Configurando Consumidores de Token Utilizando o JAX-RPC para Proteger a Autenticidade de Mensagens no Nível de Servidor ou de Célula

O consumidor de token no nível do servidor ou da célula é utilizado para especificar as informações necessárias para processar o token de segurança, se não estiver definido no nível do aplicativo.

Antes de Iniciar

É necessário entender que as informações de keystore/alias fornecidas para o gerador e as informações de keystore/alias fornecidas para o consumidor são usadas para propósitos diferentes. A diferença principal se aplica ao Alias para um manipulador de retorno de chamada X.509.

Quando usado em associação com um consumidor de criptografia, o alias fornecido para o consumidor é usado para recuperar a chave privada para decriptografar a mensagem. Uma senha é necessária. Quando associado a um consumidor de assinatura, o alias fornecido para o consumidor é usado estritamente para recuperar a chave pública que é usada para resolver um certificado X.509 que não é transmitido no cabeçalho de segurança SOAP como um BinarySecurityToken. Uma senha não é necessária.

Sobre Esta Tarefa

O WebSphere Application Server fornece valores padrão para ligações. É necessário modificar os padrões para um ambiente de produção.

É possível configurar os consumidores de token no nível do servidor e no nível da célula. Nas etapas a seguir, utilize a primeira etapa para acessar as ligações padrão de nível do servidor e utilize a segunda etapa para acessar as ligações no nível de célula.

Procedimento

  1. Acesse as ligações padrão para o nível do servidor.
    1. Clique em Servidores > Tipos de Servidor > Servidores de Aplicativos do WebSphere > server_name.
    2. Em Segurança, clique em Tempo de Execução de Segurança do JAX-WS e JAX-RPC.
      Ambiente de Versões Mistas Ambiente de Versões Mistas: Em uma célula de nó combinada com um servidor usando o Websphere Application Server versão 6.1 ou anterior, clique em Serviços da Web: Ligações padrão para Segurança de Serviços da Web.mixv
  2. Clique em Segurança > Serviços da Web para acessar as ligações padrão no nível de célula.
  3. Em Ligações do Consumidor Padrão, clique em Consumidores de Tokens.
  4. Clique em Novo para criar uma configuração de consumidor de token, clique em Excluir para excluir uma configuração existente ou clique no nome de uma configuração de consumidor de token existente para editar suas definições. Se você estiver criando uma nova configuração, digite um nome exclusivo para a configuração do consumidor de token no campo Nome do Consumidor de Token. Por exemplo, será possível especificar sig_tcon. Este campo especifica o nome do elemento do consumidor de token.
  5. Especifique um nome de classe no campo Nome da Classe do Consumidor de Token. A implementação do Módulo de Login do Java™ Authentication and Authorization Service (JAAS) é utilizada para validar (autenticar) o token de segurança no lado do consumidor.
    Restrição: A interface com.ibm.wsspi.wssecurity.token.TokenConsumingComponent não é usada com serviços da Web JAX-WS. Se você estiver utilizando os serviços da Web JAX-RPC, essa interface ainda é válida.

    O nome da classe do consumidor de token deve ser semelhante ao nome da classe do gerador de token.

    Por exemplo, se seu aplicativo precisar de um consumidor de token de certificado X.509, você poderá especificar o nome da classe com.ibm.wsspi.wssecurity.token.X509TokenGenerator no painel Gerador de Token e o nome da classe com.ibm.wsspi.wssecurity.token.X509TokenConsumer neste campo. O WebSphere Application Server fornece as seguintes implementações de classe de consumidor do token padrão:
    com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer
    Esta implementação integra um token do nome do usuário.
    com.ibm.wsspi.wssecurity.token.X509TokenConsumer
    Esta implementação integra um token de certificado X.509.
    com.ibm.wsspi.wssecurity.token.LTPATokenConsumer
    Esta implementação integra um token LTPA (Lightweight Third Party Authentication).
    com.ibm.wsspi.wssecurity.token.IDAssertionUsernameTokenConsumer
    Esta implementação integra um token IDAssertionUsername.

    Uma classe de gerador de token correspondente não existe para esta implementação.

