Standardimplementierungen der Programmierschnittstellen des Service-Providers von Web Services Security
Die folgenden Informationen beschreiben die Standardimplementierungen der Service-Provider-Schnittstellen (SPI, Service Provider Interfaces) für Web Services Security in WebSphere Application Server. Die Standardimplementierungsklassen und ihre Funktionalität für die JAX-RPC-Laufzeit und für die JAX-WS-Laufzeit werden erläutert. Mit Hilfe dieser Informationen können Sie die Bindungskonfiguration von Web Services Security erstellen und ändern.
Bewährte Verfahren: IBM®
WebSphere Application Server unterstützt
das Programmiermodell Java™ API
for XML-Based Web Services (JAX-WS) und das Programmiermodell Java API
for XML-based RPC (JAX-RPC). JAX-WS ist das Web-Service-Programmiermodell der nächsten Generation,
das die vom Programmiermodell JAX-RPC bereitgestellte Grundlage erweitert.
Durch die Verwendung des strategischen Programmiermodells JAX-WS, das ein
auf Standards basierendes Annotationsmodell unterstützt, vereinfacht sich die Entwicklung von Web-Services und -Clients.
Obwohl das Programmiermodell JAX-RPC und JAX-RPC-Anwendungen weiterhin unterstützt werden, sollten Sie das einfach zu
implementierende Programmiermodell JAX-WS für die Entwicklung neuer
Web-Service-Anwendungen und -Clients nutzen.
Standardimplementierungen für die JAX-RPC-Laufzeitumgebung
- com.ibm.wsspi.wssecurity.token.X509TokenGenerator
- Die JAAS-Anmeldemodulimplementierung (Java Authentication and Authorization Service) wird verwendet, um das Sicherheitstoken auf Generatorseite zu erstellen. Sie ist zuständig für die Erstellung des X.509-Tokenobjekts aus dem X.509-Zertifikat, das von der Schnittstelle "com.ibm.wsspi.wssecurity.auth.callback.{X509,PKCS7,PkiPath}CallbackHandler" zurückgegeben wird. Verschlüsseln Sie das Token im Base-64-Format, und fügen Sie seine XML-Darstellung in die SOAP-Nachricht ein, falls erforderlich (SOAP = Simple Object Access Protocol).
- com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
- Diese Klasse implementiert die Schnittstelle "javax.security.auth.callback.CallbackHandler" und ruft das X.509-Zertifikat aus der Keystore-Datei ab.
- com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator
- Die JAAS-Anmeldemodulimplementierung (Java
Authentication and Authorization Service) wird verwendet, um das Sicherheitstoken auf Generatorseite zu erstellen.
Sie ist zuständig für das Erstellen des Benutzernamenstokenobjekts aus den Angaben für
Benutzernamen und Kennwort, die von einer Implementierung der Schnittstelle
"javax.security.auth.callback.CallbackHandler" zurückgegeben werden, beispielsweise vom folgenden
Callback-Handler:
com.ibm.wsspi.wssecurity.auth.callback{GUIPrompt,NonPrompt,StdinPrompt}CallbackHandler
Außerdem fügt diese Klasse die XML-Darstellung des Tokens in die SOAP-Nachricht ein, falls erforderlich.
- com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator
- Die Implementierung des JAAS-Anmeldemoduls (Java Authentication and Authorization Service) wird verwendet, um das Sicherheitstoken auf Generatorseite zu erstellen und das Sicherheitstoken auf Konsumentenseite zu validieren (authentifizieren). Diese Klasse ruft die Schlüssel aus den Keystore-Dateien für digitale Signatur und Verschlüsselung ab.
- com.ibm.wsspi.wssecurity.token.X509TokenConsumer
- Die JAAS-Anmeldemodulimplementierung (Java Authentication and Authorization Service) wird verwendet, um das Sicherheitstoken auf Konsumentenseite zu validieren (authentifizieren). Diese Klasse verarbeitet das X.509-Token aus dem binären Sicherheitstoken. Diese Klasse entschlüsselt die Base64-Verschlüsselung im X.509-Token und ruft anschließend mit dem Anmeldemodul "com.ibm.wsspi.wssecurity.auth.module.X509LoginModule" die JAAS-Anmeldekonfiguration "system.wssecurity.X509BST" auf, um das X.509-Token zu validieren (JAAS = Java Authentication and Authorization Service). Für das validierte X.509-Token wird ein Objekt von "com.ibm.wsspi.wssecurity.auth.token.X509Token" erstellt und im JAAS-Subjekt gespeichert.
