Anmeldemodule für generische Sicherheitstoken
Die Anmeldemodule für generische Sicherheitstoken sind JAAS-Anmeldemodule (Java™ Authentication and Authorization Service). Diese Anmeldemodule verwenden einen externen Sicherheitstokenservice (Security Token Service, STS), um Sicherheitstoken auszugeben, zu validieren und auszutauschen.
Übersicht
Die Prozesse, bei denen Web-Services-Security-Token generiert und konsumiert werden,
rufen diese Anmeldemodule auf. Die Sicherheitskomponente von Web Services Security stellt Standardanmeldemodule für allgemeine
Token bereit, wie z. B.:
- Benutzernamenstoken
- X.509-Token
- Kerberos-Token
- LTPA-Token (Lightweight Third Party Authentication)
- SAML-Token (Security Assertion Markup Language)
- Sicherheitskontexttoken

Die folgende Abbildung
zeigt den Informationsfluss während des Prozesses für das Anmeldemodul für generische Sicherheitstoken.
- Die Identität des Callers (Aufrufenden) wird von der Laufzeitumgebung des Web-Service-Client übernommen.
- Das Anmeldemodul für generische Sicherheitstoken für den Tokengenerator sendet eine Tokenanforderung als Ausstellungs- oder Validierungsanforderung mit einem WS-Trust-Client an einen WS-Trust-Service.
- Das zurückgegebene oder validierte Token wird im Sicherheitsheader der SOAP-Nachricht als Authentifizierungstoken definiert. Weitere Informationen hierzu können Sie der Dokumentation zu den Anmeldemodulen des generische Sicherheitstoken für den Tokengenerator entnehmen.
- Das PassTicket wird in der SOAP-Nachricht an den Service-Provider gesendet.
- Das Anmeldemodul für generische Sicherheitstoken für den Tokenkonsumenten sendet ein empfangenes Token im Sicherheitsheader der SOAP-Nachricht in einer Anforderung vom Typ WS-Trust Validate an einen bezeichneten WS-Trust-Service.
- Das Ergebnis der Anforderung kann ein neues Token sein oder eine Benachrichtigung darüber, dass das gesendete Token validiert wurde.
- Sie können je nach Bedarf festlegen, ob das neue oder das ursprünglich validierte Token als Caller-Token für Berechtigungsprozesse verwendet wird. Weitere Informationen hierzu können Sie der Dokumentation zu den Anmeldemodulen für generische Sicherheitstoken für den Tokenkonsumenten entnehmen.
Ein PassTicket ist ein dynamisch generiertes Ersatzkennwort für den einmaligen Gebrauch. Um sich für einen Service zu authentifizieren, können Sie, anstatt das tatsächliche Kennwort zu senden, das PassTicket verwenden.
Einsatzszenarien
Das Anmeldemodul für generische Sicherheitstoken kann sehr nützlich sein, wenn
ein Tokenaustausch, eine Identitätszuordnung oder eine Berechtigung erforderlich ist, um einen Ziel-Web-Service aufzurufen. In der
folgenden Liste sind einige nützliche Einsatzszenarien für ein Anmeldemodul für generische Sicherheitstoken erläutert:
- Tokenaustausch mit einem zwischengeschalteten Server
- Das erforderliche abgehende Sicherheitstoken und das eingehende Sicherheitstoken weisen unterschiedliche Typen auf.
- Tokenaustausch auf der Anforderungsseite
- Vor dem Aufruf eines Downstream-Service muss für den Caller eine Identitätszuordnung durchgeführt werden.
- Tokenaustausch auf der Empfangsseite
- Die aufrufende Identitätszuordnung muss nach der Validierung des Tokens durchgeführt werden.
- Berechtigung zum Aufrufen des Zielservice
- Das Anmeldemodul sendet das eingehende Sicherheitstoken und die Endpunktadresse seines Zielservice an den WS-Trust-Service. Der WS-Trust-Service führt die Berechtigung auf Web-Service-Ebene durch. Der WS-Trust-Service überprüft, ob der Aufruf des Ziel-Web-Service für den Principal, der im Authentifizierungstoken enthalten ist, autorisiert ist.
Einschränkungen
Für generische Anmeldemodule gelten die folgenden Einschränkungen:- Sie können das Token, das vom Anmeldemodul für generische Sicherheitstoken verarbeitet wird, nur für die Authentifizierung verwenden. Sie können das Token nicht als Token für Zugriffsschutz verwenden, um Nachrichtenteile digital zu signieren und zu verschlüsseln.
- Wenn der Service-Provider ein ausgetauschtes Token empfängt, muss das Token von den Standardanmeldemodulen für das Web-Service-Security-System des Anwendungsservers unterstützt werden. Weitere Informationen hierzu können Sie der Dokumentation zum Anmeldemodul für generische Sicherheitstoken für den Tokenkonsumenten entnehmen.
- Wenn der Service-Provider ein Token empfängt, das validiert und nicht ausgetauscht wird, muss das empfangene Token von den Standardanmeldemodulen für das Web-Services-Security-System des Anwendungsservers unterstützt werden.
- Wenn Sie ein Sicherheitstoken vom RunAs-Subjekt (RunAs Subject) verwenden, um ein abgehendes Sicherheitstoken zu validieren oder auszutauschen, muss das Sicherheitstoken im RunAs-Subjekt durch den ValueType-Wert eines Tokens eindeutig angegeben sein. Wenn mehrere Token im RunAs-Subjekt denselben ValueType-Wert haben, verwendet das Anmeldemodul nicht WS-Trust Validate, um ein Token mit dem RunAs-Subjekt auszutauschen. Stattdessen verwenden die Anmeldemodule WS-Trust Issue, um ein Token anzufordern, das auf der Konfiguration des Richtliniensatzes für den Trust-Client basiert.