Este procedimiento describe cómo configurar el conjunto de políticas y los enlaces de seguridad WS de nivel de mensaje para consumir una señal LTPA, una señal de nombre de usuario o ambos. Este procedimiento se puede modificar para aplicarse a cualquier par de tipos de valor de señal diferentes. No puede crear una configuración que hará que una señal sea necesaria y la otra opcional.
Antes de empezar
En esta tarea se presupone que el proveedor y el cliente del servicio que está configurando están en la aplicación JaxWSServicesSamples.
Consulte Acceso a los ejemplos para obtener más información sobre cómo obtener e instalar esta aplicación. Debe utilizar la especificación de rastreo siguiente en el servidor. Estas especificaciones le permiten depurar cualquier futuro problema de configuración que pueda producirse.
*=info:com.ibm.wsspi.wssecurity.*=all:com.ibm.ws.webservices.wssecurity.*=all:
com.ibm.ws.wssecurity.*=all: com.ibm.xml.soapsec.*=all: com.ibm.ws.webservices.trace.*=all:
com.ibm.ws.websvcs.trace.*=all:com.ibm.ws.wssecurity.platform.audit.*=off:
Puesto que las señales LTPA se utilizarán, la seguridad de aplicación debe estar habilitada en los servidores de aplicaciones utilizados para el cliente y el servicio.
Acerca de esta tarea
Este procedimiento explica las acciones que debe realizar para configurar una política WS-Security para consumir una señal LTPA, una señal de nombre de usuario o ambas. Normalmente esta configuración se utiliza en una aplicación de proveedor. Para simplificar, este procedimiento eliminará la indicación de la hora, la firma digital y el cifrado de la política; es recomendable que los incluya en la configuración final. Consulte Configuración de un conjunto de políticas y enlaces para la firma digital XML asimétrica y/o el cifrado XML para obtener más información.
Este procedimiento también incluye los pasos para configurar una aplicación cliente para enviar un UsernameToken o una señal LTPA.
Procedimiento
- Cree el conjunto de políticas personalizado para el proveedor.
- En la consola administrativa, pulse Servicios >
Conjuntos de políticas.
- Pulse Nuevo.
- Specify Name = AtwoTokenPolicy.
- Pulse Aplicar.
- En Políticas, pulse Añadir > WS-Security.
- Edite el conjunto de políticas personalizado.
- Elimine la firma digital, el cifrado y la indicación de la hora.
- En la consola administrativa, pulse WS-Security
> Política principal.
- Desmarque la protección de nivel de mensaje.
- Pulse Aplicar.
- Añada UsernameToken y la señal LTPA.
- Pulse Solicitar políticas de señal.
- Pulse Añadir tipo de señal > LTPA.
- Nombre de señal LTPA: myLTPA
- Pulse Aceptar.
- Pulse Añadir tipo de señal > Nombre de usuario.
- Nombre de señal de nombre de usuario: myUNT.
- Pulse Aceptar.
- Guarde la configuración.
- Pulse Guardar.
- Configure el proveedor para utilizar el conjunto de políticas AtwoTokenPolicy.
- En la consola administrativa, pulse Aplicaciones >
Tipos de aplicación > Aplicaciones de empresa de WebSphere > JaxWSServicesSamples
> Conjuntos de políticas y enlaces de proveedor de servicio.
- Seleccione el recurso de cliente de servicios web.
- Seleccione el recurso de proveedor de servicios web.
- Pulse Conectar conjunto de políticas.
- Seleccione AtwoTokenPolicy.
- Cree un enlace personalizado para el proveedor.
- Vuelva a seleccionar el recurso de proveedor de servicios web.
- Pulse Asignar enlace.
- Pulse Nuevo enlace específico de la aplicación para crear un enlace específico de la aplicación.
- Especifique Nombre de configuración de enlaces:providerBinding.
- Pulse Añadir > WS-Security.
- Edite los enlaces personalizados para el proveedor.
- Para añadir una configuración de interlocutor para la señal LTPA :
- Pulse Interlocutor.
- Pulse Nuevo.
- Nombre: ltpaCaller
- Parte local de identidad de llamante: LTPAv2
- URI del espacio de nombres de la identidad del llamante: http://www.ibm.com/websphere/appserver/tokentype
- Pulse Aceptar.
- Para añadir una configuración de interlocutor para UsernameToken
- Pulse Nuevo.
- Nombre: untCaller
- Parte local de identidad de llamante: http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
- URI de espacio de nombres de identidad del llamante: [dejar en blanco]
- Pulse Aceptar.
Nota: Asegúrese de que las señales tienen la prioridad deseada. Puede
haber una sola identidad de interlocutor para la hebra.
Si existe más de una señal en el mensaje SOAP entrante para el cual
hay configuraciones de interlocutor, se utiliza la configuración de
interlocutor con el número de orden más bajo. Si el orden que se muestra en
el campo Orden de la tabla no es el orden deseado, siga estos pasos:
- Seleccione la señal que desea que tenga prioridad.