- com.ibm.wsspi.wssecurity.token.IDAssertionUsernameTokenConsumer
- Die JAAS-Anmeldemodulimplementierung (Java Authentication and Authorization Service) wird verwendet, um das Sicherheitstoken auf Konsumentenseite zu validieren (authentifizieren). Diese Klasse verarbeitet das Benutzernamenstoken für die Zusicherung der Identität (IDAssertion), das kein Kennwortelement hat. Diese Schnittstelle ruft mit dem Anmeldemodul "com.ibm.wsspi.wssecurity.auth.module.IDAssertionUsernameLoginModule" die JAAS-Anmeldekonfiguration "system.wssecurity.IDAssertionUsernameToken" auf, um das Benutzernamenstoken für IDAssertion zu validieren. Für das validierte Benutzernamenstoken wird ein Objekt der Klasse "com.ibm.wsspi.wssecurity.auth.token.UsernameToken" erstellt und im JAAS-Subjekt gespeichert.
- com.ibm.wsspi.wssecurity.auth.module.IDAssertionUsernameLoginModule
- Diese Klasse implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und prüft, ob der Wert für den Benutzernamen nicht leer ist. Ist für den Benutzernamen kein Leerwert angegeben, geht das Anmeldemodul davon aus, dass das Benutzernamenstoken gültig ist.
- com.ibm.wsspi.wssecurity.token.LTPATokenGenerator
- Die JAAS-Anmeldemodulimplementierung (Java Authentication and Authorization Service) wird verwendet, um das Sicherheitstoken auf Generatorseite zu erstellen. Diese Klasse ist für die Base-64-Verschlüsselung des LTPA-Tokenobjekts verantwortlich, das vom Callback-Handler "com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler" abgerufen wird. Falls erforderlich, wird das Objekt in den WS-Security-Header der SOAP-Nachricht eingefügt.
- com.ibm.wsspi.wssecurity.token.LTPATokenConsumer
- Die JAAS-Anmeldemodulimplementierung (Java Authentication and Authorization Service) wird verwendet, um das Sicherheitstoken auf Konsumentenseite zu validieren (authentifizieren). Diese Klasse verarbeitet das LTPA-Token aus dem binären Sicherheitstoken und entschlüsselt die Base64-Verschlüsselung im LTPA-Token. Für das validierte LTPA-Token wird ein Objekt der Klasse "com.ibm.wsspi.wssecurity.auth.token.LTPAToken" erstellt und im JAAS-Subjekt gespeichert.
- com.ibm.wsspi.wssecurity.auth.module.X509LoginModule
- Diese Klasse implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und validiert das X.509-Zertifikat basierend auf dem Trust-Anchor und der Konfiguration des Zertifikatssammelspeichers.
- com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer
- Die JAAS-Anmeldemodulimplementierung (Java Authentication and Authorization Service) wird verwendet, um das Sicherheitstoken auf Konsumentenseite zu validieren (authentifizieren). Diese Klasse verarbeitet das Benutzernamenstoken, extrahiert Benutzernamen und Kennwort und ruft anschließend mit dem Anmeldemodul "com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule" die JAAS-Anmeldekonfiguration "system.wssecurity.UsernameToken" auf, um Benutzernamen und Kennwort zu validieren. Für das validierte Benutzernamenstoken wird ein Objekt der Klasse "com.ibm.wsspi.wssecurity.auth.token.UsernameToken" erstellt und im JAAS-Subjekt gespeichert.
- com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator
- Die Implementierung des JAAS-Anmeldemoduls (Java Authentication and Authorization Service) wird verwendet, um das Sicherheitstoken auf Generatorseite zu erstellen und das Sicherheitstoken auf Konsumentenseite zu validieren (authentifizieren). Diese Klasse wird verwendet, um einen öffentlichen Schlüssel aus einem X.509-Zertifikat abzurufen. Das X.509-Zertifikat wird im X.509-Token (com.ibm.wsspi.wssecurity.auth.token.X509Token) im JAAS-Subjekt gespeichert. Das X.509-Token wird vom X.509 Token Consumer (com.ibm.wsspi.wssecurity.tokenX509TokenConsumer) erstellt.
- com.ibm.wsspi.wssecurity.keyinfo.SignerCertKeyLocator
- Die Implementierung des JAAS-Anmeldemoduls (Java Authentication and
Authorization Service) wird verwendet, um das Sicherheitstoken auf Generatorseite zu erstellen und
das Sicherheitstoken auf Konsumentenseite zu validieren (authentifizieren).
Diese Klasse wird verwendet um einen
öffentlichen Schlüssel aus dem X.509-Zertifikat des
Unterzeichners der Anforderung abgerufen und die Antwort zu verschlüsseln.
Sie können diesen Key-Locator nur in der Bindungskonfiguration des Antwortgenerators (d. h. des Senders) verwenden.
