Anmeldemodul für generische Sicherheitstoken für den Tokenkonsumenten

Wenn eine Web-Service-Nachricht empfangen wird, ruft der Anwendungsserver das Anmeldemodul für generische Sicherheitstoken für den Tokengenerator im Rahmen des Authentifizierungsprozesses für Web Services Security auf.

Das Anmeldemodul delegiert die Tokenvalidierung mit WS-Trust Validate an den WS-Trust-Service. Der WS-Trust-Sicherheitstokenservice verarbeitet die Anforderung und gibt eine RequestSecurityTokenResponse-Nachricht an das Anmeldemodul zurück, das ein neues Sicherheitstoken oder lediglich einen Validierungsstatuscode enthalten kann. Das vom WS-Trust-Sicherheitstokenservice zurückgegebene Token oder das ursprünglich empfangene Token ist das Caller-Token, falls das Caller-Token erforderlich ist.

Wenn der Aufruf des Trust-Service einen ungültigen Statuscode oder einen Fehler zurückgibt, schlägt die Tokenvalidierung fehl, und das Anmeldemodul erzeugt eine Ausnahme vom Typ LoginException.

Das Anmeldemodul und seine Nutzung des WS-Trust-Service lassen die folgenden Aktionen zu:
  • Einen Austausch von Sicherheitstoken, wenn die eingehenden oder abgehenden Sicherheitstoken unterschiedliche Tokentypen haben.
  • Einen Austausch von Sicherheitstoken bei der Zuordnung einer Identität zu einer anderen Identität.
  • Die Auswertung von Berechtigungsprüfungen, um sicherzustellen, dass die authentifizierten Benutzer den Ziel-Web-Service aufrufen dürfen.

Der Name der JAAS-Anmeldekonfiguration (Java™ Authentication and Authorization Service) ist wss.consume.issuedToken, und der Name der Callback-Handler-Klasse ist com.ibm.websphere.wssecurity.callbackhandler.GenericIssuedTokenConsumeCallbackHandler.

Unterstützte Tokentypen

Das empfangende Token muss einen ValueType-Wert haben, den der designierte Trust-Service verarbeiten und austauschen kann. Der gültige ValidType-Wert des Tokens kann ein bekannter Tokentyp sein, der von Standardanmeldemodulen des Systems unterstützt wird. Die gültigen eingehenden Token können ein Benutzernamenstoken, ein XML-Token oder ein binäres Sicherheitstoken mit folgenden Tokentypen sein:
  • Security Assertion Markup Language (SAML) 2.0
  • SAML 1.1
  • Benutzername
  • PassTicket
  • Kerberos
  • LTPA (Lightweight Third Party Authentication)
  • Berechtigungsnachweis für Tivoli Access Manager
Wenn WS-Trust Validate keinen Tokenaustausch durchführt und lediglich einen Validierungsstatuscode zurückgibt, muss das eingehende Token zu einem der folgenden Typen gehören:
  • SAML 2.0
  • SAML 1.1
  • Benutzername
  • Kerberos
  • LTPA Version 2
  • LTPA
Außerdem muss der zurückgegebene Tokenwert des WS-Trust-Aufrufs einem der vorherigen Tokentypen angehören.
Unterstützte Konfigurationen Unterstützte Konfigurationen:
  • Das empfangene Token, das vom Anforderer gesendet wird, ist das Token, das in der Richtlinie angegeben ist.
  • Sie können dieses Token nur für die Authentifizierung verwenden. Sie können dieses Token nicht als Token für Zugriffsschutz verwenden.
sptcfg

Richtliniensätze

Die Implementierung des Anmeldemoduls für generische Sicherheitstoken kann alle Authentifizierungstoken unterstützen, die von den Standardanmeldemodulen des Systems oder von einem angepassten Anmeldemodul unterstützt werden. Die Implementierung des Anmeldemoduls für generische Sicherheitstoken fügt dem Richtliniensatz keinen neuen Sicherheitstokentyp hinzu. Wenn Sie z. B. planen, ein Anmeldemodul für generische Sicherheitstoken zu verwenden, um ein Benutzernamenstoken zu generieren, können Sie einen Richtliniensatz erstellen, der ein Benutzernamenstoken als Authentifizierungstoken angibt. Alle Tokentypen, die von designierten Sicherheitstokenservices unterstützt werden, können mit den Anmeldemodulen für generische Sicherheitstoken verwendet werden. Sie können angepasste Anmeldemodule implementieren, um alle neuen Tokentypen zu verarbeiten, die von den vorhandenen Standardsystemanmeldemodulen nicht unterstützt werden.

Bindungen

Wenn Sie Bindungen für ein Authentifizierungstoken konfigurieren, haben Sie folgende Optionen:
  • Ein generisches Anmeldemodul verwenden.
  • Ein vorhandenes Standardanmeldemodul des Systems verwenden.
  • Ein eigenes angepasstes Anmeldemodul erstellen.

Wenn Sie z. B. ein Benutzernamenstoken konfigurieren, können Sie die JAAS-Anmeldekonfiguration wss.consume.unt verwenden und das vorhandene Verhalten beibehalten. Sie haben jedoch auch die Möglichkeit, die JAAS-Anmeldung wss.consume.issuedToken so zu konfigurieren, dass das generische Anmeldemodul verwendet wird.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_gensectokenmodtokcons
Dateiname:cwbs_gensectokenmodtokcons.html