Propriedades Customizadas de Segurança de Serviços da Web

É possível configurar pares de dados nome-valor, onde o nome é uma chave de propriedade e valor é um valor de cadeia que pode ser utilizado para configurar propriedades de configuração do sistema interno. A definição de uma nova propriedade permite definir uma configuração além da que está disponível por meio de opções no console administrativo.

As propriedades customizadas para a segurança de serviços da web pode ser configurada em vários níveis do servidor de aplicativos e para aplicativos JAX-RPC versus JAX-WS. A seguinte lista de propriedades customizadas fornece informações sobre onde a propriedade customizada está configurada e como ela é usada.

As propriedades customizadas do módulo de login do token de segurança genérico de segurança de serviços da web e as propriedades customizadas do token SAML de segurança dos serviços da web são documentadas em outros tópicos de informações. Links para estes tópicos são fornecidos na seção Referência Relacionada deste tópico.

É possível definir as propriedades customizadas de segurança de serviços da web a seguir:

com.ibm.websvcs.client.serializeSecurityContext

Quando um cliente JAX-WS é executado em um servidor de aplicativos, as chamadas de serviço podem ser mais lentas quando a segurança base está ativada do que quando a segurança base não está ativada. Para ajustar a velocidade de chamada de serviço, é possível utilizar a propriedade com.ibm.websvcs.client.serializeSecurityContext. Quando a propriedade com.ibm.websvcs.client.serializeSecurityContext for configurada para false no contexto de solicitação no provedor de ligação para a chamada de serviço, o contexto de segurança do WebSphere não será serializado no contexto da mensagem de serviços da web. O exemplo a seguir ilustra a configuração dessa propriedade.
javax.xml.ws.BindingProvider bp;

bp.getRequestContext().put("com.ibm.websvcs.client.serializeSecurityContext", "false");
Nota: A propriedade com.ibm.websvcs.client.serializeSecurityContext não pode ser utilizada em conjunto com um conjunto de políticas de Sistema de Mensagens Confiável.
Informações Valor
Tipo de Dados Cadeia
Valores Verdadeiro, Falso
Padrão True

com.ibm.ws.wssecurity.createSTR

A propriedade com.ibm.ws.wssecurity.createSTR cria uma referência de token de segurança para o token de segurança no cabeçalho de segurança SOAP quando você especifica um valor True.

É possível configurar esta propriedade como True, a propriedade com.ibm.ws.wssecurity.createSTR cria uma referência de token de segurança para o token de segurança no cabeçalho de segurança SOAP. Configure esta propriedade customizada como True quando existirem as seguintes condições:
  • O mecanismo de referência para a assinatura de token é o STR Dereference Transform, http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
  • O elemento SignedParts para a política WS-Security contém um valor XPath que representa o SecurityTokenReference.

Essa propriedade é configurada como uma propriedade customizada no gerador de token SAML. Ela não está configurada no manipulador de retorno de chamada.

Informações Valor
Tipo de Dados Cadeia
Valores Verdadeiro, Falso
Padrão Falso

O valor desta propriedade é sem distinção de maiúsculas e minúsculas.

com.ibm.ws.wssecurity.dsig.SignatureAlgorithm

Ao usar esta propriedade customizada para configurar uma assinatura digital, é possível ativar o tempo de execução de segurança de serviços da web para usar os algoritmos de assinatura SHA-2.

Para aplicativos do JAX-WS, configure a seguinte propriedade customizada na seção de informações de assinatura da solicitação ou resposta para ativar os algoritmos de assinatura do SHA-2. Certifique-se de que o mesmo valor seja usado para o cliente e o provedor ao configurar esta propriedade customizada.

A propriedade customizada com.ibm.ws.wssecurity.dsig.SignatureAlgorithm especifica os algoritmos de assinatura SHA-2 para assinaturas digitais XML. Por padrão, o WebSphere Application Server usa SHA1withRSA ou HMACSHA1 para gerar assinaturas digitais.
Informações Valor
Tipo de Dados Cadeia
Valores rsa-sha256, rsa-sha384, rsa-sha512, hmac-sha256, hmac-sha384, hmac-sha512 ou dsa-sha256
Para aplicativos JAX-WS, é possível configurar a propriedade customizada com.ibm.ws.wssecurity.dsig.SignatureAlgorithm a partir das informações sobre assinatura de saída ou as informações sobre assinatura de entrada. Para configurar o com.ibm.ws.wssecurity.dsig.SignatureAlgorithm, conclua as seguintes etapas:
  1. Clique em Serviços > Clientes de serviço ou Provedores de serviço.
  2. Clique em service_name > binding_name.
  3. Em Política, clique em WS-Security.
  4. Em Ligações da Política de Segurança da Mensagem, clique em Autenticação e proteção.
  5. Em Proteção de assinatura e criptografia de assinatura da mensagem de solicitação ou em Proteção de assinatura e criptografia da mensagem de resposta, clique em signature_message_part_reference.

    Ao selecionar o nome signature_message_part_reference, você está acessando a configuração da ligação da parte da mensagem assinada.

