Anmeldemodul für generische Sicherheitstoken für den Tokengenerator
Wenn eine Web-Service-Anforderung abgesetzt wird, ruft der Anwendungsserver das Anmeldemodul für generische Sicherheitstoken für den Tokengenerator im Rahmen des Authentifizierungsprozesses für Web Services Security auf.
Das Anmeldemodul delegiert den Prozess der Tokengenerierung über eine Anforderung vom Typ WS-Trust Issue oder WS-Trust Validate an einen Sicherheitstokenservice. Der Sicherheitstokenservice (STS) verarbeitet die Anforderung und gibt eine RequestSecurityTokenResponse-Nachricht an das Anmeldemodul zurück. Das Anmeldemodul schließt das Token aus der STS-Antwortnachricht in den Sicherheitsheader der Web-Service-Anforderungsnachricht ein. Wenn ein Token nicht zurückgegeben wird oder aufgrund des STS ein Fehler auftritt, erzeugt das Anmeldemodul eine LoginException-Nachricht, und eine Fehlermeldung wird an den Web-Service-Client zurückgegeben.
- Einen Austausch von Sicherheitstoken, wenn die eingehenden oder abgehenden Sicherheitstoken unterschiedliche Tokentypen haben.
- Einen Austausch von Sicherheitstoken bei der Zuordnung einer Identität zu einer anderen.
- Die Auswertung von Berechtigungsprüfungen, um sicherzustellen, dass die authentifizierten Benutzer den Ziel-Web-Service aufrufen dürfen.
- Der Tokenaustausch wird vom RunAs Subject (RunAs-Subjekt) aufgerufen oder von der Laufzeitumgebung von Web Services Security generiert. Der Austausch basiert auf dem Richtliniensatz und den Bindungen, die für die Trust-Anforderung konfiguriert sind.
- Er muss den richtigen Namen für die JAAS-Anmeldekonfiguration (Java™ Authentication and Authorization Service) angeben.
- Er muss den Namen der Callback-Handler-Klasse angeben.
Unterstützte Tokentypen
- Sie können einen beliebigen Tokentyp angeben, dessen
ValueType-Wert vom designierten STS verarbeitet werden kann. Je nach
STS können die Tokentypen Folgendes enthalten:
- Security Assertion Markup Language (SAML) 2.0
- SAML 1.1
- Benutzername
- PassTicket
- Kerberos
- LTPA (Lightweight Third Party Authentication)
- Berechtigungsnachweis für Tivoli Access Manager
- Das angeforderte Token, das in der SOAP-Nachricht an den Service-Provider gesendet wird, ist das Token, das in der Richtlinie angegeben ist.
- Sie können dieses Token nur für die Authentifizierung verwenden. Sie können dieses Token nicht als Token für Zugriffsschutz verwenden. Bei SAML Version 2.0, 1.1 und 1.0 werden nur die Bestätigungsmethoden "bearer" und "send voucher" unterstützt.
Sie können das Anmeldemodul für generische Sicherheitstoken für den Tokengenerator so konfigurieren, dass es eine Anforderung vom Typ WS-Trust Issue oder eine Anforderung vom Typ WS-Trust Validate für den Austausch oder die Validierung des Sicherheitstokens verwendet. Diese zwei Optionen sind in nachfolgenden Abschnitten beschrieben.
WS-Trust Issue
- dem RunAs Subject im aktuellen Sicherheitskontext
- dem Callback-Handler, der in den Bindungen für die Richtliniensätze des Trust-Clients konfiguriert ist
WS-Trust Validate
- SAML 2.0
- SAML 1.1
- Benutzername
- PassTicket
- Kerberos
- LTPA
- LTPA Version 2
WS-Trust Issue oder WS-Trust Validate verwenden
- Im aktuellen Sicherheitskontext ist ein RunAs Subject vorhanden.
- Es gibt nur ein Sicherheitstoken, dessen Wertetyp mit dem ValueType-Wert für das angeforderte Token übereinstimmt.
Außerdem können Sie ein Token aus dem RunAs Subject zur Validierung abrufen und gegen das angeforderte Token austauschen. Das ausgewählte Token kann einen anderen ValueType-Wert vom angeforderten Token abrufen. Weitere Informationen hierzu können Sie der Dokumentation entnehmen, die sich mit der Konfiguration eines Anmeldemoduls für generische Sicherheitstoken für ein Authentifizierungstoken auf der Seite des Tokengenerators im Prozess von Web Services Security befasst.

- Es ist kein Sicherheitstoken vom Typ "LTPA" oder "LTPA v2" im RunAs Subject vorhanden.
- Es ist ein WSCredential im RunAs Subject vorhanden.
Wenn sich im RunAs-Subjekt nur ein Sicherheitstoken befindet, das dem ValueType des angeforderten Tokens entspricht, können sie das Anmeldemodul so konfigurieren, dass keine Anforderung vom Typ "WS-Trust Validate" zur Validierung des übereinstimmenden Tokens aufgerufen wird. Stattdessen sendet das Anmeldemodul das übereinstimmende Token ohne Validierung an den nachgeordneten Service-Provider.
Das Anmeldemodul für generische Sicherheitstoken verwendet automatisch den Typ WS-Trust Issue, um das Token anzufordern, wenn die folgenden Bedingungen zutreffen:- Es ist kein RunAs Subject vorhanden.
- Es ist kein ValueType-Wert im RunAs Subject vorhanden.
- Das Anmeldemodul kann das Token aus dem RunAs Subject nicht validieren.
Eine Konfigurationsoption erzwingt die Verwendung des Typs WS-Trust Issue im generischen Anmeldemodul oder die Verwendung des Typs WS-Trust Validate. Weitere Informationen hierzu können Sie der Dokumentation entnehmen, die sich mit der Konfiguration eines generischen Anmeldemoduls für ein Authentifizierungstoken auf der Seite des Tokengenerators im Prozess von Web Services Security befasst.
sptcfgRichtliniensätze
Die Implementierung des Anmeldemoduls für generische Sicherheitstoken beinhaltet keinen neuen Tokentyp in einem Richtliniensatz. Wenn Sie z. B. planen, ein generisches Anmeldemodul zu verwenden, um ein Benutzernamenstoken zu generieren, können Sie einen Richtliniensatz erstellen, der ein Benutzernamenstoken als Authentifizierungstoken angibt. Einige angepassten Tokentypen werden von den Standardanmeldemodulen des Systems nicht unterstützt. Sie können diese Tokentypen jedoch mit angepassten Anmeldemodulen implementieren. Die angepassten Tokentypen werden von Anmeldemodulen für generische Sicherheitstoken unterstützt, vorausgesetzt, sie werden vom designierten STS unterstützt.
Bindungen
- Ein generisches Anmeldemodul verwenden.
- Ein vorhandenes Standardanmeldemodul des Systems verwenden.
- Ein eigenes angepasstes Anmeldemodul erstellen.
Wenn Sie z. B. ein Benutzernamenstoken konfigurieren, können Sie die JAAS-Anmeldekonfiguration wss.generate.unt verwenden und das vorhandene Verhalten beibehalten. Sie haben jedoch auch die Möglichkeit, die JAAS-Anmeldung wss.generate.issuedToken so zu konfigurieren, dass das Anmeldemodul für generische Sicherheitstoken verwendet wird.