Configurando os Consumidores de Token Utilizando o JAX-RPC para Proteger a Autenticidade da Mensagem no Nível do Aplicativo.
Você pode especificar o consumidor de token no nível do aplicativo. As informações do consumidor de token são utilizadas no lado do consumidor para incorporar o token de segurança.
Antes de Iniciar
É necessário entender que as informações de keystore/alias fornecidas para o gerador e as informações de keystore/alias fornecidas para o consumidor são usadas para propósitos diferentes. A diferença principal se aplica ao Alias para um manipulador de retorno de chamada X.509.
Quando usado em associação a um consumidor de criptografia, o alias fornecido ao consumidor é usado para recuperar a chave privada para decriptografar a mensagem. Uma senha é necessária. Quando associado a um consumidor de assinatura, o alias fornecido para o consumidor é usado estritamente para recuperar a chave pública usada para resolver um certificado X.509 que não é transmitido no cabeçalho de segurança SOAP como um BinarySecurityToken. Uma senha não é necessária.
Sobre Esta Tarefa
Conclua as seguintes etapas para configurar o consumidor de token no nível do aplicativo.
Procedimento
- Localize o painel de consumidor de token no console administrativo.
- Clique em Aplicativos > Tipos de Aplicativos > Aplicativos Corporativos do WebSphere > application_name.
- Em Módulos, clique em Gerenciar Módulos > URI_name.
- Em Propriedades de Segurança de Serviços da Web,
é possível acessar o consumidor de token para as seguintes ligações:
- Para a ligação do consumidor de pedidos (receptor), clique em Serviços da Web: Ligações de Segurança do Servidor. Em Ligação do Consumidor de Pedidos (Receptor), clique em Editar Customização.
- Para a ligação do consumidor de resposta (receptor), clique em Serviços da Web: Ligações de Segurança do Cliente. Em Ligação do Consumidor de Respostas (Receptor), clique em Editar Customização.
- Em Propriedades Requeridas, clique em Consumidor de Token.
- Clique em Novo para criar uma configuração de consumidor de token, clique em Excluir para excluir uma configuração existente ou clique no nome de uma configuração de consumidor de token existente para editar suas definições. Se estiver criando uma nova configuração, digite um nome exclusivo no campo Nome do Consumidor de Token. Por exemplo, é possível especificar con_signtcon.
- Especifique um nome de classe no campo
Nome da Classe do Consumidor de Token. A implementação do Módulo de Login do Java™ Authentication and Authorization Service (JAAS)
é utilizada para validar (autenticar) o token de segurança
no lado do consumidor.
O nome da classe do consumidor de token para o consumidor de pedido e o consumidor de resposta deve ser semelhante ao nome da classe do gerador de token para o gerador de pedido e o gerador de resposta. Por exemplo, se seu aplicativo precisar de um consumidor de token do nome do usuário, será possível especificar o nome da classe com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator no painel Gerador de Token para o nível do aplicativo e o nome da classe com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer neste campo.
- Opcional: Selecione uma referência de parte no campo
Referência da Parte. A referência de parte indica o nome do token de segurança
definido no descritor de implementação.
Por exemplo, se você receber um token do
nome do usuário em sua mensagem de pedido, poderá fazer referência ao
token no consumidor de token do nome do usuário. Importante: No nível do aplicativo, se não for especificado um token de segurança em seu descritor de implementação, o campo Referência da Parte não é exibido. Se você definir um token de segurança chamado user_tcon no descritor de implementação, user_tcon será exibido como uma opção no campo Referência da Parte.
- Opcional: Na seção do caminho do certificado do painel, selecione
um tipo de armazenamento de certificados e indique a âncora de confiança e o nome do
armazenamento de certificados, se necessário. Estas opções e campos são necessários
quando você especifica com.ibm.wsspi.wssecurity.token.X509TokenConsumer como o nome da classe do consumidor de token. Os nomes da âncora de confiança e do armazenamento de certificados de coleção são criados no caminho do certificado sob seu consumidor de token. Restrição: A interface com.ibm.wsspi.wssecurity.token.TokenConsumingComponent não é usado com os serviços da Web JAX-WS. Se estiver usando serviços da Web JAX-RPC, essa interface ainda é válida.
É possível selecionar uma das seguintes opções:
- Nenhuma
- Se esta opção for selecionada, o caminho do certificado não será especificado.
- Confiar em Todos
- Se esta opção for selecionada, todos os certificados serão confiáveis. Quando o token recebido for consumido, o Application Server não validará o caminho do certificado.
