Propiedades personalizadas de módulo de inicio de sesión de señal de seguridad genérica de servicios web
Al configurar un módulo de inicio de sesión de señal de seguridad genérica, puede configurar los pares de datos de nombre-valor arbitrarios, en los que el nombre es una clave de propiedad y el valor es un valor de serie que se puede utilizar para establecer propiedades internas de configuración del sistema. Puede utilizar estas propiedades de configuración junto con las opciones proporcionadas en la consola administrativa para controlar cómo se genera o consume la señal.
Para configurar estas propiedades personalizadas para el manejador de devolución de llamada en la consola administrativa, efectúe los pasos siguientes:
- Expanda Servicios.
- Seleccione Proveedor de servicios o Cliente de servicio
- Pulsar la aplicación adecuada en la columna Nombre.
- Pulsar el enlace adecuado en la columna Enlace.
Previamente se debe haber conectado un conjunto de políticas y asignado un enlace.
o
- Expanda Aplicaciones empresariales de WebSphere. y pulse
- Seleccione una aplicación que contenga servicios Web. La aplicación debe contener un proveedor o cliente de servicios.
- En la cabecera Propiedades de servicios web, pulse Enlaces y conjuntos de políticas del proveedor de servicios o Enlaces y conjuntos de políticas de cliente de servicio.
- Seleccione un enlace. Previamente debe haber conectado un conjunto de políticas y asignado un enlace específico de la aplicación.
A continuación, siga estos pasos:
- Pulse WS-Security en la tabla Políticas.
- Bajo el título Enlaces de política de seguridad de mensajes principales, haga clic en Autenticación y protección.
- En el título Señales de autenticación, pulse en el nombre de la señal de autenticación.
Supported configurations: Puede utilizar la señal, que es procesada por el módulo de inicio de sesión de señal de seguridad genérico, sólo para la autenticación. No puede utilizar esta señal como señal de protección.sptcfg
- Bajo la cabecera Enlaces adicionales, pulse Manejador de devolución de llamada.
- Bajo la cabecera Propiedades personalizadas, especifique los pares de nombre y valor.
- Propiedades personalizadas del manejador de devolución de llamada para los enlaces tanto de generador de señales como de consumidor de señales.
- Propiedades personalizadas del manejador de devolución de llamada para los enlaces del generador de señales.
- Propiedades personalizadas del manejador de devolución de llamada para los enlaces del consumidor de señales.
Propiedades personalizadas del manejador de devolución de llamada para los enlaces tanto de generador de señales como de consumidor de señales.
La siguiente tabla lista las propiedades personalizadas del manejador de devolución de llamada que se pueden utilizar para configurar enlaces tanto de generador como de consumidor de señales.
Name | Valores | Descripción |
---|---|---|
clockSkew |
Esta propiedad personalizada no tiene un valor predeterminado. |
Utilice esta propiedad personalizada para especificar, en minutos, un ajuste en los tiempos de la señal SAML autoemitida que el SAMLGenerateLoginModule crea. La propiedad personalizada clockSkew se establece en el manejador de devolución de llamada del generador de señales SAML que utiliza la clase SAMLGenerateLoginModule. El valor especificado para esta propiedad personalizada debe ser numérico y se especifica en minutos. Cuando se
especifica un valor para esta propiedad personalizada, se realizan estos ajustes de tiempo en la señal SAML
autoemitida que el SAMLGenerateLoginModule crea:
|
stsURI | Esta propiedad personalizada no tiene un valor predeterminado. |
Utilice esta propiedad personalizada para especificar la dirección del servicio de señales de seguridad (STS). Esta propiedad personalizada es necesaria para el consumidor de señales. No obstante, esta propiedad personalizada es opcional para el generador de señales si la señal solicitada existe en el RunAs Subject y no es necesaria su verificación. |
wstrustClientBinding | Esta propiedad personalizada no tiene un valor predeterminado. |
Utilice esta propiedad personalizada para especificar el nombre de enlace del cliente WS-Trust. |
