令牌生成者配置设置
使用此页面来指定令牌生成者的信息。仅在生成者端使用该信息以生成安全性令牌。
- 单击 。
- 在“JAX-RPC 缺省生成器绑定”下面,单击新建以创建新的令牌生成者。 ,或者单击
- 单击 。
- 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时。
混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Services Security 的缺省绑定。mixv
- 在“JAX-RPC 缺省生成器绑定”下面,单击 ,或者单击新建以创建新的令牌生成者。
- 单击 。
- 在“模块”下,单击 。
- 在“其他属性”下,可以访问以下绑定的令牌生成者信息:
- 对于“请求生成者(发送方)绑定”,单击 Web Service:客户机安全性绑定。在“请求生成器(发送方)绑定”下,单击编辑定制。
- 对于“响应生成者(发送方)绑定”,单击 Web Service:服务器安全性绑定。在“响应生成器(发送方)绑定”下,单击编辑定制。
- 单击新建以创建新的令牌生成者或单击现有令牌生成者的名称以指定其设置。
- 单击 。
- 在“模块”下,单击 。
- 在“Web Service 安全性属性”下,单击 Web Service:客户机安全性绑定。
- 在“请求生成器(发送方)绑定”下,单击编辑定制。
- 在“其他属性”下面,单击 。
在指定其他属性之前,在令牌生成者名称和令牌生成者类名字段中指定值。
令牌生成者名
指定令牌生成者配置的名称。
例如,缺省 X509 令牌生成者名称为 gen_enctgen 以便进行加密或为 gen_signtgen 以便进行签名。或者,定制令牌生成者名称可为 sig_tgen 以便进行签名。
令牌生成者类名
指定令牌生成者实现类的名称。
此类必须实现 com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent 接口。
令牌生成者类名
指定令牌生成者实现类的名称。
证书路径
指定证书撤销列表(CRL),它用于生成以 PKCS#7 令牌类型打包 CRL 的安全性令牌。
当令牌生成者不是 PKCS#7 令牌类型的生成者时,必须选择无。当令牌生成者是 PKCS#7 令牌类型的生成者时,如果您要在安全性令牌中打包 CRL,那么选择专用签名信息并为证书集合库指定 CRL。
绑定名 | 服务器级别、单元级别或应用程序级别 | 路径 |
---|---|---|
缺省生成器绑定 | 单元级别 |
|
缺省生成器绑定 | 服务器级别 |
|
使用证书集合库时,可通过单击“其他属性”下的证书撤销列表配置相关的证书撤销列表。
添加现时标志
指出现时标志是否包含在令牌生成者的用户名令牌中。现时标志是一个唯一的密码数字,它嵌入在消息中,目的是帮助停止重复的未经授权用户名令牌攻击。
在应用程序级别上,如果您选择添加现时标志选项,那么可以在“其他属性”下指定以下属性:
属性名 | 缺省值 | 说明 |
---|---|---|
com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.cacheTimeout | 600 秒 | 为服务器上已高速缓存的现时标志值指定超时值(以秒计)。 |
com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.clockSkew | 0 秒 | 指定现时标志时间戳记到期前的时间(以秒计)。 |
com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.maxAge | 300 秒 | 指定应用程序服务器检查消息及时性时要考虑的时钟偏差值(以秒计)。 |
在单元和服务器级别上,在管理控制台上可使用这些属性。但是,在应用程序级别上,您可以在“其他属性”下配置这些属性。
此选项显示在单元、服务器和应用程序级别上。仅当已生成令牌类型是用户名令牌时,此选项才有效。
添加时间戳记
指定是否将时间戳记插入到用户名令牌中。
此选项显示在单元、服务器和应用程序级别上。仅当已生成令牌类型是用户名令牌时,此选项才有效。
值类型局部名
为集成令牌指定值类型的局部名。
- 用户名令牌
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
- X509 证书令牌
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- PKIPath 中的 X509 证书
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- PKCS#7 中的 X509 证书和 CRL 列表
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
- 轻量级第三方认证 (LTPA)
- LTPA_PROPAGATION
当为定制令牌指定定制值类型时,可以指定值类型的限定名 (QName) 的局部名和 URI。例如,可以为局部名指定 Custom,并为 URI 指定 http://www.ibm.com/custom。
值类型 URI
为生成的令牌指定值类型的名称空间 URI。
当为用户名令牌或 X.509 证书安全性令牌指定令牌生成者时,不需要指定此选项。如果要指定另一个令牌,那么指定值类型的 QName 的 URI。
- 对于 LTPA 令牌:http://www.ibm.com/websphere/appserver/tokentype/5.0.2
- 对于 LTPA 令牌传播:http://www.ibm.com/websphere/appserver/tokentype