SAML-Tokenweitergabe
Sie können verschiedene Methoden der SAML-Tokenweitergabe verwenden, um SAML-Token in abgehende Web-Service-Nachrichten einzuschließen.
Informationen zu diesem Vorgang
- Ursprüngliche SAML-Token, die der Client aus ankommenden Web-Service-Nachrichten erhalten hat.
- Neue selbst ausgestellte SAML-Token.
Es werden vier Weitergabemethoden unterstützt. Diese Tabelle zeigt eine Zusammenfassung der Weitergabemethoden und der zugehörigen Bindungsoptionen:
SAML-Tokenweitergabemethode | Bindungsoption | Implementierungsdetails |
---|---|---|
Weitergabe des ursprünglichen SAML-Tokens. | Die Bindungsoption "tokenRequest" ist auf den Wert propagation gesetzt. | Das ursprüngliche SAML-Token wird von dem Server, auf dem das Token empfangen wurde, unter Verwendung von WS-Security an andere Server gesendet. |
Weitergabe des Sicherheitsnamens des Benutzers, des eindeutigen Sicherheitsnamens des Benutzers, der Gruppen-IDs und des Namens des Sicherheitsrealms. | Die Bindungsoption "tokenRequest" ist auf den Wert issueByWSCredential gesetzt. | Die Systemstandardimplementierung wird außer Kraft gesetzt. Das selbst ausgestellte SAML-Token enthält den Sicherheitsnamen des Benutzers, den eindeutigen Sicherheitsnamen des Benutzers, die Gruppen-IDs und den Namen des Sicherheitsrealms. Alle Namen sind im Sicherheitskontext des Benutzers im Objekt "WSCredential" angegeben. |
Weitergabe der SAML-Tokenidentität und SAML-Attribute. | Es ist keine Bindungsoption festgelegt. | Systemstandardimplementierung. Der Server generiert selbst ein neues SAML-Token, das die ursprünglichen SAML-Attribute Authentifizierungsmethode, "NameIdentifier" oder "SAML NameID" enthält und sendet das neue selbstgenerierte SAML-Token unter Verwendung von WS-Security an nachgeordnete Server. Der Name des Ausstellers des neuen SAML-Tokens, das Signaturzertifikat des Ausstellers und die Lebensdauer werden von den Konfigurationseigenschaften des SAML-Providers festgelegt. |
Weitergabe des WSPrincipal. | Die Bindungsoption "tokenRequest" ist auf den Wert
issueByWSPrincipal gesetzt. ![]() |
Die Systemstandardimplementierung wird außer Kraft gesetzt. Das selbst ausgestellte SAML-Token enthält WSPrincipal-Informationen im RunAs-Subjekt. Die Informationen werden als "NameIdentity" oder "NameID" gespeichert, ohne dass Informationen aus dem ursprünglichen SAML-Token kopiert werden, selbst wenn das Token im Subjekt existiert. |
Programmgesteuerte Weitergabe eines vorhandenen SAML-Tokens. | Das SAML-Token, das weitergegeben werden soll, mit der Eigenschaft com.ibm.wsspi.wssecurity.core.token.config.WSSConstants.SAML-Token_im_Nachrichtenkontext in den "RequestContext" einfügen. | Setzt alle vorhandenen Bindungsoptionen außer Kraft. |