Anmeldemodul für generische Sicherheitstoken für den Tokengenerator

Wenn eine Web-Service-Anforderung abgesetzt wird, ruft der Anwendungsserver das Anmeldemodul für generische Sicherheitstoken für den Tokengenerator im Rahmen des Authentifizierungsprozesses für Web Services Security auf.

Das Anmeldemodul delegiert den Prozess der Tokengenerierung über eine Anforderung vom Typ WS-Trust Issue oder WS-Trust Validate an einen Sicherheitstokenservice. Der Sicherheitstokenservice (STS) verarbeitet die Anforderung und gibt eine RequestSecurityTokenResponse-Nachricht an das Anmeldemodul zurück. Das Anmeldemodul schließt das Token aus der STS-Antwortnachricht in den Sicherheitsheader der Web-Service-Anforderungsnachricht ein. Wenn ein Token nicht zurückgegeben wird oder aufgrund des STS ein Fehler auftritt, erzeugt das Anmeldemodul eine LoginException-Nachricht, und eine Fehlermeldung wird an den Web-Service-Client zurückgegeben.

Das Anmeldemodul und seine Nutzung des Sicherheitstokenservice lassen die folgenden Aktionen zu:
  • Einen Austausch von Sicherheitstoken, wenn die eingehenden oder abgehenden Sicherheitstoken unterschiedliche Tokentypen haben.
  • Einen Austausch von Sicherheitstoken bei der Zuordnung einer Identität zu einer anderen.
  • Die Auswertung von Berechtigungsprüfungen, um sicherzustellen, dass die authentifizierten Benutzer den Ziel-Web-Service aufrufen dürfen.
  • Der Tokenaustausch wird vom RunAs Subject (RunAs-Subjekt) aufgerufen oder von der Laufzeitumgebung von Web Services Security generiert. Der Austausch basiert auf dem Richtliniensatz und den Bindungen, die für die Trust-Anforderung konfiguriert sind.
Um das Anmeldemodul für generische Sicherheitstoken für den Tokengenerator nutzen zu können, muss der Tokengenerator in den Bindungen des Richtliniensatzes von Web Services Security folgende Voraussetzungen erfüllen:
  • Er muss den richtigen Namen für die JAAS-Anmeldekonfiguration (Java™ Authentication and Authorization Service) angeben.
  • Er muss den Namen der Callback-Handler-Klasse angeben.
Der Name für die JAAS-Anmeldekonfiguration ist wss.generate.issuedToken, und der Name der Callback-Handler-Klasse ist com.ibm.websphere.wssecurity.callbackhandler.GenericIssuedTokenGenerateCallbackHandler. Weitere Informationen hierzu können Sie der Dokumentation entnehmen, die sich mit der Konfiguration eines generischen Anmeldemoduls für ein Authentifizierungstoken auf der Seite des Tokengenerators im Prozess von Web Services Security befasst.

Unterstützte Tokentypen

  • Sie können einen beliebigen Tokentyp angeben, dessen ValueType-Wert vom designierten STS verarbeitet werden kann. Je nach STS können die Tokentypen Folgendes enthalten:
    • Security Assertion Markup Language (SAML) 2.0
    • SAML 1.1
    • Benutzername
    • PassTicket
    • Kerberos
    • LTPA (Lightweight Third Party Authentication)
    • Berechtigungsnachweis für Tivoli Access Manager
  • Das angeforderte Token, das in der SOAP-Nachricht an den Service-Provider gesendet wird, ist das Token, das in der Richtlinie angegeben ist.
  • Sie können dieses Token nur für die Authentifizierung verwenden. Sie können dieses Token nicht als Token für Zugriffsschutz verwenden. Bei SAML Version 2.0, 1.1 und 1.0 werden nur die Bestätigungsmethoden "bearer" und "send voucher" unterstützt.

Sie können das Anmeldemodul für generische Sicherheitstoken für den Tokengenerator so konfigurieren, dass es eine Anforderung vom Typ WS-Trust Issue oder eine Anforderung vom Typ WS-Trust Validate für den Austausch oder die Validierung des Sicherheitstokens verwendet. Diese zwei Optionen sind in nachfolgenden Abschnitten beschrieben.

WS-Trust Issue

Sie können das Anmeldemodul für den Tokengenerator so konfigurieren, dass es den Typ WS-Trust Issue für die Anforderung eines Sicherheitstokens verwendet. In diesem Szenario sendet der Trust-Client ein Sicherheitstoken zur Authentifizierung an einen STS im SOAP-Sicherheitsheader. Dieses Authentifizierungstoken stammt aus einer der folgenden Positionen:
  • dem RunAs Subject im aktuellen Sicherheitskontext
  • dem Callback-Handler, der in den Bindungen für die Richtliniensätze des Trust-Clients konfiguriert ist
Nach der Verarbeitung der STS-Anforderung authentifiziert der STS das Token und gibt das angeforderte Token aus.

