Web Service 安全性通用安全性令牌登录模块定制属性

配置通用安全性令牌登录模块时,您可以配置数据的“名称/值”对,其中名称是属性关键字而值是字符串值,可使用这些“名称/值”对来设置内部系统配置属性。可以使用这些配置属性以及管理控制台中提供的选项来控制生成或使用令牌的方式。

要在管理控制台中配置回调处理程序的这些定制属性,请完成以下步骤:

  1. 展开服务
  2. 选择服务提供程序服务客户机
  3. 单击名称列中相应的应用程序。
  4. 单击绑定列中相应的绑定。

    先前必须已连接策略集并且已指定绑定。

或者

  1. 展开应用程序 > 应用程序类型,然后单击 WebSphere 企业应用程序
  2. 选择包含 Web Service 的应用程序。该应用程序必须包含服务提供程序或服务客户机。
  3. Web Service 属性标题下,单击服务提供程序策略集和绑定服务客户机策略集和绑定
  4. 选择绑定。您先前必须已连接策略集并且已指定特定于应用程序的绑定。

然后完成以下步骤:

  1. 单击“策略”表中的 WS-Security
  2. 主消息安全策略绑定标题下面,单击认证和保护
  3. 认证令牌标题下,单击认证令牌的名称。
    支持的配置 支持的配置: 您只能将通用安全性令牌登录模块处理的令牌用于认证。不能将该令牌用作保护令牌。sptcfg
  4. 其他绑定标题下面,单击回调处理程序
  5. 定制属性标题下,输入“名称/值”对。

同时用于令牌生成者和令牌使用者绑定的回调处理程序定制属性

下表列示了可用于同时配置令牌生成者和令牌使用者绑定的回调处理程序定制属性。

表 1. 同时用于令牌生成者和令牌使用者绑定的回调处理程序定制属性。. 此表包含定制属性名、其值以及简要描述。
名称 描述

clockSkew

此定制属性没有缺省值。

使用此定制属性可以指定对 SAMLGenerateLoginModule 创建的自签发 SAML 令牌中的时间的调整(以分钟为单位)。

clockSkew 定制属性是在使用 SAMLGenerateLoginModule 类的 SAML 令牌生成者的回调处理程序中设置的。对此定制属性指定的值必须为数字并且指定以分钟为单位。

对此定制属性指定值后,将在 SAMLGenerateLoginModule 创建的自签发 SAML 令牌中调整以下时间:
  • 减去对 clockSkew 定制属性指定的时间量后,新的 NotBefore 时间设置与初始的 NotBefore 时间设置相同。
  • 加上对 clockSkew 定制属性指定的时间量后,新的 NotAfter 时间设置与初始的 NotAfter 时间设置相同。
stsURI

此定制属性没有缺省值。

使用此定制属性来指定安全性令牌服务 (STS) 地址。

对于令牌使用者,此定制属性是必需的。但是,对于令牌生成者,如果所请求的令牌存在于 RunAs Subject 中并且其验证不是必需的,那么此定制属性是可选的。

wstrustClientBinding

此定制属性没有缺省值。

使用此定制属性来指定 WS-Trust 客户机的绑定名称。

wstrustClientBindingScope 您可以指定 applicationdomain 值。 使用此定制属性来指定用于 WS-Trust 客户机的绑定的类型。
存在下列条件:
  • 如果指定 domain 值,那么将使用常规绑定。
  • 如果指定 application 值,那么将使用定制绑定。
  • 如果未指定值并且存在应用程序绑定,那么将使用这些应用程序绑定。
  • 如果未指定值并且存在常规绑定,那么将使用这些常规绑定。
  • 如果应用程序绑定和常规绑定都不存在,那么将使用缺省绑定。

此定制属性是可选的。

wstrustClientPolicy

此定制属性没有缺省值。

使用此定制属性来指定 WS-Trust 客户机的策略集名称。

wstrustClientSoapVersion

您可以指定 1.11.2 值。

使用此定制属性来指定信任客户机用于生成 SOAP 消息的 SOAP 消息版本。SOAP 消息将发送至安全性令牌服务 (STS)。如果未定义此定制属性,那么通用安全性令牌登录模块将在为信任客户机请求生成 SOAP 消息时使用应用程序的 SOAP 版本。

