne en la extensión o el enlace del generador de respuestas. Un valor en el enlace prevalece sobre un valor en la extensión.

Si utiliza una herramienta de ensamblaje con una aplicación de nivel 13 de borrador de la especificación JAX-RPC WS-Security, puede establecer la propiedad personalizada com.ibm.wsspi.wssecurity.config.request.setMustUnderstand como parámetro en el enlace de nombre cualificado de puerto. Puede establecer la propiedad personalizada com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne como parámetro en el enlace de componente de puerto.

com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure

La propiedad personalizada com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure especifica si un almacén de confianza se pueden volver a cargar después del inicio de un servidor de aplicaciones.

Un almacén de confianza es un almacén de claves. De forma predeterminada, JAX-WS WS-Security no reconoce la renovación de los almacenes de claves mientras el servidor de aplicaciones está en ejecución. Por motivos de rendimiento, los almacenes de claves se almacenan en la memoria caché cuando se inicia cada aplicación. Debido a que la memoria caché la comparten las aplicaciones, incluso si se detiene una única aplicación sus almacenes de claves permanecen en la memoria caché. Por lo tanto, si un certificado de confianza, utilizado por un consumidor de señales X.509, se añade a un almacén de confianza después de que se inicie el servidor de aplicaciones, la validación de confianza falla.

Si establece la propiedad com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure en true, cuando se produzca una validación de confianza, el tiempo de ejecución de WS-Security volverá a cargar su almacén de confianza configurado e intentará realizar la validación de confianza una vez más. El almacén de confianza que se ha vuelto a cargar sólo se utiliza para este único intento de volver a realizar la validación. El objeto de almacén de claves en la memoria caché no se sustituye porque reemplazar el objeto del almacén de claves podría causar problemas de simultaneidad.

Si el segundo intento de validación falla, se devolverá un error de validación de confianza al cliente.

El valor predeterminado para esta propiedad es false.
Avoid trouble Avoid trouble: Esta propiedad se establece como una propiedad personalizada en el manejador de retorno de llamada para un consumidor de señales X.509, PKIPath o PKCS#7. Para establecer esta propiedad en la consola administrativa, pulse nombre_enlace > WS-Security > Autenticación y protección > nombre_señal > Manejador de retorno de llamada. Para una aplicación que utiliza la APi WSS de WS-Security, esta propiedad también se puede establecer en el manejador de retorno de llamada para los consumidores de señal que se han listados anteriormente.gotcha

com.ibm.wsspi.wssecurity.consumer.timestampRequired

La propiedad com.ibm.wsspi.wssecurity.consumer.timestampRequired especifica si se espera una indicación de la hora en la cabecera de seguridad para la respuesta cuando se seleccione el valor Incluir indicación de fecha y hora en la cabecera de seguridad para la política de WS-Security.

El tiempo de ejecución JAX-WS WS-Security se ha actualizado para que cumpla con el requisito de indicación de fecha y hora necesarias de la especificación OASIS WS-SecurityPolicy 1.2. Si desea configurar una aplicación para que no necesite una indicación de fecha y hora de entrada cuando se configura una indicación de fecha y hora de salida, puede añadir la propiedad personalizada com.ibm.wsspi.wssecurity.consumer.timestampRequired en los valores de seguridad de servicios web y establecer dicha propiedad en false. Cuando esta propiedad está establecida en false, aunque se haya seleccionado Incluir indicación de fecha y hora en la cabecera de seguridad como un valor para la política de WS-Security, no se espera una indicación de fecha y hora en la cabecera de seguridad para una respuesta.

El valor predeterminado de esta propiedad es true.

