Valores de las señales de autenticación de generador o consumidor
Se utilizan señales de autenticación para probar o confirmar una identidad. Utilice la consola administrativa para añadir valores de señales de autenticación para partes de mensajes cuando se edita un enlace general.
Para configurar señales de autenticación, complete los pasos siguientes:
- Para ver y seleccionar los enlaces generales que se establecen como enlaces de conjunto de políticas predeterminado de seguridad globales, pulse . Los enlaces especificados se utilizan a menos que se alteren temporalmente en el punto de conexión, en el servidor o en un dominio de seguridad.
- Para acceder a los enlaces generales y configurarlos, y para añadir valores de señal de autenticación para partes de mensajes, pulse .
- Pulse la política WS-Security en la tabla Políticas.
- Pulse en el enlace Autenticación y protección en la sección Enlaces de la política de seguridad de mensajes principales.
- Pulse Nuevo símbolo para crear un nuevo generador o consumidor de señales o pulse un enlace de señal de consumidor o generador existente en la tabla Señales de autenticación.
- Pulse .
- Seleccione una aplicación que contenga servicios web. La aplicación debe contener un proveedor o cliente de servicios.
- Pulse en el enlace Conjuntos de políticas y enlaces de proveedor de servicios o Conjuntos de políticas y enlaces de cliente de servicios en la sección Propiedades de servicios web.
- Seleccione un enlace. Debe tener previamente conectado un conjunto de políticas y asignado un enlace específico de aplicación.
- Pulse la política WS-Security en la tabla Políticas.
- Pulse en el enlace Autenticación y protección en la sección Enlaces principales de la política de seguridad de mensajes.
- Pulse en un enlace de señal de consumidor o generador en la tabla Señales de protección.
Esta página de la consola administrativa se aplica sólo a las aplicaciones JAX-WS (Java™ API for XML Web Services).
Name
Especifica el nombre de la señal que se va a configurar. Cuando se utilizan enlaces específicos de aplicación, este campo no se visualiza.
Tipo de señal
Especifica el tipo de símbolo que se configura.
Si va a utilizar enlaces específicos de aplicación, el tipo de señal se obtiene del archivo de política y es de sólo lectura. Cuando vaya a utilizar generales, seleccione un tipo de enlace en la lista. Están disponibles los siguientes tipos de señal:
- X509V3 Token V1.1
- X509V3 Token V1.0
- Username Token V1.1
- Username Token V1.0
- X509PKCS7 Token V1.1
- X509PKCS7 Token V1.0
- X509PkiPathV1 Token V1.1
- X509PkiPathV1 Token V1.0
- LTPA Propagation Token
- X509V1 Token V1.1
- LTPA Token
- LTPA Token V2.0
- Señal personalizada
Si selecciona una señal LTPA como tipo de señal para el generador de señales, debe habilitarse la modalidad de interoperatividad de inicio de sesión único. Se trata de un valor de la seguridad global de SIP y Web. Si el distintivo de interoperatividad no está establecido como habilitado (true), se produce un error cuando se inicia la aplicación que está conectada a estos enlaces. Si desea utilizar la señal LTPA sin comprobar el estado del distintivo de interoperatividad, puede establecer la propiedad personalizada, com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7, en el generador de señales. Establezca la propiedad utilizando la consola administrativa, tal como se describe en el tema Habilitar o inhabilitar la modalidad de interoperatividad de inicio de sesión único para la señal LTPA. La propiedad no se puede establecer utilizando la API de seguridad de servicios Web.
Nombre local
Especifica el nombre local del consumidor o generador de señales de autenticación. El campo Nombre local se rellena en base al tipo de señal que se visualiza. Utilice este campo para editar únicamente los tipos de señales personalizadas.
URI
Especifica el identificador de recursos uniforme (URI) del consumidor o generador de símbolos de autenticación. El campo URI se rellena en base al tipo de señal que se visualiza. Utilice este campo para editar únicamente los tipos de señales personalizadas.
Deje este campo en blanco si utiliza el tipo de señal personalizada para generar una señal Kerberos como se define en la especificación OASIS de Web Services Security para el perfil de señales Kerberos v1.1.