wstrustClientBindingScope | Puede especificar un valor aplicación o dominio. | Utilice esta propiedad personalizada para especificar el tipo de enlaces del cliente WS-Trust. Se aplican las condiciones siguientes:
Esta propiedad personalizada es opcional. |
wstrustClientPolicy | Esta propiedad personalizada no tiene un valor predeterminado. |
Utilice esta propiedad personalizada para especificar el conjunto de políticas para el cliente WS-Trust . |
wstrustClientSoapVersion | Puede especificar un valor 1.1 o 1.2. |
Utilice esta propiedad personalizada para especificar la versión del mensaje SOAP que el cliente de confianza utiliza para generar el mensaje SOAP. El mensaje SOAP se envía al servicio de señales de seguridad (STS). Si no define esta propiedad personalizada, el módulo de inicio de sesión de señal de seguridad genérico utiliza la versión de SOAP de la aplicación cuando se genera el mensaje SOAP para la solicitud de cliente de confianza. El valor predeterminado corresponde a la versión de SOAP que utiliza el cliente de aplicaciones. Esta propiedad personalizada es opcional. |
wstrustClientWSTNamespace | Especifique uno de los valores siguientes:
|
Utilice esta propiedad personalizada para especificar el espacio de nombres de cliente de confianza que utilizan los módulos de inicio de sesión de señal de seguridad genérico al realizar la solicitud WS-Trust . |
wstrustValidateClientBinding | De forma predeterminada, el valor de esta propiedad personalizada es el mismo valor que el especificado para la propiedad personalizada wstrustClientBinding. |
Utilice esta propiedad personalizada para especificar los enlaces que utiliza la solicitud WS-Trust Validate. Si no especifica esta propiedad personalizada, la solicitud WS-Trust Validate utiliza los mismos enlaces utilizados por WS-Trust Issue, que están definidos mediante la propiedad personalizada wstrustClientBinding. |
wstrustValidateClientPolicy | De forma predeterminada, el valor de esta propiedad personalizada es el mismo valor que el especificado para la propiedad personalizada wstrustClientPolicy. |
Utilice esta propiedad personalizada para especificar los conjuntos de políticas para utilizar con la solicitud WS-Trust Validate. Si no especifica un valor para esta propiedad personalizada, WS-Trust Validate utilizará el mismo conjunto de política que WS-Trust Issue, que es definido por la propiedad personalizada necesaria wstrustClientPolicy. |
wstrustIssuer | Puede utilizar cualquier valor de serie. |
Utilice esta propiedad personalizada para especificar el emisor de la señal de solicitud. Esta propiedad personalizada es opcional. |
wstrustValidateTargetOption | El valor predeterminado es la ampliación del elemento Base de WS-Trust. Puede especificar un valor token o un valor base, que también es el valor predeterminado. |
Utilice esta propiedad personalizada para especificar si el cliente WS-Trust pasa la señal de validación a la señal de seguridad deWS-Trust utilizando el ValidateTarget o la ampliación de elemento base. Se aplican las condiciones siguientes:
|
Propiedades personalizadas del manejador de devolución de llamada para los enlaces del generador de señales.
En la tabla siguiente se enumeran las propiedades personalizadas del manejador de devolución de llamada que solo se pueden utilizar para configurar los enlaces del generador de señales.
Name | Valor | Descripción |
---|---|---|
passThroughToken | Puede utilizar un valor de True o False. El valor predeterminado es False. El valor de esta propiedad personalizada no es sensible a las mayúsculas y minúsculas. |
Utilice esta propiedad personalizada para determinar si la señal de salida debe obtenerse del STS o no. El comportamiento predeterminado consiste en obtener siempre la señal del STS. Cuando esta propiedad se establece en True, la señal de entrada se obtiene en este orden:
Para obtener más información, consulte las siguientes constantes en la documentación de la API Java
com.ibm.wsspi.wssecurity.core.Constants. Esta documentación está disponible en Referencia > Interfaces de programación > API en la navegación del Information Center.