Avoid trouble Avoid trouble: En el panel de propiedades personalizadas, puede establecer esta propiedad como una entrada o una propiedad personalizada de entrada/salida. No es válida como propiedad personalizada de salida.gotcha
Información Valor
Tipo de datos Booleano
Valor predeterminado true

com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces

Esta propiedad personalizada, que es válida para aplicaciones JAX-RPC y JAX-WS, especifica si debe inhabilitarse la lista de prefijos de espacios de nombres inclusivos para las firmas digitales XML. De manera predeterminada, WebSphere Application Server incluye el prefijo en la firma digital para Web Services Security. Puede establecer esta propiedad personalizada en false si no desea establecer espacios de nombres inclusivos como elemento. Algunas implementaciones de Web Services Security no pueden manejar esta lista de prefijos. Si aparece un error de validación de signatura al enviar un mensaje SOAP firmado y utiliza otro proveedor en su entorno, póngase en contacto con el proveedor del servicio para saber si existe algún arreglo para su implementación antes de inhabilitar esta propiedad.

Para aplicaciones JAX-RPC, puede establecer la propiedad personalizada en la consola administrativa en la información de firma o como propiedad personalizada de Web Services Security en propiedades adicionales o en los enlaces de generador predeterminados o personalizados. Para obtener más información, consulte las secciones sobre propiedades adicionales y sobre el generador del tema Configuración de propiedades personalizadas para proteger servicios web. Para añadir la propiedad personalizada a la información de firma, siga estos pasos:
  1. Pulse Aplicaciones > Aplicaciones de empresa > nombre_aplicación.
  2. Pulse Gestionar módulos > nombre_módulo.
  3. En Propiedades de seguridad de servicios web, pulse Servicios web: Enlaces de seguridad de cliente o Servicios web: Enlaces de seguridad de servidor.
  4. En Enlace de generador de solicitudes (remitente) o Enlace de generador de respuestas (remitente), pulse Editar personalizado.
  5. En Propiedades necesarias, pulse Información de firmas > nombre_información_firmas > Propiedades.
  6. Especifique la propiedad personalizada y su valor.
Para aplicaciones JAX-WS, puede configurar esta propiedad personalizada en la información de firma de salida. Para configurar la propiedad personalizada, siga los pasos siguientes:
  1. Pulse Servicios > Clientes de servicio o Servicios > Proveedores de servicios.
  2. Pulse nombre_servicio > nombre_enlace.
  3. En Política, pulse WS-Security
  4. En Enlaces de política de seguridad de mensajes, pulse Autenticación y protección .
  5. En Signatura de Protección de cifrado y firma de mensaje de solicitud o en Protección de cifrado y firma de mensaje de respuesta, pulse signature_message_part_reference. Al pulsar en el nombre signature_message_part_reference, accede a la configuración para el enlace de la parte del mensaje firmada.
  6. Especifique la propiedad personalizada y su valor.

com.ibm.wsspi.wssecurity.dsig.oldEnvelopedSignature

Utilice esta propiedad junto con la propiedad personalizada JVM com.ibm.wsspi.wssecurity.dsig.enableEnvelopedSignatureProperty para indicar al tiempo de ejecución de WS-Security que desea que el tiempo de ejecución de WS-Security calcule el valor de numeración tal como lo hacían las versiones 7.0.0.21 y anteriores para la creación de salidas de Firma digital XML o la verificación de entrada. Para obtener más información, consulte las propiedades de la máquina virtual de Java™ (JVM) si desea una descripción de cuándo puede utilizar esta propiedad personalizada JVM.

Esta propiedad se especifica como una propiedad personalizada de entrada, de salida o de entrada y salida para los enlaces de conjuntos de políticas de WS-Security.

com.ibm.wsspi.wssecurity.enc.MTOM.Optimize

Establezca el valor de esta propiedad personalizada en true para utilizar MTOM (Message Transmission Optimization Mechanism) para el texto de cifrado de los datos cifrados. Esta propiedad se establece en los enlaces de política de WS-Security en las partes cifradas de salida para las solicitudes del cliente o las respuestas del servidor.

com.ibm.wsspi.wssecurity.generator.useWSSObject

Esta propiedad personalizada determina cómo crea el tiempo de ejecución de WS-Security la cabecera de seguridad SOAP que se envía en un mensaje SOAP de salida. De forma predeterminada, el tiempo de ejecución utiliza una vía de acceso rápida utilizando representaciones de objeto WSS (web services security - seguridad de servicios web) internas para crear la cabecera de seguridad. Alternativamente, se puede utilizar el tiempo de ejecución Axis2 y objetos para construir la cabecera de seguridad.

