Configurando Geradores de Token Utilizando o JAX-RPC para Proteger a Autenticidade de Mensagens no Nível de Servidor ou de Célula

O gerador de token no nível do servidor ou da célula é utilizado para especificar as informações para o gerador de token, se estas ligações não estiverem definidas no nível do aplicativo. As informações sobre assinatura e as informações sobre criptografia podem compartilhar as informações do gerador de token, motivo pelo qual estão definidas no mesmo nível.

Antes de Iniciar

É necessário entender que as informações de keystore/alias fornecidas para o gerador e as informações de keystore/alias fornecidas para o consumidor são usadas para propósitos diferentes. A diferença principal se aplica ao Alias para um manipulador de retorno de chamada X.509.

Quando usado em associação com um gerador de criptografia, o alias fornecido para o gerador é usado para recuperar a chave pública para criptografar a mensagem. Uma senha não é necessária. O alias inserido em um manipulador de retorno de chamada associado a um gerador de criptografia deve estar acessível sem uma senha. Isso significa que o alias não deve ter informações de chave privada associadas a ele no keystore. Quando usado em associação com um gerador de assinatura, o alias fornecido para o gerador é usado para recuperar a chave privada para assinar a mensagem. Uma senha é necessária.

Sobre Esta Tarefa

O WebSphere Application Server fornece valores padrão para ligações. É necessário modificar os padrões para um ambiente de produção.

É possível configurar o gerador de token no nível do servidor e no nível da célula. Nas etapas a seguir, utilize a primeira etapa para acessar as ligações padrão de nível do servidor e utilize a segunda etapa para acessar as ligações no nível de célula.

Procedimento

  1. Acesse as ligações padrão para o nível do servidor.
    1. Clique em Servidores > Tipos de Servidor > Servidores de Aplicativos do WebSphere > server_name.
    2. Em Segurança, clique em Tempo de Execução de Segurança do JAX-WS e JAX-RPC.
      Ambiente de Versões Mistas Ambiente de Versões Mistas: Em uma célula de nó combinada com um servidor usando o Websphere Application Server versão 6.1 ou anterior, clique em Serviços da Web: Ligações padrão para Segurança de Serviços da Web.mixv
  2. Clique em Segurança > Serviços da Web para acessar as ligações padrão no nível de célula.
  3. Em Ligações do Gerador Padrão, clique em Geradores de Tokens.
  4. Clique em Novo para criar uma configuração de gerador de token, clique em Excluir para excluir uma configuração existente ou clique no nome de uma configuração de gerador de token existente para editar suas definições. Se estiver criando uma nova configuração, digite um nome exclusivo para a configuração do gerador de token no campo Nome do Gerador de Token. Por exemplo, é possível especificar sig_tgen. Este campo especifica o nome do elemento do gerador de token.
  5. Especifique um nome de classe no campo Nome da Classe do Gerador de Token. A implementação do Módulo de Login do JAAS (Java™ Authentication and Authorization Service) é utilizada para criar o token de segurança no lado do gerador.
    Restrição: A interface com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent não é usada com serviços da Web JAX-WS. Se você estiver utilizando os serviços da Web JAX-RPC, essa interface ainda é válida.

    O nome da classe do gerador de token deve ser semelhante ao nome da classe do consumidor de token. Por exemplo, se seu aplicativo precisar de um consumidor de token de certificado X.509, você poderá especificar o nome da classe com.ibm.wsspi.wssecurity.token.X509TokenConsumer no painel Consumidor de Token e o nome da classe com.ibm.wsspi.wssecurity.token.X509TokenGenerator neste campo. O WebSphere Application Server fornece as seguintes implementações de classe de gerador do token padrão:

