Configuración de consumidores de señales mediante JAX-RPC para proteger la autenticidad de los mensajes en el nivel de aplicación

Puede especificar el consumidor de señales en el nivel de aplicación. La información del consumidor de señales se utiliza en el lado del consumidor para incorporar la señal de seguridad.

Antes de empezar

Debe saber que la información de almacén de claves/alias que proporcione para el generador y la información del almacén de claves/alias que proporcione para el consumidor se utilizan con fines distintos. La principal diferente se aplica a alias para un manejador de retorno de llamada de X.509.

Cuando se utiliza junto con un consumidor de cifrado, el alias suministrado para el consumidor se utiliza para recuperar la clave privada con el fin de descifrar el mensaje. Es necesaria una contraseña. Cuando se asocia a un consumidor de firmas, el alias proporcionado para el consumidor se utiliza estrictamente para recuperar la clave pública que se utiliza para resolver un certificado X.509 que no se pasa en la cabecera de seguridad SOAP como BinarySecurityToken. No es necesaria ninguna contraseña.

Acerca de esta tarea

Efectúe los pasos siguientes para configurar el consumidor de señales en el nivel de aplicación.

Procedimiento

  1. Localice el panel del consumidor de señales en la consola administrativa.
    1. Pulse Aplicaciones > Tipos de aplicaciones > Aplicaciones de empresa WebSphere > nombre_aplicación .
    2. En Módulos, pulse Gestionar módulos > nombre_URI.
    3. En Propiedades de seguridad de servicios web, puede acceder al consumidor de señales para los enlaces siguientes:
      • Para el enlace del consumidor (receptor) de solicitudes, pulse Servicios web: enlaces de seguridad del servidor. En Enlace del consumidor (receptor) de solicitudes, pulse Editar personalizado.
      • Para el enlace del consumidor (receptor) de respuestas, pulse Servicios web: enlaces de seguridad del cliente. En Enlace del consumidor (receptor) de respuestas, pulse Editar personalizado.
    4. En Propiedades necesarias, pulse Consumidor de señales.
    5. Pulse Nuevo para crear una configuración de consumidor de señales, pulse Suprimir para suprimir una configuración existente o pulse el nombre de una configuración de consumidor de señales existente para editar sus valores. Si está creando una configuración nueva, especifique un nombre exclusivo en el campo Nombre de consumidor de señales. Por ejemplo, puede especificar con_signtcon.
  2. Especifique un nombre de clase en el campo Nombre de clase del consumidor de señales. La implementación del módulo de inicio de sesión JAAS (Java™ Authentication and Authorization Service) se utiliza para validar (autenticar) la señal de seguridad del cliente.

    El nombre de clase del consumidor de señales para el consumidor de solicitudes y el consumidor de respuestas deben ser similares al nombre de clase del generador de señales para el generador de solicitudes y el generador de respuestas. Por ejemplo, si la aplicación necesita un consumidor de señales de nombre de usuario, puede especificar el nombre de clase com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator en el panel Generador de señales para el nivel de aplicación, y el nombre de clase com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer en este campo.

  3. Opcional: Seleccione una referencia de parte en el campo Referencia de parte. La referencia de partes indica el nombre de la señal de seguridad que se define en el descriptor de despliegue. Por ejemplo, si recibe una señal de nombre en el mensaje de solicitud, puede hacer referencia a la señal en el consumidor de señales de nombre de usuario.
    Importante: En el nivel de aplicación, si no especifica una señal de seguridad en el descriptor de despliegue, no se visualiza el campo Referencia de parte. Si define una señal de seguridad denominada user_tcon en el descriptor de despliegue, user_tcon se visualiza como opción en el campo Referencia de parte.
  4. Opcional: En la sección de vía de acceso del certificado del panel, seleccione un tipo de almacén de certificados e indique el nombre del ancla de confianza y del almacén de certificados, si es necesario. Estas opciones y estos campos son necesarios cuando se especifica com.ibm.wsspi.wssecurity.token.X509TokenConsumer como nombre de clase del consumidor de señales. Los nombres del ancla de confianza y del almacén de certificados de colecciones se crean en la vía de acceso del certificado en el consumidor de señales.
    Restricción: La interfaz com.ibm.wsspi.wssecurity.token.TokenConsumingComponent no se utiliza con los servicios web JAX-WS. Si está utilizando servicios web JAX-RPC, esta interfaz sigue siendo válida.

