使用系统策略集保护对信任服务的请求
WebSphere® Application Server 为其安全性令牌服务(称为 WebSphere Application Server 信任服务)提供消息级别的保护。对于信任服务,必须使用特殊类型的策略集(称为系统策略集)。
开始之前
可通过使用两种不同的配置方法来保护对信任服务的请求:
- 使用管理控制台来定义系统策略集和绑定并将其连接至与端点相关联的信任服务操作。
- 使用支持 Jython 和 Jacl 脚本编制语言的 wsadmin 工具对信任服务配置系统策略集。可通过创建策略集并管理关联的策略来管理服务质量 (QoS) 的策略。
关于此任务
请执行下列高级步骤。执行任务的顺序并不重要,但必须执行所有必需的高级步骤才能完成信任配置。
过程
- 定义新的系统策略集或管理现有系统策略集。 要管理系统策略集,可以执行下列任务:
- 定义系统策略集和绑定。 系统策略集可以是新的或现有的策略集。如果创建新的系统策略集,那么必须指定并配置策略类型。缺省绑定配置与每种策略类型相关联。
- 根据需要修改系统策略集。
可以执行的其他可选策略集相关任务包括:
- 添加、编辑或移除策略集连接。
- 编辑、启用、禁用或移除策略类型。
- 通过选择并复制现有系统策略集来创建系统策略集。复制现有系统策略集时,还应指定是否将现有连接移到此新系统策略集。
- 删除系统策略集。缺省情况下,不能删除 WebSphere Application Server 提供的预配置的系统策略集。
- 通过选择并导出现有系统策略集对系统策略集进行归档。导出现有系统策略集时,将创建 .zip 归档文件。用于导出策略集的 .zip 文件可供下载。例如,如果具有策略集 ABC_ps 并且您想要导出归档文件并将其从 ServerA 移到 ServerB,请首先使用导出函数来创建 .zip 文件。然后,手动将此归档文件转移至 ServerB。
- 创建并管理显式连接。 可以执行下列信任服务连接任务:
- 连接系统策略集并将绑定指定给端点。 对于端点,可以为各个信任服务操作(共四个)创建指向各个 Trust Service Default 策略集和绑定的显式连接。创建这些初始连接后,可以查看并进一步修改现有策略集和绑定配置。
- 根据需要修改现有策略集连接和绑定配置。 系统策略集可以是新的或现有的策略集。如果创建新的系统策略集,那么必须指定并配置策略类型。缺省绑定配置与每种策略类型相关联。
连接至发布和更新的系统策略集必须与客户机和端点的引导策略集相符,而连接至验证和取消的系统策略集必须与客户机和端点的应用程序策略集相符。只有在端点服务向信任服务发出发布和更新请求时,才需要端点服务的引导策略集。
可以执行的其他可选连接相关任务包括:
- 更改系统策略集和绑定配置。
- 创建定制系统策略集和绑定。
- 将各个缺省信任服务操作(共四个)连接至系统策略集和绑定。
- 将各个与特定端点相关联的信任服务操作(共四个)连接至系统策略集和绑定。
- 指定对端点选择的信任服务操作继承各自的缺省信任服务策略集和绑定。
- 将 Default 绑定或定制绑定配置指定给所选策略集连接。
- 更新信任服务运行时配置。
- 管理信任服务提供的安全上下文令牌提供程序。 可以执行下列信任服务令牌提供程序任务:
- 根据需要修改安全上下文令牌提供程序的配置。
可以执行的其他可选令牌提供程序相关任务包括:
- 对任何令牌提供程序配置更改更新信任服务运行时配置。
- 根据需要修改安全上下文令牌提供程序的配置。
- 管理信任服务缺省令牌提供程序及任何具有显式指定的令牌(而不是继承 Default)的端点。 目标是对其指定了特定令牌提供程序的端点。可以执行下列信任服务目标任务:
- 通过将服务端点 URL 显式指定给缺省令牌提供程序来创建新的信任服务目标。 执行本任务将创建对缺省信任服务令牌提供程序(即安全上下文令牌)的显式分配。所有其他端点都继承信任服务缺省令牌提供程序。
- 配置目标。 WebSphere Application Server 定义一个缺省受支持的令牌提供程序(即“安全上下文令牌”)。可以对现有目标执行的其他任务包括:
- 修改一个或多个显式指定了安全上下文令牌提供程序的端点。
- 将端点的令牌提供程序从继承更改为显式指定。因此,端点的令牌提供程序不会随着缺省信任服务令牌提供程序的更改而改变。
- 将端点的令牌提供程序从显式指定更改为继承。因此,端点的令牌提供程序是缺省信任服务令牌提供程序,将随着此缺省值的更改而改变。