    com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator
    Esta implementação gera um token do nome do usuário.
    com.ibm.wsspi.wssecurity.token.X509TokenGenerator
    Esta implementação gera um token de certificado X.509.
    com.ibm.wsspi.wssecurity.token.LTPATokenGenerator
    Esta implementação gera um token LTPA (Lightweight Third Party Authentication).
  6. Selecione uma opção de caminho de certificado. O caminho do certificado especifica a CRL (Certificate Revocation List) utilizada para gerar um token de segurança que está agrupado em um PKCS#7 com uma CRL. O WebSphere Application Server fornece as seguintes opções de caminho do certificado:
    Nenhuma
    Selecione esta opção caso a CRL não seja utilizada para gerar um token de segurança. É necessário selecionar esta opção quando o gerador de token não utiliza o tipo de token PKCS#7.
    Informações sobre Assinatura Dedicada
    Se a CRL estiver agrupada em um token de segurança, selecione Informações de Assinatura Dedicada e selecione um nome de armazenamento de certificados de coleção no campo Armazenamento de Certificados. O campo Armazenamento de Certificados mostra os nomes dos armazenamentos de certificado de coleção já definidos.

    Para definir um armazenamento de certificados de coleta no nível de célula, consulte Configurando o Certificado de Coleta no Servidor ou Nível de Célula.