WS-Trust Validate

Sie können das Anmeldemodul für den Tokengenerator so konfigurieren, dass es den Typ WS-Trust Validate für die Anforderung eines Sicherheitstokens verwendet. In diesem Szenario sucht das Anmeldemodul basierend auf dem konfigurierten ValueType des Tokens nach dem Sicherheitstoken für die Authentifizierung, das aus dem RunAs Subject stammt. Das Anmeldemodul sendet das Token in der Trust-Anforderung, indem es das Token als untergeordnetes Element in das Element RequestedSecurityToken einschließt. Dieses Token kann in das Element ValidateTarget oder in das Erweiterungselement Base eingeschlossen werden. Der STS validiert das eingeschlossene Token im Element RequestedSecurityToken und gibt ein neues Sicherheitstoken oder einen Code zum Validierungsstatus zurück. Wenn nur ein Code zum Validierungsstatus zurückgegeben wird, verwendet der Tokengenerator das ursprüngliche Sicherheitstoken. Obwohl ein zurückgegebenes Token einen ValueType-Wert haben kann, wie zuvor im Einsatzszenario zu WS-Trust Issue beschrieben, muss das zu validierende Token einem der folgenden Tokentypen angehören:
  • SAML 2.0
  • SAML 1.1
  • Benutzername
  • PassTicket
  • Kerberos
  • LTPA
  • LTPA Version 2

WS-Trust Issue oder WS-Trust Validate verwenden

Das generische Anmeldemodul verwendet WS-Trust Validate, um das Token aus dem RunAs Subject zu validieren, wenn die folgenden beiden Bedingungen wahr sind:
  • Im aktuellen Sicherheitskontext ist ein RunAs Subject vorhanden.
  • Es gibt nur ein Sicherheitstoken, dessen Wertetyp mit dem ValueType-Wert für das angeforderte Token übereinstimmt.
Wenn WS-Trust Validate einen gültigen Statuscode und ein Sicherheitstoken zurückgibt, ist das zurückgegebene Token das angeforderte Token. Wenn WS-Trust Validate nur einen gültigen Statuscode zurückgibt, ist das vorhandene Token aus dem RunAs Subject das angeforderte Token.

Außerdem können Sie ein Token aus dem RunAs Subject zur Validierung abrufen und gegen das angeforderte Token austauschen. Das ausgewählte Token kann einen anderen ValueType-Wert vom angeforderten Token abrufen. Weitere Informationen hierzu können Sie der Dokumentation entnehmen, die sich mit der Konfiguration eines Anmeldemoduls für generische Sicherheitstoken für ein Authentifizierungstoken auf der Seite des Tokengenerators im Prozess von Web Services Security befasst.

Unterstützte Konfigurationen Unterstützte Konfigurationen: Wenn der ValueType-Wert für das angeforderte Token den Typ "LTPA" oder "LTPA Version 2" hat, extrahiert das Anmeldemodul für generische Sicherheitstoken automatisch einen WSCredential. Es generiert ein Web-Service-Security-Token vom Typ "LTPA" oder "LTPA v2" zur Validierung und zum Austausch, wenn die folgenden Bedingungen zutreffen:
  • Es ist kein Sicherheitstoken vom Typ "LTPA" oder "LTPA v2" im RunAs Subject vorhanden.
  • Es ist ein WSCredential im RunAs Subject vorhanden.

Wenn sich im RunAs-Subjekt nur ein Sicherheitstoken befindet, das dem ValueType des angeforderten Tokens entspricht, können sie das Anmeldemodul so konfigurieren, dass keine Anforderung vom Typ "WS-Trust Validate" zur Validierung des übereinstimmenden Tokens aufgerufen wird. Stattdessen sendet das Anmeldemodul das übereinstimmende Token ohne Validierung an den nachgeordneten Service-Provider.

Das Anmeldemodul für generische Sicherheitstoken verwendet automatisch den Typ WS-Trust Issue, um das Token anzufordern, wenn die folgenden Bedingungen zutreffen:
  • Es ist kein RunAs Subject vorhanden.
  • Es ist kein ValueType-Wert im RunAs Subject vorhanden.
  • Das Anmeldemodul kann das Token aus dem RunAs Subject nicht validieren.

Eine Konfigurationsoption erzwingt die Verwendung des Typs WS-Trust Issue im generischen Anmeldemodul oder die Verwendung des Typs WS-Trust Validate. Weitere Informationen hierzu können Sie der Dokumentation entnehmen, die sich mit der Konfiguration eines generischen Anmeldemoduls für ein Authentifizierungstoken auf der Seite des Tokengenerators im Prozess von Web Services Security befasst.

sptcfg

Richtliniensätze

Die Implementierung des Anmeldemoduls für generische Sicherheitstoken beinhaltet keinen neuen Tokentyp in einem Richtliniensatz. Wenn Sie z. B. planen, ein generisches Anmeldemodul zu verwenden, um ein Benutzernamenstoken zu generieren, können Sie einen Richtliniensatz erstellen, der ein Benutzernamenstoken als Authentifizierungstoken angibt. Einige angepassten Tokentypen werden von den Standardanmeldemodulen des Systems nicht unterstützt. Sie können diese Tokentypen jedoch mit angepassten Anmeldemodulen implementieren. Die angepassten Tokentypen werden von Anmeldemodulen für generische Sicherheitstoken unterstützt, vorausgesetzt, sie werden vom designierten STS unterstützt.

Bindungen

Wenn Sie Bindungen für ein Authentifizierungstoken konfigurieren, haben Sie folgende Optionen:
  • Ein generisches Anmeldemodul verwenden.
  • Ein vorhandenes Standardanmeldemodul des Systems verwenden.
  • Ein eigenes angepasstes Anmeldemodul erstellen.

Wenn Sie z. B. ein Benutzernamenstoken konfigurieren, können Sie die JAAS-Anmeldekonfiguration wss.generate.unt verwenden und das vorhandene Verhalten beibehalten. Sie haben jedoch auch die Möglichkeit, die JAAS-Anmeldung wss.generate.issuedToken so zu konfigurieren, dass das Anmeldemodul für generische Sicherheitstoken verwendet wird.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_gensectokenmodtokgen
Dateiname:cwbs_gensectokenmodtokgen.html