配置策略集和绑定以使用 LTPA 和/或 UsernameToken(可选的安全性令牌)

此过程描述如何配置消息级别 WS-Security 策略集和绑定以使用 LTPA 令牌和/或 UsernameToken。可以修改此过程以应用到任何一对不同的令牌值类型。无法创建配置来使一个令牌成为必需,而使另一个令牌成为可选。

开始之前

此项任务假设您要配置的服务提供程序和客户机位于 JaxWSServicesSamples 应用程序中。请参阅访问样本,以获取有关如何获取和安装此应用程序的更多信息。应该在服务器上使用以下跟踪规范。这些规范使您能够对未来可能发生的任何配置问题进行调试。

*=info:com.ibm.wsspi.wssecurity.*=all:com.ibm.ws.webservices.wssecurity.*=all: 
com.ibm.ws.wssecurity.*=all: com.ibm.xml.soapsec.*=all: com.ibm.ws.webservices.trace.*=all: 
com.ibm.ws.websvcs.trace.*=all:com.ibm.ws.wssecurity.platform.audit.*=off:

由于将使用 LTPA 令牌,所以必须在同时用于客户机和服务的应用程序服务器上启用应用程序安全性。

关于此任务

此过程说明配置 WS-Security 策略以使用 LTPA 令牌和/或 UsernameToken 时需要完成的操作。通常,将此配置用在提供者应用程序上。为简单起见,此过程将从策略中移除时间戳记、数字签名和加密;您可以在最终配置中包括这些。有关更多信息,请参阅配置非对称 XML 数字签名和/或 XML 加密的策略集和绑定

