Identitätszusicherungen mit Trustvalidierung
Wenn eine Anwendung oder ein Systemprovider eine Identitätszusicherung mit Trustvalidierung durchführen soll, können Sie hierfür das JAAS-Anmeldegerüst (Java™ Authentication and Authorization Service) verwenden, in den die Trustvalidierung in einem Anmeldemodul und die Erstellung des Berechtigungsnachweises in einem anderen durchgeführt werden. Diese beiden angepassten Anmeldemodule werden verwendet, um eine JAAS-Anmeldekonfiguration zu erstellen, die eine Anmeldung für Identitätszusicherung durchführt.
- Ein angepasstes Anmeldemodul für Trust-Association. Dieses Anmeldemodul führt die vom
Benutzer geforderte Prüfung der Vertrauenswürdigkeit (Trustprüfung) durch. Wenn die Vertrauenswürdigkeit
bestätigt wurde, müssen der Status der Trustprüfung und die Anmelde-ID in einer Zuordnung in den gemeinsam genutzten Statusinformationen
des Anmeldemoduls gespeichert werden, damit das Anmeldemodul für die Erstellung des Berechtigungsnachweises
diese Informationen verwenden kann.
Die Zuordnung muss in der Eigenschaft "com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.state"
gespeichert werden. Die Statuszuordnungen enthalten die folgenden Informationen:
- com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.trusted – Wert true, wenn vertrauenswürdig, andernfalls false
- com.ibm.wsspi.security.common.auth.module.IdenityAssertionLoginModule.principal – Enthält den Principal der ID.
- com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.certificates – Enthält das Zertifikat der ID.
- Das Modul com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule
erstellt den Berechtigungsnachweis. Es setzt voraus, dass die Truststatusinformationen in den gemeinsam
genutzten Statusinformationen des Anmeldekontextes gespeichert werden. Dieses Anmeldemodul ist durch Java-2-Sicherheitslaufzeitberechtigungen für Folgendes geschützt:
- com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.initialize
- com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.login
- com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.trusted – true, wenn vertrauenswürdig, andernfalls false.
- com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.principal – Bei Verwendung eines Principals enthält diese Eigenschaft den Principal der für die Anmeldung erforderlichen ID.
- com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.certificates – Bei Verwendung eines Zertifikats enthält dieser Eigenschaft einen Bereich einer Zertifizierungskette, die die für die Anmeldung erforderliche ID enthält.
Es wird eine Ausnahme vom Typ WSLoginFailedException zurückgegeben, wenn Status-, Trust- oder ID-Informationen fehlen. Das Anmeldemodul führt anschließend eine Anmeldung unter Verwendung der angegebenen ID durch. Das Subjekt enthält jetzt die neue ID.