  6. Especifique a propriedade customizada. Por exemplo, com.ibm.ws.wssecurity.dsig.SignatureAlgorithm e insira o algoritmo desejado como um valor de propriedade com um dos valores identificados na tabela anterior.

com.ibm.ws.wssecurity.sc.FaultCode

Use esta propriedade customizada em um módulo de login do JAAS para configurar o código de falha de SOAP no caso de um erro. Se esta propriedade não for especificada, o código de falha de SOAP wsse:FailedAuthentication será sempre retornado.

No módulo de login do JAAS customizado, configure a propriedade com.ibm.ws.wssecurity.sc.FaultCode no contexto wssecurity para o QName do código de falha que deseja usar. Exemplo

fcQname = new QName(
          "http://schemas.xmlsoap.org/ws/2003/06/secext",
          "FailedCheck"); 
this._context = propertyCallback.getProperties();
 _context.put("com.ibm.ws.wssecurity.sc.FaultCode", fcQname);
Informações Valor
Tipo de Dados Cadeia
Padrão none

com.ibm.wsspi.wssecurity.Caller.assertionLoginConfig

A propriedade com.ibm.wsspi.wssecurity.Caller.assertionLoginConfig, que é configurada na parte do responsável pela chamada, especifica o nome da configuração do login JAAS que é usado pelo Web Services Security para obter as credenciais de autorização do WebSphere Application Server. Esta propriedade deve ser configurada usando uma ferramenta de montagem, como o Rational Application Developer. Para obter informações adicionais, consulte o tópico Configurando o responsável pela chamada nas restrições de segurança do consumidor para o Rational Application Developer. Neste tópico, esta propriedade customizada é definida ao configurar a asserção de identidade.

Use esta propriedade apenas com os aplicativos WS-Security V1.0 JAX-RPC.

Informações Valor
Tipo de Dados Cadeia
Padrão system.DEFAULT

com.ibm.wsspi.wssecurity.config.disableWSSIfApplicationSecurityDisabled

Quando você configura a propriedade customizada com.ibm.wsspi.wssecurity.config.disableWSSIfApplicationSecurityDisabled para true, o Web Services Security não força as restrições do WS-Security configuradas se a segurança do aplicativo estiver desativada no servidor de aplicativos. É possível usar essa propriedade customizada para depurar os serviços em um ambiente não protegido sem precisar remover as restrições de segurança dos aplicativos de serviços da Web.

Boas Práticas Boas Práticas: Use esta propriedade customizada apenas para propósitos de diagnóstico. Não use-a em um ambiente de produção.bprac
Informações Valor
Tipo de Dados Cadeia
Valores true, false
Defaultfalse false
Esta propriedade customizada pode ser configurada como uma propriedade customizada de entrada ou como uma propriedade customizada de entrada e saída para as ligações do conjunto de políticas. Conclua as seguintes etapas no console administrativo para configurar a propriedade customizada:
  1. Expanda Serviços > Conjuntos de Política.
  2. Clique em Ligações do Conjunto de Políticas Gerais de Provedor ou Ligações do Conjunto de Políticas Gerais do Cliente.
  3. Clique em binding_name.
  4. No título Política, clique em WS-Security > Propriedades Customizadas.
Esta propriedade customizada também pode ser configurada como um parâmetro ou como uma propriedade de ligação de entrada em seu aplicativo usando o conjunto de ferramentas wsadmin. Os seguintes nomes de propriedades de tipo de política de Segurança WS são usados em setBinding:
  • application.parameters
  • application.securityinboundbinding config.properties

com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens

A propriedade customizada com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens especifica se sempre será feito o armazenamento em cache de UsernameTokens, que é o comportamento padrão, ou se eles serão armazenados em cache conforme determinado por um conjunto de regras. Esta propriedade customizada pode ser configurada para o gerador de token ou como uma propriedade adicional.

Quando a propriedade customizada com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens for configurada como false, os UsernameTokens serão sempre armazenados em cache em encadeamentos do cliente. Quando esta propriedade customizada for configurada como true, o tempo de execução de segurança de serviços da Web determinará se os UsernameTokens serão armazenados em cache com base nas seguintes regras:
  • Nunca armazene os UsernameTokens em cache se o aplicativo estiver em execução em um servidor de aplicativos.
  • Armazene os UsernameTokens em cache se o gerador de token para o UsernameToken tiver o seguinte manipulador de retorno de chamada configurado: com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler.

Esta propriedade customizada é aplicável apenas ao tempo de execução JAX-RPC. Use uma ferramenta do conjunto, como Rational Application Developer, para configurar a propriedade customizada nas ligações da parte de mensagem criptografada.

Informações Valor
Tipo de Dados Cadeia
Valores true, false
Padrão false

com.ibm.wsspi.wssecurity.config.request.setMustUnderstand e com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne

Essas duas propriedades customizadas permitem que o administrador controle a configuração do atributo mustUnderstand no cabeçalho do SOAP Security. Essas propriedades são configuradas como propriedades customizadas de saída.

