Übersicht über Tokentypen

Web Services Security definiert die Typen von Sicherheitstoken. Die erweiterte Implementierungsdeskriptordatei definiert die Tokentypen, die die Nachricht akzeptieren kann.

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der Version 6.0.x und höher. Die Informationen in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher verwendet werden. Diese Informationen gelten nicht für Anwendungen der Version 6.1.x und höher.
Web Services Security definiert die folgenden Typen von Sicherheitstoken:
  • Benutzernamenstoken
  • Binäres Sicherheitstoken

Ein Benutzernamenstoken enthält einen Benutzernamen und optional ein Kennwort. Sie können ein Benutzernamenstoken direkt in den Header <Security> einer Nachricht einfügen. Binäre Token wie X.509-Zertifikate, Kerberos-Tickets, LTPA-Token (Lightweight Third-Party Authentication) und andere Nicht-XML-Formate müssen speziell codiert werden, damit sie in den Header eingefügt werden können. Die WS-Security-Spezifikation (Web Services Security) beschreibt, wie binäre Sicherheitstoken wie X.509-Zertifikate und Kerberos-Tickets codiert und nicht transparente (sicher chiffrierte) Schlüssel eingefügt werden können. Die Spezifikation definiert außerdem Erweiterbarkeitsmechanismen, mit denen Sie die Eigenschaften der in einer Nachricht enthaltenen Berechtigungsnachweise noch näher beschreiben können.

WebSphere Application Server Version 5.0.2 unterstützt Benutzernamenstoken, die für die Basisauthentifizierung Benutzernamen und Kennwort enthalten, und Token, die für die Zusicherung der Identität nur den Benutzernamen enthalten. Die Implementierung für binäre Sicherheitstoken in WebSphere Application Server Version 5.0.2 unterstützt X.509-Zertifikate und binäre LTPA-Sicherheit. Sie können die Implementierung erweitern, damit auch andere Tokentypen generiert werden. Kerberos-Tickets werden in WebSphere Application Server Version 5.0.2 jedoch nicht unterstützt. Jeder Typ von Token wird durch ein entsprechendes Modul für Tokengenerierung und -validierung verarbeitet. Die Module für die Generierung und Validierung binärer Token sind Plug-in-fähig und basieren auf der JAAS-Architektur (Java™ Authentication and Authorization Service). Beispielsweise wird das XML-basierte willkürliche Tokenformat durch die modular aufgebaute JAAS-Architektur unterstützt. WebSphere Application Server Version 5.0.2 unterstützt keine XML-basierten Token, die in der SecurityTokenReference verwendet werden.

Sie können die Tokentypen, die die Nachricht unterstützt, in der erweiterten Implementierungsdeskriptordatei ibm.webservices-ext.xmi definieren. Ein Nachrichtenempfänger kann eine oder mehrere Typen von Sicherheitstoken unterstützen. Im folgenden Beispiel unterstützt der Empfänger vier Typen von Sicherheitstoken:
Wichtig: Im folgenden Codebeispiel wurden einige Zeilen zur besseren Lesbarkeit auf mehrere Zeilen aufgeteilt. Achten Sie einfach auf die rechten eckigen Klammern, die das Ende einer Codezeile anzeigen.
?xml version="1.0" encoding="UTF-8"?>
<com.ibm.etools.webservice.wsext:WsExtension xmi:version="2.0"
xmlns:xmi="http://www.omg.org/XMI"
xmlns:com.ibm.etools.webservice.wsext=
"http://www.ibm.com/websphere/appserver/schemas/5.0.2/wsext.xmi"
xmi:id="WsExtension_1052760331306" routerModuleName="StockQuote.war">
  <wsDescExt xmi:id="WsDescExt_1052760331306" wsDescNameLink="StockQuoteFetcher">
    <pcBinding xmi:id="PcBinding_1052760331326" pcNameLink="urn:xmltoday-delayed-quotes"
      scope="Session">        
       <serverServiceConfig         
         xmi:id="ServerServiceConfig_1052760331326"actorURI="myActorURI">          
          <securityRequestReceiverServiceConfig          
           xmi:id="SecurityRequestReceiverServiceConfig_1052760331326">
            <loginConfig xmi:id="LoginConfig_1052760331326">           
              <authMethods xmi:id="AuthMethod_1052760331326" text="BasicAuth"/>   
              <authMethods xmi:id="AuthMethod_1052760331327" text="IDAssertion"/>
              <authMethods xmi:id="AuthMethod_1052760331336" text="Signature"/>
              <authMethods xmi:id="AuthMethod_1052760331337" text="LTPA"/>
           </loginConfig>
<idAssertion xmi:id="IDAssertion_1052760331336" idType="Username" trustMode="Signature"/>
Der Nachrichtensender kann beim Versenden einer Nachricht einen der Tokentypen auswählen, die der Empfänger unterstützt. Sie können den auf der Senderseite zu verwendenden Tokentyp in der erweiterten Clientdeskriptordatei ibm-webservicesclient-ext.xmi definieren. Im folgenden Beispiel entscheidet sich der Sender, ein Benutzernamenstoken an den Empfänger zu senden:
Wichtig: Im folgenden Codebeispiel wurden einige Zeilen zur besseren Lesbarkeit auf mehrere Zeilen aufgeteilt. Achten Sie einfach auf die rechten eckigen Klammern, die das Ende einer Codezeile anzeigen.
<?xml version="1.0" encoding="UTF-8"?>
<com.ibm.etools.webservice.wscext:WsClientExtension xmi:version="2.0"
mlns:xmi="http://www.omg.org/XMI"
xmlns:com.ibm.etools.webservice.wscext=
"http://www.ibm.com/websphere/appserver/schemas/5.0.2/wscext.xmi"
xmi:id="WsClientExtension_1052760331496">
<ServiceRefs xmi:id="ServiceRef_1052760331506" serviceRefLink="service/StockQuoteService">
    <portQnameBindings xmi:id="PortQnameBinding_1052760331506" 
portQnameLocalNameLink="StockQuote">
      <clientServiceConfig xmi:id="ClientServiceConfig_1052760331506" 
actorURI="myActorURI">
          <securityRequestSenderServiceConfig 
xmi:id="SecurityRequestSenderServiceConfig_1052760331506" actor="myActorURI">
          <loginConfig xmi:id="LoginConfig_1052760331506" authMethod="BasicAuth"/>

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_tokentype
Dateiname:cwbs_tokentype.html