身份断言的目的是断言从 Web Service 到下游 Web Service 产生的客户机的认证的身份。可为服务器配置身份声明认证。不要尝试从纯客户机配置身份声明。
关于此任务
要点: V5.x 与 V6.0.x 及更高版本的应用程序之间存在重要差别。这些信息仅支持与 WebSphere® Application Server V6.0.x 及更高版本配合使用的 V5.x 应用程序。这些信息不适用于 V6.0.x 和更高版本的应用程序。
对于下游 Web Service,要接受产生客户机的标识(仅用户名),您必须提供特殊的可信 BasicAuth 凭证,这是下游 Web Service 所信任的,而且可成功认证。在下游 Web Service 配置上,您必须在可信标识鉴别程序中指定特殊 BasicAuth 凭证的用户标识。有关可信标识鉴别程序的更多信息,请参阅“可信标识鉴别程序”。服务器端将特殊 BasicAuth 凭证传递到可信标识鉴别程序中,其返回信任此标识的 true 或 false。在信任它后,客户机的用户名映射至凭证,这是在授权时要使用的。
完成以下步骤,以配置服务器处理身份声明认证信息:
过程
- 启动组装工具。 有关更多信息,请参阅组装工具的相关信息。
- 切换到 Java™ 平台企业修订版 ((Java EE)
透视图。单击。
- 单击 。
- 右键单击 webservices.xml 文件,然后单击。
- 单击扩展选项卡,它位于组装工具中 Web Service 编辑器的末尾。
- 展开部分。 您可选择的选项为:
- BasicAuth
- 签名
- 身份断言
- LTPA(轻量级第三方认证)
- 选择身份声明以使用提供的身份声明数据认证客户机。
客户机的用户标识必须在目标用户注册表或存储库中,这在 WebSphere Application Server 管理控制台中的面板上配置。您可选择多个登录配置,这意味着在服务器上可接收不同类型的安全信息。添加登录配置的顺序确定接收请求时处理它们的顺序。如果您已添加具有多个共有安全性令牌的登录配置,可能会产生问题。例如,身份声明包含 BasicAuth 令牌(它是可信的令牌)。要让身份声明正确地发挥作用,您必须在列表中将身份声明列在 BasicAuth 的前面,否则 BasicAuth 处理会覆盖身份声明处理。
- 展开身份声明部分,并且选择标识类型和信任方式。
- “标识类型”的选项是:
这些选项只是首选项并且不能保证。大多数情况下使用了“用户名”选项。必须选择和客户机相同的“标识类型”。
- “信任方式”的选项是:
“信任方式”是指由作为可信的标识的客户机发送的信息。
- 如果您选择 BasicAuth,客户机发送基本认证数据(用户标识和密码)。此 BasicAuth 数据认证到已配置的用户注册表。认证执行成功后,用户标识必须是可信标识鉴别程序信任列表的一部分。
- 如果您选择签名,那么发送客户机签名证书。
此证书必须可映射至已配置的用户注册表。对于本地操作系统,专有名称 (DN) 的公共名称 (CN) 映射至注册表中的用户标识。对于轻量级目录访问协议 (LDAP),DN 映射至 ExactDN 方式的注册表。如果它处于 CertificateFilter 方式,相应地映射属性。另外,来自已生成凭证的用户名必须在可信标识鉴别程序信任列表中。
下一步做什么
要获取入门组装工具中的 Web Service 编辑器的更多信息,请参阅
使用组装工具配置服务器安全绑定。
指定服务器如何处理身份声明认证信息后,您必须指定服务器如何验证认证信息。请参阅有关配置服务器以验证身份声明认证信息的任务。