É possível configurar as seguintes propriedades customizadas do gerador de saída para o Web Services Security:
Propriedade customizada com.ibm.wsspi.wssecurity.config.request.setMustUnderstand

A propriedade customizada com.ibm.wsspi.wssecurity.config.request.setMustUnderstand especifica a configuração mustUnderstand nos pedidos do consumidor de saída. Se o valor da propriedade estiver configurado para zero (0), no (não) ou false, o atributo mustUnderstand não será configurado no cabeçalho WS-Security nos pedidos de consumidor de saída.

Informações Valor
Tipo de Dados Cadeia
Valor Zero (0), no (não), false
Padrão true

Nas mensagens SOAP, o valor padrão para o atributo mustUnderstand é zero (0). De acordo com a especificação SOAP, se o valor desejado para o atributo for zero, o atributo não deverá estar presente na mensagem.

Evitar Problemas Evitar Problemas: As instruções para configurar a propriedade com.ibm.wsspi.wssecurity.config.request.setMustUnderstand são as mesmas que as instruções para configurar com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne e estão listadas abaixo.gotcha
Propriedade customizada com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne

A propriedade customizada com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne especifica que o provedor deve sempre responder a um atributo mustUnderstand="1" no cabeçalho de segurança SOAP. Se o valor for configurado para 1 (um), yes (sim) ou true, o provedor responderá com o atributo mustUnderstand="1" no cabeçalho WS-Security. O valor padrão desse atributo é false.

Informações Valor
Tipo de Dados Cadeia
Valor 1 (um), yes (sim) ou true
Padrão false

Por padrão, a resposta contém o mesmo atributo mustUnderstand que o pedido. Por exemplo, se o pedido de entrada tiver mustUnderstand="1", a resposta também incluirá mustUnderstand="1". Se o pedido não tiver um atributo mustUnderstand, a resposta não incluirá um atributo mustUnderstand.

Para aplicativos JAX-WS, é possível configurar as propriedades customizadas com.ibm.wsspi.wssecurity.config.request.setMustUnderstand e com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne como propriedades customizadas de saída ou como propriedades customizadas de entrada e saída para as ligações do conjunto de políticas. Conclua as seguintes etapas no console administrativo para configurar as propriedades customizadas:
  1. Expanda Serviços > Conjuntos de Política.
  2. Clique em Ligações do Conjunto de Políticas Gerais de Provedor ou Ligações do Conjunto de Políticas Gerais do Cliente.
  3. Clique em binding_name.
  4. No título Política, clique em WS-Security > Propriedades Customizadas.
Também é possível configurar as propriedades customizadas com.ibm.wsspi.wssecurity.config.request.setMustUnderstand e com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne como parâmetros ou como propriedades de ligação de saída em seu aplicativo usando o conjunto de ferramentas wsadmin. Os seguintes nomes de propriedades de tipo de política de Segurança WS são usados em setBinding:
  • application.parameters
  • application.securityinboundbindingconfig.properties
Para os aplicativos JAX-RPC, você pode especificar as duas propriedades nos seguintes locais no console administrativo:
  • Clique em Servidores > Tipos de Servidores > Servidores de aplicativos WebSphere > nome do servidor. Em Segurança, clique em Tempo de Execução de Segurança dos JAX-WS e JAX-RPC. Em Ligações do Gerador Padrão JAX-RPC, clique em Propriedades.
  • Clique em Servidores > Tipos de Servidores > Servidores de aplicativos WebSphere > nome do servidor. Em Segurança, clique em Tempo de Execução de Segurança dos JAX-WS e JAX-RPC. Em Propriedades Customizadas, clique em Propriedades Customizadas.

Se você estiver usando uma ferramenta de montagem com um aplicativo JAX-RPC WS-Security versão 1.0, poderá configurar a propriedade customizadacom.ibm.wsspi.wssecurity.config.request.setMustUnderstand na extensão ou na ligação do gerador de pedido de segurança. Você pode configurar a propriedade customizada com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne na extensão ou na ligação do gerador de resposta. A configuração especificada na ligação terá precedência sobre a configuração na extensão.

Se você estiver usando uma ferramenta do conjunto com um aplicativo de nível 13 de rascunho de especificação de Segurança WS do JAX-RPC, é possível configurar a propriedade customizada com.ibm.wsspi.wssecurity.config.request.setMustUnderstand como um parâmetro na ligação de nome qualificado da porta. Você pode configurar a propriedade customizada com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne como um parâmetro na ligação do componente da porta.

com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure

A propriedade customizada com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure especifica se um truststore pode ser recarregado depois que um servidor de aplicativos fort iniciado.

Um truststore é um armazenamento chave. Por padrão, o JAX-WS WS-Security não reconhece a atualização de nenhuma keystore enquanto o servidor de aplicativos estiver em execução. Por motivos de desempenho, as keystores são armazenadas em cache na memória quando cada aplicativo for iniciado. Como o cache é compartilhado entre os aplicativos, mesmo se um único aplicativo estiver parado, as keystores permanecerão no cache. Portanto, se um certificado confiável, que é usado por um consumidor de token X.509, for incluído em um truststore depois que o servidor de aplicativos for iniciado, a validação de confiança falhará.

