以下信息描述如何使用组装工具配置可插入令牌。
开始之前
要点: V5.x 与 V6 及更高版本的应用程序之间存在重要差别。这些信息仅支持与 WebSphere® Application Server V6.0.x 和更高版本配合使用的 V5.x 应用程序。这些信息不适用于 V6.0.x 和更高版本的应用程序。
此文档描述如何在请求发送方(ibm-webservicesclient-ext.xmi 和 ibm-webservicesclient-bnd.xmi 文件)和请求接收方(ibm-webservices-ext.xmi 和 ibm-webservices-bnd.xmi 文件)中配置可插入令牌。
因为请求发送方和请求接收方是一对,所以必需可插入令牌。为了接收方能够接受请求,请求发送方和请求接收方必须匹配。
在完成这些步骤之前,假设您已经创建了基于 Java™ Platform, Enterprise Edition (Java EE) 规范的 Web Service。请参阅以下两个主题之一,以获取有关如何为服务器管理 Web Service 安全绑定信息的介绍:
关于此任务
必须使用 IBM® 组装工具为必需的令牌在 ibm-webservicesclient-ext.xmi 和 ibm-webservices-ext.xmi 文件中指定安全性约束。
完成以下步骤以使用 ibm-webservicesclient-ext.xmi 和 ibm-webservicesclient-bnd.xmi 文件配置请求发送方:
过程
- 启动组装工具。 有关更多信息,请参阅组装工具。
- 切换到 Java EE 透视图。单击。
- 单击。
- 右键单击 application-client.xml 文件,然后选择。
- 单击 WS 扩展选项卡。 会显示 Web Service 客户机安全扩展编辑器。
- 在“服务引用”下,选择现有服务引用,或单击添加创建新的引用。
- 在“端口限定名绑定”下,为所选服务引用选择现有端口限定名,或单击添加以创建一个新的端口名称绑定。
- 在“请求发送方配置:登录配置”下,选择现有认证方法,或者在可编辑的列表框中输入一个新的认证方法(当 Web Service 充当客户机时,支持轻量级第三方授权 (LTPA) 生成令牌)。
- 单击以保存更改。
- 单击 Web Service 客户机绑定选项卡。 会显示 Web Service 客户机绑定编辑器。
- 在“端口限定名绑定”下,选择现有条目,或单击添加以添加新的端口名绑定。 为所选端口显示 Web Service 客户机绑定编辑器。
- 在“登录绑定”下,单击编辑或启用。 会显示“登录绑定”对话框。
- 在“认证方法”字段中,输入认证方法。
在此字段中输入的认证方法必须与在安全扩展选项卡上为同一个 Web Service 端口定义的认证方法相匹配。此字段是必需的。
- (可选)在 URI 字段和“局部名”字段中输入令牌值类型信息。这些字段对于 BasicAuth、“签名”和“身份断言”认证方法是可忽略的,但是对于其他认证方法是必需的。令牌值类型信息插入二进制安全性令牌的 <wsse:BinarySecurityToken>@ValueType 元素,并用作基于 XML 的令牌的名称空间。
- 输入 Java 认证和授权服务 (JAAS) javax.security.auth.callback.CallbackHandler 接口的实现。此字段是必需的。
- 在用户标识和密码字段中输入基本认证信息。
基本认证信息传递给 CallbackHandler 实现的构造。基本认证信息的使用依赖于 CallbackHandler 实现。
- 在“属性”字段中,添加“名称/值”对。这些对作为 java.util.Map 值传递到 CallbackHandler 实现的构造。
- 单击确定。
在“Web Service 客户机端口绑定”选项卡上的“登录绑定”下单击禁用以移除认证方法登录绑定。
- 单击以保存更改。
- 在“包资源管理器”窗口中,右键单击 webservices.xml 文件,并单击。 会显示 Web Service 窗口。
- 单击安全扩展选项卡。 会显示 Web Service 安全扩展编辑器。
- 在“Web Services 描述扩展”下,选择现有服务引用,或单击添加以创建一个新的扩展。
- 在“端口组件绑定”下,选择所选服务引用的现有端口限定名,或单击添加以创建一个新的名称。
- 在“请求接收方服务配置详细信息:登录配置”下,选择现有认证方法,或单击添加并在显示的添加认证方法字段中输入新方法。您可为请求接收方选择多个认证方法。入局消息的安全性令牌根据认证方法进行认证,以便在列表中指定这些方法。单击移除以移除所选的一个认证方法或多个方法。
- 单击以保存更改。
- 单击绑定选项卡。 会显示 Web Service 绑定编辑器。
- 在“Web Service 描述绑定”下,选择现有条目,或单击添加以添加一个新的 Web Service 描述符。
- 单击绑定配置选项卡。为所选 Web Service 描述符显示 Web Service 绑定配置编辑器。
- 在“请求接收方绑定配置详细信息:登录映射”下,单击添加以创建一个新的登录映射,或单击编辑编辑所选的登录映射。会显示“登录映射”对话。
- 在“认证方法”字段中,输入认证方法。
在此字段中输入的信息必须与在安全扩展选项卡上为同一个 Web Service 端口定义的认证方法相匹配。此字段是必需的。
- 在配置名称字段中,输入 JAAS 登录配置名称。此字段是必填字段。必须在 WebSphere Application
Server 管理控制台中的下定义 JAAS 登录配置名称。
在“认证”下,单击 。有关更多信息,请参阅为 Java 认证和授权服务配置程序化登录的相关信息。
- (可选)选择使用令牌值类型,并在 URI 字段和“局部名”字段中输入令牌值类型信息。此信息对于 BasicAuth、“签名”和“身份断言”认证方法是可选的,但是对于其他任何认证方法它是必需的。令牌值类型用于验证二进制安全性令牌的 <wsse:BinarySecurityToken>@ValueType 元素,并验证基于 XML 的令牌的名称空间。
- 在“回调处理程序工厂”下,在“类名”字段中输入 com.ibm.wsspi.wssecurity.auth.callback.CallbackHandlerFactory 接口的实现。
此字段是必需的。
- 在“回调处理程序工厂”属性下,单击添加,并为回调处理程序工厂属性输入“名称/值”对。这些“名称/值”对作为 java.util.Map 传递给 com.ibm.wsspi.wssecurity.auth.callback.CallbackHandlerFactory.init() 方法。
这些“名称/值”对的用法由 CallbackHandlerFactory 实现确定。
- 在“登录映射”属性下,单击添加,并为登录映射属性输入“名称/值”对。可通过 com.ibm.wsspi.wssecurity.auth.callback.PropertyCallback JASS 回调接口,为一个 JAAS 登录模块或多个模块使用这些“名称/值”对。单击移除以删除所选的登录映射。
- 单击确定。
- 单击以保存更改。
结果
先前的步骤定义了如何配置请求发送方,以在 SOAP 消息中创建安全性令牌,以及如何配置请求接收方,以验证在入局 SOAP 消息中找到的安全性令牌。WebSphere Application Server 支持可插入安全性令牌。
您可使用在登录绑定和登录映射中定义的认证方法,以在请求发送方中生成安全性令牌,并验证请求接收方中的安全性令牌。
下一步做什么
配置可插入令牌后,您必须配置客户机和服务器以支持可插入令牌。请参阅以下主题,以配置客户机和服务器: