Web Service 安全性通用安全性令牌登录模块定制属性
配置通用安全性令牌登录模块时,您可以配置数据的“名称/值”对,其中名称是属性关键字而值是字符串值,可使用这些“名称/值”对来设置内部系统配置属性。可以使用这些配置属性以及管理控制台中提供的选项来控制生成或使用令牌的方式。
要在管理控制台中配置回调处理程序的这些定制属性,请完成以下步骤:
- 展开服务。
- 选择服务提供程序或服务客户机
- 单击名称列中相应的应用程序。
- 单击绑定列中相应的绑定。
先前必须已连接策略集并且已指定绑定。
或者
- 展开WebSphere 企业应用程序。 ,然后单击
- 选择包含 Web Service 的应用程序。该应用程序必须包含服务提供程序或服务客户机。
- 在 Web Service 属性标题下,单击服务提供程序策略集和绑定或服务客户机策略集和绑定。
- 选择绑定。您先前必须已连接策略集并且已指定特定于应用程序的绑定。
然后完成以下步骤:
- 单击“策略”表中的 WS-Security。
- 在主消息安全策略绑定标题下面,单击认证和保护。
- 在认证令牌标题下,单击认证令牌的名称。
支持的配置: 您只能将通用安全性令牌登录模块处理的令牌用于认证。不能将该令牌用作保护令牌。sptcfg
- 在其他绑定标题下面,单击回调处理程序。
- 在定制属性标题下,输入“名称/值”对。
同时用于令牌生成者和令牌使用者绑定的回调处理程序定制属性
下表列示了可用于同时配置令牌生成者和令牌使用者绑定的回调处理程序定制属性。
名称 | 值 | 描述 |
---|---|---|
clockSkew |
此定制属性没有缺省值。 |
使用此定制属性可以指定对 SAMLGenerateLoginModule 创建的自签发 SAML 令牌中的时间的调整(以分钟为单位)。 clockSkew 定制属性是在使用 SAMLGenerateLoginModule 类的 SAML 令牌生成者的回调处理程序中设置的。对此定制属性指定的值必须为数字并且指定以分钟为单位。 对此定制属性指定值后,将在 SAMLGenerateLoginModule 创建的自签发 SAML 令牌中调整以下时间:
|
stsURI | 此定制属性没有缺省值。 |
使用此定制属性来指定安全性令牌服务 (STS) 地址。 对于令牌使用者,此定制属性是必需的。但是,对于令牌生成者,如果所请求的令牌存在于 RunAs Subject 中并且其验证不是必需的,那么此定制属性是可选的。 |
wstrustClientBinding | 此定制属性没有缺省值。 |
使用此定制属性来指定 WS-Trust 客户机的绑定名称。 |
wstrustClientBindingScope | 您可以指定 application 或 domain 值。 | 使用此定制属性来指定用于 WS-Trust 客户机的绑定的类型。 存在下列条件:
此定制属性是可选的。 |
wstrustClientPolicy | 此定制属性没有缺省值。 |
使用此定制属性来指定 WS-Trust 客户机的策略集名称。 |
wstrustClientSoapVersion | 您可以指定 1.1 或 1.2 值。 |
使用此定制属性来指定信任客户机用于生成 SOAP 消息的 SOAP 消息版本。SOAP 消息将发送至安全性令牌服务 (STS)。如果未定义此定制属性,那么通用安全性令牌登录模块将在为信任客户机请求生成 SOAP 消息时使用应用程序的 SOAP 版本。 缺省值对应于应用程序客户机使用的 SOAP 版本。 此定制属性是可选的。 |
wstrustClientWSTNamespace | 指定下列其中一个值:
|
使用此定制属性来指定通用安全性令牌登录模块发出 WS-Trust 请求时将使用的信任客户机名称空间。 |
wstrustValidateClientBinding | 缺省情况下,此定制属性的值与对 wstrustClientBinding 定制属性指定的值相同。 |
使用此定制属性来指定 WS-Trust Validate 请求使用的绑定。 如果未指定此定制属性,那么 WS-Trust Validate 请求将使用 WS-Trust Issue 所使用的绑定,这些绑定由 wstrustClientBinding 定制属性定义。 |
wstrustValidateClientPolicy | 缺省情况下,此定制属性的值与对 wstrustClientPolicy 定制属性指定的值相同。 |
使用此定制属性来指定与 WS-Trust Validate 请求配合使用的策略集。 如果未指定此定制属性的值,那么 WS-Trust Validate 将使用与 WS-Trust Issue相同的策略集,该策略集由必需的 wstrustClientPolicy 定制属性定义。 |
wstrustIssuer | 您可以使用任意字符串值。 |
使用此定制属性来指定请求令牌的签发者。 此定制属性是可选的。 |
wstrustValidateTargetOption | 缺省值为 WS-TrustBase 元素扩展。 您可以指定 token 或 base 值,后者也是缺省值。 |
使用此定制属性来指定 WS-Trust 客户机是使用 ValidateTarget 还是基础元素扩展将验证令牌传递到 WS-Trust 安全性令牌服务。 存在下列条件:
|
用于令牌生成者绑定的回调处理程序定制属性
下表列示了只能用于配置令牌生成者绑定的回调处理程序定制属性。