缺省值对应于应用程序客户机使用的 SOAP 版本。

此定制属性是可选的。

wstrustClientWSTNamespace
指定下列其中一个值:
Trust Version 1.3(缺省值)

指定 1.3 以使用 Trust Version 1.3(缺省值)。

http://docs.oasis-open.org/ws-sx/ws-trust/200512
Trust Version 1.2

指定 1.2 以使用 Trust Version 1.2。

http://schemas.xmlsoap.org/ws/2005/02/trust

使用此定制属性来指定通用安全性令牌登录模块发出 WS-Trust 请求时将使用的信任客户机名称空间。

wstrustValidateClientBinding

缺省情况下,此定制属性的值与对 wstrustClientBinding 定制属性指定的值相同。

使用此定制属性来指定 WS-Trust Validate 请求使用的绑定。

如果未指定此定制属性,那么 WS-Trust Validate 请求将使用 WS-Trust Issue 所使用的绑定,这些绑定由 wstrustClientBinding 定制属性定义。

wstrustValidateClientPolicy

缺省情况下,此定制属性的值与对 wstrustClientPolicy 定制属性指定的值相同。

使用此定制属性来指定与 WS-Trust Validate 请求配合使用的策略集。

如果未指定此定制属性的值,那么 WS-Trust Validate 将使用与 WS-Trust Issue相同的策略集,该策略集由必需的 wstrustClientPolicy 定制属性定义。

wstrustIssuer

您可以使用任意字符串值。

使用此定制属性来指定请求令牌的签发者。

此定制属性是可选的。

wstrustValidateTargetOption

缺省值为 WS-TrustBase 元素扩展。

您可以指定 tokenbase 值,后者也是缺省值。

使用此定制属性来指定 WS-Trust 客户机是使用 ValidateTarget 还是基础元素扩展将验证令牌传递到 WS-Trust 安全性令牌服务。

存在下列条件:
  • 如果未指定此定制属性的值,那么令牌将包含在 RequestedSecurityToken 元素的基础元素扩展中。
  • 如果指定 token 值,那么令牌将包含在 RequestedSecurityToken 元素的 ValidateTarget 元素中。

用于令牌生成者绑定的回调处理程序定制属性

下表列示了只能用于配置令牌生成者绑定的回调处理程序定制属性。

表 2. 仅用于令牌生成者绑定的回调处理程序定制属性。. 此表包含定制属性名、其值以及简要描述。
名称 描述
passThroughToken

您可以使用 TrueFalse 值。缺省值是 False

此定制属性的值不区分大小写。

使用此定制属性可以指示是否应从 STS 获取出站令牌。缺省行为是始终从 STS 获取令牌。此属性设置为 True 时,将按以下顺序获取入站令牌:
  1. 从堆栈化 JAAS 登录模块的 sharedState
  2. 从消息上下文的 com.ibm.wsspi.wssecurity.token.tokenHolder 列表中
  3. 从入站 SecurityTokens
有关更多信息,请参阅 com.ibm.wsspi.wssecurity.core.Constants Java API 文档中的下列常量。信息中心导航中的“参考 > 编程接口 > API”下提供了此文档。
  • com.ibm.wsspi.wssecurity.token.tokenHolder
  • com.ibm.wsspi.wssecurity.token.enableCaptureTokenContext
  • com.ibm.wsspi.wssecurity.token.enableCaptureTokenInboundMsg
useRunAsSubject

您可以使用 TrueFalse 值。缺省值为 True

此定制属性的值不区分大小写。

使用此定制属性来指定通用安全性令牌登录模块是否对出局请求使用 RunAs Subject 中的令牌。缺省情况下,登录模块首先使用 RunAs Subject 中的已验证令牌。

存在下列条件:
  • 如果将此定制属性设置为 false 值,那么通用安全性令牌登录模块不会使用 WS-Trust Validate 来交换出站请求的令牌。它将改为使用 WS-Trust Issue 请求令牌。
  • 如果未指定此定制属性,那么通用安全性令牌登录模块将尝试使用 RunAs Subject 中的令牌和 WS-Trust Validate 来交换令牌。
  • 如果 RunAs Subject 中不存在令牌,那么通用安全性令牌登录模块将使用 WS-Trust Issue 并且受信任客户机策略集的保护。
useRunAsSubjectOnly

