Configuración de consumidores de señales mediante JAX-RPC para proteger la autenticidad de los mensajes en el nivel de servidor o célula
Se utiliza el consumidor de señales a nivel de servidor o de célula para especificar la información que es necesaria para procesar la señal de seguridad si no está definida a nivel de aplicación.
Antes de empezar
Debe saber que la información de almacén de claves/alias que proporcione para el generador y la información del almacén de claves/alias que proporcione para el consumidor se utilizan con fines distintos. La principal diferente se aplica a alias para un manejador de retorno de llamada de X.509.
Cuando se utiliza en asociación con un consumidor de cifrado, el alias suministrado para el consumidor se utiliza para recuperar la clave privada para descifrar el mensaje. Es necesaria una contraseña. Cuando se asocia con un consumidor de firmas, el alias suministrado para el consumidor se utiliza estrictamente para recuperar la clave pública que se utiliza para resolver un certificado X.509 que no se pasa en la cabecera de seguridad SOAP como BinarySecurityToken. No es necesaria una contraseña.
Acerca de esta tarea
Puede configurar los consumidores de señales en los niveles de servidor y de célula. En los pasos siguientes, utilice el primer paso para acceder a los enlaces predeterminados de nivel de servidor y utilice el segundo paso para acceder a los enlaces de nivel de célula.
Procedimiento
- Acceda a los enlaces predeterminados para el nivel de servidor.
- Pulse Servidores > Tipos de servidor > WebSphere Application Servers > nombre_servidor.
- En Seguridad, pulse Tiempo de ejecución de seguridad JAX-WS y JAX-RPC.
Mixed-version environment: En una célula de nodo mixto con un WebSphere Application Server versión 6.1 o anterior, pulse Servicios web: enlaces predeterminados para Web Services Security.mixv
- Pulse Seguridad > Servicios Web para acceder a los enlaces predeterminados en el nivel de célula.
- En Enlaces de consumidor predeterminados, pulse Consumidores de señales.
- Pulse Nuevo para crear una configuración de consumidor de señales, pulse Suprimir para suprimir una configuración existente o pulse el nombre de una configuración de consumidor de señales existente para editar sus valores. Si crea una configuración nueva, especifique un nombre exclusivo para la configuración del consumidor de señales en el campo Nombre de consumidor de señales. Por ejemplo, puede especificar sig_tcon. Este campo especifica el nombre del elemento consumidor de señales.
- Especifique un nombre de clase en el campo Nombre de clase del consumidor de señales. La implementación del módulo de inicio de sesión JAAS (Java™ Authentication and Authorization Service) se utiliza para validar (autenticar) la señal de seguridad del cliente. Restricción: La interfaz com.ibm.wsspi.wssecurity.token.TokenConsumingComponent no se utiliza con los servicios web de JAX-WS. Si está utilizando los servicios web JAX-RPC, esta interfaz continúa siendo válida.
El nombre de clase del consumidor de señales debe ser similar al nombre de clase del generador de señales.
Por ejemplo, si la aplicación necesita un consumidor de señales de certificados X.509, puede especificar el nombre de clase com.ibm.wsspi.wssecurity.token.X509TokenGenerator en el panel Generador de señales y el nombre de clase com.ibm.wsspi.wssecurity.token.X509TokenConsumer en este campo. WebSphere Application Server proporciona las siguientes implementaciones de clase de consumidor de señales predeterminado:- com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer
- Esta implementación integra una señal de nombre de usuario.
- com.ibm.wsspi.wssecurity.token.X509TokenConsumer
- Esta implementación integra una señal de certificado X.509.
- com.ibm.wsspi.wssecurity.token.LTPATokenConsumer
- Esta implementación integra una señal LTPA (Lightweight Third Party Authentication).
- com.ibm.wsspi.wssecurity.token.IDAssertionUsernameTokenConsumer
- Esta implementación integra una señal IDAssertionUsername.
No existe una clase de generador de señales correspondiente para esta implementación.
