É possível anexar as operações de serviço confiável de um terminal de serviço
a um conjunto de política do sistema e a uma ligação. Cada novo terminal especificado
inicialmente tem as quatro seguintes operações: emitir, renovar, cancelar e validar. Por
padrão, todos os terminais herdam o conjunto de política e a ligação que estão anexados à
respectiva operação de serviço confiável em Padrões de Serviço Confiável. Entretanto,
é possível anexar explicitamente um conjunto de política diferente.
Antes de Iniciar
Primeiro, você deve definir os conjuntos de políticas e as ligações. As
Políticas descrevem a proteção ou a qualidade de serviço que é fornecida
(como segurança da mensagem, transporte e assim por diante). As Ligações
especificam alguns detalhes sobre como implementar a política, como:
o caminho para o arquivo de armazenamento de chaves, o nome da classe do
gerador de token ou o nome de configuração JAAS.
Importante: Utilize
os conjuntos de política do sistema com o serviço de confiança apenas. O solicitante (cliente) deve
utilizar apenas o JAX-WS (Java™ API for XML-Based Web Services). Os solicitantes que
utilizam o JAX-RPC (Java API for XML-based Remote Procedure Calls)
são incompatíveis com o conjunto de política QOS.
Dependendo da função de segurança designada quando a segurança
é ativada, é possível não ter acesso aos campos de entrada de texto ou botões para
criar ou editar dados de configuração. Reveja a documentação das funções administrativas para
aprender mais sobre as funções válidas do servidor de aplicativos.
Sobre Esta Tarefa
É possível conectar as operações de serviço de confiança para o
novo terminal ao conjunto de política e ligação existentes. Para cada novo terminal em serviço que é especificado, quatro
operações de serviço de confiança (cancelar, renovar, validar e emitir) deixam
de ter conexões herdadas para serem explicitamente conectadas. As quatro
operações são conectadas ao respectivo conjunto de política e ligação do
especificado nos Padrões de Serviço de Confiança. Em seguida, é possível alterar a conexão com a ligação e o conjunto de política existente
desejado.
Um conjunto de política de terminal
consiste em duas seções: uma seção de auto-inicialização e uma sessão de aplicativo. O conjunto de política do sistema conectado às operações de serviço de
confiança Emitir e Renovar para um terminal específico deve corresponder à
seção de auto-inicialização do conjunto de política para esse terminal. O conjunto de política do sistema conectado às operações de serviço de
confiança Cancelar e Validar para um terminal específico deve corresponder à
seção de aplicativo do conjunto de política para esse terminal.
Esta tarefa descreve como gerenciar operações de serviço de confiança
para URLs de terminal em serviço que você deseja conectar a um conjunto de
política do sistema e ligação. Para concluir a configuração do
serviço de confiança do WebSphere Application Server, é necessário também executar a seguinte tarefa:
- Crie ou gerencie os destinos. É possível criar designações explícitas
para novos terminais de serviço (destinos) ou gerenciar os terminais que
possuem um token de segurança explicitamente designado ou que herdam o token do
Padrão de Serviço de Confiança.
As ligações gerais de amostra fornecidas com o produto são inicialmente configuradas como ligações padrão de segurança global (célula).
A ligação do provedor de serviço padrão e as ligações do cliente de serviço padrão são utilizadas quando nenhuma ligação específica do aplicativo ou ligações do serviço confiáveis é atribuída a uma conexão do conjunto de política. Para conexões de serviço confiáveis, as ligações padrão são utilizadas quando nenhuma ligação específica confiável é atribuída. Se você não quiser usar a Amostra do Provedor como a ligação padrão do provedor de serviços, poderá selecionar uma ligação geral do provedor existente ou criar uma nova ligação geral do provedor para atender suas necessidades de negócios. Do mesmo modo, se você não quiser utilizar a Amostra do Cliente fornecida como a ligação padrão do cliente de serviço, poderá selecionar uma ligação geral de cliente existente ou criar uma nova ligação geral do cliente. Para especificar suas ligações padrão de segurança global (célula), utilize o console administrativo e clique em .
Para ambientes com vários domínios de segurança, é possível escolher opcionalmente as ligações do provedor geral e do cliente que você deseja utilizar como ligações padrão para um domínio. Para obter informações adicionais sobre as ligações padrão, consulte o tópico Configurando Ligações Padrão do Conjunto de Política.
Procedimento
- Para gerenciar as conexões do conjunto de política do sistema para operações de
serviço de confiança, clique em . A
lista exibe todos os terminais que possuem, pelo menos, uma operação com um
conjunto de política anexado bem como Padrões do Serviço de Confiança. A lista também exibe o conjunto de política do sistema e a ligação para cada operação.
- Selecione uma ou mais das seguintes ações para configurar as
conexões do serviço de confiança:
- Novo Anexo
- Abre um novo painel no qual é possível especificar a URL do terminal
em serviço.
Para cada novo terminal em serviço que é especificado, quatro
operações de serviço de confiança (cancelar, renovar, validar e emitir) deixam
de ter conexões herdadas para serem explicitamente conectadas. As quatro
operações são conectadas ao respectivo conjunto de política e ligação do
especificado nos Padrões de Serviço de Confiança. Essas conexões iniciais podem ser alteradas.
- Anexar
- Exibe uma lista de conjuntos de políticas do sistema existentes, incluindo os conjuntos de políticas padrão do sistema relacionados à confiança, aos quais as quatro operações de serviço
confiável de um terminal de serviço podem ser anexadas. Primeiro, selecione a operação (por exemplo, Cancelar
token) e, em seguida, clique em Conectar para exibir a lista de
conjuntos de política do sistema disponível. Selecione um conjunto de
política do sistema padrão ou customizado a ser conectado. Ao alterar a
conexão do conjunto de política, a ligação é automaticamente alterada para
Padrão.
