认证生成者或使用者令牌设置
认证令牌用于证明或声明标识。编辑常规绑定时,使用管理控制台来添加消息部件的认证令牌设置。
要配置认证令牌,请完成下列步骤:
- 要查看并选择已设置为全局安全性缺省策略集绑定的常规绑定,请单击 。将使用指定的绑定,除非在连接点、服务器或安全域处覆盖了这些绑定。
- 要访问并配置常规绑定以及添加消息部件的认证令牌设置,请单击 。
- 单击“策略”表中的 WS-Security 策略。
- 单击“主消息安全策略绑定”部分中的认证与保护链接。
- 单击新建令牌以创建新的令牌生成者或使用者,或者单击“认证令牌”表中的现有使用者或生成者令牌链接。
- 单击 。
- 选择包含 Web Service 的应用程序。该应用程序必须包含服务提供程序或服务客户机。
- 单击“Web Service 属性”部分中的服务提供程序策略集和绑定链接或服务客户机策略集和绑定链接。
- 选择绑定。先前必须已连接策略集并且已指定特定于应用程序的绑定。
- 单击“策略”表中的 WS-Security 策略。
- 单击“主消息安全策略绑定”部分中的认证与保护链接。
- 单击“保护令牌”表中的使用者或生成者令牌链接。
此管理控制台页面仅适用于 Java™ API for XML Web Services (JAX-WS) 应用程序。
名称
指定所配置的令牌的名称。使用特定于应用程序的绑定时,将不显示此字段。
令牌类型
指定所配置令牌的类型。
如果使用的是特定于应用程序的绑定,那么从策略文件获取令牌类型且该令牌类型为只读。如果使用的是常规绑定,那么从列表中选择一种令牌类型。提供了以下令牌类型:
- X509V3 令牌 V1.1
- X509V3 令牌 V1.0
- 用户名令牌 V1.1
- 用户名令牌 V1.0
- X509PKCS7 令牌 V1.1
- X509PKCS7 令牌 V1.0
- X509PkiPathV1 令牌 V1.1
- X509PkiPathV1 令牌 V1.0
- LTPA 传播令牌
- X509V1 令牌 V1.1
- LTPA 令牌
- LTPA 令牌 V2.0
- 定制令牌
如果选择 LTPA 令牌作为令牌生成者的令牌类型,那么必须启用“单点登录互操作性方式”。这是 Web 和 SIP 安全性中的一项全局安全性设置。如果互操作性标志未设置为启用 (true),那么当启动连接到这些绑定的应用程序时,将发生错误。如果要使用 LTPA 令牌,而不检查互操作性标志的状态,那么可以在令牌生成者上设置定制属性 com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7。使用管理控制台设置此属性,如主题“启用或禁用 LTPA 令牌的单点登录互操作性方式”中所描述。不能使用 Web Service 安全性 API 设置此属性。
局部名
指定认证令牌生成者或使用者的局部名。根据所显示的令牌类型填写局部名字段。使用此字段只能编辑定制令牌类型。
URI
指定认证令牌生成者或使用者的统一资源标识 (URI)。根据所显示的令牌类型填写 URI 字段。使用此字段只能编辑定制令牌类型。
如果使用定制令牌类型来生成 Kerberos 令牌(在 Kerberos 令牌概要文件 V1.1 的 OASIS Web Service 安全性规范中定义),请将此字段留空。
安全性令牌引用
指定安全性令牌引用。“安全性令牌引用”字段仅对特定于应用程序的绑定中的认证令牌显示。此字段不适用于缺省绑定。
JAAS 登录
指定对于绑定作用域的域有效的应用程序和系统 Java 认证和授权服务 (JAAS) 登录的列表。
如果应用程序的范围是全局安全性或者是一个未定制它自己的 JAAS 登录的域,那么将在菜单列表中显示全局登录列表。单击新建应用程序登录以访问全局 JAAS 应用程序登录集合。JAAS 登录菜单列表和新建应用程序登录按钮行为取决于是否正在创建与连接相关联的绑定。更改安全域时应小心,因为在另一安全域中可能无法访问先前引用的安全性配置(如 JAAS 登录)。
定制属性 - 名称
指定用于定制属性的名称。
此列最初不显示定制属性。单击下列其中一个按钮以启用所描述的操作:
按钮 | 执行的操作 |
---|---|
新建 | 创建新的定制属性条目。要添加定制属性,请输入名称和值。 |
编辑 | 使所选定制属性可编辑。单击此按钮将提供输入字段并创建可编辑的单元值列表。在至少添加一个定制属性后,“编辑”按钮才可用。 |
删除 | 除去所选定制属性。 |
定制属性 - 值
指定要使用的定制属性的值。使用值字段输入、编辑或删除定制属性的值。
如果定制令牌类型用于生成 Kerberos 令牌,请指定以下定制属性:
定制属性名 | 值 |
---|---|
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName | 指定目标服务的名称。 此属性是必需的。 |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost | 使用以下格式指定与目标服务相关联的主机名:myhost.mycompany.com. 此属性是必需的。 |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm | 指定与目标服务相关联的领域的名称。 此属性对单个 Kerberos 领域是可选的。如果未指定 targetServiceRealm 属性,那么将使用来自 Kerberos 配置文件中的缺省领域名作为领域名。 |
com.ibm.wsspi.wssecurity.krbtoken.clientRealm | 指定与客户机相关联的 kerberos 领域的名称。 对于单个 Kerberos 域环境,此属性是可选的。 |
com.ibm.wsspi.wssecurity.krbtoken.loginPrompt | 值为 True 时启用 Kerberos 登录。
缺省值为 False。 此属性是必需的。 |
对于令牌生成者,目标服务名称和目标主机名的组合构成服务主体名称 (SPN),该名称表示目标 Kerberos 服务主体名称。Kerberos 客户机请求该 SPN 的初始 Kerberos AP_REQ 令牌。
如果应用程序为每个 Web Service 请求消息生成或使用 Kerberos V5 AP_REQ 令牌,请在应用程序的令牌生成者和令牌使用者绑定中将 com.ibm.wsspi.wssecurity.kerberos.attach.apreq 定制属性设置为 true。有关更多信息,请参阅“Web Service 安全性故障诊断技巧”主题。
回调处理程序
链接到“回调处理程序”页面,您可以在该页面中配置回调处理程序。回调处理程序设置确定如何从消息头获取安全性令牌。
如果正在处理的用户名令牌或 LTPA 令牌使用的是缺省绑定,那么可能已提供用户名和密码作为示例。需要更新这些令牌类型的值。