    Puede seleccionar una de las opciones siguientes:

    Ninguno
    Si selecciona esta opción, la vía de acceso del certificado no se especifica.
    Confiar en cualquiera
    Si selecciona esta opción, la vía de acceso del certificado es de confianza. Cuando se consume la señal recibida, el servidor de aplicaciones no valida la vía de acceso del certificado.
    Información de firmas dedicada
    Si selecciona esta opción, puede seleccionar una configuración de ancla de confianza y una configuración de almacén de certificados. Cuando selecciona el ancla de confianza o el almacén de certificados de un certificado de confianza, debe configurar el ancla de confianza y el almacén de certificados antes de establecer la vía de acceso del certificado.
    Ancla de confianza
    Un ancla de confianza especifica una lista de las configuraciones del almacén de claves que contienen los certificados raíz de confianza. Estas configuraciones se utilizan para validar la vía de acceso del certificado de las señales de seguridad entrantes con formato X.509. Los objetos de almacén de claves de las anclas de confianza contienen los certificados raíz de confianza que utiliza la API CertPath para validar la fiabilidad de una cadena de certificados. [AIX Solaris HP-UX Linux Windows][z/OS]Debe crear el archivo de almacén de claves utilizando el programa de utilidad keytool, que se encuentra en el archivo dir_instalación/java/jre/bin/keytool.[IBM i]Debe crear el archivo de almacén de claves con el programa de utilidad keytool. El programa de utilidad keytool está disponible utilizando el Intérprete de QShell.
    Para configurar anclas de confianza para el nivel de aplicación, siga estos pasos:
    1. Pulse Aplicaciones > Tipos de aplicación > Aplicaciones de empresa de WebSphere > nombre_aplicación.
    2. En Elementos relacionados, pulse Módulos EJB o Módulos web > nombre_URI.
    3. Acceda al consumidor de señales desde los siguientes enlaces:
      • Para el enlace del consumidor (receptor) de solicitudes, pulse Servicios web: enlaces de seguridad del servidor. En Enlace del consumidor (receptor) de solicitudes, pulse Editar personalizado.
      • Para el enlace del consumidor (receptor) de respuestas, pulse Servicios web: enlaces de seguridad del cliente. En Enlace del consumidor (receptor) de respuestas, pulse Editar personalizado.
    4. En Propiedades adicionales, pulse Anclas de confianza.
    Almacén de certificados de colecciones
    Un almacén de certificados de colecciones incluye una lista de certificados intermediarios que no son de confianza y listas de revocación de certificados (CRL). El almacén de certificados de colecciones se utiliza para validar la vía de acceso del certificado de las señales de seguridad entrantes con formato X.509. Para configurar el almacén de certificados de colecciones para el nivel de aplicación, siga estos pasos:
    1. Pulse Aplicaciones > Tipos de aplicación > Aplicaciones de empresa de WebSphere > nombre_aplicación.
    2. En Elementos relacionados, pulse Módulos EJB o Módulos web > nombre_URI.
    3. Acceda al consumidor de señales desde los siguientes enlaces:
      • Para el enlace del consumidor (receptor) de solicitudes, pulse Servicios web: enlaces de seguridad del servidor. En Enlace del consumidor (receptor) de solicitudes, pulse Editar personalizado.
      • Para el enlace del consumidor (receptor) de respuestas, pulse Servicios web: enlaces de seguridad del cliente. En Enlace del consumidor (receptor) de respuestas, pulse Editar personalizado.
    4. En Propiedades adicionales, pulse Almacén de certificados de colecciones.
  5. Opcional: Especifique un evaluador de ID de confianza. El evaluador de ID de confianza se utiliza para determinar si el ID recibido es de confianza. Puede seleccionar una de las opciones siguientes:
    Ninguno
    Si selecciona esta opción, no se especifica el evaluador de ID de confianza.
    Definición del evaluador existente
    Si selecciona esta opción, puede especificar uno de los evaluadores de ID de confianza configurados. Por ejemplo, puede seleccionar SampleTrustedIDEvaluator, que se proporciona como ejemplo en WebSphere Application Server.
    Definición del evaluador de enlace
    Si selecciona esta opción, puede configurar un nuevo evaluador de ID de confianza especificando un nombre de evaluador de ID de confianza y un nombre de clase.
    Nombre del evaluador de ID de confianza
    Especifica el nombre que utiliza el enlace de la aplicación para hacer referencia a un evaluador de ID de confianza que se define en los enlaces predeterminados.
    Nombre de clase del evaluador de ID de confianza
    Especifica el nombre de clase del evaluador de ID de confianza. El nombre de clase del evaluador de ID de confianza especificado debe implementar la interfaz com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator. La clase TrustedIDEvaluator predeterminada es com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl. Cuando utiliza esta clase TrustedIDEvaluator de manera predeterminada, debe especificar las propiedades de nombre y valor del evaluador de ID de confianza predeterminado para crear la lista de ID de confianza para su evaluación. Para especificar las propiedades de nombre y valor, efectúe los pasos siguientes:
    1. En Propiedades adicionales, pulse Propiedades > Nueva.
    2. Especifique el nombre del evaluador de ID de confianza en el campo Propiedad. Debe especificar el nombre con el formato trustedId_n donde _n es un número entero entre 0 y n.
    3. Especifique el ID de confianza en el campo Valor.
    Por ejemplo:
    property name="trustedId_0", value="CN=Bob,O=ACME,C=US"
    property name="trustedId_1, value="user1"