此过程还包括用于配置客户机应用程序以发送 UsernameToken 或 LTPA 令牌的步骤。

过程

  1. 为提供程序创建定制策略集。
    1. 在管理控制台中,单击服务 > 策略集 > 应用程序策略集
    2. 单击新建
    3. 指定名称 = AtwoTokenPolicy。
    4. 单击应用
    5. 策略下,单击添加 > WS-Security
  2. 编辑定制策略集。
    1. 移除数字签名、加密和时间戳记。
      1. 在管理控制台中,单击 WS-Security > 主策略
      2. 取消选择消息级别保护。
      3. 单击应用
    2. 添加 UsernameToken 和 LTPA 令牌。
      1. 单击请求令牌策略
      2. 单击添加令牌类型 > LTPA
        • LTPA 令牌名称:myLTPA
      3. 单击确定
      4. 单击添加令牌类型 > UserName
        • Username 令牌名称:myUNT。
      5. 单击确定
    3. 保存配置。
      1. 单击保存
  3. 配置提供程序以使用 AtwoTokenPolicy 策略集。
    1. 在管理控制台中,单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > JaxWSServicesSamples > 服务提供程序策略集和绑定
    2. 选择 Web Service 客户机资源。
    3. 选择 Web Service 提供程序资源。
    4. 单击连接策略集
    5. 选择 AtwoTokenPolicy
  4. 为提供程序创建定制绑定。
    1. 再次选择 Web Service 提供程序资源。
    2. 单击指定绑定
    3. 单击新建特定于应用程序的绑定以创建特定于应用程序的绑定。
    4. 指定绑定配置名称:providerBinding。
    5. 单击添加 > WS-Security
  5. 编辑提供程序的定制绑定。
    1. 要为 LTPA 令牌添加调用者配置,请执行下列操作:
      1. 单击调用者
      2. 单击新建
        • 名称:ltpaCaller
        • 调用者标识局部部件:LTPAv2
        • 调用者身份名称空间 URI:http://www.ibm.com/websphere/appserver/tokentype
      3. 单击确定
    2. 要将调用者配置添加到 UsernameToken,请执行下列操作:
      1. 单击新建
        • 名称:untCaller
        • 调用者标识局部部件:http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
        • 调用者标识名称空间 URI:[保留为空白]
      2. 单击确定
    注: 确保令牌具有期望的优先顺序。线程只能有一个调用者标识。如果在调用者配置所在的入站 SOAP 消息中出现多个令牌,那么将使用具有较低编号的调用者配置。如果显示在表中“顺序”字段内的顺序不是您需要的顺序,请执行下列操作:
    1. 选择要让其具有最高优先级的令牌。
    2. 单击“上移”直到该令牌的“顺序编号”为 1。
    3. 使用“上移”和“下移”重复此过程,以实现期望的顺序。
    4. 单击保存以保存该配置。
  6. 为客户机创建请求消息中只有 UsernameToken 的策略集
    1. 在管理控制台中,单击服务 > 策略集 > 应用程序策略集
    2. 单击新建
    3. 指定名称 = AUntPolicy
    4. 单击应用
    5. 策略下面,单击添加 > WS-Security
    6. 移除数字签名、加密和时间戳记。 在管理控制台中:
      1. 单击 WS-Security > 主要策略
      2. 取消选择“消息级别保护”。
      3. 单击应用
    7. 添加 UsernameToken。
      1. 单击请求令牌策略
      2. 单击添加令牌类型 > UserName
      3. 用户名令牌名称:myUNT。
      4. 单击确定
    8. 保存配置。单击保存
  7. 为客户机创建请求消息中只有 LTPA 令牌的策略集。
    1. 在管理控制台中,单击服务 > 策略集 > 应用程序策略集
    2. 单击新建
    3. 指定名称 = AnLTPAPolicy
    4. 单击应用
    5. 策略下面,单击添加 > WS-Security
    6. 移除数字签名、加密和时间戳记。 在管理控制台中:
      1. 单击 WS-Security > 主要策略
      2. 取消选择“消息级别保护”。
      3. 单击应用
    7. 添加 LTPA 令牌。
      1. 单击请求令牌策略
      2. 单击添加令牌类型 > LTPA
      3. LTPA 令牌名称:myLTPA。
      4. 单击确定
    8. 保存配置。单击保存
  8. 执行下列步骤以将客户机配置成使用 UsernameToken 策略并创建绑定:
    1. 将客户机配置成使用 AUntPolicy 策略集。
      1. 在管理控制台中,单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > JaxWSServicesSamples > 服务客户机策略集和绑定
      2. 选择 Web Service 客户机资源
      3. 单击连接策略集
      4. 选择 AUntPolicy
    2. 为客户机创建定制绑定。
      1. 再次选择 Web Service 资源。
      2. 单击指定绑定
      3. 单击新建特定于应用程序的绑定以创建特定于应用程序的绑定。
      4. 指定绑定配置名称。名称:untClientBinding。
      5. 单击添加 > WS-Security
    3. 配置客户机的定制绑定。
      1. 选择认证和保护
      2. 认证令牌下面,选择 myUNT
      3. 单击应用
      4. 单击回调处理程序
      5. 输入您期望的用户名和密码。
      6. 添加现时标志和时间戳记的定制属性:因为在提供程序的定制绑定配置期间未配置 UsernameToken 使用者,所以运行时会将缺省常规绑定用于 UsernameToken 配置。缺省常规绑定中的 UsernameToken 使用者要求在用户名令牌中发送时间戳记和现时标志,所以必须输入发出这些元素的属性:
        * com.ibm.wsspi.wssecurity.token.username.addTimestamp=true
        * com.ibm.wsspi.wssecurity.token.username.addNonce=true
      7. 单击确定
    4. 保存配置。
      1. 单击保存
  9. 执行下列步骤以将客户机配置成使用 UsernameToken 策略并创建绑定:
    1. 将客户机配置成使用 AnLTPAPolicypolicy 策略集。
      1. 在管理控制台中,单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > JaxWSServicesSamples > 服务客户机策略集和绑定
      2. 选择 Web Service 客户机资源
      3. 单击连接策略集
      4. 选择 AnLTPAPolicy
    2. 为客户机创建定制绑定。
      1. 再次选择 Web Service 资源。
      2. 单击指定绑定
      3. 单击新建特定于应用程序的绑定以创建特定于应用程序的绑定。
      4. 指定绑定配置名称。名称:ltpaClientBinding。
      5. 单击添加 > WS-Security
    3. 配置客户机的定制绑定。
      1. 选择认证和保护
      2. 认证令牌下面,选择 myLTPA
      3. 单击应用
      4. 单击回调处理程序
      5. 输入您期望的用户名和密码。
      6. 单击确定
    4. 保存配置。
      1. 单击保存

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_config_ltpa_and_usertoken_policy
文件名:twbs_config_ltpa_and_usertoken_policy.html