保护令牌设置(生成器或使用者)
使用此页面来配置保护令牌。保护令牌对消息进行签名以保护完整性或对消息进行加密以提供机密性。
编辑常规提供程序或客户机策略集绑定时,可以添加消息部件的保护令牌设置。另外,还可以配置策略集所需的令牌和消息部件的特定于应用程序的绑定。
- 单击 。
- 单击要编辑的绑定的名称。
- 单击“策略”表中的 WS-Security 策略。
- 单击“安全策略绑定”部分中的认证与保护链接。
- 单击新建令牌以创建新的令牌生成器或使用者,或者单击“保护令牌”表中的现有使用者或生成器令牌链接。
- 单击 。
- 单击要编辑的绑定的名称。
- 单击“策略”表中的 WS-Security 策略。
- 单击“主消息安全策略绑定”部分中的认证与保护链接。
- 单击新建令牌以创建新的令牌生成器或使用者,或者单击“保护令牌”表中的现有使用者或生成器令牌链接。
- 单击 。
- 选择包含 Web Service 的应用程序。该应用程序必须包含服务提供程序或服务客户机。
- 单击“Web Service 属性”部分中的服务提供程序策略集和绑定链接或服务客户机策略集和绑定。
- 选择绑定。先前必须已连接策略集并且已指定绑定。
- 单击“策略”表中的 WS-Security 策略。
- 单击“安全策略绑定”部分中的认证与保护链接。
- 单击“保护令牌”表中的使用者或生成者令牌链接。
此管理控制台页面仅适用于 Java™ API for XML Web Services (JAX-WS) 应用程序。
名称
指定令牌生成器或使用者名称。创建新的令牌时在此字段中输入名称。
令牌类型
指定令牌类型。如果使用的是绑定,那么根据策略确定令牌类型且该令牌类型不可编辑。
- LPTA 令牌 V2.0
- 安全对话令牌 V1.3
- 安全对话令牌 V200502
- X509V3 令牌 V1.1
- X509V3 令牌 V1.0
- X509PKCS7 令牌 V1.1
- X509PKCS7 令牌 V1.0
- X509PkiPathV1 令牌 V1.1
- X509PkiPathV1 令牌 V1.0
- X509V1 令牌 V1.1
- 定制令牌
强制令牌版本
选择 LTPA 令牌 V2.0 作为令牌类型时,可以使用 LTPA V1 和 LTPA V2 令牌。选中此复选框以将令牌使用限制为 LTPA 令牌 V2.0 令牌类型。
局部名
指定定制令牌生成器或使用者的局部名。根据所显示的令牌类型填写局部名字段。使用此字段只能编辑定制令牌类型。
如果使用定制令牌类型来生成 Kerberos 令牌(在 Kerberos 令牌概要文件 V1.1 的 OASIS Web Service 安全性规范中定义),那么请使用下面所列示的其中一个值作为局部名。您选择的值取决于密钥分发中心 (KDC) 所生成的 Kerberos 令牌的规范级别。下表列出了这些值以及与各个值相关联的规范级别。出于互操作性的考虑,基本安全概要文件 V1.1 标准要求使用局部名 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ。
Kerberos 令牌的局部名值 | 关联的规范级别 |
---|---|
http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerb erosv5_AP_REQ | 在 Kerberos 规范中定义的 Kerberos V5 AP-REQ。Kerberos 凭单是 AP 请求时使用此值。 |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ | 包含 KRB_AP_REQ 消息的 GSS-API Kerberos V5 机制令牌(在 RFC-1964 [1964], Sec. 1.1 及后续版本 RFC-4121, Sec. 4.1 中定义)。Kerberos 凭单是 AP 请求(ST + 鉴别程序)时使用此值。 |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510 | 在 RFC1510 中定义的 Kerberos V5 AP-REQ。Kerberos 凭单是 AP 请求(根据 RFC1510)时使用此值。 |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510 | 包含 KRB_AP_REQ 消息的 GSS-API Kerberos V5 机制令牌(在 RFC-1964, Sec. 1.1 及后续版本 RFC-4121, Sec. 4.1 中定义)。