Anmeldemodul für generische Sicherheitstoken für den Tokenkonsumenten
Wenn eine Web-Service-Nachricht empfangen wird, ruft der Anwendungsserver das Anmeldemodul für generische Sicherheitstoken für den Tokengenerator im Rahmen des Authentifizierungsprozesses für Web Services Security auf.
Das Anmeldemodul delegiert die Tokenvalidierung mit WS-Trust Validate an den WS-Trust-Service. Der WS-Trust-Sicherheitstokenservice verarbeitet die Anforderung und gibt eine RequestSecurityTokenResponse-Nachricht an das Anmeldemodul zurück, das ein neues Sicherheitstoken oder lediglich einen Validierungsstatuscode enthalten kann. Das vom WS-Trust-Sicherheitstokenservice zurückgegebene Token oder das ursprünglich empfangene Token ist das Caller-Token, falls das Caller-Token erforderlich ist.
Wenn der Aufruf des Trust-Service einen ungültigen Statuscode oder einen Fehler zurückgibt, schlägt die Tokenvalidierung fehl, und das Anmeldemodul erzeugt eine Ausnahme vom Typ LoginException.
- Einen Austausch von Sicherheitstoken, wenn die eingehenden oder abgehenden Sicherheitstoken unterschiedliche Tokentypen haben.
- Einen Austausch von Sicherheitstoken bei der Zuordnung einer Identität zu einer anderen Identität.
- Die Auswertung von Berechtigungsprüfungen, um sicherzustellen, dass die authentifizierten Benutzer den Ziel-Web-Service aufrufen dürfen.
Der Name der JAAS-Anmeldekonfiguration (Java™ Authentication and Authorization Service) ist wss.consume.issuedToken, und der Name der Callback-Handler-Klasse ist com.ibm.websphere.wssecurity.callbackhandler.GenericIssuedTokenConsumeCallbackHandler.
Unterstützte Tokentypen
- Security Assertion Markup Language (SAML) 2.0
- SAML 1.1
- Benutzername
- PassTicket
- Kerberos
- LTPA (Lightweight Third Party Authentication)
- Berechtigungsnachweis für Tivoli Access Manager
- SAML 2.0
- SAML 1.1
- Benutzername
- Kerberos
- LTPA Version 2
- LTPA

- Das empfangene Token, das vom Anforderer gesendet wird, ist das Token, das in der Richtlinie angegeben ist.
- Sie können dieses Token nur für die Authentifizierung verwenden. Sie können dieses Token nicht als Token für Zugriffsschutz verwenden.
Richtliniensätze
Die Implementierung des Anmeldemoduls für generische Sicherheitstoken kann alle Authentifizierungstoken unterstützen, die von den Standardanmeldemodulen des Systems oder von einem angepassten Anmeldemodul unterstützt werden. Die Implementierung des Anmeldemoduls für generische Sicherheitstoken fügt dem Richtliniensatz keinen neuen Sicherheitstokentyp hinzu. Wenn Sie z. B. planen, ein Anmeldemodul für generische Sicherheitstoken zu verwenden, um ein Benutzernamenstoken zu generieren, können Sie einen Richtliniensatz erstellen, der ein Benutzernamenstoken als Authentifizierungstoken angibt. Alle Tokentypen, die von designierten Sicherheitstokenservices unterstützt werden, können mit den Anmeldemodulen für generische Sicherheitstoken verwendet werden. Sie können angepasste Anmeldemodule implementieren, um alle neuen Tokentypen zu verarbeiten, die von den vorhandenen Standardsystemanmeldemodulen nicht unterstützt werden.
Bindungen
- Ein generisches Anmeldemodul verwenden.
- Ein vorhandenes Standardanmeldemodul des Systems verwenden.
- Ein eigenes angepasstes Anmeldemodul erstellen.
Wenn Sie z. B. ein Benutzernamenstoken konfigurieren, können Sie die JAAS-Anmeldekonfiguration wss.consume.unt verwenden und das vorhandene Verhalten beibehalten. Sie haben jedoch auch die Möglichkeit, die JAAS-Anmeldung wss.consume.issuedToken so zu konfigurieren, dass das generische Anmeldemodul verwendet wird.