  6. Selecione uma opção de caminho de certificado. O caminho do certificado especifica a CRL (Certificate Revocation List) utilizada para gerar um token de segurança agrupado em um PKCS#7 com uma CRL. O WebSphere Application Server fornece as seguintes opções de caminho do certificado:
    Nenhuma
    Se esta opção for selecionada, o caminho do certificado não será especificado.
    Confiar em Todos
    Se esta opção for selecionada, todos os certificados serão confiáveis. Quando o token recebido é consumido, a validação do caminho do certificado não é processada.
    Informações sobre Assinatura Dedicada
    Se você selecionar esta opção, poderá especificar uma âncora de confiança e um armazenamento de certificados. Quando você selecionar a âncora de confiança ou o armazenamento de certificados de um certificado confiável, deverá configurar a coleção de armazenamento de certificados antes de definir o caminho do certificado. Para definir um armazenamento de certificados de coleção no nível do servidor ou da célula, consulte Configurando o Certificado de Coleta no Servidor ou Nível de Célula.
    1. Selecione uma âncora de confiança no campo Âncora de Confiança. O WebSphere Application Server fornece duas âncoras de confiança de amostra. No entanto, é recomendável configurar suas próprias âncoras de confiança para um ambiente de produção. Para obter informações sobre como configurar uma âncora de confiança, consulte Configurando Âncoras de Confiança no Nível do Servidor ou de Célula.
    2. Selecione um armazenamento de certificados de coleção no campo Armazenamento de Certificados. O WebSphere Application Server fornece um armazenamento de certificados de coleta de amostra. Se você selecionar Nenhum, o armazenamento de certificados de coleção não será especificado. Para obter informações sobre como especificar uma lista de armazenamentos de certificados que contenham arquivos de certificados não confiáveis, intermediários que aguardam validação, consulte Configurando Avaliadores de ID Confiável no Nível do Servidor ou de Célula.
  7. Selecione um avaliador de ID confiável no campo Referência de Avaliação de ID Confiável. Este campo especifica uma referência ao nome da classe do Avaliador de ID Confiável definido no painel Avaliadores de IDs Confiáveis. O avaliador de ID confiável é utilizado para avaliar se o ID recebido é confiável. Se você selecionar Nenhum, o avaliador de ID confiável não será referido nesta configuração de consumidor de token. Para configurar um avaliador de ID confiável, consulte Configurando Avaliadores de ID Confiável no Nível do Servidor ou de Célula.
  8. Selecione a opção Verificar Nonce se um nonce estiver incluído em um token do nome do usuário no lado do gerador. Nonce é um número criptográfico exclusivo incorporado em uma mensagem para ajudar a interromper repetidos ataques não autorizados de tokens do nome do usuário. A opção Verificar Nonce estará disponível se você especificar um token do nome do usuário para o consumidor de token e se nonce for incluído no token do nome do usuário no lado do gerador.
  9. Selecione a opção Verificar Time Stamp se um time stamp for incluído no token do nome do usuário no lado do gerador. A opção Verificar Time Stamp estará disponível se você especificar um token do nome do usuário para o consumidor de token e se um time stamp for incluído no token do nome do usuário no lado do gerador.
  10. Especifique o nome local do tipo de valor para o token integrado. Esta entrada especifica o nome local do tipo de valor para um token de segurança referido pelo identificador de chave. Este atributo é válido quando o Identificador de Chave é selecionado como o tipo de informações chave. Para especificar o tipo de informações chave, consulte Configurando as Informações Chave para a Ligação do Consumidor Utilizando o JAX-RPC no Nível de Servidor ou de Célula. O WebSphere Application Server possui nomes locais de tipos de valores predefinidos para o token do nome de usuário e para o token de segurança de certificado X.509. Digite um dos seguintes nomes locais para o token do nome do usuário e o token de segurança de certificado X.509. Ao especificar os nomes locais a seguir, não será necessário especificar o URI do tipo de valor:
    Token do Nome do Usuário
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
    Token de Certificado X.509
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
    Certificados X.509 em um PKIPath
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    Uma lista de certificados X.509 e CRLs em um PKCS#7
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    Nota: Para especificar LTPA (Lightweight Third Party Authentication) ou propagação de token (LTPA_PROPAGATION), você deve especificar o nome do local do tipo de valor e o URI (Identificador Uniforme de Recursos). Para LTPA, especifique LTPA para o nome local e http://www.ibm.com/websphere/appserver/tokentype/5.0.2 para o URI. Para a propagação de token LTPA, especifique LTPA_PROPAGATION para o nome local e http://www.ibm.com/websphere/appserver/tokentype para o URI.
    Por exemplo, quando um token de certificado X.509 é especificado, é possível usar http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para o nome local. Ao especificar o nome local de outro token, é necessário especificar um tipo de valor Qname. Por exemplo: uri=http://www.ibm.com/custom, localName=CustomToken
  11. Especifique o URI (Uniform Resource Identifier) do tipo de valor no campo URI. Esta entrada especifica o URI de espaço de nomes do tipo de valor para um token de segurança referido pelo identificador de chave. Este atributo será válido quando o Identificador de Chave for selecionado como o tipo de informações chave no painel Informações Chave para o gerador padrão. Ao especificar o consumidor de token para o token do nome do usuário ou um token de segurança de certificado X.509, não é necessário especificar esta opção. Se você especificar outro token, será necessário especificar o URI do QName para o tipo de valor.
  12. Clique em OK e, em seguida, em Salvar para salvar a configuração. Depois de salvar a configuração do gerador de token, será possível especificar uma configuração JAAS para o consumidor de token.
  13. Clique no nome da sua configuração do gerador de token.
  14. Em Propriedades Adicionais, clique em Configuração de JAAS.
  15. Selecione uma configuração do JAAS no campo Nome da Configuração do JAAS.

    O campo especifica o nome do sistema JAAS para a configuração de login do aplicativo. É possível especificar o sistema JAAS adicional e as configurações de aplicativos, clicando em Segurança > Segurança global. Expanda Java Authentication and Authorization Service e, em seguida, clique em Logins do Aplicativo > Novo ou Logins do Sistema > Novo.