- Informações sobre Assinatura Dedicada
- Se você selecionar esta opção, poderá selecionar uma âncora de confiança e uma configuração
do armazenamento de certificados. Quando selecionar a âncora de confiança ou o armazenamento de certificados de um certificado confiável, será necessário configurar a âncora de confiança e o
armazenamento de certificados antes de definir o caminho do certificado.
- Âncora de confiança
- Uma âncora de confiança especifica uma lista de configurações do armazenamento de chaves que contêm certificados raiz confiáveis. Estas configurações são utilizadas para validar o caminho do certificado de tokens de segurança formatados por X.509 que chegam. Os objetos do armazenamento de chaves nas âncoras de confiança contêm certificados raiz confiáveis que são
utilizados pela API CertPath para validar a confiança de uma cadeia de certificados.
Você deve criar o arquivo de armazenamento de chaves utilizando o utilitário keytool, que está localizado no arquivo install_dir/java/jre/bin/keytool.
Você deve criar o arquivo de armazenamento de chaves utilizando o utilitário keytool. O utilitário keytool fica disponível utilizando o QShell Interpreter.
É possível configurar âncoras de confiança para o nível do aplicativo concluindo as seguintes etapas:- Clique em Aplicativos > Tipos de Aplicativos > Aplicativos Corporativos do WebSphere > application_name.
- Em Itens Relacionados, clique em Módulos EJB ou Módulos da Web > URI_name.
- Acesse o consumidor de token a partir das seguintes ligações:
- Para a ligação do consumidor de pedidos (receptor), clique em Serviços da Web: Ligações de Segurança do Servidor. Em Ligação do Consumidor de Pedidos (Receptor), clique em Editar Customização.
- Para a ligação do consumidor de resposta (receptor), clique em Serviços da Web: Ligações de Segurança do Cliente. Em Ligação do Consumidor de Respostas (Receptor), clique em Editar Customização.
- Em Propriedades Adicionais, clique em Âncoras de Confiança.
- Armazenamento de certificados de coleção
- Um armazenamento de certificados de coleção inclui uma lista de certificados não confiáveis intermediários e de CRLs (Certificate Revocation Lists). Este armazenamento de certificados de coleção é utilizado para validar o caminho do certificado de tokens de segurança formatados
por X.509 que chegam. É possível configurar o armazenamento de certificados de coleção para o nível do aplicativo concluindo as seguintes etapas:
- Clique em Aplicativos > Tipos de Aplicativos > Aplicativos Corporativos do WebSphere > application_name.
- Em Itens Relacionados, clique em Módulos EJB ou Módulos da Web > URI_name.
- Acesse o consumidor de token a partir das seguintes ligações:
- Para a ligação do consumidor de pedidos (receptor), clique em Serviços da Web: Ligações de Segurança do Servidor. Em Ligação do Consumidor de Pedidos (Receptor), clique em Editar Customização.
- Para a ligação do consumidor de resposta (receptor), clique em Serviços da Web: Ligações de Segurança do Cliente. Em Ligação do Consumidor de Respostas (Receptor), clique em Editar Customização.
- Em Propriedades Adicionais, clique em Armazenamento de Certificados de Coleção.
- Opcional: Especifique um avaliador de ID confiável. O avaliador de ID confiável é utilizado para determinar se o ID recebido é confiável. É possível selecionar uma das seguintes opções:
- Nenhuma
- Se esta opção for selecionada, o avaliador de ID confiável não será especificado.
- Definição de Avaliador Existente
- Se esta opção for selecionada, será possível selecionar um dos avaliadores de IDs confiáveis configurados. Por exemplo, é possível selecionar SampleTrustedIDEvaluator, fornecido pelo WebSphere Application Server como exemplo.
- Definição do Avaliador de Ligação
- Se você selecionar esta opção, poderá configurar um novo avaliador de ID confiável,
especificando um nome e um nome de classe do avaliador de ID confiável.
- Nome do Avaliador de ID Confiável
- Especifica o nome utilizado pela ligação de aplicativo para referir-se a um avaliador de ID (identidade) confiável definido nas ligações padrão.
- Nome da Classe do Avaliador de ID Confiável
- Especifica o nome da classe do avaliador de ID confiável. O nome da classe do avaliador de ID confiável especificado deve implementar a interface
com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator. A classe padrão TrustedIDEvaluator é com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl.
Quando utilizar esta classe padrão TrustedIDEvaluator, será necessário especificar as propriedades de nome e valor para que o avaliador de ID confiável padrão crie a lista de IDs
confiáveis para avaliação. Para especificar as propriedades de nome e valor, conclua as seguintes etapas:
- Em Propriedades Adicionais, clique em Propriedades > Novo.
