为认证令牌配置通用安全性令牌登录模块:令牌生成者

您可以在 Web Service 安全性过程的令牌生成者端配置通用安全性令牌登录模块以用于认证令牌。

关于此任务

在生成器端调用通用安全性令牌登录模块时,该登录模块会使用 WS-Trust IssueWS-Trust Validate 请求将令牌生成过程委派给安全性令牌服务 (STS)。STS 会处理该请求并将 RequestSecurityTokenResponse 消息返回给登录模块。该登录模块会将令牌从 STS 响应消息插入到 Web Service 请求消息的安全性头中。

为了便于说明,假设已配置策略集和绑定并将它们连接至应用程序。例如,您可以使用 SAML11 Bearer WSSecurity default 策略集和“Saml Bearer 客户机样本”绑定。有关更多信息,请参阅为 SAML 不记名令牌配置客户机和提供程序绑定的相关主题。

请完成下列步骤以使用管理控制台在令牌生成者端配置通用安全性令牌登录模块:

过程

  1. 为应用程序配置 wss.generate.issuedToken Java™ 认证和授权服务 (JAAS) 登录模块。
    1. 展开应用程序 > 应用程序类型,然后单击 WebSphere 企业应用程序
    2. 单击包含您要修改的策略集和绑定的应用程序。
    3. Web Service 属性下面,单击服务客户机策略集和绑定
    4. 在“服务客户机策略集和绑定”面板上的绑定列中,单击绑定的名称。
    5. 在“绑定配置”面板上的策略列中,单击 WS-Security
    6. 主消息安全策略绑定标题下面,单击认证和保护
    7. 在“认证和保护”面板的“认证令牌”部分中,选择您要配置的令牌。 例如,选择 request:SAMLToken11Bearer
    8. 在“令牌生成者”面板上,为 JAAS 登录选择 wss.generate.issuedToken 选项。
    9. 单击应用
  2. 配置回调处理程序。
    1. 其他绑定标题下,单击回调处理程序
    2. 在“回调处理程序”面板的类名标题下面,选择使用定制并为类名指定 com.ibm.websphere.wssecurity.callbackhandler.GenericIssuedTokenGenerateCallbackHandler
    3. 单击应用 单击“应用”之后,该面板的定制属性部分将显示现有定制属性的列表。 您可以添加、编辑或删除定制属性列表中的条目。 有关回调处理程序的定制属性的更多信息,请参阅 com.ibm.wsspi.wssecurity.core.config.IssuedTokenConfigConstants 应用程序编程接口 (API) 的相关信息。可在产品文档的参考 > 编程接口 > API - 应用程序编程接口部分访问此信息。
    4. 单击添加以同时添加 stsURI 定制属性及其相关联的值。 此定制属性值是目标安全性令牌服务 URL 地址。此属性是必需属性,除非您要使用 RunAs 主体集中的安全性令牌而不调出安全性令牌服务进行验证。 有关更多信息,请参阅后续步骤中 validateUseTokenuseRunAsSubjectOnly 定制属性的相关信息。
    5. 单击添加以同时添加 wstrustClientPolicy 定制属性及其相关联的值。 此定制属性值是适用于 WS-Trust 客户机调用的信任客户机策略集名称。
    6. 单击添加以同时添加 wstrustClientBinding 定制属性及其相关联的值。 此定制属性值是适用于 WS-Trust 客户机调用的信任客户机绑定。有关创建信任客户机绑定的更多信息,请参阅为 SAML 不记名令牌配置客户机和提供程序绑定的相关文档。
    7. 可选: 指定其他定制属性。 要添加这些定制属性,请单击定制属性部分中的新建。有关定制属性的更多信息,请参阅 Web Service 安全性定制属性
  3. 单击确定,然后单击保存以保存绑定。
  4. 停止并重新启动应用程序。

结果

完成此项任务时,您已为令牌生成者配置了通用登录模块。

下一步做什么

为令牌使用者配置通用安全性令牌登录模块。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configgenericlmodgen
文件名:twbs_configgenericlmodgen.html