Se você configurar a propriedade com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure para true, quando uma validação de confiança ocorrer, o tempo de execução WS-Security será recarregado com o truststore configurado e tentará a validação de confiança mais uma vez. O truststore recarregado será usado apenas para essa tentativa de revalidação única. O objeto keystore no cache não será substituído porque substituir o objeto keystore pode causar problemas de simultaneidade.

Se a segunda tentativa validação falhar, uma falha de validação de confiança será retornada para o cliente.

O valor-padrão para essa propriedade é false.
Evitar Problemas Evitar Problemas: Essa propriedade é configurada como uma propriedade customizada no manipulador de Retorno de Chamada para um consumidor de token X.509, PKIPath ou PKCS#7. Para configurar esta propriedade no console administrativo, clique em binding_name > WS-Security > Autenticação e Proteção > token_name > Manipulador de Retorno de Chamada. Para um aplicativo que usa a API WSS WS-Security, esta propriedade também pode ser configurada no manipulador de retorno de chamada para os consumidores de token que foram listados anteriormente.gotcha

com.ibm.wsspi.wssecurity.consumer.timestampRequired

A propriedade com.ibm.wsspi.wssecurity.consumer.timestampRequired especifica se o Registro de Data e Hora não é esperado no cabeçalho de segurança para a resposta quando a configuração de Incluir registro de data e hora no cabeçalho de segurança é selecionado para a política de Segurança WS.

O tempo de execução de WS-Security do JAX-WS é atualizado para estar em conformidade com o requisito Registro de Data e Hora Necessário da especificação OASIS WS-SecurityPolicy 1.2. Se desejar configurar um aplicativo para não requerer um registro de data e hora de entrada quando um registro de data e hora de saída é configurado, é possível incluir a propriedade customizada com.ibm.wsspi.wssecurity.consumer.timestampRequired em suas configurações de Web Services Security e configurar essa propriedade como false. Quando esta propriedade é configurada como false, mesmo se Incluir registro de data e hora no cabeçalho de segurança estiver selecionado como uma configuração para a política de Segurança WS, um Registro de Data e Hora não será esperado no cabeçalho de segurança para uma resposta.

O valor padrão para essa propriedade é true.

Evitar Problemas Evitar Problemas: No painel de propriedades customizadas, é possível configurar esta propriedade como uma propriedade customizada de entrada ou de entrada/saída. Ela não é válida como uma propriedade customizada de saída.gotcha
Informações Valor
Tipo de Dados Booleana
Padrão true

com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces

Esta propriedade customizada, aplicada a ambos os aplicativos JAX-RPC e JAX-WS, especifica se a lista de prefixos de espaço de nomes inclusiva para assinaturas digitais XML deve ser desativada. O WebSphere Application Server, por padrão, inclui o prefixo na assinatura digital para o Web Services Security. Você pode configurar essa propriedade customizada para false se não quiser conjuntos de espaços de nomes inclusivos como um elemento. Algumas implementações do Web Services Security não podem manipular essa lista de prefixos. Se ocorrer uma falha de validação de assinatura quando uma mensagem SOAP for enviada e você estiver utilizando outro fornecedor no ambiente, verifique no seu provedor de serviço se há uma possível correção para a implementação antes de desativar essa propriedade.

Para aplicativos JAX-RPC, é possível configurar a propriedade customizada no console administrativo nas informações sobre assinatura ou como uma propriedade customizada de segurança de serviços da Web nas propriedades adicionais ou nas ligações do gerador padrão ou customizadas. Para obter informações adicionais, consulte as seções de propriedades adicionais e do gerador de Configurando Propriedades Customizadas para o tópico Proteger Serviços da Web. Para incluir a propriedade customizada nas informações de assinatura, conclua as seguintes etapas:
  1. Clique em Aplicativos > Aplicativos Corporativos > application_name.
  2. Clique em Gerenciar Módulos > module_name.
  3. Em Propriedades de Segurança dos Serviços da Web, clique em Serviços da Web: Ligações de Segurança do Cliente ou em Serviços da Web: Ligações de Segurança do Servidor.
  4. Em Ligação do Gerador de Pedido (Emissor) ou em Ligação do Gerador de Respostas (Emissor),clique em Editar Customização.
  5. Em Propriedades Necessárias, clique em Informações sobre Assinatura > signing_information_name > Propriedades.
  6. Especifique a propriedade customizada e seu valor.
Para aplicativos JAX-WS, agora você pode configurar esta propriedade customizada nas informações de assinatura de saída. Para configurar a propriedade customizada, conclua as etapas a seguir:
  1. Clique em Serviços > Clientes de Serviço ou Serviços > Provedores de Serviços.
  2. Clique em service_name > binding_name.
  3. Em Política, clique em WS-Security
  4. Em Ligações de Política de Segurança de Mensagens, clique em Autenticação e Proteção
  5. Em Proteção de assinatura e criptografia de mensagem de pedido ou em Proteção de assinatura e criptografia de mensagem de resposta, clique emsignature_message_part_reference. Ao clicar no nome signature_message_part_reference, você acessará a configuração da ligação da parte de mensagem assinada.
  6. Especifique a propriedade customizada e seu valor.

