[Release 5.1 und höher]Web Services: Standardbindungen für die Web-Services-Sicherheit

Verwenden Sie diese Seite, um die Nonce-Einstellungen auf Serverebene zu konfigurieren und die Standardbindungen für Trust Anchor, den Collection Certificate Store, Key Locator, Trusted ID Evaluator und Anmeldezuordnungen zu verwalten.

Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Server > Anwendungsserver > Servername. Klicken Sie unter "Weitere Merkmale" auf Web Services: Standardbindungen für Web-Services-Sicherheit.

Lesen Sie die Dokumentation zu Web Services, bevor Sie mit der Definition der Standardbindungen für die Sicherheit von Web services beginnen.

Gehen Sie zum Definieren der Serverbindungen wie folgt vor:

  1. Klicken Sie auf Anwendungen > Enterprise-Anwendungen > Anwendungsname.
  2. Klicken Sie unter "Zugehörige Elemente" auf Webmodul > Name_der_URI-Datei> Web Services: Sicherheitsbindungen des Servers.

Gehen Sie zum Definieren der Clientbindungen wie folgt vor:

  1. Klicken Sie auf Anwendungen > Enterprise-Anwendungen > Anwendungsname.
  2. Klicken Sie unter "Zugehörige Element" auf Webmodule > Name_der_URI-Datei > Web Services: Sicherheitsbindungen des Clients.

[Release 5.1 und höher]Nonce ist eine eindeutige verschlüsselte Nummer, die in eine Nachricht eingebettet wird, um wiederholte, unbefugte Hackerattackeen auf Benutzernamen-Token zu verhindern. In einer WAS-Basisumgebung müssen Sie das das Cache-Zeitlimit für Nonce, die maximale Nonce-Dauer und die zeitliche Abweichung für Nonce auf Serverebene angeben.

Die Konfiguration der Standardbindungen ist eine zentrale Stelle, in der wieder verwendbare Bindungsdaten definiert werden. Die Bindungsdatei der Anwendung kann auf die Informationen verweisen, die in der Konfiguration der Standardbindungen enthalten sind.

Cache-Zeitlimit für Nonce   [Release 5.1 und höher]
Das Zeitlimit für den auf dem Server zwischengespeicherten Nonce. Nonce ist ein generierter Zufallswert.

Sie müssen im Feld Cache-Zeitlimit für Nonce einen Mindestwert von 300 Sekunden angeben. Wenn Sie keinen Wert angeben, wird der Standardwert 600 verwendet.

Für die WAS-Basisumgebung muss das Feld Cache-Zeitlimit für Nonce ausgefüllt werden.

Wenn Sie das Cache-Zeitlimit für Nonce verändern, müssen Sie WebSphere Application Server erneut starten, damit die Änderung wirksam wird.

Standardwert 600 Sekunden
Mindestwert 300 Sekunden
Maximale Nonce-Dauer   [Release 5.1 und höher]
Standardverfallsdatum für die Nonce-Zeitmarke. Nonce ist ein generierter Zufallswert.

Sie müssen im Feld Maximale Nonce-Dauer einen Mindestwert von 300 Sekunden angeben. Für die Serverebene darf der Maximalwert jedoch nicht das angegebene Cache-Zeitlimit für Nonce überschreiten. Wenn Sie keinen Wert angeben, wird der Standardwert von 300 Sekunden verwendet. Der für diese Serverebene im Feld Maximale Nonce-Dauer angegebene Wert darf die für die Zellenebene angegebene maximale Nonce-Dauer nicht überschreiten. Sie können den Wert überprüfen, indem Sie nacheinander auf Sicherheit > Web Services > Merkmale klicken.

Für die WAS-Basisumgebung muss das Feld Maximale Nonce-Dauer ausgefüllt werden.

Standardwert 300 Sekunden
Bereich 300 Sekunden bis Sekunden des Cache-Zeitlimits für Nonce
Zeitliche Abweichung für Nonce   [Release 5.1 und höher]
Gibt die zeitliche Standardabweichung an, die WebSphere Application Server berücksichtigen muss, wenn die Aktualität der Nachricht geprüft wird. Nonce ist ein generierter Zufallswert.

