Identitätszusicherungen mit Trustvalidierung

Wenn eine Anwendung oder ein Systemprovider eine Identitätszusicherung mit Trustvalidierung durchführen soll, können Sie hierfür das JAAS-Anmeldegerüst (Java™ Authentication and Authorization Service) verwenden, in den die Trustvalidierung in einem Anmeldemodul und die Erstellung des Berechtigungsnachweises in einem anderen durchgeführt werden. Diese beiden angepassten Anmeldemodule werden verwendet, um eine JAAS-Anmeldekonfiguration zu erstellen, die eine Anmeldung für Identitätszusicherung durchführt.

Es sind zwei angepasste Anmeldemodule erforderlich:
  • Ein angepasstes Anmeldemodul für Trust-Association. Dieses Anmeldemodul führt die vom Benutzer geforderte Prüfung der Vertrauenswürdigkeit (Trustprüfung) durch. Wenn die Vertrauenswürdigkeit bestätigt wurde, müssen der Status der Trustprüfung und die Anmelde-ID in einer Zuordnung in den gemeinsam genutzten Statusinformationen des Anmeldemoduls gespeichert werden, damit das Anmeldemodul für die Erstellung des Berechtigungsnachweises diese Informationen verwenden kann. Die Zuordnung muss in der Eigenschaft "com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.state" gespeichert werden. Die Statuszuordnungen enthalten die folgenden Informationen:
    • com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.trusted – Wert true, wenn vertrauenswürdig, andernfalls false
    • com.ibm.wsspi.security.common.auth.module.IdenityAssertionLoginModule.principal – Enthält den Principal der ID.
    • com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.certificates – Enthält das Zertifikat der ID.
  • Das Modul com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule erstellt den Berechtigungsnachweis. Es setzt voraus, dass die Truststatusinformationen in den gemeinsam genutzten Statusinformationen des Anmeldekontextes gespeichert werden. Dieses Anmeldemodul ist durch Java-2-Sicherheitslaufzeitberechtigungen für Folgendes geschützt:
    • com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.initialize
    • com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.login
Das Modul "IdentityAssertionLoginModule" sucht die Trustinformationen in der Eigenschaft für die gemeinsam genutzten Statusinformationen, com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.state. Diese Zuordnung enthält den Truststatus und die ID für die Anmeldung. Die Zuordnung enthält die folgenden Informationen:
  • com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.trusted – true, wenn vertrauenswürdig, andernfalls false.
  • com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.principal – Bei Verwendung eines Principals enthält diese Eigenschaft den Principal der für die Anmeldung erforderlichen ID.
  • com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.certificates – Bei Verwendung eines Zertifikats enthält dieser Eigenschaft einen Bereich einer Zertifizierungskette, die die für die Anmeldung erforderliche ID enthält.

Es wird eine Ausnahme vom Typ WSLoginFailedException zurückgegeben, wenn Status-, Trust- oder ID-Informationen fehlen. Das Anmeldemodul führt anschließend eine Anmeldung unter Verwendung der angegebenen ID durch. Das Subjekt enthält jetzt die neue ID.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_identity_assert_API
Dateiname:csec_identity_assert_API.html