com.ibm.wsspi.wssecurity.dsig.oldEnvelopedSignature

Use essa propriedade juntamente com a propriedade customizada da JVM com.ibm.wsspi.wssecurity.dsig.enableEnvelopedSignatureProperty para indicar ao tempo de execução do WS-Security que deseja que o tempo de execução do WS-Security calcule o valor de compilação, conforme fazia nas Versões 7.0.0.21 e anteriores para a criação ou verificação de saída da Assinatura Digital XML. Para obter mais informações, consulte as propriedades customizadas da Java™ Virtual Machine (JVM) para obter uma descrição de quando usar esta propriedade customizada da JVM.

Esta propriedade está especificada como propriedade customizada de Entrada, Saída ou de Entrada e Saída para as ligações do conjunto de políticas do WS-Security.

com.ibm.wsspi.wssecurity.enc.MTOM.Optimize

Configure o valor dessa propriedade customizada para true para usar o Message Transmission Optimization Mechanism (MTOM) para o texto de cifra de dados criptografados. Essa propriedade é configurada nas ligações de diretrizes de Segurança WS nas partes criptografadas de saída para solicitações do cliente ou respostas do servidor.

com.ibm.wsspi.wssecurity.generator.useWSSObject

Esta propriedade customizada determina como o tempo de execução de WS-Security constrói o cabeçalho de Segurança SOAP que é enviado em uma mensagem SOAP de saída. Por padrão, o tempo de execução usa um atalho usando representações do objeto Web Services Security (WSS) interno para construir o cabeçalho de Segurança. Alternativamente, o tempo de execução e os objetos do Axis2 podem ser usados para construir o cabeçalho de Segurança.

Esta propriedade é configurada nas ligações do conjunto de políticas de Segurança WS como uma propriedade customizada de saída ou uma propriedade customizada de entrada e saída. Esta propriedade pode ser configurada como true ou false. Quando esta propriedade é configurada como true, os Objetos WSS são usados para construir o cabeçalho de Segurança. Quando esta propriedade é configurada como false, os objetos Axis2 são usados para construir o cabeçalho de Segurança.

Ao usar políticas WS-Security e WS-Addressing para mensagens de entrada e saída, pode ocorrer um problema onde o elemento Body aparece no elemento de cabeçalho na mensagem SOAP de saída. Se este erro ocorrer, configure a propriedade customizada com.ibm.wsspi.wssecurity.generator.useWSSObject como false.

O valor padrão é true.

com.ibm.wsspi.wssecurity.krbtoken.clientRealm

Essa propriedade customizada do gerador de token do Kerberos do JAX-WS especifica o nome da região do Kerberos associada ao cliente e permite que a região do cliente Kerberos inicie o login do Kerberos.

Essa propriedade é opcional para um ambiente de região única do Kerberos; a propriedade será assumida como o nome da região padrão do Kerberos. Ao implementar a segurança dos serviços da web em um ambiente de região do Kerberos cruzado ou confiável, deve-se fornecer um valor para essa propriedade.

Essa propriedade é configurada como uma propriedade customizada no manipulador de retorno de chamada de um gerador de token do Kerberos. Para configurar a propriedade no console administrativo, clique em binding_name > Segurança WS > Autenticação e proteção > kerberos_token_name > Manipulador de retorno de chamada. Para um aplicativo que usa a API WSS de Segurança WS, essa propriedade também pode ser configurada no manipulador de retorno de chamada do Kerberos para o gerador de token.

com.ibm.wsspi.wssecurity.krbtoken.loginPrompt

Configure essa propriedade customizada do gerador de token do Kerberos do JAX-WS para true para ativar o login do Kerberos.

Essa propriedade é configurada como uma propriedade customizada no manipulador de retorno de chamada de um gerador de token do Kerberos. Para configurar a propriedade no console administrativo, clique em binding_name > Segurança WS > Autenticação e proteção > kerberos_token_name > Manipulador de retorno de chamada. Para um aplicativo que usa a API WSS de Segurança WS, essa propriedade também pode ser configurada no manipulador de retorno de chamada do Kerberos para o gerador de token.

O valor padrão para essa propriedade é false.

com.ibm.wsspi.wssecurity.login.useSoap12FaultCodes

A propriedade customizada com.ibm.wsspi.wssecurity.login.useSoap12FaultCodes especifica se o tempo de execução do WS-Security é atualizado para emitir o código de falha do SOAP 1.2 apropriado quando uma falha é retornada em resposta a uma mensagem SOAP 1.2.

Quando essa propriedade é configurada para true, o tempo de execução do WS-Security retorna um código de falha SOAP 1.2 em resposta a uma mensagem SOAP 1.2.

Quando essa propriedade é configurada como false, o tempo de execução do WS-Security retorna um código de falha SOAP 1.1 em resposta a uma mensagem SOAP 1.2.

O valor padrão para essa propriedade é true.