  7. Selecione a opção Incluir Nonce para incluir um nonce no token do nome do usuário para o gerador de token. Nonce é um número criptográfico exclusivo incorporado em uma mensagem para ajudar a interromper repetidos ataques não autorizados de tokens do nome do usuário. A opção Incluir Nonce estará disponível se você especificar um token do nome do usuário para o gerador de token.
  8. Selecione a opção Incluir Time Stamp para incluir um time stamp no token do nome do usuário para o gerador de token.
  9. Especifique um nome local de tipo de valor no campo Nome Local. Esta entrada especifica o nome local do tipo de valor para um token de segurança referido pelo identificador de chave. Este atributo é válido quando o Identificador de Chave é selecionado como o Tipo de Informações Chave. Para especificar o Tipo de informações chave, consulte Configurando as Informações Chave para a Ligação do Gerador Utilizando o JAX-RPC no Nível de Servidor ou de Célula. O WebSphere Application Server fornece as seguintes configurações predefinidas do token do certificado X.509:
    Token de Certificado X.509
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
    Certificados X.509 em um PKIPath
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    Uma lista de certificados X.509 e CRLs em um PKCS#7
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    LTPA
    Para LTPA, o nome local de tipo de valor é LTPA. Se você digitar LTPA para o nome local, também deve especificar o valor da URI (Uniform Resource Identifier) http://www.ibm.com/websphere/appserver/tokentype/5.0.2 no campo URI de Tipo de Valor.
    LTPA versão 2
    Para LTPA versão 2, o nome local do tipo de valor é LTPAv2. Se você digitar LTPAv2 para o nome local, também deverá especificar o valor de URI (uniform resource identifier) http://www.ibm.com/websphere/appserver/tokentype no campo URI do Tipo de Valor.
    LTPA_PROPAGATION
    Para propagação do token LTPA, o nome do local do tipo de valor é LTPA_PROPAGATION. Se você digitar LTPA_PROPAGATION para o nome local, também deve especificar o valor da URI http://www.ibm.com/websphere/appserver/tokentype no campo URI de Tipo de Valor.
    Por exemplo, quando um token de certificado X.509 é especificado, é possível usar http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para o nome local.
  10. Especifique a URI do tipo de valor no campo URI. Esta entrada especifica o URI de espaço de nomes do tipo de valor para um token de segurança referido pelo identificador de chave. Este atributo será válido quando o Identificador de Chave for selecionado como o Tipo de informações chave no painel Informações Chave para o gerador padrão. Quando o token de certificado X.509 for especificado, não será necessário especificar o URI de namespace. Se outro token for especificado, será necessário especificar o URI de namespace do tipo de valor.
  11. Clique em OK e, em seguida, em Salvar para salvar a configuração.
  12. Clique no nome da sua configuração do gerador de token.
  13. Em Propriedades Adicionais, clique em Rotina de Tratamento de Retorno de Chamada para configurar as propriedades da rotina de tratamento de retorno de chamada. O manipulador de retorno de chamada especifica como adquirir o token de segurança que é inserido no cabeçalho da Segurança de Serviços da Web na mensagem SOAP. A aquisição do token é uma estrutura que pode ser conectada e que aumenta a interface do Java Authentication and Authorization Service (JAAS) javax.security.auth.callback.CallbackHandler para aquisição do token de segurança.
    1. Especifique uma implementação de classe do manipulador de retorno de chamada no campo Nome de Classe do Manipulador de Retorno de Chamada. Este atributo especifica o nome da Implementação da classe do manipulador de retorno de chamada utilizado para conectar uma estrutura do token de segurança. A classe do manipulador de retorno de chamada especificado deve implementar a classe javax.security.auth.callback.CallbackHandler. O WebSphere Application Server fornece as seguintes implementações de manipulador de retorno de chamada padrão:
      com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
      Esta rotina de tratamento de retorno de chamada utiliza um prompt de login para reunir informações sobre nome do usuário e senha. No entanto, se você especificar o nome de usuário e a senha nesse painel, um prompt não será exibido e o WebSphere Application Server retornará o nome de usuário e a senha para o gerador de token. Utilize esta implementação apenas para um aplicativo cliente Java EE (Java Platform, Enterprise Edition).
      com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
      Esta rotina de tratamento de retorno de chamada não emite um prompt e retorna o nome do usuário e senha se estiverem especificados na seção de autenticação básica deste painel. É possível usar esse manipulador de retorno de chamada quando o serviço da Web está agindo como um cliente.
      com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
      Esta rotina de tratamento de retorno de chamada utiliza um prompt padrão para reunir o nome do usuário e a senha. No entanto, se o nome de usuário e a senha forem especificados na seção de autenticação básica desse painel, o WebSphere Application Server não emitirá um aviso, mas retornará o nome de usuário e a senha para o gerador de token. Utilize esta implementação apenas para um aplicativo cliente Java EE (Java Platform, Enterprise Edition).
      com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
      Esta rotina de tratamento de retorno de chamada é utilizada para obter o token de segurança LTPA (Lightweight Third Party Authentication) do Subject da chamada Executar Como. Esse token é inserido no cabeçalho da Segurança de Serviços da Web na mensagem SOAP como um token de segurança binário. Entretanto, se o nome de usuário e a senha forem especificados na seção de autenticação básica desse painel, o WebSphere Application Server autenticará o nome de usuário e a senha para obter o token de segurança LTPA. Ele obtém o token de segurança desta forma, em vez de obtê-lo do assunto de Executar Como. Utilize este manipulador de retorno de chamada apenas quando o serviço da Web estiver agindo como um cliente no servidor de aplicativos. É recomendável não usar este manipulador de retorno de chamada em um aplicativo cliente Java EE.
      com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
      Esse manipulador de retorno de chamada é usado para criar o certificado X.509 que é inserido no cabeçalho da Segurança de Serviços da Web na mensagem SOAP como um token de segurança binário. São requeridos um arquivo de armazenamento de chave e uma definição de chave para esta rotina de tratamento de retorno de chamada.
      com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
      Esta rotina de tratamento de retorno de chamada é utilizada para criar certificados X.509 que estão codificados com o formato PKCS#7. O certificado é inserido no cabeçalho do Web Services Security na mensagem SOAP como um token de segurança binário. É requerido um arquivo de armazenamento de chave para este manipulador de retorno de chamada. Você deve especificar uma CRL (Certificate Revocation List) na coleção de armazenamento de certificados. A CRL é codificada com o certificado X.509 no formato PKCS#7. Para obter mais informações sobre como configurar o armazenamento de certificados de coleção, consulte Configurando o Certificado de Coleta no Servidor ou Nível de Célula.
      com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
      Esta rotina de tratamento de retorno de chamada é utilizada para criar certificados X.509 que estão codificados com o formato PkiPath. O certificado é inserido no cabeçalho do Web Services Security na mensagem SOAP como um token de segurança binário. É requerido um arquivo de armazenamento de chave para este manipulador de retorno de chamada. Uma CRL não é suportada pelo manipulador de retorno de chamada; portanto, o armazenamento de certificados de coleção não é requerido nem utilizado.

      Para um token de certificado X.509, é possível especificar a implementação com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler.

