Este procedimento descreve como configurar ligações e conjunto de políticas WS-Security em nível de mensagem para consumir um token LTPA, um UsernameToken ou ambos. Esse procedimento pode ser modificado para se aplicar a qualquer par de tipos de valor de token diferentes. Não é possível criar uma configuração que faça com que um token seja obrigatório e o outro opcional.
Antes de Iniciar
Esta tarefa supõe que se o provedor e o cliente de serviços que estão sendo configurados estão no aplicativo JaxWSServicesSamples.
Consulte Acessando as Amostras para obter informações adicionais sobre como obter e instalar esse aplicativo. Você deve usar a especificação de rastreio a seguir no servidor. Essas especificações permitem depurar os futuros problemas de configuração que possam ocorrer.
*=info:com.ibm.wsspi.wssecurity.*=all:com.ibm.ws.webservices.wssecurity.*=all:
com.ibm.ws.wssecurity.*=all: com.ibm.xml.soapsec.*=all: com.ibm.ws.webservices.trace.*=all:
com.ibm.ws.websvcs.trace.*=all:com.ibm.ws.wssecurity.platform.audit.*=off:
Como tokens LTPA serão usados, a segurança do aplicativo deve ser ativada nos servidores de aplicativos usados para o cliente e o serviço.
Sobre Esta Tarefa
Este procedimento explica as ações que precisa concluir para configurar uma política de WS-Security para consumir um token LTPA, um UsernameToken ou ambos. Geralmente essa configuração seria usada em um aplicativo de provedor. Para maior simplicidade, este procedimento removerá registros de data e hora, assinaturas digitais e criptografias da política; talvez você queira incluir tudo isso na configuração final. Consulte Configurando um Conjunto de Políticas e Ligações para Assinatura Digital XML e/ou Criptografia XML Assimétricas para obter informações adicionais.
Este procedimento também inclui as etapas para configurar um aplicativo cliente para enviar um
UsernameToken ou um token LTPA.
Procedimento
- Crie um conjunto de políticas customizado para o provedor.
- No console administrativo, clique em Serviços > Conjuntos de Políticas > Conjuntos de Políticas de Aplicativos.
- Clique em Novo(a).
- Especifique Nome = AtwoTokenPolicy.
- Dê um clique em Aplicar.
- Em Políticas, clique em Incluir > WS-Security.
- Editar o conjunto de políticas customizadas.
- Remova a assinatura digital, a criptografia e o registro de data e hora.
- No console administrativo, clique em Segurança WS > Política Principal.
- Cancelar seleção da proteção de nível de mensagem.
- Dê um clique em Aplicar.
- Inclua UsernameToken e token LTPA.
- Clique em Solicitar Políticas de Token.
- Clique em Incluir Tipo de Token > LTPA.
- Nome do token LTPA: myLTPA
- Clique em OK.
- Clique em Incluir Tipo de Token > Nome de Usuário.
- Nome do token do nome de usuário: myUNT.
- Clique em OK.
- Salve a configuração.
- Clique em Salvar.
- Configure o provedor para usar o conjunto de políticas AtwoTokenPolicy.
- No console administrativo, clique em Aplicativos > Tipos de Aplicativos > Aplicativos Corporativos do WebSphere > JaxWSServicesSamples > Conjuntos de Políticas e Ligações do Provedor de Serviços.
- Selecione o recurso do cliente de serviços da Web.
- Selecione o recurso do provedor de serviços da web.
- Clique em Anexar Conjunto de Políticas.
- Selecione AtwoTokenPolicy.
- Crie uma ligação customizada para o provedor.
- Selecione novamente o recurso do provedor de serviços da web.
- Clique em Designar Ligação.
- Clique em Nova Ligação Específica do Aplicativo para
criar uma ligação específica do aplicativo.
- Especifique Nome da Configuração de Ligações: providerBinding.
- Clique em Incluir > WS-Security.
- Edite as ligações customizadas para o provedor.
- Para incluir uma configuração de responsável pela chamada para o token LTPA:
- Clique em Responsável pela Chamada.
- Clique em Novo(a).
- Nome: ltpaCaller
- Parte local da identidade do responsável pela chamada: LTPAv2
- URI do espaço de nomes da identidade do responsável pela chamada: http://www.ibm.com/websphere/appserver/tokentype
- Clique em OK.
- Para incluir uma configuração de responsável pela chamada em UsernameToken
- Clique em Novo(a).
- Nome: untCaller
- Parte local da identidade do responsável pela chamada: http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
- URI de namespace de identidade do responsável pela chamada: [deixe em branco]
- Clique em OK.
Nota: Assegure que os tokens tenham a precedência desejada. Só pode haver uma única identidade de responsável pela chamada para o encadeamento. Se ocorrer mais de um token na mensagem SOAP de entrada para a qual há configurações do responsável pela chamada, a configuração do responsável pela chamada com o número de ordem inferior será usada. Se a ordem mostrada no campo Ordem na tabela não for a desejada, faça o seguinte:
- Selecione o token que você quer que tenha a prioridade mais alta.