Essa propriedade precisa ser configurada como propriedades customizadas Entrada ou Entrada e Saída do WS-Security para uma ligação específica.

A seguir há um exemplo de uma falha SOAP 1.2 válida que é retornada quando essa propriedade for configurada para true:
<?xml version="1.0"
encoding="UTF-8"?>
<soapenv:Envelope xmlns:soapenv=" http://www.w3.org/2003/05/soap-envelope"> 
  <soapenv:Body> 
    <soapenv:Fault> 
      <soapenv:Code> 
        <soapenv:Value>soapenv:Sender</soapenv:Value>
        <soapenv:Subcode>
          <soapenv:Value xmlns:axis2ns1="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
            axis2ns1:FailedAuthentication</soapenv:Value>
        </soapenv:Subcode> 
      </soapenv:Code> 
      <soapenv:Reason> 
        <soapenv:Text>CWWSS6521E: The Login failed because  
          of an exception: javax.security.auth.login.LoginException:  
          CWWSS7062E: Failed to check username [user1] and password in  
          the UserRegsitry: WSSUserRegistryProcessor.checkRegistry()=false 
        </soapenv:Text> 
      </soapenv:Reason> 
      <soapenv:Detail></soapenv:Detail> 
    </soapenv:Fault> 
  </soapenv:Body> 
</soapenv:Envelope>

com.ibm.wsspi.wssecurity.nonce.includeEncodingType

Essa propriedade customizada de JAX-WS é incluída no tempo de execução do WebSphere WS-Security para indicar que um atributo EncodingType deve ser incluído aos elementos nonce. Quando essa propriedade customizada é configurada como true, o atributo EncodingType é incluído a todos os elementos nonce no cabeçalho de segurança SOAP.

Os valores válidos para essa propriedade são true e false. O padrão é false. Essa propriedade é uma propriedade customizada de WS-Security e é especificada nas ligações de WS-Security nos locais a seguir:
  • Propriedades customizadas de saída
  • Propriedades Customizadas de Entrada e Saída

com.ibm.wsspi.wssecurity.token.cert.useRequestorCert

Quando essa propriedade customizada do JAX-WS for configurada para true, o certificado do assinante da solicitação SOAP será usado para criptografar a resposta SOAP. Esse processo é chamado de criptografia do certificado de assinante.

Essa propriedade é configurada como uma propriedade customizada no manipulador de retorno de chamada do gerador de token de criptografia. Para configurar a propriedade no console administrativo, clique em binding_name > Segurança WS > Autenticação e proteção > token_name > Manipulador de retorno de chamada. Para um aplicativo que usa a API WSS de Segurança WS, essa propriedade também pode ser configurada no manipulador de retorno de chamada para o gerador de token.

O valor padrão para essa propriedade é false.

com.ibm.wsspi.wssecurity.token.enableCaptureTokenContext

Essa propriedade indica se um consumidor de token e/ou um gerador de token está ativado para obter seu token do tokenHolder no contexto da mensagem.

Essa propriedade é válida somente para aplicativos JAX-WS.

Os valores válidos para essa propriedade são true e false. O valor padrão é false

Para configurar essa propriedade, no console administrativo:
  1. Expanda Serviços > Conjuntos de Política.
  2. Clique em Ligações do Conjunto de Políticas Gerais de Provedor ou Ligações do Conjunto de Políticas Gerais do Cliente.
  3. Clique no nome de ligação.
  4. No título Política, clique em WS-Security > Autenticação e Proteção > tokenName > Manipulador de Retorno de Chamada.
  5. Inclua essa propriedade e seu valor nos campo Nome e Valor de Propriedades Customizadas.

com.ibm.wsspi.wssecurity.token.enableCaptureTokenInboundMsg

Essa propriedade indica se um consumidor de token e/ou um gerador de token está ativado para obter seu token do conjunto de SecurityTokens na mensagem de entrada. Se houver mais de um token na mensagem de entrada que corresponda ao tipo de valor do gerador de token, então, o token selecionado será indeterminado.

Essa propriedade é válida somente para aplicativos JAX-WS.

Os valores válidos para essa propriedade são true e false. O valor padrão é false

Para obter informações adicionais sobre a lista tokenHolder, consulte passThroughToken em com.ibm.wsspi.wssecurity.core.config.IssuedTokenConfigConstants

Para configurar essa propriedade, no console administrativo:
  1. Expanda Serviços > Conjuntos de Política.
  2. Clique em Ligações do Conjunto de Políticas Gerais de Provedor ou Ligações do Conjunto de Políticas Gerais do Cliente.
  3. Clique no nome de ligação.
  4. No título Política, clique em WS-Security > Autenticação e Proteção > tokenName > Manipulador de Retorno de Chamada.
  5. Inclua essa propriedade e seu valor nos campo Nome e Valor de Propriedades Customizadas.

com.ibm.wsspi.wssecurity.token.forwardable

Quando configurar as ligações de consumidor SecurityToken para o modelo de programação JAX-WS, use essa propriedade customizada para especificar se o token de recebimento é propagado para outros servidores. Se você especificar um valor true para essa propriedade, você ativará esse token para propagar para outros servidores. Se você especificar um valor false para essa propriedade, o token não será propagado para outros servidores. O valor padrão é true e não faz distinção entre maiúsculas e minúsculas.

com.ibm.wsspi.wssecurity.token.IDAssertion.isUsed

Essa propriedade é destinada a ser utilizada em um cenário de asserção de identidade. Configure esta propriedade como true na configuração do manipulador de retorno de chamada para o token de identidade.

