认证生成者或使用者令牌设置

认证令牌用于证明或声明标识。编辑常规绑定时,使用管理控制台来添加消息部件的认证令牌设置。

要配置认证令牌,请完成下列步骤:

  1. 要查看并选择已设置为全局安全性缺省策略集绑定的常规绑定,请单击服务 > 策略集 > 缺省策略集绑定。将使用指定的绑定,除非在连接点、服务器或安全域处覆盖了这些绑定。
  2. 要访问并配置常规绑定以及添加消息部件的认证令牌设置,请单击服务 > 策略集 > 常规提供程序策略集绑定
  3. 单击“策略”表中的 WS-Security 策略。
  4. 单击“主消息安全策略绑定”部分中的认证与保护链接。
  5. 单击新建令牌以创建新的令牌生成者或使用者,或者单击“认证令牌”表中的现有使用者或生成者令牌链接。
要查看并配置策略集所需的令牌和消息部件的特定于应用程序的绑定,请完成下列步骤:
  1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序
  2. 选择包含 Web Service 的应用程序。该应用程序必须包含服务提供程序或服务客户机。
  3. 单击“Web Service 属性”部分中的服务提供程序策略集和绑定链接或服务客户机策略集和绑定链接。
  4. 选择绑定。先前必须已连接策略集并且已指定特定于应用程序的绑定。
  5. 单击“策略”表中的 WS-Security 策略。
  6. 单击“主消息安全策略绑定”部分中的认证与保护链接。
  7. 单击“保护令牌”表中的使用者或生成者令牌链接。

此管理控制台页面仅适用于 Java™ API for XML Web Services (JAX-WS) 应用程序。

名称

指定所配置的令牌的名称。使用特定于应用程序的绑定时,将不显示此字段。

令牌类型

指定所配置令牌的类型。

如果使用的是特定于应用程序的绑定,那么从策略文件获取令牌类型且该令牌类型为只读。如果使用的是常规绑定,那么从列表中选择一种令牌类型。提供了以下令牌类型:

  • X509V3 令牌 V1.1
  • X509V3 令牌 V1.0
  • 用户名令牌 V1.1
  • 用户名令牌 V1.0
  • X509PKCS7 令牌 V1.1
  • X509PKCS7 令牌 V1.0
  • X509PkiPathV1 令牌 V1.1
  • X509PkiPathV1 令牌 V1.0
  • LTPA 传播令牌
  • X509V1 令牌 V1.1
  • LTPA 令牌
  • LTPA 令牌 V2.0
  • 定制令牌
注: LTPA 令牌 V2.0 令牌类型仅适用于使用 IBM® WebSphere® Application Server V7.0 或更高版本中受支持的名称空间的绑定。如果选择 LTPA 令牌 V2.0 作为令牌使用者的令牌类型,那么可以使用 LTPA 令牌和 LTPA V2.0 令牌。要将令牌使用者限制为仅 LTPA V2.0 令牌,请选中强制令牌版本复选框。

如果选择 LTPA 令牌作为令牌生成者的令牌类型,那么必须启用“单点登录互操作性方式”。这是 Web 和 SIP 安全性中的一项全局安全性设置。如果互操作性标志未设置为启用 (true),那么当启动连接到这些绑定的应用程序时,将发生错误。如果要使用 LTPA 令牌,而不检查互操作性标志的状态,那么可以在令牌生成者上设置定制属性 com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7。使用管理控制台设置此属性,如主题“启用或禁用 LTPA 令牌的单点登录互操作性方式”中所描述。不能使用 Web Service 安全性 API 设置此属性。

局部名

指定认证令牌生成者或使用者的局部名。根据所显示的令牌类型填写局部名字段。使用此字段只能编辑定制令牌类型。

URI

指定认证令牌生成者或使用者的统一资源标识 (URI)。根据所显示的令牌类型填写 URI 字段。使用此字段只能编辑定制令牌类型。

如果使用定制令牌类型来生成 Kerberos 令牌(在 Kerberos 令牌概要文件 V1.1 的 OASIS Web Service 安全性规范中定义),请将此字段留空。

安全性令牌引用

指定安全性令牌引用。“安全性令牌引用”字段仅对特定于应用程序的绑定中的认证令牌显示。此字段不适用于缺省绑定。

JAAS 登录

指定对于绑定作用域的域有效的应用程序和系统 Java 认证和授权服务 (JAAS) 登录的列表。

如果应用程序的范围是全局安全性或者是一个未定制它自己的 JAAS 登录的域,那么将在菜单列表中显示全局登录列表。单击新建应用程序登录以访问全局 JAAS 应用程序登录集合。JAAS 登录菜单列表和新建应用程序登录按钮行为取决于是否正在创建与连接相关联的绑定。更改安全域时应小心,因为在另一安全域中可能无法访问先前引用的安全性配置(如 JAAS 登录)。

定制属性 - 名称

指定用于定制属性的名称。

此列最初不显示定制属性。单击下列其中一个按钮以启用所描述的操作:

按钮 执行的操作
新建 创建新的定制属性条目。要添加定制属性,请输入名称和值。
编辑 使所选定制属性可编辑。单击此按钮将提供输入字段并创建可编辑的单元值列表。在至少添加一个定制属性后,“编辑”按钮才可用。
删除 除去所选定制属性。

定制属性 - 值

指定要使用的定制属性的值。使用字段输入、编辑或删除定制属性的值。

如果定制令牌类型用于生成 Kerberos 令牌,请指定以下定制属性:

定制属性名
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName 指定目标服务的名称。

此属性是必需的。

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost 使用以下格式指定与目标服务相关联的主机名:myhost.mycompany.com.

此属性是必需的。

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm 指定与目标服务相关联的领域的名称。

此属性对单个 Kerberos 领域是可选的。如果未指定 targetServiceRealm 属性,那么将使用来自 Kerberos 配置文件中的缺省领域名作为领域名。
在交叉或可信领域环境中,必须提供 targetServiceRealm 属性的值。

com.ibm.wsspi.wssecurity.krbtoken.clientRealm 指定与客户机相关联的 kerberos 领域的名称。

对于单个 Kerberos 域环境,此属性是可选的。
在交叉或可信 Kerberos 领域环境中实施 Web Service 安全性时,必须提供 clientRealm 属性的值。

com.ibm.wsspi.wssecurity.krbtoken.loginPrompt 值为 True 时启用 Kerberos 登录。 缺省值为 False

此属性是必需的。

对于令牌生成者,目标服务名称和目标主机名的组合构成服务主体名称 (SPN),该名称表示目标 Kerberos 服务主体名称。Kerberos 客户机请求该 SPN 的初始 Kerberos AP_REQ 令牌。

如果应用程序为每个 Web Service 请求消息生成或使用 Kerberos V5 AP_REQ 令牌,请在应用程序的令牌生成者和令牌使用者绑定中将 com.ibm.wsspi.wssecurity.kerberos.attach.apreq 定制属性设置为 true。有关更多信息,请参阅“Web Service 安全性故障诊断技巧”主题。

回调处理程序

链接到“回调处理程序”页面,您可以在该页面中配置回调处理程序。回调处理程序设置确定如何从消息头获取安全性令牌。

如果正在处理的用户名令牌或 LTPA 令牌使用的是缺省绑定,那么可能已提供用户名和密码作为示例。需要更新这些令牌类型的值。


指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=uwbs_wsspsbat
文件名:uwbs_wsspsbat.html