Esta propiedad se establece en los enlaces del conjunto de políticas WS-Security como una propiedad personalizada de salida o una propiedad personalizada de entrada y salida. Esta propiedad se puede establecer en true o false. Cuando esta propiedad se establece en true, se utilizan los objetos de WSS para crear la cabecera de seguridad. Cuando esta propiedad se establece en false, se utilizan los objetos Axis2 para crear la cabecera de seguridad.

Cuando se utiliza tanto la política WS-Security como WS-Addressing para mensajes de entrada y de salida, puede producirse un problema si el cuerpo del elemento aparece en el elemento de cabecera del mensaje SOAP de salida. Si se produce este error, establezca la propiedad personalizada com.ibm.wsspi.wssecurity.generator.useWSSObject en false.

El valor predeterminado es true.

com.ibm.wsspi.wssecurity.krbtoken.clientRealm

Esta propiedad personalizada de generador de señal Kerberos de JAX-WS especifica el nombre del dominio Kerberos asociado al cliente y permite que el dominio de cliente Kerberos inicie la sesión en Kerberos.

Esta propiedad es opcional para un entorno de dominio Kerberos individual; la propiedad tomará de forma predeterminada el nombre de dominio Kerberos predeterminado. Cuando se implementa la seguridad de servicios Web en un entorno de dominio Kerberos cruzado o de confianza, debe proporcionar un valor para esta propiedad.

Esta propiedad se establece como una propiedad personalizada en el manejador de devolución de llamada de un generador de señales Kerberos. Para establecer la propiedad en la consola administrativa, pulse nombre_enlace > WS-Security > Autenticación y protección > nombre_señal_kerberos > Manejador de devolución de llamada. Para una aplicación que utiliza la API WSS de WS-Security, esta propiedad también se puede establecer en el manejador de devolución de llamada de Kerberos para el generador de señales.

com.ibm.wsspi.wssecurity.krbtoken.loginPrompt

Establezca esta propiedad personalizada del generador de señales Kerberos de JAX-WS en true para habilitar el inicio de sesión de Kerberos.

Esta propiedad se establece como una propiedad personalizada en el manejador de devolución de llamada de un generador de señales Kerberos. Para establecer la propiedad en la consola administrativa, pulse nombre_enlace > WS-Security > Autenticación y protección > nombre_señal_kerberos > Manejador de devolución de llamada. Para una aplicación que utiliza la API WSS de WS-Security, esta propiedad también se puede establecer en el manejador de devolución de llamada de Kerberos para el generador de señales.

El valor predeterminado para esta propiedad es false.

com.ibm.wsspi.wssecurity.login.useSoap12FaultCodes

La propiedad personalizada com.ibm.wsspi.wssecurity.login.useSoap12FaultCodes especifica si el tiempo de ejecución de WS-Security está actualizada para que emita el código de error SOAP 1.2 adecuado cuando se devuelve un error como respuesta a un mensaje SOAP 1.2.

Cuando esta propiedad está establecida en true, el tiempo de ejecución de WS-Security devuelve un código de error SOAP 1.2 como respuesta un mensaje SOAP 1.2.

Cuando esta propiedad está establecida en false, el tiempo de ejecución de WS-Security devuelve un código de error SOAP 1.1 como respuesta un mensaje SOAP 1.2.

El valor predeterminado de esta propiedad es true.

Esta propiedad se debe establecer como una propiedad personalizada WS-Secrutiy Inbound o Inbound y Outbound para un enlace específico.

