在应用程序级别使用 JAX-RPC 配置令牌使用者以保护消息真实性

可以在应用程序级别指定令牌使用者。在使用者端使用此令牌使用者信息以合并安全性令牌。

开始之前

您需要了解为生成器提供的密钥库/别名信息以及为使用者提供的密钥库/别名信息是用于不同用途的。主要区别在于 X.509 回调处理程序的别名。

当与加密使用者联合使用时,为该使用者提供的别名用于检索用来为消息解密的专用密钥。需要密码。当与签名使用者关联时,为使用者提供的别名严格用于检索用于解析公用密钥,该密钥用于解析在 SOAP 安全性头中作为 BinarySecurityToken 传入的 X.509 证书。不需要密码。

关于此任务

完成下列步骤在应用程序级别上配置令牌使用者。

过程

  1. 在管理控制台中找到令牌使用者面板。
    1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name
    2. 在“模块”下面,单击管理模块 > URI_name
    3. 在“Web Service 安全性属性”下面,可以访问下列绑定的令牌使用者:
      • 对于“请求使用者(接收方)绑定”,单击 Web Service:服务器安全性绑定。在“请求使用者(接收方)绑定”下,单击编辑定制
      • 对于“响应使用者(接收方)绑定”,单击 Web Service:客户机安全性绑定。在“响应使用者(接收方)绑定”下,单击编辑定制
    4. 在“必需属性”下,单击令牌使用者
    5. 单击新建创建令牌使用者配置,单击删除删除现有配置,或者单击现有令牌使用者配置的名称以编辑其设置。 如果您正在创建新配置,那么在令牌使用者名称字段中输入唯一的名称。例如,您可以指定 con_signtcon
  2. 令牌使用者类名字段中指定类名。 Java™ 认证和授权服务 (JAAS) 登录模块实现用来在使用者端验证(认证)安全性令牌。

    请求使用者和响应使用者的令牌使用者类名必须分别类似请求生成者和响应生成者的令牌生成者类名。例如,如果您的应用程序需要用户名令牌使用者,那么可以在应用程序级别的令牌使用者面板上指定 com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator 类名,并在此字段中指定 com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer 类名。

  3. 可选: 部件引用字段中选择部件引用。 该部件引用表明在部署描述符中定义的安全性令牌的名称。例如,如果您在请求消息中接收用户名令牌,那么您可能要在用户名令牌使用者中引用令牌。
    要点: 在应用程序级别上,未在部署描述符中指定安全性令牌时,将不显示部件引用字段。如果您在部署描述符中定义了称为 user_tcon 的安全性令牌,那么 user_tcon部件引用字段中将作为可选项显示。
  4. 可选: 在面板的证书路径部分中,选择证书库类型并指出信任锚和证书库名称(如果需要)。 当您将 com.ibm.wsspi.wssecurity.token.X509TokenConsumer 指定为令牌使用者类名时,这些选项和字段是必要的。在令牌使用者的证书路径中创建了信任锚和证书集合库的名称。
    限制: com.ibm.wsspi.wssecurity.token.TokenConsumingComponent 接口不与 JAX-WS Web Service 一起使用。如果要使用 JAX-RPC Web Service,那么此接口仍然有效。

    您可以选择以下某个选项:

    如果选择此选项,那么不指定证书路径。
    信任全部
    如果选择此选项,那么信任全部证书。使用接收到的令牌时,应用程序服务器将不验证证书路径。
    专用签名信息
    如果选择此选项,那么可以选择信任锚和证书库配置。选择信任锚或可信证书的证书库时,必须在设置证书路径前配置信任锚和证书库。
    信任锚
    信任锚指定包含可信根证书的密钥库配置列表。这些配置用于验证 X.509 格式的传入安全性令牌的证书路径。信任锚中的密钥库对象包含 CertPath API 用于验证证书链的信任的可信根证书。[AIX Solaris HP-UX Linux Windows][z/OS]您必须使用密钥工具实用程序创建密钥库文件,它位于 install_dir/java/jre/bin/keytool 文件中。[IBM i]您必须使用密钥库实用程序创建密钥库文件。使用 Qshell 解释器时可使用 keytool 实用程序。
    可以通过完成以下步骤配置应用程序级别的信任锚:
    1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name
    2. 在“相关项”下,单击 EJB 模块Web 模块 > URI_name
    3. 从以下绑定访问令牌使用者:
      • 对于“请求使用者(接收方)绑定”,单击 Web Service:服务器安全性绑定。在“请求使用者(接收方)绑定”下,单击编辑定制
      • 对于“响应使用者(接收方)绑定”,单击 Web Service:客户机安全性绑定。在“响应使用者(接收方)绑定”下,单击编辑定制
    4. 在“其他属性”下,单击信任锚
    证书集合库
    证书集合库包含不可信的中介证书的列表和证书撤销列表 (CRL)。该证书集合库用于入局 X.509 格式的安全性令牌的证书路径验证。可以通过完成以下步骤配置应用程序级别的证书集合库:
    1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name
    2. 在“相关项”下,单击 EJB 模块Web 模块 > URI_name
    3. 从以下绑定访问令牌使用者:
      • 对于“请求使用者(接收方)绑定”,单击 Web Service:服务器安全性绑定。在“请求使用者(接收方)绑定”下,单击编辑定制
      • 对于“响应使用者(接收方)绑定”,单击 Web Service:客户机安全性绑定。在“响应使用者(接收方)绑定”下,单击编辑定制
    4. 在“其他属性”下,单击证书集合库
  5. 可选: 指定可信标识鉴别程序。 该可信标识鉴别程序用于评估接收的标识是否可信。您可以选择以下某个选项:
    如果选择此选项,那么不指定可信标识鉴别程序。
    现有鉴别程序定义
    如果选择此选项,那么可以选择某个已配置的可信标识鉴别程序。例如,可选择 SampleTrustedIDEvaluator,它由 WebSphere® Application Server 作为示例提供。
    绑定鉴别程序定义
    如果选择此选项,那么可以通过指定可信标识鉴别程序名和类名配置新的可信标识鉴别程序。
    可信标识鉴别程序名
    指定应用程序绑定使用的名称以引用缺省绑定中定义的可信标识(标识)鉴别程序。
    可信标识鉴别程序类名
    指定可信标识鉴别程序的类名。指定的可信标识鉴别程序类名必须实现 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator 接口。缺省 TrustedIDEvaluator 类是 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl。使用此缺省 TrustedIDEvaluator 类时,必须指定缺省可信标识鉴别程序的名称和值属性以创建用于鉴别的可信标识列表。要指定名称和值属性,请完成下列步骤:
    1. 在“其他属性”下,单击属性 > 新建
    2. 属性字段中指定可信标识鉴别程序名。您必须以格式 trustedId_n(其中,_n 是 0 到 n 的整数)指定名称。
    3. 字段中指定可信标识。
    例如:
    property name="trustedId_0", value="CN=Bob,O=ACME,C=US"
    property name="trustedId_1, value="user1"

    如果使用了专有名称 (DN),那么移除空格以进行比较。请参阅文档中的编程模型信息以获取如何实现 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator 接口的说明。有关更多信息,请参阅Web Service 安全性服务提供程序编程接口的缺省实现

    注: 定义服务器级别而不是应用程序级别的可信标识鉴别程序。要定义服务器级别的可信标识鉴别程序,请完成以下步骤:
    1. 单击服务器 > 服务器类型 > WebSphere 应用程序服务器 > server_name
    2. 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时
      混合版本环境 混合版本环境: 在具有使用 WebSphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定mixv
    3. 在“其他属性”下,单击可信标识鉴别程序
    4. 单击新建定义新的可信标识鉴别程序。

    该可信标识鉴别程序配置只能用于服务器端应用程序级别的令牌使用者。

  6. 可选: 选择验证现时标志选项。 此选项表明在用户名令牌内为令牌使用者指定现时标志时是否对其进行验证。现时标志是一个嵌入在消息中的唯一的加密数字,以帮助停止用户名令牌的重复、未授权的攻击。 仅当合并的令牌类型是用户名令牌时,验证现时标志选项才有效。
  7. 可选: 选择验证时间戳记选项。 此选项表明是否验证用户名令牌中的时间戳记。仅当合并的令牌类型是用户名令牌时,验证现时标志选项才有效。
  8. 局部名字段中指定值类型局部名。 此字段指定被消耗的令牌的值类型的局部名。对于用户名令牌和 X.509 证书安全性令牌,WebSphere Application Server 提供预定义的值类型局部名。
    表 1. 统一资源标识(URI)和局部名组合. 此局部名值表明使用的令牌类型。
    URI 局部名 描述
    名称空间 URI 不适用。 指定 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 作为局部名值。 指定 X.509 证书令牌的名称
    名称空间 URI 不适用。 指定 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1 作为局部名值。 在 PKI 路径中指定 X.509 证书的名称。
    名称空间 URI 不适用。 指定 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7 作为局部名值。 指定 PKCS#7 中的 X509 证书的列表和证书撤销列表 (CRL)
    指定 http://www.ibm.com/websphere/appserver/tokentype/5.0.2 作为 URI 值。 指定 LTPA 作为局部名值。 指定一个包含了嵌入的轻量级第三方认证 (LTPA) 令牌的二进制安全性令牌。
  9. 可选: URI 字段中指定值类型 URI。 此条目指定被消耗的令牌的值类型的名称空间 URI。
    切记: 如果您指定用户名令牌或 X.509 证书安全性令牌的令牌使用者时,不需要指定值类型 URI。