Quando essa propriedade é configurada para true em um gerador de UsernameToken, ela permite que o gerador emita um UsernameToken sem uma senha. O restante da configuração da asserção de identidade não é necessário para usar essa propriedade com o gerador ou consumidor de UsernameToken.

Informações Valor
Tipo de Dados Cadeia
Valores true, false
Padrão false

com.ibm.wsspi.wssecurity.token.IDAssertion.useRunAsIdentity

Esta propriedade é usada pelo gerador de UsernameToken. Quando essa propriedade é configurada como true no manipulador de retorno de chamada para o gerador de UsernameToken, o nome do principal do assunto runAs atual será utilizado como o Username no UsernameToken. Quando essa propriedade é configurada como true, a segurança base deve ser ativada e um assunto runAs deve ser configurado no encadeamento atual de execução na ordem para que um Username não nulo seja configurado no UsernameToken.

IDAssertion.useRunAsIdentity=true requer também a configuração de IDAssertion.isUsed=true.

Informações Valor
Tipo de Dados Cadeia
Valores true, false
Padrão false

com.ibm.wsspi.wssecurity.token.username.addNonce e com.ibm.wsspi.wssecurity.token.username.addTimestamp

Ao configurar um token de nome de usuário para o modelo de programação JAX-WS, para proteger contra ataques de reprodução, é altamente recomendável incluir propriedades customizadas, com.ibm.wsspi.wssecurity.token.username.addNonce e com.ibm.wsspi.wssecurity.token.username.addTimestamp, na configuração do manipulador de retorno de chamada para geração de token. Estas propriedades customizadas ativam e verificam o nonce e o registro de data e hora para autenticação de mensagem. O valor das propriedades deve ser configurado como true.

com.ibm.wsspi.wssecurity.token.username.emitPasswordDigest

Essa propriedade ativa o UNTGenerateLoginModule para assimilar a senha e emitir um PasswordType de #PasswordDigest, em vez de #PasswordText para um UsernameToken.

Para configurar essa propriedade, no console administrativo:
  1. Clique em Expandir Service > Conjuntos de Políticas.
  2. Clique em Ligações gerais do conjunto de políticas do provedor ou Ligações gerais do conjunto de políticas do cliente.
  3. Clique no nome de ligação.
  4. Na configuração Política, clique em WS-Security > Autenticação e Proteção > tokenName > Manipulador de retorno de chamada > .
  5. Inclua essa propriedade e seu valor nos campos Nome das propriedades customizadas e Valor.
Informações Valor
Valores true, false
Padrão false

com.ibm.wsspi.wssecurity.token.username.password.forwardable

Quando configurar as ligações de consumidor UsernameToken para o modelo de programação JAX-WS, use essa propriedade customizada para especificar se a senha é propagada junto com o UsernameToken para outros servidores durante a propagação UsernameToken. Se você especificar um valor true para essa propriedade, a senha será preservada durante a propagação. Se você especificar um valor false para essa propriedade, a senha deverá ser removida antes da propagação de UsernameToken. O valor padrão é true e não faz distinção entre maiúsculas e minúsculas.

com.ibm.wsspi.wssecurity.token.username.verifyNonce e com.ibm.wsspi.wssecurity.token.username.verifyTimestamp

Ao configurar um token de nome de usuário para o modelo de programação JAX-WS, para proteger contra ataques de reprodução, é altamente recomendável incluir propriedades customizadas, com.ibm.wsspi.wssecurity.token.username.verifyNonce e com.ibm.wsspi.wssecurity.token.username.verifyTimestamp, na configuração do manipulador de retorno de chamada para o consumidor de token. Estas propriedades customizadas ativam e verificam o nonce e o registro de data e hora para autenticação de mensagem. O valor das propriedades deve ser configurado como true.

com.ibm.wsspi.wssecurity.token.UsernameToken.digestPasswordCallbackHandler

Essa propriedade customizada define uma classe de manipulador de retorno de chamada customizado para ser usado em um consumidor de UsernameToken que processa um PasswordType de #PasswordDigest. O manipulador de retorno de chamada deve estar disponível para o aplicativo e deve implementar a interface javax.security.auth.callback.CallbackHandler. O valor para o elemento Username no consumidor de UsernameToken é passado para o manipulador de retorno de chamada em um objeto javax.security.auth.callback.NameCallback. A senha que está associada ao nome do usuário é retornada em um objeto javax.security.auth.callback.PasswordCallback. A senha retornada é compilada e, em seguida, comparada com o valor de Senha no consumidor de UsernameToken.

