Valores de las señales de autenticación de generador o consumidor

Se utilizan señales de autenticación para probar o confirmar una identidad. Utilice la consola administrativa para añadir valores de señales de autenticación para partes de mensajes cuando se edita un enlace general.

Para configurar señales de autenticación, complete los pasos siguientes:

  1. Para ver y seleccionar los enlaces generales que se establecen como enlaces de conjunto de políticas predeterminado de seguridad globales, pulse Servicios > Conjuntos de políticas > Enlaces del conjunto de políticas por omisión. Los enlaces especificados se utilizan a menos que se alteren temporalmente en el punto de conexión, en el servidor o en un dominio de seguridad.
  2. Para acceder a los enlaces generales y configurarlos, y para añadir valores de señal de autenticación para partes de mensajes, pulse Servicios > Conjuntos de políticas > Enlaces de conjunto de políticas del proveedor general.
  3. Pulse la política WS-Security en la tabla Políticas.
  4. Pulse en el enlace Autenticación y protección en la sección Enlaces de la política de seguridad de mensajes principales.
  5. Pulse Nuevo símbolo para crear un nuevo generador o consumidor de señales o pulse un enlace de señal de consumidor o generador existente en la tabla Señales de autenticación.
Para ver y configurar enlaces específicos de aplicación para las señales y las partes de mensaje que exige un conjunto de políticas, siga estos pasos:
  1. Pulse Aplicaciones>Tipos de aplicaciones>Aplicaciones empresariales de WebSphere.
  2. Seleccione una aplicación que contenga servicios web. La aplicación debe contener un proveedor o cliente de servicios.
  3. Pulse en el enlace Conjuntos de políticas y enlaces de proveedor de servicios o Conjuntos de políticas y enlaces de cliente de servicios en la sección Propiedades de servicios web.
  4. Seleccione un enlace. Debe tener previamente conectado un conjunto de políticas y asignado un enlace específico de aplicación.
  5. Pulse la política WS-Security en la tabla Políticas.
  6. Pulse en el enlace Autenticación y protección en la sección Enlaces principales de la política de seguridad de mensajes.
  7. Pulse en un enlace de señal de consumidor o generador en la tabla Señales de protección.

Esta página de la consola administrativa se aplica sólo a las aplicaciones JAX-WS (Java™ API for XML Web Services).

Name

Especifica el nombre de la señal que se va a configurar. Cuando se utilizan enlaces específicos de aplicación, este campo no se visualiza.

Tipo de señal

Especifica el tipo de símbolo que se configura.

Si va a utilizar enlaces específicos de aplicación, el tipo de señal se obtiene del archivo de política y es de sólo lectura. Cuando vaya a utilizar generales, seleccione un tipo de enlace en la lista. Están disponibles los siguientes tipos de señal:

  • X509V3 Token V1.1
  • X509V3 Token V1.0
  • Username Token V1.1
  • Username Token V1.0
  • X509PKCS7 Token V1.1
  • X509PKCS7 Token V1.0
  • X509PkiPathV1 Token V1.1
  • X509PkiPathV1 Token V1.0
  • LTPA Propagation Token
  • X509V1 Token V1.1
  • LTPA Token
  • LTPA Token V2.0
  • Señal personalizada
Nota: El tipo de señal LTPA Token V2.0 sólo está disponible para enlaces que utilicen el espacio de nombres según se admita en IBM® WebSphere Application Server, Versión 7.0 o posteriores. Cuando se selecciona la señal LTPA V2.0 como tipo de señal para el consumidor de señales, se pueden consumir las señales LTPA y las señales LTPA V2.0. Para limitar el consumidor de señales únicamente a señales LTPA V2.0, seleccione el recuadro de selección Forzar versión de señal.

Si selecciona una señal LTPA como tipo de señal para el generador de señales, debe habilitarse la modalidad de interoperatividad de inicio de sesión único. Se trata de un valor de la seguridad global de SIP y Web. Si el distintivo de interoperatividad no está establecido como habilitado (true), se produce un error cuando se inicia la aplicación que está conectada a estos enlaces. Si desea utilizar la señal LTPA sin comprobar el estado del distintivo de interoperatividad, puede establecer la propiedad personalizada, com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7, en el generador de señales. Establezca la propiedad utilizando la consola administrativa, tal como se describe en el tema Habilitar o inhabilitar la modalidad de interoperatividad de inicio de sesión único para la señal LTPA. La propiedad no se puede establecer utilizando la API de seguridad de servicios Web.

Nombre local

Especifica el nombre local del consumidor o generador de señales de autenticación. El campo Nombre local se rellena en base al tipo de señal que se visualiza. Utilice este campo para editar únicamente los tipos de señales personalizadas.

URI

Especifica el identificador de recursos uniforme (URI) del consumidor o generador de símbolos de autenticación. El campo URI se rellena en base al tipo de señal que se visualiza. Utilice este campo para editar únicamente los tipos de señales personalizadas.

