配置服务器以处理身份声明认证

身份断言的目的是断言从 Web Service 到下游 Web Service 产生的客户机的认证的身份。可为服务器配置身份声明认证。不要尝试从纯客户机配置身份声明。

关于此任务

要点: V5.x 与 V6.0.x 及更高版本的应用程序之间存在重要差别。这些信息仅支持与 WebSphere® Application Server V6.0.x 及更高版本配合使用的 V5.x 应用程序。这些信息不适用于 V6.0.x 和更高版本的应用程序。

对于下游 Web Service,要接受产生客户机的标识(仅用户名),您必须提供特殊的可信 BasicAuth 凭证,这是下游 Web Service 所信任的,而且可成功认证。在下游 Web Service 配置上,您必须在可信标识鉴别程序中指定特殊 BasicAuth 凭证的用户标识。有关可信标识鉴别程序的更多信息,请参阅“可信标识鉴别程序”。服务器端将特殊 BasicAuth 凭证传递到可信标识鉴别程序中,其返回信任此标识的 truefalse。在信任它后,客户机的用户名映射至凭证,这是在授权时要使用的。

完成以下步骤,以配置服务器处理身份声明认证信息:

过程

  1. 启动组装工具。 有关更多信息,请参阅组装工具的相关信息。
  2. 切换到 Java™ 平台企业修订版 ((Java EE) 透视图。单击窗口 > 打开透视图 > J2EE
  3. 单击 EJB 项目 > application_name > ejbModule > META-INF
  4. 右键单击 webservices.xml 文件,然后单击打开方式 > Web Service 编辑器
  5. 单击扩展选项卡,它位于组装工具中 Web Service 编辑器的末尾。
  6. 展开请求接收方服务配置详细信息 > 登录配置部分。 您可选择的选项为:
    • BasicAuth
    • 签名
    • 身份断言
    • LTPA(轻量级第三方认证)
  7. 选择身份声明以使用提供的身份声明数据认证客户机。

    客户机的用户标识必须在目标用户注册表或存储库中,这在 WebSphere Application Server 管理控制台中的安全性 > 全局安全性面板上配置。您可选择多个登录配置,这意味着在服务器上可接收不同类型的安全信息。添加登录配置的顺序确定接收请求时处理它们的顺序。如果您已添加具有多个共有安全性令牌的登录配置,可能会产生问题。例如,身份声明包含 BasicAuth 令牌(它是可信的令牌)。要让身份声明正确地发挥作用,您必须在列表中将身份声明列在 BasicAuth 的前面,否则 BasicAuth 处理会覆盖身份声明处理。

  8. 展开身份声明部分,并且选择标识类型信任方式
    1. “标识类型”的选项是:
      • 用户名
      • DN(专有名称)
      • X509 证书
      这些选项只是首选项并且不能保证。大多数情况下使用了“用户名”选项。必须选择和客户机相同的“标识类型”。
    2. “信任方式”的选项是:
      • BasicAuth
      • 签名
      “信任方式”是指由作为可信的标识的客户机发送的信息。
      1. 如果您选择 BasicAuth,客户机发送基本认证数据(用户标识和密码)。此 BasicAuth 数据认证到已配置的用户注册表。认证执行成功后,用户标识必须是可信标识鉴别程序信任列表的一部分。
      2. 如果您选择签名,那么发送客户机签名证书。 此证书必须可映射至已配置的用户注册表。对于本地操作系统,专有名称 (DN) 的公共名称 (CN) 映射至注册表中的用户标识。对于轻量级目录访问协议 (LDAP),DN 映射至 ExactDN 方式的注册表。如果它处于 CertificateFilter 方式,相应地映射属性。另外,来自已生成凭证的用户名必须在可信标识鉴别程序信任列表中。

下一步做什么

要获取入门组装工具中的 Web Service 编辑器的更多信息,请参阅使用组装工具配置服务器安全绑定

指定服务器如何处理身份声明认证信息后,您必须指定服务器如何验证认证信息。请参阅有关配置服务器以验证身份声明认证信息的任务。


指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confsvridassertmeth
文件名:twbs_confsvridassertmeth.html