Wichtig: Diese Implementierung geht davon aus, dass in der Anforderung nur ein Ausstellerzertifikat verwendet wird.
- com.ibm.wsspi.wssecurity.auth.token.UsernameToken
- Diese Implementierung erweitert die abstrakte Klasse "com.ibm.wsspi.wssecurity.auth.token.WSSToken", um das Benutzernamenstoken darzustellen.
- com.ibm.wsspi.wssecurity.auth.token.X509Token
- Diese Implementierung erweitert die abstrakte Klasse com.ibm.wsspi.wssecurity.auth.token.WSSToken, um das binäre X.509-Sicherheitstoken (X.509-Zertifikat) darzustellen.
- com.ibm.wsspi.wssecurity.auth.token.LTPAToken
- Diese Implementierung erweitert die abstrakte Klasse "com.ibm.wsspi.wssecurity.auth.token.WSSToken" als Wrapper des LTPA-Token, das aus dem binären Sicherheitstoken extrahiert wird.
- com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
- Diese Klasse implementiert die Schnittstelle "javax.security.auth.callback.CallbackHandler" und erstellt mittels der PKCS#7-Verschlüsselung ein Zertifikat und binäre Daten mit oder ohne eine Zertifikatswiderrufsliste (Certificate Revocation List, CRL). Zertifikat und binäre Daten werden über den Callback-Handler "com.ibm.wsspi.wssecurity.auth.callback.X509BSCallback" zurück an die Implementierung "com.ibm.wsspi.wssecurity.token.X509TokenGenerator" übermittelt.
- com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
- Diese Klasse implementiert die Schnittstelle "javax.security.auth.callback.CallbackHandler" und erstellt mittels der PkiPath-Verschlüsselung ein Zertifikat und binäre Daten ohne eine CRL. Zertifikat und binäre Daten werden über den Callback-Handler "com.ibm.wsspi.wssecurity.auth.callback.X509BSCallback" zurück an die Implementierung "com.ibm.wsspi.wssecurity.token.X509TokenGenerator" übermittelt.
- com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
- Diese Klasse implementiert die Schnittstelle "javax.security.auth.callback.CallbackHandler" und erstellt ein Zertifikat aus der Keystore-Datei. Das X.509-Zertifikat wird über den Callback-Handler "com.ibm.wsspi.wssecurity.auth.callback.X509BSCallback" zurück an die Implementierung "com.ibm.wsspi.wssecurity.token.X509TokenGenerator" übermittelt.
- com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
- Diese Implementierung generiert im Sicherheitsheader von Web-Services ein LTPA-Token (Lightweight Third Party Authentication) als binäres Sicherheitstoken. Sind in der Datei für Anwendungsbindungen Basisauthentifizierungsdaten definiert, werden diese Daten verwendet, um eine Anmeldung auszuführen, das LTPA-Token aus den Berechtigungsnachweisen von WebSphere Application Server zu extrahieren und das Token in den Web Services Security-Header einzufügen. Ist dies nicht der Fall, wird das LTPA-Sicherheitstoken aus den Aufrufberechtigungsnachweisen (RunAs-Identität) extrahiert und in den Web Services Security-Header der Web-Services eingefügt.
- com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
- Diese Implementierung liest die Daten für die Basisauthentifizierung aus der Datei für Anwendungsbindungen. Sie könnten diese Implementierung auf der Serverseite verwenden, um ein Benutzernamenstoken zu generieren.
- com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
- Diese Implementierung stellt einen Anmeldedialog bereit, der die Basisauthentifizierungsdaten erfasst. Verwenden Sie diese Implementierung nur auf der Clientseite.
- com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
- Diese Implementierung erfasst die Basisauthentifizierungsdaten in der Standardeingabe
(stdin). Verwenden Sie diese Implementierung nur auf der
Clientseite. Einschränkung: Wenn Sie einen Multithread-Client haben und mehrere Threads versuchen, gleichzeitig aus der Standardeingabe zu lesen, ist keiner der Threads in der Lage, den Benutzernamen und das Kennwort erfolgreich abzurufen. Deshalb können Sie die com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler-Implementierung nicht für einen Multithread-Client verwenden, wenn mehrere Threads versuchen können, gleichzeitig Daten aus der Standardeingabe abzurufen.
- com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator
- Diese Schnittstelle wird bei der Identitätszusicherung verwendet, um die Vertrauenswürdigkeit zu bewerten. Die Standardimplementierung ist "com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl", mit der Sie eine Liste vertrauenswürdiger Identitäten definieren können.
- com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl
- Diese Standardimplementierung erlaubt Ihnen, eine Liste vertrauenswürdiger Identitäten zu definieren.