- Pulse Subir hasta que el número de orden sea 1.
- Repita este procedimiento utilizando Subir y Bajar para conseguir el orden deseado.
- Pulse Guardar para guardar la configuración.
- Cree un conjunto de políticas que tenga solo un UsernameToken en el mensaje de solicitud del cliente
- En la consola administrativa, pulse Servicios >
Conjuntos de políticas.
- Pulse Nuevo.
- Especifique el nombre = AUntPolicy
- Pulse Aplicar.
- En Políticas, pulse Añadir > WS-Security.
- Elimine la firma digital, el cifrado y la indicación de la hora.
En la consola administrativa:
- Pulse WS-Security > Política principal.
- Desmarque la protección de nivel de mensaje.
- Pulse Aplicar
- Añada UsernameToken.
- Pulse Solicitar políticas de señal.
- Pulse Añadir tipo de señal > Nombre de usuario.
- Nombre de señal de nombre de usuario: myUNT.
- Pulse Aceptar.
- Guarde la configuración. Pulse Guardar.
- Cree un conjunto de políticas que tenga solo una señal LTPA en el mensaje de solicitud del cliente.
- En la consola administrativa, pulse Servicios >
Conjuntos de políticas.
- Pulse Nuevo.
- Especifique el nombre = AnLTPAPolicy
- Pulse Aplicar.
- En Políticas, pulse Añadir > WS-Security.
- Elimine la firma digital, el cifrado y la indicación de la hora.
En la consola administrativa:
- Pulse WS-Security > Política principal.
- Desmarque la protección de nivel de mensaje.
- Pulse Aplicar
- Añada la señal LTPA.
- Pulse Solicitar políticas de señal.
- Pulse Añadir tipo de señal > LTPA.
- Nombre de señal LTPA: myLTPA.
- Pulse Aceptar.
- Guarde la configuración. Pulse Guardar.
- Realice los pasos siguientes para configurar el cliente para utilizar la política UsernameToken y crear enlaces:
- Configure el cliente para utilizar el conjunto de políticas AUntPolicy.
- En la consola administrativa, pulse Aplicaciones >
Tipos de aplicación > Aplicaciones empresariales de WebSphere > JaxWSServicesSamples
> Conjunots de políticas y enlaces de cliente de servicio.
- Seleccione el recurso de cliente de servicios web.
- Pulse Conectar conjunto de políticas.
- Seleccione AUntPolicy.
- Cree un enlace personalizado para el cliente.
- Vuelva a seleccionar el recurso de servicios web.
- Pulse Asignar enlace.
- Pulse Nuevo enlace específico de la aplicación para crear un enlace específico de la aplicación.
- Especifique el nombre de configuración de los enlaces. name: untClientBinding.
- Pulse Añadir > WS-Security.
- Configure los enlaces personalizados del cliente.
- Seleccione Autenticación y protección.
- En Señales de autenticación, seleccione myUNT.
- Pulse Aplicar.
- Pulse Manejador de retorno de llamada.
- Escriba su nombre de usuario y la contraseña deseados.
- Añada las propiedades personalizadas para nonce y timestamp: Puesto que el consumidor UsernameToken no se ha configurado durante la configuración de enlace personalizado en el proveedor, el tiempo de ejecución utilizará los enlaces generales predeterminados para la configuración UsernameToken. El consumidor UsernameToken en el enlace general por omisión requiere que la indicación de la hora y Nonce se envíen en la señal de nombre de usuario, por lo tanto, las propiedades para emitir estos elementos deben especificarse:
* com.ibm.wsspi.wssecurity.token.username.addTimestamp=true
* com.ibm.wsspi.wssecurity.token.username.addNonce=true
- Pulse Aceptar.
- Guarde la configuración.
- Pulse Guardar.
- Realice los pasos siguientes para configurar el cliente para utilizar la política UsernameToken y crear enlaces:
- Configure el cliente para utilizar el conjunto de AnLTPAPolicypolicy.
- En la consola administrativa, pulse Aplicaciones >
Tipos de aplicación > Aplicaciones empresariales de WebSphere > JaxWSServicesSamples
> Conjunots de políticas y enlaces de cliente de servicio.
- Seleccione el recurso de cliente de servicios web.
- Pulse Conectar conjunto de políticas.
- Seleccione AnLTPAPolicy.
- Cree un enlace personalizado para el cliente.
- Vuelva a seleccionar el recurso de servicios web.
- Pulse Asignar enlace.
- Pulse Nuevo enlace específico de la aplicación para crear un enlace específico de la aplicación.
- Especifique el nombre de configuración de los enlaces. name: ltpaClientBinding.
- Pulse Añadir > WS-Security.
- Configure los enlaces personalizados del cliente.
- Seleccione Autenticación y protección.
- En Señales de autenticación, seleccione myLTPA.
- Pulse Aplicar.
- Pulse Manejador de retorno de llamada.
- Escriba su nombre de usuario y la contraseña deseados.
- Pulse Aceptar.
- Guarde la configuración.
- Pulse Guardar.