Configurações do Gerador de Autenticação ou do Token do Consumidor
Tokens de autenticação são utilizados para provar ou fazer asserção de uma identidade. Utilize o console administrativo para incluir configurações do token de autenticação para partes da mensagem quando estiver editando uma ligação geral.
Para configurar os tokens de autenticação, execute estas etapas:
- Para visualizar e selecionar as ligações gerais definidas como as ligações do conjunto de política padrão de segurança global, clique em . As ligações especificadas serão utilizadas, a menos que sejam substituídas no ponto de conexão, no servidor ou em um domínio de segurança.
- Para acessar e configurar as ligações gerais e para incluir as configurações do token de autenticação para as partes da mensagem, clique em .
- Clique na política WS-Security na tabela Políticas.
- Clique no link Autenticação e Proteção na seção de ligações da política de segurança da Mensagem Principal.
- Clique em Novo Token para criar um novo gerador ou consumidor de token ou clique em um link de token consumidor ou gerador na tabela de Tokens de Autenticação.
- Clique em .
- Selecione um aplicativo que contenha serviços da Web. O aplicativo deve conter um provedor de serviços ou um cliente de serviço.
- Clique no link Conjuntos de Políticas e Ligações do Provedor de Serviços ou no link Conjuntos de Políticas e Ligações do Cliente de Serviço na seção Propriedades de Serviços da Web.
- Selecione uma ligação. Você deve ter anexado um conjunto de política e designado uma ligação específica do aplicativo anteriormente.
- Clique na política WS-Security na tabela Políticas.
- Clique no link Autenticação e Proteção na seção de ligações da política de segurança da Mensagem Principal.
- Clique em um link de token do consumidor ou do gerador a partir da tabela Tokens de Proteção.
Esta página do console administrativo se aplica somente aos aplicativos Java™ API for XML Web Services (JAX-WS).
Nome
Especifica o nome do token que está sendo configurado. Ao utilizar ligações específicas do aplicativo, esse campo não será exibido.
Tipo de Token
Especifica o tipo de token que está sendo configurado.
Quando você estiver utilizando ligações específicas do aplicativo, o tipo de token será obtido do arquivo de políticas e será de leitura. Ao utilizar ligações gerais, selecione um tipo de token na lista. Os seguintes tipos de token estão disponíveis:
- X509V3 Token V1.1
- X509V3 Token V1.0
- Username Token V1.1
- Username Token V1.0
- X509PKCS7 Token V1.1
- X509PKCS7 Token V1.0
- X509PkiPathV1 Token V1.1
- X509PkiPathV1 Token V1.0
- Token de Propagação do LTPA
- X509V1 Token V1.1
- Token LTPA
- Token LTPA V2.0
- Token Customizado
Se você selecionar o Token LTPA como o tipo de token para o gerador de tokens, o modo de interoperabilidade de conexão única deverá ser ativado. Essa é uma configuração de segurança global da segurança da Web e SIP. Se o sinalizador de interoperabilidade não estiver definido como ativado (true), ocorrerá um erro quando o aplicativo que está conectado a essas ligações for iniciado. Se você quiser utilizar o token LTPA sem verificar o estado do sinalizador de interoperabilidade, poderá definir a propriedade customizada com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 no gerador de tokens. Configure a propriedade utilizando o console administrativo, conforme descrito no tópico Ativando ou Desativando o Modo de Interoperabilidade de Conexão Única para o Token LTPA. A propriedade não pode ser configurada por meio do uso da API Web Services Security.
Nome Local
Especifica o nome local do gerador ou consumidor de tokens de autenticação. O campo Nome Local é preenchido com base no tipo de token exibido. Utilize este campo para editar os tipos de token customizados apenas.
URI
Especifica o URI (Identificador Uniforme de Recursos) do token de autenticação gerador ou consumidor. O campo URI é preenchido com base no tipo de token exibido. Utilize este campo para editar os tipos de token customizados apenas.
Deixe esse campo em branco se o tipo de token customizado for utilizado para gerar um token Kerberos, conforme definido no OASIS Web Services Security Specification for Kerberos Token Profile v1.1.