A continuación se muestra un ejemplo de un erro SOAP 1.2 válido que se devuelve cuando esta propiedad está establecida en true:
<?xml version="1.0" encoding="UTF-8"?>
<soapenv:Envelope xmlns:soapenv=" http://www.w3.org/2003/05/soap-envelope"> 
  <soapenv:Body>
    <soapenv:Fault>         <soapenv:Code> 
        <soapenv:Value>soapenv:Sender</soapenv:Value>
        <soapenv:Subcode>
          <soapenv:Value xmlns:axis2ns1="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
            axis2ns1:FailedAuthentication</soapenv:Value>
        </soapenv:Subcode> 
      </soapenv:Code> 
      <soapenv:Reason> 
        <soapenv:Text>CWWSS6521E: The Login failed because  
          of an exception: javax.security.auth.login.LoginException:  
          CWWSS7062E: Failed to check username [user1] and password in  
          the UserRegsitry: WSSUserRegistryProcessor.checkRegistry()=false 
        </soapenv:Text> 
      </soapenv:Reason> 
      <soapenv:Detail></soapenv:Detail> 
    </soapenv:Fault> 
  </soapenv:Body> 
</soapenv:Envelope>

com.ibm.wsspi.wssecurity.nonce.includeEncodingType

Esta propiedad personalizada JAX-WS se añade al tiempo de ejecución de WebSphere WS-Security para indicar que debe añadirse un atributo EncodingType a los elementos Nonce. Cuando se establece esta propiedad personalizada en true, el atributo EncodingType se añade a todos los elementos Nonce en la cabecera de seguridad SOAP.

Los valores válidos para esta propiedad son true y false. El valor predeterminado es false. Esta propiedad es una propiedad personalizada de WS-Security, que se especifica en los enlaces de WS-Security en las ubicaciones siguientes:
  • Propiedades personalizadas de salida
  • Propiedades personalizadas de entrada y de salida

com.ibm.wsspi.wssecurity.token.cert.useRequestorCert

Cuando esta propiedad personalizada JAX-WS se establece en true, se utiliza el certificado del firmante de la solicitud SOAP para cifrar la respuesta SOAP. Este proceso se denomina cifrado de certificado de firmante.

Esta propiedad se establece como una propiedad personalizada en el manejador de devolución de llamada del generador de señales de cifrado. Para establecer la propiedad en la consola administrativa, pulse nombre_enlace > WS-Security > Autenticación y protección > nombre_señal > Manejador de devolución de llamada. Para una aplicación que utiliza la API WSS de WS-Security, esta propiedad también se puede establecer en el manejador de devolución de llamada para el generador de señales.

El valor predeterminado para esta propiedad es false.

com.ibm.wsspi.wssecurity.token.enableCaptureTokenContext

Esta propiedad indica si un consumidor de señal o un generador de señales está habilitado para obtener su señal de tokenHolder en el contexto del mensaje.

Esta propiedad sólo es válida para aplicaciones JAX-WS.

Los valores válidos para esta propiedad son true y false. El valor predeterminado es false.

Para configurar esta propiedad, en la consola administrativa:
  1. Expanda Servicios > Conjuntos de políticas.
  2. Pulse Enlaces de conjunto de políticas del proveedor general o Enlaces de conjunto de políticas del cliente general.
  3. Pulse el nombre del enlace.
  4. En la cabecera Política, pulse WS-Security > Autenticación y protección > nombreSeñal > Manejador de devolución de llamada.
  5. Añada esta propiedad y su valor en los campos Nombre y Valor de Propiedades personalizadas.

com.ibm.wsspi.wssecurity.token.enableCaptureTokenInboundMsg

Esta propiedad indica si un a consumidor de señal o un generador de señales está habilitado para obtener su señal del conjunto de SecurityTokens en el mensaje de entrada. Si hay más de una señal en el mensaje de entrada que coincida con el tipo de valor del generador de señales, la señal seleccionada será indeterminada.