Essa propriedade é configurada como uma propriedade customizada do manipulador de retorno de chamada UsernameToken. Para obter informações adicionais, consulte Consumindo um UsernameToken com PasswordDigest.

com.ibm.wsspi.wssecurity.token.UsernameToken.disableUserRegistryCheck

Essa propriedade permite que a verificação do registro do usuário seja ignorada para tokens de identidade no JAX-WS. Isso significa que o nome do usuário associado ao token de identidade em um cenário de asserção de identidade pode passar pelo UNTConsumeLoginModule sem gerar um erro de registro. Normalmente um token de identidade não deve conter uma senha e poderá ou não ser um token de confiança. Por exemplo, pode haver uma confiança oculta.

Essa propriedade não afeta nenhum UsernameToken que contenha uma senha.

Se você precisar ignorar a verificação do registro para um UsernameToken que contém uma senha, consulte o tópico Substituindo o método de autenticação do consumidor de UsernameToken usando um módulo de login JAAS. Se uma configuração de responsável pela chamada for necessária para o UsernameToken, consulte o tópico Configurando uma configuração do responsável pela chamada do UsernameToken sem interação do registro.

Quando a propriedade é configurada para true, o UNTConsumeLoginModule não valida o UsernameToken de entrada se, e apenas se, o UsernameToken não contiver uma senha.

Os valores válidos para essa propriedade são true e false. O valor padrão é false

Para configurar essa propriedade, no console administrativo:
  1. Expanda Serviços > Conjuntos de Política.
  2. Clique em Ligações do Conjunto de Políticas Gerais de Provedor ou Ligações do Conjunto de Políticas Gerais do Cliente.
  3. Clique no nome de ligação.
  4. No título Política, clique em WS-Security > Autenticação e Proteção > tokenName > Manipulador de Retorno de Chamada.
  5. Inclua essa propriedade e seu valor nos campo Nome e Valor de Propriedades Customizadas.

com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule.disableUserRegistryCheck

Esta propriedade permite que a verificação de registro do usuário seja ignorada para UsernameTokens em JAX-RPC. Isso significa que o nome de usuário passará pelo UsernameLoginModule sem gerar um erro de registro.

Os valores válidos para essa propriedade são true e false. O valor padrão é false

Esta propriedade pode ser incluída nas propriedades customizadas do módulo com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule na configuração do JAAS wssecurity.UsernameToken ou nas propriedades customizadas da configuração do JAAS do consumidor UsernameToken para o aplicativo do provedor.

Nota: Para obter informações adicionais sobre como especificar essa propriedade, consulte o tópico Desenvolvendo aplicativos de serviços da web para usar um UsernameToken sem interação de registro.

com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7

A segurança dos serviços da Web suporta os tokens LTPA (Versão 1) e LTPA Versão 2 (LTPA2). O token LTPA2, que é mais seguro que a Versão 1, é suportado apenas pelo tempo de execução JAX-WS. É possível configurar a versão de interoperabilidade Forçar Versão de Token no gerador de token para determinar se um LTPA (Versão 1) ou um LTPA2 é recuperado quando uma mensagem de solicitação for recebida. Entretanto, se desejar forçar o tempo de execução para usar apenas o LTPA (Versão 1), poderá configurar a propriedade customizada com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 para true.

Para ativar essa propriedade customizada, conclua as etapas a seguir no console administrativo:
  1. Localize a ligação que deseja configurar.
  2. Clique na política WS-Security na tabela Políticas.
  3. Clique no link Autenticação e Proteção na seção de ligações de política de segurança.
  4. Clique no gerador de token que deseja configurar.
  5. Especifique com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 para true na seção Propriedades customizadas.
A seguinte tabela explica como as combinações dessa propriedade customizada e a opção de interoperabilidade Forçar Versão de Token afetam o tempo de execução.
Tabela 1. Interoperabilidade LTPA. Tabela de propriedade customizada com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 e valores de opção de interoperabilidade Forçar Versão de Token.
Valor da propriedade customizada com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 Valor de Forçar Versão de Token Resultado
false Desativado O tempo de execução pode usar os tokens LTPA (Versão 1) e LTPA2.
Não especificado, implicando um valor false Desativado O tempo de execução pode usar os tokens LTPA (Versão 1) e LTPA2.
true Desativado O tempo de execução pode usar apenas os tokens LTPA (Versão 1).
true Ativado O tempo de execução pode usar apenas os tokens LTPA (Versão 1).

Para obter informações adicionais, consulte a documentação sobre a ativação ou a desativação do modo de interoperabilidade de conexão única para o token LTPA.

com.ibm.wsspi.wssecurity.useMTOMWithCustomComponents

Configure essa propriedade customizada do JAX-WS para true se as mensagens que incluem erroneamente o MTOM contiverem os dados base64Binary no documento XML. Quando essa propriedade for configurada para true, o tempo de execução de Segurança WS não expandirá e serializará os elementos do documento prematuramente. Essa propriedade é especificada como uma propriedade customizada Saída ou Entrada e Saída nas ligações do conjunto de políticas de Segurança WS do cliente. O valor-padrão para esta propriedade é false.


Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_customproperties
Nome do arquivo: rwbs_customproperties.html