- Seleccione una opción de vía de acceso de certificado. La
vía de acceso de certificado especifica la lista de revocación de certificados (CRL)
que se utiliza para generar una señal de seguridad incorporada en un PKCS número 7
con una CRL. WebSphere Application Server proporciona las siguientes
opciones de vía de acceso de certificado:
- Ninguno
- Si selecciona esta opción, la vía de acceso del certificado no se especifica.
- Confiar en cualquiera
- Si selecciona esta opción, la vía de acceso del certificado es de confianza. Cuando se consume la señal recibida, no se procesa la validación de vía de acceso del certificado.
- Información de firmas dedicada
- Si selecciona esta opción, puede especificar un ancla de confianza y un almacén de certificados. Cuando selecciona el ancla de confianza o el almacén de certificados de un certificado de confianza, debe configurar el almacén de certificados de colecciones antes de establecer la vía de acceso del certificado. Para definir un almacén de certificados de colecciones a nivel de servidor o de célula, consulte Configuración del certificado de colecciones a nivel de servidor o de célula.
- Seleccione un ancla de confianza en el campo Ancla de confianza. WebSphere Application Server proporciona dos anclas de confianza de ejemplo. No obstante, para un entorno de producción, se recomienda configurar sus propias anclas de confianza. Para obtener información sobre cómo configurar un ancla de confianza, consulte Configuración de anclas de confianza a nivel de servidor o de célula.
- Seleccione un almacén de certificados de colecciones en el campo Almacén de certificados. WebSphere Application Server proporciona un almacén de certificados de colecciones de ejemplo. Si selecciona Ninguno, no se especifica el almacén de certificados de colecciones. Para obtener información sobre cómo especificar una lista de almacenes de certificados que contienen los archivos de certificados de intermediarios que no son de confianza y están a la espera de ser validados, consulte Configuración de los evaluadores de ID de confianza a nivel de servidor o de célula.
- Seleccione un evaluador de ID de confianza en el campo Referencia de evaluación de ID de confianza. Este campo especifica una referencia con el nombre de clase del evaluador de ID de confianza que se ha definido en el panel Evaluadores de ID de confianza. El evaluador de ID de confianza se utiliza para evaluar si el ID recibido es de confianza. Si selecciona Ninguno, no se hace ninguna referencia al evaluador de ID de confianza en esta configuración de consumidor de señales. Para configurar un evaluador de ID de confianza, consulte Configuración de los evaluadores de ID de confianza a nivel de servidor o de célula.
- Seleccione la opción Verificar Nonce si se incluye un Nonce en una señal de nombre de usuario en el generador. Nonce es un número criptográfico exclusivo que se incorpora en un mensaje para facilitar la detención de repetidos ataques no autorizados de señales de nombre de usuario. La opción Verificar Nonce está disponible si especifica una señal de nombre de usuario para el consumidor de señales y se añade Nonce a la señal de nombre de usuario en el generador.
- Seleccione la opción Verificar indicación de la hora si se incluye una indicación de la hora en la señal de nombre de usuario en el generador. La opción Verificar indicación de la hora está disponible si especifica una señal de nombre de usuario para el consumidor de señales y se añade una indicación de la hora a la señal de nombre de usuario en el generador.
- Especifique el nombre local del tipo de valor de la señal integrada. Esta entrada especifica el nombre local del tipo de valor para una señal de
seguridad a la que se hace referencia mediante el identificador de claves.