- Especifique o nome do avaliador de ID confiável no campo Propriedade. Você deve especificar o nome do formato trustedId_n em que _n é um inteiro de 0 a n.
- Especifique o ID confiável no campo Valor.
Por exemplo:property name="trustedId_0", value="CN=Bob,O=ACME,C=US" property name="trustedId_1, value="user1"
Se for utilizado o DN (Nome Distinto), o espaço será removido para comparação. Consulte as informações sobre o modelo de programação na documentação para obter uma explicação de como implementar a interface com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator. Para obter mais informações, consulte Implementações Padrão da Interface de Programação do Provedor de Serviço de Segurança dos Serviços da Web.
Nota: Defina o avaliador de ID confiável no nível do servidor em vez de no nível do aplicativo. Para definir o avaliador de ID confiável no nível do servidor, conclua as seguintes etapas:- Clique em Servidores > Tipos de Servidor > Servidores de Aplicativos do WebSphere > server_name.
- Em Segurança, clique em Tempo de Execução de Segurança dos JAX-WS e JAX-RPC.
Ambiente de Versões Mistas: Em uma célula de nó combinado com um servidor usando o WebSphere Application Server versão 6.1 ou anterior, clique em Serviços da Web: Ligações Padrão de Segurança de Serviços da Web.mixv
- Em Propriedades Adicionais, clique em Avaliadores de IDs Confiáveis.
- Clique em Novo para definir um novo avaliador de ID confiável.
A configuração do avaliador de ID confiável está disponível apenas para o consumidor de token no nível do aplicativo do lado do servidor.
- Opcional: Selecione a opção Verificar Nonce. Esta opção indica se é necessário verificar um nonce no token do nome do usuário, se ele for especificado para o consumidor de token. Nonce é um número criptográfico exclusivo incorporado em uma mensagem para ajudar a interromper repetidos ataques não autorizados de tokens do nome do usuário. A opção Verificar Nonce é válida apenas quando o tipo de token incorporado é um token do nome do usuário.
- Opcional: Selecione a opção Verificar Time Stamp. Esta opção indica se será necessário verificar um registro de data e hora no token do nome do usuário. A opção Verificar Nonce é válida apenas quando o tipo de token incorporado é um token do nome do usuário.
- Especifique o nome local do tipo de valor no campo Nome Local. Este campo especifica o nome local do tipo de valor para o token
consumido. Para um token do nome do usuário e um token de segurança de certificado X.509, o WebSphere Application Server fornece nomes de local predefinidos para o tipo de valor.
Tabela 1. Combinações de URI (Uniform Resource Identifier) e Nome Local. O valor do nome local indica o tipo de token consumido. URI Nome Local Description Um URI de espaço de nomes não é aplicável. Especifique http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 como o valor de nome local. Especifica o nome de um token de certificado X.509 Um URI de espaço de nomes não é aplicável. Especifique http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1 como o valor de nome local. Especifica o nome dos certificados X.509 em um caminho PKI Um URI de espaço de nomes não é aplicável. Especifique http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7 como o valor de nome local. Especifique uma lista de certificados X509 e CRLs (Certificate Revocation Lists) em um PKCS#7 Especifique http://www.ibm.com/websphere/appserver/tokentype/5.0.2 como o valor de URI. Especifique LTPA como o valor de nome local. Especifique um token de segurança binário contém um token LTPA (Lightweight Third Party Authentication) incorporado. - Opcional: Especifique a URI do tipo de valor no campo URI. Esta entrada especifica o URI de namespace do tipo de valor para o token
consumido.Lembre-se: Se você especificar o consumidor de token para um token do nome do usuário ou para um token de segurança de certificado X.509, não será necessário especificar um URI de tipo de valor.
Se desejar especificar outro token, será necessário especificar o nome local e o URI. Por exemplo, se você tiver uma implementação de seu próprio token customizado, poderá especificar CustomToken no campo Nome Local e http://www.ibm.com/custom
- Clique em OK e Salvar para salvar a configuração.
- Clique no nome da configuração do consumidor de token.
- Em Propriedades Adicionais, clique em Configuração de JAAS. A configuração do JAAS (Java Authentication and Authorization Service) especifica o nome da configuração JAAS definido no painel de login JAAS. A configuração do JAAS especifica como o token efetua login no lado do consumidor.
- Selecione uma configuração JAAS do campo
Nome de Configuração JAAS. O campo especifica o nome do sistema JAAS da configuração de login do
aplicativo. É possível especificar o sistema JAAS adicional
e as configurações de aplicativos, clicando em Segurança Global. Em Autenticação, clique em Java Authentication and Authorization Service e, em seguida, clique em Logins do Aplicativo > Novo ou Logins do Sistema > Novo.