Deje este campo en blanco si utiliza el tipo de señal personalizada para generar una señal Kerberos como se define en la especificación OASIS de Web Services Security para el perfil de señales Kerberos v1.1.

Referencia de señal de seguridad

Especifica la referencia del símbolo de seguridad. El campo de referencia de señal de seguridad sólo se muestra para las señales de autenticación de enlaces específicos de aplicación. Este campo no está disponible para enlaces predeterminados.

Inicio de sesión JAAS

Especifica una lista de los inicios de sesión JAAS (Java Authentication and Authorization Service) de aplicación y del sistema que están en vigor para el dominio que es el ámbito del enlace.

Si una aplicación tiene como ámbito la seguridad global o si el ámbito es un dominio que no personaliza sus propios inicios de sesión JAAS, se visualizará la lista de inicios de sesión globales en la lista de menús. Pulse Nuevo inicio de sesión de aplicación para acceder a la colección de inicios de sesión de aplicación JAAS global. El comportamiento de la lista del menú Inicio de sesión JAAS y el botón Nuevo inicio de sesión de aplicación depende de si el enlace se va a crear junto con una conexión. Preste atención cuando cambie de dominios de seguridad ya que puede que una configuración de seguridad referenciada anteriormente, como, por ejemplo, inicios de sesión JAAS, no sea accesible en un dominio de seguridad diferente.

Propiedades personalizadas - Nombre

Especifica el nombre utilizado para la propiedad personalizada.

Las propiedades personalizadas al principio no se visualizan en esta columna. Pulse uno de los siguientes botones para habilitar las acciones que se describen:

Botón Acción resultante
Nuevo Crea una nueva entrada de propiedad personalizada. Para añadir una propiedad personalizada, especifique el nombre y el valor.
Editar Habilita la propiedad personalizada seleccionada que se desea editar. Pulse este botón proporciona campos de entrada y crea el listado de valores de célula que se debe editar. Para visualizar el botón Editar se debe añadir como mínimo una propiedad personalizada.
Suprimir Elimina la propiedad personalizada seleccionada.

Propiedades personalizadas - Valor

Especifica el valor de la propiedad personalizada que se va a utilizar. Utilice el campo Valor para entrar, editar o suprimir el valor de una propiedad personalizada.

Si se utiliza el tipo de señal personalizada para generar una señal Kerberos, especifique las propiedades personalizadas siguientes:

Nombre de propiedad personalizada Valor
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Especifica el nombre del servicio de destino.

Esta propiedad es
obligatoria.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Especifica el nombre de host que está asociado con el servicio de destino en el formato siguiente: myhost.mycompany.com.

Esta propiedad es
obligatoria.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Especifica el nombre del reino asociado al servicio de destino.

Esta propiedad es opcional para un solo
reino Kerberos. Si no se especifica la propiedad targetServiceRealm,
se utiliza como nombre de reino el nombre de reino predeterminado
del archivo de configuración de Kerberos.
En un entorno de reinos cruzados o fiables, debe proporcionar un valor para la propiedad targetServiceRealm.

com.ibm.wsspi.wssecurity.krbtoken.clientRealm Especifica el nombre del reino Kerberos asociado con el cliente.

Esta propiedad es opcional para un solo entorno de reino Kerberos.
Al implementar la seguridad de los servicios Web en
un entorno de reino Kerberos cruzado o de confianza, debe proporcionar un valor
para la propiedad clientRealm.

com.ibm.wsspi.wssecurity.krbtoken.loginPrompt Habilita el inicio de sesión de Kerberos cuando el valor es True. El valor predeterminado es False.

Esta propiedad es
obligatoria.

Para el generador de señales, la combinación del nombre de servicio de destino y el nombre de host de destino forma un Nombre principal de servicio (SPN) que representa el nombre principal del servicio Kerberos de destino. El cliente Kerberos solicita la señal Kerberos inicial AP_REQ para SPN.

Si una aplicación genera o consume una señal Kerberos V5 AP_REQ para cada mensaje de solicitud de servicios web, establezca la propiedad personalizada com.ibm.wsspi.wssecurity.kerberos.attach.apreq en true en el generador de señales y los enlaces de consumidor de señales para la aplicación. Para obtener más información, consulte el tema de consejos para la resolución de problemas de seguridad de los servicios Web.

Manejador de retorno de llamada

Enlaces con la página del Manejador de retorno de llamada donde se pueden configurar manejadores de retorno de llamada. Los valores del manejador de retorno de llamada determinan cómo se adquieren los símbolos de seguridad de las cabeceras de mensajes.

Si trabaja con un símbolo de nombre de usuario o un símbolo LTPA que utiliza enlaces por omisión, es posible que los nombres de usuario y las contraseñas se hayan proporcionado como ejemplos. Es necesario actualizar los valores para estos tipos de símbolos.


Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=uwbs_wsspsbat
File name: uwbs_wsspsbat.html