Kerberos 凭单是 AP 请求(ST + 鉴别程序,根据 RFC1510)时使用此值。 |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120 | 在 RFC4120 中定义的 Kerberos V5 AP-REQ。Kerberos 凭单是 AP 请求(根据 RFC4120)时使用此值。 |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120 | 包含 KRB_AP_REQ 消息的 GSS-API Kerberos V5 机制令牌(在 RFC-1964, Sec. 1.1 及后续版本 RFC-4121, Sec. 4.1 中定义)。Kerberos 凭单是 AP 请求(ST + 鉴别程序,根据 RFC4120)时使用此值。 |
URI
指定定制令牌生成器或使用者的统一资源标识 (URI)。根据所显示的令牌类型填写 URI 字段。使用此字段只能编辑定制令牌类型。
如果使用定制令牌类型来生成 Kerberos 令牌(在 Kerberos 令牌概要文件 V1.1 的 OASIS Web Service 安全性规范中定义),请将此字段留空。
JAAS 登录
指定 Java 认证和授权服务 (JAAS) 应用程序登录信息。单击新建以添加新的 JAAS 应用程序登录或 JAAS 系统登录条目。
如果服务器处于一个包含特定系统或应用程序登录的安全域中,这些登录将与全局登录一起列示在 JAAS 登录菜单中。
新建应用程序登录
单击以转到当前安全域的有效 JAAS 登录集合。
定制属性 - 名称
指定定制属性的名称。此列最初不显示定制属性,直到添加定制属性为止。
选择定制属性的下列其中一个操作:
按钮 | 执行的操作 |
---|---|
新建 | 创建新的定制属性条目。要添加定制属性,请输入名称和值。 |
编辑 | 指定您可以编辑所选定制属性。选择此操作以提供输入字段并创建单元值列表以进行编辑。在至少添加一个定制属性后,编辑按钮才可用。 |
删除 | 除去所选属性。 |
定制属性名 | 值 |
---|---|
指定目标服务的名称。com.ibm.wsspi.wssecurity.krbtoken.targetServiceName | 指定目标服务的名称。 此属性是必需的。 |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost | 使用以下格式指定与目标服务相关联的主机名:myhost.mycompany.com. 此属性是必需的。 |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm | 指定与目标服务相关联的领域的名称。 此属性对单个 Kerberos 领域是可选的。如果未指定 targetServiceRealm 属性,那么将使用来自 Kerberos 配置文件中的缺省领域名作为领域名。 |
如果应用程序为每个 Web Service 请求消息生成或使用 Kerberos V5 AP_REQ 令牌,请在应用程序的令牌生成者和令牌使用者绑定中将 com.ibm.wsspi.wssecurity.kerberos.attach.apreq 定制属性设置为 true。有关更多信息,请参阅“Web Service 安全性故障诊断技巧”主题。
定制属性 - 值
指定定制属性的值。使用值字段输入、编辑或删除定制属性的值。
回调处理程序
在应用或保存“保护令牌”页面上的所有其他配置后,此部分将显示并链接到回调处理程序的配置设置。单击此链接以指定回调处理程序设置,这些设置可确定如何从消息头获取安全性令牌。
容许安全对话令牌 V200502
WS-Security 策略的安全对话令牌 V200502 令牌类型表示 WS-SecureConversation 规范 2005 年 2 月级别中定义的安全上下文令牌的需求。此选项指定提供程序是否处理安全对话令牌 V1.3 和安全对话令牌 V200502。缺省情况下,提供程序处理两个版本。可通过单击取消选中该复选框以便提供程序仅处理 V1.3 令牌,来更改此行为。
信息 | 值 |
---|---|
数据类型 | 复选框 |
范围 | 选中或未选中 |
缺省值 | 已选中 |