Referência do Token de Segurança
Especifica a referência do token de segurança. O campo de referência do token de segurança é exibido apenas para tokens de autenticação em ligações específicas do aplicativo. Esse campo não está disponível para ligações padrão.
Login JAAS
Especifica uma lista de logins do JAAS (Java Authentication and Authorization Service) de aplicativo e sistema que são efetivos para o domínio para o qual o escopo da ligação é definido.
Se um aplicativo tiver o escopo definido para a segurança global ou se tiver o escopo definido para um domínio que não customize seus próprios logins do JAAS, a lista de logins globais será exibida na lista de menu. Clique em Login do Novo Aplicativo para acessar a coleção de login do aplicativo JAAS global. O comportamento da lista de menu e do botão Login do Novo Aplicativo do login JAAS depende de a ligação ser criada associada ou não a uma conexão. Tome cuidado ao alterar os domínios de segurança, visto que a configuração de segurança com referência anterior, como logins JAAS, podem não estar acessível em um domínio de segurança diferente.
Propriedades Customizadas – Nome
Especifica o nome utilizado para a propriedade customizada.
As propriedades customizadas não são exibidas inicialmente nesta coluna. Clique em um dos seguintes botões para ativar as ações descritas:
Botão | Ação Resultante |
---|---|
Novo(a) | Cria uma nova entrada de propriedade customizada. Para incluir uma propriedade customizada, digite o nome e o valor. |
Editar | Ativa a propriedade customizada selecionada a ser editada. Clicar neste botão oferece campos de entrada e cria a listagem de valores de célula a serem editados. O botão Editar não está disponível até que pelo menos uma propriedade customizada tenha sido incluída. |
Excluir | Remove a propriedade customizada selecionada. |
Propriedades Customizadas – Valor
Especifica o valor da propriedade customizada a ser utilizada. Utilize o campo Valor para inserir, editar ou excluir o valor de uma propriedade customizada.
Se o tipo de token customizado for utilizado para gerar um token Kerberos, especifique as seguintes propriedades customizadas:
Nome da propriedade customizada | Valor |
---|---|
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName | Especifica o nome do serviço de destino. Essa propriedade é requerida. |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost | Especifica o nome do host associado com o serviço de destino no seguinte formato:
myhost.mycompany.com. Essa propriedade é requerida. |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm | Especifica o nome da região associada ao serviço de destino. Esta propriedade é opcional para |
com.ibm.wsspi.wssecurity.krbtoken.clientRealm | Especifica o nome da região do Kerberos associada ao cliente. Esta propriedade é opcional para um único ambiente da região do |
com.ibm.wsspi.wssecurity.krbtoken.loginPrompt | Ativa o login do Kerberos quando o valor é True.
O valor padrão é False. Essa propriedade é requerida. |
Para o gerador de tokens, a combinação do nome de serviço de destino e o nome do host de destino forma o SPN (Service Principal Name), que representa o nome principal do serviço Kerberos de destino. O cliente Kerberos solicita o token do Kerberos AP_REQ inicial para o SPN.
Se um aplicativo gera ou consome um token Kerberos V5 AP_REQ para cada mensagem de solicitação de serviços da Web, configure a propriedade customizada com.ibm.wsspi.wssecurity.kerberos.attach.apreq para true no gerador de token e nas ligações do consumidor de token para o aplicativo. Para obter informações adicionais, consulte o tópico de dicas de resolução de problemas da Segurança dos Serviços da Web.
Manipulador de Retorno de Chamada
Links para a página Manipulador de Retorno de Chamada em que é possível configurar manipuladores de retorno de chamada. As configurações do manipulador de retorno de chamada determinam como os tokens de segurança são adquiridos dos cabeçalhos de mensagem.
Se você estiver trabalhando com um token do Nome do usuário ou um token LTPA que esteja utilizando ligações padrão, os nomes de usuário e senhas podem ter sido fornecidos como exemplos. É necessário atualizar os valores desses tipos de token.