- com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorException
- Diese Ausnahmebedingungsklasse wird von einer Implementierung von com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator verwendet, um die Ausnahmebedingung und die Fehler an die Laufzeitumgebung von Web Services Security zu übermitteln.
Standardimplementierungen für die JAX-WS-Laufzeitumgebung
- com.ibm.ws.wssecurity.wssapi.token.impl.CommonTokenGenerator
- Diese Implementierung ruft den JAAS-Callback-Handler und die JAAS-Anmeldekonfiguration auf, die in der Bindung angegeben sind, um das Sicherheitstoken zur Laufzeit in der abgehenden SOAP-Nachricht zu erstellen.
- com.ibm.websphere.wssecurity.callbackhandler.X509GenerateCallbackHandler
- Diese Klasse implementiert die Schnittstelle "javax.security.auth.callback.CallbackHandler"
in der abgehenden SOAP-Nachricht und ruft das X.509-Zertifikat ab.
Die folgenden Eigenschaften können angegeben werden:
- com.ibm.wsspi.wssecurity.token.IDAssertion.isUsed. Für diese Eigenschaft muss ein boolescher Wert angegeben werden. Der Standardwert ist false.
- com.ibm.wsspi.wssecurity.token.cert.useRequestorCert. Für diese Eigenschaft muss ein boolescher Wert angegeben werden. Der Standardwert ist false.
- com.ibm.ws.wssecurity.wssapi.token.impl.X509GenerateLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.generate.x509" enthält die Klasse "com.ibm.ws.wssecurity.wssapi.token.impl.X509GenerateLoginModule". X509GenerateLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist für die Generierung einer XML-Benutzernamenstokenstruktur und eines com.ibm.websphere.wssecurity.wssapi.token.SecurityToken verantwortlich, das das X.509-Token zur Laufzeit darstellt.
- com.ibm.ws.wssecurity.wssapi.token.impl.PKCS7GenerateLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.generate.pkcs7" enthält die Klasse "com.ibm.ws.wssecurity.wssapi.token.impl.PKCS7GenerateLoginModule". PKCS7GenerateLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist für die Generierung einer XML-Tokenstruktur und eines com.ibm.websphere.wssecurity.wssapi.token.SecurityToken verantwortlich, das das Token zur Laufzeit darstellt.
- com.ibm.ws.wssecurity.wssapi.token.impl.PkiPathGenerateLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.generate.pkiPath" enthält die Klasse "com.ibm.ws.wssecurity.wssapi.token.impl.PkiPathGenerateLoginModule". PkiPathGenerateLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist für die Generierung einer XML-Tokenstruktur und eines com.ibm.websphere.wssecurity.wssapi.token.SecurityToken verantwortlich, das das Token zur Laufzeit darstellt.
- com.ibm.websphere.wssecurity.callbackhandler.UNTGenerateCallbackHandler
- Diese Klasse implementiert die Schnittstelle "javax.security.auth.callback.CallbackHandler"
in der abgehenden SOAP-Nachricht und ruft die Bindungskonfiguration sowie die Authentifizierungsdaten (Benutzername und Kennwort) ab. Die folgenden
Eigenschaften können angegeben werden. Für diese Eigenschaften
muss ein boolescher Wert angegeben werden. Der Standardwert ist false.
- com.ibm.wsspi.wssecurity.token.username.addNonce
- com.ibm.wsspi.wssecurity.token.username.addTimestamp
- com.ibm.wsspi.wssecurity.token.IDAssertion.isUsed
- com.ibm.wsspi.wssecurity.token.IDAssertion.useRunAsIdentity
- com.ibm.wsspi.wssecurity.token.IDAssertion.sendRealm
- com.ibm.wsspi.wssecurity.token.IDAssertion.trustedRealm
- com.ibm.ws.wssecurity.wssapi.token.impl.UNTGenerateLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.generate.unt" enthält die Klasse "com.ibm.ws.wssecurity.wssapi.token.impl". UNTGenerateLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist für die Generierung einer XML-Benutzernamenstokenstruktur und eines com.ibm.websphere.wssecurity.wssapi.token.SecurityToken verantwortlich, das das Token zur Laufzeit darstellt. Wenn com.ibm.wsspi.wssecurity.token.IDAssertion.isUsed den Wert true hat, enthält das generierte Benutzernamenstoken kein Kennwort. Wenn com.ibm.wsspi.wssecurity.token.IDAssertion.sendRealm den Wert true hat, ist der Benutzername mit dem Namen des lokalen Realms qualifiziert. Wenn com.ibm.wsspi.wssecurity.token.IDAssertion.trustedRealm den Wert true hat, enthält das Benutzernamensfeld den Benutzernamen und eine von der Registry abhängige eindeutige Kennung für den Benutzer. Benutzername und eindeutige Kennung sind mit dem Namen des lokalen Realms qualifiziert.
