配置服务器以验证身份声明认证信息

身份断言的目的是断言从 Web Service 到下游 Web Service 产生的客户机的认证的身份。

关于此任务

要点: V5.x 与 V6 及更高版本的应用程序之间存在重要差别。这些信息仅支持与 WebSphere® Application Server V6.0.x 及更高版本配合使用的 V5.x 应用程序。这些信息不适用于 V6 和更高版本应用程序。

使用本任务配置身份声明认证。不要尝试从纯客户机配置身份声明。

对于下游 Web Service,要接受产生客户机的标识(仅用户名),您必须提供特殊的可信 BasicAuth 凭证,这是下游 Web Service 所信任的,而且可成功认证。在下游 Web Service 配置上,您必须在可信标识鉴别程序中指定特殊 BasicAuth 凭证的用户标识。有关可信标识鉴别程序的更多信息,请参阅有关可信标识鉴别程序的主题。服务器端将特殊的 BasicAuth 凭证传递给可信标识鉴别程序,这会返回信任此标识的 truefalse 响应。在信任它后,客户机的用户名映射至凭证,这是在授权时要使用的。

完成以下步骤,以验证身份断言认证信息:

过程

  1. 启动组装工具。 有关更多信息,请参阅组装工具的相关信息。
  2. 切换到 Java™ 平台企业修订版 ((Java EE) 透视图。单击窗口 > 打开透视图 > J2EE
  3. 单击 EJB 项目 > application_name > ejbModule > META-INF
  4. 右键单击 webservices.xml 文件,然后单击打开方式 > Web Service 编辑器
  5. 在组装工具中的 Web Service 编辑器的末尾单击“绑定配置”选项卡。
  6. 展开请求接收方绑定配置详细信息 > 登录映射部分。
  7. 单击编辑以查看登录映射信息。单击添加以添加新的登录映射信息。将显示“登录映射”对话框。选择或输入下列信息:
    认证方法
    指定执行的认证类型。选择 IDAssertion 以使用基本认证。
    配置名称
    指定 Java 认证和授权服务 (JAAS) 登录配置名称。对于 IDAssertion 认证方法,输入 system.wssecurity.IDAssertion 作为 Java 认证和授权服务 (JAAS) 登录配置名称。
    使用令牌值类型
    确定您是否要指定定制令牌类型。对于缺省认证方法选择,您不需要指定此选项。
    令牌值类型 URI 和令牌值类型局部名
    选择身份断言时,您无法编辑令牌值类型 URI 和局部名值。指定定制认证类型。对于身份断言认证方法,将这些值留空。
    回调处理程序工厂类名
    创建知道下列回调的 JAAS CallbackHandler 实现:
    • javax.security.auth.callback.NameCallback
    • javax.security.auth.callback.PasswordCallback
    • com.ibm.wsspi.wssecurity.auth.callback.BinaryTokenCallback
    • com.ibm.wsspi.wssecurity.auth.callback.XMLTokenReceiverCallback
    • com.ibm.wsspi.wssecurity.auth.callback.PropertyCallback
    对于任何缺省认证方法(BasicAuth、IDAssertion 和 Signature),使用回调处理程序工厂缺省实现。对包括 IDAssertion 在内的任何缺省认证方法输入以下类名:
    com.ibm.wsspi.wssecurity.auth.callback.WSCallbackHandlerFactoryImpl

    此实现为缺省实现创建正确的回调处理程序。

    回调处理程序工厂属性名和回调处理程序工厂属性值
    为定制回调处理程序工厂实现指定回调处理程序属性。缺省回调处理程序工厂实现不需要指定任何属性。对于身份断言,将这些值留空。
    登录映射属性名和登录映射属性值
    为定制登录映射指定属性。对于包含 IDAssertion 的缺省实现,将这些值留空。
  8. 展开可信标识鉴别程序部分。
  9. 单击编辑以查看显示所有可信标识鉴别程序信息的对话框。 下表描述了此信息的用途。
    类名
    指的是您要使用的可信标识鉴别程序的实现。将缺省实现输入为
    com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl
    如果要实现您自己的可信标识鉴别程序,那么必须实现 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator 接口。
    属性名称
    表示此配置的名称。输入 BasicIDEvaluator
    属性值
    定义可信标识鉴别程序实现可以使用的“名称/值”对。对于缺省实现,在此处定义可信列表。当请求到达并验证可信标识时,出现在用户注册表中的用户标识必须列在此属性中。将此属性指定为名称为 trustedId_n 的“名称/值”对。n 是从 0 开始的整数,而值是与该名称关联的用户标识。带有可信名称的示例列表包含两个属性。

    例如:trustedId_0 = user1, trustedId_1 = user2。前面的示例意味着 user1user2 都可信。必须在配置的用户注册表中列示 user1user2

  10. 展开可信标识鉴别程序引用部分。
  11. 单击启用以添加新的条目。 您为可信标识鉴别程序引用输入的文本必须与先前在可信标识鉴别程序中输入的名称相同。确保此名称完全匹配,因为此信息是区分大小写的。如果条目已指定,可通过单击编辑进行更改。

下一步做什么

您必须指定服务器如何处理身份断言认证方法。如果先前未指定此信息,请参阅配置服务器以处理身份声明认证

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confsvridassertver
文件名:twbs_confsvridassertver.html