Zusicherung der Identität in einer SOAP-Nachricht

Die Zusicherung der Identität ist eine Methode, die Identität des Senders (z. B. den Benutzernamen) in einer SOAP-Nachricht anzugeben. Wenn Sie die Zusicherung der Identität (IDAssertion) als Authentifizierungsmethode verwenden, wird die Authentifizierungsentscheidung auf der Basis des Identitätsnamens und nicht auf anderen Informationen wie Kennwörtern und Zertifikaten durchgeführt.

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der Version 6.0.x und höher. Die Informationen in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher verwendet werden. Die Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Die Zusicherung der Identität bezieht sich auf folgende Daten:
ID-Typ
Die Implementierung von Web Services Security in WebSphere Application Server unterstützt die folgenden Identitätstypen:
Benutzername
Gibt den Benutzernamen an, beispielsweise den Benutzernamen für das lokale Betriebssystems (z. B. alice). Dieser Name wird in das Element <Username> im Element <UsernameToken> eingebettet.
DN
Gibt den definierten Namen (DN) des Benutzers an, z. B. "CN=alice, O=IBM, C=US". Dieser Name wird in das Element <Username> im Element <UsernameToken> eingebettet.
X.509-Zertifikat
Gibt die Identität des Benutzers in Form eines X.509-Zertifikats anstelle eines Namens (Zeichenfolge) an. Dieses Zertifikat wird in das Element <BinarySecurityToken> eingebettet.
Vertrauensverhältnisse verwalten
Der zwischengeschaltete Host auf dem Weg der SOAP-Nachricht kann die behauptete Identität des ursprünglichen Senders zusichern. Für diese Art der Zusicherung werden zwei Methoden (oder Trustmodi) unterstützt:
Basisauthentifizierung
Der zwischengeschaltete Host fügt seinen Benutzernamen und sein Kennwort der Nachricht hinzu.
Signatur
Der zwischengeschaltete Host signiert das Element <UsernameToken> des ursprünglichen Senders digital.
Anmerkung: Dieser Trustmodus bietet keine Unterstützung für X.509-Zertifikate als ID-Typ.
Typisches Szenario
Die Zusicherung der Identität wird in der Regel in Multi-Hop-Umgebungen verwendet, in denen die SOAP-Nachricht einen oder mehrere zwischengeschaltete Host durchläuft. Der zwischengeschaltete Host authentifiziert den ursprünglichen Sender. Das folgende Szenario beschreibt den Prozess:
  1. Der ursprüngliche Sender sendet eine SOAP-Nachricht mit einigen eingebetteten Authentifizierungsdaten an den zwischengeschalteten Host. Diese Authentifizierungsdaten können ein Benutzername und ein Kennwort oder ein LTPA-Token sein.
  2. Der zwischengeschaltete Host authentifiziert den ursprünglichen Sender anhand der eingebetteten Authentifizierungsdaten.
  3. Der zwischengeschaltete Host entfernt die Authentifizierungsdaten aus der SOAP-Nachricht und fügt stattdessen das Element <UsernameToken> mit einem Benutzernamen ein.
  4. Der zwischengeschaltete Host sichert das Vertrauen auf der Basis des definierten Trustmodus zu.
  5. Der zwischengeschaltete Host sendet die aktualisierte SOAP-Nachricht an den endgültigen Empfänger.
  6. Der endgültige Empfänger überprüft das Vertrauensverhältnis gemäß konfiguriertem Trustmodus anhand der Informationen des zwischengeschalteten Host. Außerdem wird der Trusted-ID-Evaluator aufgerufen.
  7. Wenn das Vertrauen beim endgültigen Empfänger hergestellt ist, ruft er den Web-Service mit der Berechtigung des Benutzernamens (d. h. des ursprünglichen Senders) in der SOAP-Nachricht auf.

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_idassert
Dateiname:cwbs_idassert.html