    Si se utiliza el nombre distinguido (DN), se suprime el espacio para fines de comparación. Consulte la información del modelo de programación en la documentación para obtener una descripción de cómo se implementa la interfaz com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator. Para obtener más información, consulte Implementaciones predeterminadas de las interfaces de programación de proveedores de servicio de Web Services Security.

    Nota: Defina el evaluador de ID de confianza en el nivel de servidor en lugar de en el nivel de aplicación. Para definir el evaluador de ID de confianza en el nivel de servidor, siga estos pasos:
    1. Pulse Servidores > Tipos de servidor > Servidores de aplicaciones WebSphere > nombre_servidor.
    2. En Seguridad, pulse Tiempo de ejecución de seguridad JAX-WS y JAX-RPC.
      Mixed-version environment Mixed-version environment: En una célula de nodo mixto con un WebSphere Application Server versión 6.1 o anterior, pulse Servicios Web: enlaces predeterminados para Web Services Security.mixv
    3. En Propiedades adicionales, pulse Evaluadores de ID de confianza.
    4. Pulse Nuevo para definir un nuevo evaluador de ID de confianza.

    La configuración del evaluador de ID de confianza está disponible sólo para el consumidor de señales en el nivel de aplicación del lado del servidor.

  6. Opcional: Seleccione la opción Verificar nonce. Esta opción indica si se debe verificar un Nonce en la señal de nombre de usuario si se especifica para el consumidor de señales. Nonce es un número criptográfico exclusivo que se incorpora en un mensaje para facilitar la detención de repetidos ataques no autorizados de señales de nombre de usuario. La opción Verificar Nonce solamente es válida cuando el tipo de señal incorporada es una señal de nombre de usuario.
  7. Opcional: Seleccione la opción Verificar indicación de la hora. Esta opción indica si se debe verificar una indicación de la hora en la señal de nombre de usuario. La opción Verificar Nonce solamente es válida cuando el tipo de señal incorporada es una señal de nombre de usuario.
  8. Especifique el nombre local del tipo de valor en el campo Nombre local. Este campo especifica el nombre local del tipo de valor de la señal consumida. Para un símbolo de nombre de usuario y un símbolo de seguridad de certificado X.509, WebSphere Application Server proporciona nombres locales definidos previamente del tipo de valor.
    Tabla 1. Uniform Resource Identifier (URI) y combinaciones de nombre local.. El valor de nombre local indica el tipo de símbolo consumido.
    URI Nombre local Descripción
    No es aplicable un URI de espacio de nombres. Especifique http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 como el valor del nombre local. Especifica el nombre de una señal de certificados X.509
    No es aplicable un URI de espacio de nombres. Especifique http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1 como el valor del nombre local. Especifique el nombre de los certificados X.509 en una vía de acceso PKI.
    No es aplicable un URI de espacio de nombres. Especifique http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7 como el valor del nombre local. Especifique una lista de certificados X509 y listas de revocación de certificados (CRL) en un formato PKCS#7
    Especifique http://www.ibm.com/websphere/appserver/tokentype/5.0.2 como el valor de URI. Especifique LTPA como el valor del nombre local. Especifique una señal de seguridad de binaria que contenga una señal LTPA (Lightweight Third Party Authentication) incrustada.
  9. Opcional: Especifique el URI del tipo de valor en el campo URI. Esta entrada especifica el URI de espacio de nombres del tipo de valor de la señal consumida.
    Recuerde: Si especifica el consumidor de señales en una señal de nombre de usuario o una señal de seguridad del certificado X.509, no es necesario que especifique un URI de tipo de valor.