Este
atributo es válido cuando se selecciona Identificador de clave como tipo de
información de claves. Para especificar el tipo de información de claves, consulte
Configuración de la información de claves para el enlace de consumidor mediante JAX-RPC a nivel de servidor o nivel de célula. WebSphere Application Server tiene nombres locales de tipos de valores definidos
previamente para la señal de nombre de usuario y para la señal de seguridad de
certificados X.509. Entre uno de los siguientes nombres locales para la señal de
nombre de usuario y la señal de seguridad de certificados X.509. Cuando especifica
los siguientes nombres locales, no es necesario que especifique el URI del tipo de
valor:
- Señal de nombre de usuario
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
- Señal de certificado X.509
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- Certificados X.509 en una PKIPath
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- Una lista de certificados X.509 y CRL en un PKCS número 7
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
Nota: Para especificar LTPA (Lightweight Third Party Authentication) o la propagación de señales (LTPA_PROPAGATION), debe especificar el nombre local del tipo de valor y el identificador de recursos uniforme (URI). En LTPA, especifique LTPA de nombre local y http://www.ibm.com/websphere/appserver/tokentype/5.0.2 de URI. En la propagación de señales LTPA, especifique LTPA_PROPAGATION de nombre local y http://www.ibm.com/websphere/appserver/tokentype de URI.Por ejemplo, cuando especifica una señal de certificado X.509, puede utilizar http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 como nombre local. Cuando especifica el nombre local de otra señal, debe especificar un tipo de valor de Qname. Por ejemplo: uri=http://www.ibm.com/custom, localName=CustomToken - Especifique el identificador de recursos uniforme (URI) del tipo de valor en el campo URI. Esta entrada especifica el URI del espacio de nombres del tipo de valor para una señal de seguridad a la que se hace referencia mediante el identificador de claves. Este atributo es válido cuando se selecciona Identificador de clave como tipo de información de claves en el panel Información de claves del generador predeterminado. Cuando especifica el consumidor de señales para la señal de nombre de usuario o para una señal de seguridad del certificado X.509, no es necesario que especifique esta opción. Si especifica otra señal, tiene que especificar el URI de QName para el tipo valor.
- Pulse Aceptar y, a continuación, Guardar para guardar la configuración. Después de guardar la configuración del generador de señales, puede especificar una configuración de JAAS para el consumidor de señales.
- Pulse el nombre de la configuración del generador de señales.
- En Propiedades adicionales, pulse Configuración de JAAS.
- Seleccione una configuración de JAAS en el campo Nombre de configuración
de JAAS.
El campo especifica el nombre del sistema JAAS de la configuración de inicio de sesión de la aplicación. Puede especificar configuraciones de aplicación y de sistema JAAS adicionales pulsando Seguridad > Seguridad global. Expanda Java Authentication and Authorization Service y, a continuación, pulse Inicios de sesión de la aplicación > Nuevo o Inicios de sesión del sistema > Nuevo.
No elimine las configuraciones de inicios de sesión de la aplicación o del sistema definidas previamente. No obstante, en estas configuraciones, puede añadir nombres de clases de módulos y especificar el orden en el que WebSphere Application Server carga cada módulo. WebSphere Application Server proporciona las siguientes configuraciones de JAAS predefinidas:Para obtener más información sobre las configuraciones de JAAS, consulte Valores de configuración de JAAS.
- ClientContainer
- Esta selección especifica la configuración de inicio de sesión que utilizan las aplicaciones de contenedor de cliente. La configuración utiliza la interfaz de programas de aplicación (API) CallbackHandler que se define en el descriptor de despliegue del contenedor de cliente. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión de la aplicación.
- WSLogin
- Esta selección especifica si todas las aplicaciones pueden utilizar la configuración de WSLogin para realizar la autenticación durante el tiempo de ejecución de seguridad. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión de la aplicación.
- DefaultPrincipalMapping
- Esta selección especifica la configuración de inicio de sesión que utilizan los conectores J2C (Java 2 Connectors) para correlacionar los usuarios con los principales definidos en las entradas de datos de autenticación J2C. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión de la aplicación.