|
useRunAsSubject | Puede utilizar un valor de True o False. El valor predeterminado es True. El valor de esta propiedad personalizada no es sensible a las mayúsculas y minúsculas. |
Utilice esta propiedad personalizada para especificar si los módulos de inicio de sesión de señal de seguridad genérico utilizan la señal del RunAs Subject para la solicitud de salida. De forma predeterminada, el módulo de inicio de sesión utiliza las señales validadas en RunAs Subject en primer lugar. Se aplican las condiciones siguientes:
|
useRunAsSubjectOnly | Puede utilizar un valor de True o False. El valor predeterminado es False. El valor de esta propiedad personalizada no es sensible a las mayúsculas y minúsculas. |
Utilice esta propiedad personalizada para inhabilitar o habilitar WS-Trust Issue en el módulo de inicio de sesión de señal de seguridad genérico. Si define esta propiedad personalizada en un valor true, el módulo de inicio de sesión de señal de seguridad genérica utiliza la señal de RunAs Subject y WS-Trust Validate para intercambiar las señales. El módulo de inicio de sesión de señal de seguridad genérico no utiliza WS-Trust Issue para solicitar una señal incluso si WS-Trust Validate falla o no encuentra una señal coincidente en la RunAs Subject. |
useToken | Puede utilizar cualquier valor de serie del valor de ValueType para la señal de seguridad. |
Cuando se utiliza una señal de seguridad en un RunAs Subject para validar e intercambiar señales para una petición de salida, puede utilizar esta propiedad personalizada para especificar qué valor ValueType de señal de RunAs Subject validar e intercambiar para la señal solicitada. Por ejemplo, es posible que tenga una señal con un valor ValueType de Token_1 en el RunAs Subject. No obstante, el valor de ValueType de Token_2 es la señal necesaria. Puede establecer esta propiedad personalizada en Token_1 . Si no define esta propiedad personalizada, la señal de validación es la señal del RunAs Subject que tiene el mismo valor ValueType que la señal necesaria. Esta propiedad personalizada es opcional. |
validateUseToken | Puede utilizar un valor de True o False. El valor predeterminado es True. El valor de esta propiedad personalizada no es sensible a las mayúsculas y minúsculas. |
Utilice esta propiedad personalizada para especificar si el generador de señales utiliza WS-Trust Validar para validar la señal de la RunAs Subject. De forma predeterminada, el módulo de inicio de sesión de señal de seguridad genérico valida una señal de la RunAs Subject en el servicio de señales de seguridad (STS) antes de enviar la señal en el mensaje SOAP al proveedor de servicios. Si establece este valor de propiedad personalizada en false y el módulo de inicio de sesión de señal de seguridad genérico encuentra una señal coincidente de la RunAs Subject, el módulo de inicio de sesión no invocará WS-Trust Validate para validar la señal coincidente. En su lugar, envía la señal de coincidencia al proveedor de servicios en sentido descendente sin validación. |
wstrustIncludeTokenType | Puede utilizar un valor de True o False. El valor predeterminado es True. El valor de esta propiedad personalizada no es sensible a las mayúsculas y minúsculas. |
Utilice esta propiedad personalizada para especificar si la señal de WS-Trust RequestedSecurityToken incluye el valor ValueType de la señal solicitada. Si no especifica esta propiedad personalizada, los módulos de inicio de sesión de señal de seguridad genérica incluyen el tipo de señal solicitado en la señal WS-Trust RequestedSecurityToken. Esta propiedad personalizada es opcional. |
Propiedades personalizadas del manejador de devolución de llamada para los enlaces del consumidor de señales.
En la tabla siguiente se enumeran las propiedades personalizadas del manejador de devolución de llamada que solo se pueden utilizar para configurar los enlaces del consumidor de señal.
Name | Valor | Descripción |
---|---|---|
alwaysGeneric | Puede utilizar un valor de True o False. El valor predeterminado es False. El valor de esta propiedad personalizada no es sensible a las mayúsculas y minúsculas. |
Utilice esta propiedad personalizada para especificar si el módulo de inicio de sesión crea una señal de seguridad genérica (GenericSecurityToken). Si passThroughToken y esta propiedad se establecen en True, el módulo de inicio de sesión siempre crea una señal de seguridad genérica (GenericSecurityToken) en lugar de un tipo de señal incorporada que corresponde al tipo de valor (valueType) que se ha configurado para la señal. |
exchangedTokenType | El valor válido para esta propiedad personalizada es el valor ValueType de serie para la señal soportada por los módulos de inicio de sesión predeterminados de sistema. |
Utilice esta propiedad personalizada para especificar la nueva señal con el valorValueType definido, que el servicio de confianza debe devolver después de la validación satisfactoria. Si no especifica un valor para la propiedad personalizada, el módulo de inicio de sesión de señal de seguridad genérico aceptará la señal que el servicio de confianza devuelva. Esta propiedad personalizada es opcional. |
passThroughToken | Puede utilizar un valor de True o False. El valor predeterminado es False. El valor de esta propiedad personalizada no es sensible a las mayúsculas y minúsculas. |
Utilice esta propiedad personalizada para especificar si la señal de entrada se debe enviar al STS. El comportamiento predeterminado consiste en enviar siempre la señal de entrada al STS para su validación, intercambio, o ambos. Cuando esta propiedad se establece en True, la señal de entrada no se envía al STS y pasa a través del consumidor. Cuando esta propiedad se establece en True y se utiliza una señal incorporada, la señal se analiza y está disponible en el contexto de WS-Security para ser procesada posteriormente por un módulo de inicio de sesión JAAS de configuración del llamante. |