您可以使用 TrueFalse 值。缺省值是 False

此定制属性的值不区分大小写。

使用此定制属性可以在通用安全性令牌登录模块中禁用或启用 WS-Trust Issue。如果将此定制属性设置为 true 值,那么通用安全性令牌登录模块将使用 RunAs Subject 中的令牌和 WS-Trust Validate 来交换令牌。即使 WS-Trust Validate 失败或它未在 RunAs Subject 中找到匹配的令牌,通用安全性令牌登录模块也不会使用 WS-Trust Issue 来请求令牌。

useToken

对于安全性令牌,您可以使用 ValueType 值的任何字符串值。

使用 RunAs Subject 中的安全性令牌来验证和交换出站请求的令牌时,您可以使用此定制属性指定 RunAs Subject 中的哪些令牌 ValueType 值用于验证和交换所请求的令牌。

例如,您可能具有 RunAs SubjectValueType 值为 Token_1 的令牌。但是,ValueType 值为 Token_2 的令牌是必需令牌。您可以将此定制属性设置为 Token_1

如果未定义此定制属性,那么验证令牌是 RunAs Subject 中与必需令牌具有相同 ValueType 值的令牌。

此定制属性是可选的。

validateUseToken

您可以使用 TrueFalse 值。缺省值为 True

此定制属性的值不区分大小写。

使用此定制属性来指定令牌生成者是否使用 WS-Trust Validate 验证 RunAs Subject 中的令牌。

缺省情况下,通用安全性令牌登录模块将根据安全性令牌服务 (STS) 来验证 RunAs Subject 中的令牌,然后再将 SOAP 消息中的令牌发送到服务提供程序。

如果将此定制属性值设置为 false 并且通用安全性令牌登录模块在 RunAs Subject 中找到匹配的令牌,那么该登录模块不会调用 WS-Trust Validate 来验证此匹配令牌。它会改为将匹配令牌发送到下游服务提供程序,而不进行验证。

wstrustIncludeTokenType

您可以使用 TrueFalse 值。缺省值为 True

此定制属性的值不区分大小写。

使用此定制属性来指定 WS-Trust RequestedSecurityToken 令牌是否包含所请求的令牌 ValueType 值。

如果未指定此定制属性,那么通用安全性令牌登录模块将包含 WS-Trust RequestedSecurityToken 令牌中的请求令牌类型。

此定制属性是可选的。

用于令牌使用者绑定的回调处理程序定制属性

下表列示了只能用于配置令牌使用者绑定的回调处理程序定制属性。

表 3. 仅用于令牌使用者绑定的回调处理程序定制属性。. 此表包含定制属性名、其值以及简要描述。
名称 描述
alwaysGeneric

您可以使用 TrueFalse 值。缺省值是 False

此定制属性的值不区分大小写。

使用此定制属性来指定登录模块是否创建 GenericSecurityToken。

如果 passThroughToken 和此属性都设置为 True,那么登录模块将始终创建 GenericSecurityToken 来代替对应于为令牌配置的 valueType 的内置令牌类型。

exchangedTokenType

此定制属性的有效值为系统缺省登录模块支持的令牌的字符串 ValueType 值。

使用此定制属性来指定具有已定义的 ValueType 值的新令牌,在验证成功后信任服务必须返回该令牌。

如果未指定此定制属性的值,那么通用安全性令牌登录模块将接受信任服务返回的任何令牌。

此定制属性是可选的。

passThroughToken

您可以使用 TrueFalse 值。缺省值是 False

此定制属性的值不区分大小写。

使用此定制属性来指定是否应将入站令牌发送到 STS。

缺省行为是始终将入站令牌发送到 STS 以进行验证和/或交换。

此属性设置为 True 时,入站令牌不会发送到 STS 并且将通过使用者进行传递。在此属性设置为 True 并且使用内置令牌的情况下,将对该令牌进行解析并使其在 WS-Security 上下文中可用,以便随后由调用者配置 JAAS 登录模块进行处理。


指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_genlogin_customproperties
文件名:rwbs_genlogin_customproperties.html