    2. Opcional: Selecione a opção Utilizar Asserção de Identidade. Selecione esta opção se tiver a asserção de identidade definida no descritor de implementação estendida da IBM®. Essa opção indica que apenas a identidade do emissor inicial é necessária e inserida no cabeçalho de Segurança de Serviços da Web na mensagem SOAP. Por exemplo, o WebSphere Application Server envia apenas o nome de usuário do responsável pela chamada original para um gerador de token do nome de usuário. Para um gerador de token X.509, o servidor de aplicativos envia apenas o certificado de signatário original.
    3. Opcional: Selecione a opção Utilizar Identidade Executar Como. Selecione esta opção se as seguintes condições forem aplicáveis:
      • Você possui a asserção de identidade definida no descritor de implementação estendida da IBM.
      • Você deseja usar a identidade Executar Como em vez da identidade do responsável pela chamada inicial para asserção de identidade para uma chamada de recebimento de dados.
    4. Opcional: Especifique um ID do usuário e uma senha de autenticação básica nos campos ID do Usuário e Senha. Esta entrada especifica o nome do usuário e a senha transmitidos para os construtores da implementação da rotina de tratamento de retorno de chamada. O ID do usuário e senha de autenticação básica são utilizados se você especificar uma das seguintes implementações de manipulador de retorno de chamada padrão fornecidas pelo WebSphere Application Server:
      • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
    5. Opcional: Especifique uma senha e um caminho do armazenamento de chave. O armazenamento de chave e suas informações relacionadas são necessários quando a chave ou o certificado é utilizado para gerar um token. Por exemplo, as informações do armazenamento de chaves são necessárias se você selecionar uma das seguintes implementações de manipulador de retorno de chamada padrão fornecidas pelo WebSphere Application Server:
      • com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler

      Os arquivos de armazenamento de chave contêm chaves públicas e privadas, certificados de CA (Autoridade de Certificação) raiz, certificados de CA intermediários e outros. As chaves que são recuperadas do arquivo de armazenamento de chave são utilizadas para assinar e validar ou criptografar e decriptografar mensagens ou partes de mensagens. Para recuperar uma chave de um arquivo de armazenamento de chave, é necessário especificar a senha, o caminho e o tipo do armazenamento de chave.

  14. Selecione um tipo de armazenamento de chaves no campo Tipo. O WebSphere Application Server fornece as seguintes opções:
    JKS
    Utilize esta opção se você não estiver utilizando o JCE (Java Cryptography Extensions) e se o arquivo de armazenamento de chaves usar o formato JKS (Java Keystore).
    JCEKS
    Utilize esta opção se você estiver utilizando o Java Cryptography Extensions.
    [z/OS]JCERACFKS
    [z/OS]Utilize JCERACFKS se os certificados estiverem armazenados em um anel de chaves SAF (apenas z/OS).
    PKCS11KS (PKCS11)
    Utilize este formato se o seu arquivo de armazenamento de chave utilizar o formato de arquivo PKCS#11. Os arquivos de armazenamento de chaves que utilizam este formato podem conter chaves RSA em hardware criptográfico ou podem criptografar as chaves que utilizam o hardware criptográfico para garantir proteção.
    PKCS12KS (PKCS12)
    Utilize esta opção se seu arquivo de armazenamento de chave utilizar o formato de arquivo PKCS#12.
  15. Clique em OK e, em seguida, em Salvar para salvar a configuração.
  16. Clique no nome da sua configuração do gerador de token.
  17. Em Propriedades Adicionais, clique em Manipulador de Retorno de Chamada > Chaves.
  18. Clique em Novo para criar uma configuração de chave, clique em Excluir para excluir uma configuração existente ou clique no nome de uma configuração de chave existente para editar suas definições. Se estiver criando uma nova configuração, digite um nome exclusivo para a configuração de chave no campo Nome da Chave. Este nome refere-se ao nome do objeto chave armazenado no arquivo de armazenamento de chave.
  19. Especifique um alias para o objeto de chave no campo Alias de Chave. Utilize o alias quando o localizador de chave pesquisar os objetos de chave no armazenamento de chaves.
  20. Especifique a senha associada à chave no campo Senha de Chave.
  21. Clique em OK e Salvar para salvar a configuração.

Resultados

Você configurou os geradores de tokens no nível de servidor ou de célula.

O que Fazer Depois

É necessário especificar uma configuração de consumidor de token semelhante.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokengensvrcell
Nome do arquivo: twbs_configtokengensvrcell.html