Esta propiedad sólo es válida para aplicaciones JAX-WS.

Los valores válidos para esta propiedad son true y false. El valor predeterminado es false.

Para obtener más información sobre la lista tokenHolder, consulte la información sobre passThroughToken en com.ibm.wsspi.wssecurity.core.config.IssuedTokenConfigConstants.

Para configurar esta propiedad, en la consola administrativa:
  1. Expanda Servicios > Conjuntos de políticas.
  2. Pulse Enlaces de conjunto de políticas del proveedor general o Enlaces de conjunto de políticas del cliente general.
  3. Pulse el nombre del enlace.
  4. En la cabecera Política, pulse WS-Security > Autenticación y protección > nombreSeñal > Manejador de devolución de llamada.
  5. Añada esta propiedad y su valor en los campos Nombre y Valor de Propiedades personalizadas.

com.ibm.wsspi.wssecurity.token.forwardable

Cuando configure los enlaces del consumidor SecurityToken para el modelo de programación JAX-WS, utilice esta propiedad personalizada para especificar si la señal que se recibe se propaga a otros servidores. Si especifica un valor de true para esta propiedad, habilita esta señal para la propagación a otros servidores. Si especifica un valor de false para esta propiedad, la señal no se propagará a otros servidores. El valor predeterminado es true, y el valor no es sensible a las mayúsculas y minúsculas.

com.ibm.wsspi.wssecurity.token.IDAssertion.isUsed

Esta propiedad está pensada para ser utilizada en una situación de aserción de identidad. Establezca esta propiedad en true en la configuración del manejador de devolución de llamada para la señal de identidad.

Cuando esta propiedad se establece en true en un generador de UsernameToken, permite al generador para emitir un UsernameToken sin una contraseña. El resto de la configuración de aserción de identidad no es necesaria para utilizar esta propiedad con el generador o consumidor UsernameToken.

Información Valor
Tipo de datos Serie
Valores true, false
Valor predeterminado false

com.ibm.wsspi.wssecurity.token.IDAssertion.useRunAsIdentity

Esta propiedad es utilizada por el generador de UsernameToken. Cuando esta propiedad se establece en true en el manejador de devolución de llamada para el generador de UsernameToken, el nombre de principal del sujeto RunAs actual se utilizará como el nombre de usuario en UsernameToken. Cuando esta propiedad se establece en true, la seguridad base debe estar habilitada y se debe establecer un asunto runAs en la hebra actual de ejecución para definir un nombre de usuario no nulo en UsernameToken.

IDAssertion.useRunAsIdentity=true requiere establecer también IDAssertion.isUsed=true.

Información Valor
Tipo de datos Serie
Valores true, false
Valor predeterminado false

com.ibm.wsspi.wssecurity.token.username.addNonce y com.ibm.wsspi.wssecurity.token.username.addTimestamp

Al configurar una señal de nombre de usuario para el modelo de programación JAX-WS, si desea protección contra ataques de reproducción, se recomienda encarecidamente que añada las propiedades personalizadas com.ibm.wsspi.wssecurity.token.username.addNonce y com.ibm.wsspi.wssecurity.token.username.addTimestamp a la configuración del manejador de retorno de llamadas para la generación de señales. Estas propiedades personalizadas habilitan y verifican el valor nonce y la indicación de fecha y hora por lo que respecta a la autenticación de mensajes. El valor de las propiedades se debe establecer en true.

com.ibm.wsspi.wssecurity.token.username.emitPasswordDigest

Esta propiedad permite a UNTGenerateLoginModule resumir la contraseña y emitir un PasswordType de #PasswordDigest, en lugar de #PasswordText para UsernameToken.