- system.wssecurity.IDAssertion
- Esta selección permite a una aplicación de la versión 5.x utilizar la aserción de identidad para correlacionar un nombre de usuario con un principal de credenciales de WebSphere Application Server. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
- system.wssecurity.Signature
- Esta selección permite a una aplicación de la versión 5.x correlacionar un nombre distinguido (DN) de un certificado firmado con un principal de credenciales de WebSphere Application Server. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
- system.LTPA_WEB
- Esta selección procesa las solicitudes de inicio que utiliza el contenedor web, como servlets y archivos JSP (JavaServer Pages). Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
- system.WEB_INBOUND
- Esta selección maneja las solicitudes de inicio de sesión de aplicaciones web, que incluyen servlets y archivos JSP (JavaServer Pages). Esta configuración de inicio de sesión la utiliza WebSphere Application Server Versión 5.1.1. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
- system.RMI_INBOUND
- Esta selección maneja inicios de sesión para solicitudes RMI (Remote Method Invocation) de entrada. Esta configuración de inicio de sesión la utiliza WebSphere Application Server Versión 5.1.1. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
- system.DEFAULT
- Esta selección maneja los inicios de sesión para las solicitudes de entrada realizadas por las autenticaciones internas y la mayor parte de los demás protocolos excepto las aplicaciones web y las solicitudes RMI. Esta configuración de inicio de sesión la utiliza WebSphere Application Server Versión 5.1.1. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
- system.RMI_OUTBOUND
- Esta selección procesa solicitudes RMI que se envían de salida a otro servidor cuando la propiedad com.ibm.CSIOutboundPropagationEnabled es true. Esta propiedad se establece en el panel de autenticación CSIv2. Para acceder al panel, pulse Seguridad > Seguridad global. En Autenticación, expanda Seguridad RMI/IIOP y pulse Autenticación de salida CSIv2. Para establecer la propiedad com.ibm.CSIOutboundPropagationEnabled, seleccione Propagación de atributos de seguridad. Para modificar esta configuración de inicio de sesión de JAAS, consulte el panel JAAS - Inicios de sesión del sistema.
- system.wssecurity.X509BST
- Esta selección verifica una señal de seguridad binaria (BST) X.509 comprobando la validez del certificado y la vía de acceso del certificado. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
- system.wssecurity.PKCS7
- Esta selección verifica un certificado X.509 con una lista de revocación de certificados de un objeto PKCS7. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
- system.wssecurity.PkiPath
- Esta selección verifica un certificado X.509 con una vía de acceso PKI (infraestructura de claves públicas). Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
- system.wssecurity.UsernameToken
- Esta selección comprueba los datos de autenticación básica (nombre de usuario y contraseña). Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
- system.wssecurity.IDAssertionUsernameToken
- Esta selección permite a las aplicaciones de las versiones 6 y posterior utilizar la aserción de identidad para correlacionar un nombre de usuario con un principal de credencial de WebSphere Application Server. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
- system.WSS_INBOUND
- Esta selección especifica la configuración de inicio de sesión para solicitudes de entrada o de consumidores de propagación de señales de seguridad con Web Services Security. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
- system.WSS_OUTBOUND
- Esta selección especifica la configuración de inicio de sesión para solicitudes de salida o de generadores de propagación de señales de seguridad con Web Services Security. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
- Ninguno
- Con esta selección, no se especifica ninguna configuración de inicio de sesión JAAS.
- Pulse Aceptar y, a continuación, Guardar para guardar la configuración.
Resultados
Qué hacer a continuación
Subtopics
Grupo de consumidores de señales
Utilice esta página para ver el consumidor de señales. La información se utiliza en el lado del consumidor sólo para procesar la señal de seguridad.Valores de configuración del consumidor de señales
Utilice esta página para especificar la información del consumidor de señales. La información se utiliza sólo en el extremo del consumidor para procesar la señal de seguridad.Grupo de consumidores de señales
Utilice esta página para ver el consumidor de señales. La información se utiliza en el lado del consumidor sólo para procesar la señal de seguridad.Valores de configuración del consumidor de señales
Utilice esta página para especificar la información del consumidor de señales. La información se utiliza sólo en el extremo del consumidor para procesar la señal de seguridad.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokenconssvrcell
File name: twbs_configtokenconssvrcell.html