Referencia de señal de seguridad
Especifica la referencia del símbolo de seguridad. El campo de referencia de señal de seguridad sólo se muestra para las señales de autenticación de enlaces específicos de aplicación. Este campo no está disponible para enlaces predeterminados.
Inicio de sesión JAAS
Especifica una lista de los inicios de sesión JAAS (Java Authentication and Authorization Service) de aplicación y del sistema que están en vigor para el dominio que es el ámbito del enlace.
Si una aplicación tiene como ámbito la seguridad global o si el ámbito es un dominio que no personaliza sus propios inicios de sesión JAAS, se visualizará la lista de inicios de sesión globales en la lista de menús. Pulse Nuevo inicio de sesión de aplicación para acceder a la colección de inicios de sesión de aplicación JAAS global. El comportamiento de la lista del menú Inicio de sesión JAAS y el botón Nuevo inicio de sesión de aplicación depende de si el enlace se va a crear junto con una conexión. Preste atención cuando cambie de dominios de seguridad ya que puede que una configuración de seguridad referenciada anteriormente, como, por ejemplo, inicios de sesión JAAS, no sea accesible en un dominio de seguridad diferente.
Propiedades personalizadas - Nombre
Especifica el nombre utilizado para la propiedad personalizada.
Las propiedades personalizadas al principio no se visualizan en esta columna. Pulse uno de los siguientes botones para habilitar las acciones que se describen:
Botón | Acción resultante |
---|---|
Nuevo | Crea una nueva entrada de propiedad personalizada. Para añadir una propiedad personalizada, especifique el nombre y el valor. |
Editar | Habilita la propiedad personalizada seleccionada que se desea editar. Pulse este botón proporciona campos de entrada y crea el listado de valores de célula que se debe editar. Para visualizar el botón Editar se debe añadir como mínimo una propiedad personalizada. |
Suprimir | Elimina la propiedad personalizada seleccionada. |
Propiedades personalizadas - Valor
Especifica el valor de la propiedad personalizada que se va a utilizar. Utilice el campo Valor para entrar, editar o suprimir el valor de una propiedad personalizada.
Si se utiliza el tipo de señal personalizada para generar una señal Kerberos, especifique las propiedades personalizadas siguientes:
Nombre de propiedad personalizada | Valor |
---|---|
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName | Especifica el nombre del servicio de destino. Esta propiedad es |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost | Especifica el nombre de host que está asociado con el servicio de destino en
el formato siguiente: myhost.mycompany.com. Esta propiedad es |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm | Especifica el nombre del reino asociado al servicio
de destino. Esta propiedad es opcional para un solo |
com.ibm.wsspi.wssecurity.krbtoken.clientRealm | Especifica el nombre del reino Kerberos asociado
con el cliente. Esta propiedad es opcional para un solo entorno de reino Kerberos. |
com.ibm.wsspi.wssecurity.krbtoken.loginPrompt | Habilita el inicio de sesión de Kerberos cuando el valor es True.
El valor predeterminado es False. Esta propiedad es |
Para el generador de señales, la combinación del nombre de servicio de destino y el nombre de host de destino forma un Nombre principal de servicio (SPN) que representa el nombre principal del servicio Kerberos de destino. El cliente Kerberos solicita la señal Kerberos inicial AP_REQ para SPN.
Si una aplicación genera o consume una señal Kerberos V5 AP_REQ para cada mensaje de solicitud de servicios web, establezca la propiedad personalizada com.ibm.wsspi.wssecurity.kerberos.attach.apreq en true en el generador de señales y los enlaces de consumidor de señales para la aplicación. Para obtener más información, consulte el tema de consejos para la resolución de problemas de seguridad de los servicios Web.
Manejador de retorno de llamada
Enlaces con la página del Manejador de retorno de llamada donde se pueden configurar manejadores de retorno de llamada. Los valores del manejador de retorno de llamada determinan cómo se adquieren los símbolos de seguridad de las cabeceras de mensajes.
Si trabaja con un símbolo de nombre de usuario o un símbolo LTPA que utiliza enlaces por omisión, es posible que los nombres de usuario y las contraseñas se hayan proporcionado como ejemplos. Es necesario actualizar los valores para estos tipos de símbolos.