Configuración de interlocutor de seguridad de servicios Web

Puede ejecutar un servicio web en modalidad autenticada o sin autenticar. Si desea restringir el acceso a los recursos basándose en la identidad de un usuario, el servicio web debe ejecutarse en modalidad autenticada. Cuando un servicio web se ejecuta en modalidad autenticada, la identidad del usuario se coloca en la misma hebra en que se ejecuta el servicio web.

Hay dos modos de ejecutarse un servicio Web en modalidad autenticada:
Autenticación básica HTTP
El contenedor Web coloca la identidad de la cabecera HTTP en la hebra.
Configuración de interlocutor de WS-Security
El módulo ejecutable de seguridad de servicios Web coloca la identidad de una de las señales de la cabecera de seguridad SOAP en la hebra.

La especificación WS-Security permite que se pase más de una señal en la cabecera de seguridad de un mensaje SOAP. Cuando es necesario que un servicio Web se ejecute en la modalidad autenticada mediante WS-Security, es necesario algún mecanismo para indicar al entorno de ejecución de WS-Security qué señal debe utilizar para la identidad. Este mecanismo se denomina configuración de interlocutor.

La configuración de interlocutor WS-Security se especifica en el archivo server.xml con el elemento <callerToken>.

El ejemplo siguiente muestra una configuración del proveedor WS-Security de muestra que incluye una configuración de interlocutor para un UsernameToken:
<wsSecurityProvider ...>
  ...
  <callerToken name="UsernameToken" />
  ...
</wsSecurityProvider>
Se pueden especificar los valores siguientes para el elemento <callerToken>:
  • UsernameToken
  • X509Token
  • SamlToken

Si configura un X509Token como una señal de interlocutor, asegúrese de que solo un X509Certificate del cliente se pueda resolver desde la cabecera de seguridad. Por ejemplo, asegúrese de que solo un certificado de cliente se resuelve desde el elemento iniciador en un AsymmetricBinding, o que solo un certificado de cliente se resuelve desde una señal de validación.

Si configura un UsernameToken como una señal de interlocutor, la cabecera de seguridad debe contener solo un UsernameToken.

Si configura un SamlToken como una señal de interlocutor, la cabecera de seguridad debe contener solo una señal SAML. Existen opciones de configuración adicionales tales como userIdentifier, groupIdentifier o realmIdentifier que se utilizan para especificar un atributo SAML que se puede utilizar como principal, grupo o dominio cuando se crea un sujeto autenticado. Si desea más información sobre la configuración SAML callerToken opcional, consulte Creación de una configuración de interlocutor WS-Security SAML en la documentación del producto.


Icono que indica el tipo de tema Tema de concepto

Nombre de archivo: cwlp_wssec_caller_config.html