Sie müssen im Feld Zeitliche Abweichung für Nonce einen Mindestwert von 0 Sekunden angeben. Der Maximalwert darf jedoch nicht die Anzahl der im Feld Maximale Nonce-Dauer angegebenen Sekunden überschreiten. Wenn Sie keinen Wert angeben, wird der Standardwert von 0 Sekunden verwendet.

Für die WAS-Basisumgebung muss das Feld Zeitliche Abweichung für Nonce ausgefüllt werden.

Standardwert 0 Sekunden
Bereich 0 Sekunden bis Maximale Nonce-Dauer
Trust Anchor   [Fixpack 5.0.2 und höher]
Eine Liste mit Keystore-Objekten, die die gesicherten Stammzertifikate, selbst unterzeichnete Zertifikate oder von einer Zertifizierungsinstanz (CA) ausgestellte Zertifikate enthalten.

Die Zertifizierungsinstanz authentifiziert einen Benutzer und stellt ein Zertifikat aus. Nach dem Ausstellen des Zertifikats verwenden die Keystore-Objekte, die diese Zertifikate enthalten, das Zertifikat für die Validierung des Zertifikatpfads oder der Zertifizierungskette eingehender Sicherheits-Token im X.509-Format.

Collection Certificate Store   [Fixpack 5.0.2 und höher]
Eine Liste ungesicherter, temporärer Zertifikatdateien.

Der Collection Certificate Store enthält eine Kette ungesicherter, temporärer Zertifikate. Die API CertPath versucht, diese Zertifikate zu validieren, die auf dem Trust Anchor basieren.

Key Locator   [Fixpack 5.0.2 und höher]
Eine Liste mit Key-Locator-Objekten, die die Schlüssel für digitale Signatur und Verschlüsselung aus einer Keystore-Datei oder einem Repository abrufen. Der Key Locator ordnet einen Namen oder logischen Namen einem Aliasnamen oder eine authentifizierte Identität einem Schlüssel zu. Dieser logische Name wird zum Suchen eines Schlüssels in einer Key-Locator-Implementierung verwendet.
Trusted ID Evaluator   [Fixpack 5.0.2 und höher]
Eine Liste der Trusted ID Evaluator, die festlegt, ob die identitätszusichernde Instanz oder der Nachrichtensender als vertrauenswürdig eingestuft wird.

Die Trusted ID Evaluator werden verwendet, um weitere Identitäten zwischen Servern zu authentifizieren. Beispiel: Ein Client sendet die Identität von Benutzer A zur Authentifizierung an den Server 1. Server 1 setzt Aufrufe an den Server 2 ab (Downstream), sichert die Identität von Benutzer A zu und fügt Benutzer-ID und Kennwort von Server 1 hinzu. Server 2 versucht, das Vertrauensverhältnis zu Server 1 herzustellen, indem er dessen Benutzer-ID und Kennwort authentifiziert und basierend auf der TrustedIDEvaluator-Implementierung die Vertrauenswürdigkeit prüft. Wenn der Authentifizierungsprozess und die Vertrauensprüfung erfolgreich verlaufen, vertraut Server 2 darauf, dass Server 1 Benutzer A authentifiziert hat, und es wird ein Berechtigungsnachweis für Benutzer A in Server 2 erstellt, so dass dieser die Anforderung absetzen kann.

Anmeldezuordnungen   [Fixpack 5.0.2 und höher]
Eine Liste von Konfigurationen für die Validierung der Token in eingehenden Nachrichten.

Anmeldezuordnungen ordnen die Authentifizierungsmethode der JAAS-Konfiguration zu.

Verwenden Sie zum Konfigurieren von JAAS die Administrationskonsole. Klicken Sie auf Sicherheit > JAAS-Konfiguration.

Zugehörige Informationen

Trust Anchor
Collection Certificate Stores
Key Locator
Trusted ID Evaluator
Anmeldezuordnungen
Konfigurationseinstellungen für die Anmeldezuordnung