- 更新信任服务运行时配置。
- 配置安全性高速缓存。 可以更改客户机端安全性高速缓存的行为。
- 更新信任服务运行时配置。 只要创建或更改了下列任何信任相关项,就必须更新运行时配置:
- 信任服务连接
- 令牌提供程序
- 目标
结果
完成配置并更新信任服务运行时配置后,您通过管理控制台使用系统策略集保护了对信任服务所作的请求。
子主题
启用安全对话
使用安全对话来保护安全 Web Service 应用程序消息。信任服务
WebSphere Application Server 提供的安全性令牌服务称为信任服务。WebSphere Application Server 信任服务使用 Web Services Trust (WS-Trust) 安全消息传递机制来定义安全性令牌分发、交换和验证的附加扩展。使用管理控制台配置系统策略集
通过定义有关如何定义服务的定制策略集或断言,可以配置 Web Services Security。可以使用管理控制台来管理定制策略集。使用管理控制台配置信任服务的连接
可以将服务端点的信任服务操作连接至系统策略集和绑定。初始指定的每个新端点都具有下列四个操作:发布、更新、取消和验证。缺省情况下,所有端点都继承连接至 Trust Service Default 下各个信任服务操作的策略集和绑定。但是,可以显式地连接其他策略集。使用管理控制台配置信任服务的安全上下文令牌提供程序
配置 WebSphere Application Server 信任服务,以便将特定的安全性令牌发布到请求者以与端点进行通信。 使用管理控制台来配置由信任服务提供的安全上下文令牌提供程序。使用管理控制台配置信任服务端点目标
信任服务代表服务端点管理令牌。令牌提供程序显式或隐式地与每个服务端点相关联。请求对端点的访问时,可显式指定特定令牌进行发布。否则,将发布 Trust Service Default 令牌。更新 Web Service 安全性运行时配置
使用对令牌提供程序、信任服务连接和目标所作出并保存的任何数据更改来更新 Web Service 安全性运行时配置。使用管理控制台来配置 Web Service 安全性分布式高速缓存
您可以配置 Web Service 安全性运行时,以便使用安全性分布式高速缓存来存储安全性令牌。启用安全对话
使用安全对话来保护安全 Web Service 应用程序消息。信任服务
WebSphere Application Server 提供的安全性令牌服务称为信任服务。WebSphere Application Server 信任服务使用 Web Services Trust (WS-Trust) 安全消息传递机制来定义安全性令牌分发、交换和验证的附加扩展。使用管理控制台配置系统策略集
通过定义有关如何定义服务的定制策略集或断言,可以配置 Web Services Security。可以使用管理控制台来管理定制策略集。使用管理控制台配置信任服务的连接
可以将服务端点的信任服务操作连接至系统策略集和绑定。初始指定的每个新端点都具有下列四个操作:发布、更新、取消和验证。缺省情况下,所有端点都继承连接至 Trust Service Default 下各个信任服务操作的策略集和绑定。但是,可以显式地连接其他策略集。使用管理控制台配置信任服务的安全上下文令牌提供程序
配置 WebSphere Application Server 信任服务,以便将特定的安全性令牌发布到请求者以与端点进行通信。 使用管理控制台来配置由信任服务提供的安全上下文令牌提供程序。使用管理控制台配置信任服务端点目标
信任服务代表服务端点管理令牌。令牌提供程序显式或隐式地与每个服务端点相关联。请求对端点的访问时,可显式指定特定令牌进行发布。否则,将发布 Trust Service Default 令牌。更新 Web Service 安全性运行时配置
使用对令牌提供程序、信任服务连接和目标所作出并保存的任何数据更改来更新 Web Service 安全性运行时配置。使用管理控制台来配置 Web Service 安全性分布式高速缓存
您可以配置 Web Service 安全性运行时,以便使用安全性分布式高速缓存来存储安全性令牌。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_trustwss
文件名:twbs_trustwss.html