Web-Service-Client-Token-Cache für SAML

Wenn ein SAML-Token erstmalig angefordert wird, wird es von der Laufzeitumgebung für Web-Services automatisch zwischengespeichert. Wegen dieser automatischen Caching-Funktion des Client-Tokens können nachfolgende Web-Service-Anforderungen das SAMLToken aus der vorherigen Anforderung verwenden.

Der Web-Service-Client-Token-Cache für SAML versetzt Web-Service-Clients in die Lage, SAML-Token beim Zugriff auf Geschäftsservices wiederzuverwenden. Die Wiederverwendung gültiger SAML-Token verringert den Datenverkehr zum Sicherheitstokenservice (STS) und auch den Leistungseinfluss, der durch das Senden von WS-Trust-Anforderungsnachrichten entsteht. Ein Token muss, um als gültig anerkannt zu werden und somit für das Caching und die Wiederverwendung verfügbar zu sein, verschiedene Voraussetzungen erfüllen.

Damit ein SAML-Token wiederverwendet werden kann, muss die Verfallszeit des Tokens der aktuellen Uhrzeit entsprechen oder in der Zukunft liegen. Beim Vergleich der Verfallszeit des Tokens mit der aktuellen Uhrzeit wird der aktuellen Uhrzeit eine Cachezeitreserve hinzugefügt, damit das Token nicht unmittelbar, nachdem es gesendet wurde, verfällt.

Außerdem ist ein Token nur gültig, wenn es erneut an denselben Geschäftsservice gesendet wird. Die SAML-Funktion in WebSphere Application Server überprüft nicht die AudienceRestriction-Bedingung für das SAML-Token. Das SAML-Token für denselben Webservice, von dem es anfänglich verwendet wurde, wiederzuverwenden, ist daher eine gute Methode, um sicherzustellen, dass es für die richtige Zielgruppe verwendet wird. Wenn eine Zusicherung die OneTimeUse-Zusicherung enthält, wird das SAML-Token nicht zwischengespeichert.

Um den SAMLToken-Cache nutzen zu können, müssen die Anwendung und SAMLToken die folgenden Voraussetzungen erfüllen:
  • Das SAMLToken muss eine relativ lange Verfallszeit mit mindestens fünf Minuten restlicher Lebensdauer nach dem Abschluss der ersten Anforderung haben. Die WS-Security-Laufzeitumgebung validiert die Verfallszeit des zwischengespeicherten SAMLToken anhand eines Vergleichs mit einer vordefinierten Cachezeitreserve. Das zwischengespeicherte Token ist nur gültig, wenn die restliche Lebensdauer des Tokens den Wert der Zeitreserve übersteigt. Der Standardwert für die Zeitreserve beträgt fünf Minuten. Dieser Wert kann mit der angepassten Eigenschaft "cacheCushion" konfiguriert werden. Wenn Sie den Standardwert für die Cachezeitreserve überschreiben möchten, müssen Sie die angepasste CallbackHandler-Eigenschaft für den SAMLToken-Generator editieren. Fügen Sie die Eigenschaft "cacheCushion" hinzu, und legen Sie den Wert für die Cachezeitreserve in Millisekunden fest. Wenn die Lebensdauer des zwischengespeicherten SAMLToken im Rahmen des Grenzwerts für die Cachezeitreserve liegt, wird ein neues SAMLToken angefordert. Sie können die Cachezeitreserve beispielsweise in 3 Minuten bzw. 180000 Millisekunden ändern.
    Name der angepassten Eigenschaft Wert
    cacheCushion 180000
  • Das SAML-Token darf nicht die OneTimeUse-Zusicherung enthalten.
  • Wenn das SAML-Token verschlüsselt ist, vergewissern Sie sich, dass der STS die Verfallszeit des Tokens außerhalb des verschlüsselten Tokens kommuniziert und dass das SAML-Token nicht die OneTimeUse-Zusicherung umfasst.
Wenn Sie nicht dasselbe SAMLToken für nachfolgende Anforderungen wiederverwenden möchten, können Sie den clientseitigen SAMLToken-Cache mit der angepassten Eigenschaft "cacheToken" inaktivieren. Möchten Sie den clientseitigen SAMLToken-Cache inaktivieren, müssen Sie die angepasste Eigenschaft im CallbackHandler für den SAMLToken-Generator ändern. Fügen Sie die Eigenschaft "cacheToken" hinzu, und setzen Sie den Wert auf false.
Name der angepassten Eigenschaft Wert
cacheToken false

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_tokencacheclientsaml
Dateiname:cwbs_tokencacheclientsaml.html