Anmeldemodule für generische Sicherheitstoken

Die Anmeldemodule für generische Sicherheitstoken sind JAAS-Anmeldemodule (Java™ Authentication and Authorization Service). Diese Anmeldemodule verwenden einen externen Sicherheitstokenservice (Security Token Service, STS), um Sicherheitstoken auszugeben, zu validieren und auszutauschen.

Übersicht

Die Prozesse, bei denen Web-Services-Security-Token generiert und konsumiert werden, rufen diese Anmeldemodule auf. Die Sicherheitskomponente von Web Services Security stellt Standardanmeldemodule für allgemeine Token bereit, wie z. B.:
  • Benutzernamenstoken
  • X.509-Token
  • Kerberos-Token
  • LTPA-Token (Lightweight Third Party Authentication)
  • SAML-Token (Security Assertion Markup Language)
  • Sicherheitskontexttoken
Weitere Informationen zu Tokenimplementierungen finden Sie in der Dokumentation zu den Standardimplementierungen der Programmierschnittstellen von Service-Providern für Web Services Security.
Fehler vermeiden Fehler vermeiden: Wenn Sie IBM® Tivoli Federated Identity Manager als externen Sicherheitstokenservice verwenden, sollten Sie die Versionen 6.2.0.9, 6.2.1.2, 6.2.2 oder eine höhere Version verwenden, um Fehler beim LTPA-Tokenaustausch zu vermeiden.gotcha

Die folgende Abbildung zeigt den Informationsfluss während des Prozesses für das Anmeldemodul für generische Sicherheitstoken. Prozess für das Anmeldemodul für generische Sicherheitstoken

  1. Die Identität des Callers (Aufrufenden) wird von der Laufzeitumgebung des Web-Service-Client übernommen.
  2. Das Anmeldemodul für generische Sicherheitstoken für den Tokengenerator sendet eine Tokenanforderung als Ausstellungs- oder Validierungsanforderung mit einem WS-Trust-Client an einen WS-Trust-Service.
  3. Das zurückgegebene oder validierte Token wird im Sicherheitsheader der SOAP-Nachricht als Authentifizierungstoken definiert. Weitere Informationen hierzu können Sie der Dokumentation zu den Anmeldemodulen des generische Sicherheitstoken für den Tokengenerator entnehmen.
  4. Das PassTicket wird in der SOAP-Nachricht an den Service-Provider gesendet.
  5. Das Anmeldemodul für generische Sicherheitstoken für den Tokenkonsumenten sendet ein empfangenes Token im Sicherheitsheader der SOAP-Nachricht in einer Anforderung vom Typ WS-Trust Validate an einen bezeichneten WS-Trust-Service.
  6. Das Ergebnis der Anforderung kann ein neues Token sein oder eine Benachrichtigung darüber, dass das gesendete Token validiert wurde.
  7. Sie können je nach Bedarf festlegen, ob das neue oder das ursprünglich validierte Token als Caller-Token für Berechtigungsprozesse verwendet wird. Weitere Informationen hierzu können Sie der Dokumentation zu den Anmeldemodulen für generische Sicherheitstoken für den Tokenkonsumenten entnehmen.

Ein PassTicket ist ein dynamisch generiertes Ersatzkennwort für den einmaligen Gebrauch. Um sich für einen Service zu authentifizieren, können Sie, anstatt das tatsächliche Kennwort zu senden, das PassTicket verwenden.

Einsatzszenarien

Das Anmeldemodul für generische Sicherheitstoken kann sehr nützlich sein, wenn ein Tokenaustausch, eine Identitätszuordnung oder eine Berechtigung erforderlich ist, um einen Ziel-Web-Service aufzurufen. In der folgenden Liste sind einige nützliche Einsatzszenarien für ein Anmeldemodul für generische Sicherheitstoken erläutert:
Tokenaustausch mit einem zwischengeschalteten Server
Das erforderliche abgehende Sicherheitstoken und das eingehende Sicherheitstoken weisen unterschiedliche Typen auf.
Tokenaustausch auf der Anforderungsseite
Vor dem Aufruf eines Downstream-Service muss für den Caller eine Identitätszuordnung durchgeführt werden.
Tokenaustausch auf der Empfangsseite
Die aufrufende Identitätszuordnung muss nach der Validierung des Tokens durchgeführt werden.
Berechtigung zum Aufrufen des Zielservice
Das Anmeldemodul sendet das eingehende Sicherheitstoken und die Endpunktadresse seines Zielservice an den WS-Trust-Service. Der WS-Trust-Service führt die Berechtigung auf Web-Service-Ebene durch. Der WS-Trust-Service überprüft, ob der Aufruf des Ziel-Web-Service für den Principal, der im Authentifizierungstoken enthalten ist, autorisiert ist.

Einschränkungen

Für generische Anmeldemodule gelten die folgenden Einschränkungen:
  • Sie können das Token, das vom Anmeldemodul für generische Sicherheitstoken verarbeitet wird, nur für die Authentifizierung verwenden. Sie können das Token nicht als Token für Zugriffsschutz verwenden, um Nachrichtenteile digital zu signieren und zu verschlüsseln.
  • Wenn der Service-Provider ein ausgetauschtes Token empfängt, muss das Token von den Standardanmeldemodulen für das Web-Service-Security-System des Anwendungsservers unterstützt werden. Weitere Informationen hierzu können Sie der Dokumentation zum Anmeldemodul für generische Sicherheitstoken für den Tokenkonsumenten entnehmen.
  • Wenn der Service-Provider ein Token empfängt, das validiert und nicht ausgetauscht wird, muss das empfangene Token von den Standardanmeldemodulen für das Web-Services-Security-System des Anwendungsservers unterstützt werden.
  • Wenn Sie ein Sicherheitstoken vom RunAs-Subjekt (RunAs Subject) verwenden, um ein abgehendes Sicherheitstoken zu validieren oder auszutauschen, muss das Sicherheitstoken im RunAs-Subjekt durch den ValueType-Wert eines Tokens eindeutig angegeben sein. Wenn mehrere Token im RunAs-Subjekt denselben ValueType-Wert haben, verwendet das Anmeldemodul nicht WS-Trust Validate, um ein Token mit dem RunAs-Subjekt auszutauschen. Stattdessen verwenden die Anmeldemodule WS-Trust Issue, um ein Token anzufordern, das auf der Konfiguration des Richtliniensatzes für den Trust-Client basiert.

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_gensectokenmod
Dateiname:cwbs_gensectokenmod.html