名称 | 值 | 描述 |
---|---|---|
passThroughToken | 您可以使用 True 或 False 值。缺省值是 False。 此定制属性的值不区分大小写。 |
使用此定制属性可以指示是否应从 STS 获取出站令牌。缺省行为是始终从 STS 获取令牌。此属性设置为 True 时,将按以下顺序获取入站令牌:
有关更多信息,请参阅 com.ibm.wsspi.wssecurity.core.Constants Java API 文档中的下列常量。信息中心导航中的“参考 > 编程接口 > API”下提供了此文档。
|
useRunAsSubject | 您可以使用 True 或 False 值。缺省值为 True。 此定制属性的值不区分大小写。 |
使用此定制属性来指定通用安全性令牌登录模块是否对出局请求使用 RunAs Subject 中的令牌。缺省情况下,登录模块首先使用 RunAs Subject 中的已验证令牌。 存在下列条件:
|
useRunAsSubjectOnly | 您可以使用 True 或 False 值。缺省值是 False。 此定制属性的值不区分大小写。 |
使用此定制属性可以在通用安全性令牌登录模块中禁用或启用 WS-Trust Issue。如果将此定制属性设置为 true 值,那么通用安全性令牌登录模块将使用 RunAs Subject 中的令牌和 WS-Trust Validate 来交换令牌。即使 WS-Trust Validate 失败或它未在 RunAs Subject 中找到匹配的令牌,通用安全性令牌登录模块也不会使用 WS-Trust Issue 来请求令牌。 |
useToken | 对于安全性令牌,您可以使用 ValueType 值的任何字符串值。 |
使用 RunAs Subject 中的安全性令牌来验证和交换出站请求的令牌时,您可以使用此定制属性指定 RunAs Subject 中的哪些令牌 ValueType 值用于验证和交换所请求的令牌。 例如,您可能具有 RunAs Subject 中 ValueType 值为 Token_1 的令牌。但是,ValueType 值为 Token_2 的令牌是必需令牌。您可以将此定制属性设置为 Token_1。 如果未定义此定制属性,那么验证令牌是 RunAs Subject 中与必需令牌具有相同 ValueType 值的令牌。 此定制属性是可选的。 |
validateUseToken | 您可以使用 True 或 False 值。缺省值为 True。 此定制属性的值不区分大小写。 |
使用此定制属性来指定令牌生成者是否使用 WS-Trust Validate 验证 RunAs Subject 中的令牌。 缺省情况下,通用安全性令牌登录模块将根据安全性令牌服务 (STS) 来验证 RunAs Subject 中的令牌,然后再将 SOAP 消息中的令牌发送到服务提供程序。 如果将此定制属性值设置为 false 并且通用安全性令牌登录模块在 RunAs Subject 中找到匹配的令牌,那么该登录模块不会调用 WS-Trust Validate 来验证此匹配令牌。它会改为将匹配令牌发送到下游服务提供程序,而不进行验证。 |
wstrustIncludeTokenType | 您可以使用 True 或 False 值。缺省值为 True。 此定制属性的值不区分大小写。 |
使用此定制属性来指定 WS-Trust RequestedSecurityToken 令牌是否包含所请求的令牌 ValueType 值。 如果未指定此定制属性,那么通用安全性令牌登录模块将包含 WS-Trust RequestedSecurityToken 令牌中的请求令牌类型。 此定制属性是可选的。 |
用于令牌使用者绑定的回调处理程序定制属性
下表列示了只能用于配置令牌使用者绑定的回调处理程序定制属性。
名称 | 值 | 描述 |
---|---|---|
alwaysGeneric | 您可以使用 True 或 False 值。缺省值是 False。 此定制属性的值不区分大小写。 |
使用此定制属性来指定登录模块是否创建 GenericSecurityToken。 如果 passThroughToken 和此属性都设置为 True,那么登录模块将始终创建 GenericSecurityToken 来代替对应于为令牌配置的 valueType 的内置令牌类型。 |
exchangedTokenType | 此定制属性的有效值为系统缺省登录模块支持的令牌的字符串 ValueType 值。 |
使用此定制属性来指定具有已定义的 ValueType 值的新令牌,在验证成功后信任服务必须返回该令牌。 如果未指定此定制属性的值,那么通用安全性令牌登录模块将接受信任服务返回的任何令牌。 此定制属性是可选的。 |
passThroughToken | 您可以使用 True 或 False 值。缺省值是 False。 此定制属性的值不区分大小写。 |
使用此定制属性来指定是否应将入站令牌发送到 STS。 缺省行为是始终将入站令牌发送到 STS 以进行验证和/或交换。 此属性设置为 True 时,入站令牌不会发送到 STS 并且将通过使用者进行传递。在此属性设置为 True 并且使用内置令牌的情况下,将对该令牌进行解析并使其在 WS-Security 上下文中可用,以便随后由调用者配置 JAAS 登录模块进行处理。 |