令牌类型设置
使用管理控制台来定义有关令牌类型的详细信息。根据令牌类型的不同,此面板所显示的内容会有所不同。可以定义策略以指定支持的安全性令牌类型以及令牌类型的属性。
- 单击 。
- 单击“策略”表中的 WS-Security 策略。
- 单击主策略链接或引导策略链接。
- 执行下列其中一个操作:
- 单击“策略详细信息”部分下的请求令牌策略。
- 单击“策略详细信息”部分下的响应令牌策略。
- 单击“密钥对称性”部分下的对称签名和加密策略。
- 单击“密钥对称性”部分下的非对称签名和加密策略。
- 对于请求令牌策略或响应令牌策略,请单击“受支持的令牌类型”表中的一个令牌,或者单击添加令牌类型按钮以选择要添加的令牌类型。
- 对于对称签名和加密策略或非对称签名和加密策略,请单击编辑所选类型的策略。
会对您所配置或添加的每种令牌类型显示此面板。它会根据令牌类型的不同显示不同的字段。此帮助主题包含各个令牌类型的所有字段,并且描述针对每个字段进行配置的令牌。
定制令牌名称
对于定制令牌,指定所配置的令牌的名称。在此输入字段中输入或编辑定制令牌的名称。
局部名
对于定制令牌,指定局部名。
如果使用定制令牌类型来生成 Kerberos 令牌(在 Kerberos 令牌概要文件 V1.1 的 OASIS Web Services 安全规范中定义),请将以下局部名表中的其中一个值用作局部名。您选择的值取决于密钥分发中心 (KDC) 所生成的 Kerberos 令牌的规范级别。该表列出了这些值以及与各个值相关联的规范级别。出于互操作性的考虑,基本安全概要文件 V1.1 标准要求使用局部名 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ。
Kerberos 令牌的局部名值 | 关联的规范级别 |
---|---|
http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerb erosv5_AP_REQ | 在 Kerberos 规范中定义的 Kerberos V5 AP-REQ。Kerberos 凭单是 AP 请求时使用此值。 |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ | 包含 KRB_AP_REQ 消息的 GSS-API Kerberos V5 机制令牌(在 RFC-1964 [1964], Sec. 1.1 及后续版本 RFC-4121, Sec. 4.1 中定义)。Kerberos 凭单是 AP 请求(ST + 鉴别程序)时使用此值。 |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510 | 在 RFC1510 中定义的 Kerberos V5 AP-REQ。Kerberos 凭单是 AP 请求(根据 RFC1510)时使用此值。 |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510 | 包含 KRB_AP_REQ 消息的 GSS-API Kerberos V5 机制令牌(在 RFC-1964, Sec. 1.1 及后续版本 RFC-4121, Sec. 4.1 中定义)。Kerberos 凭单是 AP 请求(ST + 鉴别程序,根据 RFC1510)时使用此值。 |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120 | 在 RFC4120 中定义的 Kerberos V5 AP-REQ。Kerberos 凭单是 AP 请求(根据 RFC4120)时使用此值。 |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120 | 包含 KRB_AP_REQ 消息的 GSS-API Kerberos V5 机制令牌(在 RFC-1964, Sec. 1.1 及后续版本 RFC-4121, Sec. 4.1 中定义)。Kerberos 凭单是 AP 请求(ST + 鉴别程序,根据 RFC4120)时使用此值。 |
URI
对于定制令牌,指定统一资源标识 (URI)。
如果使用定制令牌类型来生成 Kerberos 令牌(在 Kerberos 令牌概要文件 V1.1 的 OASIS Web Services 安全规范中定义),请将此字段留空。
LTPA 令牌名称
对于 LTPA 令牌,指定所配置的令牌的名称。在此输入字段中输入或编辑 LTPA 令牌的名称。
传播 JAAS 主体集
对于 LTPA 令牌,指定是否传播关联的 Java 认证和授权服务 (JAAS) 主体集。选中此复选框以传播 JAAS 主体集。缺省值是“未选中”。因此缺省情况下不传播 JAAS 主体集。
用户名令牌名称
指定所配置的令牌的名称。在此输入字段中输入或编辑用户名令牌的名称。
WS-Security 版本
对于用户名令牌,指定用于保护消息传输的 Web Service 安全性(WS-Security 规范)的版本。
提供了以下版本:
- WS-Security V1.0
- WS-Security V1.1
X.509 令牌名称
对于 X.509 令牌,指定要配置的令牌的名称。在此输入字段中输入或编辑 X.509 令牌的名称。
WS-Security 版本
对于 X.509 令牌,指定用于保护消息传输的 Web Service 安全性的版本。
提供了以下版本:
- WS-Security V1.0
- WS-Security V1.1
X.509 类型
对于 X.509 令牌,指定要配置的 X.509 令牌的类型。
提供了以下类型的 X.509 令牌:
- X.509 V1。此选项仅适用于 WS-Security V1.1。
- X.509 V3
- X.509 PKCX7
- PKI Path V1
安全对话令牌
仅当使用对称签名和加密策略时,安全对话令牌才可用。
需要引用安全上下文令牌发布者
对于安全对话令牌,选择此选项以指定对安全上下文令牌发布者的引用。
选择需要引用安全上下文令牌发布者选项后,指定安全上下文令牌发布者的 URI。