- com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler
- Diese Klasse implementiert die Schnittstelle "javax.security.auth.callback.CallbackHandler"
in der abgehenden SOAP-Nachricht und ruft den Kerberos-Benutzernamen und das zugehörige Kennwort zusammen mit weiteren
Eigenschaften für die Bindungskonfiguration ab. Die folgenden
Eigenschaften können angegeben werden. Für die Eigenschaften kann eine Zeichenfolge angegeben werden,
die den Namen des Zielservice als Teil eines SPN (Service Principal Name) im Format
Servicename/Hostname@Name_des_Kerberos-Realms angibt.
- com.ibm.wsspi.wssecurity.krbtoken.targetServiceName
- com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost
- com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm
- com.ibm.ws.wssecurity.wssapi.token.impl.KRBGenerateLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.generate.KRB5BST" enthält die Klassen "com.ibm.ws.wssecurity.wssapi.token.impl.KRBGenerateLoginModule" und "com.ibm.ws.wssecurity.wssapi.token.impl.DKTGenerateLoginModule". KRBGenerateLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist für die Generierung einer XML-Tokenstruktur und eines com.ibm.websphere.wssecurity.wssapi.token.SecurityToken verantwortlich, das das Token zur Laufzeit darstellt.
- com.ibm.ws.wssecurity.wssapi.token.impl.DKTGenerateLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.generate.KRB5BST" enthält die Klassen "com.ibm.ws.wssecurity.wssapi.token.impl.KRBGenerateLoginModule" und "com.ibm.ws.wssecurity.wssapi.token.impl.DKTGenerateLoginModule". DKTGenerateLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist für die Generierung einer XML-Tokenstruktur und eines com.ibm.websphere.wssecurity.wssapi.token.SecurityToken verantwortlich, das das Token zur Laufzeit darstellt, wenn die Option Erfordert abgeleitete Schlüssel aktiviert ist.
- com.ibm.websphere.wssecurity.callbackhandler.LTPAGenerateCallbackHandler
- Diese Klasse implementiert die Schnittstelle "javax.security.auth.callback.CallbackHandler" in der abgehenden SOAP-Nachricht und ruft die Bindungsdaten (Benutzername und Kennwort) ab, sofern diese angegeben sind.
- com.ibm.ws.wssecurity.wssapi.token.impl.LTPAGenerateLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.generate.ltpa" enthält die Klasse "com.ibm.ws.wssecurity.wssapi.token.impl.LTPAGenerateLoginModule". LTPAGenerateLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist für die Generierung einer XML-Tokenstruktur und eines com.ibm.websphere.wssecurity.wssapi.token.SecurityToken verantwortlich, das das Token zur Laufzeit darstellt. Das Sicherheitstoken enthält ein LTPA-Token, das aus dem Benutzernamen und dem Kennwort generiert wird, wenn diese in den Bindungsdaten definiert sind, bzw. das LTPA-Authentifizierungstoken aus dem RunAs-Subjekt (in dieser Reihenfolge).
- com.ibm.ws.wssecurity.wssapi.token.impl.LTPAPropagationGenerateLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.generate.ltpaProp" enthält die Klasse "com.ibm.ws.wssecurity.wssapi.token.impl.LTPAPropagationGenerateLoginModule". LTPAPropagationGenerateLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist für die Generierung einer XML-Tokenstruktur und eines com.ibm.websphere.wssecurity.wssapi.token.SecurityToken verantwortlich, das das Token zur Laufzeit darstellt. Das Sicherheitstoken enthält das serialisierte RunAs-Subjekt.
- com.ibm.ws.wssecurity.impl.auth.callback.WSTrustCallbackHandler
- Diese Klasse implementiert die Schnittstelle "javax.security.auth.callback.CallbackHandler" in der abgehenden SOAP-Nachricht und ruft die Konfigurationsdaten für das Sicherheitskontexttoken ab.
- com.ibm.ws.wssecurity.wssapi.token.impl.SCTGenerateLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.generate.sct" enthält die Klassen "com.ibm.ws.wssecurity.wssapi.token.impl.SCTGenerateLoginModule" und "com.ibm.ws.wssecurity.wssapi.token.impl.DKTGenerateLoginModule". SCTGenerateLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist für die Generierung einer XML-Tokenstruktur und eines com.ibm.websphere.wssecurity.wssapi.token.SecurityToken verantwortlich, das das Sicherheitskontexttoken zur Laufzeit darstellt.