Para configurar esta propiedad, en la consola administrativa:
  1. Pulse Expandir servicio > Conjuntos de políticas.
  2. Pulse Enlaces de conjunto de políticas del proveedor general o Enlaces de conjunto de políticas del cliente general.
  3. Pulse el nombre del enlace.
  4. En el valor Política, pulse WS-Security > Autenticación y protección > nombreSeñal > Manejador de retorno de llamada > .
  5. Añada esta propiedad y su valor en los campos Nombre de propiedad personalizada y Valor.
Información Valor
Valores true, false
Valor predeterminado false

com.ibm.wsspi.wssecurity.token.username.password.forwardable

Cuando configure los enlaces del consumidor UsernameToken para el modelo de programación JAX-WS, utilice esta propiedad personalizada para especificar si la contraseña se propaga junto con el UsernameToken a otros servidores durante la propagación de UsernameToken. Si especifica un valor de true para esta propiedad, la contraseña se conserva durante la propagación. Si especifica un valor de false para esta propiedad, la contraseña se debe eliminar antes de la propagación de UsernameToken. El valor predeterminado es true, y el valor no es sensible a las mayúsculas y minúsculas.

com.ibm.wsspi.wssecurity.token.username.verifyNonce y com.ibm.wsspi.wssecurity.token.username.verifyTimestamp

Al configurar una señal de nombre de usuario para el modelo de programación JAX-WS, si desea protección contra ataques de reproducción, se recomienda encarecidamente que añada las propiedades personalizadas, com.ibm.wsspi.wssecurity.token.username.verifyNonce y com.ibm.wsspi.wssecurity.token.username.verifyTimestamp a la configuración del manejador de retorno de llamadas para el consumidor de señales. Estas propiedades personalizadas habilitan y verifican el valor nonce y la indicación de fecha y hora por lo que respecta a la autenticación de mensajes. El valor de las propiedades se debe establecer en true.

com.ibm.wsspi.wssecurity.token.UsernameToken.digestPasswordCallbackHandler

Esta propiedad personalizada define una clase de manejador de devolución de llamada personalizada para su uso en un consumidor de UsernameToken que procesa un PasswordType igual a #PasswordDigest. El manejador de retorno de llamada debe estar disponible para la aplicación y debe implementar la interfaz javax.security.auth.callback.CallbackHandler. El valor del elemento Username en un consumidor de UsernameToken se pasa al manejador de devolución de llamada en un objeto javax.security.auth.callback.NameCallback. La contraseña que está asociada con el nombre de usuario se devuelve en un objeto javax.security.auth.callback.PasswordCallback. La contraseña que se devuelve se resume y se compara con el valor de contraseña en el consumidor de señales de nombre de usuario.

Esta propiedad se configura como una propiedad personalizada de manejador de devolución de llamada de UsernameToken. Para obtener más información, consulte Consumo de una UsernameToken con PasswordDigest.

com.ibm.wsspi.wssecurity.token.UsernameToken.disableUserRegistryCheck

Esta propiedad permite que se omita la comprobación del registro de usuarios para las señales de identidad en JAX-WS. Esto significa que el nombre de usuario asociado a la señal de identidad de un caso de aserción de identidad puede pasar por el UNTConsumeLoginModule sin generar un error de registro. Normalmente una señal de identidad no debe contener una contraseña y puede haber o no una señal de confianza. Por ejemplo, podría haber una confianza ciega.

Esta propiedad no afecta a ningún UsernameToken que contenga una contraseña.

Si necesita omitir la comprobación de un UsernameToken que contiene una contraseña en el registro, consulte el tema "Sustitución del método de autenticación del consumidor UsernameToken utilizando un módulo de inicio de sesión JAAS apilado". Si se necesita una configuración de interlocutor para UsernameToken, consulte el tema Configuración de un interlocutor UsernameToken sin interacción de registro.

Cuando la propiedad se establece en true, el UNTConsumeLoginModule no valida el UsernameToken de entrada si, y sólo si, el UsernameToken no contiene una contraseña.

Los valores válidos para esta propiedad son true y false. El valor predeterminado es false.

