Wenn Sie die Zusicherung der Identität mit Trustvalidierung aktivieren, kann eine Anwendung
die JAAS-Anmeldekonfiguration verwenden, um eine programmgesteuerte Identitätszusicherung durchzuführen.
Informationen zu diesem Vorgang
Gehen Sie zum Aktivieren der Identitätszusicherung mit Trustvalidierung wie folgt vor:
Vorgehensweise
- Erstellen Sie ein angepasstes Anmeldemodul für die Durchführung der Trustvalidierung. Das Anmeldemodul muss die Trust- und ID-Informationen in den gemeinsam genutzten Informationen speichern, die anschließend
an das Modul IdentityAssertionLoginModule übergeben werden. Die Trust- und ID-Informationen werden in einer Zuordnung
in den gemeinsam genutzten Informationen unter dem Schlüssel
com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.state gespeichert.
Wenn dieser Schlüssel in den gemeinsam genutzten Statusinformationen fehlt, wird vom Modul IdentityAssertionLoginModule
ein Fehler vom Typ WSLoginFailedException ausgelöst.
Das angepasste Anmeldemodul muss Folgendes enthalten:
- Einen Trustschlüssel mit dem Namen com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.trusted. Wenn der Trustschlüssel den Wert true hat, ist der Trust (Vertrauensbeziehung) bestätigt.
Hat der Trustschlüssel den Wert false, löst das Modul IdentityAssertionLoginModule einen Fehler vom Typ
WSLoginFailedException aus.
- Die ID des im Schlüssel om.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.principal
definierten java.security.Principal-Typs.
- Die ID in Form eines im Schlüssel com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.certificates
definierten Zertifikats java.security.cert.X509Certificate[].
Anmerkung: Wenn ein Principal und ein Zertifikat angegeben sind, wird der Principal verwendet und eine Warnung ausgegeben.
- Erstellen Sie eine neue JAAS-Konfiguration (Java™ Authentication
and Authorization Service) für Anwendungsanmeldung. Sie enthält das vom Benutzer implementierte angepasste Anmeldemodul für
Trustvalidierung und das Modul IdentityAssertionLoginModule.
Gehen Sie zum Konfigurieren einer Anwendungsanmeldekonfiguration in der Administrationskonsole wie folgt vor:
- Klicken Sie auf Sicherheit > Globale Sicherheit.
- Klicken Sie unter "Java
Authentication and Authorization
Service" auf Anwendungsanmeldungen > Neu.
- Geben Sie die JAAS-Konfiguration mit einem Alias an und klicken Sie anschließend auf Anwenden.
- Klicken Sie unter "Weitere Eigenschaften" auf JAAS-Anmeldemodule > Neu.
- Geben Sie den Modulklassennamen des vom Benutzer implementierten angepassten Anmeldemoduls für Trustvalidierung
ein und klicken Sie anschließend auf Anwenden.
- Geben Sie den Klassennamen für das Modul com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule ein.
- Stellen Sie sicher, dass der Modulklassennamen in der korrekten Reihenfolge angegeben sind.
Das vom Benutzer implementierte Anmeldemodul für Trustvalidierung muss das erste in der Liste sein, das Modul
IdentityAssertionLoginModule das zweite.
- Klicken Sie auf Speichern. Die neue JAAS-Konfiguration wird von der Anwendung für die
Identitätszusicherung verwendet.
Nächste Schritte
Eine Auftrag kann die JAAS-Anmeldekonfiguration jetzt verwenden, um eine programmgesteuerte Identitätszusicherung durchzuführen.
Die Anwendung kann einen Anmeldekontext für die in Schritt 2 erstellte JAAS-Konfiguration erstellen und sich anschließend
mit der zugesicherten ID bei diesem Anmeldekontext anmelden.
Wenn die Anmeldung erfolgreich ist, kann die ID, wie im folgenden Beispiel gezeigt, im derzeit aktiven
Prozess gesetzt werden:
MyCallbackHandler handler = new MyCallbackHandler(new MyPrincipal(“Joe”));
LoginContext lc = new LoginContext(“MyAppLoginConfig”, handler);
lc.login(); //assume successful
Subject s = lc.getSubject();
WSSubject.setRunAsSubject(s);
// Ab hier ist die RunAs-Identität “Joe”.