- com.ibm.ws.wssecurity.wssapi.token.impl.DKTGenerateLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.generate.sct" enthält die Klassen "com.ibm.ws.wssecurity.wssapi.token.impl.SCTGenerateLoginModule" und "com.ibm.ws.wssecurity.wssapi.token.impl.DKTGenerateLoginModule". DKTGenerateLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist für die Generierung einer XML-Tokenstruktur und eines com.ibm.websphere.wssecurity.wssapi.token.SecurityToken verantwortlich, das das Token zur Laufzeit darstellt, wenn die Option Erfordert abgeleitete Schlüssel aktiviert ist.
- com.ibm.ws.wssecurity.wssapi.token.impl.CommonTokenConsumer
- Diese Implementierung ruft den JAAS-Callback-Handler und die JAAS-Anmeldekonfiguration auf, die in der Bindung angegeben sind, um das Sicherheitstoken aus der eingehenden SOAP-Nachricht zu extrahieren und das SecurityToken-Objekt zur Laufzeit zu erstellen.
- com.ibm.websphere.wssecurity.callbackhandler.X509ConsumeCallbackHandler
- Diese Klasse implementiert die Schnittstelle "javax.security.auth.callback.CallbackHandler" in der eingehenden SOAP-Nachricht, um die Informationen zum Truststore und zur Zertifikatsdatei abzurufen, die für die Validierung des X.509-Zertifikats erforderlich sind.
- com.ibm.ws.wssecurity.wssapi.token.impl.X509ConsumeLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.consume.x509" enthält die Klasse "com.ibm.ws.wssecurity.wssapi.token.impl.X509ConsumeLoginModule". X509ConsumeLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist für das Abrufen und Validieren des X.509-Zertifikats verantwortlich. Sie erstellt ein com.ibm.websphere.wssecurity.wssapi.token.SecurityToken, das das X.509-Token zur Laufzeit darstellt.
- com.ibm.ws.wssecurity.wssapi.token.impl.PKCS7ConsumeLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.consume.pkcs7" enthält die Klasse "com.ibm.ws.wssecurity.wssapi.token.impl.PKCS7ConsumeLoginModule". PKCS7ConsumeLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist für das Abrufen und Validieren des X.509-Zertifikats verantwortlich. Sie erstellt ein com.ibm.websphere.wssecurity.wssapi.token.SecurityToken, das das X.509-Token zur Laufzeit darstellt.
- com.ibm.ws.wssecurity.wssapi.token.impl.PkiPathConsumeLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.consume.pkiPath" enthält die Klasse "com.ibm.ws.wssecurity.wssapi.token.impl.PkiPathConsumeLoginModule". PkiPathConsumeLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist für das Abrufen und Validieren des X.509-Zertifikats verantwortlich. Sie erstellt ein com.ibm.websphere.wssecurity.wssapi.token.SecurityToken, das das X.509-Token zur Laufzeit darstellt.
- com.ibm.websphere.wssecurity.callbackhandler.UNTConsumeCallbackHandler
- Diese Klasse implementiert die Schnittstelle "javax.security.auth.callback.CallbackHandler" in der eingehenden
SOAP-Nachricht, um Bindungskonfigurationsdaten abzurufen. Die folgenden
Eigenschaften können angegeben werden. Für diese Eigenschaften
muss ein boolescher Wert angegeben werden. Der Standardwert ist false.
- com.ibm.wsspi.wssecurity.token.username.verifyTimestamp
- com.ibm.wsspi.wssecurity.token.username.verifyNonce
- com.ibm.wsspi.wssecurity.token.IDAssertion.isUsed
- com.ibm.wsspi.wssecurity.token.IDAssertion.trustedRealm
- com.ibm.wsspi.wssecurity.token.UsernameToken.disableUserRegistryCheck
- com.ibm.ws.wssecurity.wssapi.token.impl.UNTConsumeLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.consume.unt" enthält die Klasse "com.ibm.ws.wssecurity.wssapi.token.impl.UNTConsumeLoginModule". UNTConsumeLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist für das Abrufen und Validieren des Benutzernamenstokens verantwortlich. Sie erstellt ein com.ibm.websphere.wssecurity.wssapi.token.SecurityToken, das das Benutzernamenstoken zur Laufzeit darstellt. Wenn com.ibm.wsspi.wssecurity.token.IDAssertion.isUsed den Wert false hat, validiert UNTConsumeLoginModule den Benutzernamen und das Kennwort auf der Basis der lokalen Benutzerregistry. Ein ungültiger Benutzername oder ein ungültiges bzw. fehlendes Kennwort hat zur Folge, dass die Tokenvalidierung scheitert. Wenn com.ibm.wsspi.wssecurity.token.IDAssertion.isUsed den Wert true und com.ibm.wsspi.wssecurity.token.IDAssertion.trustedRealm den Wert false hat, wird der Benutzername auf der Basis der lokalen Benutzerregistry geprüft. Das Benutzernamenstoken darf kein Kennwort enthalten. Wenn com.ibm.wsspi.wssecurity.token.IDAssertion.isUsed und com.ibm.wsspi.wssecurity.token.IDAssertion.trustedRealm den Wert true haben, muss das Benutzernamensfeld einen mit dem Realm qualifizierten Benutzernamen und eine eindeutige Benutzerkennung enthalten. Außerdem muss der Realm einer der anerkannten Realms in der Trusteingangskonfiguration für mehrere Sicherheitsdomänen sein.