Para configurar esta propiedad, en la consola administrativa:
  1. Expanda Servicios > Conjuntos de políticas.
  2. Pulse Enlaces de conjunto de políticas del proveedor general o Enlaces de conjunto de políticas del cliente general.
  3. Pulse el nombre del enlace.
  4. En la cabecera Política, pulse WS-Security > Autenticación y protección > nombreSeñal > Manejador de devolución de llamada.
  5. Añada esta propiedad y su valor en los campos Nombre y Valor de Propiedades personalizadas.

com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule.disableUserRegistryCheck

Esta propiedad permite pasar por alto la comprobación del registro de usuarios para UsernameTokens en JAX-RPC. Esto significa que el nombre de usuario pasará a través de UsernameLoginModule sin generar un error de registro.

Los valores válidos para esta propiedad son true y false. El valor predeterminado es false.

Esta propiedad se puede añadir a las propiedades personalizadas del módulo com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule en la configuración de JAAS wssecurity.UsernameToken o en las propiedades personalizadas de la configuración de JAAS del consumidor UsernameToken para la aplicación de proveedor.

Nota: Para obtener más información sobre cómo especificar esta propiedad, consulte el tema "Desarrollo de aplicaciones de servicios web" para utilizar un UsernameToken sin interacción con el registro.

com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7

La seguridad de servicios web tiene soporte para señales LTPA (versión 1) y LTPA versión 2 (LTPA2). La señal LTPA2, que es más segura que la Versión 1, sólo es compatible con el motor de ejecución de JAX-WS. Puede establecer la opción de interoperatividad Forzar versión de señal en el generador de señales para determinar si se recuperará una señal LTPA (Versión 1) o una señal LTPA2 cuando se reciba un mensaje de solicitud. No obstante, si desea forzar el tiempo de ejecución para utilizar sólo señales LTPA (Versión 1), puede establecer la propiedad personalizada com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 en true

Para habilitar esta propiedad personalizada, complete los pasos siguientes en la consola administrativa:
  1. Localice el enlace que desea configurar.
  2. Pulse la política WS-Security en la tabla de políticas.
  3. Pulse en el vínculo Autenticación y protección en la sección de enlaces de política de seguridad.
  4. Pulse el generador de señales que desee configurar.
  5. Especifique com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 en true en la sección Propiedades personalizadas.
En la tabla siguiente se explica cómo las combinaciones de esta propiedad personalizada y la opción de interoperatividad Forzar versión de señal afectan al tiempo de ejecución.
Tabla 1. Interoperatividad LTPA. Tabla de valores de la propiedad personalizada com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 y la opción de interoperatividad Forzar versión de señal.
Valor de la propiedad personalizada com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 Valor de Forzar versión de señal Resultado
false Inhabilitado El tiempo de ejecución puede utilizar señales LTPA (Versión 1) y LTPA2.
No especificado, lo que implica un valor false Inhabilitado El tiempo de ejecución puede utilizar señales LTPA (Versión 1) y LTPA2.
true Inhabilitado El tiempo de ejecución puede utilizar sólo señales LTPA (Versión 1).
true Habilitada El tiempo de ejecución puede utilizar sólo señales LTPA (Versión 1).

Para obtener más información, consulte la documentación acerca de cómo habilitar o inhabilitar la modalidad de interoperatividad de inicio de sesión único para la señal LTPA.

com.ibm.wsspi.wssecurity.useMTOMWithCustomComponents

Establezca esta propiedad personalizada JAX-WS en true si los mensajes que incluyen MTOM contienen erróneamente datos base64Binary en el documento XML. Cuando esta propiedad se establece en true, el motor de ejecución de WS-Security no expande y recoge elementos de documento prematuramente. Esta propiedad se especifica como propiedad personalizada Saliente, o Entrante y Saliente en los enlaces de conjunto de políticas de WS-Security. El valor predeterminado para esta propiedad es false.


Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_customproperties
File name: rwbs_customproperties.html