Selecione a operação e clique em Designar Ligação para
alterar a ligação.
Os conjuntos de políticas do sistema pré-configurado que é possível selecionar incluem:
- TrustServiceSecurityDefault
Esse
conjunto de política de confiança especifica o algoritmo assimétrico e também as
chaves pública e privada para oferecer segurança a mensagens. A integridade da
mensagem é oferecida pela assinatura digital do corpo, do registro de data e hora e de
cabeçalhos WS-Addressing utilizando RSA.
O sigilo da mensagem é oferecido pela criptografia do corpo e assinatura utilizando RSA. Este
conjunto de política segue a especificação WS-Security para pedidos de operação
de confiança de emissão e renovação.
- TrustServiceSymmetricDefault
Esse
conjunto de política de confiança especifica o algoritmo simétrico e também os
algoritmos de chave derivados para oferecer segurança a mensagens. A integridade da
mensagem é oferecida pela assinatura digital do corpo, do registro de data e hora e de
cabeçalhos WS-Addressing utilizando HMAC-SHA1. O sigilo da mensagem é oferecido pela criptografia do
corpo e assinatura utilizando AES. Esse conjunto de política segue as especificações WS-Security e WS-SecureConversation para os pedidos
de validação e cancelamento de operação de confiança.
- SystemWSSecurityDefault
Esse
conjunto de política de sistema especifica o algoritmo assimétrico e também as
chaves pública e privada para oferecer segurança a mensagens. A integridade da mensagem é fornecida pela assinatura digital do corpo, do registro de data e hora e dos cabeçalhos do WS-Addressing utilizando criptografia RSA.
O sigilo da mensagem é fornecido pela criptografia do corpo e assinatura utilizando a criptografia RSA.
- Herdar Padrões de Operação
- Configura a operação para herdar as respectivas conexão e ligação do
conjunto de política de serviço de confiança padrão do serviço de confiança. Se você selecionar as conexões para modificar e, em seguida, clicar em
Herdar Padrões de Operação, a conexão explícita para o conjunto de
política e a ligação será removida. Depois disso, a operação herdará qualquer
alteração para o conjunto de política de serviço de confiança padrão e ligação.
- Designar Ligação
- Altera a ligação existente. É possível criar e atribuir uma nova ligação, atribuir a
ligação Padrão ou uma ligação especifica do serviço de confiança existente para cada conexão de serviço de confiança selecionado.
- Atualizar Tempo de Execução
- Atualiza o tempo de execução do serviço de confiança com quaisquer
alterações de configuração feitas nas conexões de serviço de confiança,
provedores de token e destinos.
- Opcional: Modifique o conjunto de política customizado, clicando no
nome de um conjunto de política customizado a partir da lista. Edite as configurações para os conjuntos de políticas customizados,
conforme necessário. As informações do conjunto de política de serviço de confiança padrão podem ser apenas visualizadas.
Não é possível editar os conjuntos de políticas padrão: TrustServiceSecurityDefault
e TrustServiceSymmetricDefault ou SystemWSSecurityDefault. TrustServiceSecurityDefault
é o padrão para as operações de emissão e renovação. O TrustServiceSymmetricDefault
é o padrão para operações de cancelamento e validação.
Pelo menos, uma
operação de serviço de confiança para a URL de serviço de terminal deve ser
conectada explicitamente para que a URL de serviço de terminal seja exibida. Se uma operação for explicitamente conectada, aparecerá o nome do conjunto de
política do sistema. Se nenhum conjunto de política estiver explicitamente conectado,
aparecerá o respectivo conjunto de política de serviço de confiança padrão,
seguido pelo texto (herdado).
- Opcional: Modifique a ligação específica do serviço clicando no nome de uma ligação na lista, conforme necessário. Edite as configurações para a ligação específica do serviço de confiança, conforme necessário. Quaisquer modificações para uma ligação de serviço de confiança afetam todas as conexões de serviço de confiança que fazem referência à ligação.
Se o recurso tiver um
conjunto de política diretamente anexado, aparecerá o nome das
ligações ou Padrão.
- Salve as suas alterações antes de aplicá-las na
configuração de tempo de execução de serviço de confiança.
- Clique em Atualizar Tempo de Execução para atualizar a
configuração de tempo de execução do serviço de confiança
com quaisquer alterações de dados para provedores do
token, conexões de serviço de confiança e destinos. A janela de confirmação aparecerá dependendo da seleção da caixa de
opções Mostrar Confirmação para Comando de Tempo de Execução de Atualização. Expanda
Preferências para visualizar a caixa de opções.
- Opcional: Confirme ou cancele, se a janela de confirmação aparecer. Se você desselecionou a caixa de opções
Mostrar Confirmação para Comando de Tempo de Execução de Atualização,
todas as alterações serão imediatamente feitas sem exibir a janela de
confirmação.
Resultados
Foram fornecidas as informações básicas para criar ou atualizar uma
conexão de serviço de confiança. Foram configuradas conexões de operação de
serviço de confiança para os conjuntos de políticas do sistema e de ligações.
O que Fazer Depois
Também é possível criar uma nova conexão para o serviço de confiança do WebSphere Application Server utilizando a ferramenta wsadmin. Os exemplos
da ferramenta wsadmin são escritos na linguagem de script Jython.