调用者设置
使用此页面来配置调用者设置。调用者指定用于认证的令牌或消息部件。
编辑缺省单元或服务器绑定时,可以配置消息部件的调用者设置。另外,还可以配置策略集所需的令牌和消息部件的特定于应用程序的绑定。
- 单击 。
- 单击“策略”表中的 WS-Security 策略。
- 单击“主消息安全策略绑定”部分中的认证与保护链接。
- 单击“主消息安全策略绑定”部分中的调用者链接。
- 单击新建。
- 单击 。
- 选择包含 Web Service 的应用程序。该应用程序必须包含服务提供程序或服务客户机。
- 单击“Web Service 属性”部分中的服务提供程序策略集和绑定链接。调用者设置仅适用于服务提供程序策略集和绑定。调用者设置不适用于服务客户机策略集和绑定。
- 选择绑定。先前必须已连接策略集并且已指定特定于应用程序的绑定。
- 单击“策略”表中的 WS-Security 策略。
- 单击“主消息安全策略绑定”部分中的调用者链接。
- 单击新建。注: 创建新的调用者时,将自动对它指定下一可用顺序。可按照下面“顺序”部分中所描述的那样更改首选顺序。
此管理控制台页面仅适用于 Java™ API for XML Web Services (JAX-WS) 应用程序。
名称
指定用于认证的调用者的名称。在此必填字段中输入调用者名称。此名称可以是任意名称,用于标识此调用者设置。
顺序
指定调用者的首选顺序。此顺序确定接收到多个认证令牌时将利用的调用者。
可通过在列表中向上移动或向下移动调用者来更改首选顺序。单击调用者名称旁边的复选框以选择该调用者,然后单击上移按钮以在列表中向上移动该调用者,或者单击下移按钮以向下移动该调用者的首选顺序。
按钮 | 执行的操作 |
---|---|
上移 | 在调用者列表中向上移动所选调用者的顺序。 |
下移 | 在调用者列表中向下移动所选调用者的顺序。 |
调用者标识局部部件
指定用于认证的调用者的局部名。在此必填字段中输入调用者标识局部名。
指定 LTPA 调用者时,对于使用版本低于 IBM® WebSphere® Application Server V7.0 的旧绑定的调用者,请将 LTPA 用作该调用者的局部名。对于版本高于 IBM WebSphere Application Server V7.0 及更高版本的绑定,应该将 LTPAv2 用作局部名。如果未在令牌使用者上选择“强制令牌版本”选项,那么指定 LTPAv2 允许使用 LTPA 和 LTPAv2 令牌。
信息 | 值 |
---|---|
缺省 | String |
调用者标识名称空间 URI
指定用于认证的调用者的统一资源标识 (URI)。在此字段中输入调用者 URI。
指定 LTPA 调用者时,对于使用版本低于 IBM WebSphere Application Server V7.0 的旧绑定的调用者,请将 http://www.ibm.com/websphere/appserver/tokentype/5.0.2 用作该调用者的 URI。对于版本高于 IBM WebSphere Application Server V7.0 及更高版本的绑定,应该将 http://www.ibm.com/websphere/appserver/tokentype 用作 URI。
令牌类型 | 调用者标识局部部件 | 调用者标识名称空间 URI |
---|---|---|
用户名令牌 1.0 | http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken | |
用户名令牌 1.1 | http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken | |
X509 证书令牌 | http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 | |
PKIPath 中的 X509 证书 | http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1 | |
PKCS#7 中的 X509 证书和 CRL 列表 | http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7 | |
LTPA 令牌 | LTPA | http://www.ibm.com/websphere/appserver/tokentype/5.0.2 |
LTPA 令牌 | LTPAv2 | http://www.ibm.com/websphere/appserver/tokentype |
LTPA 传播令牌 | LTPA_PROPAGATION | http://www.ibm.com/websphere/appserver/tokentype |
SAML 1.1 令牌 | http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 | |
SAML 2.0 令牌 | http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0 | |
Kerberos 令牌 | http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ |
签名部件引用
当可信标识基于签名令牌时,请选择表示由该令牌签名的消息部件的签名部件引用。
如果选择“签名部件引用”选项,那么必须指定回调处理程序,以使绑定能够正常工作。
使用身份断言
指定认证时是否使用身份断言。
如果要使用身份断言,请选中此复选框。选中此复选框时,将启用可信标识局部名和可信标识名称空间 URI 字段。
可信标识局部名
使用身份断言时,指定可信标识局部名。
如果选择用户身份断言选项且 WS-Security 策略中存在信任令牌,那么必须为可信标识局部名字段提供值,以使绑定能够正常工作。
可信标识 URI
指定可信标识统一资源标识 (URI)。
回调处理程序
指定回调处理程序的类名。在此字段中输入回调处理程序的类名。
如果为可信标识局部名字段提供值且未将信任令牌的令牌使用者设置为信任任何证书,那么必须将回调处理程序字段中的值设置为 com.ibm.ws.wssecurity.impl.auth.callback.TrustedIdentityCallbackHandler。
property name="trustedId_0", value="CN=Bob,O=ACME,C=US"
property name="trustedId_1", value="user1"
JAAS 登录
指定 Java 认证和授权服务 (JAAS) 应用程序登录。可以输入 JAAS 登录、从菜单中选择一个 JAAS 登录或者单击新建以添加一个新的 JAAS 登录。
有关更新 JAX-WS 应用程序的 Kerberos 系统 JAAS 登录模块的信息,请阅读主题“使用 Kerberos 登录模块更新系统 JAAS 登录”。
定制属性 - 名称
指定定制属性的名称。
此列最初不显示定制属性。选择定制属性的下列其中一个操作:
按钮 | 执行的操作 |
---|---|
新建 | 创建新的定制属性条目。要添加定制属性,请输入名称和值。 |
编辑 | 指定您可以编辑定制属性值。要使此选项显示,必须至少存在一个定制属性。 |
删除 | 除去所选定制属性。 |
定制属性 - 值
指定要使用的定制属性的值。使用“值”字段添加、编辑或删除定制属性的值。