- com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler
- Diese Klasse implementiert die Schnittstelle "javax.security.auth.callback.CallbackHandler" in der eingehenden SOAP-Nachricht und ruft die Bindungskonfigurationsdaten ab.
- com.ibm.ws.wssecurity.wssapi.token.impl.KRBConsumeLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.consume.KRB5BST" enthält die Klassen "com.ibm.ws.wssecurity.wssapi.token.impl.KRBConsumeLoginModule" und "com.ibm.ws.wssecurity.wssapi.token.impl.DKTConsumeLoginModule". KRBConsumeLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist für das Abrufen und Validieren des Kerberos-AP_REQ-Tokens verantwortlich. Sie erstellt ein com.ibm.websphere.wssecurity.wssapi.token.SecurityToken, das das AP_REQ-Token zur Laufzeit darstellt.
- com.ibm.ws.wssecurity.wssapi.token.impl.DKTConsumeLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.consume.KRB5BST" enthält die Klassen "com.ibm.ws.wssecurity.wssapi.token.impl.KRBConsumeLoginModule" und "com.ibm.ws.wssecurity.wssapi.token.impl.DKTConsumeLoginModule". DKTConsumeLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist für das Abrufen des abgeleiteten Schlüssels verantwortlich, wenn ein abgeleiteter Schlüssel erforderlich ist.
- com.ibm.websphere.wssecurity.callbackhandler.LTPAConsumeCallbackHandler
- Diese Klasse implementiert die Schnittstelle "javax.security.auth.callback.CallbackHandler" in der eingehenden SOAP-Nachricht und ruft die Bindungskonfigurationsdaten ab.
- com.ibm.ws.wssecurity.wssapi.token.impl.LTPAConsumeLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.consume.ltpa" enthält die Klasse "com.ibm.ws.wssecurity.wssapi.token.impl.LTPAConsumeLoginModule". LTPAConsumeLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist für das Abrufen und Validieren des LTPA-v2- oder LTPA-Tokens verantwortlich. Sie erstellt ein com.ibm.websphere.wssecurity.wssapi.token.SecurityToken, das das LTPA-v2- bzw. LTPA-Token zur Laufzeit darstellt.
- com.ibm.ws.wssecurity.wssapi.token.impl.LTPAPropagationConsumeLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.consume.ltpaProp" enthält die Klasse "class com.ibm.ws.wssecurity.wssapi.token.impl.LTPAPropagationConsumeLoginModule". LTPAPropagationConsumeLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist für das Abrufen, Entserialisieren und Validieren des Weitergabetokens sowie die Wiederherstellung des Sicherheitskontextes verantwortlich.
- com.ibm.ws.wssecurity.impl.auth.callback.SCTConsumeCallbackHandler
- Diese Klasse implementiert die Schnittstelle "javax.security.auth.callback.CallbackHandler" in der abgehenden SOAP-Nachricht und ruft die Bindungskonfigurationsdaten ab.
- com.ibm.ws.wssecurity.wssapi.token.impl.SCTConsumeLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.consume.sct" enthält die Klassen "com.ibm.ws.wssecurity.wssapi.token.impl.SCTConsumeLoginModule" und "com.ibm.ws.wssecurity.wssapi.token.impl.DKTConsumeLoginModule". SCTConsumeLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist für das Abrufen und Validieren des Sicherheitskontexttokens verantwortlich.
- com.ibm.ws.wssecurity.wssapi.token.impl.DKTConsumeLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.consume.sct" enthält die Klassen "com.ibm.ws.wssecurity.wssapi.token.impl.SCTConsumeLoginModule" und "com.ibm.ws.wssecurity.wssapi.token.impl.DKTConsumeLoginModule". DKTConsumeLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist für das Abrufen des abgeleiteten Schlüssels verantwortlich, wenn ein abgeleiteter Schlüssel erforderlich ist.
- com.ibm.ws.wssecurity.impl.auth.module.PreCallerLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.caller" enthält die Klasse "com.ibm.ws.wssecurity.impl.auth.module.PreCallerLoginModule". PreCallerLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist dafür verantwortlich zu prüfen, ob ein Sicherheitstoken empfangen wurde, das zum Definieren der Caller-Identität bzw. anerkannten ID verwendet werden kann.
