Identitätszusicherung mit Trustvalidierung über JAAS

Wenn Sie die Zusicherung der Identität mit Trustvalidierung aktivieren, kann eine Anwendung die JAAS-Anmeldekonfiguration verwenden, um eine programmgesteuerte Identitätszusicherung durchzuführen.

Informationen zu diesem Vorgang

Gehen Sie zum Aktivieren der Identitätszusicherung mit Trustvalidierung wie folgt vor:

Vorgehensweise

  1. Erstellen Sie ein angepasstes Anmeldemodul für die Durchführung der Trustvalidierung. Das Anmeldemodul muss die Trust- und ID-Informationen in den gemeinsam genutzten Informationen speichern, die anschließend an das Modul IdentityAssertionLoginModule übergeben werden. Die Trust- und ID-Informationen werden in einer Zuordnung in den gemeinsam genutzten Informationen unter dem Schlüssel com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.state gespeichert. Wenn dieser Schlüssel in den gemeinsam genutzten Statusinformationen fehlt, wird vom Modul IdentityAssertionLoginModule ein Fehler vom Typ WSLoginFailedException ausgelöst. Das angepasste Anmeldemodul muss Folgendes enthalten:
    • Einen Trustschlüssel mit dem Namen com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.trusted. Wenn der Trustschlüssel den Wert true hat, ist der Trust (Vertrauensbeziehung) bestätigt. Hat der Trustschlüssel den Wert false, löst das Modul IdentityAssertionLoginModule einen Fehler vom Typ WSLoginFailedException aus.
    • Die ID des im Schlüssel om.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.principal definierten java.security.Principal-Typs.
    • Die ID in Form eines im Schlüssel com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.certificates definierten Zertifikats java.security.cert.X509Certificate[].
    Anmerkung: Wenn ein Principal und ein Zertifikat angegeben sind, wird der Principal verwendet und eine Warnung ausgegeben.
  2. Erstellen Sie eine neue JAAS-Konfiguration (Java™ Authentication and Authorization Service) für Anwendungsanmeldung. Sie enthält das vom Benutzer implementierte angepasste Anmeldemodul für Trustvalidierung und das Modul IdentityAssertionLoginModule. Gehen Sie zum Konfigurieren einer Anwendungsanmeldekonfiguration in der Administrationskonsole wie folgt vor:
    1. Klicken Sie auf Sicherheit > Globale Sicherheit.
    2. Klicken Sie unter "Java Authentication and Authorization Service" auf Anwendungsanmeldungen > Neu.
    3. Geben Sie die JAAS-Konfiguration mit einem Alias an und klicken Sie anschließend auf Anwenden.
    4. Klicken Sie unter "Weitere Eigenschaften" auf JAAS-Anmeldemodule > Neu.
    5. Geben Sie den Modulklassennamen des vom Benutzer implementierten angepassten Anmeldemoduls für Trustvalidierung ein und klicken Sie anschließend auf Anwenden.
    6. Geben Sie den Klassennamen für das Modul com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule ein.
    7. Stellen Sie sicher, dass der Modulklassennamen in der korrekten Reihenfolge angegeben sind. Das vom Benutzer implementierte Anmeldemodul für Trustvalidierung muss das erste in der Liste sein, das Modul IdentityAssertionLoginModule das zweite.
    8. Klicken Sie auf Speichern. Die neue JAAS-Konfiguration wird von der Anwendung für die Identitätszusicherung verwendet.

Nächste Schritte

Eine Auftrag kann die JAAS-Anmeldekonfiguration jetzt verwenden, um eine programmgesteuerte Identitätszusicherung durchzuführen. Die Anwendung kann einen Anmeldekontext für die in Schritt 2 erstellte JAAS-Konfiguration erstellen und sich anschließend mit der zugesicherten ID bei diesem Anmeldekontext anmelden. Wenn die Anmeldung erfolgreich ist, kann die ID, wie im folgenden Beispiel gezeigt, im derzeit aktiven Prozess gesetzt werden:
MyCallbackHandler handler = new MyCallbackHandler(new MyPrincipal(“Joe”));
LoginContext lc = new LoginContext(“MyAppLoginConfig”, handler);
lc.login();  //assume successful
Subject s = lc.getSubject();
WSSubject.setRunAsSubject(s);
// Ab hier ist die RunAs-Identität “Joe”. 

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_identity_assert
Dateiname:tsec_identity_assert.html