Para obter informações adicionais sobre as configurações do JAAS, consulte Definições de Configuração de JAAS. Não remova as configurações de login do sistema ou do aplicativo predefinidas. No entanto, nessas configurações, é possível incluir nomes de classes de módulos e especificar a ordem na qual o WebSphere Application Server carrega cada módulo. O WebSphere Application Server fornece as seguintes configurações predefinidas do JAAS:
- ClientContainer
- Esta seleção especifica a configuração de login utilizada por aplicativos de contêiner do cliente. A configuração utiliza a API (Interface de Programação de Aplicativos) CallbackHandler definida no descritor de implementação do contêiner do cliente. Para modificar esta configuração, consulte o painel de configuração do JAAS para ver os logins de aplicativos.
- WSLogin
- Esta seleção especifica se todos os aplicativos podem usar a configuração WSLogin para executar a autenticação para o tempo de execução de segurança. Para modificar esta configuração, consulte o painel de configuração do JAAS para ver os logins de aplicativos.
- DefaultPrincipalMapping
- Esta seleção especifica a configuração de login utilizada pelo J2C (Java 2 Connectors) para mapear usuários para proprietários definidos nas entradas de dados de autenticação do J2C. Para modificar esta configuração, consulte o painel de configuração do JAAS para ver os logins de aplicativos.
- system.LTPA_WEB
- Esta seleção processa pedidos de login que são usados pelo contêiner da Web, como arquivos de servlets e JavaServer Pages (JSPs). Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
- system.RMI_OUTBOUND
- Essa seleção processa pedidos RMI que são enviados para um outro servidor quando a propriedade
com.ibm.CSIOutboundPropagationEnabled
for true. Essa propriedade é configurada no painel Autenticação do CSIv2.
Para acessar o painel, clique em Segurança > Segurança Global. Em Autenticação, clique em Segurança RMI/IIOP > Autenticação de saída CSIv2. Para configurar a propriedade com.ibm.CSIOutboundPropagationEnabled, selecione Propagação do Atributo de Segurança. Para modificar essa configuração de login do JAAS, consulte o painel JAAS - Logins do Sistema.
- system.wssecurity.X509BST
- Esta seleção verifica um BST (Token de Segurança Binário) X.509, verificando a validade do certificado e do caminho do certificado. Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
- system.wssecurity.PKCS7
- Esta seleção verifica um certificado X.509 em um objeto PKCS7 que pode incluir uma cadeia de certificados, uma Certificate Revocation List, ou ambas. Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
- system.wssecurity.PkiPath
- Esta seção verifica um certificado X.509 com um caminho de PKI (Infra-estrutura da Chave Pública). Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
- system.wssecurity.UsernameToken
- Esta seleção verifica os dados de autenticação básica (nome do usuário e senha). Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
- system.wssecurity.IDAssertionUsernameToken
- Essa seleção suporta o uso de asserção de identidade em aplicativos Versões 6 e mais recente para mapear um nome de usuário para um proprietário de credencial do WebSphere Application Server. Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
- system.WSS_INBOUND
- Esta seleção especifica a configuração de login para pedidos de entrada ou de consumidor para propagação de token de segurança usando a Segurança de Serviços da Web. Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
- system.WSS_OUTBOUND
- Esta seleção especifica a configuração de login para saída ou pedidos de gerador para propagação do token de segurança usando a Segurança dos Serviços da Web. Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
- Nenhuma
- Com esta seleção, não é necessário especificar uma configuração de login de JAAS.
- Clique em OK e, em seguida, em Salvar para salvar a configuração.
Resultados
O que Fazer Depois
Subtópicos
Definições de Configuração de Ligação do Consumidor de Pedido (Receptor)
Utilize esta página para especificar a configuração de ligação para o consumidor de pedido.Definições de Configuração de Ligação do Consumidor de Resposta (Receptor)
Utilize esta página para especificar a configuração de ligação para o consumidor de resposta.Definições de Configuração de JAAS
Utilize esta página para especificar o nome da configuração JAAS (Java Authentication and Authorization Service) que é definido no painel de login JAAS.Definições de Configuração de Ligação do Consumidor de Pedido (Receptor)
Utilize esta página para especificar a configuração de ligação para o consumidor de pedido.Definições de Configuração de Ligação do Consumidor de Resposta (Receptor)
Utilize esta página para especificar a configuração de ligação para o consumidor de resposta.Definições de Configuração de JAAS
Utilize esta página para especificar o nome da configuração JAAS (Java Authentication and Authorization Service) que é definido no painel de login JAAS.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokenconsapp
Nome do arquivo: twbs_configtokenconsapp.html