    [AIX Solaris HP-UX Linux Windows][z/OS]Para obter informações adicionais sobre configurações do JAAS, consulte Definições de Configuração de JAAS.

    Não remova as configurações de login do sistema ou do aplicativo predefinidas. No entanto, nessas configurações, é possível incluir nomes de classes de módulos e especificar a ordem na qual o WebSphere Application Server carrega cada módulo. O WebSphere Application Server fornece as seguintes configurações predefinidas do JAAS:
    ClientContainer
    Esta seleção especifica a configuração de login utilizada por aplicativos de contêiner do cliente. A configuração utiliza a API (Interface de Programação de Aplicativos) CallbackHandler definida no descritor de implementação do contêiner do cliente. Para modificar esta configuração, consulte o painel de configuração do JAAS para ver os logins de aplicativos.
    WSLogin
    Esta seleção especifica se todos os aplicativos podem usar a configuração WSLogin para executar a autenticação para o tempo de execução de segurança. Para modificar esta configuração, consulte o painel de configuração do JAAS para ver os logins de aplicativos.
    DefaultPrincipalMapping
    Esta seleção especifica a configuração de login utilizada pelo J2C (Java 2 Connectors) para mapear usuários para proprietários definidos nas entradas de dados de autenticação do J2C. Para modificar esta configuração, consulte o painel de configuração do JAAS para ver os logins de aplicativos.
    system.wssecurity.IDAssertion
    Esta seleção permite que um aplicativo da Versão 5.x utilize asserção de identidade para mapear um nome de usuário para um proprietário de credencial do WebSphere Application Server. Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
    system.wssecurity.Signature
    Esta seleção permite que um aplicativo da Versão 5.x mapeie um DN (nome distinto) de um certificado assinado para um proprietário de credencial do WebSphere Application Server. Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
    system.LTPA_WEB
    Esta seleção processa pedidos de login que são usados pelo contêiner da Web, como arquivos de servlets e JavaServer Pages (JSP). Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
    system.WEB_INBOUND
    Esta seleção trata de pedidos de login para aplicativos da Web, que incluem arquivos de servlets e JavaServer Pages (JSP). Esta configuração de login é utilizada pelo WebSphere Application Server Versão 5.1.1. Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
    system.RMI_INBOUND
    Esta seleção manipula logins para pedidos RMI (Remote Method Invocation) de entrada. Esta configuração de login é utilizada pelo WebSphere Application Server Versão 5.1.1. Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
    system.DEFAULT
    Esta seleção trata de logins para pedidos de entrada que foram feitos por autenticações internas e muitos dos outros protocolos, exceto aplicativos da Web e pedidos RMI. Esta configuração de login é utilizada pelo WebSphere Application Server Versão 5.1.1. Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
    system.RMI_OUTBOUND
    Essa seleção processa as solicitações RMI que são enviadas para outro servidor quando propriedade com.ibm.CSIOutboundPropagationEnabled for true. Essa propriedade é configurada no painel Autenticação do CSIv2. Para acessar o painel, clique em Segurança > Segurança Global. Em Autenticação, expanda Segurança RMI/IIOP e clique em Autenticação de saída CSIv2. Para configurar a propriedade com.ibm.CSIOutboundPropagationEnabled, selecione Propagação do Atributo de Segurança. Para modificar essa configuração de login do JAAS, consulte o painel JAAS - Logins do Sistema.
    system.wssecurity.X509BST
    Esta seção verifica um BST (Token de Segurança Binário) X.509, verificando a validade do certificado e do caminho do certificado. Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
    system.wssecurity.PKCS7
    Esta seleção verifica um certificado X.509 com uma Certificate Revocation List em um objeto PKCS7. Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
    system.wssecurity.PkiPath
    Esta seção verifica um certificado X.509 com um caminho de PKI (Infra-estrutura da Chave Pública). Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
    system.wssecurity.UsernameToken
    Esta seleção verifica os dados de autenticação básica (nome do usuário e senha). Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
    system.wssecurity.IDAssertionUsernameToken
    Esta seleção permite que aplicativos das Versões 6 e posteriores utilizem asserção de identidade para mapear um nome de usuário para um proprietário de credencial do WebSphere Application Server. Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
    system.WSS_INBOUND
    Esta seleção especifica a configuração de login para pedidos de entrada ou de consumidor para propagação de token de segurança usando a Segurança de Serviços da Web. Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
    system.WSS_OUTBOUND
    Esta seleção especifica a configuração de login para saída ou pedidos de gerador para propagação do token de segurança usando a Segurança dos Serviços da Web. Para modificar esta configuração, consulte o painel de configuração do JAAS para visualizar os logins do sistema.
    Nenhuma
    Com esta seleção, não é necessário especificar uma configuração de login de JAAS.
  16. Clique em OK e, em seguida, em Salvar para salvar a configuração.

Resultados

Você configurou o consumidor de token no nível do servidor ou da célula.

O que Fazer Depois

Você deve especificar uma configuração de gerador de token semelhante para o nível do servidor ou da célula.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokenconssvrcell
Nome do arquivo: twbs_configtokenconssvrcell.html