- com.ibm.ws.wssecurity.impl.auth.module.UNTCallerLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.caller" enthält die Klasse "com.ibm.ws.wssecurity.impl.auth.module.UNTCallerLoginModule". "UNTCallerLoginModule" implementiert die Schnittstelle "javax.security.auth.spi.LoginModule". "UNTCallerLoginModule" bestimmt auch, ob die Benutzeridentität berechtigt ist, eine Identitätszusicherung vorzunehmen, wenn der Benutzername als anerkannte Identität konfiguriert ist, oder ob es nur eine einzige Caller-Identität gibt, wenn das Benutzernamenstoken als Caller-Identität konfiguriert ist. Der validierte Caller und die anerkannte Identität werden in den Status für gemeinsame Nutzung versetzt.
- com.ibm.ws.wssecurity.impl.auth.module.X509CallerLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.caller" enthält die Klasse "com.ibm.ws.wssecurity.impl.auth.module.X509CallerLoginModule". X509CallerLoginModule implementiert die Schnittstelle "javax.security.auth.spi.LoginModule". X509CallerLoginModule bestimmt auch, ob die Benutzeridentität berechtigt ist, eine Identitätszusicherung vorzunehmen, wenn das X509-Token als anerkannte Identität konfiguriert ist, oder ob es nur eine einzige Caller-Identität gibt, wenn das X509-Token als Caller-Identität konfiguriert ist. Der validierte Caller und die anerkannte Identität werden in den Status für gemeinsame Nutzung versetzt.
- com.ibm.ws.wssecurity.impl.auth.module.LTPACallerLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.caller" enthält die Klasse "com.ibm.ws.wssecurity.impl.auth.module.LTPACallerLoginModule". "LTPACallerLoginModule" implementiert die Schnittstelle "javax.security.auth.spi.LoginModule". "LTPACallerLoginModule" prüft auch, ob die Benutzeridentität berechtigt ist, eine Identitätszusicherung vorzunehmen, wenn das LTPA-Token als anerkannte Identität konfiguriert ist, oder ob es nur eine einzige Caller-Identität gibt, wenn das LTPA-Token als Caller-Identität konfiguriert ist. Der validierte Caller und die anerkannte Identität werden in den Status für gemeinsame Nutzung versetzt.
- com.ibm.ws.wssecurity.impl.auth.module.LTPAPropagationCallerLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.caller" enthält die Klasse "com.ibm.ws.wssecurity.impl.auth.module.LTPAPropagationCallerLoginModule". "LTPAPropagationCallerLoginModule" implementiert die Schnittstelle "javax.security.auth.spi.LoginModule". "LTPAPropagationCallerLoginModule" prüft auch, ob die Benutzeridentität berechtigt ist, eine Identitätszusicherung vorzunehmen, wenn das Weitergabetoken als anerkannte Identität konfiguriert ist, oder ob es nur eine einzige Caller-Identität gibt, wenn das Weitergabetoken als Caller-Identität konfiguriert ist. Der validierte Caller und die anerkannte Identität werden in den Status für gemeinsame Nutzung versetzt.
- com.ibm.ws.wssecurity.impl.auth.module.KRBCallerLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.caller" enthält "com.ibm.ws.wssecurity.impl.auth.module.KRBCallerLoginModule". "KRBCallerLoginModule" implementiert die Schnittstelle "javax.security.auth.spi.LoginModule". "KRBCallerLoginModule" prüft auch, ob die Benutzeridentität berechtigt ist, eine Identitätszusicherung vorzunehmen, wenn das Kerberos-Token als anerkannte Identität konfiguriert ist, oder ob es nur eine einzige Caller-Identität gibt, wenn das Kerberos-Token als Caller-Identität konfiguriert ist. Der validierte Caller und die anerkannte Identität werden in den Status für gemeinsame Nutzung versetzt.
- com.ibm.ws.wssecurity.impl.auth.module.WSWSSLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.caller" enthält die Klasse "com.ibm.ws.wssecurity.impl.auth.module.WSWSSLoginModule". "WSWSSLoginModule" implementiert die Schnittstelle "javax.security.auth.spi.LoginModule" und ist verantwortlich für die Zusicherung der Caller-Identität für "ltpaLoginModule" und für "wsMapDefaultInboundLoginModule", damit der Sicherheitskontext des Callers aufgebaut wird.
- com.ibm.ws.security.server.lm.ltpaLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.caller" enthält die Klasse "class com.ibm.ws.security.server.lm.ltpaLoginModule".
- com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule
- Die JAAS-Systemanmeldekonfiguration "wss.caller" enthält die Klasse "com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule".