LTPA 和 LTPA V2 令牌

Web Service 安全性支持 LTPA (V1) 令牌和 LTPA V2 (LTPA2) 令牌。只有 JAX-WS 运行时才支持 LTPA2 令牌(它比 V1 令牌更安全)。

避免故障 避免故障: 本主题中的支持语句适用于 WebSphere® Application Server 的 Web Service 安全性实现,不适用于非 Web Service 功能的安全性实现。gotcha

轻量级第三方认证 (LTPA) 令牌是二进制安全性令牌的具体类型。WebSphere Application Server V5 及更高版本的 Web Service 安全性实现支持 LTPA V1 令牌。WebSphere Application Server V7 及更高版本支持使用 JAX-WS 运行时环境的 LTPA V2 令牌。

尽管在 LTPA V1 和 LTPA V2 策略中使用同一 LTPAToken 声明,但是 V2 令牌的 URI 与 V1 的 valuetype 值不同。valuetype 值由 URI和局部名组成。下表显示了将 LTPA 令牌选为策略集绑定的令牌类型时,LTPA 令牌版本的 valuetype 值。这些值不可编辑。
表 1. LTPA 令牌版本及其 valuetype 值. 此表列示了 LTPA (V1) 和 LTPA2 令牌的 valuetype 值。
LTPA 版本令牌 Valuetype 值
LTPA (V1) http://www.ibm.com/websphere/appserver/tokentype/5.0.2/LTPA
LTPA2 http://www.ibm.com/websphere/appserver/tokentype/LTPAv2

要允许正在运行不同版本的 WebSphere Application Server 的服务器之间的互操作性,缺省情况下,将绑定配置成期望 LTPA2 令牌时,V7.0 及更高版本中的 JAX-WS Web Service 安全性运行时可以成功使用 LTPA V1 令牌。但是,您可以将 JAX-WS 运行时的绑定配置成只接受 LTPA2 令牌。有关更多信息,请参阅关于认证生成器或使用者令牌设置的文档。

如果 Web Service 安全性运行时接收到含有未识别的 valuetype 值的令牌并且 SOAP 安全性头包含值等于 '1' 的 mustUnderstand 属性,那么 Web Service 安全性运行时将发出 SOAPFaultException 错误。如果 mustUnderstand 属性值等于 '0',那么将忽略该令牌。

如果已将 mustUnderstand 属性的值等于 '1' 的 LTPA2 令牌发送至不支持 LTPA2 令牌的 Web Service 安全性运行时,那么该运行时将不识别 LTPAv2 valuetype 值。因此,接收运行时将发出 SOAPFaultException 错误。下表说明了这些不同配置及其潜在的错误消息。
表 2. LTPA 令牌配置. 此表列示 LTPA V1 令牌是可选令牌还是必需令牌,列示相关联的 mustUnderstand 属性值,列示其运行时并提供所产生的 SOAPFaultException 错误(如果适用)
运行时 LTPA V1 令牌状态 MustUnderstand 属性值 SOAPFaultException 错误
JAX-RPC 必需 1
com.ibm.wsspi.wssecurity.SoapSecurityException:
WSEC5509E: A security token whose type is
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA]
is required.
JAX-RPC 必需 0
com.ibm.wsspi.wssecurity.SoapSecurityException:
WSEC5509E: A security token whose type is
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA]
is required.
JAX-RPC 可选 1
com.ibm.wsspi.wssecurity.SoapSecurityException:
WSEC5502E: Unexpected element as the target element:
s:BinarySecurityToken.
JAX-RPC 可选 0 None
JAX-RPC 未配置 1
com.ibm.wsspi.wssecurity.SoapSecurityException:
WSEC5502E: Unexpected element as the target element:
s:BinarySecurityToken.
JAX-RPC 未配置 0 None
JAX-WS(适用于 Web Service 的 V6.1 功能部件包) 未配置 1
CWWSS5502E: The target element:
s:BinarySecurityToken was not expected.
JAX-WS(适用于 Web Service 的 V6.1 功能部件包) 未配置 0 None
JAX-WS(适用于 Web Service 的 V6.1 功能部件包) 已配置 1
CWWSS5509E: A security token whose type is
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA]
is required.
JAX-WS(适用于 Web Service 的 V6.1 功能部件包) 已配置 0
CWWSS5509E: A security token whose type is
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA]
is required.
您可以将 JAX-WS 运行时配置成生成 LTPA (V1) 或 LTPA2 令牌。如果在策略绑定中将 LTPA 令牌生成器配置成生成 LTPA (V1) 令牌,那么必须执行下列操作:
  • 启用单点登录互操作性方式,可在管理控制台的单点登录 (SSO) 面板中找到此选项。 有关此选项的更多信息,请参阅关于单点登录设置的文档。
  • 对于 LTPA 令牌生成器,将 com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 定制属性设置为 true。
如果未执行前面所指示的至少一个步骤,那么当已连接至这些绑定的应用程序启动时,将出错。

指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_ltpatokens
文件名:cwbs_ltpatokens.html