- Clique em Mover para Cima até o Número do Pedido ser 1.
- Repita este procedimento usando Mover para Cima e Mover para Baixo para atingir o pedido desejado.
- Clique em Salvar para salvar a configuração.
- Crie um conjunto de políticas que tenha apenas um UsernameToken na mensagem de solicitação para o cliente.
- No console administrativo, clique em Serviços > Conjuntos de Políticas > Conjuntos de Políticas de Aplicativos.
- Clique em Novo(a).
- Especifique Nome = AUntPolicy
- Dê um clique em Aplicar.
- Em Políticas, clique em Incluir > WS-Security.
- Remova a assinatura digital, a criptografia e o registro de data e hora.
No console
administrativo:
- Clique em WS-Security > Política Principal.
- Cancelar seleção da proteção de nível de mensagem.
- Clique em Aplicar
- Inclua UsernameToken.
- Clique em Solicitar Políticas de Token.
- Clique em Incluir Tipo de Token > Nome de Usuário.
- Nome do token do nome de usuário: myUNT.
- Clique em OK.
- Salve a configuração. Clique em Salvar.
- Crie um conjunto de políticas que tem somente um token LTPA na mensagem de solicitação para o cliente.
- No console administrativo, clique em Serviços > Conjuntos de Políticas > Conjuntos de Políticas de Aplicativos.
- Clique em Novo(a).
- Especifique Nome = AnLTPAPolicy
- Dê um clique em Aplicar.
- Em Políticas, clique em Incluir > WS-Security.
- Remova a assinatura digital, a criptografia e o registro de data e hora.
No console
administrativo:
- Clique em WS-Security > Política Principal.
- Cancelar seleção da proteção de nível de mensagem.
- Clique em Aplicar
- Inclua o token LTPA.
- Clique em Solicitar Políticas de Token.
- Clique em Incluir Tipo de Token > LTPA.
- Nome do token LTPA: myLTPA.
- Clique em OK.
- Salve a configuração. Clique em Salvar.
- Execute as etapas a seguir para configurar o cliente para usar a política UsernameToken e criar ligações:
- Configure o cliente para usar o conjunto de políticas AUntPolicy.
- No console administrativo, clique em Aplicativos > Tipos de Aplicativos > Aplicativos Corporativos do WebSphere > JaxWSServicesSamples > Conjuntos de Políticas e Ligações do Cliente de Serviço.
- Selecione o recurso de cliente de serviço da web.
- Clique em Anexar Conjunto de Políticas.
- Selecione AUntPolicy.
- Crie uma ligação customizada para o cliente.
- Selecione novamente o recurso de serviços da web.
- Clique em Designar Ligação.
- Clique em Nova Ligação Específica do Aplicativo para criar uma ligação específica do aplicativo.
- Especifique o nome da configuração de ligações. Nome: untClientBinding.
- Clique em Incluir > WS-Security.
- Configure as ligações customizadas do cliente.
- Selecione Autenticação e Proteção.
- Em Tokens de Autenticação, selecione myUNT.
- Dê um clique em Aplicar.
- Clique em Manipulador de Retorno de Chamada.
- Insira a Senha e o Nome de Usuário desejados.
- Inclua as propriedades customizadas para o nonce e o registro de data e hora: como o consumidor UsernameToken não foi configurado durante a configuração de ligação customizada no provedor, o tempo de execução usará as ligações gerais padrão para a configuração de UsernameToken. O consumidor do UsernameToken na ligação geral padrão requer que o registro de data e hora e nonce sejam enviados no token do nome de usuário, de forma que as propriedades para emitirem esses elementos devam ser inseridos:
* com.ibm.wsspi.wssecurity.token.username.addTimestamp=true
* com.ibm.wsspi.wssecurity.token.username.addNonce=true
- Clique em OK.
- Salve a configuração.
- Clique em Salvar.
- Execute as etapas a seguir para configurar o cliente para usar a política UsernameToken e criar ligações:
- Configure o
cliente para usar o conjunto AnLTPAPolicypolicy.
- No console administrativo, clique em Aplicativos > Tipos de Aplicativos > Aplicativos Corporativos do WebSphere > JaxWSServicesSamples > Conjuntos de Políticas e Ligações do Cliente de Serviço.
- Selecione o recurso de cliente de serviço da web.
- Clique em Anexar Conjunto de Políticas.
- Selecione AnLTPAPolicy.
- Crie uma ligação customizada para o cliente.
- Selecione novamente o recurso de serviços da web.
- Clique em Designar Ligação.
- Clique em Nova Ligação Específica do Aplicativo para criar uma ligação específica do aplicativo.
- Especifique o nome da configuração de ligações. Nome: ltpaClientBinding.
- Clique em Incluir > WS-Security.
- Configure as ligações customizadas do cliente.
- Selecione Autenticação e Proteção.
- Em Tokens de Autenticação, selecione myLTPA.
- Dê um clique em Aplicar.
- Clique em Manipulador de Retorno de Chamada.
- Insira a Senha e o Nome de Usuário desejados.
- Clique em OK.
- Salve a configuração.
- Clique em Salvar.