A segurança dos serviços da Web suporta os tokens LTPA (Versão 1) e
LTPA Versão 2 (LTPA2). O token LTPA2, que é mais seguro que a Versão 1, é
suportado apenas pelo tempo de execução JAX-WS.
Evitar Problemas: As instruções de suporte deste tópico aplicam-se à implementação
de segurança de serviços da Web do WebSphere Application
Server e não à implementação de segurança da funcionalidade de serviços que não sejam da Web.
gotcha
O token LTPA (Lightweight Third Party Authentication) é um tipo específico de token de
segurança binário. A implementação de segurança de serviços da Web do
WebSphere Application Server, Versão 5
e posterior suporta o token LTPA Versão 1. O WebSphere Application
Server Versão 7 e posterior suporta o token LTPA Versão 2 usando o ambiente de tempo de execução
JAX-WS.
Embora a mesma asserção LTPAToken seja usada na política para
LTPA Versão 1 e LTPA Versão 2, o valor valuetype do token Versão
2 é diferente da Versão 1. O valor valuetype é composto do URI e
do nome do local. A tabela a seguir mostra os valores
valuetype das versões do token LTPA quando eles são selecionados
como o tipo de token das ligações do conjunto de políticas. Esses valores não são
editáveis.
Tabela 1. Versões do token LTPA e seus valores valuetype. Esta tabela lista os valores valuetype
dos tokens LTPA (Versão 1) e LTPA2.Token Versão LTPA |
Valor Valuetype |
LTPA (Versão 1) |
http://www.ibm.com/websphere/appserver/tokentype/5.0.2/LTPA |
LTPA2 |
http://www.ibm.com/websphere/appserver/tokentype/LTPAv2 |
Para permitir a interoperabilidade entre os servidores que estão executando versões diferentes do WebSphere Application Server, por padrão, o tempo de
execução dos serviços da Web JAX-WS na Versão 7.0 e posterior pode consumir
com êxito um token LTPA Versão 1 quando a ligação estiver configurada para
esperar um token LTPA2. Entretanto, é possível configurar a ligação para o tempo
de execução JAX-WS para aceitar apenas tokens LTPA2. Para obter informações adicionais,
consulte a documentação sobre o Gerador de autenticação ou as configurações do token do consumidor.
Se o tempo de execução dos serviços da Web receber um token com um valor
valuetype não reconhecido e o cabeçalho de segurança SOAP contiver um valor de atributo mustUnderstand
que seja igual a '1', o tempo de execução dos serviços da Web emitirá um erro
SOAPFaultException. Se o valor de atributo mustUnderstand for igual a '0', o token será ignorado.
Se um token LTPA2 for enviado com um valor de atributo mustUnderstand que seja igual a
'1' para um tempo de execução de segurança dos serviços da Web no qual o
token LTPA2 não seja suportado, o tempo de execução não reconhecerá o valor valuetype do LTPAv2. Além disso, o tempo de execução de recebimento emitirá um erro SOAPFaultException. A seguinte tabela ilustra essas diferentes configurações e suas possíveis mensagens de erro.
Tabela 2. Configurações do token LTPA. Esta tabela lista se o token LTPA Versão 1 é opcional ou necessário,
lista o valor de atributo mustUnderstand associado, lista seu tempo de execução
e fornece o erro SOAPFaultException resultante, se aplicávelTempo de execução |
Status do token LTPA Versão 1 |
Valor do atributo MustUnderstand |
Erro SOAPFaultException |
JAX-RPC |
Required |
1 |
com.ibm.wsspi.wssecurity.SoapSecurityException:
WSEC5509E: Um token de segurança cujo tipo é
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA]
é necessário.
|
JAX-RPC |
Required |
0 |
com.ibm.wsspi.wssecurity.SoapSecurityException:
WSEC5509E: Um token de segurança cujo tipo é
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA]
é necessário.
|
JAX-RPC |
Opcional |
1 |
com.ibm.wsspi.wssecurity.SoapSecurityException:
WSEC5502E: Elemento inesperado como o elemento de destino:
s:BinarySecurityToken.
|
JAX-RPC |
Opcional |
0 |
Nenhuma |
JAX-RPC |
Não Configurado |
1 |
com.ibm.wsspi.wssecurity.SoapSecurityException:
WSEC5502E: Elemento inesperado como o elemento de destino:
s:BinarySecurityToken.
|
JAX-RPC |
Não Configurado |
0 |
Nenhuma |
JAX-WS (Versão 6.1 do Feature Pack for Web
Services) |
Não Configurado |
1 |
CWWSS5502E: O elemento de destino:
s:BinarySecurityToken não era esperado.
|
JAX-WS (Versão 6.1 do Feature Pack for Web
Services) |
Não Configurado |
0 |
Nenhuma |
JAX-WS (Versão 6.1 do Feature Pack for Web
Services) |
Configurado |
1 |
CWWSS5509E: Um token de segurança cujo tipo é
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA]
é necessário.
|
JAX-WS (Versão 6.1 do Feature Pack for Web
Services) |
Configurado |
0 |
CWWSS5509E: Um token de segurança cujo tipo é
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA]
é necessário.
|
Você pode configurar o tempo de execução JAX-WS para gerar os tokens LTPA (Versão
1) ou LTPA2. Se configurar o gerador de token LTPA em uma ligação de política
para gerar um token LTPA (Versão 1), deverá executar um dos seguintes procedimentos:
- Ative o modo de interoperabilidade de conexão única, que está disponível
no painel Conexão Única (SSO) no console administrativo.
Para obter informações
adicionais sobre essa opção, consulte a documentação sobre configurações de conexão única.
- Configure a propriedade customizada com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 para true para o gerador de token LTPA.
Se pelo menos uma das etapas indicadas anteriormente não for executada, um erro ocorre quando o aplicativo, que está anexado nestas construções, é iniciado.