    Si desea especificar otra señal, debe especificar el nombre local y el URI. Por ejemplo, si tiene una implementación de su propia señal personalizada, puede especificar CustomToken en el campo Nombre local y http://www.ibm.com/custom

  10. Pulse Aceptar y Guardar para guardar la configuración.
  11. Pulse el nombre de la configuración del consumidor de señales.
  12. En Propiedades adicionales, pulse Configuración de JAAS. La configuración de JAAS (Java Authentication and Authorization Service) especifica el nombre de la configuración de JAAS que se define en el panel de inicio de sesión JAAS. La configuración de JAAS especifica cómo inicia la sesión la señal en el lado del consumidor.
  13. Seleccione una configuración JAAS del campo Nombre de configuración de JAAS. El campo especifica el nombre del sistema JAAS de la configuración de inicio de sesión de la aplicación. Puede especificar configuraciones de aplicación y de sistema JAAS adicionales pulsando Seguridad global. En autenticación, pulse Java Authentication and Authorization Service y pulse Inicios de sesión de la aplicación > Nuevo o Inicios de sesión del sistema > Nuevo. [AIX Solaris HP-UX Linux Windows][z/OS]Si desea más información sobre las configuraciones de JAAS, consulte Valores de configuración de JAAS. No elimine las configuraciones de inicios de sesión de la aplicación o del sistema definidas previamente. No obstante, en estas configuraciones, puede añadir nombres de clases de módulos y especificar el orden en el que WebSphere Application Server carga cada módulo. WebSphere Application Server proporciona las siguientes configuraciones de JAAS predefinidas:
    ClientContainer
    Esta selección especifica la configuración de inicio de sesión que utilizan las aplicaciones de contenedor de cliente. La configuración utiliza la interfaz de programas de aplicación (API) CallbackHandler que se define en el descriptor de despliegue del contenedor de cliente. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión de la aplicación.
    WSLogin
    Esta selección especifica si todas las aplicaciones pueden utilizar la configuración de WSLogin para realizar la autenticación durante el tiempo de ejecución de seguridad. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión de la aplicación.
    DefaultPrincipalMapping
    Esta selección especifica la configuración de inicio de sesión que utilizan los conectores J2C (Java 2 Connectors) para correlacionar los usuarios con los principales definidos en las entradas de datos de autenticación J2C. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión de la aplicación.
    system.LTPA_WEB
    Esta selección procesa las solicitudes de inicio que utiliza el contenedor web, como servlets y archivos JSP (JavaServer Pages). Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
    system.RMI_OUTBOUND
    Esta selección procesa solicitudes RMI que se envían de salida a otro servidor cuando el valor de la propiedad com.ibm.CSIOutboundPropagationEnabled es true. Esta propiedad se establece en el panel de autenticación CSIv2.

    Para acceder al panel, pulse Seguridad > Seguridad global. En Autenticación, pulse Seguridad RMI/IIOP > Autenticación de salida de CSIv2. Para establecer la propiedad com.ibm.CSIOutboundPropagationEnabled, seleccione Propagación de atributos de seguridad. Para modificar esta configuración de inicio de sesión de JAAS, consulte el panel JAAS - Inicios de sesión del sistema.

    system.wssecurity.X509BST
    Esta selección verifica una señal de seguridad binaria (BST) X.509 comprobando la validez del certificado y la vía de acceso del certificado. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
    system.wssecurity.PKCS7
    Esta selección verifica un certificado X.509 dentro de un objeto PKCS7 que puede incluir una cadena de certificados, una lista de revocación de certificados, o ambos. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
    system.wssecurity.PkiPath
    Esta selección verifica un certificado X.509 con una vía de acceso PKI (infraestructura de claves públicas). Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
    system.wssecurity.UsernameToken
    Esta selección comprueba los datos de autenticación básica (nombre de usuario y contraseña). Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
    system.wssecurity.IDAssertionUsernameToken
    Esta selección soporta el uso de la confirmación de identidad en las aplicaciones de las versiones 6 y posteriores para correlacionar un nombre de usuario con un principal de credencial de WebSphere Application Server. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
    system.WSS_INBOUND
    Esta selección especifica la configuración de inicio de sesión para solicitudes de entrada o de consumidores de propagación de señales de seguridad con Web Services Security. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
    system.WSS_OUTBOUND
    Esta selección especifica la configuración de inicio de sesión para solicitudes de salida o de generadores de propagación de señales de seguridad con Web Services Security. Para modificar esta configuración, consulte en el panel de configuración de JAAS los inicios de sesión del sistema.
    Ninguno
    Con esta selección, no se especifica ninguna configuración de inicio de sesión JAAS.
  14. Pulse Aceptar y, a continuación, pulse Guardar para guardar la configuración.

Resultados

Ha configurado el consumidor de señales para el nivel de aplicación.

Qué hacer a continuación

Debe especificar una configuración de generador de señales parecida para el nivel de aplicación.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokenconsapp
File name: twbs_configtokenconsapp.html