WS-Security Websphere Configuration

Question

Websphere 7とJAX-WSを使用してWS-Securityを使用するWebサービスを開発しようとしています。いくつかのガイドを見ると、アプリケーションサーバーのユーザーレジストリを作成し、そのサーバーのユーザー名/パスワードを維持する必要があります。とにかくサーバー自体にユーザー名を作成せずに、ヘッダーをキャプチャして、シングルサインオンのようなカスタムセキュリティ構成に基づいて検証を行う必要はありませんか？

ヘッダーを取得するためのハンドラーを作成できますが、mustUnderstandsが要求（必須）で1に設定されていると、ハンドラーがメッセージを見る前に拒否されます。

私は、WS-SecurityのUsernameToken部分のみを使用したいと考えています。

何か助けていただければ幸いです。

私の要求

<?xml version="1.0" encoding="UTF-8"?> 
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> 
    <soapenv:Header> 
    <wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" soapenv:mustUnderstand="1"> 
     <wsse:UsernameToken xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" Id="unt_20"> 
     <wsse:Username>some_username</wsse:Username> 
     <wsse:Password Type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText">some_password</wsse:Password> 
     </wsse:UsernameToken> 
    </wsse:Security> 
    </soapenv:Header> 
    <soapenv:Body> 
    ...body... 
    </soapenv:Body> 
</soapenv:Envelope> 

の例としては、それは私が私の既存のユーザーの検証スキームを使用できるようにカスタムセキュリティの実装を作成することは可能ですか？

Answer 1

もう1つの可能な答えは、Trust Association Interceptor（TAI）を作成することです。これは基本的に現在のセキュリティを拡張します。ここで

は始めるために有用なリンクです： http://www.ibm.com/developerworks/websphere/techjournal/0508_benantar/0508_benantar.html

Answer 2

達成したいことについて詳しく説明できますか？

WASサーバーは、ユーザー・レジストリー（LDAP、ファイルベースのレジストリーなど）に対してヘッダーに入っているユーザー名とパスワードを検証する必要があります。

LTPAトークン（WebSphereおよび関連製品でSSO用に使用される）も使用できます。

あなたの要件を記入すると、ここの人々があなたを助けることができます。

HTH

Manglu

Answer 3

私が私の選択のセキュリティ実装と対話することができ、カスタム・ユーザー・レジストリーを実装できるように思われます。 IBMの記事へのリンク：

http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/tsec_useregistry.html

Answer 4

JAX-WSは、カスタムインターセプタを持ってできるようにする必要があります。

サービスエンドポイントにインターセプタを追加した方法を確認するには、このスプリング設定を見てください。

<jaxws:endpoint id="pqdws" 
       implementor="#Atypon" 
       address="/pqdws" 
       publishedEndpointUrl="@ws_webapp_url_ext@"> 
    <jaxws:properties> 
     <entry key="exceptionMessageCauseEnabled" value="true"/> 
     <entry key="Content-length" 
    </jaxws:properties> 
    <jaxws:inInterceptors> 
     <bean class="org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor"> 
      <constructor-arg> 
       <map> 
        <entry key="action" value="UsernameToken"/> 
        <entry key="passwordType" value="PasswordText"/> 
        <entry key="passwordCallbackRef"> 
         <ref bean="passwordCallback"/> 
        </entry> 
       </map> 
      </constructor-arg> 
     </bean> 
    </jaxws:inInterceptors> 
    </jaxws:endpoint> 

    <bean id="passwordCallback" 
     class="access.ws.ServerPasswordCallback"> 
    <property name="username" value="@ws_sec_username@"/> 
    <property name="password" value="@ws_sec_password@"/> 
</bean> 

インターセプタは、外部サービスを呼び出して認証するなど、任意の操作を実行できます。

Answer 5

あなたはこれを達成するための政策/バインディングでアウトオブボックスWS-Securityのランタイムを使用することができますが、デフォルトを上書きするカスタムコードを記述する必要がありますUsernameTokensのユーザーレジストリーをチェックする動作。

のUsernameTokenを消費する際に、独自の認証メカニズムを使用するため、この記事を参照してください：あなたはまた、そのトークン内のユーザー名に基づいてのWebSphere資格情報を作成したい場合は

http://www-01.ibm.com/support/knowledgecenter/SSEQTP_8.5.5/com.ibm.websphere.base.doc/ae/twbs_replace_authmethod_usernametoken.html

はこの記事を参照してください。

http://www-01.ibm.com/support/knowledgecenter/SSEQTP_8.5.5/com.ibm.websphere.base.doc/ae/twbs_config_wssec_caller_no_reg.html