Authentifizierungsmethode IDAssertion (Zusicherung der Identität)

Wenn Sie die Authentifizierungsmethode IDAssertion (Zusicherung der Identität) verwenden, ist das generierte Sicherheitstoken ein Element <wsse:UsernameToken>, das ein Element <wsse:Username> enthält.

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Version 6.0.x. Die Informationen in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher verwendet werden. Diese Informationen gelten nicht für Anwendungen der Version 6.0.x.

Auf der Seite des Anforderungssenders wird ein Callback-Handler aufgerufen, der das Sicherheitstoken generiert. Auf der Seite des Anforderungsempfängers wird die Gültigkeit des Sicherheitstokens geprüft. Diese beiden Operationen - Tokengenerierung und Tokenvalidierung - werden in den folgenden Abschnitten beschrieben.

Validierung des IDAssertion-Token:

Der Anforderungsempfänger ruft das Sicherheitstoken für die Methode "IDAssertion" aus der SOAP-Nachricht ab und überprüft es mit einem JAAS-Anmeldemodul (Java™ Authentication and Authorization Service) auf Gültigkeit. Für die Zusicherung der Identität ist eine Sonderverarbeitung erforderlich, die das Vertrauensverhältnis klärt, bevor die Identität als bewiesene Identität für den Ausführungsthread zusichert. Diese Sonderverarbeitung wird mit dem Element <IDAssertion> in der Implementierungsdeskriptordatei ibm-webservices-ext.xmi definiert. Wenn alle Validierungsprüfungen erfolgreich verlaufen, wird die zugesicherte Identität als Identität für den Ausführungsthread definiert. Falls die Validierung fehlschlägt, wird die Anforderung mit einer SOAP-Fehlerausnahme (Fault) zurückgewiesen.

Die JAAS-Anmeldekonfiguration ist im Element <LoginMapping> der Bindungsdatei angegeben. Standardbindungen werden in der Datei ws-security.xml angegeben. Sie können diese Bindungen jedoch mit der anwendungsspezifischen Datei ibm-webservices-bnd.xmi überschreiben. Die Konfigurationsdaten enthalten eine CallbackHandlerFactory und einen ConfigName-Wert. Die Option "CallbackHandlerFactory" gibt den Namen der Klasse an, die zum Erstellen des JAAS-Objekts "CallbackHandler" verwendet wird. WebSphere Application Server stellt die CallbackHandlerFactory-Implementierung com.ibm.wsspi.wssecurity.auth.callback.WSCallbackHandlerFactoryImpl bereit. Der ConfigName-Wert definiert den Namen einer JAAS-Konfiguration.

WebSphere Application Server durchsucht die Datei security.xml nach einem Eintrag mit diesem Konfigurationsnamen. Sollte keine Übereinstimmung gefunden werden, wird die Datei wsjaas.conf durchsucht. WebSphere Application Server stellt den Standardkonfigurationseintrag "system.wssecurity.IDAssertion" zur Verfügung, der für die Authentifizierungsmethode "IDAssertion" geeignet ist.

Das Element <IDAssertion> in der Implementierungsdeskriptordatei ibm-webservices-ext.xmi legt die Sonderverarbeitung für die Authentifizierungsmethode "IDAssertion" fest. Das Element <IDAssertion> setzt sich aus zwei Teilelementen zusammen: <IDType> und <TrustMode>.

Das Element <IDType> gibt die Methode für die Zusicherung der Identität an. Die unterstützten Werte für die Zusicherung der Identität sind:
  • Username
  • DN (Distinguished Name)
  • X.509-Zertifikat

Wenn <IDType> auf username gesetzt ist, wird ein Token mit einem Benutzernamen (z. B. Bob) verwendet. Dieser Benutzername wird einem Benutzer in der Benutzerregistry zugeordnet und nach erfolgreicher Validierung des Vertrauensverhältnisses (Trustvalidierung) als zugesicherte Identität verwendet. Wird für das Element <IDType> die Option DN gewählt, wird ein Token mit definiertem Namen (DN) verwendet (z. B. cn=Bob Smith, o=ibm, c=us). Dieser definierte Name wird einem Benutzer in der Benutzerregistry zugeordnet. Nach erfolgreicher Validierung des Vertrauensverhältnisses wird dieser Benutzer als zugesicherte Identität verwendet. Wenn mit dem Element <IDType> die Option X509Certificate angegeben wird, wird ein binäres Sicherheitstoken mit einem X.509-Zertifikat verwendet und aus diesem Zertifikat der SubjectDN-Wert extrahiert (z. B. cn=Bob Smith, o=ibm, c=us). Dieser SubjectDN-Wert wird einem Benutzer in der Benutzerregistry zugeordnet. Nach erfolgreicher Validierung des Vertrauensverhältnisses wird dieser Benutzer als zugesicherte Identität verwendet.

Das Element <TrustMode> gibt an, wie die Trust- oder zusichernde Instanz die Informationen zum Vertrauensverhältnis (Trust-Informationen) bereitstellt. Die unterstützten Werte sind:
  • Signatur
  • BasicAuth (Basisauthentifizierung)
  • Keine Angabe

Wenn der <TrustMode>-Wert Signature ist, wird die Signatur validiert. Anschließend wird der Unterzeichner oder Aussteller (z. B. cn=IBM Authority, o=ibm, c=us) einer Identität in der Benutzerregistry zugeordnet (z. B. IBMAuthority). Um sicherzustellen, dass die zusichernde Instanz vertrauenswürdig ist, wird die zugeordnete Identität (z. B. IBMAuthority) anhand einer Liste vertrauenswürdiger Identitäten validiert. Ist BasicAuth als <TrustMode> definiert, ist ein Benutzernamenstoken mit Benutzernamen und Kennwort vorhanden. Dies sind der Benutzername und das Kennwort der zusichernden Instanz.

Der Benutzername und das Kennwort werden validiert. Bei erfolgreicher Validierung dieser Angaben wird dieser Benutzername (z. B. IBMAuthority) anhand einer Liste vertrauenswürdiger Identitäten validiert. Wenn für <TrustMode> kein Wert angegeben ist, wird das Vertrauen vorausgesetzt und keine weitere Trustvalidierung durchgeführt. Diese Art von Identitätszusicherung wird Modus für vorausgesetztes Vertrauen bezeichnet. Verwenden Sie diesen Trustmodus nur in einer Umgebung, in der das Vertrauensverhältnis durch ein anderes Verfahren geschaffen wird.

Wenn alle zuvor beschriebenen Validierungen erfolgreich verlaufen, wird die zugesicherte Identität (z. B. Bob) als Identität für den Ausführungsthread definiert. Sollte eine der Validierungen fehlschlagen, wird die Anforderung mit einer SOAP-Fehlerausnahme (Fault) zurückgewiesen.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_authidassert
Dateiname:cwbs_authidassert.html