    如果要指定另一个令牌,那么必须指定局部名和 URI。例如,如果您拥有您自己的定制令牌的实现,那么可以在局部名字段和 http://www.ibm.com/custom中指定 CustomToken

  10. 单击确定保存以保存配置。
  11. 单击令牌使用者配置的名称。
  12. 在“其他属性”下面,单击 JAAS 配置 Java 认证和授权服务 (JAAS) 配置指定在 JAAS 登录面板中定义的 JAAS 配置的名称。JAAS 配置指定令牌如何登录到使用者端上。
  13. JAAS 配置名称字段中选择 JAAS 配置。 该字段指定应用程序登录配置的 JAAS 系统名称。可以通过单击全局安全性指定其他 JAAS 系统和应用程序配置。在“认证”下,单击 Java 认证和授权服务并单击应用程序登录 > 新建系统登录 > 新建[AIX Solaris HP-UX Linux Windows][z/OS]有关 JAAS 配置的更多信息,请参阅JAAS 配置设置 不要移除预定义的系统或应用程序登录配置。但是,在这些配置中,可以添加模块类名并指定 WebSphere Application Server 装入每个模块的顺序。WebSphere Application Server 提供以下预定义的 JAAS 配置:
    ClientContainer
    此选择指定客户机容器应用程序使用的登录配置。该配置使用在部署描述符中为客户机容器定义的 CallbackHandler 应用程序编程接口 (API)。要修改此配置,请参阅应用程序登录的 JAAS 配置面板。
    WSLogin
    此选择指定是否所有应用程序都可以使用 WSLogin 配置来执行安全运行时的认证。要修改此配置,请参阅应用程序登录的 JAAS 配置面板。
    DefaultPrincipalMapping
    此选择指定登录配置,Java 2 连接器 (J2C) 使用此配置将用户映射到在 J2C 认证数据条目中定义的主体。要修改此配置,请参阅应用程序登录的 JAAS 配置面板。
    system.LTPA_WEB
    此选择处理 Web 容器(例如 Servlet 和 JavaServer Pages (JSP) 文件)使用的登录请求。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.RMI_OUTBOUND
    当 com.ibm.CSIOutboundPropagationEnabled 属性为 true 时,此选项处理发送到另一服务器的出站 RMI 请求。此属性是在 CSIv2 认证面板中设置的。

    要访问此面板,请单击安全性 > 全局安全性。在“认证”下,单击 RMI/IIOP 安全性 > CSIv2 出站认证。要设置 com.ibm.CSIOutboundPropagationEnabled 属性,请选择安全性属性传播。要修改此 JAAS 登录配置,请参阅“JAAS - 系统登录”面板。

    system.wssecurity.X509BST
    此选择通过检查证书和证书路径的有效性验证 X.509 二进制安全性令牌 (BST)。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.wssecurity.PKCS7
    此选择验证 PKCS7 对象内的 X.509 证书,该证书可能包含证书链和/或证书撤销列表。 要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.wssecurity.PkiPath
    此部分用公共密钥基础结构 (PKI) 路径验证 X.509 证书。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.wssecurity.UsernameToken
    此选择验证基本认证(用户名和密码)数据。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.wssecurity.IDAssertionUsernameToken
    此选择支持 V6 和更高版本的应用程序使用身份断言将用户名映射至 WebSphere Application Server 凭证主体。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.WSS_INBOUND
    此选项指定用于使用 Web Service 安全性进行的安全性令牌传播的入站请求或使用者请求的登录配置。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.WSS_OUTBOUND
    此选项指定用于使用 Web Service 安全性进行的安全性令牌传播的出站请求或生成者请求的登录配置。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    此选项表示不指定 JAAS 登录配置。
  14. 单击确定,然后单击保存保存配置。

结果

您已配置应用程序级别的令牌使用者。

下一步做什么

您必须为应用程序级别指定类似的令牌生成者配置。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokenconsapp
文件名:twbs_configtokenconsapp.html